Projet de loi 64 : quels impacts pour les organismes publics ?
Auteure : Anne-Sophie Ouellet, avocate
Plus de quinze mois après sa présentation, le projet de loi 64, introduisant la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, LQ 2021, c. 25, (ci-après le « PL 64 ») a finalement été sanctionné le 22 septembre dernier. Cette loi marque un tournant important en matière d’encadrement et de protection des renseignements personnels et s’inscrit dans une volonté de moderniser les lois québécoises, notamment la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, c. A-2.1., (ci-après la « Loi sur l’accès ») pour les arrimer aux nouvelles réalités technologiques.
Quels sont les changements auxquels doivent se préparer les organismes publics? Nous portons à votre attention quelques-unes des modifications les plus importantes ainsi que leur date d’entrée en vigueur.
Création d’un Comité sur l’accès à l’information et la protection des renseignements personnels
Le nouvel article 8.1 de la Loi sur l’accès consacre l’obligation de créer un comité dont la fonction sera de soutenir l’organisme dans l’exercice de ses responsabilités et dans l’exécution des obligations qui lui échoient.
À titre d’exemples, ce Comité devra approuver les politiques encadrant la protection des renseignements personnels qui doivent être diffusés sur le site Internet de l’organisme (art. 63.3). Ce Comité devra également être consulté dans le cadre de tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels (art. 63. 5).
L’article 8.1 n’indique pas le nombre de personnes qui doivent composer ce Comité, mais ce dernier doit à tout le moins inclure le responsable de l’accès à l’information et le responsable de la protection des renseignements personnels ainsi que toute autre personne dont l’expertise est requise. Le Comité relève de la personne ayant la plus haute autorité au sein de l’organisme.
Le PL64 prévoit que les organismes publics devront procéder à la création de ce comité au plus tard le 22 septembre 2022.
Obligation d’assistance
La Loi sur l’accès impose désormais aux organismes publics une obligation d’assistance aux requérants d’accès à l’information ou d’accès aux renseignements personnels, en particulier lorsque l’organisme refuse de donner communication d’un document ou d’un renseignement ou rejette une demande de rectification (art. 50 et 100).
Bien que la Loi soit muette sur l’intensité de cette nouvelle obligation, on peut s’attendre à ce qu’on exige désormais des organismes publics un suivi plus important auprès des requérants d’accès ainsi qu’une motivation plus détaillée des motifs qui fondent un refus de donner accès ou de rectifier un renseignement. La Loi sur l’accès est également silencieuse sur le pouvoir de redressement de la CAI en cas de défaut de porter assistance. À cet égard, la jurisprudence de la CAI viendra progressivement cerner cette nouvelle obligation, et apportera de plus amples précisions sur les différentes facettes de l’obligation d’assis-tance.
Le PL64 prévoit que les organismes publics devront se soumettre à cette obligation d’assis-tance au plus tard le 22 septembre 2023.
Procédure en cas d’incident de confidentialité
Le PL64 introduit plusieurs nouvelles dispositions à la Loi sur l’accès en ce qui concerne les incidents de confidentialité. Le législateur définit, au nouvel article 63.8, un incident de confidentialité comme « l’accès, l’utilisation et la communication non autorisés par la loi à un renseignement personnel, ainsi que toute autre atteinte à la protection d’un tel renseignement ».
Désormais, dès que l’organisme « a des motifs de croire qu’il s’est produit un incident de confidentialité », il devra s’assurer de prendre les mesures raisonnables pour diminuer les risques qu’un préjudice ne soit causé et éviter que de nouveaux incidents de même nature ne se produisent (art. 63.7).
Tout incident de confidentialité devra dorénavant être inscrit dans un registre tenu à cette fin et auquel la CAI pourra avoir accès sur demande (art. 63.10).
De plus, si l’incident présente un risque qu’un préjudice sérieux soit causé, l’organisme doit en aviser la Commission, de même que la personne dont le renseignement personnel est concerné (art. 63.7). Pour évaluer l’existence d’un risque de préjudice sérieux, l’organisme doit notamment prendre en compte la sensibilité du renseigne-ment concerné, les conséquences appréhendées de son utilisation et la probabilité qu’il soit utilisé à des fins préjudiciables (art. 63.9).
L’omission de déclarer un tel incident pourrait être passible d’une amende allant jusqu’à 30 000 $ (art. 158), montant qui pourrait être doublé en cas de récidive (art. 164.1).
Le PL64 prévoit que les organismes publics devront se soumettre à ces nouvelles obligations en matière d’incident de confidentialité au plus tard le 22 septembre 2022.
Diffusion web des politiques encadrant la protection des renseignements personnels
La Loi sur l’accès obligera dorénavant les organismes publics à diffuser sur leur site Internet leur politique encadrant la gouvernance des renseignements personnels (art. 63.3).
De plus, si l’organisme recueille par un moyen technologique des renseignements personnels, il devra également diffuser sa politique de confidentialité, rédigée en termes simples et clairs (art. 63.4).
Ces nouvelles obligations entreront en vigueur le 22 septembre 2023.
Définition amendée du « consentement » et régime applicable aux renseignements « sensibles »
La Loi sur l’accès prévoit des exigences accrues en ce qui concerne le consentement requis pour communiquer un renseignement personnel. Ainsi, l’article 53.1 prévoit que le consentement obtenu doit être manifeste, libre et éclairé. L’organisme public doit également s’assurer d’obtenir le consentement à des fins spécifiques, fins qui devront être présentées en termes simples et clairs. De plus, lorsque la personne concernée le requiert, il lui est prêté assistance afin de l’aider à comprendre la portée du consentement demandé.
Le législateur consacre désormais le principe selon lequel un consentement qui n’est pas conforme aux exigences énoncées précédemment est sans effet.
S’ajoute à ces exigences la création d’une nouvelle catégorie de renseignements personnels : il s’agit des renseignements « sensibles ». Sont sensibles, selon l’article 59, les renseignements qui, du fait de leur nature notamment médicale, biométrique ou autrement intime ou en raison du contexte de leur utilisation, suscitent un haut degré d’attente raisonnable en matière de vie privée. Le type de renseignements susceptibles d’être catégorisés comme sensibles pourrait donc être amené à changer selon le contexte.
Lorsqu’il est question d’un renseignement sensible, la communication d’un tel renseignement – sauf pour les exceptions prévues à la loi – est subordonnée à l’obtention d’un consentement exprès. Un consentement implicite ne pourra suffire en pareils cas (art. 59).
Une évaluation de la catégorie de renseignements en cause devra donc impérativement être réalisée par l’organisme avant de procéder à sa communication, et le consentement approprié devra être obtenu le cas échéant.
Ces modifications à la notion de consentement et de renseignements personnels entreront en vigueur le 22 septembre 2023.
L’évaluation des facteurs relatifs à la vie privée
Dans certains cas bien identifiés, le législateur prévoit la possibilité de communiquer un renseignement personnel sans le consentement de la personne visée.
Dorénavant, la Loi sur l’accès ajoute une condition supplémentaire pour qu’un organisme public puisse communiquer un renseignement personnel sans le consentement de la personne visée : l’organisme devra démontrer que l’évaluation des facteurs relatifs à la vie privée milite en faveur de la communication dudit renseignement.
Cette évaluation sera dorénavant requise dans les cas suivants:
- Communication entre organismes publics (art. 68);
- Communication de renseignements personnels à l’extérieur du Québec (art. 70.1);
- Communication à des fins d’étude, de recherche ou de production statistique (art. 67.2.1); et
- Acquisition, développement ou refonte d’un système impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels (art. 63.5).
Les organismes publics devront être en mesure de procéder à l’évaluation des facteurs relatifs à la vie privée dans les situations susmentionnées d’ici le 22 septembre 2023, sauf en ce qui concerne les communications aux fins d’étude, de recherche et de statistique, où l’exigence entrera en vigueur dès le 22 septembre 2022.
Conclusion
Les nouvelles exigences du législateur en matière de protection des renseignements personnels introduisent des changements qui auront des incidences opérationnelles et structurelles importantes pour les organismes publics. Ces changements devront être intégrés très rapidement : ne ratez pas l’occasion et faites appel dès aujourd’hui à notre équipe spécialisée en protection des renseignements personnels pour vous accompagner dans ce virage important.
***
Ne manquez pas notre prochain article, qui portera spécifiquement sur les changements apportés en matière de communication à des fins d’étude, de recherche et de production statistique.
Cliquez ici pour obtenir l’article en version PDF
Beauvais Truchon, s.e.n.c.r.l. est l’un des plus importants cabinets d’avocats de Québec. Nos champs de pratique légale englobent tous les aspects juridiques des affaires. Notre clientèle, desservie par une trentaine d’avocats, regroupe des entreprises d’envergure des secteurs du commerce, des services et de l’industrie ainsi que des institutions publiques et parapubliques.