Projet de loi 64 :

Ce que vous devriez savoir concernant les communications aux fins de recherches, d’étude et de statistique

 

Auteurs : Anne-Sophie Ouellet, avocate

et Pierre-Étienne Dallaire, stagiaire en droit

 

 

Le 21 septembre dernier, l’Assemblée nationale a adopté le PL64, qui vient modifier à la fois la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, c. A-2.1 (ci-après la « Loi sur l’accès ») et la Loi sur la protection des renseignements personnels dans le secteur privé, c. P-39.1 (ci-après la « Loi sur le privé »).

Une des réformes importantes que met en place le PL64 concerne les communications de renseignements personnels à des fins de recherche, d’étude et de statistique. Il est à prévoir que ces modifications auront une incidence particulière sur les établissements de santé, ainsi que les institutions de recherche, incluant les centres universitaires, mais également les entreprises privées.

Dans cet article, nous portons à votre attention les nouvelles règles applicables aux organismes publics et aux entreprises privées à ce sujet.

 

La règle : la communication

La règle qui prévalait avant l’adoption du PL64 demeure inchangée : pour communiquer des renseignements personnels, une organisation doit préalablement obtenir le consentement de la personne visée. Le législateur précise la notion de consentement, en ajoutant que celui-ci doit être manifeste, libre, éclairé et donné à des fins spécifiques, en plus d’être demandé à chacune de ces fins en termes simples et clairs[1]. Règle générale, les organisations doivent obtenir le consentement des personnes visées pour communiquer des renseignements personnels à des fins de recherche ou d’étude.

Le PL64 ajoute à cela une exigence supplémentaire lorsque les renseignements en cause suscitent, notamment par leur nature médicale, bio-métrique ou autrement intime, ou en raison du contexte, un haut degré d’attente raisonnable en matière de vie privée. En effet, en ce qui concerne cette nouvelle catégorie de renseignements dits « sensibles », le consentement devra en tout temps être manifesté de façon expresse[2].

Mis à part qu’elle vise expressément les renseignements médicaux et biométriques, le législateur offre peu de précisions quant à la notion de renseignements sensibles. En attendant que les tribunaux se penchent sur cette question, les organisations, tant privées que publiques, devront être particulièrement vigilantes face à cette définition laconique. En effet, c’est à elles que revient la responsabilité d’obtenir le consentement approprié pour pouvoir communiquer légalement des renseignements personnels, à défaut de quoi elles s’exposeront à d’importantes pénalités.

 

L’exception

Comme tout principe comporte ses exceptions, la règle de la communication consentie connaît ses propres dérogations. En matière de communication à des fins d’étude, de recherche et de statistique, le PL64 prévoit deux règles qui permettent de communiquer des renseignements personnels sans le consentement de la personne visée :

1.  La communication de renseignements dépersonnalisés

Dans le premier cas, les entreprises privées et les organismes publics pourront communiquer des renseignements lorsque ces derniers sont nécessaires à des fins d’étude, de recherche et de statistique sans le consentement de la personne visée, à la condition que les renseignements soient dépersonnalisés.

Un renseignement est dépersonnalisé lorsque ce renseignement ne permet pas d’identifier directement la personne concernée. Toutefois, contrairement aux renseignements anonymisés, la dépersonnalisation n’annihile pas tout risque de réidentification. Pourtant, le législateur prévoit que l’organisation est responsable de prendre des mesures raisonnables afin de limiter les risques que quiconque procède à l’identification d’une personne physique à partir de renseignements dépersonnalisés[3].

2.  La communication assujettie à une évaluation de facteurs relatifs à la vie privée

Le deuxième cas prévu par le législateur vise les situations où les projets de recherche, d’étude ou de statistique envisagés exigent de pouvoir identifier directement la personne physique visée. Dans ces situations, le législateur exige désormais un protocole rigoureux pour pouvoir communiquer des renseignements personnels sans le consentement de la personne visée.

D’abord, l’organisation doit se livrer à une évaluation des facteurs relatifs à la vie privée. Pour que la communication puisse s’effectuer, l’organisation devra être en mesure de démontrer que :

  1. L’objectif de l’étude ne peut être atteint que si les renseignements sont communiqués sous une forme permettant d’identifier les personnes concernées;
  2. Il est déraisonnable d’exiger que l’organisation obtienne le consentement des personnes visées;
  3. L’objectif de l’étude l’emporte, eu égard à l’intérêt public, sur l’impact de la communication et de l’utilisation des renseignements sur la vie privée des personnes concernées;
  4. Les renseignements personnels seront utilisés de manière à en assurer la confidentialité; et
  5. Seuls les renseignements nécessaires seront communiqués[4].

Cette évaluation devra se faire notamment sur la base d’une présentation écrite détaillée des activités de recherche envisagées par la personne ou l’organisation qui entend utiliser ces renseignements[5].

Une fois que l’évaluation des facteurs relatifs à la vie privée est jugée concluante, l’organisation qui communique des renseignements personnels devra, préalablement à la communication, conclure une entente qui devra être déposée à la Commission d’accès à l’information (CAI).

Cette entente devra notamment stipuler que les renseignements ne seront rendus accessibles qu’aux personnes qui ont besoin de les obtenir (need-to-know); qu’ils ne seront utilisés qu’aux seules fins prévues à la présentation des activités de recherche soumise à l’évaluation des facteurs relatifs à la vie privée; et qu’ils ne peuvent être diffusés sous une forme qui permettrait d’identifier les personnes concernées.

De plus, l’entente devra notamment prévoir :

  • Les mesures mises en place pour assurer la protection des renseignements;
  • Le délai de conservation de renseignements;
  • L’obligation d’aviser l’organisation de la destruction des renseignements;
  • L’obligation d’aviser l’organisation et la CAI en cas de tout manquement ou incident de confidentialité[6].

Bien que l’entente ne soit pas soumise à l’approbation de la CAI, celle-ci pourra néanmoins surveiller et enquêter sur les ententes qui lui sont soumises.

Notons enfin que si le projet de recherche, d’étude ou de statistique est mené ailleurs qu’au Québec, des exigences supplémentaires devront être satisfaites pour communiquer des renseignements personnels à l’extérieur de la province[7].

 

Conclusion

Le PL64 modifie de façon importante le régime applicable à la communication de renseignements personnels à des fins de recherche, d’étude ou de statistique et exigera dorénavant des entreprises privées et des organismes publics que la communication non consentie de renseignements personnels à de telles fins soit solidement justifiée et réservée aux cas qui l’exigent véritablement.

Par le PL64, le législateur entend élever d’un cran la protection accordée aux données personnelles, et les organisations qui ne respectent pas ces règles seront désormais passibles de lourdes pénalités pouvant aller jusqu’à 150 000 $ pour les organismes publics, et jusqu’à 25 000 000 $ ou 4 % du chiffre d’affaires mondial dans le cas des entreprises privées[8].

Les organisations assujetties devront rapidement mettre en place ces nouvelles règles en matière de communication à des fins de recherche, d’étude ou de statistique, étant prévu que celles-ci entreront en vigueur le 22 septembre 2022.

 

***

Pour en connaître plus sur vos obligations en matière de protection des renseignements personnels, restez à l’affut de nos prochaines publications portant sur le PL64.

Sachez que Beauvais Truchon offre des services de consultation, de formation et d’accompagnement pour la mise à niveau et la réforme de vos pratiques, et ce, afin de vous assurer de vous conformer à vos obligations en matière de protection des renseignements personnels. N’hésitez pas à communiquer dès aujourd’hui avec notre équipe spécialisée en protection de la vie privée pour toute question relative à cet article ou à vos besoins.

 

___________________________________________________

[1]    Article 53.1 Loi sur l’accès; article 14 Loi sur le privé.
[2]    Article 59 Loi sur l’accès; article 12 Loi sur le privé.
[3]    Article 65.1 Loi sur l’accès; article 12 Loi sur le privé.
[4]    Article 67.2.1 Loi sur l’accès; article 21 Loi sur le privé.
[5]    Article 67.2.2 Loi sur l’accès; article 21.0.1 Loi sur le privé.
[6]    Article 67.2.3 Loi sur l’accès; article 21.0.2 Loi sur le privé.
[7]    Article 70.1 Loi sur l’accès; article 17 Loi sur le privé.
[8]    Articles 158 et 159 Loi sur l’accès; article 91 Loi sur le privé.

 

Cliquez ici pour obtenir l’article en version PDF

 

Beauvais Truchon, s.e.n.c.r.l. est l’un des plus importants cabinets d’avocats de Québec. Nos champs de pratique légale englobent tous les aspects juridiques des affaires. Notre clientèle, desservie par une trentaine d’avocats, regroupe des entreprises d’envergure des secteurs du commerce, des services et de l’industrie ainsi que des institutions publiques et parapubliques.