Projet de loi 64 : quels impacts pour les entreprises privées?

 

Auteurs : Anne-Sophie Ouellet, avocate

et Pierre-Étienne Dallaire, stagiaire en droit

 

Demeurée pratiquement intouchée depuis son adoption, la Loi sur la protection des renseignements personnels dans le secteur privé, c. P-39.1 (« Loi sur le secteur privé ») vient de faire l’objet d’un important remodelage par l’Assemblée nationale. En effet, sanctionné le 22 septembre dernier, le projet de loi 64 (« PL64 ») modifie substantiellement le cadre législatif applicable aux entreprises privées en matière de protection de renseignements personnels.

Cet article a pour objectif d’identifier les principaux changements législatifs susceptibles d’affecter votre entreprise.

 

L’introduction d’un nouvel acteur : le responsable à la protection des renseignements personnels

Un des objectifs principaux du PL64 est d’accroître la responsabilisation et l’imputabilité des entre-prises en matière de protection des renseignements personnels.

Pour ce faire, le PL64 prévoit que chaque entreprise devra désormais nommer une personne responsable de la protection des renseignements personnels. Cette fonction peut être déléguée à tout membre du personnel, mais en l’absence de désignation, la personne ayant la plus haute autorité dans l’entreprise sera présumée responsable[1].

La personne agissant à titre de responsable aura notamment pour fonction d’établir les politiques qui encadreront la gouvernance de l’entreprise en matière de protection des renseignements personnels, et qui devront notamment porter sur :

  • L’encadrement applicable à la conservation et la destruction des renseignements;
  • Les rôles et les responsabilités des membres de son personnel tout au long du cycle de vie des renseignements;
  • Un processus de traitement des plaintes relatives à la protection des renseignements[2].

Il convient également de mentionner que des informations détaillées au sujet de ces politiques et de ces pratiques devront, en termes simples et clairs, être publiées sur le site internet de l’entreprise[3].

Finalement, le responsable jouera un rôle de premier plan dans la gestion d’incident de confidentialité[4], sujet dont il sera plus amplement question dans la section suivante.

 

La gestion des incidents de confidentialité

L’ancienne mouture de la Loi sur le secteur privé ne prévoyait aucune procédure obligatoire en cas d’incidents de confidentialité. Or, les récents précédents en matière de fuite de données ont convaincu le législateur qu’il était nécessaire que les entreprises privées prennent des mesures plus importantes afin d’en minimiser le risque et les conséquences, le cas échéant.

Dans cette optique, le PL64 introduit la notion d’« incident de confidentialité », que l’on définit comme l’accès, l’utilisation, la communication ou toute autre atteinte non autorisée à un renseignement personnel[5].

Le PL64 prévoit ainsi dorénavant que lorsqu’une entreprise a des motifs de croire que s’est produit un incident de confidentialité, celle-ci doit prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé[6].

Elle doit de plus, lorsqu’un incident se produit, procéder à une évaluation du risque de préjudice en tenant compte, notamment, de la sensibilité du renseignement concerné, des conséquences appréhendées de son utilisation et de la probabilité qu’il soit utilisé à des fins préjudiciables[7]. Si l’entreprise conclut que l’incident de confidentialité présente un tel risque, elle devra aviser rapidement la Commission d’accès à l’information (« CAI ») ainsi que toute personne concernée par l’incident[8].

Finalement, le PL64 exige que les entreprises tiennent désormais à jour un registre des incidents de confidentialité[9].

C’est au responsable de la protection des renseignements personnels qu’échoit la responsabilité de voir à ce que ces règles soient respectées et à procéder à l’évaluation du risque de préjudice.

 

Transmission de renseignements personnels lors d’une transaction commerciale

Actuellement, les entreprises doivent obtenir le consentement de toutes les personnes concernées avant de communiquer leurs renseignements personnels à un tiers dans le cadre d’une transaction commerciale, d’une vente d’entreprise, d’une cession d’actifs ou d’une vente d’actions.

Lors des consultations liées au PL64, plusieurs intervenants ont fait valoir que cette condition, fort laborieuse à satisfaire, pouvait dans certains cas faire achopper une transaction, car les entreprises ne sont pas toujours en mesure d’obtenir les consentements requis.

Le PL64 vient donc, dans une certaine mesure, simplifier les conditions auxquelles doivent satisfaire les entreprises dans le cadre de telles transactions.

D’emblée, le PL64 crée une exception à la règle du consentement en ce qui concerne les renseignements personnels des personnes en fonction au sein d’une entreprise. Ainsi, il n’est pas nécessaire d’obtenir le consentement de ces personnes afin de communiquer des renseignements comme le nom, le titre et la fonction, de même que l’adresse, le courriel et le numéro de téléphone de son lieu de travail[10].

De plus, le PL64 prévoit désormais que lorsque la communication d’un renseignement personnel est nécessaire aux fins de la conclusion d’une transaction à laquelle une entreprise entend être partie, cette dernière peut communiquer un tel renseignement à l’autre partie de la transaction, et ce, sans le consentement des personnes concernées[11]. Cette exception est toutefois conditionnelle à ce qu’une entente préalable soit conclue entre les parties à la transaction, et ce, afin de mitiger les risques qu’un incident de confidentialité se produise[12].

Cette exception a néanmoins un champ d’application limité, ne pouvant être invoquée que pour les transactions ayant pour objet :

  • L’aliénation ou la location de tout ou partie d’une entreprise ou des actifs dont elle dis-pose;
  • La modification de la structure juridique de l’entreprise par fusion; et
  • L’obtention d’un prêt ou de toute autre forme de financement ou d’une sûreté prise pour garantir une de ses obligations[13].

 

Profilage technologique et systèmes de traitement automatisés

Avec l’avènement de l’intelligence artificielle, du marketing ciblé et des systèmes de prises de décisions automatisés, le législateur estime qu’il est nécessaire d’ajouter certaines balises à l’usage de ces outils technologiques afin que le public soit en mesure de garder un certain contrôle sur leurs renseignements personnels.

Ainsi, lorsqu’une entreprise procède à la collecte de renseignements personnels à l’aide de technologies qui permettent d’identifier, de localiser ou d’effectuer un profilage des personnes concernées, l’entreprise devra préalablement notifier ses utilisateurs de cette technologie et de la manière dont l’usager peut la désactiver[14].

De plus, il est maintenant prévu que les paramètres de confidentialité de base des produits et services technologiques devront assurer le plus haut niveau de confidentialité, sans aucune intervention de l’utilisateur[15].

Quant aux entreprises qui utilisent des renseignements personnels afin que soit rendue une décision fondée exclusivement sur un système de traitement automatisé, elles devront informer la personne concernée de l’utilisation d’une telle technologie, au plus tard au moment de la décision[16].

 

Conclusion

Il ressort des nouvelles modifications législatives que l’Assemblée nationale entend élever d’un cran la protection accordée aux données personnelles. Pour ce faire, le PL64 facilite le contrôle des individus sur leurs renseignements personnels et intensifie les obligations des entreprises en cette matière.

D’ailleurs, le législateur n’entend pas prendre ces nouvelles obligations à la légère : les organisations qui ne respectent pas les dispositions du PL64 pourraient encourir de lourdes pénalités, pouvant aller jusqu’à 25 000 000 $ ou 4 % du chiffre d’affaires mondial de l’entreprise[17].

Les organisations assujetties devront rapidement mettre en place ces nouvelles règles en matière de protection de renseignements personnels, étant prévu que certaines d’entre elles entreront en vigueur dès le 22 septembre 2022.

***

Pour en connaître plus sur vos obligations en matière de protection des renseignements personnels, restez à l’affut de nos prochaines publications portant sur le PL64.

Sachez que Beauvais Truchon offre des services de consultation, de formation et d’accompagnement pour la mise à niveau et la réforme de vos pratiques, et ce, afin de vous assurer de vous conformer à vos obligations en matière de protection des renseignements personnels. N’hésitez pas à communiquer dès aujourd’hui avec notre équipe spécialisée en protection de la vie privée pour toute question relative à cet article ou à vos besoins.

 

Cliquez ici pour obtenir l’article en version PDF

 

___________________________________________________

[1].     Art. 3.1 Loi sur le secteur privé.

[2].     Art. 3.2 Loi sur le secteur privé.

[3].    Art. 3.2 al. 2 Loi sur le secteur privé.

[4].    Art. 3.7 Loi sur le secteur privé.

[5].    Art. 3.6 Loi sur le secteur privé.

[6].    Art. 3.5 al. 1 Loi sur le secteur privé

[7].     Art. 3.7 Loi sur le secteur privé.

[8].    Art. 3.5 al. 2 Loi sur le secteur privé.

[9].    Art. 3.8 Loi sur le secteur privé.

[10].   Art. 1 al. 5 Loi sur le secteur privé.

[11].    Art. 18.4 al. 1 Loi sur le secteur privé.

[12].    Art. 18.4 al. 2 Loi sur le secteur privé.

[13].   Art. 18.4 al. 4 Loi sur le secteur privé.

[14].   Art. 8.1 Loi sur le secteur privé.

[15].   Art. 9.1 Loi sur le secteur privé.

[16].   Art. 12.1 Loi sur le secteur privé.

[17].    Art. 91 Loi sur le secteur privé.

 

Beauvais Truchon, s.e.n.c.r.l. est l’un des plus importants cabinets d’avocats de Québec. Nos champs de pratique légale englobent tous les aspects juridiques des affaires. Notre clientèle, desservie par une trentaine d’avocats, regroupe des entreprises d’envergure des secteurs du commerce, des services et de l’industrie ainsi que des institutions publiques et parapubliques.