Actualités

30.08.2022

PROTECTION DES RENSEIGNEMENTS PERSONNELS : DES CHANGEMENTS LÉGISLATIFS TOUCHANT TOUTES LES ENTREPRISES

Le 22 septembre 2021, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (ci-après, la « LMDLPRP ») a reçu la sanction royale. Il faut souligner que le Québec est la première province canadienne à moderniser son régime de protection des renseignements personnels, et ce, avec une réforme majeure.

Bien que la LMDLPRP fut adoptée en 2021, l’entrée en vigueur de ses changements s’échelonnent sur trois ans, jusqu’en 2024. Ainsi, une première série de modifications aux lois sur la protection des renseignements personnels entreront en vigueur à compter du 22 septembre 2022.

Dans le cadre de cet article, nous résumerons les changements les plus importants et pour lesquels les entreprises québécoises devront prendre action. Nous porterons surtout notre attention sur les changements apportés à la Loi sur la protection des renseignements personnels dans le secteur privé (ci-après, la « LP »).

Afin d’assurer une meilleure compréhension, il importe d’emblée de préciser qu’un renseignement personnel au sens de la LP est « tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l’identifier »[1].

Responsable de la protection des renseignements personnels

Toute personne qui exploite une entreprise est responsable de la protection des renseignements personnels qu’elle détient. Partant de ce principe, la LP prévoit dorénavant qu’au sein de l’entreprise, la personne ayant la plus haute autorité doit veiller à assurer le respect et la mise en œuvre de la Loi. Cette personne exerce la fonction de responsable de la protection des renseignements personnels. Toutefois, elle peut déléguer cette fonction par écrit, en tout ou en partie, à toute personne[2].

Le titre et les coordonnées du responsable de la protection des renseignements personnels devront être publiés sur le site Internet de l’entreprise ou, si elle n’a pas de site, rendus accessibles par tout autre moyen approprié.

Ainsi, à compter du 22 septembre 2022, votre organisation devra avoir identifié la personne responsable et publié ses coordonnées sur le site Internet de votre organisation.

Incident de confidentialité

Le nouvel article de la Loi sur la protection des renseignements personnels dans le secteur privé[3] tout comme celui de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels[4] définissent un incident de confidentialité comme étant :

• - L’accès non autorisé par la loi à un renseignement personnel;
• - L’utilisation non autorisée par la loi d’un renseignement personnel;
• - La communication non autorisée par la loi d’un renseignement personnel;
• - La perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.

Dans l’éventualité où un tel incident de confidentialité survient et que ce dernier présente un risque qu’un préjudice sérieux soit causé, la personne responsable doit aviser la Commission d’accès à l’information du Québec (ci-après « la Commission ») et la personne dont un renseignement personnel est concerné par l’incident selon les modalités prévues à la Loi[5].

Par ailleurs, la personne qui exploite une entreprise doit tenir, à compter du 22 septembre 2022, un registre des incidents de confidentialité, lequel devra être transmis à la Commission sur demande[6].

Communication de renseignements personnels sans le consentement de la personne concernée

La LMDLPRP vient poser les bases d’un nouvel encadrement de la communication de renseignements personnels sans le consentement de la personne concernée.

À cet égard, la communication d’un renseignement personnel qui est nécessaire aux fins de la conclusion d’une transaction commerciale pourra, à condition de respecter plusieurs modalités, être faite sans le consentement de la personne concernée[7].

Par ailleurs, cette communication pourra également se faire sans le consentement de la personne concernée si cela est pour des fins d’études, de recherche ou de productions statistiques, le tout sous réserve des modalités strictes imposées par la Loi[8].

Mesures biométriques

La LMDLPRP vient apporter des modifications à la Loi concernant le cadre juridique des technologies de l’information[9].

Avant de poursuivre, il importe de mentionner que la Commission précise que « la biométrie permet d’identifier une personne grâce à ses caractéristiques uniques (corporelles, comportementales ou biologiques). Le plus souvent, les systèmes biométriques se fondent sur les empreintes digitales, la forme de la main, la forme du visage (reconnaissance faciale) ou la voix »[10].

À compter du 22 septembre 2022, la création d’une banque de caractéristiques ou de mesures biométriques devra être divulguée à la Commission au plus tard 60 jours avant sa mise en service[11]. De plus, il sera dorénavant requis de divulguer à la Commission que la vérification ou la confirmation d’identité d’une personne sera faite au moyen de caractéristiques ou de mesures biométriques[12].

Par conséquent, si votre entreprise utilise un système d’enregistrement des heures de travail à l’aide des empreintes de doigts ou encore si vos employés doivent déverrouiller leur ordinateur de travail à l’aide de la reconnaissance faciale, vous devrez en informer la Commission.

La présent article a mis en relief les quelques actions que les entreprises québécoises devront avoir posé d’ici l’entrée en vigueur de la première série de modifications apportées par la LMDLPRP au cours des prochaines semaines.

Notre équipe est évidemment disponible afin de répondre à vos questions et vous aider à naviguer à travers les nouvelles obligations qui incomberont à votre entreprise, que ce soit de manière générale ou plus spécifique.

Nous continuerons également à suivre les prochaines modifications qui entreront en vigueur, respectivement en 2023 et en 2024.