NOUVELLES OBLIGATIONS EN MATIÈRE DE PROTECTION DE RENSEIGNEMENTS PERSONNELS POUR LES ENTREPRISES
Le 21 septembre 2021, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, nommée Loi 25, a été sanctionnée. La présente expertise offre un aperçu général des modifications apportées à la Loi sur la protection des renseignements personnels dans le secteur privée ainsi que la date d’entrée en vigueur de ces nouvelles obligations.
22 SEPTEMBRE 2022
Nomination d’un responsable de la protection des renseignements personnels
Toute entreprise québécoise est responsable de la protection des renseignements personnels qu’elle détient. Ainsi, et par défaut, la personne ayant la plus haute autorité au sein de l’entreprise se voit attribuer automatiquement le titre de responsable à la protection des renseignements personnels. Toutefois, ce rôle peut être délégué, par écrit, à un membre du personnel ou un tiers. La Loi 25 ne prévoit pas les qualifications particulières que doit détenir le responsable.
Pour être conforme à cette exigence, il faut :
- Déterminer si l’entreprise possède l’expertise nécessaire à l’interne, si elle doit recruter une personne pour cette fonction ou faire affaires avec un tiers.
- Établir le rôle et les responsabilités du responsable, certaines étant déjà prévues à savoir :
- Approuver les pratique et politiques en matière de protection;
- Participer aux évaluations des facteurs relatifs à la vie privée (EFVP);
- Prendre part à l’évaluation du préjudice causé par un incident de confidentialité;
- Désigner le responsable et publier son titre ainsi que ses coordonnées sur le site internet.
Signalement obligatoire des incidents relatifs à la confidentialité
L’entreprise qui a des motifs de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel qu’elle détient doit prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature se produisent. Si l’incident présente un risque qu’un préjudice sérieux soit causé, l’entreprise doit, avec diligence, aviser la Commission d’accès à l’information ainsi que toute personne dont un renseignement personnel est concerné par l’incident.
Pour être conforme à cette exigence, il faut :
- Définir une structure organisationnelle prévoyant des rôles et responsabilités liés à la prévention, la gestion et les réponses aux incidents;
- Élaborer ou mettre en jour la politique de gestion des incidents de l’entreprise de manière à inclure les nouvelles obligations;
- Réviser les contrats avec les fournisseurs de service afin d’y inclure les nouvelles obligations de notification des incidents;
- Tenir un registre au sein de l’entreprise de tous les incidents de confidentialité.
Communication et utilisation de renseignements personnels sans le consentement de la personne concernée à des fins d’étude, de recherche ou de production de statistiques et à des fins de transactions commerciales
Les entreprises peuvent maintenant communiquer des renseignements personnels, sans le consentement des personnes concernées, à une personne ou un organisme qui souhaite utiliser ces données à des fins d’études, de recherche ou de production de statistiques. Avant de communiquer les renseignements, l’entreprise est soumise à certaines exigences : réaliser une évaluation des facteurs relatifs à la vie privée (EFVP), effectuer une présentation détaillée des activités de recherche, convenir d’une entente écrite relative au partage des données et transmettre l’entente à la Commission d’accès à l’information pour qu’elle en soit informée.
De plus, l’entreprise peut utiliser, à l’interne et sans formalité, des renseignements personnels à des fins d’études, de recherche ou de production de statistiques si cela est fait à des fins compatibles avec les fins initiales de la collecte ou si les renseignements sont dépersonnalisés.
Il faut aussi noter que la communication de renseignements personnels dans le cadre d’une transaction commerciale fait également exception à l’exigence du consentement. En effet, une entreprise peut communiquer un renseignement personnel qui est nécessaire aux fins de la conclusion d’une transaction commerciale, sans le consentement de la personne concernée, à l’autre partie de la transaction.
Pour être conforme à cette exigence, il faut :
- Réviser les politiques de confidentialité et formulaires de consentement afin d’y inclure ses exceptions.
- Mettre en place des procédures pour les projets de recherche et pour les transactions commerciales en intégrant les nouvelles obligations.
Divulgation préalable à Commission de l’accès à l’information la vérification d’identité faite au moyen de mesures biométriques
Avant de mettre en service une banque de caractéristiques ou de mesures biométriques, l’entreprise doit divulguer son intention à la Commission de l’accès à l’information au plus tard 60 jours avant sa mise en service. Il est également obligatoire d’aviser la Commission avant d’utiliser des techniques de vérification ou de confirmation d’identité basée sur des mesures ou caractéristiques biométriques. Ces données sont considérées comme des renseignements personnels sensibles. Ainsi, sans une telle déclaration à la Commission de l’accès à l’information et le consentement exprès des individus, nul ne pourra faire usage de technologies biométriques.
Pour être conforme à l’exigence, il faut :
- Mettre en place une directive sur l’utilisation de systèmes biométriques de manière à y prévoir les obligations mentionnées.
- Faire une évaluation des facteurs relatifs à la vie privée préalablement à tout projet impliquant des données biométriques.
22 SEPTEMBRE 2023
Établissement et mise en place de politiques et pratiques en matière de protection des renseignements personnels
Puisque les entreprises ont la responsabilité d’assurer la protection des renseignements personnels qu’elles détiennent, des politiques et pratiques encadrant la gouvernance à l’égard des renseignements personnels doivent être établies et mises en œuvre. Elles doivent être proportionnées à la nature et à l’importance des activités de l’entreprise. Les politiques doivent également être approuvées par le responsable de la protection des données.
Pour être conforme à cette exigence, il faut :
- Mettre à jour ou établir des politiques et des pratiques qui encadrent la gouvernance des entreprises à l’égard des renseignements personnels qui doivent notamment prévoir :
- Les règles applicables à la conservation et à la destruction des renseignements personnels;
- Les rôles et les responsabilités des membres du personnel tout au long du cycle de vie des renseignements personnels;
- Un processus de traitement des plaintes relatives à la protection des renseignements personnels;
- Publier des informations détaillées en termes simples et clairs au sujet des politiques et pratiques sur le site web de l’entreprise
- Créer un programme de formation pour les employés qui gèrent et/ou ont accès à des renseignements personnels;
- Prévoir la destruction des renseignements personnels lorsque la finalité de leur collecte est accomplie ou les anonymiser pour les utiliser à des fins sérieuses et légitimes.
Respect des nouvelles obligations de transparence
Les entreprises doivent dorénavant, lors de la collecte de renseignements personnels, informer la personne concernée des fins auxquelles ces renseignements sont recueillis, des moyens pour les obtenir ainsi que des droits d’accès, de rectification et de retrait du consentement. De plus, si la situation s’applique, l’entreprise doit informer la personne concernée du nom du tiers pour qui la collecte est effectuée, de la catégorie des tiers à qui l’information doit être transmise ou la possibilité que les renseignements personnels soient communiqués à l’extérieur du Québec. Sur demande, l’entreprise doit également informer la personne concernée des renseignements personnels recueillis, de la catégorie d’employés qui ont accès aux renseignements, de la durée de conservation des renseignements et des coordonnées du responsable de la protection des renseignements personnels. Toutes ces informations doivent être transmises en termes simples et clairs.
Il faut noter que l’entreprise qui recueille des renseignements personnels auprès d’une personne en ayant recours à une technologie comprenant des fonctions permettant de l’identifier, de la localiser ou d’effectuer un profilage a des obligations d’information supplémentaires. Elle doit informer la personne concernée du recours à une telle technologie ainsi que des moyens offerts pour activer les fonctions permettant d’identifier, de localiser ou d’effectuer le profilage. De plus, une certaine particularité existe pour les renseignements obtenus par des moyens technologiques. En effet, si tel est le cas, une politique de confidentialité liée à ce type de collecte doit être publiée sur le site web de l’entreprise. Enfin, si la collecte de renseignements personnels fait l’objet d’une décision fondée exclusivement sur un traitement automatisé, la personne concernée doit être informée sur demande des renseignements personnels utilisés pour rendre la décision, des raisons ainsi que des principaux facteurs ayant menés à la décision et du droit de demander la révision de la décision.
Pour être conforme à cette exigence, il faut :
- Établir et publier les politiques et procédures de confidentialité suivantes :
- Une politique et une procédure concernant les informations qui doivent être transmises lors de la collecte de renseignements personnels;
- Une politique et une procédure concernant les informations qui doivent être transmises sur demande;
- Une politique et une procédure concernant la collecte d’information permettant d’identifier, de localiser ou de profiler les personnes concernées;
- Une politique et une procédure concernant la collecte de renseignements personnels par des moyens technologiques;
- Une politique et une procédure concernant la divulgation d’information lorsqu’une entreprise prend des décisions fondées uniquement sur le traitement automatisé des renseignements personnels.
Réalisation d’une évaluation des facteurs relatifs à la vie privée
Il est désormais obligatoire de réaliser une évaluation des facteurs relatifs à la vie privée (EFVP) avant tout projet d’acquisition, de développement ou de refonte de systèmes d’information ou de prestation électronique de services impliquant le traitement de renseignements personnels. Il faut savoir que cette exigence n’a pas une portée rétroactive, c’est-à-dire qu’elle s’applique uniquement aux nouveaux projets. Enfin, l’envergure de l’EFVP doit être adaptée à l’impact du projet sur la vie privée des individus.
Pour être conforme à cette exigence, il faut :
- Concevoir une procédure d’EFVP qui :
- Définit les critères déclenchant l’obligation d’effectuer l’évaluation;
- Définit le processus pour s’assurer que les projets qui requièrent une évaluation soient identifié dès le début du projet.
- Communiquer la procédure au sein de l’entreprise;
- Développer un modèle simple à utiliser pour la réalisation de l’EFVP.
- Communiquer la procédure au sein de l’entreprise;
Application des nouvelles règles relativement au consentement
Les entreprises doivent se conformer aux formes et aux critères de validité du consentement. Pour ce qui est de la forme du consentement, celui-ci peut être implicite si les renseignements personnels sont utilisés à des fins énoncées dans la politique de confidentialité de l’entreprise. Il existe aussi certaines exceptions prévues spécifiquement dans la loi 25.
Toutefois, si l’entreprise souhaite utiliser le renseignement personnel à une nouvelle fin ou le communiquer à un tiers, la personne concernée doit consentir. Le consentement doit obligatoirement être exprès dès qu’il s’agit d’un renseignement personnel sensible. Ensuite, pour ce qui est de la validité du consentement, de façon générale, il doit être manifeste, libre, éclairé et donné à des fins spécifiques. Il doit être demandé en termes simples et clairs. De plus, s’il doit être demandé par écrit, cette demande de consentement doit être présentée de manière distincte aux autres informations présentées à la personne concernée.
Concernant le consentement du mineur de moins de 14 ans, il est donné par le titulaire de l’autorité parental ou par tuteur. Dans le cas d’un mineur de 14 ans et plus, le consentement peut être également donné par le mineur lui-même.
À propos des renseignements d’une personne décédé, l’entreprise peut les divulguer si cela a pour but d’aider un proche dans son processus de deuil.
Pour être conforme à cette exigence, il faut :
- Faire l’inventaire des renseignements personnels collectés, utilisés et partagés par l’entreprise.
- Mettre à jour la politique de classification ou de catégorisation de l’entreprise.
- Créer des formulaires de consentement.
- Mettre en place un processus afin d’assister et d’aider un individu à comprendre la portée de son consentement.
Cas d’exception à la nécessité du consentement
Dans certaines situations, l’entreprise peut faire exception à l’exigence du consentement pour utiliser les renseignements personnels d’une personne. D’abord, le consentement n’est pas nécessaire pour les données personnelles concernant l’exercice par l’individu d’une fonction au sein d’une entreprise. Ce type de données, nommé aussi des coordonnées d’affaires, inclut le nom, le titre, la fonction, l’adresse civique, l’adresse courriel et le numéro de téléphone du milieu de travail d’une personne. De plus, certaines circonstances permettent à l’entreprise d’utiliser des renseignements personnels pour d’autres fins que celles pour lesquelles ils ont initialement été collectés sans le consentement. Cette exception s’applique lorsque l’utilisation des données est nécessaire pour des fins d’affaires ou lorsque l’utilisation est clairement dans l’intérêt de la personne concernée. Finalement, l’entreprise n’a pas besoin du consentement de la personne concernée lorsque les renseignements personnels sont communiqués à la suite de l’exercice d’un mandat ou à l’exécution d’un contrat de service ou d’entreprise.
Mise en place du plus haut niveau de confidentialité par défaut
Les entreprises qui recueillent des renseignements personnels en offrant au public un produit ou un service technologique assorti de paramètres de confidentialité doivent s’assurer qu’elles offrent par défaut le plus haut niveau de confidentialité sans aucune intervention supplémentaire de la personne. Cette exigence ne s’applique pas aux témoins de connexions (cookies) et aux produits et services destinés uniquement aux employés.
Pour être conforme à cette exigence, il faut :
- Identifier les produits ou services technologiques de l’entreprise offerts au public qui recueillent des renseignements personnels et qui comportent des paramètres de confidentialité.
- Déterminer si ces paramètres de confidentialité doivent être ajustés pour se conformer aux exigences par défaut.
Respect des nouvelles règles de communication des renseignements personnels à l’extérieur du Québec
Les entreprises doivent procéder à une évaluation des facteurs relatifs à la vie privée (EFVP) avant de procéder à la communication de renseignements personnels à l’extérieur du Québec. La communication peut s’effectuer si l’évaluation démontre que les renseignements bénéficieraient d’une protection adéquate. La communication doit faire l’objet d’une entente écrite avec le tiers qui tient compte notamment des résultats de l’évaluation et, le cas échéant, des modalités convenues dans le but d’atténuer les risques identifiés dans le cadre de cette évaluation.
Pour se conformer à l’exigence, il faut :
- Réviser la politique de confidentialité de l’entreprise pour préciser que les renseignements personnels pourront être communiqués à l’extérieur du Québec.
- Compléter le modèle d’EFVP pour évaluer les risques associés à la communication de renseignements personnels hors du Québec.
Le droit à l’oubli
La personne concernée par un renseignement personnel peut exiger qu’une entreprise cesse la diffusion de ce renseignement ou que soit désindexé tout hyperlien rattaché à son nom permettant d’accéder à ce renseignement par un moyen technologique si la diffusion du renseignement contrevient à la loi 25 ou à une ordonnance de la cour.
22 SEPTEMBRE 2024
Réponses aux demandes de portabilité des renseignements personnels
Si la personne concernée le demande, les entreprises ont l’obligation de lui communiquer, dans un format technologique structuré et couramment utilisé, un renseignement personnel informatisé recueilli auprès d’elle. Cette communication peut aussi être faite à une personne ou à un organisme autorisé à recueillir le renseignement, à la demande de la personne concernée. Cette nouvelle disposition a pour but de favoriser la réutilisation des données dans un contexte de concurrence.
*****
L’équipe de Bernier Fournier est disponible pour vous conseiller et vous accompagner dans les différentes étapes nécessaires afin que votre entreprise se conforme aux nouvelles exigences de la Loi 25.