Loi 25

Depuis le 22 septembre 2022, certaines dispositions de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (la « Loi 25 ») sont entrées en vigueur au Québec. D’autres dispositions de cette loi sont entrées en vigueur le 22 septembre 2023, et d’autres n’entreront en vigueur que le 22 septembre 2024.

Les dispositions de cette législation modifient et modernisent le cadre juridique québécois applicable au traitement et à la protection des renseignements personnels, notamment en modifiant la Loi sur la protection des renseignements personnels dans le secteur privé (la « Loi sur le privé »).

La Loi sur le privé s’applique au traitement des renseignements personnels que recueille, utilise ou traite une entreprise au Québec et vise à protéger ces renseignements détenus par les entreprises. Un « renseignement personnel » est un renseignement portant sur une personne physique et permettant de l’identifier.

Consentement

Un renseignement personnel est un renseignement confidentiel. En règle générale, un tel renseignement ne peut être divulgué ou communiqué sans le consentement préalable de la personne concernée, sauf en cas d’exception prévue par la loi.

Parmi les exceptions prévues par la loi, on retrouve notamment les situations d’urgence mettant la vie, la santé ou la sécurité d’une personne en danger, ou encore lorsque le but de la communication est de prévenir un acte de violence, dont un suicide par exemple.

Une autre des exceptions prévues par la loi concerne également les situations où l’accès à un renseignement de nature personnelle est demandé par écrit à des fins d’étude, de recherche ou de production de statistiques ou aux fins de la conclusion d’une transaction commerciale.

Pour chacune de ces exceptions, des conditions doivent être remplies afin de pouvoir se prévaloir de l’exception.

Pour plus de renseignements sur l’ensemble des exceptions et les conditions à remplir en lien avec celles-ci, n’hésitez pas à communiquer avec notre équipe juridique.

Nouvelles obligations de la Loi 25

Tel que susmentionné, la Loi 25 modifie la Loi sur le privé en prévoyant de nouvelles obligations rendant plus rigide le cadre juridique applicable au traitement des renseignements personnels recueillis par les entreprises.

Ces nouvelles obligations entrent en vigueur de manière progressive au Québec, faisant en sorte que certaines de ces nouvelles obligations sont d’ores et déjà en vigueur, alors que d’autres entreront en vigueur en septembre 2024. Le présent article porte plus spécifiquement sur les nouvelles obligations entrées en vigueur en date du 22 septembre 2022. Un prochain article portera sur les nouvelles obligations entrées en vigueur tout récemment, soit en date du 22 septembre 2023.

Responsable de la protection des renseignements personnels

L’une des nouvelles obligations principales entrées en vigueur depuis septembre 2022 est celle pour une entreprise de publier sur son site internet, ou par tout autre moyen appropriée si elle n’a pas de site internet, le titre et les coordonnées d’un Responsable de la protection des renseignements personnels (« RPRP »). Par défaut, la personne ayant la plus haute autorité au sein de l’entreprise exercera la fonction de RPRP, à moins de déléguer cette fonction, par écrit, à toute autre personne.

Registre des incidents de confidentialité

Les entreprises doivent également tenir un Registre des incidents de confidentialité (le « Registre »). Dans ce Registre seront colligés tous les incidents de confidentialité impliquant des renseignements personnels recueillis par l’entreprise (les « Incidents »). Une copie de ce Registre doit être transmise à la Commission de l’accès à l’information du Québec (la « Commission »), organisme chargé de la mise en œuvre et de l’application de la Loi 25, sur demande de la Commission.

Constitue un Incident pour les fins de la loi :

  1. l’accès non autorisé par la loi à un renseignement personnel;
  2. l’utilisation non autorisée par la loi d’un renseignement personnel;
  3. la communication non autorisée par la loi d’un renseignement personnel;
  4. la perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.

Si l’Incident présente un risque de préjudice sérieux, la Commission ainsi que toute personne concernée doivent être avisés avec diligence. L’entreprise devra également prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé aux personnes concernées.

Relativement à tout Incident, le Registre doit contenir les éléments suivants :

  • Une description des renseignements personnels visés par l’Incident ;
  • Une description des circonstances de l’Incident ;
  • La date ou la période où (i) l’Incident a eu lieu, et où (ii) l’entreprise a pris connaissance de l’Incident ;
  • Le nombre de personnes concernées par l’Incident ;
  • Une description des éléments qui amènent l’entreprise à conclure qu’il y a, ou non, risque qu’un préjudice sérieux soit causé aux personnes concernées, comme :
    • la sensibilité des renseignements personnels concernés;
    • les utilisations malveillantes possibles des renseignements;
    • les conséquences appréhendées de l’utilisation des renseignements et la probabilité qu’ils soient utilisés à des fins préjudiciables;
  • Les dates de transmission des avis à la Commission et aux personnes concernées, quand l’Incident présente un risque de préjudice sérieux. L’entreprise doit aussi préciser si elle a donné des avis publics et la raison de ceux-ci ;
  • Une brève description des mesures prises par l’entreprise à la suite de l’incident, pour diminuer les risques qu’un préjudice soit causé.

Évaluation des facteurs relatifs à la vie privée

Les nouvelles obligations stipulées à la Loi 25 prévoient l’obligation de procéder à une évaluation des facteurs reliés à la vie privée (« ÉFVP ») dans certaines situations. À titre d’exemple, l’une de ces situations, en lien avec laquelle une ÉFVP est obligatoire depuis septembre 2022 et qui est traitée plus spécifiquement ci-dessous, concerne la communication de renseignements personnels sans le consentement de la personne concernée à des fins d’étude, de recherche ou de productions de statistiques.

Une ÉFVP est une analyse que doit effectuer une entreprise à qui un tiers demande une communication de renseignements personnels, et qui vise à assurer la protection des renseignements personnels et le respect de la vie privée des personnes physiques. Cette analyse doit considérer les facteurs et les conséquences positives et négatives sur le respect de la vie privée des personnes concernées en cas d’acquiescement à la demande de communication, notamment en évaluant les risques d’atteinte à la vie privée et leurs conséquences et en mettant en place des mesures et stratégies pour éviter la réalisation de ces risques.

L’ÉFVP vise à confirmer que les conditions à remplir pour communiquer les renseignements sans consentement sont respectés, à savoir que :

  1. L’objectif poursuivi peut être atteint uniquement si les renseignements personnels sont communiqués ;

    Si l’objectif peut être atteint en utilisant des renseignements anonymisés, la communication de renseignements personnels ne sera pas justifiée et donc pas permise. Un renseignement anonymisé est un renseignement ne permettant pas d’identifier directement ou indirectement une personne.

    Aussi, si l’objectif peut être réalisé en utilisant des renseignements dépersonnalisés, alors seuls les renseignements dépersonnalisés pourront être communiqués. Un renseignement dépersonnalisé est un renseignement qui ne permet pas d’identifier directement la personne concernée.

  2. Exiger du chercheur d’obtenir le consentement des personnes concernées serait déraisonnable ;

    À titre d’exemple, il sera considéré déraisonnable d’exiger d’un chercheur d’obtenir le consentement de milliers de personnes dont les adresses sont inconnues ou pas à jour, ou encore si les personnes concernées sont inaptes à consentir ou encore décédées.

  3. L’objectif poursuivi l’emporte sur l’impact de la communication/utilisation des renseignements personnels sur la vie privée des personnes concernées ;

    Ce critère vise à pondérer l’objectif poursuivi par la recherche pour l’intérêt public avec les conséquences de la communication des renseignements personnels requis sur la vie privée des personnes concernées. L’entreprise doit alors se questionner sur l’objectif visé et ses bénéfices pour la société d’un côté, et l’impact que leur communication pourra avoir. Plus les renseignements sont sensibles, et plus il sera considéré que les conséquences de leur communication sont grandes.

  4. Les renseignements personnels sont utilisés de manière à en assurer la confidentialité ;

    L’entreprise doit s’assurer que l’utilisation projetée des renseignements personnels permet d’en assurer la confidentialité, et que ces renseignements personnels bénéficieront de mesures de protection permettant de les sauvegarder lors de leur communication et à toutes les étapes de la recherche. Cette analyse doit tenir compte notamment de la sensibilité et de la quantité des renseignements personnels visés.

  5. Seuls les renseignements nécessaires sont communiqués.   

L’entreprise devra s’assurer qu’elle ne communique au chercheur que les renseignements personnels  nécessaires à l’atteinte de son objectif.

La teneur de l’ÉFVP devra être proportionnelle à la sensibilité des renseignements concernés, la finalité de leur utilisation, leur quantité, leur répartition et leur support. Plus la demande concerne de l’information plus sensible (données médicales par exemple) ou un nombre élevé de personnes, plus l’ÉFVP devra être poussée.

Communication sans consentement

Tel que susmentionné, il est possible pour une entreprise, dans certaines situations et suivant certaines conditions, de communiquer des renseignements personnels sans le consentement de la personne concernée.

Parmi ces exceptions, il y a la communication de renseignements personnels (i) à des fins d’étude, de recherche ou de productions de statistiques ou (ii) dans le cadre d’une transaction commerciale. Depuis septembre 2022, de nouvelles règles entourant ces exceptions sont entrées en vigueur.

En effet, suite à une demande formulée par écrit pour accéder à un renseignement personnel à des fins d’étude, de recherche ou de production de statistiques, une entreprise privée peut acquiescer à la demande et communiquer ces renseignements sans consentement. Il s’agit d’un pouvoir discrétionnaire de l’entreprise qui peut refuser de communiquer les renseignements personnels demandés. Le chercheur présentant une telle demande devra notamment présenter les motifs justifiant sa demande et la façon dont seront utilisés les renseignements après leur communication. Cette communication devra toutefois faire d’abord l’objet d’une ÉFVP par l’entreprise sollicitée. Si suite à l’ÉFVP, l’entreprise accepte la demande, une entente devra être conclue et une copie de celle-ci devra être communiquée à la Commission, accompagnée d’un rapport d’ÉFVP contenant l’analyse réalisée dans le cadre de l’évaluation. Trente (30) jours suivant la réception de l’entente et du rapport par la Commission, l’entente entrera en vigueur et la communication pourra avoir lieu, à moins que la Commission indique autrement.

Dans le cadre d’une transaction commerciale, il peut être nécessaire aux fins de la conclusion de ladite transaction de communiquer des renseignements de nature personnelle à la partie co-contractante, dans le cadre d’une vérification diligente par exemple. Pour pouvoir procéder à une telle communication sans consentement, l’entreprise devra signer une entente avec l’autre partie dans laquelle cette dernière s’engage à (i) n’utiliser le renseignement que dans le but de conclure la transaction commerciale, (ii) ne pas communiquer le renseignement sans le consentement de la personne concernée, (iii) prendre les mesures nécessaires pour assurer la protection de la confidentialité du renseignement, et (iv) détruire le renseignement si la transaction commerciale n’est pas conclue ou si l’utilisation de celui-ci n’est plus nécessaire aux fins de sa conclusion.

Biométrie

Si une entreprise entend utiliser la biométrie pour vérifier ou confirmer l’identité de personnes ou pour créer une banque de caractéristiques ou de mesures biométriques, elle doit en aviser la Commission au préalable.

La biométrie concerne les traits permettant l’identification d’une personne suivant notamment ses traits physiques particuliers, tel que les empreintes digitales par exemple, sa voix, son ADN, son sang, sa salive, son urine, etc.

Ces renseignements, permettant d’identifier une personne, sont considérés comme des renseignements personnels et bénéficient donc de la protection de la loi.

Une entreprise ne peut vérifier ou confirmer l’identité d’une personne au moyen d’un procédé permettant de saisir des caractéristiques ou mesures biométriques sans l’avoir divulgué préalablement à la Commission et sans le consentement exprès de la personne concernée.

Dans le cas où l’entreprise souhaite créer une banque de caractéristiques ou de mesures biométriques, la divulgation à la Commission devra se faire au moins soixante (60) jours avant la mise en service d’une telle banque de caractéristiques ou mesures biométriques.

Êtes-vous conformes ?

Tel que susmentionné, les obligations mentionnées ci-dessus sont déjà en vigueur au Québec depuis plus d’un an ! Êtes-vous conformes à celles-ci ?

Si vous avez besoin d’assistance pour analyser votre conformité, les membres de notre équipe juridique sont disponibles pour vous assister et vous accompagner dans votre analyse et pour répondre à vos questions.