Protection des renseignements personnels au Québec : une réforme d’envergure avec du mordant

La ministre de la Justice et ministre responsable des Institutions démocratiques, de la Réforme électorale et de l'Accès à l'information, M^me Sonia LeBel, a déposé aujourd'hui devant l'Assemblée nationale du Québec le Projet de loi n°64, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (le « Projet de loi »).

Le Projet de loi déposé réforme les obligations incombant aux organismes publics et aux entreprises du secteur privé en matière de protection des renseignements personnels. Il est important de prêter une attention toute particulière à ce Projet de loi qui impose de nouvelles obligations notamment aux entreprises québécoises tout en augmentant significativement les pouvoirs de la Commission d'accès à l'information (« CAI »).

En plus de l'assujetissement des partis politiques et de l'augmentation des sanctions pouvant aller jusqu'à 25 000 000 $, voici un inventaire des modifications proposées en date du 12 juin 2020. Notre équipe de Protection de la vie privée fera également des mises à jour périodiques sur les développements relatifs à ce Projet de loi dans les prochaines semaines.

Les modifications concernant les entreprises privées

Le Projet de loi propose plusieurs modifications à la Loi sur la protection des renseignements personnels dans le secteur privé, qui s'appliquent aux entreprises privées. Ces propositions d'amendement prévoient notamment:

• L'obligation de nommer un responsable de la protection des renseignements personnels au sein des organisations; 
• La possibilité de communiquer des renseignements personnels dans le cadre d'une transaction commerciale et l'encadrement de cette communication;
• L'obligation pour les organisations de détruire ou d'anonymiser les renseignements personnels lorsque les objectifs pour lesquels ils ont été collectés sont atteints; 
• Une protection pour les employés dénonçant une infraction aux dispositions des lois sur la protection des renseignements personnels; 
• L'ajout du droit à l'effacement; 
• Le retrait de la possibilité de communiquer des listes nominatives sans le consentement des personnes concernées et l'ajout d'un droit d'opposition à l'utilisation des renseignements personnels à des fins de prospection commerciale ou philanthropique; 
• L'obligation pour les organisations que les paramètres des produits et des services technologiques offerts assurent, par défaut, le plus haut niveau de protection de la vie privée sans aucune intervention de la personne concernée; 
• Une modernisation de l'encadrement des agents de renseignements personnels; notamment par l'ajout d'une obligation pour les organisations d'établir et d'appliquer des modalités d'opérations propres à garantir que les renseignements personnels soient communiqués conformément au consentement de la personne concernée et afin de préciser le délai maximal de conservation des renseignements personnels qu'ils détiennent; 
• L'attribution de pouvoirs à la CAI lui permettant notamment d'imposer des sanctions administratives pécuniaires aux entreprises assujetties à la Loi pouvant aller jusqu'à 10 000 000 $ ou 2 % du chiffre d'affaire mondiale si ce montant est plus élevé;.

Les modifications concernant les organismes publics

Le Projet de loi prévoit certains amendements à la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (la « Loi sur l'accès »).

Ceux-ci prévoient, entre autres, la possibilité pour le Gouvernement du Québec de désigner un organisme pour exercer la fonction de gestion gouvernementale des renseignements personnels afin de faciliter la transformation numérique de l'administration publique au bénéfice du citoyen. Ceci inclut notamment :

• la prestation de services communs, la réalisation de missions communes ou l'accomplissement d'un mandat à portée gouvernementale;
• la vérification de l'admissibilité d'une personne à un programme ou à une mesure; 
• la gestion, la planification, l'évaluation et le contrôle des ressources, des programmes et des services du gouvernement.

Le Projet de loi propose une clarification des dispositions législatives régissant la communication de renseignements personnels par les organismes publics sans le consentement des personnes concernées. 

Enfin, il est proposé d'ajouter à la Loi sur l'accès une obligation pour les organismes publics de mettre en place un comité sur l'accès et la protection des renseignements personnels.

Les modifications communes aux organismes publics, entreprises privées et partis politiques

La ministre Lebel propose également, dans ce Projet de loi, des amendements à la Loi électorale du Québec. Ainsi, plusieurs modifications législatives s'appliquent tant aux entreprises privées, qu'aux organismes publics et partis politiques. Ces propositions d'amendement impliquent, notamment:

• L'obligation pour les organisations de transmettre une plus grande quantité d'informations aux personnes concernées lors de la collecte de leurs renseignements personnels; 
• Le droit des individus à la portabilité des données; c'est-à-dire le droit des individus d'obtenir les renseignements personnels qu'ils ont fournis à une organisation sur un support technologique structuré et couramment utilisé. Sur demande de cet individu, ces renseignements devront être communiqués à toute autre personne ou tout organisme. 
• L'obligation pour les organisations de traiter de façon transparente les « incidents de confidentialité », de laquelle découle une obligation de signalement; 
• L'obligation pour les organisations d'adopter des règles de gouvernance relatives à la protection des renseignements personnels;
• Un encadrement des communications de renseignements personnels dans le cadre d'un contrat de service ou d'entreprise; 
• L'obligation de procéder à une évaluation des facteurs relatifs à la vie privée pour tout projet de système d'information ou de prestation électronique de services impliquant la collecte, l'utilisation, la communication, la conservation ou la destruction de renseignements personnels; 
• Le retrait de l'autorisation préalable de la Commission d'accès à l'information pour la communication de renseignements personnels à des fins de recherche et un encadrement de cette communication; 
• Des modifications aux exigences permettant de communiquer des renseignements personnels à l'extérieur du Québec. 
• L'encadrement applicable aux renseignements personnels utilisés lors de la prise de décisions automatisées, notamment en mentionnant les informations à transmettre à la personne concernée par la décision;
• L'exigence que le consentement à la collecte, à utilisation ou à la communication des renseignements personnels soit demandé de façon distincte à toutes autres informations communiquées aux individus; 
• L'exigence du consentement du titulaire de l'autorité parentale pour la collecte, l'utilisation et la communication des renseignements concernant un enfant de moins de 14 ans;
• La possibilité de communiquer un renseignement personnel au proche parent d'une personne décédée lorsque cette communication est susceptible d'aider le processus de deuil de cette personne; 
• L'obligation d'information à l'égard des mécanismes de localisation, de surveillance ou de profilage; 
• La possibilité d'utiliser des renseignements dépersonnalisés à des fins d'étude, de recherche ou de statistique.

Comme mentionné précédemment, l'équipe Protection de la vie privée publiera des mises à jour périodiques sur l'évolution du Projet de loi, incluant également des analyses approfondies des différentes propositions. Restez donc à l'affût!