Protection des renseignements personnels au Québec : l’impact d’une réforme d’envergure sur votre réseau de franchises

Depuis plusieurs mois maintenant, les enjeux liés à la protection des renseignements personnels prennent une ampleur sans cesse grandissante dans l’ensemble des pays industrialisés, notamment en raison de sérieux questionnements soulevés par les pratiques de grands réseaux sociaux et de scandales découlant de la perte ou du vol d’énormes quantités de renseignements personnels.

Dans ce contexte, plusieurs gouvernements européens et nord-américains ont adopté de nouvelles lois beaucoup plus exhaustives et contraignantes qu’auparavant afin de mieux protéger les renseignements personnels.

Au Québec, ceci s’est traduit par le dépôt, le 12 juin dernier, du Projet de loi n°64 intitulé « Loi modernisant des dispositions législatives en matière de protection des renseignements personnels » (le « Projet de loi 64 »).

Le Projet de loi 64 réforme les obligations incombant aux organismes publics et aux entreprises du secteur privé en matière de protection des renseignements personnels. Il impose de nouvelles obligations beaucoup plus contraignantes notamment aux entreprises québécoises, dont les franchiseurs et les franchisés, tout en augmentant significativement les pouvoirs de la Commission d'accès à l'information (« CAI »).

Ces nouvelles dispositions auront donc un impact important sur l’ensemble des réseaux de franchises en exploitation au Québec.

En effet, tous les franchiseurs détiennent des renseignements personnels sur leurs franchisés, sur les administrateurs, dirigeants, associés et actionnaires de leurs franchisés, sur les employés de leurs franchisés, sur leurs propres employés et, souvent, sur les clients de leurs réseaux de franchises.

Aussi, tous les franchisés détiennent également des renseignements personnels sur leurs employés et, souvent aussi, sur leurs clients.

Enfin, il arrive souvent que des renseignements personnels soient divulgués, et échangés, de diverses manières (souvent par moyens électroniques) entre chaque franchisé et son franchiseur et, aussi, entre des franchisés. À cet égard, il est important de se souvenir que chaque franchisé constitue, sur le plan légal, une entreprise distincte du franchiseur et de tout autre franchisé.

Ainsi, le franchiseur et chacun de ses franchisés sont tous tenus de respecter les dispositions de la Loi sur la protection des renseignements personnels dans le secteur privé, comprenant, dès leur entrée en vigueur, les dispositions du Projet de loi 64.

En plus de l'augmentation des sanctions en cas de contravention qui, à compter de l’entrée en vigueur du Projet de loi 64, pourront aller jusqu'à 25 000 000 $, voici un sommaire de quelques changements importants faisant l’objet du Projet de loi 64 qui auront un impact sur les franchiseurs et les franchisés : 

• L'obligation d'adopter des règles de gouvernance relatives à la protection des renseignements personnels;
• L'obligation, autant pour le franchiseur que pour chacun de ses franchisés, de nommer un responsable de la protection des renseignements personnels;
• L'exigence que le consentement à la collecte, à utilisation ou à la communication des renseignements personnels soit demandé de façon distincte à toutes autres informations communiquées aux individus;
•  L'obligation de transmettre une plus grande quantité d'informations aux personnes concernées lors de la collecte de leurs renseignements personnels;
• Un encadrement des communications de renseignements personnels dans le cadre d'un contrat de service ou d'entreprise;
• Des modifications aux exigences permettant de communiquer des renseignements personnels à l'extérieur du Québec;
• L'obligation de détruire ou d'anonymiser les renseignements personnels lorsque les objectifs pour lesquels ils ont été collectés sont atteints;
• L'obligation de procéder à une évaluation des facteurs relatifs à la vie privée pour tout projet de système d'information ou de prestation électronique de services (par exemple, de vente ou livraison de biens ou de prestation de services) impliquant la collecte, l'utilisation, la communication, la conservation ou la destruction de renseignements personnels;
• L'obligation que les paramètres des produits et des services technologiques offerts assurent, par défaut, le plus haut niveau de protection de la vie privée sans aucune intervention de la personne concernée;
• L'encadrement applicable aux renseignements personnels utilisés lors de la prise de décisions automatisées, notamment en mentionnant les informations à transmettre à la personne concernée par la décision;
• Le retrait de la possibilité de communiquer des listes nominatives sans le consentement des personnes concernées et l'ajout d'un droit d'opposition à l'utilisation des renseignements personnels à des fins de prospection commerciale ou philanthropique;
• L'obligation d'information à l'égard des mécanismes de localisation, de surveillance ou de profilage;
• La possibilité d'utiliser des renseignements dépersonnalisés à des fins d'étude, de recherche ou de statistique;
• L'ajout du droit à l'effacement de ses renseignements personnels;
• Le droit des individus à la portabilité des données; c'est-à-dire le droit des individus d'obtenir les renseignements personnels qu'ils ont fournis à une organisation sur un support technologique structuré et couramment utilisé. Sur demande de cet individu, ces renseignements devront être communiqués à toute autre personne ou tout organisme;
• L'obligation de traiter de façon transparente les « incidents de confidentialité », de laquelle découle une obligation de signalement;
• Une protection pour les employés dénonçant une infraction aux dispositions des lois sur la protection des renseignements personnels;
• L'attribution de pouvoirs à la CAI lui permettant notamment d'imposer des sanctions administratives pécuniaires aux entreprises assujetties à la Loi sur la protection des renseignements personnels dans le secteur privé pouvant aller jusqu'à 10 000 000 $ ou 2 % du chiffre d'affaires mondial si ce montant est plus élevé.

Le Projet de loi 64 comporte aussi plusieurs autres dispositions touchant l’ensemble des organismes publics, des entreprises privées et des partis politiques.

Bien que plusieurs mois nous séparent encore de l’entrée en vigueur du Projet de loi 64, il serait prudent de commencer dès maintenant à vous y préparer.

Pour un franchiseur, ceci signifie notamment :

1. Faire réviser, par un avocat expérimenté en matière de protection des renseignements personnels, sa convention de franchise et ses autres contrats afin de s’assurer que ceux-ci soient conformes à cette nouvelle législation et qu’ils comportent, de la part des franchisés, les engagements nécessaires pour que ceux-ci la respectent;
2. Réviser, autant pour lui-même que pour ses franchisés et pour l’ensemble de son réseau de franchises, (i) les pratiques et processus en matière d’obtention, de détention, de préservation, de gestion, de communication, de conservation et de destruction de renseignements personnels, (ii) son manuel d’exploitation, (iii) les outils informatiques et technologiques, (iv) les sites internet, et (v) les ententes avec ses fournisseurs (notamment ses fournisseurs de services technologiques et financiers), afin d’y apporter, en temps opportun, les changements nécessaires pour se conformer, et pour que ses franchisés se conforment, à cette nouvelle législation;
3. Préparer et mettre en place les normes, les règles (dont les règles de gouvernance) et les directives, ainsi que les outils d’information et de formation, nécessaires pour informer, former et guider ses franchisés afin de leur permettre de bien respecter cette nouvelle législation dès le moment de son entrée en vigueur.

Ceci est d’autant plus important que, en plus de vous exposer, vous et vos franchisés, aux sanctions extrêmement sévères prévues au Projet de loi 64, une contravention aux lois et aux règlements régissant la protection des renseignements personnels peut aussi exposer votre réseau à de graves conséquences médiatiques et auprès de votre clientèle.

L’image de marque d’un réseau de franchises est souvent son actif le plus précieux et cette réforme crée un risque important que celle-ci soit attaquée s’il y a contravention au nouveau cadre juridique. Lorsque c’est le franchiseur qui fournit au réseau les plateformes informatiques servant à traiter les renseignements personnels ou qu’il les traite lui-même, il faut d’autant plus qu’il adopte une approche proactive puisque son intervention peut être au cœur de ces enjeux. Le franchiseur aurait déjà intérêt à interpeller ses fournisseurs informatiques afin de déterminer si leur offre est conforme, ou, si elle ne l’est pas, obtenir des engagements clairs afin de la rendre conforme en temps utile.

Pour vous tenir informés sur le Projet de loi 64 et sur l’importante réforme des lois québécoises sur la protection des renseignements personnels, l'équipe Protection de la vie privée de Fasken a mis en ligne, et tient à jour, un Centre de ressources | Projet de loi 64 et la réforme des lois québécoises sur la protection des renseignements personnels. L'équipe Protection de la vie privée y publie aussi des mises à jour périodiques sur l'évolution du Projet de loi 64, incluant également des analyses approfondies des différentes propositions.

Nous vous invitons donc à le visiter et à le consulter régulièrement afin de rester à l'affût sur tous les enjeux de protection des renseignements personnels.