Quelle est la portée de la Loi sur la protection des renseignements personnels dans le secteur privé^[1] (la « Loi sur le secteur privé »)?

La Loi sur le secteur privé^[2] s’applique à toute entreprise (au sens du troisième alinéa de l’article 1525 du Code civil du Québec) qui, dans le cadre de ses activités, recueille, utilise, communique ou conserve des renseignements personnels^[3], même dans certains cas, en l’absence d’un établissement au Québec. À l’inverse, elle ne s’appliquera probablement pas à une entreprise située au Québec qui n’y a pas d’employés et qui fait affaire sans traiter de renseignements personnels de Québécois. Il s’agit ultimement d’une question factuelle qui peut nécessiter un avis juridique.

Quelles sont les différences entre la protection des renseignements personnels et la protection des renseignements de santé?

La majorité des provinces au Canada ont des lois particulières sur la protection des renseignements personnels de santé. Au Québec, plusieurs lois générales encadrent les renseignements de santé, dont la Loi sur le secteur privé et la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels^[4] (la « Loi sur l’accès »), lesquelles accordent une protection additionnelle aux renseignements de santé à titre de renseignements personnels dits « sensibles ». Par exemple, la Loi sur le secteur privé prévoit que l’utilisation de renseignements personnels sensibles pour une finalité non déclarée au moment de la collecte doit faire l’objet d’un consentement exprès^[5].

Le 7 décembre 2022, le ministre de la Cybersécurité et du Numérique a déposé le Projet de loi n° 3 Loi sur les renseignements de santé et de services sociaux et modifiant diverses dispositions législatives (le « PL 3 »), visant à créer un régime unifié pour les renseignements de santé détenus par les organismes du secteur de la santé et des services sociaux.

Pour en savoir plus sur le PL 3, consulter notre bulletin Du neuf et du familier : modifications en matière de renseignements de santé.

Qu’est-ce qu’un renseignement personnel?

La Loi 25 définit un renseignement personnel comme tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l’identifier^[6]. Par exemple, un numéro d’identification (tel un numéro d’employé), un nom, une adresse postale, une adresse courriel, des informations bancaires peuvent constituer des renseignements personnels. Certains renseignements personnels sont plus sensibles que d’autres et doivent bénéficier d’une protection accrue en matière de sécurité^[7] et d’obtention du consentement^[8].

À partir du 22 septembre 2023, les renseignements personnels qui concernent l’exercice des fonctions d’une personne au sein d’une entreprise, tel que son nom, son titre et sa fonction, de même que l’adresse, l’adresse courriel et le numéro de téléphone de son lieu de travail seront exclus de l’application des sections sur la collecte de renseignements personnels et sur le caractère confidentiel des renseignements personnels de la Loi sur le secteur privé^[9], en plus des renseignements à caractère public au sens de la loi^[10].

En pratique, quelles mesures sont recommandées dans les municipalités pour se conformer à la Loi 25?

À titre d’organismes publics, les municipalités sont soumises à la Loi sur l’accès^[11]. L’Union des municipalités du Québec (UMQ) a élaboré un guide pour guider certaines municipalités dans la mise en œuvre des obligations de la Loi 25^[12]. La Direction de l’accès à l’information et de la protection des renseignements personnels du ministère du Conseil exécutif du Québec a pour sa part mis en ligne un guide sur les éléments-clés pour la mise en application des obligations de la Loi 25 entrant en vigueur en septembre 2022 pour le secteur municipal^[13].

Quels sont les changements en ce qui concerne les sanctions pour les entreprises?

La Loi 25 introduit des sanctions beaucoup plus importantes pour les entreprises dans la Loi sur le secteur privé. La différence la plus significative concerne les plafonds des amendes. Pour le régime pénal, les amendes ont bondi de quelques dizaines de milliers de dollars à un maximum de 25 millions de dollars ou 4 % du chiffre d’affaires mondial de l’exercice financier précédent, si ce dernier montant est plus élevé^[14].

Parallèlement au régime pénal, la Loi sur le secteur privé a aussi introduit un régime de sanctions administratives pécuniaires (une « SAP ») pour offrir plus de flexibilité à la CAI dans son octroi des sanctions, non sans rappeler le régime fédéral en vertu de la Loi anti-pourriel^[15]. Le montant maximal de la sanction administrative pécuniaire est de 10 millions de dollars ou 2 % du chiffre d’affaires mondial de l’exercice financier précédent si ce dernier montant est plus élevé^[16]. À la suite de la constatation d’un manquement, une entreprise peut, en tout temps, s’engager auprès de la CAI à prendre les mesures nécessaires pour remédier au manquement ou en atténuer les conséquences^[17]. Si la CAI accepte l’engagement et que l’entreprise s’y conforme, cette dernière peut éviter une SAP^[18]. La CAI doit publier un cadre général d’application des SAP^[19].