Par les articles 12, 19 et 102 du Projet de loi 64[1], le législateur insère une nouvelle notion, la notion de « renseignement personnel sensible », tant dans la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels[2]que dans la Loi sur la protection des renseignements personnels dans le secteur privé[3].
Cette notion est insérée dans le contexte du consentement explicite ou implicite à l'utilisation ou à la communication de renseignements personnels pour des fins autres que celles pour lesquels ils ont été collectés. À titre d'exemple, il est prévu que le consentement d'un employé d'une entreprise privée doit être explicite lorsque l'entreprise veut utiliser les renseignements personnels sensibles de l'employé pour des fins autres que celles pour lesquelles ils ont été recueillis[4].
La définition proposée de « renseignement personnel sensible »
Cette notion est inexistante dans la version courante de la Loi sur la protection des renseignements personnels et les documents électroniques[5] fédérale. Elle est toutefois présente sous le terme « données sensibles » en droit européen dans le Règlement général sur la protection des données[6] (« RGPD »).
Le Projet de loi 64 définit un renseignement comme étant « sensible » lorsque, de « par sa nature ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d'atteinte raisonnable en matière de vie privée.[7] ».
Suivant cette définition, il convient donc de dire que les obligations des entreprises au regard du Projet de loi 64 se modulent en conséquence du degré de sensibilité des renseignements personnels. Par ailleurs, cette notion apparait comme étant subjective dans la mesure où la sensibilité d'un renseignement est tributaire du contexte de son utilisation ou de sa communication.
Contrairement au Projet de loi 64, le RGPD fournit une définition précise de la notion de « donnée sensible ». En effet, le RGPD prévoit d'une part que les « données sensibles » forment une catégorie particulière de données personnelles et, d'autre part, définit explicitement les données sensibles formant cette catégorie particulière de données personnelles. L'article 9 du RGPD prévoit ce qui suit:
Le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits.
Ainsi, au regard du RGPD, la notion proposée dans le Projet de Loi 64 peut paraître incomplète ou inadéquate en ce sens que :
- Comme la sensibilité d'un renseignement est laissée à l'appréciation des entreprises qui le traitent, il pourrait être difficile pour elles de déterminer la façon dont doivent être traités certains renseignements eu égard à certains contextes particuliers.
- Dans le cas où il s'agit d'une situation moins flagrante qu'un renseignement devrait être considéré sensible, un même renseignement pourrait être traité de façon différente, dépendamment de la personne qui traite le renseignement.
- Les politiques des entreprises pourraient varier d'une entreprise à l'autre relativement à un même renseignement.
D'autres façons de définir un renseignement sensible
Au regard de ce qui précède, à l'instar du RGPD, il nous semble qu'une définition plus stable de « renseignement personnel sensible » pourrait être bénéfique en ce qu'elle pourrait prévenir de la confusion ou une mauvaise interprétation de la loi.
À titre d'exemple, il est à penser que, dans le contexte du Québec, la définition de « renseignement personnel sensible » pourrait référer aux motifs de discrimination interdite prévus à l'article 10 de la Charte des droits et libertés de la personne[8]et qui sont la race, la couleur, le sexe, l'identité ou l'expression de genre, la grossesse, l'orientation sexuelle, l'état civil, l'âge sauf dans la mesure prévue par la loi, la religion, les convictions politiques, la langue, l'origine ethnique ou nationale, la condition sociale, le handicap ou l'utilisation d'un moyen pour pallier ce handicap.
Enfin, bien que l'ajout de la notion de « renseignement personnel sensible » soit intéressant, il nous apparait que certains changements devraient être apportés à la définition de cette notion, et ce, afin d'éviter des enjeux d'interprétation et afin de s'assurer d'une mise en application homogène de la nouvelle législation.
|
CENTRE DE RESSOURCES PL64 - Découvrez notre centre de ressources dédié au Projet de Loi 64regroupant toutes les informations que vous devez savoir pour faire face aux changements qui pourraient être apportés à la législation. LISTE DE DISTRIBUTION - Pour ne pas manquer nos prochains bulletins, notre webinaire de formation et toutes autres informations pertinentes à ce sujet, inscrivez-vous dès maintenant sur notre liste de distribution. |
[1] Projet de loi no 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, 1re session, 42e législature, Québec, 12 juin 2020, (présentation) (le « Projet de loi 64 ») http://m.assnat.qc.ca/fr/travaux-parlementaires/projets-loi/projet-loi-64-42-1.html.
[2] Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, chapitre A-2.1.1.
[3]Loi sur la protection des renseignements personnels dans le secteur privé, chapitre P-39.1.
[4] Projet de loi 64, article 102.
[5]Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, ch. 5.
[6]Règlement Général sur la Protection des Données, 2016/679.
[7] Projet de loi 64, articles 12 et 102.
[8]Charte des droits et libertés de la personne, chapitre C-12.
