À la suite de nos nombreuses publications, de notre podcast et de la formation que nous avons donnée via l’Institut Fasken le 8 décembre dernier « Changements à la Loi sur la protection des renseignements personnels : Comment se préparer à 2022, 2023 et 2024? », vous avez été nombreux à nous poser des questions. Nous avons rassemblé les questions et avons préparé le tout sous la forme de trois bulletins hebdomadaires :
- Le premier bulletin couvrira les questions relatives à la définition, à la conservation des renseignements personnels et aux sanctions en cas de non-respect des obligations issues de la Loi 25.
- Le deuxième concernera les obligations plus spécifiques en termes de transparence, de consentement et de communication.
- Enfin, le troisième et dernier bulletin sera relatif à la gouvernance au sein des organisations, en matière de protection des renseignements personnels.
Notre Centre de ressources est toujours actif et contient toute une série de bulletins et de documents dédiés à la Loi 25. Pour ne pas manquer nos prochains bulletins et toute autre information pertinente à ce sujet, inscrivez-vous dès maintenant sur notre liste de distribution afin de recevoir toutes les communications en lien avec la nouvelle loi.
BULLETIN 1 (définition, conservation, sanctions) :
Définition de RP et RP sensibles
1. En pratique, quels renseignements sont considérés comme des renseignements personnels sensibles?
Un renseignement est sensible selon la nouvelle définition lorsque, de par sa nature notamment médicale, biométrique ou autrement intime, ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d’attente raisonnable en matière de vie privée (Loi sur le secteur privé, art. 12).
On peut se demander si les renseignements financiers, notamment en raison du contexte de son utilisation ou de sa communication, seront des renseignements sensibles, alors qu’ils ne sont pas visés spécifiquement.
Pour en savoir plus :
Les renseignements personnels sensibles: un autre emprunt du RGPD
2. Peut-on se fier à la définition des données sensibles du RGPD?
L’article 9 du RGPD prévoit ce qui suit:
Le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits.
S’il est possible de s’en inspirer, la définition du RGPD reflète une façon de penser européenne, et non nord-américaine. En conséquence, nous ne croyons pas que cette définition puisse servir de guide, bien que certains éléments seront considérés sensibles dans les deux lois.
Pour en savoir plus :
Les renseignements personnels sensibles : un autre emprunt du RGPD
Coordonnées professionnelles
3. Le numéro de téléphone personnel d’un individu pourrait-il être considéré comme un renseignement personnel qui concerne l’exercice par cet individu d’une fonction au sein d’une entreprise? Si oui, dans quelles circonstances?
La Commission d’accès à l’information s’est prononcée à plusieurs reprises sur le fait que l’expression « numéro de téléphone du lieu de travail » au sens de la Loi sur l’accès aux documents des organismes publics, ne comprend pas le téléphone personnel d’une personne, puisqu’il ne s’agirait plus du téléphone du lieu de travail. La même approche pourrait être suivie pour la Loi sur la protection des renseignements personnels dans le secteur privé.
4. Ces obligations s’appliquent-elles aux renseignements personnels dépersonnalisés collectés à des fins statistiques par une entreprise proposant des logiciels, et ce, que ce soit avec ou sans le consentement de l’entité utilisant le logiciel ?
La Loi s’applique aux renseignements personnels. Si le renseignement n’est pas anonymisé mais seulement dépersonnalisé, il reste un renseignement personnel. L’exception au consentement relative aux fins statistiques s’applique à l’utilisation et à la communication des renseignements mais pas à leur collecte.
Pour en savoir plus :
Dépersonnalisation, anonymisation et désindexation : nouveau jargon, nouvelles obligations
Droit des personnes concernées
5. Quel droit les personnes concernées ont-elles sur leurs renseignements personnels ? Est-ce que l’on peut l’assimiler à un droit de propriété ?
Les individus disposent des droits suivants : droit à l’information (y compris en cas de recours à une nouvelle technologie); droits d’accès et de rectification; droit de retirer son consentement à la communication ou à l’utilisation des renseignements recueillis ainsi qu’un droit à demander à l’entreprise de cesser de diffuser ses renseignements personnels ou que soit désindexé tout hyperlien rattaché à son nom.
Au Québec, il n’y a pas de droit de propriété reconnu en tant que tel sur les renseignements personnels, mais les individus sont titulaires d’un droit de contrôle.
Pour en savoir plus :
Conservation des données
6. À partir de quel moment, suivant la fin de l’utilisation des services par une personne concernée, l’obligation de destruction de ses renseignements personnels s’impose-t-elle ?
En vertu de l’art. 23 de la Loi sur le secteur privé, lorsque les fins auxquelles un renseignement personnel a été recueilli ou utilisé sont accomplies, la personne qui exploite une entreprise doit le détruire ou l’anonymiser pour l’utiliser à des fins sérieuses et légitimes, sous réserve d’un délai de conservation prévu par une loi.
Les entreprises devront adopter un calendrier de conservation d’ici le 22 septembre 2023 pour tenir compte de ces considérations de façon pratique dans leur organisation.
Pour en savoir plus :
Dépersonnalisation, anonymisation et désindexation : nouveau jargon, nouvelles obligations !
7. Quelles sont les mesures à prendre relativement à la conservation des consentements écrits obtenus (lieu de conservation, durée, etc.)?
Il est conseillé de conserver ces consentements dans un serveur dont l’accès est limité et qui est séparé de celui où sont conservés les renseignements personnels. Ces consentements devraient être conservés selon un calendrier de rétention qui tient compte de la finalité pour lesquels ils ont été recueillis et le temps de la prescription légale.
Pour en savoir plus :
PL 64 – C comme Consentement - Une simplification complexe?
8. Dans le cas d’un OBNL, combien de temps est-il possible de conserver les dossiers de donateurs?
La Loi 25 ne prévoit pas de régime de conservation spécifique pour les renseignements personnels recueillis et détenus par un OBNL qui devront suivre les exigences prévues à la réponse précédente.
La Loi 25 a par ailleurs aboli la possibilité d’utiliser un renseignement personnel à des fins de prospection philanthropique sans obtenir le consentement de la personne concernée à cet effet. Ce changement entrera en vigueur le 22 septembre 2023 également.
Sanctions
9. Comment le processus menant à une sanction est-il déclenché?
Avant toute sanction, la Commission d’accès à l’information (« CAI ») mènera une enquête. Cette enquête peut faire suite à une plainte d’un particulier ou de l’initiative de la CAI.
Pour en savoir plus :
10. Lorsqu’une entreprise fait face à une sanction, doit-elle démontrer qu’elle a une politique en place?
Avant d’imposer toute sanction, il y aura une enquête. À cette occasion, l’entreprise devra démontrer qu’elle a respecté ses obligations en matière de protection des renseignements personnels. Ces obligations ne se limitent pas à la mise en place d’une politique mais vont beaucoup plus loin, comme des accès limités aux renseignements personnels, des mesures de sécurité adaptées à la sensibilité des renseignements personnels, des durées de conservations limitées, etc.
11. Considérant que les administrateurs ne sont pas impliqués dans la gestion quotidienne des renseignements personnels détenus par l’entreprise, la disposition rendant un administrateur partie à une infraction commise par une personne morale est-elle valide d’un point de vue légal ?
Bien qu’ils puissent déléguer leurs pouvoirs, les administrateurs sont, en principe, responsables de la gestion de la société. Ainsi, de nombreuses lois prévoient une responsabilité personnelle des administrateurs et des pénalités en cas de violation de celles-ci (par exemple, la Loi sur la qualité de l’environnement, RLRQ, c. Q-2, la Loi sur les normes du travail, RLRQ, c. N-1.1 ou encore la Loi sur les sociétés par actions, RLRQ, c. S-31.1). Mentionnons également que l’article 93 n’est pas nouveau. Les administrateurs encourent déjà leur responsabilité lorsqu’une personne morale commet une infraction aux termes de la loi actuelle. Ceci étant, les obligations des administrateurs sont différentes que celles de l’entreprise. Tout manquement de l’entreprise n’engage pas nécessairement la responsabilité des administrateurs, si ceux-ci ne pouvaient éviter le manquement, par exemple.
12. Est-ce que les organismes publics sont soumis au régime pénal prévu par la Loi 25 (ex : commissions scolaires, universités, organismes municipaux, etc.) ?
Le régime pénal dans le cadre des organismes publics est différent. (nouvel article 158 de la Loi sur l’accès).
Les employés du secteur public peuvent toutefois voir leur responsabilité pénale engagée (nouvel article 159 de la Loi sur l’accès).
