A la suite de nos nombreuses publications, de notre podcast et de la formation que nous avons donnée via l’Institut Fasken le 8 décembre dernier « Changements à la Loi sur la protection des renseignements personnels : Comment se préparer à 2022, 2023 et 2024? », vous avez été nombreux à nous poser des questions. Nous avons rassemblé les questions et avons préparé le tout sous la forme de trois bulletins hebdomadaires :
- Le premier bulletin couvrira les questions relatives à la définition, à la conservation des renseignements personnels et aux sanctions en cas de non-respect des obligations issues de la Loi 25.
- Le deuxième concernera les obligations plus spécifiques en termes de transparence, de consentement et de communication.
- Enfin, le troisième et dernier bulletin sera relatif à la gouvernance au sein des organisations, en matière de protection des renseignements personnels.
Notre Centre de ressources est toujours actif et contient toute une série de bulletins et de documents dédiés à la Loi 25. Pour ne pas manquer nos prochains bulletins et toute autre information pertinente à ce sujet, inscrivez-vous dès maintenant sur notre liste de distribution afin de recevoir toutes les communications en lien avec la nouvelle loi.
BULLETIN 2 (transparence, consentement, communication)
1. Transparence et consentement
En ce qui concerne le consentement de mineurs âgés de 14 ans et plus, doit-on vérifier avec le parent ou le tuteur légal?
Pour les mineurs âgés de 14 ans et plus, le consentement des parents ou tuteur légal n’est pas requis (Loi sur le secteur privé, art. 14; Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (« Loi sur l’accès »), art. 53.1).
Pour en savoir plus :
PL 64 – C comme Consentement - Une simplification complexe?
Le consentement peut-il être obtenu oralement ou doit-il être recueilli par écrit uniquement?
Le consentement peut être obtenu oralement ou par écrit (Loi sur le secteur privé, art. 14). L’avantage de l’écrit est la conservation de la preuve du consentement.
Est-ce qu’il sera possible d’obtenir un consentement implicite pour les renseignements personnels qui ne sont pas des renseignements sensibles?
Le consentement implicite sera reconnu explicitement selon les articles 12 et 13 de la Loi sur le secteur privé à partir du 22 septembre 2023.
Pour en savoir plus :
PL 64 – C comme Consentement - Une simplification complexe?
L’objectif de transparence de la Loi 25 est d’assurer un meilleur contrôle des personnes concernées sur leurs renseignements personnels. N’est-il pas défait par l’importante quantité d’informations qui leur est transmise, ce qui pourrait amener les personnes concernées à ne pas lire les termes entourant la collecte de leurs renseignements?
La Loi 25 indique que le consentement doit être demandé en des termes simples et clairs (nouvel art. 14). Il est désormais nécessaire de synthétiser l’information à donner pour une meilleure compréhension.
Pour en savoir plus :
2. Publication en ligne
Quelles informations doivent être publiées sur le site web d’une entreprise ou d’un organisme public ?
Contrairement au projet initial, il n’est plus requis des entreprises qu’elles publient, dans leur intégralité, les politiques encadrant la gouvernance d’une entreprise à l’égard des renseignements personnels. Elles pourront simplement publier des informations détaillées au sujet de ces politiques, en termes clairs et simples.
Pour en savoir plus :
Est-ce que ces obligations sont plus importantes que celles requises par le RGPD ?
Ces obligations semblent aller plus loin que celles requises par le RGPD qui prévoit une obligation d’information des individus au moment de la collecte des renseignements personnels. Le RGPD ne prévoit pas expressément la liste des politiques à mettre en œuvre.
Pour en savoir plus :
PL 64 : à la recherche du RGPD?
3. Communication de renseignements personnels à l’étranger
Est-ce que l’hébergement de renseignements personnels sur des serveurs situés à l’extérieur du Québec, par exemple par le biais de services en infonuagique, constitue une communication à l’extérieur du Québec, nécessitant de procéder à une évaluation des facteurs relatifs à la vie privée (« EFPV »)?
Oui, effectivement, l’EFVP est requise par le nouvel article 17 de la Loi sur la protection des renseignements personnels dans le secteur privé (« Loi sur le secteur privé ») lorsque l’hébergement de renseignements personnels a lieu à l’extérieur du Québec. Cette EFVP tient compte de la sensibilité du renseignement, de la finalité de son utilisation, des mesures de protection dont le renseignement bénéficierait, de même que le régime juridique applicable dans l’État destinataire.
La majorité des grandes entreprises d’hébergement de données doivent également appliquer le Règlement général sur la protection des données (« RGPD »). Ce dernier prévoit également la mise en place d’une évaluation d’impact avant tout transfert de renseignements personnels vers des pays non adéquats.
Pour en savoir plus :
Le projet de loi 64 et l’exportation de données personnelles du Québec : des complications en vue
Dans le cadre de la communication de renseignements personnels à l’extérieur du Québec, comment évaluer, en pratique, si le régime juridique applicable dans l’État où le renseignement sera communiqué offre une protection adéquate? Est-ce possible de se fier aux décisions d’adéquation de l’Union européenne?
L’EFVP tient compte de la sensibilité du renseignement, de la finalité de son utilisation, des mesures de protection dont le renseignement bénéficierait, de même que le régime juridique applicable dans l’État destinataire. Effectivement, si le pays destinataire bénéficie d’une décision d’adéquation de la part de l’Union européenne, cela constitue une information pertinente sur le régime juridique du pays destinataire.
Pour en savoir plus :
Le projet de loi 64 et l’exportation de données personnelles du Québec : des complications en vue
4. Communication de renseignements personnels à un tiers
Lors de la communication de renseignements personnels à un tiers, est-ce que la Loi 25 permet de prendre en considération des mesures contractuelles, telles que des ententes de confidentialité et de non-divulgation ?
Effectivement, l’article 17 de la Loi sur le secteur privé mentionne « les mesures de protection, y compris celles qui sont contractuelles, dont le renseignement bénéficierait ». Il en va de même pour les communications à un tiers prestataire de services, même situé au Québec.
Les ententes de confidentialité ne sont qu’un indice parmi d’autres, mais devraient être complétées par un accord détaillant les obligations des parties du point de vue notamment des droits des individus, des règles applicables en cas d’incidents de sécurité, etc. (voir Loi sur le secteur privé, art. 18.3). Les accords relatifs aux traitements des données (« Data Processing Agreements ») du RGPD pourraient servir de base de travail.
Dans le cadre de la communication de renseignements personnels entre deux entreprises, est-ce que l’engagement de l’entreprise détenant les renseignements personnels selon lequel elle a obtenu les consentements requis est suffisant pour procéder à la communication?
En cas de communication entre deux entreprises, l’entreprise qui communique doit s’assurer que le renseignement personnel est protégé adéquatement. L’affirmation selon laquelle les consentements requis ont été obtenus est nécessaire, le cas échéant, , mais n’est pas le seul élément à considérer.
Pour en savoir plus :
Le projet de loi 64 et l’exportation de données personnelles du Québec : des complications en vue
