Projet de loi 64 : Quel est l’impact concret du projet de loi sur les ordres professionnels?

Le Projet de loi n°64, soit la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (le « Projet de loi ») vise à modifier les pratiques relatives à la protection des renseignements personnels pour toutes les organisations au Québec. Le présent bulletin vise à illustrer les impacts spécifiques aux  ordres professionnels.

Depuis l'ajout en 2006 des articles 108.1 et suivants du Code des Professions^[1], les ordres professionnels sont habitués de devoir composer avec un régime hybride, où leurs activités relatives au contrôle de l'exercice de la profession sont essentiellement assujetties à un régime d'accès à l'information^[2] comme les organismes publics, alors que  leurs activités administratives sont assujetties à un régime équivalent à celui s'appliquant aux entreprises privées^[3], le tout complété par des dispositions particulières du Code des professions^[4].

En plus de ce régime hybride, les ordres professionnels doivent également composer avec la réalité voulant que la responsabilité d'application de ces dispositions relève en partie de leur syndic pour les documents et renseignements qu'il obtient, détient ou communique^[5].

Absence de disposition spécifique aux ordres professionnels

Il convient d'entrée de jeu de noter que le Code des professions n'est pas modifié par le Projet de loi. En conséquence, on doit comprendre que les modifications ne sont pas adaptées à la réalité des ordres professionnels, lesquels devront appliquer les nouvelles dispositions, par l'effet du renvoi prévu au Code des professions qui demeure inchangé.

En conséquence, ce n'est pas une, mais bien deux réformes que les ordres professionnels devraient appliquer en même temps lors de la mise en vigueur des amendements.

Des responsabilités additionnelles en matière de protection des renseignements personnels

Bien que le Projet de loi prévoit plusieurs dispositions à ce sujet, nous avons choisi de traiter des modifications qui auront le plus d'impact sur la gestion des renseignements personnels par les ordres professionnels. Ces modifications se retrouvent à la fois dans la Loi sur l'accès pour la portion relevant du contrôle de l'exercice de la profession et la Loi sur le privé pour les questions administratives (nous ferons les distinctions lorsque appropriées) :

• Alors que le Code des professions prévoit une responsabilité pour répondre aux demandes d'accès à des renseignements personnels^[6], le Projet de loi prévoit désormais la nomination par défaut du plus haut responsable de l'organisme comme responsable de la protection des renseignements personnels^[7]. Toutefois, cette obligation ne s'appliquera pas pour les activités qui relèvent du contrôle de l'exercice de la profession, vu l'exclusion d'application de l'article 8 de la Loi sur l'accès, lequel contiendra cette obligation. Ce sera donc une exception, alors que seule cette portion de l'activité des ordres professionnels échappera à une telle obligation au Québec.
• Par contre, l'obligation de mettre en place un comité sur l'accès à l'information et la protection des renseignements personnels demeure applicable selon la rédaction actuelle du Projet de loi, en ce qui concerne les activités de contrôle de l'exercice de la profession^[8].
• Dans le cadre de tout projet de système d'information ou de prestation électronique de services impliquant des renseignements personnel, l'ordre professionnel devra procéder à une évaluation des facteurs relatifs à la vie privée (« EFVP »)[9].
• Une nouvelle obligation de notification des incidents de sécurité lorsqu'il existe un « risque qu'un préjudice sérieux soit causé » est proposée pour aviser les personnes concernées, la Commission d'accès à l'information et potentiellement tout personne ou organisme susceptible de diminuer le risque[10].
• À partir du moment où des moyens technologiques sont utilisés pour recueillir des renseignements personnels, une nouvelle obligation est proposée de mettre sur le site Internet de l'Ordre une politique de confidentialité « rédigée en termes simples et clairs »[11].
• Pour les processus de décision fondée exclusivement sur un traitement automatisé de renseignements personnels, un nouveau régime de divulgation préalable et de processus de révision doit être mis en place[12].

• Les modalités d'obtention d'un consentement concernant la collecte, l'utilisation et la communication de renseignements personnels est plus encadrée, notamment en requérant un consentement explicite lorsque des renseignements sensibles sont en cause et en requérant une présentation d'une demande de consentement « distinctement de toute autre information communiquée à la personne concernée »[13].

• Un nouveau régime relatif à la communication de renseignements personnels hors-Québec, lequel nécessite une EFVP, laquelle doit analyser le régime juridique de l'État où le renseignement serait communiqué en comparaison avec le droit québécois, à moins que le ministre déclare un État comme équivalent[14].

• Pour les questions administratives, il faudrait dorénavant un contrat écrit avec un contenu minimal pour communiquer des renseignements personnels à un mandataire ou un prestataire de service, sauf si celui-ci est un organisme public ou un membre d'un ordre professionnel[15].

• La communication de renseignements personnels sans consentement pour des fins d'étude, de recherche ou de production de statistiques sans nécessité d'une approbation préalable de la Commission d'accès à l'information, mais suite à une EFVP et un processus encadré[16].

• Retrait de l'exception permettant d'utiliser ou de communiquer des renseignements personnels sans consentement pour des fins des prospection commerciales ou philanthropiques du côté administratif[17].

• L'obligation du côté administratif de détruire ou anonymiser les renseignements personnels lorsque les fins sont accomplies[18].

• Une nouvelle obligation de donner accès aux renseignements personnels dans un format « technologique structuré et couramment utilisé »[19].

• Au niveau administratif, un nouveau droit de demander la désindexation de tout hyperlien rattaché au nom d'un individu permettant d'accéder à ce renseignement par un moyen technologique. Hormis les cas d'application de la loi ou d'ordonnance judiciaire, il s'agit d'un droit assujetti à une évaluation d'une balance des inconvénients entre la réputation ou la vie privée de l'individu et l'intérêt du public, ce qui risque de poser des enjeux d'application concrets[20].

• Un nouveau droit pour l'ordre professionnel de communiquer à un tiers des renseignements personnels « si la connaissance est susceptible d'aider le requérant dans son processus de deuil », sauf si la personne décédée avant consigné par écrit son refus d'accorder ce droit d'accès[21].

• Pour les activités administratives, les sanctions potentielles seront de 10 000 000$ par sanctions administratives et 25 000 000$ par sanction pénale, en plus du potentiel de dommages-intérêts punitifs d'au moins 1000$ pour une faute lourde[22].

Un impact sur le droit d'accès relié au contrôle de l'exercice de la profession

Par l'assujettissement des activités de contrôle de l'exercice de la profession à la Loi sur l'accès, le législateur a choisi d'assujettir en principe tous les documents au régime d'accès public, sujet à l'application des exceptions de la Loi sur l'accès. Bien que le régime d'accès comme tel n'est pas profondément revu par le Projet de loi (aucun amendement substantif aux articles 9 à 41.3), plusieurs questions administratives ont fait l'objet de modifications^[23].

Nous avons noté que les modifications suivantes seraient susceptibles d'intéresser les ordres professionnels sur les droits d'accès dans le cadre du contrôle de l'exercice de la profession :

• Une nouvelle obligation de publier sur le site internet de l'ordre professionnel les règles encadrant la gouvernance à l'égard des renseignements personnels, avec certaines informations obligatoires, dont les modalités de traitement de données de sondage[24].
• Une nouvelle obligation de prêter assistance au demandeur d'accès pour l'aider à comprendre la décision[25]. On comprend mal comment cette obligation va s'exercer, alors que cette obligation va essentiellement s'exercer en cas de refus. C'est assez particulier de demander d'expliquer une décision rendue après coup et on peut se demander si les « explications » feront partie de la décision sujette à révision devant la Commission d'accès à l'information.
• Un nouveau pouvoir attribué à la Commission d'accès à l'information d'assujettir toute demande devant la Commission à l'autorisation du président de la Commission et selon les conditions qu'il détermine, afin de faire face aux personnes quérulentes[26]. 

Conclusion : une réforme incomplète?

Il nous apparaît que le Code des professions devrait faire partie de la réflexion, alors que le régime hybride par renvoi à la Loi sur l'accès et la Loi sur le privé a ses limites, alors qu'on se rend compte qu'il y a peut-être des lacunes, notamment au sujet de la nomination d'un responsable de le protection des renseignements personnels. Nous sommes d'avis que le législateur ne voudra pas que les ordres professionnels se retrouvent à être les seules organisations à ne pas être complètement assujetties aux principes de base que le législateur a voulu mettre en place en matière de protection des renseignements personnels.

L'entremêlement des deux régimes ne va qu'accentuer la tâche difficile pour les ordres professionnels de se conformer aux dispositions des lois québécoises sur la protection des renseignements personnels qui leur sont applicables. Il nous apparaît opportun de se questionner sur l'opportunité de maintenir un tel régime hybride. Il nous apparaîtrait plus simple d'appliquer un seul régime, tout en limitant le droit d'accès à l'information aux renseignements portant sur le contrôle de l'exercice de la profession.

Que cela découle d'amendements au Projet de loi ou à une modification ultérieure du Code des professions, nous devons nous attendre à des amendements aux articles 108.1 et suivants du Code des professions. Il faut se rappeler que les ordres professionnels ont toujours été traités de façon distincte, mais avec un certain décalage, alors qu'après un débat jurisprudentiel suivant l'entrée en vigueur de la Loi sur le privé en 1994, ce n'est qu'en 2006 que le régime hybride actuel a été mis en place.

[1] RLRQ c C-26, ci après « Code des Professions ».

[2] Par renvoi à la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ c A-2.1, ci-après « Loi sur l'accès ».

[3] Par renvoi à la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c P-39.1, ci-après « Loi sur le privé ».

[4] Voir les articles 108.1 et 108.2 du Code des professions, notamment l'égard de la liste non-limitative des activités de contrôle de l'exercice de la profession : « la formation professionnelle, l'admission, la délivrance de permis, de certificat de spécialiste ou d'autorisation spéciale, la discipline, la conciliation et l'arbitrage de comptes, la surveillance de l'exercice de la profession et de l'utilisation d'un titre, l'inspection professionnelle et l'indemnisation […]. »

[5] Art. 108.5 du Code des professions.

[6] Art. 108.5 du Code des professions.

[7] Art. 95 du Projet de Loi. Consultez notre Bulletin #5 | Nouveau personnage au sein des entreprises du secteur privé : le Responsable à la protection des renseignements personnels pour en savoir plus sur le sujet.

[8] Art. 1 du Projet de Loi.

[9] Art. 14 et 95 du Projet de loi. Consultez notre Bulletin #13 | Évaluation des facteurs relatifs à la vie privée : la nouvelle réalité pour les organisations québécoises traitant des renseignements personnels? pour en savoir plus sur les EFVP.

[10] Art. 14 et 95 du Projet de Loi. Consultez notre Bulletin #6 | Nouvelles obligations de signalement d'incidents de confidentialité en cette période de cybertension pour en savoir plus sur le sujet.

[11] Art. 14 et 99 du Projet de Loi.

[12] Art. 20 et 102 du Projet de Loi. Consultez notre Bulletin #17 | Projet de loi n 64 : Nouvelles règles encadrant la prise de décision individuelle automatisée pour en savoir plus sur le sujet.

[13] Art. 9, 19 et 102 du Projet de Loi. Consultez notre Bulletin #3 | PL 64 – C comme Consentement - Une simplification complexe? pour en savoir plus.

[14] Art. 27 et 103 du Projet de Loi. Consultez notre Bulletin #10 | Le projet de loi 64 et l'exportation de données personnelles du Québec : des complications en vue pour en savoir plus.

[15] Art. 107 du Projet de Loi.

[16] Art 23 et 110 du Projet de Loi. Consultez notre Bulletin #7 | Études et recherches : des changements significatifs apportés au milieu de la recherche pour en savoir plus.

[17] Art. 102 et 111 du Projet de Loi.

[18] Art. 111 du Projet de Loi.

[19] Art. 14, 30, 95 et 112 du Projet de Loi. Consultez notre Bulletin #14 | Le droit à la portabilité, une réelle portabilité ou une simple modernisation du droit d'accès? pour en savoir plus.

[20] Art. 113 du Projet de Loi. Consultez notre Bulletin #11 | Dépersonnalisation, anonymisation et désindexation : nouveau jargon, nouvelles obligations! pour en savoir plus

[21] Art. 31 et 121 du Projet de Loi.

[22] Art. 150 à 152 du Projet de Loi. Consultez notre Bulletin #4 | La Commission d'accès à l'information pourra sanctionner les entreprises sur simple décision administrative d'un montant allant jusqu'à 10 millions de dollars, notre Bulletin #8 | Un terreau fertile pour les recours civils et actions collectives en matière de renseignements personnels et notre Bulletin #22 | PL 64 - Quels sont les types d'infractions risquant de faire encourir des sanctions administratives ou pénales? La réponse avec ce tableau de synthèse pour en savoir plus.

[23] Consultez notre Bulletin #12 | Projet de loi 64 : Que doivent retenir les organismes publics des modifications envisagées à la Loi sur l'accès? pour un résumé de ces modifications.

[24] Art. 14 du Projet de Loi.

[25] Art. 35 du Projet de Loi.

[26] Art. 53 du Projet de Loi.