Principaux changements aux lois sur la protection des renseignements personnels

Depuis septembre 2023, les lois applicables prévoient la possibilité d’anonymiser des renseignements personnels, offrant un autre choix que leur destruction. Toutefois, les organismes publics et les entreprises doivent être en mesure d’anonymiser ces renseignements selon les meilleures pratiques généralement reconnues et en fonction des critères et des modalités déterminés par règlement du gouvernement. En l’absence d'un règlement du gouvernement, les organismes et les entreprises ne peuvent anonymiser des renseignements personnels.  

Depuis septembre 2023, avant de communiquer un renseignement personnel à l’extérieur du Québec, une organisation doit procéder à une évaluation des facteurs relatifs à la vie privée (PDF, 1 108 Ko).

La communication peut être effectuée si l’évaluation démontre que le renseignement bénéficierait d’une protection adéquate. Elle doit faire l’objet d’une entente écrite respectant certaines modalités. 

Depuis septembre 2022, de nouvelles règles permettent, à certaines conditions, la communication de renseignements personnels sans le consentement de la personne concernée : 

• Par une entreprise lorsque la communication d’un renseignement personnel est nécessaire aux fins de la conclusion d’une transaction commerciale;
• Par les entreprises et les organismes publics à des fins d’étude, de recherche ou de production de statistiques. 

Depuis septembre 2023, de nouvelles règles encadrent le consentement des personnes à la collecte, à la communication ou à l’utilisation de leurs renseignements personnels. Par exemple : 

• Les organismes publics doivent s’assurer que le consentement qu’ils obtiennent est manifeste, libre, éclairé et donné à des fins précises. Ces critères s’appliquent déjà aux entreprises;
• Tout consentement obtenu par un organisme public ou une entreprise doit être demandé pour chacune de ces fins, en termes simples et clairs; 
• Lorsque la demande de consentement est faite par écrit, elle doit être présentée distinctement de toute autre information communiquée à la personne concernée; 
• Sauf exception, un renseignement personnel ne peut être utilisé à une autre fin par une organisation, à moins que la personne concernée n’y consente; 
• Les organisations doivent obtenir un consentement formulé de manière expresse avant d’utiliser un renseignement personnel sensible à une fin différente de celle prévue lors de la collecte.

Des règles particulières s’appliquent aux partis politiques.

Les organisations doivent désormais procéder à une évaluation des facteurs relatifs à la vie privée (PDF, 1 108 Ko) avant de communiquer des renseignements personnels sans le consentement des personnes concernées à des fins d’étude, de recherche ou de production de statistiques. 

Les organisations doivent notamment mener une EFVP : 

• Pour tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant des renseignements personnels; 
• Avant de communiquer un renseignement personnel à l’extérieur du Québec. 

Dans tous les cas, l’EFVP réalisée doit être proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support. 

Les organisations doivent s’assurer que, par défaut, les paramètres de confidentialité du produit ou du service technologique offert au public assurent le plus haut niveau de confidentialité, sans aucune intervention de la personne concernée. Cette disposition ne s’applique pas aux paramètres de confidentialité d’un témoin de connexion.

Les organisations recueillant des renseignements personnels par un moyen technologique doivent : 

• Rédiger une politique de confidentialité (PDF, 583 Ko) en termes simples et clairs et la diffuser sur leur site Internet ou par tout autre moyen propre à atteindre les personnes concernées; 
• Aviser ces personnes de toute modification dont cette politique pourrait faire l’objet. 

Depuis septembre 2023, les organismes publics doivent établir des règles encadrant leur gouvernance à l’égard des renseignements personnels et les diffuser sur leur site Internet. Ces règles : 

• Doivent avoir été approuvées par le Comité sur l’accès à l’information et la protection des renseignements personnels; 
• Peuvent prendre la forme d’une politique, d’une directive ou d’un guide; 
• Doivent notamment prévoir :  
  • Les rôles et responsabilités des membres du personnel tout au long du cycle de vie des renseignements personnels; 
  • Un processus de traitement des plaintes relatives à la protection des renseignements personnels; 
  • Une description des activités de formation et de sensibilisation à la protection des renseignements personnels offerts par l’organisme à son personnel; 
  • Des mesures de protection particulières à l’égard des renseignements personnels recueillis ou utilisés dans le cadre d’un sondage. 

Les entreprises doivent : 

• Établir et mettre en œuvre des politiques et des pratiques encadrant leur gouvernance à l’égard des renseignements personnels. Ces politiques et pratiques doivent notamment prévoir :  
  • Des règles applicables à la conservation et à la destruction des renseignements personnels; 
  • Les rôles et responsabilités des membres du personnel tout au long du cycle de vie des renseignements personnels; 
  • Un processus de traitement des plaintes relatives à la protection des renseignements personnels; 
• Publier sur leur site Web de l’information détaillée au sujet de leurs politiques et de leurs pratiques. Si elles n’ont pas de site Web, elles doivent rendre accessible cette information par tout autre moyen approprié. 

Toute personne qui exploite une entreprise est responsable de la protection des renseignements personnels qu’elle détient. La personne ayant la plus haute autorité doit ainsi veiller à assurer le respect et la mise en œuvre de la Loi sur le privé. 

Cette personne exerce la fonction de responsable de la protection des renseignements personnels, mais peut déléguer cette fonction par écrit, en tout ou en partie, à toute personne. 

Le titre et les coordonnées du responsable doivent être publiés sur le site Web de l’entreprise ou, si elle n’a pas de site Web, rendus accessibles par tout autre moyen approprié. 

Un renseignement personnel est considéré comme sensible lorsqu'il suscite, par sa nature notamment médicale, biométrique ou autrement intime, ou en raison du contexte de son utilisation ou de sa communication, un haut degré d’attente raisonnable en matière de vie privée. 

La Loi prévoit de nouvelles obligations en termes de transparence pour les organisations. Depuis septembre 2023, elles doivent fournir aux personnes concernées, au moment de recueillir leurs renseignements personnels, des renseignements comme : 

• Les fins de la collecte; 
• Les moyens de la collecte; 
• Les droits d’accès et de rectification; 
• Le droit des personnes concernées de retirer leur consentement. 

Il est aussi prévu qu’elles informent la personne concernée : 

• Du nom du tiers ou des catégories de tiers pour qui la collecte est réalisée; 
• Du nom des tiers à qui il est nécessaire de communiquer les renseignements; 
• De la possibilité que les renseignements soient communiqués à l’extérieur du Québec. 

Sur demande de la personne concernée, les organisations devront également l’informer : 

• Des renseignements personnels recueillis auprès d’elle; 
• Des catégories de personnes qui ont accès à ces renseignements au sein de l’organisation; 
• De la durée de conservation de ces renseignements; 
• Des coordonnées du responsable de la protection des renseignements personnels. 

Enfin, les organisations doivent transmettre ces informations à la personne concernée en utilisant des termes simples et clairs, quel que soit le moyen utilisé pour recueillir les renseignements. 

Les organisations doivent aviser la Commission et les personnes concernées de tout incident de confidentialité impliquant un renseignement personnel qu’elles détiennent et présentant un risque de préjudice sérieux. 

Les organisations doivent également tenir un registre des incidents de confidentialité et le communiquer à la Commission, sur demande.

Une organisation peut communiquer un renseignement personnel concernant une personne décédée à son conjoint ou à l’un de ses proches parents si ce renseignement est susceptible d’aider cette personne dans son processus de deuil, à moins que la personne décédée n’ait consigné par écrit son refus d’accorder ce droit d’accès. 

Les personnes peuvent demander aux entreprises de cesser de diffuser leurs renseignements personnels ou de désindexer tout hyperlien rattaché à leur nom donnant accès à des renseignements si cette diffusion leur cause préjudice ou contrevient à la loi ou à une ordonnance judiciaire (droit à l’effacement ou à l’oubli). 

À compter du 22 septembre 2024, si la personne concernée le demande, les organisations auront l’obligation de lui communiquer, dans un format technologique structuré et couramment utilisé, un renseignement personnel informatisé recueilli auprès d’elle. Cette communication pourra aussi être faite à une personne ou à un organisme autorisé à recueillir le renseignement, à la demande de la personne concernée. 

Les renseignements personnels concernant un mineur de moins de 14 ans ne peuvent plus être recueillis auprès de celui-ci sans le consentement du titulaire de l’autorité parentale ou du tuteur, sauf lorsque cette collecte est manifestement au bénéfice de ce mineur. 

La Loi prévoit un nouveau délai pour divulguer à la Commission (PDF, 326 Ko) la création d’une banque de caractéristiques ou de mesures biométriques. Celle-ci doit désormais être divulguée à la Commission au plus tard 60 jours avant sa mise en service. 

De manière plus générale, il est également obligatoire d’aviser la Commission avant d’utiliser toute technique biométrique permettant de vérifier ou de confirmer l’identité d’une personne. Cette technique ne peut être utilisée sans le consentement exprès de la personne. 

Les renseignements biométriques sont désignés comme des renseignements personnels sensibles.

La Loi définit le profilage comme la collecte et l’utilisation de renseignements personnels dans le but d’évaluer certaines caractéristiques d’une personne physique, notamment à des fins d’analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de cette personne. 

Désormais, les organisations recueillant des renseignements personnels auprès de la personne concernée en ayant recours à une technologie comprenant des fonctions permettant de l’identifier, de la localiser ou d’effectuer un profilage doivent l’informer, au préalable : 

• Du recours à une telle technologie; 
• Des moyens offerts pour activer les fonctions permettant d’identifier, de localiser ou d’effectuer un profilage. En d’autres mots, ces technologies ne pourront être activées par défaut : ce sera à la personne concernée de les activer, si elle le souhaite. 

Les organisations doivent notamment informer la personne concernée lorsqu’elle fait l’objet d’une décision fondée exclusivement sur un traitement automatisé de ses renseignements personnels, et ce, au plus tard au moment où elles l’informent de cette décision. 

Les organisations doivent également donner l’occasion à la personne concernée de présenter ses observations à un membre de leur personnel en mesure de réviser cette décision.

Les entreprises doivent désormais publier le titre et les coordonnées du responsable de la protection des renseignements personnels sur leur site Web. Si elles n’ont pas de site, les entreprises doivent rendre ces informations accessibles par tout autre moyen approprié. 

La Commission a préparé des versions administratives de deux lois présentant les textes législatifs tels qu’ils sont en vigueur depuis septembre 2022. Vous pouvez télécharger les documents suivants : 

• Version administrative – Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (Loi sur l’accès) (PDF, 495 Ko) 
• Version administrative – Loi sur la protection des renseignements personnels dans le secteur privé (Loi sur le privé) (PDF, 397 Ko)

Ces documents sont seulement des outils. Ils n’ont pas de valeur juridique et ne remplacent pas les versions officielles des lois diffusées par Les Publications du Québec.

Les organismes publics doivent mettre sur pied un comité sur l’accès à l’information et la protection des renseignements personnels. Celui-ci est chargé de les soutenir dans l’exercice de leurs responsabilités et dans l’exécution de leurs obligations en vertu de la Loi sur l’accès.

La Commission a reçu de nouveaux pouvoirs et de nouvelles responsabilités. Elle doit notamment : 

• Élaborer des lignes directrices sur l’application de la Loi sur l’accès et de la Loi sur le privé; 
• Imposer aux entreprises des sanctions administratives pécuniaires; 
• Intenter des poursuites pénales pour des infractions à la Loi sur le privé (ce pouvoir existe déjà pour la Loi sur l’accès); 
• Évaluer les avis d’incidents de confidentialité présentant un risque de préjudice sérieux qui lui sont transmis par les organisations et, le cas échéant, ordonner : 
  • Un avis aux personnes concernée; 
  • Toute mesure visant à protéger les droits des personnes concernées qui leur sont accordés par les lois; 
  • La remise des renseignements personnels impliqués à l’organisation ou leur destruction; 
• Réaliser ou faire réaliser des recherches, des inventaires, des études ou des analyses en matière d’accès à l’information et de protection des renseignements personnels; 
• Émettre des avis sur des projets de législation ou de développement de systèmes d’information. 

La Commission a le pouvoir d’élaborer des lignes directrices (PDF, 1 713 Ko) pour faciliter l’application de la Loi sur l’accès et de la Loi sur le privé.

La Loi sur le privé s’applique maintenant aussi en partie aux renseignements personnels détenus par un parti politique, un député indépendant ou un candidat indépendant dans la mesure prévue par la Loi électorale.

Cette section ne présente pas les exceptions à la Loi sur le privé prévues dans la Loi électorale. La Commission produira un outil spécifique à cette clientèle au cours des prochains mois.

La Commission a le pouvoir d’imposer des sanctions administratives pécuniaires aux entreprises contrevenant à la Loi sur le privé. Par exemple, les sanctions administratives pécuniaires pourraient atteindre 2 % du chiffre d’affaires mondial ou 10 millions de dollars. 

À la suite d’un manquement passible d’une telle sanction, une personne peut s’engager auprès de la Commission à prendre les mesures nécessaires pour y remédier ou en atténuer les conséquences. La Commission peut fixer des conditions ou prévoir l’obligation de payer une somme d’argent. Si elle approuve l’engagement et qu’il est respecté, la personne ne peut faire l’objet d’une sanction administrative pécuniaire pour les actes ou les omissions constatés par la Commission. 

Comme le prévoit la Loi, la Commission a élaboré et rend public le Cadre général d’application des sanctions administratives pécuniaires (PDF, 257 Ko).