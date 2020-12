Me Antoine Aylwin, l’auteur de cet article. Photo : Site web de Fasken

Alors que le Code des professions prévoit une responsabilité pour répondre aux demandes d'accès à des renseignements personnels, le Projet de loi prévoit désormais la nomination par défaut du plus haut responsable de l'organisme comme responsable de la protection des renseignements personnels. Toutefois, cette obligation ne s'appliquera pas pour les activités qui relèvent du contrôle de l'exercice de la profession, vu l'exclusion d'application de l'article 8 de la Loi sur l'accès, lequel contiendra cette obligation. Ce sera donc une exception, alors que seule cette portion de l'activité des ordres professionnels échappera à une telle obligation au Québec;

Par contre, l'obligation de mettre en place un comité sur l'accès à l'information et la protection des renseignements personnels demeure applicable selon la rédaction actuelle du Projet de loi, en ce qui concerne les activités de contrôle de l'exercice de la profession;

Dans le cadre de tout projet de système d'information ou de prestation électronique de services impliquant des renseignements personnels, l'ordre professionnel devra procéder à une évaluation des facteurs relatifs à la vie privée (« EFVP »);

Une nouvelle obligation de notification des incidents de sécurité lorsqu'il existe un « risque qu'un préjudice sérieux soit causé » est proposée pour aviser les personnes concernées, la Commission d'accès à l'information et potentiellement toute personne ou organisme susceptible de diminuer le risque;

À partir du moment où des moyens technologiques sont utilisés pour recueillir des renseignements personnels, une nouvelle obligation est proposée de mettre sur le site Internet de l'Ordre une politique de confidentialité « rédigée en termes simples et clairs »;

Pour les processus de décision fondée exclusivement sur un traitement automatisé de renseignements personnels, un nouveau régime de divulgation préalable et de processus de révision doit être mis en place;

Les modalités d'obtention d'un consentement concernant la collecte, l'utilisation et la communication de renseignements personnels est plus encadrée, notamment en requérant un consentement explicite lorsque des renseignements sensibles sont en cause et en requérant une présentation d'une demande de consentement « distinctement de toute autre information communiquée à la personne concernée »;

Un nouveau régime relatif à la communication de renseignements personnels hors-Québec, lequel nécessite une EFVP, laquelle doit analyser le régime juridique de l'État où le renseignement serait communiqué en comparaison avec le droit québécois, à moins que le ministre déclare un État comme équivalent.

Pour les questions administratives, il faudrait dorénavant un contrat écrit avec un contenu minimal pour communiquer des renseignements personnels à un mandataire ou un prestataire de service, sauf si celui-ci est un organisme public ou un membre d'un ordre professionnel;

La communication de renseignements personnels sans consentement pour des fins d'étude, de recherche ou de production de statistiques sans nécessité d'une approbation préalable de la Commission d'accès à l'information, mais suite à une EFVP et un processus encadré;

Retrait de l'exception permettant d'utiliser ou de communiquer des renseignements personnels sans consentement pour des fins de prospections commerciales ou philanthropiques du côté administratif;

L'obligation du côté administratif de détruire ou anonymiser les renseignements personnels lorsque les fins sont accomplies;

Une nouvelle obligation de donner accès aux renseignements personnels dans un format « technologique structuré et couramment utilisé »;

Au niveau administratif, un nouveau droit de demander la désindexation de tout hyperlien rattaché au nom d'un individu permettant d'accéder à ce renseignement par un moyen technologique. Hormis les cas d'application de la loi ou d'ordonnance judiciaire, il s'agit d'un droit assujetti à une évaluation d'une balance des inconvénients entre la réputation ou la vie privée de l'individu et l'intérêt du public, ce qui risque de poser des enjeux d'application concrets;

Un nouveau droit pour l'ordre professionnel de communiquer à un tiers des renseignements personnels « si la connaissance est susceptible d'aider le requérant dans son processus de deuil », sauf si la personne décédée avant consigné par écrit son refus d'accorder ce droit d'accès;

Pour les activités administratives, les sanctions potentielles seront de 10 000 000 $ par sanctions administratives et 25 000 000 $ par sanction pénale, en plus du potentiel de dommages-intérêts punitifs d'au moins 1000 $ pour une faute lourde.

Une nouvelle obligation de publier sur le site internet de l'ordre professionnel les règles encadrant la gouvernance à l'égard des renseignements personnels, avec certaines informations obligatoires, dont les modalités de traitement de données de sondage;

Une nouvelle obligation de prêter assistance au demandeur d'accès pour l'aider à comprendre la décision. On comprend mal comment cette obligation va s'exercer, alors que cette obligation va essentiellement s'exercer en cas de refus. C'est assez particulier de demander d'expliquer une décision rendue après coup et on peut se demander si les « explications » feront partie de la décision sujette à révision devant la Commission d'accès à l'information.

Un nouveau pouvoir attribué à la Commission d'accès à l'information d'assujettir toute demande devant la Commission à l'autorisation du président de la Commission et selon les conditions qu'il détermine, afin de faire face aux personnes quérulentes.

À propos de l’auteur



Me Antoine Aylwin est associé et cochef de la pratique vie privée et cybersécurité chez Fasken. La pratique du Barreau 2003 est axée sur le litige administratif, civil, commercial ainsi qu'en droit successoral.

Le Projet de loi n°64, soit la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (le « Projet de loi ») vise à modifier les pratiques relatives à la protection des renseignements personnels pour toutes les organisations au Québec. Le présent bulletin vise à illustrer les impacts spécifiques aux ordres professionnels.Depuis l'ajout en 2006 des articles 108.1 et suivants du Code des Professions, les ordres professionnels sont habitués de devoir composer avec un régime hybride, où leurs activités relatives au contrôle de l'exercice de la profession sont essentiellement assujetties à un régime d'accès à l'information comme les organismes publics, alors que leurs activités administratives sont assujetties à un régime équivalent à celui s'appliquant aux entreprises privées, le tout complété par des dispositions particulières du Code des professions.En plus de ce régime hybride, les ordres professionnels doivent également composer avec la réalité voulant que la responsabilité d'application de ces dispositions relève en partie de leur syndic pour les documents et renseignements qu'il obtient, détient ou communique.Il convient d'entrée de jeu de noter que le Code des professions n'est pas modifié par le Projet de loi. En conséquence, on doit comprendre que les modifications ne sont pas adaptées à la réalité des ordres professionnels, lesquels devront appliquer les nouvelles dispositions, par l'effet du renvoi prévu au Code des professions qui demeure inchangé.En conséquence, ce n'est pas une, mais bien deux réformes que les ordres professionnels devraient appliquer en même temps lors de la mise en vigueur des amendements.Bien que le Projet de loi prévoit plusieurs dispositions à ce sujet, nous avons choisi de traiter des modifications qui auront le plus d'impact sur la gestion des renseignements personnels par les ordres professionnels.Ces modifications se retrouvent à la fois dans la Loi sur l'accès pour la portion relevant du contrôle de l'exercice de la profession et la Loi sur le privé pour les questions administratives (nous ferons les distinctions lorsque appropriées) :Par l'assujettissement des activités de contrôle de l'exercice de la profession à la Loi sur l'accès, le législateur a choisi d'assujettir en principe tous les documents au régime d'accès public, sujet à l'application des exceptions de la Loi sur l'accès. Bien que le régime d'accès comme tel n'est pas profondément revu par le Projet de loi (aucun amendement substantif aux articles 9 à 41.3), plusieurs questions administratives ont fait l'objet de modifications.Nous avons noté que les modifications suivantes seraient susceptibles d'intéresser les ordres professionnels sur les droits d'accès dans le cadre du contrôle de l'exercice de la profession :Il nous apparaît que le Code des professions devrait faire partie de la réflexion, alors que le régime hybride par renvoi à la Loi sur l'accès et la Loi sur le privé a ses limites, alors qu'on se rend compte qu'il y a peut-être des lacunes, notamment au sujet de la nomination d'un responsable de le protection des renseignements personnels.Nous sommes d'avis que le législateur ne voudra pas que les ordres professionnels se retrouvent à être les seules organisations à ne pas être complètement assujetties aux principes de base que le législateur a voulu mettre en place en matière de protection des renseignements personnels.L'entremêlement des deux régimes ne va qu'accentuer la tâche difficile pour les ordres professionnels de se conformer aux dispositions des lois québécoises sur la protection des renseignements personnels qui leur sont applicables. Il nous apparaît opportun de se questionner sur l'opportunité de maintenir un tel régime hybride. Il nous apparaîtrait plus simple d'appliquer un seul régime, tout en limitant le droit d'accès à l'information aux renseignements portant sur le contrôle de l'exercice de la profession.Que cela découle d'amendements au Projet de loi ou à une modification ultérieure du Code des professions, nous devons nous attendre à des amendements aux articles 108.1 et suivants du Code des professions.Il faut se rappeler que les ordres professionnels ont toujours été traités de façon distincte, mais avec un certain décalage, alors qu'après un débat jurisprudentiel suivant l'entrée en vigueur de la Loi sur le privé en 1994, ce n'est qu'en 2006 que le régime hybride actuel a été mis en place.