Annie Bourgeois et Eric Alexandre Guimond, les auteurs de cet article. Source: Site web de Langlois

Prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent; et

Déterminer si l’incident de confidentialité présente un risque qu’un préjudice sérieux soit causé. Si tel est le cas, il doit, avec diligence, en aviser les personnes concernées et la Commission d’accès à l’information.

La sensibilité du renseignement concerné;

Les conséquences appréhendées de son utilisation; et

La probabilité qu’il soit utilisé à des fins préjudiciables.

Des fins auxquelles ces renseignements sont recueillis;

Des moyens par lesquels les renseignements sont recueillis;

Des droits d’accès et de rectification prévus par la Loi;

De son droit de retirer son consentement à la communication ou à l’utilisation des renseignements recueillis; et

Du nom du tiers pour qui la collecte est faite, du nom des tiers ou des catégories de tiers à qui il est nécessaire de communiquer les renseignements, le cas échéant.

À propos des auteurs



Annie Bourgeois est associée au bureau de Langlois Avocats à Montréal. Elle pratique le droit du travail et de l’emploi ainsi que le litige en général.



Elle conseille des employeurs en ce qui concerne les relations du travail, tant sur le plan collectif que sur le plan individuel, notamment quant aux questions touchant les normes du travail, les litiges individuels, la rédaction de contrats de travail, les obligations de concurrence et de loyauté, le congédiement, les mesures disciplinaires et les droits de la personne en milieu de travail.



Eric Alexandre Guimond est avocat en droit du travail et de l’emploi chez Langlois Avocats. Reconnu pour son approche méthodique et rigoureuse, Me Guimond a agi pour différents acteurs du secteur public au niveau provincial et fédéral, mais aussi du secteur privé.



Il a notamment conseillé des sociétés privées du domaine des médias et des communications dans le cadre de licenciements individuels et de clauses contractuelles de confidentialité, de non-concurrence et de non-sollicitation.

Tout employeur assujetti à la Loi doit maintenant désigner un responsable de la protection des renseignements personnels qui voit au respect et à la mise en œuvre de la Loi. Un employeur peut assigner ce rôle à qui il le souhaite.À défaut, la Loi prévoit que le responsable de la protection des renseignements personnels est de facto la personne ayant la plus haute autorité au sein de l’organisation. Enfin, le titre et les coordonnées de ce responsable doivent être publiés sur le site Web de l’employeur ou, s’il n’a pas de site, rendus accessibles par tout autre moyen approprié.En cas i) d’accès, d’utilisation ou de communication d’un renseignement personnel non autorisés par la Loi, ii) de perte d’un renseignement personnel ou iii) de toute autre atteinte à la protection d’un renseignement personnel (un « incident de confidentialité »), l’employeur est maintenant tenu de :Les éléments suivants doivent notamment être pris en considération afin de déterminer si l’incident de confidentialité présente un risque de préjudice sérieux :De plus, les employeurs doivent maintenant tenir un registre des incidents de confidentialité, dont une copie devra être transmise à la Commission d’accès à l’information si celle-ci en fait la demande.Ce registre doit notamment inclure les informations suivantes : les circonstances de l’incident, le nombre de personnes visées, l’évaluation de la gravité du risque de préjudice et les mesures prises en réaction à l’incident. Les dates pertinentes devraient aussi y figurer : survenance de l’incident, détection par l’organisation, transmission des avis (s’il y a lieu), etc.1À partir de maintenant, un employeur doit donc avoir les réflexes d’identifier les incidents de confidentialité au sein de son organisation, d’en évaluer la gravité et de tenir un registre.Par exemple, dans le cas où un employé transmet par courriel à un tiers externe de l’organisation des données personnelles d’employés, il n’est plus suffisant de simplement dire au destinataire de supprimer le courriel; comme mentionné précédemment, les nouvelles dispositions de la Loi exigent beaucoup plus.L’employeur devra, dès l’automne 2023, faire preuve d’une grande transparence dans sa collecte et son utilisation de données et obtenir préalablement le consentement des candidats ou employés concernés.Afin d’être valide, le consentement donné devra être manifeste, libre et éclairé, et être donné à des fins spécifiques. Pour ce faire, il devra être demandé en termes simples et clairs et, lorsque demandé par écrit, celui-ci devra et être présenté distinctement de toute autre information présentée.À noter également que le consentement ne sera valide que pour la durée nécessaire à la réalisation des fins auxquelles il a été demandé.En plus de ce qui précède, l’employeur devra également aviser tout candidat ou employé :Ces changements législatifs auront un impact notable sur le consentement et les informations à fournir lors de la collecte de renseignements personnels dans le cadre du processus d’embauche et, par la suite, sur la collecte de données des employés.Par exemple, les clauses de consentement dans le cadre d’un processus d’embauche, comme la vérification d’antécédents, devront être revues afin d’assurer que l’employeur informe le candidat qu’il transmettra les informations de celui-ci à une firme d’enquête externe, le cas échéant, et que le consentement ne sera valide que pour la durée du processus d’embauche.Pour ce qui est de la pratique d’inclure les demandes de consentement à la collecte de renseignements personnels dans le manuel d’employés ou dans un contrat d’emploi où le consentement est trop souvent « noyé » dans un paragraphe portant sur divers sujets, cette façon de faire ne sera plus souhaitable puisque le consentement obtenu ne sera pas valide à la lumière des nouvelles dispositions législatives.Nous encourageons donc les employeurs à présenter la demande de consentement séparément des autres informations, en plus d’informer le candidat ou l’employé que l’employeur peut lui apporter une assistance pour l’aider à comprendre la portée du consentement si ce dernier le requiert.À partir du 22 septembre 2023, un employeur qui entend recourir à une technologie comprenant des fonctions permettant d’identifier, de localiser ou encore de profiler un employé devra en informer ce dernier.L’employeur devra également revoir ses pratiques en la matière, notamment s’il utilise certains logiciels de surveillance des employés, comme un détecteur d’activité sur un ordinateur de travail ou un logiciel de géolocalisation. Il devra dorénavant s’assurer de la nécessité de recourir à de telles technologies et informer les employés des moyens offerts pour activer ces fonctions.À noter que lorsqu’un employeur prend une décision basée sur des renseignements personnels, par exemple, congédier un employé sur la base d’informations obtenues dans le cadre de surveillance technologique, les renseignements devront être conservés pendant au moins un an.À partir du 22 septembre 2023, les employeurs auront l’obligation d’établir et de mettre en œuvre des politiques et des pratiques visant à protéger les renseignements personnels en termes simples et clairs, de même que de publier des informations détaillées au sujet de celles-ci.Elles devront notamment établir i) les règles en matière de conservation et de destruction des renseignements personnels, ii) les rôles et responsabilités des employés et iii) un processus de traitement des plaintes.Pour plusieurs, il s’agira d’une nouvelle tâche, mais pour d’autres, il s’agira uniquement de mettre à jour leurs politiques et de s’assurer que les employés peuvent facilement y avoir accès. Une fois les politiques en place, il sera essentiel d’informer les employés, notamment par l’entremise d’un communiqué et/ou d’une formation.Bien qu’il ne s’agisse ici que d’un aperçu des nombreux changements à venir pour les entreprises, ces modifications à la Loi requièrent une adaptation des employeurs opérant leurs activités au Québec afin d’éviter les risques accrus relativement non seulement aux possibles incidents, mais aussi aux sanctions administratives et pénales, dont le montant des amendes a substantiellement augmenté.Pour en connaître davantage ou pour obtenir conseil quant à ces nouvelles obligations pour les employeurs envers leurs employés, communiquez avec notre groupe de droit du travail et de l’emploi.