Opinions

Protection des renseignements personnels : les organismes publics doivent se tenir prêts aux nouvelles exigences

Main image

Cynthia Chassigneux Et Caroline Deschênes

2021-11-18 11:15:00

Deux avocates analysent les nouvelles exigences concernant la loi sur la protection des renseignements personnels...

Les avocates et associées Cynthia Chassigneux et Caroline Deschênes sont les auteures de cet article. Source: Site web de Langlois
Les avocates et associées Cynthia Chassigneux et Caroline Deschênes sont les auteures de cet article. Source: Site web de Langlois
La ''Loi modernisant des dispositions législatives en matière de protection des renseignements personnels'', adoptée le 21 septembre dernier par l’Assemblée nationale du Québec et sanctionnée le lendemain (« Loi 25 »), modifie le cadre juridique applicable non seulement aux entreprises, mais aussi aux organismes publics assujettis à la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (« Loi sur l’accès »).

Parmi les dispositions modernisant la Loi sur l’accès, plusieurs concordent avec les modifications apportées à la ''Loi sur la protection des renseignements personnels dans le secteur privé''. Il en va ainsi, notamment :
  • de la définition de renseignement personnel (art. 54) ou de ce qu’il convient d’entendre par renseignements personnels sensibles (art. 59 al. 3), dépersonnalisés (art. 65.1) ou anonymisés (art. 73);

  • du consentement (art. 53.1) et des informations qu’un organisme public doit transmettre, par exemple, en ce qui a trait,

  • *au nom des tiers qui recueillent les renseignements personnels en son nom, du nom des tiers ou des catégories de tiers à qui il est nécessaire de communiquer les renseignements personnels recueillis (art. 65);

  • *à la possibilité que les renseignements personnels recueillis soient communiqués à l’extérieur du Québec (art. 65);

  • *aux fonctions permettant d’identifier la personne concernée, de la localiser ou d’effectuer un profilage de celle-ci (art. 65.0.1);

  • *au fait qu’une décision rendue à l’endroit de la personne concernée soit fondée exclusivement sur un traitement automatisé de ses renseignements personnels (art. 65.2);

  • de l’obligation de s’assurer que, lorsqu’un organisme public recueille des renseignements personnels en offrant au public un produit ou un service technologique disposant de paramètres de confidentialité, ce dernier assure, par défaut, le plus haut niveau de confidentialité, sans aucune intervention de la personne concernée (art. 63.6.1);

  • de l’obligation de déclarer les incidents de confidentialité impliquant les renseignements personnels détenus par un organisme public qui présentent un risque qu’un préjudice sérieux soit causé (art. 63.7);

  • du droit à la portabilité (art. 84);

  • de la communication afin d’aider le demandeur dans son processus de deuil (art. 88.0.1);

  • de l’octroi de dommages-intérêts punitifs d’au moins 1 000 $ lorsqu’une atteinte illicite à un droit cause un préjudice et que cette atteinte est intentionnelle ou résulte d’une faute lourde (art. 167).


  • Cependant, certaines dispositions de la Loi 25 sont propres aux organismes publics ou viennent modifier les mécanismes actuels en vertu de la Loi sur l’accès. Voici donc un tour d’horizon des éléments auxquels les organismes publics devraient également porter une attention particulière :
  • Responsable de la protection des renseignements personnels et comité sur l’accès à l’information et la protection des renseignements personnels

  • Règles encadrant la gouvernance à l’égard des renseignements personnels et politique de confidentialité

  • Réaliser des évaluations des facteurs relatifs à la vie privée (« EFVP »)

  • Augmentation des amendes pénales pour les organismes publics

  • Entrée en vigueur des nouvelles dispositions de la Loi sur l’accès


  • Responsable de la protection des renseignements personnels et comité sur l’accès à l’information et la protection des renseignements personnels

    Il est prévu qu’un organisme public soit responsable de la protection des renseignements personnels qu’il détient (art. 52.2).

    La personne ayant la plus haute autorité au sein d’un organisme public exerce désormais la fonction de responsable de l’accès aux documents et (non plus « ou ») celle de responsable de la protection des renseignements personnels. Ces fonctions peuvent toujours être déléguées par écrit, en tout ou en partie, à un membre de l’organisme public ou de son conseil d’administration, selon le cas, ou à un membre du personnel de direction. La Loi 25 prévoit que cette personne doit pouvoir exercer ses fonctions de manière autonome. La Commission d’accès à l’information (« CAI ») doit être avisée par écrit, dès que possible, du titre, des coordonnées et de la date d’entrée en fonction de la personne qui exerce la fonction de responsable de l’accès aux documents et de ceux de la personne qui exerce la fonction de responsable de la protection des renseignements personnels.

    En plus du ou des responsables, un comité sur l’accès à l’information et la protection des renseignements personnelsCAIPRP ») doit être mis sur pied. Cette obligation était prévue à l’article 2 du Règlement sur la diffusion de l’information et sur la protection des renseignements personnels. Elle est désormais prévue à l’article 8.1 de la Loi sur l’accès.

    Ce comité relève de la personne ayant la plus haute autorité au sein de l’organisme ou, dans le cas d’un ministère, du sous-ministre et, dans le cas d’une municipalité, d’un ordre professionnel ou d’une commission scolaire, du directeur général (art. 8.1 al. 2).

    Des organismes qui, auparavant, n’avait pas à mettre sur pied un tel comité devront donc en constituer un. Néanmoins, il est prévu qu’un règlement du gouvernement puisse exclure un organisme public de l’obligation de former ce comité ou modifier les obligations d’un organisme en fonction des critères qu’il définit (art. 8.1 al. 3).

    Ce comité aura pour mission de soutenir l’organisme public dans l’exercice de ses responsabilités et dans l’exécution de ses obligations. Ainsi, ce comité devra, entre autres,:
  • approuver les règles encadrant la gouvernance que l’organisme public doit adopter à l’égard des renseignements personnels (art. 63.3);

  • être consulté dès le début de tout projet d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services impliquant le cycle de vie des renseignements personnels. Il pourra suggérer des mesures de protection des renseignements personnels applicables à ce projet (art. 63.5 et 63.6).


  • Règles encadrant la gouvernance à l’égard des renseignements personnels et politique de confidentialité

    Il est prévu qu’un organisme public doit publier sur son site Internet des règles encadrant sa gouvernance à l’égard des renseignements personnels qu’il détient (art. 63.3). Ces règles peuvent prendre la forme d’une politique, d’une directive ou d’un guide. Elles doivent notamment prévoir :
  • les rôles et les responsabilités des membres de son personnel tout au long du cycle de vie des renseignements personnels;

  • un processus de traitement des plaintes relatives à la protection des renseignements personnels;

  • une description des activités de formation et de sensibilisation que l’organisme offre à son personnel en matière de protection des renseignements personnels;

  • les mesures de protection à prendre à l’égard des renseignements personnels recueillis ou utilisés dans le cadre d’un sondage.


  • Il est également prévu qu’un organisme public qui recueille des renseignements personnels par un moyen technologique, doit publier sur son site Internet et diffuser par tout moyen propre à atteindre les personnes concernées une politique de confidentialité rédigée en termes simples et clairs. Il fait de même pour l’avis dont toute modification à cette politique doit faire l’objet (art. 63.4).

    Le contenu et les modalités de ces règles et de cette politique de confidentialité pourront être déterminés par un règlement du gouvernement.

    Réaliser des évaluations des facteurs relatifs à la vie privée (« EFVP »)

    Tout comme les entreprises, les organismes publics devront réaliser une EFVP pour tout projet d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels (art. 63.5), ou encore avant de communiquer des renseignements personnels à l’extérieur du Québec, ou de confier à une personne ou à un organisme à l’extérieur du Québec la tâche de recueillir, d’utiliser, de communiquer ou de conserver pour son compte de tels renseignements (art. 70.1).

    Les organismes publics devront également procéder à une telle évaluation en cas de :
  • collecte de renseignements nécessaires à l’exercice de leurs attributions ou à la mise en œuvre d’un programme d’un organisme avec lequel ils collaborent pour la prestation de services ou pour la réalisation d’une mission commune (art. 64);

  • communication, sans le consentement des personnes concernées, à une personne ou à un organisme public souhaitant utiliser les renseignements à des fins d’étude, de recherche ou de production de statistiques (art. 67.2.1 à 67.2.3);

  • communication d’un renseignement personnel, sans le consentement de la personne concernée, en vertu de l’article 68 de la Loi sur l’accès.


  • Dans ces trois cas, en plus de devoir réaliser une EFVP, les organismes publics devront conclure une entente écrite et la transmettre à la CAI. Il convient de souligner que la Loi 25 précise désormais le contenu de ces ententes. Il est également prévu que ces ententes entreront en vigueur 30 jours après leur réception par la CAI.

    Dans le cas des communications à des fins d’étude, de recherche ou de production de statistiques, mais aussi de celles faites en vertu de l’article 68 de la Loi sur l’accès, la réalisation d’une EFVP et la conclusion d’une entente tiennent compte du fait que les articles 125 et 70 de la Loi sur l’accès sont abrogés par la Loi 25.

    Dans ces deux cas, l’EFVP devra conclure que :
    #l’objectif ne peut être atteint que si les renseignements sont communiqués sous une forme permettant d’identifier les personnes concernées;
    #il est déraisonnable d’exiger l’obtention du consentement des personnes concernées;
    #l’objectif l’emporte, eu égard à l’intérêt public, sur l’impact de la communication et de l’utilisation des renseignements sur la vie privée des personnes concernées;
    #les renseignements personnels sont utilisés de manière à en assurer la confidentialité, et;
    #dans le cas de la communication à des fins d’étude, de recherche ou de production de statistiques, seuls les renseignements nécessaires sont communiqués.

    Augmentation des amendes pénales pour les organismes publics

    La Loi 25 augmente également les amendes prévues aux articles 158 et 159 de la Loi sur l’accès et ne fait plus référence à la notion de « sciemment » à l’article 159 de cette loi. Elle précise également qu’en cas de récidive, les amendes sont portées au double (art. 164.1). Enfin, elle prévoit que les poursuites pénales doivent être intentée dans un délai de cinq (5) ans de la perpétration de l’infraction (art. 164.2).

    La Loi 25 prévoit deux paliers d’amendes distincts, en fonction du type d’infraction. Ainsi :
  • en vertu de l’article 158 de la Loi sur l’accès, sera passible d’une amende de 1 000 $ à 10 000 $ dans le cas d’une personne physique, et de 3 000 $ à 30 000 $ dans les autres cas, quiconque :

  • *refuse ou entrave l’accès à un document ou à un renseignement accessible en vertu de la Loi, notamment en détruisant, modifiant ou cachant le document ou en retardant indûment sa communication;

  • *donne accès à un document dont la Loi ne permet pas l’accès ou auquel un organisme public, conformément à la Loi, refuse de donner accès;

  • *informe une personne de l’existence d’un renseignement dont elle n’a pas le droit d’être informée en vertu de la Loi;

  • *entrave l’exercice des fonctions du responsable de l’accès aux documents ou de la protection des renseignements personnels;

  • *recueille, utilise, conserve ou détruit des renseignements personnels en contravention à la Loi;

  • *omet de déclarer, s’il est tenu de le faire, un incident de confidentialité à la CAI ou aux personnes concernées;

  • *est en défaut de respecter les conditions prévues à une entente conclue, en application de l’article 67.2.3, pour la communication de renseignements personnels à une personne ou à un organisme public souhaitant utiliser les renseignements à des fins d’étude, de recherche ou de production de statistiques.

  • en vertu de l’article 159 de la Loi sur l’accès, sera passible d’une amende de 5 000 $ à 100 000 $ dans le cas d’une personne physique, et de 15 000 $ à 150 000 $ dans les autres cas, quiconque :

  • *communique des renseignements personnels en contravention à la Loi;

  • *procède ou tente de procéder à l’identification d’une personne physique à partir de renseignements dépersonnalisés sans l’autorisation de l’organisme public qui les détient ou à partir de renseignements anonymisés;

  • *entrave le déroulement d’une enquête ou d’une inspection de la CAI, ou l’instruction d’une demande par celle-ci, en lui communiquant des renseignements faux ou inexacts ou en omettant de lui communiquer des renseignements qu’elle requiert ou autrement;

  • *refuse ou néglige de se conformer, dans le délai fixé, à une demande transmise en application de l’article 127.1 de fournir des renseignements ou documents permettant de vérifier l’application de la Loi ou ses règlements;

  • *contrevient à une ordonnance de la CAI;

  • *ne prend pas les mesures de sécurité propres à assurer la protection des renseignements personnels conformément à l’article 63.1.


  • Il convient de noter que, lors de l’étude détaillée de la Loi 25, un article 160 a été ajouté à la Loi sur l’accès afin de prévoir les facteurs qu’un juge devra considérer dans l’établissement de la peine.

    Entrée en vigueur des nouvelles dispositions de la Loi sur l’accès

    Enfin, il est prévu que les nouvelles dispositions de la Loi sur l’accès entreront en vigueur dans les deux (2) ans de la sanction de la Loi 25, soit le 22 septembre 2023, à l’exception des dispositions suivantes :
  • Entrée en vigueur le 22 septembre 2022 :

  • *responsable de l’accès aux documents et responsable de la protection des renseignements personnels;

  • *CAIPRP;

  • *responsabilité des organismes publics;

  • *incidents de confidentialité;

  • *communications à des fins d’étude, de recherche ou de production de statistiques.

  • Entrée en vigueur le 22 septembre 2024 :

  • *droit à la portabilité.


Même si une période transitoire est prévue avant l’entrée en vigueur des dispositions de la Loi 25, il ne faut pas sous-estimer tout ce qu’il convient de prévoir pour s’assurer de la conformité des organismes publics à ces nouvelles exigences. Les organismes publics seraient donc bien avisés d’entamer immédiatement une revue de leurs processus, politiques et pratiques afin d’être adéquatement préparés.

Sur les auteures

Les avocates et associées Cynthia Chassigneux et Caroline Deschênes pratiquent chez Langlois Avocats. Me Chassigneux pratique en litige en technologie et à l’accès à l'information. Me Deschênes pratique en litige commerciaux et civils.
4075

Publier un nouveau commentaire

Annuler
Remarque

Votre commentaire doit être approuvé par un modérateur avant d’être affiché.

NETiquette sur les commentaires

Les commentaires sont les bienvenus sur le site. Ils sont validés par la Rédaction avant d’être publiés et exclus s’ils présentent un caractère injurieux, raciste ou diffamatoire. Si malgré cette politique de modération, un commentaire publié sur le site vous dérange, prenez immédiatement contact par courriel (info@droit-inc.com) avec la Rédaction. Si votre demande apparait légitime, le commentaire sera retiré sur le champ. Vous pouvez également utiliser l’espace dédié aux commentaires pour publier, dans les mêmes conditions de validation, un droit de réponse.

Bien à vous,

La Rédaction de Droit-inc.com

PLUS

Articles similaires