Opinions
Protection des renseignements personnels au Québec : votre entreprise est-elle prête pour les nouvelles règles en vigueur en septembre?
Mes Ellie Marshall, Wendy Mee Et Ronak Shah
2022-09-15 11:15:00
Votre entreprise est-elle prête à faire face aux nouvelles modifications de lois en matière de protection de renseignements personnels?
Dans de précédents bulletins, nous avons examiné comment le projet de loi no 64 allait modifier la législation québécoise sur la protection des renseignements personnels. Bien que la plupart des modifications entreront en vigueur en septembre 2023, nous traitons ci-dessous de changements importants qui prendront effet en septembre prochain.
Délégation à un responsable de la protection des renseignements personnels
La Loi sur la protection des renseignements personnels du Québec crée à l’égard de toute personne qui exploite une entreprise l’obligation de protéger les renseignements personnels qu’elle détient et désigne automatiquement la personne ayant la plus haute autorité au sein de l’entreprise (p. ex. le chef de la direction) comme étant le « responsable de la protection des renseignements personnels ».
Le rôle de « responsable de la protection des renseignements personnels » peut être délégué à une autre personne, notamment à un directeur de la protection des renseignements personnels, voire à un tiers. Le cas échéant, la délégation doit être faite par écrit.
Le titre et les coordonnées du responsable de la protection des renseignements personnels doivent par ailleurs être publiés sur le site Web de l’entreprise ou, si l’entreprise n’a pas de site Web, ceux-ci doivent être rendus accessibles par tout autre moyen approprié.
Déclaration obligatoire des incidents de confidentialité
Tout comme l’obligation prévue à la Loi sur la protection des renseignements personnels et les documents électroniques (Canada) (la « LPRPDE »), les entreprises doivent aviser, avec diligence, la Commission d’accès à l’information du Québec (la « Commission ») ainsi que les personnes concernées de tout « incident de confidentialité » impliquant un renseignement personnel qui présente un risque de préjudice sérieux.
Un « incident de confidentialité » s’entend de ce qui suit :
#l’accès non autorisé par la loi à un renseignement personnel;
#l’utilisation non autorisée par la loi d’un renseignement personnel;
#la communication non autorisée par la loi d’un renseignement personnel;
#la perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.
Lorsqu’elle évalue si un incident de confidentialité présente un risque de préjudice sérieux, l’entreprise doit considérer la sensibilité du renseignement concerné, les conséquences appréhendées de l’utilisation de celui-ci et la probabilité qu’il soit utilisé à des fins préjudiciables.
Les entreprises doivent également tenir un registre de tous les incidents de confidentialité et le transmettre à la Commission sur demande.
Le Québec a publié un projet de règlement sur les incidents de confidentialité qui devrait entrer en vigueur le 22 septembre 2022. Le règlement établit les exigences en ce qui a trait aux éléments de contenu devant être inclus dans les avis à la Commission et aux personnes concernées.
Le règlement précise également que les registres des incidents de confidentialité doivent être conservés pendant une période minimale de cinq ans après la date à laquelle l’entreprise a pris connaissance de l’incident.
Dans le cas de la LPRPDE, les registres de toutes les atteintes aux mesures de sécurité doivent être conservés pendant 24 mois, sous réserve d’autres exigences prévues par la loi (comme une exigence de conservation aux fins d’un litige) selon lesquelles des périodes de conservation plus longues s’imposent.
Communication de renseignements personnels nécessaire aux fins de la conclusion d’une transaction commerciale
Les entreprises sont maintenant autorisées, sous réserve de certaines exceptions, à communiquer des renseignements personnels sans le consentement de la personne concernée lorsque cette communication est nécessaire aux fins de la conclusion d’une transaction commerciale.
Cette modification harmonisera la Loi sur la protection des renseignements personnels du Québec avec d’autres lois sur la protection des renseignements personnels dans le secteur privé, dont la LPRPDE, et signifie que des renseignements personnels pourraient être partagés dans le cadre du processus de diligence raisonnable.
Une « transaction commerciale » s’entend « de l’aliénation ou de la location de tout ou partie d’une entreprise ou des actifs dont elle dispose, d’une modification de sa structure juridique par fusion ou autrement, de l’obtention d’un prêt ou de toute autre forme de financement par celle-ci ou d’une sûreté prise pour garantir l’une de ses obligations ».
Une entente de protection des données doit avoir été conclue par les parties. L’entreprise qui reçoit les renseignements personnels doit convenir d’utiliser les renseignements uniquement aux fins de la conclusion de la transaction et de ne pas les communiquer sans avoir obtenu un consentement ou alors de les communiquer uniquement comme le lui permet la Loi sur la protection des renseignements personnels du Québec.
Ces entreprises doivent également convenir de protéger la confidentialité des renseignements personnels et de détruire ceux-ci si la transaction commerciale n’est pas conclue ou si l’utilisation de ceux-ci n’est plus nécessaire aux fins de la conclusion de la transaction commerciale.
Enregistrement des banques de données biométriques
La Loi sur les TI du Québec régit la collecte et l’utilisation de caractéristiques biométriques, notamment lorsque des techniques biométriques sont utilisées pour vérifier ou confirmer l’identité d’une personne.
Auparavant, les entreprises étaient uniquement tenues d’aviser la Commission de la création d’une banque de caractéristiques ou de mesures biométriques. Toutefois, aucune indication du délai dans lequel l’avis devait être fourni n’était précisée. Dorénavant, les entreprises sont tenues d’aviser la Commission sans tarder, au plus tard 60 jours avant la mise en service de la banque.
Les entreprises seront également tenues d’aviser la Commission de tout procédé utilisé pour vérifier ou confirmer l’identité d’une personne qui permet la saisie de caractéristiques ou de mesures biométriques, sauf lorsque la vérification ou la confirmation a été divulguée auparavant à la Commission et sauf si la personne concernée y a consenti expressément.
L’identité de la personne ne peut alors être établie qu’en faisant appel au minimum de caractéristiques ou de mesures permettant de la relier à l’action qu’elle pose et que parmi celles qui ne peuvent être saisies sans qu’elle en ait connaissance.
À propos des auteurs
Ellie Marshall est avocate associée chez Blake, Cassels & Graydon LLP. Sa pratique se concentre sur la protection des consommateurs, les soins de santé, la confidentialité, l'accès à l'information et la cybersécurité. Elle conseille des organisations provenant de secteurs public et privé, opérant dans des secteurs hautement réglementés.
Wendy Mee est également avocate associée chez Blake, Cassels & Graydon LLP. Elle est coprésidente du groupe de protection de la vie privée de Blakes et responsable nationale de la protection de la vie privée du cabinet. Elle fournit des conseils pratiques et stratégiques en matière de confidentialité à des clients d'un large éventail de secteurs, notamment la technologie, les services financiers, l'assurance, l'éducation, la vente au détail et les biens de consommation.
Ronak Shah est expert-conseil chez Blake, Cassels & Graydon LLP. Sa pratique se concentre sur la confidentialité, la gouvernance des données et la protection des données. Il conseille des entreprises technologiques nationales et internationales et d'autres organisations sur des questions liées à l'utilisation et à la propriété des données, aux transactions commerciales complexes et à l'intelligence artificielle.
Ellie Marshall est avocate associée chez Blake, Cassels & Graydon LLP. Sa pratique se concentre sur la protection des consommateurs, les soins de santé, la confidentialité, l'accès à l'information et la cybersécurité. Elle conseille des organisations provenant de secteurs public et privé, opérant dans des secteurs hautement réglementés.
Wendy Mee est également avocate associée chez Blake, Cassels & Graydon LLP. Elle est coprésidente du groupe de protection de la vie privée de Blakes et responsable nationale de la protection de la vie privée du cabinet. Elle fournit des conseils pratiques et stratégiques en matière de confidentialité à des clients d'un large éventail de secteurs, notamment la technologie, les services financiers, l'assurance, l'éducation, la vente au détail et les biens de consommation.
Ronak Shah est expert-conseil chez Blake, Cassels & Graydon LLP. Sa pratique se concentre sur la confidentialité, la gouvernance des données et la protection des données. Il conseille des entreprises technologiques nationales et internationales et d'autres organisations sur des questions liées à l'utilisation et à la propriété des données, aux transactions commerciales complexes et à l'intelligence artificielle.
2463
Publier un nouveau commentaire