Projet de loi n° 64 au Québec : êtes-vous prêts?

Qu’est-ce que le projet de loi n° 64?

Le mardi 21 septembre 2021, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (la « Loi »), aussi connue comme le projet de loi n° 64, a été adoptée par l’Assemblée nationale du Québec. La Loi régit la protection des données personnelles et apporte des modifications notables à la gouvernance des renseignements personnels au Québec. Qualifiée de loi ayant du mordant (La Presse Canadienne, 2021, par. 2), elle suit le modèle des exigences européennes en matière de protection des renseignements personnels, comme le Règlement général sur la protection des données (RGDP) dans les compétences privées et publiques.

Les changements présentés dans la Loi marquent certains écarts importants par rapport à la législation canadienne actuelle. Malgré tout, un sondage mené en juin dernier par la Fédération des chambres de commerce du Québec (FCCQ) indiquait que près de 40 % des entreprises ne savent pas quelle sera l’incidence du projet de loi n° 64 sur leurs activités et leurs processus.

Votre entreprise est-elle prête? Poursuivez votre lecture pour connaître les changements introduits par le projet de loi.

Que faut-il savoir?

Exigences législatives

Voici une vue d’ensemble des changements susceptibles d’avoir une incidence notable sur les organisations :

• Désignation par les organisations d’un responsable de la protection des renseignements personnels ou création d’un poste équivalent;
• Instauration de mesures propres à l’utilisation d’évaluations des facteurs relatifs à la vie privée;
• Établissement de politiques sur la protection des renseignements personnels accessibles au public et d’exigences pour les pratiques internes relatives à la confidentialité;
• Transmission obligatoire d’un avis pour signaler les atteintes à la vie privée, ce qui s’accorde avec les exigences fédérales actuelles;
• Imposition d’une plus grande transparence au sujet du consentement et de la collecte de renseignements personnels;
• Mise en œuvre des principes de « confidentialité programmée » dans la technologie et les systèmes;
• Consentement de nouveaux droits en matière de données pour les personnes dont les renseignements personnels sont recueillis, notamment :
  • le droit à la portabilité des données;
  • le droit à la prise de décision automatisée;
  • les droits liés au profilage de données;
  • le droit à l’oubli (à l’exception des renseignements d’intérêt public).

Le projet de loi n° 64 introduit des exigences uniques relativement aux données biométriques (empreinte vocale, empreintes digitales, ADN, etc.). Il sera attendu des entreprises qu’elles avisent la Commission d’accès à l’information (CAI) du Québec au moins 60 jours d’avance si elles créent une base de données biométriques.

Vous trouverez plus de détails sur ces changements et leurs échéanciers ci-dessous.

Pénalités

Les organisations qui ne respectent pas les modalités du projet de loi n° 64 et ses règlements d’application s’exposeront à des pénalités plus lourdes qu’aux termes du régime actuel. Ces pénalités varieront en fonction de la taille de l’entreprise, mais ressembleront généralement à ce qui suit :

• 20 000 000 $ ou un montant correspondant à 2 % du chiffre d’affaires mondial de l’exercice financier précédent pour les entreprises privées qui omettent d’appliquer la réglementation.
• 4 % des ventes de l’organisation — ou entre 15 000 $ et 25 000 000 $ — pour les entreprises privées qui s’exposent à des sanctions pénales.
• Deux catégories de pénalités pour les institutions publiques qui ne respectent pas la réglementation :
  • 3 000 $ à 30 000 $
  • 15 000 $ à 150 000 $
• 5 000 $ à 50 000 $ pour les infractions commises par une personne physique.

Surtout, les organisations en mesure de démontrer que les données étaient gérées et recueillies conformément au projet de loi n° 64 ne se verront pas imposer de pénalités s’ils sont victimes d’une cyberattaque.

En vertu du projet de loi n° 64, les citoyens conservent leur droit d’intenter une poursuite civile (y compris une action collective) lorsque leur droit à la confidentialité a été lésé, que ce soit intentionnellement ou par suite d’une faute lourde — à cet effet, les dommages-intérêts commencent à 1 000 $ par personne (cette pénalité n’existe pas aux termes de la LPRDE). Les organisations risquent aussi d’être passibles d’amendes aux termes du Code civil du Québec.

À qui revient la responsabilité de faire appliquer le projet de loi n° 64?

La Commission d’accès à l’information (CAI) du Québec est l’organisme provincial désigné en la matière et à qui il incombe de faire appliquer le projet de loi.

Quand le projet de loi n^o 64 entre-t-il en vigueur?

Bien que le projet ait été officiellement adopté, la loi entrera progressivement en vigueur au cours des trois prochaines années. Pour le moment, on s’attend à ce que les exigences soient établies comme suit :

Au cours des trois prochaines années, la CAI prévoit recruter des experts en technologie pour soutenir le projet de loi n° 64, ainsi que créer et publier des normes et un cadre pour guider les entreprises. Une liste de territoires de compétence ayant un cadre juridique similaire à celui du projet de loi n° 64 devrait être publiée dans la Gazette officielle du Québec pour aider les organisations à connaître les obligations de divulgation des renseignements personnels à l’extérieur de la province.

Première année (2022)

• Responsable de la protection des renseignements personnels
  Les organisations doivent nommer un ou une responsable de la protection des renseignements personnels ou créer une fonction équivalente. Le titre et les coordonnées de cette personne doivent être publiés sur les sites Internet de l’organisation et diffusés par tout moyen approprié, afin que le public puisse trouver l’information facilement.

• Déclaration obligatoire d’un incident de confidentialité
  Les incidents de confidentialité ou toute atteinte aux renseignements personnels qui sont en la possession d’une organisation (accès non autorisé, utilisation ou communication non autorisée, ou perte pouvant causer un préjudice) doivent obligatoirement être déclarés à la Commission d’accès à l’information et aux personnes touchées.
  
  Les organisations doivent tenir un registre des incidents de confidentialité et mettre en évidence les mesures prises pour éviter que de nouveaux incidents similaires ne se produisent. Les dirigeants d’une organisation s’exposent à d’importantes sanctions pécuniaires s’ils omettent de déclarer un incident de confidentialité ou une atteinte à des renseignements personnels.

Deuxième année (2023)

• Politique de confidentialité
  Un organisme doit publier sur son site Internet et diffuser par tout moyen approprié une politique de confidentialité rédigée en termes simples et clairs afin qu’elle soit facile à consulter.

• Gouvernance à l’égard des renseignements personnels et création de programmes
  Les organisations doivent établir et mettre en œuvre des politiques pour assurer la gestion et la protection adéquate des renseignements personnels dans toutes leurs sphères d’activité. Elles devraient en outre créer des programmes exhaustifs visant l’application de ces politiques de même qu’un plan de mise en œuvre et des outils d’évaluation pour ces programmes.
  
  Ces politiques doivent traiter de ce qui suit (sans s’y limiter) :
• Le rôle et les responsabilités des membres du personnel tout au long du cycle de vie des renseignements personnels, définis clairement;
• Le processus de traitement des plaintes relatives à la protection des renseignements personnels;
• L’évaluation des tiers ayant accès aux renseignements personnels et la vérification qu’ils observent les exigences;
• La mise en œuvre de protections appropriées visant les renseignements personnels;
• Les pratiques de conservation et de destruction des renseignements personnels;
• L’établissement d’un cadre de protection des renseignements personnels et de surveillance de la conformité.

• Évaluation de l’incidence sur la protection des renseignements personnels
  Pour s’assurer que la protection des renseignements personnels est conforme aux exigences du projet de loi 64, une évaluation doit être effectuée dans les cas suivants :
• Au moment de l’acquisition, du développement ou du remodelage d’un système d’information;
• Avant la prestation électronique de services faisant usage de renseignements personnels;
• Avant la communication de tout renseignement personnel à l’extérieur du Québec.

De plus, les conventions conclues avec des tiers doivent stipuler les responsabilités des parties en ce qui a trait à la protection des renseignements personnels.

• Fins, collecte et consentement
  Les fins pour lesquelles les renseignements personnels sont recueillis et les méthodes employées pour les recueillir doivent être énoncées clairement et bien comprises afin d’assurer la transparence de la collecte et de répondre aux demandes d’information des particuliers au sujet de l’objet et des pratiques de collecte de l’organisation.
  
  Lors de la collecte de renseignements personnels :
• Un consentement doit être demandé, en termes simples et clairs, pour chacune des fins pour lesquelles les renseignements sont recueillis;
• Un consentement écrit doit être obtenu distinctement de toute autre information communiquée à un particulier, ce qui représente une différence importante par rapport aux règles actuelles prévues par la LPRDE;
• Les moyens de collecte doivent être clairement définis;
• Les particuliers doivent être informés de leur droit d’accéder à leurs renseignements personnels et des façons d’y apporter des modifications;
• Leur droit de retirer leur consentement doit être clairement énoncé;
• Le nom de tout tiers pour lequel les renseignements sont recueillis doit être précisé expressément;
• La possibilité que les renseignements soient communiqués à l’extérieur du Québec doit être clairement signifiée, le cas échéant.

À l’instar de la LPRDE, le projet de loi 64 exige l’obtention d’un nouveau consentement si les renseignements personnels doivent servir à une autre fin. Toutefois, contrairement à la LPRDE, qui exige un consentement implicite, le projet de loi 64 exige que ce consentement soit donné de façon expresse, dès qu’il s’agit d’un renseignement personnel sensible (renseignement qui, par sa nature ou dans le contexte de son utilisation, exige un degré élevé de protection selon des attentes raisonnables).

Aux termes du projet de loi 64, le consentement de tout mineur de moins de 14 ans doit être donné par le titulaire de l’autorité parentale.

• Exceptions relatives au consentement
  Le projet de loi n^o 64 prévoit qu’un organisme peut utiliser un renseignement personnel à une autre fin sans avoir à obtenir le consentement de la personne concernée dans les seuls cas suivants, dont bon nombre ne sont pas traités par la LPRDE :
• Lorsque son utilisation est à des fins compatibles avec celles pour lesquelles il a été recueilli et qu’elle sert la personne concernée;
• Lorsque le renseignement personnel est nécessaire pour conclure une transaction commerciale;
• Lorsque le renseignement personnel est utilisé à des fins de recherche ou de production de statistiques;
• Lorsque le renseignement personnel est de nature commerciale (nom, titre, fonctions, adresse d’entreprise, adresse courriel et numéro de téléphone).

Les cas où les renseignements personnels sont nécessaires pour s’acquitter d’un mandat ou remplir un contrat de services réalisés par un tiers constituent aussi des exceptions. Cette exception a toutefois certaines conditions :

• Le tiers doit posséder un mandat écrit qui détaille ses responsabilités à l’égard des renseignements personnels et les mesures de sécurité en place pour en assurer la protection.
• Un accord écrit doit exiger du tiers qu’il avise le responsable de la protection des renseignements personnels de l’organisation chargé de recueillir les renseignements de toute violation ou tentative de violation de la confidentialité.

• Confidentialité programmée
  Les paramètres de confidentialité de toute technologie ou solution technologique utilisée par une organisation doivent être réglés par défaut au niveau le plus strict en ce qui concerne les renseignements personnels.
  
  En outre, si l’organisation utilise une technologie comprenant des fonctions permettant d’identifier, de localiser ou d’effectuer un profilage d’une personne dont elle a recueilli des renseignements personnels, elle doit informer cette personne du recours à une telle technologie et lui offrir des moyens, le cas échéant, de désactiver ces fonctions.

• Destruction des renseignements personnels
  Il est obligatoire de détruire un renseignement personnel lorsque les fins pour lesquelles il a été recueilli sont accomplies. S’il existe une raison légitime de conserver le renseignement, il est nécessaire de le rendre anonyme.

• Droit à l’oubli
  Les organisations doivent accommoder les personnes qui souhaitent se prévaloir de leur droit de faire cesser la diffusion d’un renseignement personnel ou de désindexer ou réindexer un hyperlien rattaché à leur nom permettant d’accéder à ce renseignement.

Troisième année (2024)

• Portabilité des données
  Les organisations seront tenues de fournir à une personne qui le demande ses renseignements personnels dans un format technologique structuré et couramment utilisé. Elles devront aussi transmettre les renseignements personnels à une autre organisation autorisée à les recueillir si cette personne le demande (p. ex. si elle souhaite changer de fournisseur de services).

• Traitement automatisé des renseignements personnels
  Si les organisations prennent une décision fondée uniquement sur le traitement automatique de renseignements personnels, elles doivent en informer les personnes concernées. Cet avis doit être transmis au moment de la collecte ou avant le traitement automatique des renseignements personnels. En outre, les organisations doivent informer les personnes concernées de la nature des renseignements personnels qui seront utilisés pour prendre une décision, des raisons qui motivent la décision et de tout autre facteur important ayant mené à la décision.
  
  Elles doivent les tenir au courant sur une base régulière de leur droit de rectifier tout renseignement personnel. Les personnes concernées pourront aussi donner leur avis sur toute décision automatisée prise à partir de leurs renseignements personnels.

• Source des renseignements personnels
  Les organisations doivent confirmer à quiconque le demande la provenance de leurs renseignements personnels et préciser si cette source est une autre personne ou une organisation.

Quelles sont les incidences sur les autres provinces qui font affaire avec le Québec?

L’entrée en vigueur du projet de loi n^o 64 peut vous toucher même si votre organisation ne se trouve pas au Québec. Les entreprises qui traitent des renseignements personnels divulgués par des organisations du Québec doivent faire le nécessaire pour que leurs pratiques respectent le projet de loi n^o 64 et répondre de façon satisfaisante aux évaluations des facteurs relatifs à la vie privée menées par des organisations du Québec.

Le projet de loi n^o 64 et les lois émergentes analogues peuvent aussi accroître le besoin de faire appel à des experts en données et en confidentialité dans les organisations du Québec et celles menant des activités interprovinciales et nationales. Certains éléments du projet de loi n^o 64 pourraient aussi s’inscrire dans la législation fédérale dans l’avenir.

Votre organisation est-elle prête pour ces changements?

L’équipe Cybersécurité et confidentialité de MNP peut vous prêter main-forte dans l’analyse interne de vos processus et solutions technologiques pour déterminer si vous répondez aux exigences. Nos experts peuvent aussi vous épauler dans l’amélioration proactive de vos pratiques relatives à la confidentialité et aux données en prévision de la réglementation future. Nous sommes là pour vous aider à demeurer en règle auprès des autorités de réglementation et de vos parties prenantes, mais aussi à observer les exigences en constante évolution.

Sources

LA PRESSE CANADIENNE. (2021, 27 septembre). Heavy Penalties Coming for Companies that are Careless with Quebecers’ Data. iHeart Radio. Provenance :

https://montreal.ctvnews.ca/heavy-penalties-coming-for-companies-that-are-careless-with-quebecers-data-1.5601774

LANGLOIS AVOCATS. (2021, 21 septembre). Protection des renseignements personnels : une entrée en vigueur échelonnée sur trois ans une fois la loi sanctionnée. Provenance :

https://langlois.ca/protection-des-renseignements-personnels-une-entree-en-vigueur-echelonnee-sur-trois-ans-une-fois-la-loi-sanctionnee/

POTECHIN, Mark A. (2021, 28 janvier). Quebec’s Bill 64 proposes amendments to modernize privacy laws. DLA Piper. Provenance :

https://www.dlapiper.com/en/canada/insights/publications/2021/01/quebec-bill-64-proposes-amendments-to-modernize-privacy-laws/

COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA. (2020, 24 septembre). Questions et réponses – projet de loi n^o 64. Provenance :

https://www.priv.gc.ca/fr/nouvelles-du-commissariat/nouvelles-et-annonces/2020/qa_20200924/

REYNOLDS, Molly, Ronak SHAH et Teresa A. REGULY. (2020, 19 juin). Projet de loi 64 du Québec : proposition de modifications importantes au régime provincial de protection de la vie privée. Société d’avocats Torys S.E.N.C.R.L. Provenance :

 https://www.torys.com/insights/publications/2020/06/quebecs-bill-64-proposes-sweeping-changes-to-its-privacy-regime