Loi 25 : de nouvelles obligations en matière de confidentialité entrent en vigueur pour les entreprises.
La protection des renseignements personnels est un enjeu d’actualité. En effet, le nombre d’incidents de confidentialité liés à ce type de renseignements a considérablement augmenté dans les dernières années, entre autres en raison de la hausse de l’utilisation des outils informatiques suite à la pandémie de la COVID‑19.
En premier lieu, il convient de préciser ce qu’est un renseignement personnel. L’article 2 de la Loi sur les renseignements personnels dans le secteur privé [1] (ci-après « Loi sur le privé ») précise qu’« un renseignement personnel [est] tout renseignement qui concerne une personne physique et permet directement ou indirectement, de l’identifier. »
Ces récents enjeux relatifs à la protection de la vie privée ont mené à la sanction de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels [2] (ci-après « Loi 25 ») le 22 septembre 2021. L’adoption de ce projet de loi en 2020 visait à redonner confiance aux Québécois et aux Québécoises quant au sérieux avec lequel les organismes publics et les entreprises privées traitent les renseignements personnels qui les concernent [3]. En effet, les organisations doivent dorénavant se responsabiliser et investir un effort supplémentaire quant à la protection du droit fondamental des citoyens à la vie privée.
La Loi 25 modifie plusieurs lois dont la Loi sur le privé qui s’applique aux entreprises, tel que ce terme est défini à l’article 1525 du Code civil du Québec [4]. En ce sens, certaines de ces modifications sont déjà en vigueur depuis le 22 septembre 2022. C’est d’ailleurs depuis cette date que la Loi sur le privé prévoit explicitement que :
« Toute personne qui exploite une entreprise est responsable de la protection des renseignements personnels qu’elle détient » [5].
En ce 22 septembre, plus d’une cinquantaine d’articles entrent en vigueur, imposant par le fait même une quantité importante d’obligations supplémentaires aux employeurs. Dès maintenant, les entreprises doivent notamment :
- Avoir établi, mis en œuvre et diffusé des politiques et des pratiques encadrant la gouvernance et la protection des renseignements personnels qu’elles collectent, diffusent, conservent et détruisent;
- Réaliser, dans certains cas, une évaluation des facteurs relatifs à la vie privée;
- S’assurer de répondre aux critères imposés par la loi avant d’effectuer toute collecte de renseignements personnels;
- Se conformer aux nouvelles exigences d’information et de transparence édictées;
- Respecter les nouvelles règles encadrant le consentement à la collecte, l’utilisation ainsi que la communication des renseignements personnels;
D’ailleurs, la Commission d’accès à l’information peut élaborer des lignes directrices afin de préciser les critères de validité du consentement. Celle-ci a déjà publié un projet de ligne directrice à ce sujet [6].
- Respecter les nouvelles règles concernant l’utilisation des renseignements personnels;
- Détruire ou anonymiser les renseignements personnels lorsque l’objectif de la collecte initiale est atteint;
- Permettre le droit à la cessation de diffusion ainsi qu’à la désindexation;
- Respecter les exigences de communication des renseignements personnels afin de faciliter le processus de deuil.
De nouvelles sanctions administratives et dispositions pénales entrent également en vigueur, notamment :
- La Commission d’accès à l’information a dorénavant le pouvoir d’attribuer des sanctions administratives pécuniaires aux entreprises qui ne se conforment pas aux exigences de la Loi sur le privé;
- L’augmentation des pénalités prévues en cas de contravention à la Loi sur le privé : de nouvelles dispositions pénales sont en vigueur et exécutoires dans plusieurs cas de contravention à la Loi sur le privé;
- Pour les personnes physiques : amendes de 5 000 $ à 100 000 $;
- Pour les personnes morales :
- des amendes de 15 000 $ à 25 000 000 $ ou 4% du chiffre d’affaires mondial de l’exercice financier précédent lorsque celui-ci excède 25 000 000 $.
La Loi sur le privé vise donc à ce que chaque entreprise effectue sa propre réflexion afin de déterminer où se situent les risques d’incidents de confidentialité dans leur organisation et mette en place les mesures appropriées afin d’éviter de tels incidents et ainsi respecter la vie privée des personnes desquelles elle détient des renseignements personnels.
La notion de vie privée étant évolutive, elle se modifie constamment selon divers facteurs. L’évaluation des risques liés aux incidents de confidentialité doit donc se faire de manière continue au sein de chaque entreprise.
N’hésitez pas à contacter notre équipe de professionnels en matière de droit du travail et de l’emploi. Nous nous ferons un plaisir de répondre à vos questions.
Sources :
[1] RLRQ, c. P-39.1.
[2] LQ, 2021 c. 25.
[3] Québec, Assemblée nationale, Journal des débats. 1er sess., 42e légis., 1er octobre 2020, « Adoption du principe ». 11h40 (M. Tanguay).
[4] RLRQ, c. CCQ-1991.
[5] RLRQ, c. P-39.1. art. 3.1 al.1.
[6] Commission d’accès à l’information du Québec, Lignes directrices 2023-1 sur les critères de validité du consentement, 2023, en ligne : < https://consultation.quebec.ca/rails/active_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–fd376667d42033ed4b0e038988778b5e545d6996/LD_2023-1_Document%20de%20consultation.pdf?content_type=application%2Fpdf&disposition=inline%3B+filename%3D%22LD_2023-1_Document+de+consultation.pdf%22%3B+filename%2A%3DUTF-8%27%27LD_2023-1_Document%2520de%2520consultation.pdf >.
[7] LQ, 2021 c. 25, art. 110.
[8] Commission d’accès à l’information du Québec, Entreprises vers la conformité à la Loi sur le privé, 2023, en ligne : <https://www.cai.gouv.qc.ca/documents/CAI_Guide_obligations_entreprises_vf.pdf >.
Retour