La réforme québécoise de la protection des données devient loi

Le projet de loi 64, une réforme de la législation provinciale québécoise sur la protection de la vie privée, a maintenant force de loi. Les modifications apportées à, entre autres, la Loi sur la protection des renseignements personnels dans le secteur privé ont reçu leur sanction le 22 septembre 2021 et entreront en vigueur progressivement au cours des trois prochaines années.

Comme nous l'avons déjà signalé dans notre publication du 16 juin 2020, la réforme s'inspire du Règlement général sur la protection des données (RGPD) de l'UE. Elle introduit notamment des sanctions allant de 15 000 à 25 millions de dollars canadiens ou un montant correspondant à 4 % du chiffre d'affaires annuel mondial d'une entreprise, le montant le plus élevé étant retenu.

Si les dispositions du projet de loi 64 entreront progressivement en vigueur d'ici le 22 septembre 2023, certaines dispositions entreront en vigueur dès le 22 septembre 2022, notamment en ce qui concerne :

• l'obligation de signaler une atteinte à la vie privée;
• l'obligation de désigner un responsable de la protection de la vie privée ; et
• l'exception permettant la divulgation de renseignements personnels dans le cadre de transactions commerciales (p. ex., fusions et acquisitions) et à des fins d'étude ou de recherche.

Avant ces changements, sous réserve des exceptions applicables dans certaines industries, les organisations exerçant des activités commerciales au Canada n'étaient soumises à des obligations légales de déclaration à la suite d'une atteinte à la vie privée qu’aux termes du Personal Information and Privacy Act de l’Alberta et là où la loi fédérale sur la protection de la vie privée dans le secteur privé (c'est-à-dire la LPRPDE) s'appliquait. Par contre, à compter du 22 septembre 2022, les organisations devront également se conformer à une obligation de notification aux les personnes affectées au Québec par une atteinte à la vie privée et signaler l'incident à la Commission d'accès à l'information - l'organisme provincial de réglementation de la protection de la vie privée. Tout manquement à cette obligation pourrait déclencher les lourdes sanctions monétaires décrites ci-dessus.

On ne saurait sous-estimer l'ampleur de cette réforme. Les organisations opérant au Québec doivent préparer leurs modèles de gouvernance, leur technologie et leur personnel à se conformer aux nouvelles obligations dès leur entrée en vigueur.