Loi 25 : la deuxième vague de nouvelles dispositions sur la protection de la vie privée au Québec est arrivée

Le paysage législatif québécois en matière de protection de la vie privée subit d’importants changements en raison de l’entrée en vigueur de la loi 25 qui modernise la « Loi sur la protection des renseignements personnels dans le secteur privé ».

En nous appuyant sur nos précédents bulletins concernant les modifications législatives entrées en vigueur l’année dernière, nous examinons à présent les nouveaux changements qui s’appliqueront dès le 22 septembre 2023.

Lourdes sanctions administratives pécuniaires et pénales en cas de non-conformité

Parmi les modifications les plus attendues se retrouvent notamment les nouveaux pouvoirs accordés à la Commission d’accès à l’information (CAI) – l’autorité réglementaire québécoise en matière de protection des renseignements personnels – d’imposer des sanctions aux organisations en cas de non-conformité, dans la même lignée que le RGPD de l’Union européenne. 

Ces sanctions administratives pécuniaires peuvent atteindre jusqu’à 50 000 $ pour une personne physique; et jusqu’à 10 000 000 $ ou 2 % du chiffre d’affaires mondial de l’année financière précédente pour les entités juridiques, selon le montant le plus élevé.

Des incidents plus graves de non-conformité tels que les suivants peuvent en outre entraîner des infractions passibles de poursuites judiciaires : 

• Utilisation de renseignements personnels en violation de la loi
• Défaut de signaler des incidents de confidentialité
• Entrave à une enquête ou à une inspection par la CAI 

Il s’agit d’infractions pour lesquelles une amende de 5 000 $ à 100 000 $ peut être imposée à une personne physique. Pour les entités juridiques, l’amende peut aller de 15 000 $ à 25 000 000 $ ou jusqu’à 4 % du chiffre d’affaires mondial de l’année financière précédente, selon le montant le plus élevé.

Exigences en matière de transparence

De plus, les modifications entrant en vigueur mettent à jour les dispositions relatives au principe de transparence. Elles exigent notamment que les organisations fournissent aux individus certaines informations concernant leurs pratiques en matière de protection de la vie privée. 

Tout individu qui recueille des renseignements personnels auprès d’une personne concernée doit l’informer des éléments suivants dans un « langage simple et clair » : 

• Fins auxquelles ces renseignements sont recueillis
• Moyens par lesquels les renseignements sont recueillis
• Droits d’accès et de rectification prévus par la loi
• Droit de cette personne de retirer son consentement à la communication ou à l’utilisation des renseignements recueillis

Technologies de prise de décision automatisée, d’identification, de localisation et de profilage

Les organisations devront informer les individus concernés lorsque leurs renseignements personnels seront utilisés pour rendre une décision fondée exclusivement sur le traitement automatisé de ces renseignements. Sur demande, une organisation doit informer l’individu concerné :
a)    des renseignements personnels utilisés dans la décision;
b)    des principaux facteurs et critères utilisés pour prendre la décision;
c)    du droit de la personne de faire corriger tout renseignement personnel incorrect qui a été utilisé.

Qui plus est, les modifications introduisent pour les organisations qui collectent des renseignements personnels au moyen de technologies comportant des fonctions d’identification, de localisation ou de profilage (p. ex., les témoins utilisés pour la publicité ciblée) l’obligation d’informer les individus concernés :
a)    de l’utilisation de ces technologies; 
b)    des moyens par lesquels ces fonctionnalités sont activées.

Exigences en matière de consentement des mineurs

La législation concernant le consentement des mineurs est modifiée. Désormais, les renseignements personnels d’un mineur de moins de 14 ans ne peuvent être conservés sans le consentement de la personne ayant l’autorité parentale ou du tuteur. Il existe toutefois une exception selon laquelle un consentement n’est pas requis lorsque la collecte d’informations est manifestement bénéfique pour le mineur.

Destruction et anonymisation des renseignements personnels

Les organisations ont désormais l’obligation de détruire ou d’anonymiser les renseignements personnels lorsque les fins pour lesquelles ils ont été recueillis ou utilisés ont été accomplies. Il est donc important d’évaluer en permanence s’il existe des raisons légitimes de conserver des renseignements personnels dans les systèmes.

Incidence organisationnelle sur les entreprises

Les organisations doivent établir et mettre en œuvre des politiques de gouvernance et des pratiques concernant les renseignements personnels. Des informations détaillées au sujet de ces politiques et pratiques doivent être publiées pour consultation publique. Ces politiques et pratiques doivent aussi fournir un cadre pour la conservation et la destruction des renseignements, définir les rôles et responsabilités des employés tout au long du cycle de vie des renseignements, et fournir un processus de traitement des plaintes concernant la protection des renseignements. 

De surcroît, les organisations ont l’obligation de procéder à une évaluation des facteurs relatifs à la vie privée pour tout projet lié à l’acquisition, au développement ou à la refonte de systèmes d’information ou de systèmes de prestation de services électroniques traitant de renseignements personnels. Une évaluation similaire doit dorénavant être réalisée lorsque les renseignements personnels sont transférés hors du Québec.

Droit à l’oubli

Le Québec est la première juridiction au Canada à accorder aux individus un « droit à l’oubli ». Une personne aura le droit de demander à une entreprise ou à une personne de cesser de diffuser des informations ou de déréférencer tout hyperlien attaché à son nom.

Points à retenir

Ces changements qui entreront en vigueur le 22 septembre 2023 auront une incidence significative sur le fonctionnement des entreprises. En effet, ils les obligeront à établir des politiques de collecte de données personnelles et à mener des évaluations de l’incidence sur la vie privée au moment où les informations sortent de la province. Nous continuerons à suivre de près la manière dont la CAI exercera ses pouvoirs en ce qui concerne l’imposition de sanctions administratives en cas de non-conformité.

Télécharger l’aide-mémoire

Si vous avez des questions sur la façon dont ces changements toucheront les activités de votre entreprise, nous vous invitons à communiquer avec notre groupe de cybersécurité et de protection des données.