Examen par la Commission parlementaire terminé pour le projet de loi 64 : Un pas de plus vers une réforme importante du régime québécois de protection des renseignements

L’étude détaillée de la en commission parlementaire de la Loi modernisant des dispositions législatives en matière de protection des renseignementspersonnels (le « projet de loi 64 » ou le « projet de loi ») du gouvernement du Québec s’est terminée le 24 août 2021. Le projet de loi 64 a été présenté pour la première fois par le gouvernement du Québec à l’Assemblée nationale le 12 juin 2020. Après des mois d’examen par la Commission ayant débuté en février 2021, l’étude détaillée du projet de loi par la Commission des institutions de l’Assemblée nationale s’est terminée le 24 août 2021.

Dans le but d’améliorer la transparence, d’accroître le niveau de confidentialité des données et de renforcer les exigences en matière de consentement, le projet de loi 64 apportera de nombreuses modifications au régime actuel de protection des renseignements personnels dans la province de Québec, notamment en révisant la Loi sur la protection des renseignements personnels dans le secteur privé (la « Loi sur le secteur privé »). Le projet de loi 64 aura des conséquences importantes pour les sociétés qui font des affaires au Québec et celles qui traitent des renseignements personnels des résidents du Québec.

Dans ce blog, nous présentons un résumé des récents amendements apportés par la Commission au projet de loi 64 relativement à la Loi sur le secteur privé.

Étapes suivantes

Bien que la réforme proposée par le projet de loi 64 soit probablement imminente, elle doit encore être adoptée officiellement par l’Assemblée nationale du Québec. Quelques étapes du processus législatif doivent être complétées: l’examen du rapport de la Commission à l’Assemblée nationale du Québec, l’adoption du projet de loi, la réception de la sanction royale et, enfin, son entrée en vigueur. D’autres amendements sont encore possibles au stade de l’adoption du rapport. Considérant la majorité parlementaire de l’équipe gouvernementale, on peut raisonnablement s’attendre à ce que le projet de loi 64 soit adopté au cours de l’automne 2021.

Principales évolutions

Dans un précédent blog publié à l’occasion de le dépôt du projet de loi 64 à l’Assemblée nationale du Québec, nous avons fait état des amendements à l’actuelle Loi sur le secteur privé tel que proposés par le projet de loi dans sa forme initiale. Le présent blog traite des amendements adoptés par la Commission des institutions de l’Assemblée nationale lors des travaux des commissions parlementaires depuis février 2021, à la suite d’une consultation publique. En comparaison avec les dispositions initiales du projet de loi, les changements apportés par les plus récents amendements créent à la fois de la flexibilité et, dans certains cas, des contraintes plus importantes pour les entreprises. Certaines modifications répondent positivement à quelques-unes préoccupations soulevées lors des audiences publiques de septembre 2020 sur le projet de loi 64 par certains membres du milieu des affaires québécois, tout en en ignorant d’autres.

Les principales modifications apportées en comité comprennent les suivantes :

1. la possibilité de déléguer à quiconque le poste de « responsable de la protection des renseignements personnels »;

2. L’obligation pour les entreprises qui recueillent des renseignements personnels d’informer les personnes physiques du nom des tiers auxquels ces renseignements peuvent être communiqués;

3. Permettre aux entreprises d’utiliser les renseignements personnels sans le consentement nécessaire pour fournir un produit ou un service, ainsi qu’à des fins de prévention de la fraude et d’amélioration de la sécurité;

4. Exiger que les entreprises, avant de communiquer des renseignements personnels à l’extérieur du Québec, procèdent à une évaluation démontrant que les renseignements personnels bénéficieraient d’une protection adéquate en vertu des principes de protection de la vie privée généralement reconnus;

5. Un nouveau mécanisme de limitation des sanctions administratives pécuniaires ; et

6. De nouveaux droits pour les individus.

1. Délégation du poste de responsable de la protection des renseignements personnels

Dans la version initiale du projet de loi 64, ce poste, assigné par défaut à la personne ayant la plus haute autorité dans une entreprise, ne pouvait être délégué qu’à un membre du personnel de l’entreprise,. Désormais, la personne ayant la plus haute autorité peut déléguer ce rôle à n’importe quelle personne, qu’elle travaille pour l’entreprise ou non, permettant ainsi aux entreprises d’externaliser cette fonction à une personne spécialisée.[1]

2. Nouvelle obligation d’informer les personnes physiques du nom des tiers auxquels l’information peut être communiquée

Le comité a ajouté que les entreprises doivent informer les personnes physiques du nom réel de tiers (plutôt que de se contenter des grandes catégories de tiers) auxquels elles peuvent communiquer leurs renseignements personnels afin de répondre aux fins pour lesquelles ils ont été recueillis.[2] Il s’agit là d’une exigence peu pratique qui alourdira considérablement la charge des entreprises qui passent des contrats avec plusieurs fournisseurs de services pour traiter les renseignements personnels.

3. Permettre aux entreprises d’utiliser des renseignements personnels sans le consentement dans de nouvelles circonstances

D’autre part, avec les amendements du comité, les entreprises bénéficieront d’un plus grand nombre d’exceptions à l’obligation d’obtenir le consentement de la personne dont elles recueillent les renseignements personnels. En effet, les derniers amendements indiquent que le consentement n’est pas requis lorsque l’une des situations suivantes se présente :

a) l’utilisation est nécessaire pour la prévention et la détection de la fraude ou pour l’évaluation et l’amélioration des mesures de protection et de sécurité ;[3] ou

b) l’utilisation est nécessaire pour la fourniture ou la livraison d’un produit ou pour la prestation d’un service demandé par la personne concernée.[4]

De plus, le projet de loi 64 crée une nouvelle exception à l’obligation de consentement lorsque la communication de renseignements personnels est nécessaire pour conclure une opération commerciale. Le projet de loi initial définissait les « transactions commerciales » uniquement comme un transfert de propriété de la totalité ou d’une partie d’une entreprise. Les modifications élargissent cette définition pour inclure notamment la vente de la totalité ou d’une partie des actifs d’une entreprise, des changements dans sa structure par voie de fusion ou autrement, ainsi que toute forme de financement ou de cautionnement pour garantir une obligation.[5] 

La version initiale du projet de loi 64 introduit également dans la Loi sur le secteur privé la notion d’information dépersonnalisée. Aucun consentement n’est requis pour l’utilisation de renseignements personnels à une nouvelle fin lorsque cette utilisation est requise à des fins de recherche ou à des fins statistiques. Les modifications n’ont pas modifié cet ajout bienvenu, mais l’ont qualifié en ajoutant qu’une personne qui exploite une entreprise utilisant des informations dépersonnalisées doit prendre des mesures raisonnables pour limiter les risques qu’une personne puisse être identifiée sur la base d’informations dépersonnalisées.[6]

4. Divulgation de renseignements personnels à l’extérieur du Québec

La version initiale du projet de loi 64 prévoyait l’exigence pour toutes les entreprises qu’elles divulguent des renseignements personnels à l’extérieur du Québec seulement si le territoire visé offre un niveau de protection équivalent à celui qui prévaut dans le régime québécois. En réponse aux préoccupations exprimées au sujet de cette exigence peu pratique, y compris dans le monde des affaires, la dernière version du projet de loi 64 est plus souple : il ne nécessite maintenant qu’un niveau de protection adéquat, eu égard aux principes de protection de la vie privée généralement reconnus.[7] Toutefois, suivant la rédaction modifiée de cette disposition, les entreprises doivent procéder à une évaluation de l’impact sur la vie privée (y compris une évaluation du cadre juridique applicable à la protection des données dans le territoire étranger où les renseignements personnels seront transférés aux fins de traitement).

5. Mécanismes de mise en application

Les principaux mécanismes d’application du projet de loi 64 comprenaient des sanctions administratives pécuniaires et pénales. Les derniers amendements augmentent la sanction pénale maximale pour les personnes physiques de 50 000 $ à 100 000 $, tandis que la sanction pénale maximale initiale pour les entreprises reste fixée à 25 000 000 $ ou 4 % de leur chiffre d’affaires mondial de l’exercice financier précédent, si ce dernier est plus élevé.[8] Puisque que ces amendes peuvent être doublées en cas de récidive, la véritable sanction pénale maximale pour les entreprises est de 50 000 000 $ ou 8 % de leur chiffre d’affaire mondial. À titre indicatif, les modifications n’ont pas non plus modifié le montant maximal de la sanction administrative, qui reste de 50 000 $ pour une personne physique et, pour toutes les autres personnes, de 10 000 000 $ ou de 2 % de leur chiffre d’affaires mondial de l’exercice financier précédent, si ce dernier est plus élevé.[9] Ainsi, le gouvernement du Québec n’a pas répondu aux préoccupations selon lesquelles ces pénalités potentielles élevées pourraient avoir des répercussions défavorables disproportionnées sur les entreprises.

Toutefois, en ce qui concerne les sanctions administratives pécuniaires, les modifications apportées au projet de loi 64 introduisent un nouveau mécanisme permettant à une personne (y compris les entreprises) de reconnaître une violation et de s’engager, auprès de la Commission d’accès à l’information (la « CAI »), à prendre les mesures nécessaires pour remédier ou atténuer les conséquences de sa violation de la Loi. Cet engagement doit décrire les actes et omissions qui entraînent la violation et indiquer les dispositions pertinentes de la loi. Bien que la CAI puisse imposer comme condition de l’engagement le paiement d’une certaine somme d’argent, si l’engagement est accepté par cette dernière, la personne qui exploite une entreprise ne peut plus être soumise à une sanction pécuniaire administrative pour les actes ou omissions décrits dans l’engagement.[10] Il convient de noter que ce mécanisme ne s’applique pas aux sanctions pénales susmentionnées. En outre, les amendements ajoutent comme critère d’évaluation pour la détermination d’une sanction (y compris son montant, dans le cas d’une sanction pécuniaire), la capacité de paiement de la personne qui a commis la violation, notamment en ce qui concerne ses actifs, son chiffre d’affaires et ses revenus.

6. Droits accordés aux particuliers

Enfin, le projet de loi 64 modifie l’obligation actuelle des entreprises de donner, sur demande, un accès individuel aux renseignements personnels qu’elles détiennent dans leurs dossiers. La version originale du projet de loi 64 a ajouté l’obligation de fournir aux demandeurs, sauf si cela soulève de graves difficultés pratiques, des renseignements personnels informatisés sous une forme structurée et d’usage technologique courant. Les amendements du comité ont ajouté que ce droit d’obtenir des renseignements personnels dans un format technologique d’usage courant ne comprend pas les renseignements créés ou déduits de renseignements personnels recueillis auprès de cette personne.[11]

Conclusion

L’étude du projet de loi par la Commission parlementaire a apporté plusieurs modifications importantes à la version originale du projet de loi 64, tout en conservant sa structure générale et certaines de ses dispositions les plus controversées. Bien que le projet de loi n’ait pas encore été adopté par l’Assemblée nationale, les entreprises devraient déjà commencer - ou continuer - leurs préparatifs en vue de cette réforme imminente, qui vise à transformer le paysage de la protection des renseignements personnels au Québec.

Restez à l’écoute des autres publications de McCarthy Tétrault sur ce sujet.

Pour en savoir plus sur la manière dont notre groupe Cyber/Data peut vous aider à naviguer dans le paysage de la confidentialité et des données, veuillez contacter les coleaders nationaux Charles Morgan et Daniel Glover.

[1] Article 95 du projet de loi, tel que modifié.

[2] Article 99 du projet de loi, tel que modifié.

[3] Article 102 du projet de loi, tel que modifié.

[4] Article 102 du projet de loi, tel que modifié.

[5] Article 104 du projet de loi, tel que modifié.

[6] Article 102 du projet de loi, tel que modifié.

[7] Article 103 du projet de loi, tel que modifié.

[8] Article 151 du projet de loi, tel que modifié.

[9] Article 150 du projet de loi.

[10] Article 150 du projet de loi, tel que modifié.

[11] Article 112 du projet de loi, tel que modifié.

Auteurs

Abonnez-vous

Recevez nos derniers billets en français

Inscrivez-vous pour recevoir les analyses de ce blogue.
Pour s’abonner au contenu en français, procédez à votre inscription à partir de cette page.

Veuillez entrer une adresse valide