I. Modernisation des lois sur la protection des renseignements personnels

Annoncé depuis près d'un an, le projet de Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (le « projet de loi » ou « PL 64 ») a été présenté à l'Assemblée nationale, le 12 juin dernier.

Une fois adopté, le projet de loi présenté par la ministre de la Justice et responsable des Institutions démocratiques, de la Réforme électorale et de l'Accès à l'information, entraînera des modifications significatives à plusieurs lois afin de moderniser le cadre normatif applicable à la protection des renseignements personnels au Québec.

La démarche de modernisation vise en effet tant les entreprises que les organismes publics et partis politiques et requerra des efforts de mise en conformité pour toutes ces organisations. En effet, la nature des nouvelles obligations et l'importance des sanctions financières potentielles en cas de violations font en sorte que la protection des renseignements personnels ne pourra plus être ignorée en toute impunité.

Le projet de loi propose notamment d'accorder de nouveaux droits aux personnes, dont les droits à la portabilité, à l'effacement et au déréférencement. L'application et le respect de ces droits requerra nécessairement l'adaptation et la mise en place des processus d'affaires au sein de nombreuses entreprises.

Notre équipe pourra vous accompagner dans cette démarche en procédant à une analyse des processus existants, d'identification des écarts et en formulant les recommandations de mise en Suvre requises aux fins de conformité à la loi telle que modifiée.

Nous débutons cette série de publications sur le projet de loi en présentant un aperçu des principales modifications à la Loi sur la protection des renseignements personnels dans le secteur privéLPRPSP »), qui s'applique à toute entreprise Suvrant dans la province.

A. Champ d'application

Le champ d'application de cette loi demeura essentiellement inchangé en ce qui a trait aux entreprises. Le projet de loi précise toutefois :

  • les renseignements personnels visés comprennent ceux recueillis par l'entreprise, même si leur conservation est assurée par un tiers1.
  • les renseignements relatifs à la fonction (nom, titre, adresse professionnelle) ne seront plus assujettis à la LPRPSP2, mettant ainsi fin à une jurisprudence divisée de la Commission d'accès à l'information (CAI) sur la qualification des coordonnées professionnelles à titre de renseignement personnel.

B. Responsabilité de la protection des renseignements personnels

Le projet de loi introduit de façon expresse le principe de responsabilité de l'entreprise qui recueille des renseignements3, lequel est un des principes de base en matière de protection des renseignements personnels.

De façon plus significative pour les entreprises, le statut de « responsable de la protection des renseignements personnels » chargé de veiller à assurer le respect et la mise en Suvre de la LPRPSP, incombera désormais au plus haut dirigeant de l'entreprise4. Les coordonnées de celui-ci ou de la personne à qui la fonction sera déléguée devront être publiées sur le site Internet de l'entreprise ou autrement rendues accessibles en l'absence de site.

C. Gouvernance : adoption de politiques et pratiques

Le PL 64 propose l'introduction d'une obligation applicable à toute entreprise d'adopter et d'appliquer des politiques et des pratiques de gouvernance afin d'assurer la protection des renseignements personnels, qui devront notamment encadrer :

  • la conservation et la destruction des renseignements;
  • les rôles et responsabilités des membres du personnel;
  • le processus de traitement des plaintes5.

Ces politiques devront être approuvées par le responsable de la protection des renseignements personnels6 et être accessibles au public par le site Internet de l'entreprise7. L'entreprise recueillant des renseignements personnels par le biais d'un moyen technologique devra diffuser, et publier sur son site Internet, une politique de confidentialité.8

Sous le volet gouvernance, le projet de loi prévoit également l'obligation de procéder à une analyse de risques en regard de tout projet impliquant la collecte ou l'utilisation de renseignements personnels. Comme pour toute obligation de ce type, les entreprises devront se doter d'une documentation adéquate.

Le futur article 3.3 introduit par ailleurs l'obligation d'assurer une forme de portabilité des renseignements recueillis.

Footnotes

1. Art. 93 PL 64; Art. 1 LPRPSP

2. Art. 93 PL 64; Art. 1 LPRPSP

3. Art. 95 PL 64; Art. 3.1 (nouvelle disposition) LPRPSP

4. Art. 95 PL 64; Art. 3.1 (nouvelle disposition) LPRPSP

5. Art. 95 PL 64; Art. 3.2 (nouvelle disposition) LPRPSP

6. Art. 95 PL 64; Art. 3.2 (nouvelle disposition) LPRPSP

7. Art. 95 PL 64; Art. 3.2 (nouvelle disposition) LPRPSP

8. Art. 99 PL 64; Art. 8.2 (nouvelle disposition) LPRPSP

To view the full article, please click here.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.