Survol des nouvelles dispositions de la Loi sur la protection des renseignements personnels dans le secteur privé — Quels impacts pour les employeurs ?

Le 22 septembre 2021 fut sanctionnée la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, LQ 2021, c. 25, qui vient modifier, entre autres, la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c P-39.1 [Loi]. Plusieurs dispositions sont entrées en vigueur le 22 septembre 2022. Cependant la majorité des modifications entreront en vigueur le 22 septembre 2023.

Il est donc important pour les employeurs de prendre connaissance de leurs nouvelles obligations, existantes et à venir.

Nous présentons un bref survol des nouvelles obligations susceptibles d’incomber aux employeurs du secteur privé. Bien que ne nous traitons pas de celle-ci explicitement, plusieurs modifications similaires ont été apportées à la loi régissant le secteur public, la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ c A-2.1.

Nomination d’un Responsable de la protection des renseignements personnels

Depuis le 22 septembre 2022, une entreprise a l’obligation de nommer une personne responsable de la protection des renseignements personnels [Responsable]. Le Responsable est notamment chargé de recevoir les demandes d’accès ou de rectification des renseignements personnels. Son titre et ses coordonnées doivent être publiés sur le site Web de l’entreprise ou rendus accessibles par tout autre moyen approprié.

Obligation d’adopter une politique encadrant la gestion des renseignements personnels

À partir du 22 septembre 2023, l’entreprise aura aussi l’obligation de mettre en œuvre des politiques et pratiques encadrant sa gestion de renseignements personnels.

Des informations détaillées sur ces politiques et pratiques devront aussi être publiées sur le site Web de l’entreprise ou par un autre moyen approprié. La politique devra prévoir les éléments suivants :

• L’encadrement applicable à la conservation et à la destruction des renseignements personnels;
• Les rôles et responsabilités du personnel;
• Le processus de traitement de plaintes.

Obligation de déclarer les incidents de confidentialité

Depuis le 22 septembre 2022, une entreprise a l’obligation de divulguer tout incident de confidentialité susceptible de causer un préjudice sérieux, à la Commission d’accès à l’information [CAI] d’une part, ainsi qu’à toute personne dont un renseignement personnel est concerné, y compris ses employés. Les incidents doivent également être consignés à un registre.

L’accès, la communication ou l’utilisation non autorisés de renseignements personnels ainsi que la perte d’un renseignement personnel sont tous des situations qui constituent un incident de confidentialité.

Nouvelles dispositions encadrant la collecte des renseignements personnels des employés et les technologies de surveillance du rendement au travail

Dans le cadre de la gestion et du contrôle de la prestation de travail de ses employés, l’employeur peut avoir recours à des technologies visant à évaluer, analyser ou calculer le rendement au travail. Souvent appelées « télésurveillance » ou « cybersurveillance », ces technologies peuvent prendre diverses formes : vérification de l’utilisation non autorisée d’Internet, suivi des courriels, surveillance des appels téléphoniques, surveillance des déplacements et toute autre surveillance numérique visant à déterminer quand un employé est à son travail et quand il ne l’est pas[1].

En plus de respecter ses obligations en vertu du Code civil du Québec, de la Charte des droits et libertés de la personne et de la Charte canadienne des droits et libertés de la personne, lorsqu’applicable, en matière de respect de la vie privée, l’employeur devra, à partir du 22 septembre 2023, informer ses employés lorsqu’il utilise des technologies de surveillances qui permettent de les identifier, les localiser ou d’effectuer un profilage aux fins d’analyse du rendement de travail. Il devra, de plus, informer ses employés des moyens offerts pour activer les fonctions permettant la surveillance du rendement au travail.

L’employeur devra en outre informer l’employé :

• Des fins pour lesquelles les renseignements sont recueillis;
• Des moyens par lesquels les renseignements sont recueillis;
• Des droits d’accès et de rectification prévus par la Loi;
• De son droit de retirer son consentement à la communication ou à l’utilisation des renseignements recueillis;
• Le cas échéant, du nom du tiers pour qui la collecte de renseignements est faite ou à qui ces renseignements seront communiqués.

Sur demande de l’employé, l’employeur devra également l’informer des éléments suivants :

• Ses renseignements personnels qui sont recueillis;
• Les catégories de personnes qui y auront accès au sein de l’entreprise;
• La durée de la conservation des renseignements;
• Les coordonnées du Responsable.

De plus, toute personne exploitant une entreprise qui recueille des renseignements personnels concernant ses employés pour un intérêt sérieux et légitime devra, à partir du 22 septembre 2023, déterminer les fins de la collecte avant d’entamer celle-ci. Les renseignements recueillis devront uniquement être ceux qui sont nécessaires aux fins déterminées avant la collecte et ne pourront être utilisés à d’autres fins sans le consentement de l’employé, avec quelques exceptions.

À noter que la Loi explicite désormais, depuis le 22 septembre 2022, que la fonction, le titre d’une personne au sein d’une entreprise ainsi que les coordonnées de son milieu de travail ne constituent pas des renseignements personnels visés par les mesures de protection prévues à celle-ci.

Obtenir le consentement de l’employé — nouvelles exigences de forme

Présentement, un employé doit donner son consentement à la communication à un tiers d’un renseignement personnel le concernant, sauf exceptions prévues à la Loi.

À partir du 22 septembre 2023, le consentement de l’employé sera notamment requis afin d’utiliser un renseignement personnel le concernant à d’autres fins que celles pour lesquelles il a été recueilli.

La Loi exigera également que le consentement écrit de l’employé soit consigné dans un document distinct. Pratiquement, ceci veut dire que l’employeur ne pourra plus insérer une clause de consentement à même le contrat de travail.

L’obligation de divulguer l’utilisation d’un système automatisé de traitement de candidatures dans le cadre d’embauches ou de promotions

Un employeur qui utilise un système technologique automatisé, souvent en ayant recours à l’intelligence artificielle, afin d’effectuer un filtrage des candidatures qu’il reçoit dans le cadre du recrutement devra, à partir du 22 septembre 2023, en informer la personne et permettre à celle-ci de présenter ses observations.

Sur demande de la personne concernée, l’employeur devra également l’informer des éléments suivants :

• Les renseignements personnels qui ont été utilisés pour rendre la décision;
• Des raisons ainsi que des principaux facteurs et paramètres ayant mené à la décision;
• De son droit de faire rectifier les renseignements personnels utilisés pour rendre la décision.

Recours et sanctions

Depuis le 22 septembre 2022, il est interdit de rétrograder, suspendre, congédier, déplacer ou d’imposer toute autre mesure disciplinaire à un employé pour avoir déposé une plainte à la CAI.

À partir du 22 septembre 2023, un employé pourra déposer une plainte sous le couvert de l’anonymat sur toute matière relative au traitement des renseignements personnels par son employeur et des pratiques de celui-ci à cet effet.

L’entreprise qui ne respectera pas la Loi et notamment, recueillera, utilisera, communiquera, conservera ou détruira un renseignement personnel en contravention à celle-ci s’exposera à une sanction administrative pécuniaire de 10 000 000 $ ou d’un montant correspondant à 2 % du chiffre d’affaires mondial de l’exercice financier précédent si ce dernier montant est plus élevé.

L’entreprise s’exposera également à des amendes d’une somme de 15 000 $ à 25 000 000 $, ou d’un montant représentant 4 % du chiffre d’affaires mondial de l’exercice financier précédent de l’entreprise si ce dernier montant est plus élevé pour le non-respect de certaines dispositions.

Contrairement aux sanctions pénales que sont les amendes, le recours à une sanction administrative pécuniaire permettra aux entreprises de s’engager auprès de la CAI à prendre les mesures nécessaires pour remédier aux manquements indiqués dans l’avis de non-conformité émis par celle-ci. Si cette entente est acceptée par la CAI et respectée par l’entreprise, aucune sanction administrative pécuniaire ne sera imposée. La sanction administrative pécuniaire pourra aussi faire l’objet d’un réexamen devant la CAI et d’une contestation devant la Cour du Québec par la suite, le cas échéant.

À noter que la CAI ne peut imposer une sanction administrative pécuniaire à une personne lorsque celle-ci a reçu un constat d’infraction antérieurement pour une même contravention survenue le même jour et découlant des mêmes faits.

[1] Catherine Massé-Lacoste et Camille G. Grenon, « Télésurveillance : le contrôle de la prestation de travail à l’ère du télétravail et ses limites », dans SFCBQ, vol. 511, Développements récents en droit du travail, Cowansville, Éditions Yvon Blais, 2022, p.8.