Bulletins

951

Survol des nouvelles dispositions de la Loi sur la protection des renseignements personnels dans le secteur privé — Quels impacts pour les employeurs ?

Le 22 septembre 2021 fut sanctionnée la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, LQ 2021, c. 25, qui vient modifier, entre autres, la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c P-39.1 [Loi]. Plusieurs dispositions sont entrées en vigueur le 22 septembre 2022. Cependant la majorité des modifications entreront en vigueur le 22 septembre 2023.

Il est donc important pour les employeurs de prendre connaissance de leurs nouvelles obligations, existantes et à venir.

Nous présentons un bref survol des nouvelles obligations susceptibles d’incomber aux employeurs du secteur privé. Bien que ne nous traitons pas de celle-ci explicitement, plusieurs modifications similaires ont été apportées à la loi régissant le secteur public, la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ c A-2.1.

Nomination d’un Responsable de la protection des renseignements personnels

Depuis le 22 septembre 2022, une entreprise a l’obligation de nommer une personne responsable de la protection des renseignements personnels [Responsable]. Le Responsable est notamment chargé de recevoir les demandes d’accès ou de rectification des renseignements personnels. Son titre et ses coordonnées doivent être publiés sur le site Web de l’entreprise ou rendus accessibles par tout autre moyen approprié.

Obligation d’adopter une politique encadrant la gestion des renseignements personnels

À partir du 22 septembre 2023, l’entreprise aura aussi l’obligation de mettre en œuvre des politiques et pratiques encadrant sa gestion de renseignements personnels.

Des informations détaillées sur ces politiques et pratiques devront aussi être publiées sur le site Web de l’entreprise ou par un autre moyen approprié. La politique devra prévoir les éléments suivants :

  • L’encadrement applicable à la conservation et à la destruction des renseignements personnels;
  • Les rôles et responsabilités du personnel;
  • Le processus de traitement de plaintes.

Obligation de déclarer les incidents de confidentialité

Depuis le 22 septembre 2022, une entreprise a l’obligation de divulguer tout incident de confidentialité susceptible de causer un préjudice sérieux, à la Commission d’accès à l’information [CAI] d’une part, ainsi qu’à toute personne dont un renseignement personnel est concerné, y compris ses employés. Les incidents doivent également être consignés à un registre.

L’accès, la communication ou l’utilisation non autorisés de renseignements personnels ainsi que la perte d’un renseignement personnel sont tous des situations qui constituent un incident de confidentialité.

Nouvelles dispositions encadrant la collecte des renseignements personnels des employés et les technologies de surveillance du rendement au travail

Dans le cadre de la gestion et du contrôle de la prestation de travail de ses employés, l’employeur peut avoir recours à des technologies visant à évaluer, analyser ou calculer le rendement au travail. Souvent appelées « télésurveillance » ou « cybersurveillance », ces technologies peuvent prendre diverses formes : vérification de l’utilisation non autorisée d’Internet, suivi des courriels, surveillance des appels téléphoniques, surveillance des déplacements et toute autre surveillance numérique visant à déterminer quand un employé est à son travail et quand il ne l’est pas[1].

En plus de respecter ses obligations en vertu du Code civil du Québec, de la Charte des droits et libertés de la personne et de la Charte canadienne des droits et libertés de la personne, lorsqu’applicable, en matière de respect de la vie privée, l’employeur devra, à partir du 22 septembre 2023, informer ses employés lorsqu’il utilise des technologies de surveillances qui permettent de les identifier, les localiser ou d’effectuer un profilage aux fins d’analyse du rendement de travail. Il devra, de plus, informer ses employés des moyens offerts pour activer les fonctions permettant la surveillance du rendement au travail.

L’employeur devra en outre informer l’employé :

  • Des fins pour lesquelles les renseignements sont recueillis;
  • Des moyens par lesquels les renseignements sont recueillis;
  • Des droits d’accès et de rectification prévus par la Loi;
  • De son droit de retirer son consentement à la communication ou à l’utilisation des renseignements recueillis;
  • Le cas échéant, du nom du tiers pour qui la collecte de renseignements est faite ou à qui ces renseignements seront communiqués.

Sur demande de l’employé, l’employeur devra également l’informer des éléments suivants :

  • Ses renseignements personnels qui sont recueillis;
  • Les catégories de personnes qui y auront accès au sein de l’entreprise;
  • La durée de la conservation des renseignements;
  • Les coordonnées du Responsable.

De plus, toute personne exploitant une entreprise qui recueille des renseignements personnels concernant ses employés pour un intérêt sérieux et légitime devra, à partir du 22 septembre 2023, déterminer les fins de la collecte avant d’entamer celle-ci. Les renseignements recueillis devront uniquement être ceux qui sont nécessaires aux fins déterminées avant la collecte et ne pourront être utilisés à d’autres fins sans le consentement de l’employé, avec quelques exceptions.

À noter que la Loi explicite désormais, depuis le 22 septembre 2022, que la fonction, le titre d’une personne au sein d’une entreprise ainsi que les coordonnées de son milieu de travail ne constituent pas des renseignements personnels visés par les mesures de protection prévues à celle-ci.

Obtenir le consentement de l’employé — nouvelles exigences de forme

Présentement, un employé doit donner son consentement à la communication à un tiers d’un renseignement personnel le concernant, sauf exceptions prévues à la Loi.

À partir du 22 septembre 2023, le consentement de l’employé sera notamment requis afin d’utiliser un renseignement personnel le concernant à d’autres fins que celles pour lesquelles il a été recueilli.

La Loi exigera également que le consentement écrit de l’employé soit consigné dans un document distinct. Pratiquement, ceci veut dire que l’employeur ne pourra plus insérer une clause de consentement à même le contrat de travail.

L’obligation de divulguer l’utilisation d’un système automatisé de traitement de candidatures dans le cadre d’embauches ou de promotions

Un employeur qui utilise un système technologique automatisé, souvent en ayant recours à l’intelligence artificielle, afin d’effectuer un filtrage des candidatures qu’il reçoit dans le cadre du recrutement devra, à partir du 22 septembre 2023, en informer la personne et permettre à celle-ci de présenter ses observations.

Sur demande de la personne concernée, l’employeur devra également l’informer des éléments suivants :

  • Les renseignements personnels qui ont été utilisés pour rendre la décision;
  • Des raisons ainsi que des principaux facteurs et paramètres ayant mené à la décision;
  • De son droit de faire rectifier les renseignements personnels utilisés pour rendre la décision.

Recours et sanctions

Depuis le 22 septembre 2022, il est interdit de rétrograder, suspendre, congédier, déplacer ou d’imposer toute autre mesure disciplinaire à un employé pour avoir déposé une plainte à la CAI.

À partir du 22 septembre 2023, un employé pourra déposer une plainte sous le couvert de l’anonymat sur toute matière relative au traitement des renseignements personnels par son employeur et des pratiques de celui-ci à cet effet.

L’entreprise qui ne respectera pas la Loi et notamment, recueillera, utilisera, communiquera, conservera ou détruira un renseignement personnel en contravention à celle-ci s’exposera à une sanction administrative pécuniaire de 10 000 000 $ ou d’un montant correspondant à 2 % du chiffre d’affaires mondial de l’exercice financier précédent si ce dernier montant est plus élevé.

L’entreprise s’exposera également à des amendes d’une somme de 15 000 $ à 25 000 000 $, ou d’un montant représentant 4 % du chiffre d’affaires mondial de l’exercice financier précédent de l’entreprise si ce dernier montant est plus élevé pour le non-respect de certaines dispositions.

Contrairement aux sanctions pénales que sont les amendes, le recours à une sanction administrative pécuniaire permettra aux entreprises de s’engager auprès de la CAI à prendre les mesures nécessaires pour remédier aux manquements indiqués dans l’avis de non-conformité émis par celle-ci. Si cette entente est acceptée par la CAI et respectée par l’entreprise, aucune sanction administrative pécuniaire ne sera imposée. La sanction administrative pécuniaire pourra aussi faire l’objet d’un réexamen devant la CAI et d’une contestation devant la Cour du Québec par la suite, le cas échéant.

À noter que la CAI ne peut imposer une sanction administrative pécuniaire à une personne lorsque celle-ci a reçu un constat d’infraction antérieurement pour une même contravention survenue le même jour et découlant des mêmes faits.

[1] Catherine Massé-Lacoste et Camille G. Grenon, « Télésurveillance : le contrôle de la prestation de travail à l’ère du télétravail et ses limites », dans SFCBQ, vol. 511, Développements récents en droit du travail, Cowansville, Éditions Yvon Blais, 2022, p.8.

951

Auteurs

Articles dans la même catégorie

Les fleurs, le pot et le feu

Une défenderesse ayant causé un incendie peut-elle se qualifier comme faisant partie de la maison de son père et faire rejeter le recours entrepris contre elle? De plus, la déclaration de copropriété prévoyait-elle une renonciation à poursuivre les copropriétaires? Ce sont sur ces questions que l’honorable Alexander Pless, juge à la Cour supérieure du Québec, […]

La responsabilité professionnelle des courtiers d’assurance : un cas d’application récent par la Cour supérieure

Dans l’affaire Jolicoeur c. Rivard Assurances générales inc, 2023 QCCS 1685, la Cour supérieure a été appelée à analyser la responsabilité d’une courtière d’assurance et son cabinet de courtage, afin de déterminer si elles devaient indemniser les demandeurs pour la pénalité de 171 463,08 $ qui leur avait été imposée en raison de l’aggravation du […]

Combien faut-il d’assureurs pour défendre un assuré ?

Une décision récente de la Cour supérieure du Québec (Perron c. Famille Marie-Jeunesse, 2023 QCCS 1719) apporte un éclairage sur les circonstances dans lesquelles un assuré déjà défendu par un assureur de responsabilité civile peut forcer un autre assureur à lui aussi prendre sa défense. Elle fournit également un exemple de situation dans laquelle la […]

L’inéluctable divulgation des changements dans l’assurabilité en matière d’assurance-vie

Le 11 juillet dernier, dans l’affaire Bourdages c. Ivari, 2023 QCCS 1688 (CanLII), la Cour supérieure s’est penchée sur l’impact d’un changement non divulgué dans l’état de santé d’un assuré souscrivant à une police d’assurance vie, survenu entre la présentation de la proposition et l’entrée en vigueur de la police. Le contexte du litige Le […]

Le lac déborde, mais la perte est exclue

On se rappellera les événements catastrophiques de la soirée du 27 avril 2019 alors qu’une digue a cédé à Ste-Marthe-sur le Lac inondant tout un quartier et causant des dommages considérables. Mais cette perte était-elle exclue par la police émise par La Personnelle? C’est la question à laquelle la Cour supérieure a dû répondre dans […]

Le beurre et l’argent du beurre? – L’incorporation n’affecte pas nécessairement le statut de salarié en vertu de la Loi sur les normes du travail

Une personne qui forme une compagnie à qui les traitements sont versés peut-elle être qualifiée de salariée? Le 3 février 2023, le Tribunal administratif du travail (« TAT ») sous la plume du juge administratif Yves Lemieux dans la décision Jobidon c. Centre Dentaire Patrick Canonne inc., 2023 QCTAT 479 répond par l’affirmative à cette question. Cette […]

Soyez les premiers informés :

Abonnez-vous à nos communications