Loi 25 : Loi modernisant des dispositions législatives en matière de protection des renseignements personnels

Modifications importantes applicables à partir du 22 septembre 2023

La Loi 25 modifie la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c P-39.1 (ci-après la « Loi »), qui s’applique à toute entreprise. Bien que la Loi 25 elle-même soit entrée en vigueur en 2022, les modifications les plus importantes seront applicables à partir du 22 septembre 2023.

Une version officielle de la Loi, incorporant tous les changements apportés par la Loi 25, n’est pas encore disponible. Le meilleur document de travail à l’heure actuelle se trouve sur le site CanLII. Toutes les références dans le présent texte se rapportent à la loi telle qu’elle sera en vigueur le 22 septembre 2023.

Vous trouverez ci-dessous un aperçu des principales exigences relatives aux entreprises, afin qu’elles se conforment à la Loi telle que modifiée par la Loi 25. Plusieurs questions présentées ici devraient faire l’objet d’une discussion plus approfondie. 

1) Responsable de la protection des renseignements personnels et politique de confidentialité

1. Toute entreprise doit nommer un responsable de la protection des renseignements personnels (ci-après le « RPRP ») ( 3.1). Le RPRP est chargé de veiller au respect de la Loi. Ce rôle peut être délégué par écrit, en tout ou en partie, à toute personne (un membre du personnel de l’entreprise ou un tiers). En tout état de cause, la compagnie doit veiller à ce que le titre et les coordonnées de son RPRP soient publiées sur son site web. Depuis la mise en œuvre de la Loi 25, le 22 septembre 2022, le RPRP par défaut est la personne exerçant la plus haute autorité au sein de l’entreprise ;
2. À partir du 22 septembre 2023, l’une des exigences les plus importantes est d’établir et mettre en œuvre une politique de confidentialité ( 3.2), qui doit comprendre :
   • Les principes généraux relatifs à la collecte, à l’utilisation et à la communication des renseignements personnels en rapport aux exigences de la Loi 25 ( 8 à 9) ;
   • Une politique et un calendrier de conservation des données (c’est-à-dire des précisions sur la durée de conservation des renseignements personnels) ;
   • Une procédure de destruction des informations personnelles ( 12) ;
   • Une procédure de réception et de traitement des demandes des personnes souhaitant exercer leurs droits ( 28.1; 30; 32; 34) ;
   • Une procédure relative à la sécurité des données ;
   • Une procédure de traitement des incidents de confidentialité et un plan d’intervention ;
   • Le cas échéant : une politique relative à l’utilisation de caméras de surveillance et une politique relative à l’utilisation de systèmes biométriques;

3. Toute entreprise doit tenir un registre des incidents de confidentialité ( 3.6; 3.8) pendant cinq ans et, s’il y a risque de préjudice grave, la Commission d’accès à l’information (ci-après la « CAI ») et les personnes concernées doivent être avisées (art. 3.5; 3.7) ;

2) Consentement et transparence

4. La Loi 25 prévoit de nouvelles exigences en matière de consentement à la collecte, à la communication et à l’utilisation de renseignements personnels, ainsi que des exemptions à l’obligation de consentement. Un consentement valable doit être manifeste, libre, éclairé et donné à des fins spécifiques. Le consentement doit être demandé pour chacune de ces fins dans un langage clair et simple ( 14);
5. Toute entreprise devrait dresser une liste des utilisations des informations personnelles, y compris la collecte et la communication, afin de déterminer celles qui peuvent faire l’objet d’une exception. Considérons, par exemple, les exceptions suivantes ( 12) : la collecte, la communication ou l’utilisation de renseignements personnels qui (1) est nécessaire à la fourniture ou à la livraison d’un produit ou à la prestation d’un service demandé par l’individu ; (2) est manifestement dans l’intérêt de l’individu et (3) est compatible avec les fins pour lesquelles les renseignements ont été recueillis ;
6. Dans certains cas, la communication de renseignements personnels à un tiers peut être exemptée de l’obligation de consentement, notamment lorsqu’elle est nécessaire à l’exécution d’un mandat ou d’un contrat commercial ( 18.3). Un modèle de contrat pour le traitement des renseignements personnels, conforme aux exigences de la Loi 25, devrait être préparé (art. 3.6; 10; 12; 23) ;

3) La protection de la vie privée par défaut

7. Toute entreprise devrait (1) dresser une liste des produits ou services technologiques offerts au public qui recueillent des renseignements personnels et qui comportent des paramètres de protection de la vie privée, et déterminer si ces paramètres doivent être ajustés – notamment pour assurer le plus haut niveau de confidentialité, ainsi que la protection de la vie privée par défaut – ( 9.1) ; (2) dresser une liste de toutes les technologies utilisées pour recueillir des renseignements personnels et déterminer si elles comportent des fonctions qui permettent de profiler, de localiser ou d’identifier une personne;

4 Évaluation des facteurs relatifs à la vie privée

8. À partir du 22 septembre 2023, une évaluation des facteurs relatifs à la vie privée (ci-après « EFVP ») doit être effectuée pour tout projet impliquant des renseignements personnels ( 3.3). Cette exigence n’est pas rétroactive et tout système déjà en place n’y est pas soumis. Par exemple, une compagnie pourrait devoir réaliser une EFVP dans les cas suivants : (1) élaboration d’un nouveau système d’information ou d’une fonction de personnalisation pour un produit ou un service ; (2) recherche de nouveaux clients ou exploration de nouveaux marchés; (3) installation d’un système de vidéosurveillance ;
9. Si une entreprise doit transférer des renseignements personnels à l’extérieur du Québec ou si elle confie des renseignements personnels à un tiers situé à l’extérieur du Québec, elle est tenue d’effectuer une EFVP qui tient compte des facteurs suivants ( 17) : (1) la sensibilité des renseignements personnels ; (2) les fins auxquelles ils seront utilisés ; (3) les mesures de protection, y compris les mesures de protection contractuelles, qui seront appliquées, et (4) le régime juridique applicable dans la juridiction dans laquelle les renseignements seront reçus;

5) Sanctions en cas de non-respect de la loi

10. Le non-respect de la loi peut entraîner deux types de sanctions pécuniaires : des sanctions administratives pécuniaires et des sanctions pénales. Le montant maximal pour les premières est de 10 millions de dollars ou 2 % du chiffre d’affaires mondial de l’année précédente ( 90.12). Pour la seconde, elle est de 25 millions de dollars ou de 4 % du chiffre d’affaires mondial de l’année précédente (art. 91) ;
11. L’entreprise en défaut reçoit un avis de non-conformité et peut prendre toutes les mesures nécessaires pour se conformer. À travers l’enquête de la CAI et avant que celle-ci n’en vienne à imposer une sanction administrative pécuniaire, l’entreprise a la possibilité de présenter des observations, de produire des documents pour compléter le dossier et de prendre des engagements ( 90.1; 90.3) ;
12. Des sanctions pénales peuvent être imposées si la CAI engage une procédure pénale devant la Cour du Québec. Des critères similaires sont appliqués aux sanctions administratives pécuniaires et aux sanctions pénales avec l’inclusion, dans ce dernier cas, de critères relatifs à l’intentionnalité, à la négligence et au défaut de se conformer ou d’atténuer ( 90.2; 91).

Les membres de notre équipe peuvent vous aider à connaître, à comprendre et à vous conformer à ces nouvelles exigences pour le bien de votre entreprise.

Contactez-nous pour en savoir davantage. Nous serons heureux d’organiser une rencontre virtuelle pour en discuter.