Ce qu’il faut savoir du projet de loi 64

Le projet de loi 64 (le « Projet de loi ») ou la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels a été déposé le 12 juin 2020 et l’adoption du principe a eu lieu le 20 octobre 2020. L’objectif visé par ce Projet de loi est de moderniser les lois québécoises aux réalités technologiques et de donner aux individus le contrôle sur leurs renseignements personnels. 

Le Projet de loi apporte des modifications aux obligations tant pour les organismes publics que pour le secteur privé. Cet article se concentre sur les dispositions du Projet de loi visant la Loi sur la protection des renseignements personnels dans le secteur privé1

Obligations des entreprises 

Les entreprises demeurent responsables des renseignements personnels qu’elles détiennent. Pour ce faire, la personne ayant la plus haute autorité au sein de l’entreprise exercera automatiquement la fonction de responsable de la protection des renseignements personnels, bien que cette fonction puisse être déléguée par écrit à un autre membre du personnel. Les entreprises devront également mettre en œuvre des politiques et des pratiques encadrant la gestion des renseignements personnels. Ces politiques devront être disponibles, soit sur leur site internet ou par un autre moyen.  

Si une personne en fait la demande, elle devra être informée des renseignements personnels recueillis auprès d’elle, des catégories de personnes qui ont accès à ces renseignements au sein de l’entreprise, de la durée de conservation des renseignements, ainsi que des coordonnées du responsable de la protection des renseignements personnels. 

Un droit à la portabilité des renseignements personnels est également prévu au Projet de loi. En effet, l’entreprise qui détient un renseignement personnel sur une personne devra, à sa demande, lui en confirmer l’existence et lui communiquer ce renseignement tout en lui permettant d’en obtenir une copie. Il en va de même pour un renseignement personnel informatisé. Il devra lui être communiqué sur demande dans un format technologique structuré et couramment utilisé. Ce renseignement devra être communiqué, toujours à sa demande, à toute personne ou à tout organisme autorisé à recueillir un tel renseignement. 

Si une entreprise rend des décisions basées uniquement sur le traitement automatisé des renseignements personnels, elle devra en informer la personne concernée. De plus, sur demande de cette dernière, l’entreprise devra lui indiquer quels sont les renseignements personnels utilisés pour rendre la décision, les raisons ainsi que les principaux facteurs et paramètres ayant menés à la décision et lui faire part de son droit de faire rectifier ces renseignements personnels. À titre d’exemple, une entreprise qui utilise l’intelligence artificielle pour traiter des renseignements personnels devra être en mesure d’expliquer concrètement à une personne qui lui en fait la demande comment fonctionne l’algorithme utilisé, quels types de données ont servi à la mise en œuvre de l’algorithme, de quelle manière la décision a été prise et pourquoi elle en est arrivée à un tel résultat. La personne concernée devra également avoir l’occasion de présenter ses observations à un membre du personnel de l’entreprise qui est en mesure de réviser la décision. 

En cas d’incident de confidentialité, les entreprises doivent prendre des mesures afin de diminuer les risques de préjudice et aviser la Commission d’accès à l’information (la « CAI »). La personne visée devra également être informée si l’incident présente un risque de préjudice sérieux. À titre d’exemples, un préjudice sérieux pourrait être une atteinte à la réputation, une atteinte au dossier de crédit, un vol d’identité, etc.  

Voici quelques exemples d’incidents de confidentialité :  

  • l’accès, l’utilisation ou la communication non autorisé d’un renseignement personnel; 
  • la perte d’un renseignement personnel; ou 
  • toute autre atteinte à la protection d’un renseignement personnel. 

Un registre devra également être constitué par les entreprises dans lequel tous les incidents de confidentialité seront répertoriés. 

Le Projet de loi prévoit qu’avant de communiquer des renseignements personnels à l’extérieur du Québec, les entreprises seront responsables de s’assurer que les renseignements bénéficieront d’une protection équivalente à celle prévue dans la loi québécoise. 

Consentement 

Le consentement est toujours exigé pour recueillir, détenir, utiliser ou communiquer des renseignements personnels. Il doit être manifeste, libre, éclairé et être donné à des fins spécifiques. L’exigence du consentement est toutefois renforcée puisqu’il devra être demandé pour chacune de ces fins, en termes simples et clairs, et de façon distincte de toute autre information communiquée à la personne concernée.  

De plus, lorsqu’une entreprise souhaite utiliser ou communiquer un renseignement personnel sensible, le consentement doit être manifesté de façon expresse. Cela implique que la personne pose un geste pour confirmer son consentement, par exemple en cochant une case. Un renseignement personnel est qualifié de sensible lorsqu’un haut degré d’attente raisonnable en matière de vie privée lui est lié, tel un numéro d’assurance social.   

Une personne peut retirer son consentement à tout moment si elle le souhaite.  

Le Projet de loi prévoit des exceptions à l’exigence du consentement. En voici des exemples :  

  • lorsque l’utilisation des renseignements personnels est compatible avec les fins pour lesquelles ils ont été recueillis; 
  • lorsque l’utilisation des renseignements personnels est manifestement au bénéfice de la personne concernée; ou 
  • lorsque l’utilisation des renseignements personnels est nécessaire à des fins d’étude, de recherche ou de production de statistiques et qu’ils sont dépersonnalisés, c’est-à-dire qu’ils ne permettent plus d’identifier directement la personne concernée.  

Destruction ou anonymisation 

Le Projet de loi introduit la notion d’anonymisation des renseignements personnels. Cela signifie qu’une fois les renseignements personnels anonymisés, il n’est plus possible d’identifier directement ou indirectement la personne, et ce, de façon irréversible.  

Il est donc prévu qu’une fois les fins pour lesquelles les renseignements personnels ont été collectés sont atteintes, l’entreprise doit les détruire ou les anonymiser.  

Comme l’anonymisation implique des pratiques plus strictes que la dépersonnalisation et que la dépersonnalisation est un processus réversible, les renseignements dépersonnalisés seront encore considérés comme des renseignements personnels puisqu’il demeure possible d’identifier une personne en combinant les renseignements dépersonnalisés avec d’autres renseignements. 

Ce tableau illustre la différence entre un renseignement personnel dépersonnalisé et anonymisé :  

  Définition  Exemple 
 Renseignement dépersonnalisé   Processus réversible qui rend impossible l’identification directe d’une personne    Une entreprise supprime les informations permettant d’identifier directement ses anciens clients (nom, date de naissance et adresse), mais elle conserve les informations sur le sexe, le salaire et les diplômes obtenus dans le but de mettre en œuvre un algorithme qui fera des prédictions en fonction de ces informations.   En faisant une analyse approfondie des données conservées, il serait théoriquement possible d’être en mesure d’identifier de nouveau un ancien client en faisant des liens entre ces informations et en les combinant avec d’autres données.   
 Renseignement anonymisé   Processus irréversible qui rend impossible l’identification directe ou indirecte d’une personne    Une entreprise supprime de manière définitive de sa base de données les identifiants directs qu’elle détient à propos d’anciens clients (nom, jour et mois de naissance, adresse). À l’issue du processus, elle conserve uniquement l’information sur l’année de naissance, qu’elle aura préalablement arrondie à la décennie près, et sur le salaire, qu’elle aura arrondi au millier près, à des fins statistiques.   Ici, l’information conservée n’est pas suffisante pour permettre d’identifier de nouveau d’une quelconque façon un ancien client, et ce, même en faisant une analyse approfondie des données conservées.  

Commission d’accès à l’information 

Le Projet de loi accorde plus de pouvoirs à la CAI. Elle aura désormais le pouvoir d’émettre des ordonnances. Par exemple, la CAI pourra ordonner la remise des renseignements personnels impliqués dans un incident de sécurité aux personnes concernées ou la destruction de ceux-ci. 

La CAI pourra également infliger des sanctions administratives pécuniaires (« SAP ») aux personnes qui ne respectent pas la loi. Le montant maximal d’une SAP sera de 50 000 $ dans le cas d’une personne physique et, dans les autres cas, de 10 000 000 $ ou de 2 % du chiffre d’affaires si ce dernier montant est plus élevé. 

En plus des SAP qui pourront être infligées, le Projet de loi prévoit une augmentation du montant des sanctions pénales en cas d’infraction. Les amendes pourront varier de 5 000 $ à 50 000 $ dans le cas d’une personne physique et, dans les autres cas, de 15 000 $ à 25 000 000 $ ou du montant correspondant à 4 % du chiffre d’affaires si ce dernier montant est plus élevé. 

Conclusion 

Nous espérons que cet article aura su vous en apprendre davantage quant aux dispositions du Projet de loi 64 et que vous serez en mesure de vous préparer adéquatement à son entrée en vigueur, bien qu’aucune date officielle ne soit encore prévue et que des modifications soient encore possibles.  

Il est souhaitable de commencer rapidement à établir un plan d’action afin de se conformer aux nouvelles obligations dans le but d’éviter les sanctions et amendes importantes qui pourraient vous être imposées en cas de violation. 


1 RLRQ, c. P-39.1. 

Attention : Cette publication ne constitue pas un avis juridique. Il s’agit uniquement d’informations d’ordre général dans le but de vous tenir informés sur certains sujets. Nous vous invitons à consulter votre avocat pour toute question d’ordre juridique.