Passer au contenu principal
Ce site utilise des témoins de connexion (« cookies ») en conformité avec notre politique de vie privée. En continuant à utiliser ce site, vous acceptez notre utilisation des témoins de connexion.
Bulletin

Projet de loi n° 64 et communication de renseignements personnels : Un principe fondamental enfoui ou tout simplement oublié?

Fasken
Temps de lecture 20 minutes
S'inscrire

Bulletin #28 | Série spéciale - Projet de loi n° 64 et la réforme des lois québécoises sur la protection des renseignements personnels

Gestion des ressources humaines et de la paie, traitement de texte, traitement de paiements, infonuagique, alouette : le recours à des outils et services technologiques tiers est aujourd’hui quasi-inévitable au sein des entreprises et des organismes.

Ce bulletin porte sur les modifications proposées par le Projet de loi n° 64 à la Loi sur la protection des renseignements personnels dans le secteur privé (la « Loi sur le secteur privé ») et à la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (la « Loi sur l’accès ») en ce qui a trait à la communication à l’externe de renseignements personnels (« RP ») détenus par les organisations québécoises et à leur accès et utilisation à l’interne par le tiers qui reçoit ces RP pour traitement.

État des lieux

La Loi sur le secteur privé et la Loi sur l’accès prévoient d’ores et déjà certains mécanismes facilitant la communication de RP à différents acteurs, généralement des sous-contractants, qui gravitent autour des organisations québécoises.

Secteur privé

De prime à bord, la Loi sur le secteur privé actuelle prévoit des exceptions à l’exigence du consentement pour la divulgation de RP à des préposés, mandataires[1], agents et prestataires de services :

20. Dans l’exploitation d’une entreprise, un renseignement personnel n’est accessible, sans le consentement de la personne concernée, à tout préposé, mandataire ou agent de l’exploitant ou à toute partie à un contrat de service ou d’entreprise qui a qualité pour le connaître qu’à la condition que ce renseignement soit nécessaire à l’exercice de ses fonctions ou à l’exécution de son mandat ou de son contrat. [nos soulignements]

L’article 20 reconnaît donc spécifiquement la possibilité pour une organisation de transférer des RP à une entreprise tierce pour traitement par cette dernière, et ce, en reconnaissant que la façon de faire peut être variée : mandataire, agent ou sous-contractant. L’article 20 a aussi pour fonction de concrétiser dans la Loi sur le secteur privé le principe fondamental en matière de protection des RP, à savoir celui du « need-to-know », c’est-à-dire d’encadrer l’accès et l’utilisation des RP au sein de l’entreprise ainsi qu’à ceux transférés à une tierce partie. Cet article a pour effet d'imposer le devoir de prendre les mesures appropriées afin de limiter l’accès (et l’utilisation) de RP uniquement aux personnes pour qui cela est nécessaire à l’exécution de leur mandat, de leur contrat ou dans l’exercice de leurs fonctions (le principe de l’« accès sélectif »).

À noter que c’est seulement en 2006 que cet article fut amendé pour inclure spécifiquement le droit d’une entreprise de transférer les RP qu’elle détient par un contrat de service ou d’entreprise, prestataires (autres que des mandataires ou agents) auxquels ce même principe de l’accès sélectif s’applique.

La Commission d’accès à l’information du Québec (la « CAI ») a par ailleurs entretemps précisé en 2000, dans le cadre de l’affaire Deschesnes c. Groupe Jean Coutu, que, malgré le libellé de l’article 20 de la Loi sur le secteur privé, une entente verbale ne constituait pas, aux termes son article 10, une mesure appropriée suffisante de sécurité en vue d’assurer la confidentialité des renseignements avec des tiers[2]. Ainsi, si une entreprise transfère des renseignements à un tiers, la CAI exige la conclusion d’une entente écrite stipulant :

 

  • La portée du mandat ou du service;
  • Les finalités pour lesquelles le tiers utiliserait les renseignements;
  • La catégorie de personnes qui aurait accès aux renseignements; et
  • L’obligation d’assurer la confidentialité des renseignements[3].

Ce principe de l' « accès sélectif » ( ou « need-to-know »)  se reflète couramment dans des contrats de service impliquant une communication de RP au prestataire de services, et ce, par des clauses similaires à celle-ci :

Le prestataire doit limiter l'accès aux renseignements personnels aux seuls employés du prestataire pour qui il est nécessaire d’avoir accès aux renseignements afin d’assurer la prestation des services et ce, en raison de leur rôle, de leur fonction ou de leurs tâches au sein de l’organisation du prestataire.

Clauses inutiles, avanceront certains. Peut-être... Mais la situation pourrait changer advenant l’adoption du Projet de loi n° 64 dans sa mouture actuelle.

Secteur public

La Loi sur l’accès prévoit quant à elle certaines dispositions distinctes afin de régir, respectivement, l’accès à l’interne à des RP au sein de l’organisme public (article 62), ainsi que la communication à l’externe de tels renseignements (article 67.2).

Primo, l’article 62 de la Loi sur l’accès prévoit qu’un RP n’est accessible, sans le consentement de l’individu concerné, qu’aux personnes ayant « qualité pour le recevoir » au sein d’un organisme public « lorsque ce renseignement est nécessaire à l’exercice de ses fonctions ».

Secundo, son article 67.2 prévoit un mécanisme d’exemption de l’exigence de consentement afin de communiquer des RP à toute personne, entreprise ou organisme, à condition que :

  • cette communication soit nécessaire à l’exercice d’un mandat ou à l’exécution d’un contrat de service ou d’entreprise confié par l’organisme public à cette personne ou à cet organisme;
  • l’organisme confie le mandat ou le contrat par écrit et indique, dans le mandat ou le contrat :
    • les dispositions de la présente loi qui s’appliquent au renseignement communiqué au mandataire ou à l’exécutant du contrat; 
    • les mesures qu’il doit prendre pour en assurer le caractère confidentiel, pour que ce renseignement ne soit utilisé que dans l’exercice de son mandat ou l’exécution de son contrat et pour qu’il ne le conserve pas après son expiration; et
  • avant la communication, l’organisme obtienne un engagement de confidentialité complété par toute personne à qui le renseignement peut être communiqué, à moins que le responsable de la protection des RP estime que cela n’est pas nécessaire.

Il nous faut constater que la Loi sur l’accès prévoit à son article 62 la limitation de l'accès sélectif à l'interne. On n’y retrouve cependant pas de disposition aussi spécifique que celle de l’article 20 de la Loi sur le secteur privé en ce qui concerne l’accès sélectif à l’externe. Doit-on voir une telle limitation implicite dans l’exigence que fait l’article 67.2 d’obtenir des engagements de confidentialité de la part de toute personne à qui le renseignement peut être communiqué au sein du tiers sous-contractant?

Remaniement du régime d’exemption de la Loi sur le secteur privé sous le Projet de loi n° 64

Alors que les mécanismes prévus de la Loi sur l’accès discutés précédemment demeureraient intacts suite à l’entrée en vigueur du Projet de loi n° 64 selon sa mouture actuelle, la Loi sur le secteur privé subirait une segmentation en deux mécanismes, régissant respectivement la communication externe et l’accès à l’interne des RP détenus par les entreprises.

Le Projet de loi n° 64 (article 107) propose d’introduire dans la Loi sur le secteur privé un nouvel article 18.3, lequel serait voué à régir la communication à l’externe de RP, visant particulièrement la « communication » aux parties à des mandats ou à des contrats de service ou d’entreprise :

18.3 Une personne qui exploite une entreprise peut, sans le consentement de la personne concernée, communiquer un renseignement personnel à toute personne ou à tout organisme si cette communication est nécessaire à l'exercice d'un mandat ou à l'exécution d'un contrat de service ou d’entreprise qu'elle confie à cette personne ou à cet organisme.

Dans ce cas, la personne qui exploite une entreprise doit :

1° confier le mandat ou le contrat par écrit;

2° indiquer, dans le mandat ou le contrat, les mesures que le mandataire ou l'exécutant du contrat doit prendre pour assurer la protection du caractère confidentiel du renseignement personnel communiqué, pour que ce renseignement ne soit utilisé que dans l'exercice de son mandat ou l'exécution de son contrat et pour qu'il ne le conserve pas après son expiration. Une personne ou un organisme qui exerce un mandat ou qui exécute un contrat de service ou d’entreprise visé au premier alinéa doit aviser sans délai le responsable de la protection des renseignements personnels de toute violation ou tentative de violation par toute personne de l’une ou l’autre des obligations relatives à la confidentialité du renseignement communiqué et il doit également permettre au responsable de la protection des renseignements personnels  d’effectuer toute vérification relative à cette confidentialité.

Le paragraphe 2° du deuxième alinéa ne s’applique pas lorsque le mandataire ou l’exécutant du contrat est un organisme public au sens de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (chapitre A-2.1) ou un membre d’un ordre professionnel.

Ainsi, ce nouvel article 18.3, calqué en partie[4] sur l’article 67.2 de la Loi sur l’accès, viendrait en quelque sorte codifier les conditions établies dans l’affaire Groupe Jean Coutu, à quelques nuances près.

Cependant, il faut noter que le Projet de loi 64 propose à son article 109 une autre modification. Plus spécifiquement, l’article 20 de la Loi sur le secteur privé serait modifié afin de retirer de son champ d’application les prestataires de services. Ainsi, le nouvel article 20 se lirait ainsi :

20. Dans l’exploitation d’une entreprise, un renseignement personnel n’est accessible, sans le consentement de la personne concernée, à tout préposé ou agent de l’exploitant qui a qualité pour le connaître qu’à la condition que ce renseignement soit nécessaire à l’exercice de ses fonctions. [nos soulignements]

Il semble donc que l’article 20 se rapprocherait de ses versions antérieures, alors qu’il ne s’appliquerait qu’aux préposés et aux « agents » des entreprises québécoises, oubliant ou mettant de côté que, plus souvent qu’autrement, le transfert des données se fait par le biais d’un contrat de service.

Commentaires et conclusions

Le remaniement proposé par le Projet de loi n° 64 à l’égard de la Loi sur le secteur privé viendrait clarifier le régime actuellement applicable aux entreprises québécoises. On viendrait d’abord segmenter en deux régimes distincts l’ « accès » à l’interne des RP au sein des entreprises, et la « communication » à l’externe de ces renseignements. Seraient également énoncées clairement dans le nouveau texte de loi les conditions contractuelles devant être accomplies avant que la communication à des tiers puisse être effectuée.

Demeurent néanmoins des ambiguïtés, selon les auteurs, sur lesquelles il importe de se pencher dans le cadre du processus législatif à venir.

D’une part, la notion d’ « agent », toujours présente dans la nouvelle version proposée de l’article 20 de la Loi sur le secteur privé, provoque une certaine confusion. Cette notion issue de la common law n’est nulle part définie dans la Loi sur le secteur privé ni clairement circonscrite dans le droit commun civil québécois. Le législateur a-t-il oublié le cas des contrats de services ou d’entreprise? Ou a-t-il voulu restreindre le droit d’une entreprise à transférer les RP à un tiers aux seuls cas où le tiers accepte de se faire l’ « agent » de l’entreprise? Ou encore le législateur a-t-il « enfoui » le principe de l’accès sélectif dans le terme « agent » au nouvel article 20 proposé? Le législateur entend-il par le terme « agent » inclure toutes les réalités décrites au Dictionnaire de droit québécois et canadien de Me Hubert Reid[5], qui définit ce concept comme suit :

AGENT. Personne qui agit pour autrui et qui le représente, que ce soit à titre d'employé, de mandataire ou d'intermédiaire autonome. Il engage la responsabilité de celui qui a requis ses services suivant le contrat ou le lien juridique qui les lie?

Nous ne pensons pas que ce soit l’intention du législateur de regrouper sous le terme « agent » les diverses réalités des liens juridiques sous-jacentes à l’accès et à l’utilisation des RP colligés par une entreprise. Si c’était le cas, l’utilisation du terme « préposé » à l’article 20 proposé serait redondant avec la définition du Dictionnaire de droit canadien et québécois. Nous sommes plutôt d’avis qu’il s’agit d’un oubli.

Certes, on pourra toujours invoquer, indépendamment du libellé du nouvel article 20 qui résulterait de l'adoption du Projet de loi n° 64, que le tiers sous-contractant est assujetti aux mêmes obligations que l’entreprise « donneur d’ouvrage » par le biais du principe fondamental de nécessité consacré à l’article 5 de la Loi sur le secteur privé. Pourrait également être avancé que l’implantation d’un mécanisme d’ « accès sélectif » au sein de l’organisation du prestataire de service fait partie des mesures de sécurité que celui-ci doit prendre en vertu de l’article 10 de la Loi sur le secteur privé, lequel demeurerait intact suite à l’adoption du Projet de loi n° 64. En ce qui concerne la gestion des RP sur support technologique, il serait également possible, en sortant du cadre spécifique à la protection des RP, de pointer les articles 25 et 26 de la Loi concernant le cadre juridique des technologies de l'information.[6]

Il n'en demeure pas moins que l' « accès sélectif » est un principe fondamental sous-jacent aux régimes de protection des RP.  Aussi bien l’inscrire clairement! Il serait sage d’éviter les imbroglios; et il en est encore temps!

D’autre part, en ce qui a trait à cette qualification problématique des différents acteurs commerciaux aux termes de la Loi sur le secteur privé, la confusion ainsi créée pourrait être élucidée en s’inspirant des concepts mis en place dans le Règlement général sur la protection des données de l’Union européenne[7] (« RGPD »). Le RGPD impose des obligations différentes selon la qualification des rôles que jouent les entités dans le cadre d’une relation bipartite impliquant le traitement de RP, en utilisant des qualificatifs plus génériques et propre au traitement de RP, déterminés selon certains paramètres tels que la détermination des finalités du traitement. Contrairement aux rôles de « responsable de traitement »[8], de « sous-traitant »[9] ou même de « co-responsables de traitement »[10] établis dans le RGPD, les qualifications restrictives d’ « entreprise » et de « prestataire de service » ou « mandataire » dans les lois actuelles ainsi que dans le Projet de loi n° 64 ne permettent pas de régir adéquatement toutes les situations relationnelles entre deux parties distinctes qui collectent, utilisent et/ou communiquent des RP dans le cadre d’un même projet.

À titre d’illustration, une compagnie aérienne et un hôtel qui, de concert, organiseraient un même programme promotionnel via une plateforme en ligne permettant de promouvoir leurs services respectifs pourraient utiliser les RP collectés dans ce cadre à leurs propres fins, sans subordination entre l’une et l’autre. Dans cette situation, ni l’une ni l’autre de ces parties ne serait prestataire de services de l’autre, bien que celles-ci se devraient d’aménager entre elles des modalités permettant d’assurer efficacement la protection des RP collectés dans le cadre de ce programme, telle que la diffusion adéquate d’information aux individus concernés via une politique de confidentialité, par exemple. Pour l’instant, une telle situation demeurerait dans un vide juridique au Québec selon la version actuelle du Projet de loi n° 64. À suivre !

 

CENTRE DE RESSOURCES PL64 - Découvrez notre centre de ressources dédié au Projet de Loi 64regroupant toutes les informations que vous devez savoir pour faire face aux changements qui pourraient être apportés à la législation.  

LISTE DE DISTRIBUTION Pour ne pas manquer nos prochains bulletins, notre webinaire de formation et toutes autres informations pertinentes à ce sujet, inscrivez-vous dès maintenant sur notre liste de distribution.



[1]      Le mandataire est la personne qui a le pouvoir de représenter une autre partie, le mandant, dans l’accomplissement d’un acte juridique (article 2130 C.c.Q.). 

[2]      Deschesnes c. Groupe Jean Coutu, [2000] CAI 216.

[3]      Karl Delwaide et Antoine Aylwin, Leçons tirées de dix ans d’expérience : la Loi sur la protection des renseignements personnels dans le secteur privé du Québec, dernière mise à jour : 2007.

[4]      L’article 67.2 exige que l’organisme public obtienne, avant la communication de RP au tiers sous-contractant, un engagement de confidentialité complété par toute personne à qui le RP peut être communiqué, à moins que le responsable de la protection des RP estime que cela n’est pas nécessaire. Cette exigence n’est pas reprise dans le nouvel article 18.3 de la Loi sur le secteur privé proposé par le Projet de loi n° 64.

[5]      Hubert Reid, Dictionnaire de droit québécois et canadien, 5e édition, 2015, en ligne : https://dictionnairereid.caij.qc.ca/recherche#t=edictionnaire&sort=relevancy

[6]      Notamment, l’article 26 de la Loi concernant le cadre juridique des technologies de l’information exige que : « quiconque confie un document technologique à un prestataire de services pour qu’il en assure la garde est, au préalable, tenu d’informer le prestataire quant à la protection que requiert le document en ce qui a trait à la confidentialité de l’information et quant aux personnes qui sont habilitées à en prendre connaissance », et que « le prestataire de services est tenu, durant la période où il a la garde du document, de voir à ce que les moyens technologiques convenus soient mis en place pour en assurer la sécurité, en préserver l’intégrité et, le cas échéant, en protéger la confidentialité et en interdire l’accès à toute personne qui n’est pas habilitée à en prendre connaissance ».

[7]      Règlement Général sur la Protection des Données, 2016/679 (« RGPD »).

[8]      RGPD, art. 24.

[9]      RGPD, art. 28.

[10]      RGPD, art. 26.

    Abonnement

    Recevez des mises à jour de notre équipe

    S'inscrire