Passer au contenu principal
Ce site utilise des témoins de connexion (« cookies ») en conformité avec notre politique de vie privée. En continuant à utiliser ce site, vous acceptez notre utilisation des témoins de connexion.
Bulletin

Mise à jour des récents développements législatifs du Projet de loi n° 64

Fasken
Temps de lecture 15 minutes
S'inscrire

Bulletin #29 | Série spéciale - Projet de loi n° 64 et la réforme des lois québécoises sur la protection des renseignements personnels

Voilà déjà plus de huit mois que le Projet de loi n° 64 (« PL64 ») a été déposé à l’Assemblée nationale du Québec. Ayant initialement émané en juin 2020 du cabinet de la ministre de la Justice de l’époque, Madame Sonia LeBel, puis relayé à son successeur monsieur le ministre Simon Jolin-Barrette, le PL64 est, depuis le 2 février 2021, sous la responsabilité du ministre responsable de l’Accès à l’information et de la Protection des renseignements personnels, M. Éric Caire. L’étude détaillée du PL64 à la Commission des institutions a également débuté le 2 février 2021.

Alors, qu’en est-il de ces récents développements? Le présent bulletin vise à fournir un aperçu des amendements adoptés à ce jour dans le cadre de cette étude en chambre. À noter qu’à ce stade, seules quelques modifications touchant à la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (« Loi sur l’accès ») en sont affectées, mais  certaines d’entre elles devront vraisemblablement être transposées dans les propositions équivalentes relatives à la Loi sur la protection des renseignements personnels dans le secteur privé.

Gouvernance et responsabilités de l’accès aux documents et de la protection des renseignements personnels au sein des organismes publics (art. 1 du PL64)

En premier lieu, il importe de souligner que les rôles de responsable de l’accès aux documents et de responsable de la protection des renseignements personnels au sein des organismes publics québécois[1], lorsque ceux-ci sont délégués, devront pouvoir être exercés « de manière autonome » :

« 8. La personne ayant la plus haute autorité au sein d’un organisme public veille à y assurer le respect et la mise en œuvre de la présente loi. Elle exerce la fonction de responsable de l’accès aux documents et celle de responsable de la protection des renseignements personnels.

Ces fonctions peuvent être déléguées par écrit, en tout ou en partie, à un membre de l’organisme public ou de son conseil d’administration, selon le cas, ou à un membre du personnel de direction. Cette personne doit pouvoir les exercer de manière autonome.

[…] »

 

Cet ajout au deuxième alinéa du nouvel article 8 de la Loi sur l’accès clarifie en quelque sorte les modalités de délégation de ces responsabilités, assurant que la personne se voyant ainsi attribuer ces fonctions ne soit pas subordonnée à quiconque au sein de l’organisme. Cela est un changement majeur alors que l’imputabilité relative à l’accès aux documents et à la protection des renseignements personnels serait totalement transférée de l’organisme vers l’individu ainsi désigné. Les auteurs sont d’avis qu’il y a lieu de se questionner sur le réalisme de cet objectif et sur le caractère opérationnel d’une telle imputation.

Ensuite, une irrégularité relative à l’identification de la personne de qui relève le comité sur l’accès à l’information au sein des ordres professionnels québécois a été corrigée (du moins, partiellement). En effet, il fut précisé qu’au sein d’un ordre professionnel, à l’instar des municipalités et des commissions scolaires, ce comité relève du directeur général :

« 8.1. Au sein d’un organisme public, un comité sur l’accès à l’information et la protection des renseignements personnels est chargé de le soutenir dans l’exercice de ses responsabilités et dans l’exécution de ses obligations en vertu de la présente loi. Ce comité exerce aussi les fonctions qui lui sont confiées par la présente loi.

Le comité relève de la personne ayant la plus haute autorité au sein de l’organisme ou, dans le cas d’un ministère, du sous-ministre et, dans le cas d’une municipalité, d’un ordre professionnel ou d’une commission scolaire, du directeur général. Il se compose de la personne responsable de l’accès aux documents, de celle responsable de la protection des renseignements personnels et de toute autre personne dont l’expertise est requise, incluant, le cas échéant, le responsable de la sécurité de l’information et le responsable de la gestion documentaire.

[…] »

 

À cet égard, tel qu’initialement signalé par Me Antoine Aylwin[2], il importe de souligner que le Code des professions prévoit déjà qu’au sein d’un ordre professionnel, le « président » de cet ordre soit responsable de répondre aux demandes d’accès[3]. Une attention particulière devra être portée aux futurs amendements du PL64 afin d’assurer une cohérence dans la terminologie utilisée dans les deux textes de loi.

Support technologique des demandes d’accès (art. 3 du PL64)

Un autre amendement adopté spécifie qu’une demande d’accès adressée à un organisme public, lorsqu’écrite, puisse se faire dans un « format technologique » :

 « 43. La demande d’accès peut être écrite ou verbale. Si elle est écrite, elle peut donc se faire dans un format technologique.

[…] »

 

Bien qu’anodin en apparence, cet amendement a de quoi faire sourciller les auteurs, alors que la Loi concernant le cadre juridique des technologies prévoit d’ores et déjà le principe de neutralité technologique, et plus spécifiquement, que « l’exigence d’un écrit n’emporte pas l’obligation d’utiliser un support ou une technologie spécifique »[4].

Demande de consentement et consentement du mineur (art. 9 du PL64)

Fut également adopté un amendement à l’effet que le nouvel article 53.1 de la Loi sur l’accès initialement proposé par le PL64 soit modifié afin de spécifier (i) que le consentement[5] ne doive être demandé de façon distincte que lorsque cette demande est faite par écrit; et (ii) que le consentement du mineur puisse être donné, outre le titulaire de l’autorité parentale, par le « tuteur » de ce mineur[6] :

« 53.1. Un consentement prévu à la présente loi doit être manifeste, libre, éclairé et être donné à des fins spécifiques. Il est demandé à chacune de ces fins, en termes simples et clairs. Lorsque la demande de consentement est faite par écrit, elle doit être présentée distinctement de toute autre information communiquée à la personne concernée. Lorsque celle-ci le requiert, il lui est prêté assistance afin de l’aider à comprendre la portée du consentement demandé.

Le consentement du mineur de moins de 14 ans est donné par le titulaire de l’autorité parentale ou par le tuteur. Le consentement du mineur de 14 ans et plus est donné par le mineur, par le titulaire de l’autorité parentale ou par le tuteur.

[…] »

Définition de « renseignement personnel » (art. 9.1 du PL64)

Ensuite, un amendement significatif du PL64 fut adopté à l’égard de la définition donnée à la notion de « renseignement personnel » au sens de la Loi sur l’accès. Cette définition était, depuis 1994, demeurée intacte. Ainsi, il serait clarifié qu’un « renseignement personnel » est un renseignement qui, notamment, permet d’identifier une personne directement, mais aussi, indirectement :

54. Dans un document, sont personnels les renseignements qui concernent une personne physique et permettent directement ou indirectement de l’identifier.

 

Outre le fait que cette précision codifierait l’interprétation donnée à la notion de « renseignement personnel » par la Commission d’accès à l’information dans son Rapport quinquennal de 2016[7] et celle qui y fut donnée au sens de la loi fédérale en matière de protection des renseignements personnels[8], celle-ci s’aligne avec la notion de renseignement « anonymisé » initialement introduite par le PL64, c’est-à-dire un renseignement qui, notamment, ne permette plus d’identifier, « directement ou indirectement », la personne concernée[9].

Définition de « renseignement personnel sensible » (art. 12 du PL64)

La définition de la sous-notion de « renseignement personnel sensible » au sens du nouvel article 59 initialement proposé par le PL64 serait également clarifiée :

« […]

Pour l’application de la présente loi, un renseignement personnel est sensible lorsque, de par sa nature, notamment médicale, biométrique ou autrement intime, ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d’attente raisonnable en matière de vie privée. »

 

La définition de « renseignement sensible » initialement proposée par le PL64 avait été critiquée par notre équipe dans notre Mémoire sur le PL64 présenté à titre personnel à la Commission des institutions[10], en raison notamment de son éventuelle difficulté d’application en pratique pour les organisations québécoises. Bien que cet amendement permette un peu plus de certitude quant à la qualification de certains types de renseignements, une ambiguïté criante demeure quant aux renseignements personnels qui, en raison du contexte, susciterait de hautes attentes en matière de vie privée pour les individus concernés[11].

Règles de gouvernance à l’égard des renseignements personnels (art. 14 du PL64)

Un autre amendement adopté octroie un pouvoir réglementaire au gouvernement, lui permettant de déterminer tout autre contenu et/ou modalité devant se trouver dans les règles de gouvernance à l’égard des renseignements personnels que les organismes publics devront publier sur leur site internet aux termes du nouvel article 63.3 de la Loi sur l’accès initialement proposé par le PL64.

Mise en œuvre des évaluations des facteurs relatifs à la vie privée (art. 14 du PL64)

Enfin, fut adopté un amendement apportant une nuance significative aux exigences d’effectuer des évaluations des facteurs relatifs à la vie privée[12] (« EFVP »), telles qu’initialement proposées dans le PL64. En effet, bien que le champ d’application de l’exigence soit élargie en ce qui a trait aux « projets technologiques », il est surtout précisé que la réalisation de toute EFVP requise aux termes de la loi soit proportionnée à certains paramètres :

« 63.5 Un organisme public doit procéder à une évaluation des facteurs relatifs à la vie privée de tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels.

Aux fins de cette évaluation, l’organisme public doit consulter, dès le début du projet, son comité sur l’accès à l’information et la protection des renseignements personnels.

Cet organisme public doit également s’assurer que ce projet permet qu’un renseignement personnel informatisé recueilli auprès de la personne concernée soit communiquée à cette dernière dans un format technologique structuré et couramment utilisé.

La réalisation d’une évaluation des facteurs relatifs à la vie privée en application de la présente loi doit être proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support.»

 

Ainsi, il semble que ce deuxième ajout nécessiterait une évaluation préliminaire à l’EFVP afin de déterminer l’étendue et l’ampleur de cette dernière. Bien que l’insertion de cette mesure de proportionnalité nuançant l’exigence phare du PL64 qu’est l’EFVP soit une bonne nouvelle pour les organisations québécoises, la nature et la portée de cet exercice demeurent incertaines.

***

Soyez assurés que notre équipe demeure aux aguets et tâchera de vous tenir à jour des futurs développements législatifs entourant le PL64!


CENTRE DE RESSOURCES PL64 - Découvrez notre centre de ressources dédié au Projet de Loi 64regroupant toutes les informations que vous devez savoir pour faire face aux changements qui pourraient être apportés à la législation.  

LISTE DE DISTRIBUTION Pour ne pas manquer nos prochains bulletins, notre webinaire de formation et toutes autres informations pertinentes à ce sujet, inscrivez-vous dès maintenant sur notre liste de distribution.

 


[3]      Code des professions, RLRQ c C-26, art. 108.5.

[5]      La proposition initiale du PL64 à l’égard du consentement est plus amplement discutée dans le bulletin #3 de notre série spéciale : « PL64 – C comme Consentement : une simplification complexe? » (J. Uzan-Naulin et A. Barbach).

[6]      Faisant suite à une demande du Curateur public du Québec.

[7]      Commission d’accès à l’information, Rapport quinquennal : « Rétablir l’équilibre », 2016, p. 156.

[9]      PL64, art. 28.

[10]     A. Aylwin, K. Delwaide, J. Stoddart, J. Uzan-Naulin, G. Pelegrin, A. Barbach et W. Deneault-Rouillard, « Moderniser, mais conserver un équilibre », mémoire présenté à la Commission des institutions de l’Assemblée nationale, 23 septembre 2020.

[11]     Voir ledit Mémoire, p. 21.

[12]     Cette nouvelle exigence introduite par le PL64 est plus amplement discutée dans le bulletin #13 de notre série spéciale : « Évaluation des facteurs relatifs à la vie privée : la nouvelle réalité pour les organisations québécoises traitant des renseignements personnels? » (W. Deneault-Rouillard et V. Henri).

    Abonnement

    Recevez des mises à jour de notre équipe

    S'inscrire