Passer au contenu principal
IMPORTANT : Pour la sécurité de tous, Fasken exige que toute personne qui se trouve sur place dans ses bureaux canadiens fournisse une preuve de vaccination complète contre la COVID-19. Cela s’applique aux avocats, au personnel, aux clients, aux fournisseurs de services et aux autres visiteurs.
Bulletin

PL 64 : La pause estivale pour se préparer aux changements majeurs

Fasken
Temps de lecture 16 minutes
S'inscrire

Bulletin #31 | Série spéciale - Projet de loi n° 64 et la réforme des lois québécoises sur la protection des renseignements personnels

Résumé

À la fin du mois de juin 2021, le projet de loi 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, qui modifie la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels et la Loi sur la protection des renseignements personnels dans le secteur privé, en est à mi-chemin de l’étape de l’étude en commission parlementaire. Cette dernière s’est rendue à l’examen de l’article 124 de quelques 164 articles. Ce processus se poursuivra cet automne, laissant entrevoir une possible adoption finale d’ici décembre 2021. L’entrée en vigueur des dispositions principales de la nouvelle loi est prévue un an après la date de la sanction du projet de loi.

Il est donc temps de se préparer pour de nouvelles pratiques au sein des organisations, et d’examiner de plus près quelques modifications importantes qui ont été faites au projet de loi lors de son étude récente en commission parlementaire et qui affectent le secteur privé. Cliquer ici pour aller directement à notre liste des mesures à prendre immédiatement pour se préparer à l’entrée en vigueur des dispositions.

Le projet de loi 64 depuis son introduction en juin 2020

Le projet de loi, tel que rédigé, a été analysé de façon détaillée dans nos 30 bulletins au cours de la dernière année.

Toutefois, certaines modifications importantes ont été faites lors de la révision en commission parlementaire du projet de loi 64. Les travaux de l’Assemblée nationale sont en pause jusqu’à la reprise des séances en commission, qui devrait vraisemblablement avoir lieu le 17 août 2021. Nous profitons de cette pause pour faire état de ces changements et de leurs implications pratiques.

Les amendements importants en Commission à ce jour

Plusieurs des amendements en commission parlementaire répondent aux critiques faites quant aux implications pratiques d’une nouvelle Loi sur la protection des renseignements personnels dans le secteur privé telle que proposée lors de son dépôt.

La communication des renseignements personnels hors Québec

Les exigences entourant la communication de renseignements à l’extérieur de la province ont été l’une des mesures les plus vivement critiquées, car à l’heure actuelle peu de provinces ou de pays possèdent un niveau de protection équivalent à celui proposé par le Québec. De plus, l’élaboration d’une liste des protections dont le renseignement bénéficierait, dans toutes les destinations globales, était peu réaliste.

Ces exigences ont quelque peu été assouplies, mais demeurent importantes[1]. Par exemple, avant d’envoyer des renseignements personnels en Ontario, une entreprise doit mener une évaluation des facteurs relatifs à la vie privée (ÉFVP). Dorénavant, on n’exigera plus une protection équivalente, mais il faudra procéder à un examen des principes de protection des renseignements personnels qui s’appliquent dans cette province. Ainsi, il sera possible d’y envoyer des renseignements personnels si la protection est « adéquate » plutôt qu’« équivalente ». Cette adéquation s’évaluera selon « les principes de protection des renseignements personnels généralement reconnus »[2].

Contrairement à ce qui était initialement prévu au projet de loi 64, le gouvernement du Québec ne publiera pas une liste de juridictions étrangères qui sont jugées équivalentes en termes de protection. Cette responsabilité revient à l’entreprise qui exporte les renseignements personnels.

Il semble que la norme « des principes de protection des renseignements personnels généralement reconnus » réfère aux Lignes directrices de l’OCDE de 1980 et révisées en 2013. Bien que cette approche donne plus de flexibilité pour l’évaluation des juridictions hors Québec qui offriraient une protection adéquate, elle s’avère plus floue. En effet, elle laisse aux entreprises le soin de faire des analyses sophistiquées de la réalité sur le terrain. Ces analyses pourraient par exemple porter sur les mesures additionnelles ajoutées par contrat ou encore sur l’efficacité réelle de l’autorité de contrôle.

Les envois de renseignements personnels doivent toujours faire l’objet d’une entente écrite qui tient compte des résultats de l’ÉFVP et, si nécessaire, comprend des mesures compensatoires pour mitiger les risques.

Les notions de dépersonnalisation et d’anonymisation d'un renseignement personnel

La dépersonnalisation[3]

Selon la Loi sur la protection des renseignements personnels dans le secteur privé, un renseignement personnel est considérée dépersonnalisé lorsqu’il ne comporte plus d’identifiants directs, tels que le nom ou le numéro d’assurance sociale. Il s’agit en quelque sorte d’un équivalent de la pseudonymisation prévue par le RGPD.

Cependant, un renseignement qui contient des identifiants indirects (par exemple le genre) peut permettre l’identification d’une personne, lorsqu’utilisée avec d’autres informations.

Pour cette raison, un amendement au projet de loi 64 ajoute l’obligation pour les entreprises qui utilisent des renseignements personnels dépersonnalisés de prendre des mesures raisonnables, afin de réduire les risques de réidentification[4].

Rappelons que quiconque identifie ou tente d’identifier une personne physique en utilisant des renseignements dépersonnalisés, sans la permission nécessaire, peut être sujet à une amende[5].

L’anonymisation

Un amendement au projet de loi 64 ajoute une nouvelle condition au concept d’anonymisation[6]. En principe, si un renseignement est véritablement devenu anonyme, il ne devrait plus être assujetti à la Loi sur la protection des renseignements personnels dans le secteur privé, puisqu’il ne peut alors plus être relié à une personne en particulier.

Mais les techniques de réidentification se perfectionnant avec le temps, le qualificatif « en tout temps » a été ajouté lors des débats en commission parlementaire.

Au minimum, cette modification impose qu’il soit fait recours aux dernières techniques connues pour anonymiser les renseignements personnels de façon irréversible.

Le projet de loi 64 présente l’anonymisation comme une alternative à la destruction. On a ajouté que cette opération est permise en autant que ce soit pour « une fin sérieuse et légitime »[7]. Cet amendement traduit la préoccupation de la commission parlementaire que des renseignements, même anonymes, ne soient pas utilisés à des fins répréhensibles.

Toutefois, cet amendement crée un paradoxe, puisqu’on veut alors contrôler, par une loi qui régit les renseignements personnels, l’utilisation de renseignements qui ne correspondent plus à la définition de « renseignement personnel » et qui sont, en théorie, non-identificatoires.

Nouvelles exigences lors de la collecte de renseignements personnels

Afin de renforcer la qualité du consentement de l’individu lors de la collecte de ses renseignements personnels, on doit maintenant l’informer du nom des tiers avec lesquels ce renseignement sera partagé[8].

Cet ajout implique aussi que toutes les fins auxquelles un renseignement est recueilli soient connues et prévues au moment de la collecte, imposant ainsi une rigueur éthique lors de la collecte des renseignements personnels de l’individu.

Activer le profilage

Le profilage, tel que défini par le projet de loi 64 réfère à la collecte et l’utilisation de renseignements personnels dans le but d’évaluer certaines caractéristiques d’une personne physique, telles que ses intérêts ou préférences personnelles[9].

Le projet de loi 64 ajoutait à la Loi sur la protection des renseignements personnels dans le secteur privé un article obligeant l’entreprise à informer la personne dont les renseignements sont recueillis du recours à une technologie permettant d’effectuer un profilage.

Les amendements apportés à cet article empêchent dorénavant l’entreprise d’activer ces fonctions de profilage d’office. En effet, l’entreprise ne doit plus informer la personne concernée des moyens offerts pour « désactiver » les fonctions de profilage, mais plutôt des moyens offerts pour les « activer »[10].

Le consentement donné par l’individu est donc limité par certaines balises, à savoir que le paramétrage de base doit être la désactivation des fonctions de profilage. Cela permet une cohérence avec la nouvelle exigence de confidentialité par défaut, également proposée dans le projet de loi 64.

Pas de consentement pour la saine gestion des renseignements personnels

Le consentement de l’individu n’est désormais plus requis lorsque l’utilisation de ses renseignements personnels est nécessaire afin de prévenir et détecter de la fraude. Il en est de même lorsqu’ils sont nécessaires pour l’évaluation ou l’amélioration des mesures de protection et de sécurité[11].

Plus de flexibilité dans la désignation de la personne responsable

Selon le projet de loi 64, la personne responsable de la protection des renseignements personnels est la personne, au sein de l’entreprise, ayant la plus haute autorité. Cependant, cette fonction peut être déléguée[12].

Dans la première version du projet de loi 64, la délégation ne pouvait se faire qu’à un membre du personnel. Un amendement est venu étendre cette possibilité de délégation à toute personne.

Cet amendement offre une plus grande souplesse puisqu’il permet ainsi de recourir à une personne externe à l’entreprise afin d’assumer les fonctions de responsable de la protection des renseignements.

Plusieurs entreprises pourraient ainsi se regrouper afin de désigner un seul responsable. Cela permettrait également de faire appel à une personne spécialisée en protection des renseignements personnels.

Les ÉFVP omniprésentes : la proportionnalité

Le recours à une évaluation des facteurs relatifs à la vie privée est consacré au nouvel article 3.3.

Cette ÉFVP est centrale à la réforme puisque tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services qui impliquent des renseignements personnels requiert que l’entreprise procède à une ÉFVP.

Les amendements au projet de loi 64 prévoient qu’une telle évaluation est dorénavant variable, puisqu’elle doit être proportionnée à la sensibilité des renseignements concernés, mais également à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support[13].

Cette proportionnalité de l’ÉFVP en considération de la sensibilité de l’information et de la finalité de son utilisation est d’ailleurs réitérée à l’article 17 qui prévoit les facteurs à considérer lors d’une ÉFVP en lien avec la communication de renseignements à l’extérieur du Québec.

Les orientations futures pour la CAI

Lors de la discussion organisée par l’IAPP dans le cadre du Symposium 2021, la présidente de la Commission d’accès à l’information du Québec (CAI), Me Diane Poitras, a annoncé que cet organisme offrira des conseils pratiques en lien avec l’application des modifications à la Loi sur la protection des renseignements personnels dans le secteur privé. La CAI fera aussi des efforts afin d’harmoniser ses prises de position avec celles des autres provinces. La présidente a expliqué qu’elle participait actuellement aux discussions visant l’augmentation des ressources disponibles à la CAI dans le contexte de l’administration des changements découlant du projet de loi 64.

Se préparer pour l’entrée en vigueur du projet de loi 64

Comme indiqué au tout début de ce bulletin, la plupart des nouvelles dispositions entreront en vigueur dans un délai d’un an à la suite de leur adoption[14]. Ceci signifie donc qu’une bonne partie de la Loi sur la protection des renseignements personnels dans le secteur privé pourrait être effective dès le 1er janvier 2023.

Mesures à prendre dès maintenant :

  1. Choisir ou confirmer la personne qui sera responsable de la protection des renseignements personnels. En pratique, cette responsabilité peut être déléguée[15].
  2. Identifier la personne responsable du flux de données, et notamment du flux de renseignements personnels, de leur contenu et de leurs destinations exactes.
  3. Ces deux personnes et leurs équipes, le cas échéant, devraient faire une cartographie des données, et notamment des renseignements personnels, la plus à jour possible. Un soin particulier devrait être apporté pour tout renseignement personnel à l’extérieur du Québec, incluant les autres provinces canadiennes.
  4. Identifier toutes les instances dans les opérations, où des pratiques doivent être renouvelées ou remplacées (conditions pour le consentement, conditions de profilage, exportation des renseignements personnels, identification des destinataires des renseignements personnels, réponse aux demandes d’accès à ces renseignements personnels, mise à jour du site web, rédaction ou réécriture de la politique de confidentialité, etc.).
  5. Identifier les instances dans le traitement des renseignements personnels où l’on utilise des technologies de surveillance ou de prise de décision automatique, l’intelligence artificielle ou encore la biométrie. S’assurer que le déploiement de ces technologies est en conformité avec la loi.
  6. Se familiariser avec la méthodologie des évaluations des facteurs de la vie privée (ÉFVP) et commencer à les utiliser pour acquérir l’expérience nécessaire. Idéalement, une procédure écrite devrait être préparée afin de bien documenter les pratiques de l’organisation en conformité aux lois à venir, ce qui facilite la défense en cas d’enquête ou de recours.
  7. Préparer les processus qui seront utilisés pour répondre efficacement aux personnes qui demanderont de l’information sur le traitement de leurs renseignements personnels, et documenter ceux-ci par le biais de procédures écrites.
  8. Réviser tous les contrats avec les fournisseurs, sous-traitants et autres tiers qui sont destinataires de renseignements personnels, afin de voir s’il devrait y avoir des ajustements afin de prendre en compte les nouvelles exigences de la loi.
  9. Planifier les formations du personnel sur la protection et la sécurité des données, et notamment des renseignements personnels, selon leurs responsabilités et établir un calendrier pour rafraîchir leurs connaissances au fur et à mesure que les technologies, les pratiques de l’industrie et la jurisprudence évoluent.
  10. Mettre en place un processus de réponse aux incidents de sécurité, afin de se conformer à l’obligation de produire une déclaration des incidents de sécurité en cas de préjudice sérieux.


[1] Art. 17, Loi sur la protection des renseignements personnels dans le secteur privé, telle que modifiée par le PL 64 et ses amendements faits lors de l’étude en commission parlementaire (« Loi »).

[2] Art. 17 al. 2 (1), Loi.

[3] Art. 12 al. 4 par. 1, Loi.

[4] Art 12 al. 5, Loi.

[5] Art. 91 (3), Loi.

[6] Art. 23 al. 2, Loi.

[7] Art. 23 al. 1, Loi.

[8] Art. 8 al. 2, Loi.

[9] Art. 8.1 al. 2, Loi.

[10] Art. 8.1 al. 1 (2), Loi.

[11] 12 al. 2 (2.1), Loi.

[12] Art. 3.1 al. 2, Loi.

[13] Art. 3.3 al. 4, Loi.

[14] Art. 165 du projet de loi 64.

[15] Art. 3.1 al. 2, Loi.

    Abonnement

    Recevez des mises à jour de notre équipe

    S'inscrire