Passer au contenu principal
IMPORTANT : Pour la sécurité de tous, Fasken exige que toute personne qui se trouve sur place dans ses bureaux canadiens et de Johannesburg fournisse une preuve de vaccination complète contre la COVID-19. Cela s’applique aux avocats, au personnel, aux clients, aux fournisseurs de services et aux autres visiteurs.
Bulletin

Le début d’un temps nouveau pour le secteur privé : le projet de loi 64 sur la protection des renseignements personnels est adopté

Fasken
Temps de lecture 40 minutes
S'inscrire

Aperçu

Bulletin #32 | Série spéciale - Projet de loi n° 64 et la réforme des lois québécoises sur la protection des renseignements personnels

Résumé

Le projet de loi 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (« PL 64 »), a été adopté par l’Assemblée nationale le mardi 21 septembre 2021 et a reçu la sanction le 22 septembre 2021. Il entrera en vigueur en trois étapes à la suite de la sanction, soit une partie après un an, la majorité des dispositions après deux ans et certaines dispositions après trois ans.

Pour ceux qui ont suivi le cheminement du PL 64, il convient de porter attention aux changements significatifs lors des discussions en commission parlementaire dans les dernières semaines.

Trois thèmes principaux se dégagent de ces changements : (i) un renforcement des droits des individus, (ii) des adaptations à la réalité des petites et moyennes entreprises et, finalement, (iii) l’assouplissement des mesures permettant l’envoi des renseignements personnels à l’extérieur du Québec.

Entrée en vigueur

Environ seize mois après son dépôt initial à l’Assemblée nationale en juin 2020, le PL 64 a pris une forme finale qui a mené à son adoption le 21 septembre dernier.

La plupart des dispositions entreront en vigueur dans un délai de deux ans suivant la date de la sanction de la loi, au lieu d’un an tel qu’initialement prévu[1].

Certaines dispositions entreront en vigueur dans un délai d’un an suivant la date de la sanction, soit les dispositions relatives :

  • aux incidents de confidentialité;
  • à la communication de renseignements personnels à des fins d’études ou de recherche;
  • à l’obligation de désigner un responsable et de former un comité;
  • à la communication des renseignements personnels dans le cadre d’une transaction commerciale;
  • à la communication par un établissement d’enseignement, à la demande de la personne ayant déposé une plainte, des renseignements relatifs aux suites qui ont été données à la plainte; et
  • certaines modifications aux pouvoirs de la CAI[2].

En ce qui concerne le droit à la portabilité, les modifications entreront en vigueur trois ans après la sanction de la loi[3].

Pour remettre cette initiative en contexte, rappelons tout d’abord les multiples demandes de réforme en provenance du milieu des affaires, des consommateurs et des experts depuis plus d’une décennie. Rappelons ensuite l’entrée en vigueur, en 2018, de la nouvelle réglementation relative à la protection des données dans l’Union européenne, le RGPD, qui a consacré une nouvelle approche en la matière, accentuant la nécessité de procéder à une réforme des lois canadiennes, applicables au secteur privé. Si, au niveau fédéral, un projet de loi avait été déposé, le projet de loi C-11 édictant la Loi sur la protection de la vie privée des consommateurs et la Loi sur le Tribunal de la protection des renseignements personnels et des données et apportant des modifications corrélatives et connexes à d’autres lois et que plusieurs provinces envisagent des réformes, seul le Québec a mené sa réforme à terme à ce jour, lui permettant de sauvegarder sa réputation de leader dans le domaine.

Retour sur les amendements en Commission – Loi sur le secteur privé

Dix-sept mémoires ont été déposés et vingt séances de la Commission des institutions ont été tenues, incluant par notre équipe. Les modifications qui sont ressorties de cet exercice démontrent que plusieurs des inquiétudes exprimées, par le milieu des affaires, le milieu universitaire ou encore par des organismes dédiés à la défense des droits et libertés, ont amené le législateur à reformuler d’importantes parties du PL 64.

Ce bulletin résume les changements significatifs consécutifs aux débats en commission parlementaire et qui concernent la Loi sur la protection des renseignements personnels dans le secteur privé (la « Loi sur le secteur privé »). Les précédents bulletins de Fasken sur le sujet restent pertinents, sous réserve des modifications qui ont été adoptées par la suite.

Un tableau complet des changements effectués en commission parlementaire est disponible à la fin de ce bulletin. Veuillez prendre note que ce tableau n’est pas une version officielle du PL 64 au stade actuel, mais simplement un outil de travail préparé à des fins de compréhension de l’évolution du texte.

Trois thèmes principaux se dégagent des modifications apportées au PL 64

La dernière version du PL 64 apporte des changements significatifs qui s’articulent autour de trois thèmes principaux.

D’abord, une meilleure protection des droits de la personne concernée, à qui l’on accorde une voix plus importante concernant le traitement de ses données et dont on s’assure de la compréhension à l’égard des conséquences de ses choix.

Ensuite, l’expression d’une volonté de souplesse dans l’application éventuelle des nouvelles normes et sanctions, bien plus strictes qu’auparavant, aux petites et moyennes entreprises de la province, qui n’opèrent pas dans la même réalité commerciale que les grandes multinationales, souvent établies aux États-Unis. Cette même volonté s’exprime également, à l’égard des usagers de renseignements personnels, qui doivent généralement se conformer à certaines normes internationales, dans un contexte de recherche scientifique.

Finalement, certains amendements visent une meilleure prise en compte des réalités entourant la transmission globale et constante des données, ainsi que son rôle dans le commerce hors Québec.

Renforcer la protection des personnes et de leurs renseignements personnels

Plusieurs participants, soucieux du sort du droit fondamental à la vie privée, souhaitaient une version de la loi qui soit plus exigeante et assortie de sanctions plus sévères. En réponse, le législateur s’est assuré de renforcer les dispositions protégeant le droit à la vie privée de la personne dont les renseignements personnels sont sollicités ou utilisés par autrui.

Résultat : Des ajouts qui donneront aux personnes concernées beaucoup plus de contrôle sur les données les concernant, des obligations d’information plus importantes à l’égard de ces personnes, de même que des sanctions plus sévères pour les personnes qui contreviendraient à la nouvelle loi.

Définition de renseignement personnel

La définition même de renseignement personnel est précisée, puisqu’il est désormais mentionné qu’un renseignement personnel est celui qui permet l’identification d’une personne physique, directement ou indirectement[4].

Information et consentement

On doit désormais informer la personne du nom des tiers ou des catégories de tiers à qui ses renseignements seront communiqués[5].

Des ajouts permettent également d’adapter la façon dont le consentement est donné pour des renseignements personnels concernant un mineur de 14 ans, puisqu’en plus du titulaire de l’autorité parentale, celui-ci pourra être donné par un tuteur[6].

Protection de la vie privée « par défaut »

Les amendements modifient les circonstances dans lesquelles une entreprise qui offre un produit ou un service technologique doit s’assurer que les paramètres de confidentialité de ces produits ou services assurent le plus haut niveau de confidentialité, par défaut.

En effet, ils précisent que cela est seulement applicable aux produits et services offerts au public et que ne sont pas visés les paramètres de confidentialité d’un témoin de connexion[7].

De plus, lorsque la cueillette des renseignements est faite par une technologie possédant des fonctions d’identification, de localisation ou de profilage, la personne doit être informée de la façon de les activer. C’est le choix opt-in, changement du opt-out dans la version initiale du PL 64, où le paramétrage par défaut était l’activation de ces fonctions[8].

Renseignements dépersonnalisés et anonymisés

Rappelons qu’un renseignement dépersonnalisé est celui qui ne permet plus d’identifier directement la personne concernée[9].

Il est désormais exigé d’une entreprise qui utilise de tels renseignements qu’elle prenne « les mesures raisonnables pour éviter la réidentification »[10]. Cette modification permet ainsi d’atténuer, pour les personnes concernées, les possibles craintes quant à la manipulation de renseignements personnels, nécessaire dans plusieurs circonstances de ce type.

Mentionnons à ce titre que le PL 64 avait introduit une nouvelle infraction en lien avec ces renseignements, puisque toute personne qui tente ou procède à l’identification d’une personne physique à partir de renseignements dépersonnalisés commet alors une infraction[11].

En ce qui concerne les renseignements anonymisés, il s’agit de ceux qui ne permettent plus d’identifier directement ou indirectement une personne physique, et ce de façon irréversible. Un amendement vient préciser cette définition, en ajoutant qu’un renseignement sera anonymisé, s’il « est en tout temps, raisonnable de prévoir dans les circonstances » qu’il ne permet plus une telle identification[12]. Cet ajout a pour conséquence d’imposer à une entreprise l’obligation de maintenir, dans le temps, des techniques d’anonymisation conformes à la loi.

De plus, lorsque les fins auxquelles un renseignement personnel a été recueilli ou utilisé sont accomplies, le renseignement doit être détruit ou anonymisé. Cependant, les amendements restreignent les situations dans lesquelles il pourra être anonymisé, en exigeant qu’une telle anonymisation ne soit faite que pour une utilisation à des fins sérieuses et légitimes[13].

Conservation et destruction des renseignements personnels par un agent de renseignements personnels

Selon la Commission d’accès à l’information, un agent de renseignements personnels « est toute personne qui, elle-même ou par l’intermédiaire d’un représentant, fait le commerce de constituer des dossiers sur autrui, de préparer et de communiquer à des tiers des rapports de crédit au sujet du caractère, de la réputation ou de la solvabilité des personnes concernées par ces dossiers »[14].

Le PL 64 intensifie l’obligation d’un agent de renseignements personnels, en regard de la conservation d’un renseignement personnel, puisque celui-ci doit désormais détruire un renseignement personnel recueilli il y a plus de sept ans, au lieu de simplement ne plus le conserver[15].

De plus, un renseignement personnel, contenu dans un dossier d’enquête constitué en vue de prévenir, détecter ou réprimer un crime ou une infraction à la loi, peut désormais être conservé pour une période supérieure à sept ans. Cependant, ce renseignement devra tout de même être détruit lorsque les fins de prévention, de détection ou de répression seront accomplies[16].

Sanctions administratives et pénales

Les amendements prévoient de nouveaux manquements susceptibles de déclencher une sanction administrative. Ainsi, sera désormais passible d’une telle sanction[17] :

  • Quiconque conserve des renseignements personnels en contravention à la loi;
  • Quiconque ne prend pas les mesures de sécurité permettant d’assurer la protection des renseignements personnels;
  • Un agent de renseignements personnels qui ne respecte pas ses obligations, par exemple s’il ne s’est pas inscrit auprès de la Commission.

En matière d’infraction pénale, certains ajouts et modifications ont également été faits[18] :

  • L’amende maximale imposable à une personne physique en cas d’infraction est passée de 50 000 à 100 000$.
  • Quiconque conserve des renseignements personnels en contravention à la loi est désormais coupable d’une infraction;
  • Quiconque ne prend pas les mesures de sécurité permettant d’assurer la protection des renseignements personnels est désormais coupable d’une infraction;
  • Quiconque demande la communication de renseignements personnels auprès d’un agent d’évaluation de crédit, après avoir été informé par un autre agent de l’existence d’un gel de sécurité interdisant cette communication;
  • Le délai pour intenter toute poursuite pénale passe de trois à cinq ans à la suite de la perpétration de l’infraction.

Assouplissement de la loi à différentes situations

Plusieurs des représentations effectuées en commission parlementaire ont mis en évidence la grande diversité d’activités auxquelles la loi pourrait s’appliquer. Les petites et moyennes entreprises, si présentes dans l’économie québécoise, ne devraient pas être pénalisées par une approche élaborée à l’intention de grandes multinationales.

Résultat : Plusieurs modifications ont été apportées afin d’accorder aux entreprises une plus grande souplesse dans la poursuite de leurs obligations et responsabilités, et dans le but de clarifier certaines situations particulières.

Délégation des fonctions de la personne responsable des renseignements personnels au sein d’une entreprise et politiques encadrant la gouvernance

Ainsi, il est dorénavant possible de déléguer les fonctions de la personne responsable des renseignements personnels à toute personne, et non plus seulement à un membre du personnel[19].

De plus, il n’est plus requis des entreprises qu’elles publient, dans leur entièreté, les politiques encadrant la gouvernance d’une entreprise, à l’égard des renseignements personnels. En effet, elles rempliront leurs obligations, si elles publient simplement des informations détaillées au sujet de ces politiques, en termes clairs et simples[20]. Fasken, dans son mémoire, avait d’ailleurs attiré l’attention de la Commission des institutions sur les enjeux entourant une publication complète de ces politiques[21].

L’évaluation des facteurs relatifs à vie privée (EFVP) et la notion de renseignement « sensible »

Des clarifications sont apportées quant aux moments où l’ÉFVP s’impose, et le concept de proportionnalité de l’ÉFVP à la sensibilité des renseignements concernés est ajouté[22]. Ainsi, une ÉFVP devra être réalisée pour tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant des renseignements personnels. Cette clarification quant au moment où une ÉFVP est requise répond, en partie, à une des recommandations faites par Fasken dans son mémoire[23].

Les amendements précisent ce que constitue un renseignement « sensible » en en donnant des exemples : « notamment médicale, biométrique ou autrement intime », accordant aux entreprises une plus grande certitude dans la façon de traiter divers types de renseignements personnels[24].

Allègements des obligations entourant le consentement

Plusieurs modifications permettent également de faciliter le quotidien d’une entreprise en prévoyant que le consentement de la personne concernée n’est pas nécessaire dans de nouvelles situations et notamment[25] :

  • Pour prévenir et détecter de la fraude ou afin d’améliorer des mesures de protection et de sécurité;
  • Afin de fournir ou de livrer un produit ou un service demandé par la personne concernée.

Les amendements permettent également d’étendre la portée du consentement donné par la personne concernée, puisque celui-ci n’est désormais plus donné uniquement pour l’utilisation des renseignements personnels aux fins visées, mais également pour leur communication à ces mêmes fins[26].

La communication et l’utilisation à des fins de recherche, étude et production de statistiques

En ce qui concerne la recherche, la notion d’intérêt public a été ajoutée comme élément qui doit être considéré, lorsqu’il n’y a pas de consentement pour évaluer l’impact sur la vie privée[27].

Mentionnons subsidiairement que les activités de recherche, étude et production de statistiques sont facilitées par le remplacement de l’exigence de présenter un protocole de recherche, par la nécessité, plus large, de présenter seulement une description détaillée des activités de recherche[28].

La notion de transaction commerciale

Initialement, le PL 64 définissait la transaction commerciale comme impliquant un transfert de propriété de tout ou partie d’une entreprise.

Or cette notion a été élargie pour s’harmoniser avec celle d’autres juridictions. Cette nouvelle définition inclut désormais :

  • L’aliénation ou la location d’une entreprise ou de ses actifs, en tout ou en partie;
  • La modification de la structure juridique de l’entreprise;
  • L’obtention d’un prêt ou d’une autre forme de financement;
  • La prise d’une sûreté, afin de garantir une de ses obligations[29].

Mentionnons que cet élargissement de la définition de transaction commerciale reprend la recommandation faite par Fasken à ce sujet[30].

Sanctions administratives et pénales

Finalement, plusieurs amendements accordent au décideur une latitude dans la détermination de la peine ou de la sanction appropriée, à la suite d’un manquement ou d’une infraction à la nouvelle loi.

Ainsi, en matière d’infractions pénales, le juge doit tenir compte de huit facteurs différents dans la détermination de la peine, tels que la nature, la gravité, le caractère répétitif de l’infraction ou encore la sensibilité des renseignements personnels concernés par l’infraction[31].

En ce qui concerne les sanctions administratives pécuniaires, le PL 64, dans sa version initiale introduisait déjà des critères qui devaient guider le décideur dans sa décision d’imposer ou non une sanction, lorsqu’un manquement était constaté. Les amendements ont permis d’élargir l’usage de ces critères à la détermination du montant de la sanction et ont ajouté à ceux-ci, la prise en compte de la capacité de payer de la personne en défaut[32].

Engagement permettant d’éviter les sanctions administratives

De plus, à la suite d’un manquement identifié, une personne a désormais le choix de s’engager auprès de la Commission à prendre les mesures nécessaires pour remédier à son manquement ou en atténuer les conséquences. De cette façon et si l’engagement est accepté par la Commission, cette personne ne pourra faire l’objet de sanctions administratives[33].

Assouplissement des mesures permettant l’envoi des renseignements personnels à l’extérieur du Québec

Parmi les premières critiques dirigées à l’encontre du PL 64 se trouvaient celles indiquant que la législation proposée ne tenait pas compte de la réalité concernant l’exportation constante de renseignements personnels à l’extérieur du Québec. Ces exportations se font, bien souvent, pour des raisons essentielles, soit commerciales, ou encore à des fins de recherche scientifique.

Résultat : Une adaptation du projet de loi aux réalités interprovinciales et internationales, ancrées dans une ère de mondialisation et de développement exponentiel des nouvelles technologies.

Avant d’envoyer des renseignements personnels à l’extérieur du Québec, l’entreprise demeure toujours dans l’obligation de réaliser une ÉFVP qui tient compte de la sensibilité du renseignement, de la finalité de son utilisation, des mesures de protection dont le renseignement bénéficierait, de même que le régime juridique applicable dans l’État destinataire[34].

Rappelons qu’auparavant, le PL 64 exigeait que la destination où seraient envoyés les renseignements personnels offre une protection « équivalente » à celle existante au Québec. Or, ce concept de protection « équivalente » a été abandonné et l’on peut désormais communiquer des renseignements, à l’extérieur du Québec, vers une juridiction dont le niveau de protection est adéquat « notamment au regard des principes de protection des renseignements personnels généralement reconnus »[35]. Ce concept semble aussi difficile à appliquer en pratique que le précédent.

Les amendements apportent alors des précisions quant aux mesures de protection dont le renseignement bénéficierait qui doivent être prises en compte, puisqu’il est désormais indiqué que de telles mesures incluent les mesures additionnelles ajoutées par voie contractuelle[36]. Cet ajout, relativement aux mesures contractuelles, avait été proposé par Fasken, dans son mémoire présenté à la Commission des institutions[37].

Ces amendements précisent, de plus, que lors de l’évaluation du régime juridique applicable dans l’État destinataire, les principes de protection des renseignements personnels qui y sont applicables sont à prendre en compte[38].

Finalement, les amendements écartent l’élaboration par le gouvernement, d’une liste de juridictions jugées adéquates[39].

 

Liste des amendements apportés au projet de loi 64, Loi modernisant des dispositions législatives en matière de protection des RP, déposé le 12 juin 2020, lors de la première session de la quarante-deuxième législature de l’Assemblée nationale du Québec

Amendements modifiant la Loi sur la protection des renseignements personnels dans le secteur privé (« Loi »)

 

No

No d’amendement de l’A.N.

Art. amendé du PL64

Art. amendé de la Loi

Contenu de l’amendement

1

54

94.1

2

Précision de la définition d’un renseignement personnel (RP): un RP permet directement ou indirectement d’identifier une personne physique.

2

55

95

3.1

Élargissement de la notion de personne responsable puisque ses fonctions peuvent désormais être déléguées à toute personne, et non plus seulement à un membre du personnel.

3

56

95

3.2

Il n’est plus nécessaire de publier les politiques encadrant la gouvernance d’une entreprise à l’égard des RP. Désormais, seules des informations détaillées en termes clairs et simples sont suffisantes.

4

57

95

3.3

  • Clarification sur le fait qu’une ÉFVP est requise lors du développement, de l’acquisition ou de la refonte d’un système d’information ou de prestation électronique de services;
  • Ajout du concept de proportionnalité de l’ÉFVP.

5

58

96

4.1

En plus du titulaire de l’autorité parentale, le tuteur peut consentir pour le mineur de moins de 14ans.

6

59

99

8

Nécessité d’informer la personne concernée du nom des tiers à qui seront communiqués ses renseignements.

Un nouvel amendement adopté lors du dépôt du rapport de la Commission des institutions permet désormais d’informer la personne concernée du nom des tiers ou des catégories de tiers à qui seront communiqués des renseignements. Il s’agit de l’amendement no 2 adopté en vertu de l’article 252 du Règlement de l’Assemblée nationale.

7

60

99

8.1

Le paramétrage de base doit être la désactivation des fonctions d’identification, de localisation et de profilage.

8

61

99

8.3

Afin d’assurer une cohérence avec l’amendement59, le consentement est désormais donné pour l’utilisation et la communication aux fins visées.

9

62 – Sous-amendement1

102

12

  • Il est prévu que le consentement ne sera pas requis lorsque l’utilisation est nécessaire à des fins de prévention et de détection de la fraude ou d’évaluation et d’amélioration des mesures de protection et de sécurité;
  • Il en est de même lorsque l’utilisation est nécessaire à des fins de fourniture ou de livraison d’un produit ou de prestation d’un service demandé par la personne concernée.

10

62

102

12

  • Précision de ce qu’est un renseignement sensible par sa nature, notamment médicale, biométrique ou autrement intime (harmonisation avec la définition donnée dans la Loi sur l’accès aux documents des organismes publics);
  • Nécessité de prendre des mesures raisonnables pour éviter la réidentification.

11

63

102

12.1

La personne concernée par une décision prise à son sujet doit être informée du caractère automatisé de cette dernière au plus tard au moment où elle est informée de la décision, et non pas au moment où celle-ci est rendue.

12

64

102

14

  • Si le consentement est donné par écrit avec d’autres informations, il doit être présenté sous une forme qui le distingue de ces autres informations;
  • En plus du titulaire de l’autorité parentale, le tuteur peut consentir pour le mineur de moins de 14ans.

13

65

103

17

  • Communication de RP à l’extérieur du Québec
    • Tenir compte des mesures de protection contractuelles lors de l’ÉFVP;
    • Tenir compte des principes de protection des RP généralement reconnus applicables dans l’État où le renseignement est communiqué lors de l’ÉFVP;
    • Remplacement de la nécessité d’une protection équivalente par une protection adéquate.

14

66

103

17.1

Retrait de la publication par le ministre d’une liste d’États dont le régime juridique encadrant les RP offre une protection équivalente.

15

67

107

18.4

Modification et élargissement de la notion de « transaction commerciale » pour l’harmoniser à celle d’autres juridictions.

16

68

110

21

Lors de la communication de RP à un organisme à des fins d’étude, de recherche ou de production de statistiques, sans le consentement de la personne intéressée, l’objectif de l’étude doit l’emporter sur l’impact sur la vie privée, eu égard à l’intérêt public.

17

69

110

21.0.1

Lorsqu’une personne souhaite utiliser des RP à des fins d’étude, de recherche ou de production de statistiques, elle ne doit plus fournir un protocole de recherche, mais plutôt une présentation détaillée des activités de recherche.

Il s’agit d’une modification du libellé visant à élargir sa portée pour couvrir plus de concepts.

18

70

110

21.0.2

  • Changement de « protocole de recherche » pour « présentation détaillée des activités de recherche » pour l’harmoniser avec l’amendement précédent;
  • Remplacement du terme « cross-matched » par « matched », dans la version anglaise pour une meilleure adéquation lexicale avec l’intention du législateur.

19

71

111

23

  • Un RP peut désormais être anonymisé, seulement à des fins sérieuses et légitimes;
  • Modification de la définition d’un renseignement anonymisé pour ajouter la notion « en tout temps »;
  • Les renseignements doivent être anonymisés selon les meilleures pratiques généralement reconnues et selon les critères et modalités fixés par le gouvernement.

20

72

113

28.1

Dans le contexte d’une demande de cessation de diffusion ou de déréférencement, l’entreprise ne doit pas tenir compte de l’âge de la personne concernée, mais du fait que la demande vise des RP d’une personne alors qu’elle était mineure.

21

73

113

28.1

Le responsable de la protection des RP lorsqu’il acquiesce à une demande de cessation de diffusion ou de déréférencement doit attester dans une réponse écrite de la cessation de diffusion ou du déréférencement du RP.

22

74

132

64

Ajout pour permettre à la Cour du Québec, lors de la contestation d’une ordonnance prise par la section surveillance, de surseoir à l’exécution de cette ordonnance en raison de l’urgence ou du risque d’un préjudice sérieux et irréparable.

23

75

140

79.1

La modification vise à permettre, lorsque nécessaire pour des enquêtes en vue de prévenir, détecter ou réprimer un crime ou une infraction à la loi, la conservation, par un agent de renseignements personnels, de RP pour une période plus grande que sept ans.

La règle générale continuera de s’appliquer c’est-à-dire que les RP devront être détruits lorsque les fins auxquelles ils ont été recueillis ou utilisés sont accomplies.

24

76

140

79.1

Remplacement de « ne peut conserver »par « doit détruire » dans l’(ancienne) phrase: « Malgré l’article 23, un agent de RP ne peut conserver un RP recueilli il y a plus de sept ans. »

25

77

144

81.2

Cet amendement vise à modifier les moyens de production de la demande péremptoire et des documents ou des renseignements de façon à permettre l’utilisation d’un moyen technologique (neutralité technologique).

26

78

144

81.1 et 81.1.1

Ajout de l’article 81.1.1 qui reprend le troisième alinéa de l’article 81.1 (désormais retiré).

27

79

145

83

L’amendement vise à assurer la concordance avec l’article 129 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, en ce qui concerne les enquêtes de la Commission.

Ajout de « dans le délai raisonnable qu’elle indique » pour remplacer « Elle peut fixer les délais pour l’exécution des mesures qu’elle ordonne », relativement aux mesures correctives que la Commission peut ordonner.

28

80

149

90

Modification de concordance avec l’ajout d’un pouvoir règlementaire à l’article 23 de la Loi en lien avec l’anonymisation d’un RP.

Ainsi, le gouvernement peut désormais prendre un règlement pour déterminer les critères et les modalités applicables à l’anonymisation d’un RP.

29

81

150

90.1

L’article 90.1 concerne les sanctions administratives pécuniaires:

Inclusion d’une sanction relative aux exigences reliées à la conservation des RP

Prévoyance d’une sanction pour le fait de ne pas avoir pris les mesures de sécurité propres à assurer la protection des RP collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support.

Ajout d’une sanction administrative pour les agents de renseignements personnels qui contreviendraient à leurs obligations.

Ajout permettant à une personne ou à une entreprise de s’engager auprès de la CAI à prendre les mesures nécessaires pour remédier au manquement ou en atténuer les conséquences et ainsi, à éviter une sanction administrative pécuniaire. Cet ajout offre un moyen alternatif et plus souple afin de favoriser la conformité à la loi. Ce moyen peut être utilisé en tout temps, même avant que la CAI constate le manquement.

30

82

150

90.2

Ajout visant à préciser que le cadre général d’application des sanctions administratives pécuniaires que doit élaborer la CAI doit contenir les critères qui guident les personnes désignées dans la détermination du montant de la sanction.

31

83

151

91

Le montant maximal de la sanction pénale pour les personnes physiques passe de 50000 à 100000$ afin que le montant maximal soit plus élevé pour les sanctions pénales que pour les sanctions administratives pécuniaires.

Ajout de la destruction des RP en contravention de la loi comme infraction et harmonisation du libellé avec ceux que l’on retrouve ailleurs dans le projet de loi.

Ajout d’une infraction en raison de l’article 108 de la Loi sur les agents d’évaluation de crédit.

Ajout d’une infraction pour le fait de ne pas avoir pris les mesures de sécurité propres à assurer la protection des RP.

32

84

151

92.2

Modification de concordance avec un amendement effectué à la Loi sur l’accès aux documents des organismes publics et sur la protection des Renseignements personnels: changement du délai pour intenter une poursuite pénale de 3 à 5 ans.

33

85

151

92.3

Ajout de cet article afin de prévoir les facteurs qu’un juge doit considérer dans l’établissement d’une peine. Étant donné que le montant relié à une infraction peut être élevé, ces facteurs permettront au juge de déterminer plus clairement le montant approprié.

34

86

152

93.1

Amendement qui permet de soumettre le recours pour dommages-intérêts punitifs aux règles générales de la responsabilité civile.

35

96

112

27

Article concernant l’accès aux renseignements par les personnes concernées: L’amendement vise à prévoir explicitement que le droit de recevoir des RP dans un format structuré et couramment utilisé, ainsi que le droit de demander la communication de ces renseignements à tout autre personne ou organisme ne s’appliquent pas aux renseignements créés ou inférés à partir d’un RP du requérant.

36

99

100

9.1

Amendement qui vise à clarifier le fait que l’obligation, relative aux paramètres de confidentialité par défaut, s’applique uniquement à l’égard des produits et des services offerts au public, excluant ainsi les produits et services utilisés à l’interne par les employés. Ils visent finalement à préciser que l’obligation s’applique aux paramètres qui offrent un choix à l’utilisateur.

De plus, le deuxième alinéa prévoit que la protection par défaut ne s’applique pas aux paramètres de confidentialité d’un témoin de connexion.

37

100

150

90.2

Ajout de la capacité de payer de la personne en défaut, compte tenu notamment de son patrimoine, son chiffre d’affaires ou ses revenus, dans les critères devant guider les personnes désignées dans la décision d’imposer une sanction administrative.

38

107

93

1

Modification visant à remplacer la notion « d’entité autorisée » utilisée dans le projet de loi par « parti politique, député indépendant ou candidat indépendant », dans l’article traitant de l’applicabilité de la loi, rendant ainsi la loi applicable aux renseignements détenus par ces derniers.

39

108

142.1

80.1.1

L’amendement vise à indiquer qu’un parti politique est considéré comme une personne physique aux fins de l’application des sous-sections 4.1 et 5 de la section VII de la Loi.

 



[1] Projet de loi 64, art. 165 tel que modifié par les amendements.

[2] Id., art. 165(2) tel que modifié par les amendements.

[3] Id., art. 165(3) tel que modifié par les amendements.

[4] Loi sur le secteur privé, art. 2, tel qu’amendé par l’amendement 54 modifiant l’article 94.1 du PL 64.

[5] Id., art. 8, tel qu’amendé par l’amendement 59 modifiant l’article 99 du PL 64 et l’amendement 2 pris en vertu de l’article 252 du Règlement de l’Assemblée nationale.

[6] Id., art. 4.1 et 14, tels qu’amendés par les amendements 58 et 63 modifiant les articles 96 et 102 du PL 64.

[7] Id., art. 9.1, tel qu’amendé par l’amendement 99 modifiant l’article 100 du PL 64.

[8] Id., art. 8 et 8.1, tels qu’amendés par les amendements 59 et 60 modifiant l’article 99 du PL 64.

[9] Id., nouvel art. 12 al. 4 par. 1.

[10] Id., art. 12, tel qu’amendé par l’amendement 62 modifiant l’article 102 du PL 64.

[11] Id., nouvel art. 91(3).

[12] Id., art. 23, tel qu’amendé par l’amendement 71 modifiant l’article 111 du PL 64.

[13] Id.

[14] https://www.cai.gouv.qc.ca/liste-des-agents-de-renseignements-personnels/

[15] Loi sur le secteur privé, art. 79.1, tel qu’amendé par l’amendement 76 modifiant l’article 140 du PL 64.

[16] Id., art. 79.1, tel qu’amendé par l’amendement 75 modifiant l’article 140 du PL 64.

[17] Id., art. 90.1, tel qu’amendé par l’amendement 81 modifiant l’article 150 du PL 64.

[18] Id., art. 91 et 92.2, tels qu’amendés par les amendements 83 et 84 modifiant l’article 151 du PL 64.

[19] Id., art. 3.1, tel qu’amendé par l’amendement 55 modifiant l’article 95 du PL 64.

[20] Id., art. 3.2, tel qu’amendé par l’amendement 56 modifiant l’article 95 du PL 64.

[21] A. Aylwin, K. Delwaide, J. Stoddart, J. Uzan-Naulin, G. Pelegrin, A. Barbach et W. Deneault-Rouillard, « Moderniser, mais conserver un équilibre », mémoire présenté à la Commission des institutions de l’Assemblée nationale du Québec, dans le cadre des Consultations particulières et auditions publiques sur le Projet de loi no 64 : Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, Montréal, 2020, Recommandation 11, p. 14.

[22] Loi sur le secteur privé, art. 3.3, tel qu’amendé par l’amendement 57 modifiant l’article 95 du PL 64.

[23] « Moderniser, mais conserver un équilibre », préc., note 21, Recommandation 18, p. 21.

[24] Loi sur le secteur privé, art. 12, tel qu’amendé par l’amendement 62 modifiant l’article 102 du PL 64.

[25] Id., art. 12, tel qu’amendé par le sous-amendement 1 de l’amendement 62 modifiant l’article 12 du PL 64.

[26] Id., art. 8.3, tel qu’amendé par l’amendement 61 modifiant l’article 99 du PL 64.

[27] Id., art. 21, tel qu’amendé par l’amendement 68 modifiant l’article 110 du PL 64.

[28] Id., art. 21.0.1 et 21.0.2, tels qu’amendés par les amendements 69 et 70 modifiant l’article 110 du PL 64.

[29] Id., art. 17.1 et 18.4, tels qu’amendés par les amendements 66 et 67 modifiant les articles 103 et 107 du PL 64.

[30] « Moderniser, mais conserver un équilibre », préc., note 21, Recommandation 8, p. 12.

[31] Loi sur le secteur privé, art. 92.3, tel qu’amendé par l’amendement 85 modifiant l’article 151 du PL 64.

[32] Id., art. 90.2, tel qu’amendé par les amendements 82 et 100 modifiant l’article 150 du PL 64.

[33] Id., art. 90.1, tel qu’amendé par l’amendement 81 modifiant l’article 150 du PL 64.

[34] Id., nouvel art. 17.

[35] Id., art. 17, tel qu’amendé par l’amendement 65 modifiant l’article 103 du PL 64.

[36] Id., art. 17, tel qu’amendé par l’amendement 65 modifiant l’article 103 du PL 64.

[37] « Moderniser, mais conserver un équilibre », préc., note 21, Recommandation 2, p. 9.

[38] Préc., note 35.

[39] Amendement 66 retirant l’art. 17.1 de la Loi sur le secteur privé, introduit par l’art. 103 du PL 64.

Auteurs

    Abonnement

    Recevez des mises à jour de notre équipe

    S'inscrire