Marc-Antoine Bigras
Avocat
Article
5
Depuis le 22 septembre 2023, les organisations qui exercent des activités au Québec sont tenues de publier une politique de confidentialité sur leur site Web si elles recueillent des renseignements personnels par un moyen technologique, quel qu’il soit (par exemple, par l’entremise d’une adresse courriel, d’un site Web ou d’une application mobile).
Le 18 décembre 2023, la Commission d’accès à l’information (CAI), l’organisme de réglementation de la protection de la vie privée du Québec, a publié un guide essentiel pour les organisations désirant des précisions concernant la rédaction et la révision de leur politique de confidentialité. Cliquez ici pour accéder au guide.
Voici les trois grands points à retenir du guide explicatif « Rédiger une politique de confidentialité » de la CAI :
Le guide de la CAI établit une distinction cruciale entre deux types de politiques : la politique de confidentialité (en ligne) et les autres politiques de protection de la vie privée.
La politique de confidentialité, exigée aux termes de l’article 8.2 de la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, c. P -39.1, ou la Loi québécoise sur la protection des renseignements personnels), est obligatoire pour les organisations qui recueillent des renseignements personnels par des moyens technologiques (généralement sur des sites Web ou des plateformes numériques).
En revanche, les autres types de politiques, exigées aux termes de l’article 3.2 de la même loi, couvrent des aspects plus généraux de la protection des renseignements personnels au sein d’une organisation. Ces politiques décrivent habituellement la manière dont une organisation gère tous les renseignements personnels (pas seulement ceux recueillis en ligne), et explicitent des pratiques liées au stockage des données, à l’accès aux données et aux mesures de protection. Pour respecter la législation et gérer efficacement la protection de la vie privée, il est crucial de savoir faire la différence entre ces deux types de politiques.
Le guide de la CAI insiste sur l’importance de rédiger les politiques de confidentialité dans un langage clair et simple. On y présente des conseils pratiques pour la rédaction de politiques facilement compréhensibles pour le grand public. Il ne s’agit pas d’exigences strictes, mais plutôt de pratiques exemplaires que tous les professionnels du secteur de la protection de la vie privée devraient adopter pour veiller à l’accessibilité universelle de leurs politiques.
Le guide propose également des outils et des idées particulièrement utiles pour les professionnels du domaine qui souhaitent mettre leur politique de confidentialité à l’essai avant de la publier (ou lors de la révision de leur politique existante). En la testant auprès d’un groupe diversifié, les organisations peuvent s’assurer que leur politique de confidentialité est non seulement conforme à la loi, mais aussi qu’elle est claire, compréhensible et applicable dans l’ensemble de l’organisation.
Malheureusement, le guide de la CAI ne fournit aucune précision concernant l’obligation pour les organisations d’informer les personnes concernées de modifications apportées à leur politique de confidentialité. Actuellement, en vertu de la Loi québécoise sur la protection des renseignements personnels, les organisations sont tenues d’aviser les personnes concernées de tout changement à leur politique.
Cette exigence peut s’avérer contraignante et conduire à des scénarios inusités dans lesquels les organisations doivent signaler des changements minimes, comme la correction d’une coquille dans leur politique.
Le Guide de la CAI constitue un outil précieux pour les organisations qui souhaitent rédiger ou réviser leur politique de confidentialité. Il permet de mieux comprendre les exigences juridiques, encourage la communication claire, souligne les aspects auxquels il convient de s’attarder et propose des outils pour la mise à l’essai de la politique avant sa publication.
Pour toute question additionnelle concernant les politiques de protection de la vie privée de votre organisation ou sur tout autre sujet relatif à ce domaine, n’hésitez pas à nous contacter.
CECI NE CONSTITUE PAS UN AVIS JURIDIQUE. L'information qui est présentée dans le site Web sous quelque forme que ce soit est fournie à titre informatif uniquement. Elle ne constitue pas un avis juridique et ne devrait pas être interprétée comme tel. Aucun utilisateur ne devrait prendre ou négliger de prendre des décisions en se fiant uniquement à ces renseignements, ni ignorer les conseils juridiques d'un professionnel ou tarder à consulter un professionnel sur la base de ce qu'il a lu dans ce site Web. Les professionnels de Gowling WLG seront heureux de discuter avec l'utilisateur des différentes options possibles concernant certaines questions juridiques précises.