Le projet de loi no 64, un changement de cap pour le droit québécois de la protection de la vie privée – ce que les entreprises doivent savoir

16 minutes de lecture
27 avril 2022

Le 22 septembre 2021, le gouvernement du Québec a adopté le projet de loi no 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, qui apporte des changements importants aux règles encadrant l'utilisation et la protection de renseignements personnels issues de différentes lois, dont la Loi sur la protection des renseignements personnels dans le secteur privé (la « Loi sur le secteur privé ») et la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (la « Loi sur le secteur public »). 

Le projet de loi n64 changera indubitablement la donne en matière de protection de la vie privée dans la province. Il accorde notamment aux personnes plus de droits et plus de contrôle sur leurs renseignements personnels, et accroît par conséquent les obligations des entités des secteurs public et privé qui en détiennent. Pour s'y conformer, nombre d'entreprises faisant affaire au Québec devront apporter des changements importants à la façon dont elles recueillent, stockent, communiquent et conservent des renseignements personnels. Des conséquences (examinées ci-après), les plus sévères au Canada, sont prévues en cas de non-respect. Les changements apportés par le projet de loi entreront graduellement en vigueur à compter du 22 septembre 2022, soit un an après la sanction. La majorité des dispositions suivront le 22 septembre 2023, et les dernières entreront en vigueur le 22 septembre 2024.

Après le dépôt de la première version du projet de loi no 64 en juin 2020, nous avons publié un article détaillé discutant des modifications proposées à la Loi sur le secteur privé et à la Loi sur le secteur public et des incidences majeures sur la protection des renseignements personnels au Québec. Le projet de loi a beaucoup changé depuis. Nous résumons ci-après les différences les plus importantes.

Sanctions pécuniaires accrues en cas de non-respect (en vigueur le 22 septembre 2022)

Dans notre article précédent, nous soulignions l'augmentation des amendes pouvant être imposées en cas de non-respect de la législation sur la protection des renseignements personnels, les entreprises du secteur privé devenant passibles d'amendes de 15 000 $ à 25 000 000 $ ou, s'il est plus élevé, d'un montant équivalent à 4 % du chiffre d'affaires mondial de l'exercice précédent. La version définitive du projet de loi prévoit la même chose.

Pour les personnes physiques toutefois, le montant maximal de la fourchette d'amendes initialement proposée (de 5 000 $ à 50 000 $, tant dans le secteur privé que le secteur public) a doublé pour atteindre 100 000 $.

Le fait de ne pas prendre les mesures de sécurité appropriées pour protéger les renseignements personnels visés par la Loi sur le secteur privé et par la Loi sur le secteur public constituera maintenant une infraction. Seront passibles de ces amendes les entités des secteurs public et privé qui manquent à cette obligation dans la collecte, l'utilisation, la communication, la conservation ou la destruction de renseignements personnels et qui ne modulent pas, dans la mesure raisonnable, les mesures en fonction de la sensibilité des renseignements, des fins auxquelles ils sont utilisés, de leur quantité, de leur répartition et du support sur lequel ils sont stockés.

Droit privé d'action (en vigueur le 22 septembre 2023)

Selon la version initiale du projet de loi no 64, une poursuite pénale pour violation de la Loi sur le secteur privé ou de la Loi sur le secteur public pouvait être engagée dans les trois années suivant la date de l'infraction.

Dans la version définitive, le délai passe à cinq ans, ce qui donne beaucoup plus de temps à l'organisme de réglementation pour prendre des mesures contre les fautifs.

Signalement obligatoire des atteintes (en vigueur le 22 septembre 2022)

Comme nous l'indiquions en 2020, les entreprises du Québec ne sont actuellement pas tenues de signaler les atteintes à la protection des données et autres incidents de sécurité. Le projet de loi no 64 exige que les organismes publics et les entreprises privées signalent à la Commission d'accès à l'information et aux personnes que concernent les données touchées les incidents qui « présente[nt] un risque qu'un préjudice sérieux soit causé ».

Le texte ne donne pas d'exemples de cas où un tel risque se présente, et on ne sait pas si une définition sera éventuellement établie par règlement. Il donne toutefois des indications d'ordre général pour l'évaluation du risque de causer un préjudice à une personne dont les renseignements personnels font l'objet d'un incident de confidentialité. Il faut tenir compte, tant dans le secteur public que le secteur privé, de la sensibilité des renseignements concernés, des conséquences appréhendées de leur utilisation et de la probabilité qu'ils soient utilisés à des fins préjudiciables.

À compter du 22 septembre 2022, les entités des secteurs public et privé auront l'obligation, en plus de faire des signalements à la Commission et aux personnes concernées, de tenir un registre des incidents de confidentialité.

Dispense des exigences de consentement (en vigueur le 22 septembre 2023)

La nouvelle version du projet de loi prévoit par ailleurs deux nouvelles situations où une entreprise peut utiliser des renseignements personnels sans le consentement de la personne concernée :

  • Lorsque l'utilisation des renseignements est nécessaire à des fins de prévention et de détection de la fraude ou d'évaluation et d'amélioration des mesures de sécurité.
  • Lorsque l'utilisation des renseignements est nécessaire aux fins de fourniture ou de livraison d'un produit ou de prestation d'un service demandé par la personne concernée.

Dans la version initiale du projet de loi, des modifications apportées à la Loi sur le secteur privé prévoyaient que les entreprises n'avaient pas à obtenir de consentement pour utiliser des renseignements dépersonnalisés. La nouvelle version précise cette exception en indiquant que ces entreprises doivent « prendre les mesures raisonnables afin de limiter les risques que quiconque procède à l'identification d'une personne physique à partir de renseignements dépersonnalisés ».

Par ailleurs, le projet de loi no 64 présenté en 2020 introduisait une exception permettant d'utiliser des renseignements personnels sans consentement dans le cadre de transactions commerciales, comme le prévoient d'autres régimes au Canada. Seul le transfert de propriété de la totalité ou d'une partie d'une entreprise était alors considéré comme une « transaction commerciale ». Dans la dernière version, la transaction commerciale s'entend plus largement de la vente ou de la location de la totalité ou d'une partie des actifs d'une entreprise, de la modification de sa structure juridique par fusion ou autrement ou de l'obtention de toute « forme de financement par celle-ci ou d'une sûreté prise pour garantir l'une de ses obligations ». Ainsi, la Loi sur le secteur privé s'harmonise mieux à la dispense prévue par la législation fédérale, et les entreprises auront moins d'embûches lors de la réalisation de transactions commerciales dans la province.

Protection de la vie privée dès la conception (en vigueur le 22 septembre 2023)

Notre article précédent faisait état d'une obligation pour les entreprises offrant des produits ou des services technologiques de les assortir de paramètres donnant une « protection de la vie privée dès la conception » et assurant par défaut « le plus haut niveau de confidentialité » sans que l'utilisateur ait à faire quoi que ce soit.

L'approche de « protection de la vie privée dès la conception » demeure obligatoire dans la version définitive du projet de loi, mais son champ d'application a été quelque peu restreint. Cette exigence s'appliquera uniquement aux produits ou services technologiques offerts « au public » (et donc pas à ceux qu'un employeur fournit à ses employés, par exemple) qui « dispos[e]nt de paramètres de confidentialité ». Les paramètres de confidentialité des témoins de connexion ne sont pas visés.

Nouvelles exigences concernant les informations recueillies par des moyens technologiques (en vigueur le 22 septembre 2023)

La version initiale du projet de loi no 64 a introduit l'obligation pour les entreprises privées, dans certaines circonstances et sur demande, de supprimer les renseignements personnels d'une personne ou de désindexer les hyperliens associés à son nom. Cette obligation est semblable au « droit à l'oubli » prévu dans différents instruments législatifs ailleurs dans le monde, comme le Règlement général sur la protection des données de l'Union européenne.

Cet aspect du projet de loi est pratiquement inchangé : une personne peut exiger d'une entreprise privée qu'elle cesse la diffusion de ses renseignements personnels ou désindexe les hyperliens associés à son nom qui donnent accès aux renseignements par des moyens technologiques lorsque cette diffusion est contraire à une loi ou à une ordonnance du tribunal.

Comme nous le mentionnions en 2020, une personne pourra également faire une telle demande, ou exiger la réindexation d'un hyperlien, si :

  • la diffusion des renseignements lui cause un préjudice grave relatif au droit au respect de sa réputation ou de sa vie privée;
  • ce préjudice est manifestement supérieur à l'intérêt du public de connaître les renseignements ou à l'intérêt de toute personne de s'exprimer librement;
  • la cessation de la diffusion, la réindexation ou la désindexation demandée n'excède pas ce qui est nécessaire pour éviter la perpétuation du préjudice.

La nouvelle version du projet de loi fait toutefois un ajout, prévoyant qu'en acquiesçant à une telle demande, le responsable de la protection des renseignements personnels de l'entreprise doit attester, dans sa réponse écrite, que les renseignements personnels ont cessé d'être diffusés ou que l'hyperlien a été désindexé ou réindexé.

Désignation de personnes responsables des renseignements personnels (en vigueur le 22 septembre 2022)

Le projet de loi no 64 oblige les organisations à nommer une personne responsable du respect de la législation en matière de protection de la vie privée.

Pour les entités du secteur privé, il s'agira par défaut du chef de la direction. Initialement, ce rôle pouvait être délégué à un autre membre du personnel de l'entreprise. La nouvelle version du projet de loi est plus permissive : le chef de la direction peut déléguer le rôle « à toute personne », qu'elle fasse partie de l'entreprise ou non. Les entreprises pourront donc attribuer ces fonctions à un tiers.

Les entreprises devront publier les coordonnées de leur responsable sur leur site Web.

Exigences accrues pour la communication de renseignements personnels hors du Québec (en vigueur le 22 septembre 2023)

La première version du projet de loi resserrait radicalement les exigences imposées aux entreprises souhaitant communiquer des renseignements personnels à l'extérieur de la province, en prévoyant qu'une telle communication ne pouvait avoir lieu que si le territoire de destination offrait « une protection équivalente à celle prévue [au Québec] ».

Cette exigence est modérée dans la nouvelle version. Une communication pourra être faite vers un territoire qui offre « une protection adéquate, notamment au regard des principes de protection des renseignements personnels généralement reconnus ».

Initialement, le gouvernement devait publier une liste des États où les renseignements personnels reçoivent une protection « équivalente » à celle offerte au Québec, ce qui évitait aux entreprises d'avoir à procéder elles-mêmes à cette évaluation. Cette disposition ne figurant pas dans la nouvelle version du projet de loi, il incombera finalement aux entreprises d'évaluer le degré de protection.

Nouvelles exigences en matière de notification (en vigueur le 22 septembre 2023)

Les entreprises sont tenues, depuis la première version du projet de loi, d'informer la personne concernée par une collecte de renseignements personnels des fins de la collecte, des moyens de collecte employés et de son droit d'accéder à ses renseignements, de les corriger et de retirer son consentement.

Selon la plus récente version du projet de loi, elles devront aussi indiquer à une telle personne le nom des tiers à qui les renseignements ont été communiqués pour accomplir les fins auxquelles ils ont été recueillis. Vu cette nouvelle exigence, le simple fait de déclarer que les renseignements peuvent être communiqués à des tiers ne suffit pas. Les entreprises devront plutôt indiquer le nom de chaque tiers ou les types de tiers.

Prochaines étapes et autres points

Les entreprises qui ne respectent pas les exigences du projet de loi no 64 pourraient se voir imposer des sanctions sans précédent pouvant atteindre 25 000 000 $ (une somme supérieure aux sanctions maximales prévues dans la Loi sur la concurrence et la Loi canadienne anti-pourriel [LCAP]), ce qui représente un bond radical par rapport au montant maximal de 50 000 $ que prévoit le régime actuel. De plus, un droit d'action privé est prévu en cas de préjudice résultant d'une atteinte illicite à un droit conféré par la Loi sur le secteur privé ou par les articles 35 à 40 du Code civil du Québec. Le projet de loi prévoit aussi un montant minimal de 1 000 $ en dommages-intérêts punitifs lorsque l'atteinte est intentionnelle ou résulte d'une faute lourde.

Vu les conséquences de la non-conformité présentées ci-dessus, les entreprises qui font affaire au Québec ont avantage à :

  • évaluer leurs processus internes actuels (collecte, utilisation, conservation et communication de renseignements personnels);
  • identifier les endroits à l'extérieur du Québec où des renseignements personnels pourraient être communiqués et évaluer les facteurs relatifs à la vie privée pour chaque endroit;
  • identifier la personne la plus apte à exercer le rôle de responsable de la protection des renseignements personnels et procéder aux délégations jugées appropriées sur la base de cette identification;
  • revoir leurs politiques et pratiques en matière de protection de la vie privée (politiques de confidentialité internes et externes, mesures de protection physiques, technologiques et de cybersécurité actuellement en place, etc.);
  • revoir leurs obligations contractuelles envers le traitement des renseignements personnels, par la société;
  • examiner leurs pratiques et libellés relatifs aux données et aux consentements;
  • revoir leurs pratiques actuelles en matière de signalement des incidents de confidentialité et de réponse aux demandes d'accès et de droits des personnes concernées, en vue de mettre en place des procédures et des politiques appropriées au besoin (processus d'analyse et de signalement des incidents, mise en place de mesures pour respecter le « droit à l'oubli », désindexation d'hyperliens, etc.).

N'hésitez pas à communiquer avec les auteurs ou les membres québécois de notre Groupe protection des renseignements personnels et des données si vous avez des questions sur ces changements et leurs implications pour votre entreprise.


CECI NE CONSTITUE PAS UN AVIS JURIDIQUE. L'information qui est présentée dans le site Web sous quelque forme que ce soit est fournie à titre informatif uniquement. Elle ne constitue pas un avis juridique et ne devrait pas être interprétée comme tel. Aucun utilisateur ne devrait prendre ou négliger de prendre des décisions en se fiant uniquement à ces renseignements, ni ignorer les conseils juridiques d'un professionnel ou tarder à consulter un professionnel sur la base de ce qu'il a lu dans ce site Web. Les professionnels de Gowling WLG seront heureux de discuter avec l'utilisateur des différentes options possibles concernant certaines questions juridiques précises.