Projet de loi 64 : quels impacts sur votre entreprise?

La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (le « projet de loi 64 ») a reçu la sanction royale le 22 septembre 2021 et apportera plusieurs changements importants à certaines lois québécoises, dont la Loi sur la protection des renseignements personnels dans le secteur privé (la « Loi »). Les modifications à la Loi entreront en vigueur progressivement, et ce, au cours des trois prochaines années.

L’un des objectifs du projet de loi 64 est d’accroître la protection des renseignements personnels de personnes physiques détenues par des entreprises privées. En ce sens, de nouvelles obligations, nombreuses, ont été mises en place par l’Assemblée nationale.

Quatre catégories d’obligations retiennent plus particulièrement notre attention et obligent les entreprises privées à planifier certaines actions.

Quatre catégories d’obligations à retenir

1. Nomination d’une personne responsable de la protection des renseignements personnels (entrée en vigueur le 22 septembre 2022)

Le projet de loi 64 prévoit que la personne qui exploite une entreprise est responsable de la protection des renseignements personnels qu’elle détient. C’est la personne qui détient la plus haute autorité qui est responsable de l’application de la Loi. Toutefois, il est possible de déléguer, par écrit, cette responsabilité à toute personne, qu’elle soit employée ou non de l’entreprise.

Les coordonnées de la personne responsable de l’application de la Loi doivent être publiées sur le site Internet de l’entreprise. À défaut d’un tel site, l’entreprise doit s’assurer de les publier par tout moyen approprié.

2. Établissement de politiques et de pratiques de gouvernance (entrée en vigueur le 22 septembre 2022)

Toute entreprise se voit désormais dans l’obligation d’établir des politiques et pratiques de gouvernance en lien avec la protection des renseignements personnels. Elles doivent être rédigées en termes simples et clairs et disponibles sur le site Internet de l’entreprise.

Ces pratiques et politiques doivent notamment traiter de l’encadrement applicable à la conservation et à la destruction des renseignements personnels et prévoir les rôles et les responsabilités du personnel, ainsi qu’un processus de traitement des plaintes. Le responsable de la protection des renseignements personnels de l’entreprise doit approuver ces pratiques et politiques.

3. Obligations en matière d’incidents de confidentialité (entrée en vigueur le 22 septembre 2022)

Le projet de loi 64 institue également la notion « d’incident de confidentialité » ainsi qu’une procédure à respecter en présence d’un tel incident. Par exemple, lorsque des renseignements personnels sont communiqués sans droit à des tiers, l’entreprise doit considérer le tout comme un incident de confidentialité, évaluer le préjudice causé, suivre une procédure de dénonciation auprès de la Commission d’accès à l’information et consigner le tout dans un registre.

4. Resserrement de la notion de consentement (entrée en vigueur le 22 septembre 2023)

Le projet de loi 64 réitère que le consentement donné par un individu doit être manifeste, libre, éclairé et donné à des fins spécifiques. Plus particulièrement, le consentement doit être demandé à chacune de ces fins, et ce, en termes simples et clairs. Si un individu le requiert, l’entreprise devra lui prêter assistance afin de l’aider à bien comprendre la portée du consentement demandé. Aucune exception n’existe en matière d’emploi.

Par ailleurs, lorsqu’il s’agit d’un renseignement personnel sensible, le consentement doit être donné de manière expresse. Un renseignement sensible est défini comme étant un renseignement qui suscite un haut degré d’attente raisonnable en matière de vie privée, de par sa nature notamment médicale, biométrique ou autrement intime, ou en raison du contexte de son utilisation ou de sa communication.

Quelles actions doit-on prévoir?

Dans un premier temps, il est donc important pour les entreprises de créer ou, le cas échéant, de réviser et de mettre à jour leurs différentes politiques de confidentialité. L’entreprise doit voir également à la nomination d’une personne responsable de la protection des renseignements personnels. Les entreprises peuvent confier ce rôle à un employé ou à un organisme externe.

Dans un deuxième temps, les entreprises devraient s’assurer que leurs formulaires visant la collecte et l’utilisation des renseignements personnels permettent d’obtenir un consentement manifeste, libre, éclairé et donné à des fins spécifiques et en termes clairs.

Dans un troisième temps, les entreprises devraient faire l’inventaire des renseignements personnels collectés, utilisés et communiqués. De cette manière, elles pourront mieux déterminer quels renseignements personnels sont de nature sensible, ainsi que ceux qui sont exclus de l’application de la Loi. Soulignons que la Loi prévoit des sanctions administratives, pécuniaires et pénales importantes en cas de non-respect de ces nouvelles obligations légales.

N’hésitez pas à communiquer avec un membre de notre équipe en droit du travail qui se fera un plaisir de vous assister dans ce processus de mise à jour.