Projet de Loi 64, êtes-vous prêts ? Changements au niveau de l’utilisation des renseignements personnels au Québec

En septembre 2021, l’Assemblée nationale du Québec a adopté le projet de loi 64 (ci-après la Loi) modifiant en profondeur plusieurs lois, notamment la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels et la Loi sur la protection des renseignements personnels dans le secteur privé.

Cette refonte fait écho au besoin des individus de protéger leurs renseignements personnels. Un renseignement personnel est un renseignement sur une personne physique et permet de l’identifier. Bien que plusieurs principes de la Loi ressemblent au règlement général sur la protection des données (RGPD) adopté par l’Union européenne, la Loi affecte toutes les entités exerçant au Québec et apporte une vision québécoise aux principes clés du RGPD. Un des éléments qui y est inclus est la transparence et la clarté des informations, et vise à ce que la protection de la vie privée soit un élément par défaut pour tous. 

Incidence

La Loi s’applique à tous renseignements personnels recueillis au Québec; elle n’est donc pas liée à la nationalité de l’individu, mais à l’endroit où le renseignement est recueilli, peu importe la taille de l’entité le recueillant, le support ou l’emplacement où ils sont conservés. Ainsi, une entité hors Québec peut être assujettie à la Loi même si elle n’est pas québécoise. D’autres provinces canadiennes ont annoncé leur désir de revoir leurs propres lois et celles-ci seront largement inspirées par la Loi québécoise. Une entité doit obtenir un consentement libre, éclairé et spécifique pour recueillir un renseignement personnel et le détruire lorsque la finalité pour laquelle le renseignement est obtenu est atteinte.

La Commission d’accès à l’information du Québec reçoit davantage de pouvoir. La Loi prévoit des sanctions administratives pécuniaires maximales de 10 M$ ou 2 % du chiffre d’affaires et des pénalités jusqu’à 25 M$ ou de 4 % du chiffre d’affaires mondial, si ce dernier est plus élevé.

Également, de nouveaux droits ont été créés, le droit à l’effacement et le droit à l’accès aux renseignements personnels concernant la personne dans un format technologique structuré.

Changement à apporter à court terme

Une mise en place graduelle est prévue dont le premier jeu de disposition devient applicable dès septembre 2022. Il ne faut donc pas attendre avant de revoir vos processus et procédures, et veiller à mettre ces dernières en place. Les autres dispositions rentreront en vigueur en septembre 2023 et 2024.

Une de ces premières dispositions est la nomination d’un responsable de la protection des renseignements personnels ou fonction équivalente, équivalent du Délégué à la protection des données du RGPD. Celui-ci a la responsabilité de s’assurer que les contrôles sont en place pour la protection des renseignements personnels et qu’ils fonctionnent. Il s’assure également que les droits des individus sont respectés. En l’absence de nomination, la responsabilité revient à la plus haute autorité de l’entité. Le nom et les moyens de communiquer avec cette personne doivent être publiés sur les sites web et diffusés pour qu’elle soit trouvée facilement. Cette personne responsable n’a pas à être un employé de l’entreprise et peut être externalisée.

Ainsi, les entités doivent réviser leur mécanisme de consentement et leur politique en matière de protection des renseignements personnels. La Loi, par son principe de transparence, demande que les politiques en matière de protection des renseignements personnels soient publiées sur les sites web et donc disponibles au public. Lorsque des politiques et des méthodes visant à désidentifier, c’est-à-dire ne permettant plus d’identifier directement une personne, ou visant à anonymiser, c’est-à-dire ne permettant plus d’identifier directement ou indirectement une personne de façon irréversible, sont en place, celles-ci doivent être revues puisque davantage de précisions sont définies sur le sujet. La Loi demande également maintenant que tous projets soient accompagnés d’une évaluation des facteurs de risque à la vie privée. Le transfert d’information à l’extérieur du Québec ne doit être également fait que si le niveau de protection est adéquat.

Ensuite, il est maintenant important de mettre en place un processus de signalement de tous incidents de confidentialité, y compris aux individus, et de tenir registre de ces incidents. Ce registre doit contenir des indications des mesures prises pour éviter que ces incidents ne se reproduisent.

Changements dans les années subséquentes

Les années suivantes, les différentes dispositions à mettre en place concernent l’adoption de pratiques de renseignements personnels, la mise en place d’évaluation des facteurs à la vie privée, de nouvelles exigences en matière de consentement.

Bien que les entités québécoises qui appliquent le RGPD aient une longueur d’avance sur les autres, il est essentiel que les entreprises révisent leurs processus et contrôles en place pour s’assurer qu’elles respectent les exigences de la Loi québécoise.

Mazars, forte de son expérience d’implantation du RGPD dans plusieurs entreprises, peut vous aider à réévaluer la façon dont votre entité gère les renseignements personnels recueillis afin d’identifier les éléments à améliorer dans vos processus, dans le but d’avoir une bonne gouvernance de ceux-ci, centrée sur les besoins de vos clients et non sur la conformité.

Plus d’infos ?

André Pelletier
André Pelletier Dir. princ. en audit TI et Leader de l'innovation - Montréal

Profil détaillé