Retour
Litige, Propriété intellectuelle

Amélioration majeure et renforcement des lois sur la protection des renseignements personnels au Québec

15 juillet 2020

Par Frank M. Schlesinger

Le Code civil du Québec, dans un chapitre intitulé « Du respect de la réputation et de la vie privée » (articles 35 à 40) énonce les dispositions fondamentales protégeant le droit au respect de la réputation et de la vie privée d'une personne et interdisant toute atteinte à celles-ci autrement que conformément à la loi.

Pour appuyer ces quelques articles, le Québec a édicté la « Loi sur la protection des renseignements personnels dans le secteur privé (la « Loi »), et d'autres lois.

Le 12 juin 2020, le gouvernement du Québec a déposé le projet de loi 64, intitulé « Loi modernisant les dispositions législatives en matière de protection des renseignements personnels (le « projet de loi ») qui modifie considérablement la loi et d'autres lois.

Le but de cet article est de discuter uniquement des aspects de la loi affectant le secteur privé.

Il est important que toute entreprise qui collecte et traite des informations personnelles soit consciente du durcissement de la loi, en particulier en ce qui concerne l'ajout du droit de poursuivre en dommages-intérêts et l'augmentation énorme des amendes et pénalités possibles, comme indiqué ci-dessous.

Il convient de noter que la responsabilité d'une entreprise est élargie de manière à prévoir que les conditions et les responsabilités s'appliquent « que l'entreprise conserve elle-même les informations par l'intermédiaire d'un tiers ». Par conséquent, le simple fait de confier la protection des renseignements personnels à un tiers ne dégagera probablement pas l'entreprise de sa responsabilité.

Un bon nombre de ces dispositions semblent être une tentative de mettre la protection des renseignements personnels du Québec en conformité avec le RGPD (« Règles générales de protection des données », de l'Union européenne) et la California Consumer Privacy Act (« CCPA ») et d'autres lois. Un exemple en est la disposition selon laquelle «la personne ayant la plus haute autorité » dans l'entreprise est chargée de veiller au respect de la loi. Il peut déléguer la fonction de protection à un membre du personnel de l'entreprise, qui devient en fait le gestionnaire à la protection des informations personnelles ou le gestionnaire à la protection des données de l'entreprise. Le nom et le titre de cette personne et ses coordonnées doivent être rendus publics.

OBLIGATION D'ÉVALUATION

Les entreprises doivent évaluer les questions liées à la vie privée concernant les informations personnelles et « établir et mettre en œuvre des politiques et des pratiques régissant les informations personnelles qui garantissent la protection de ces informations ». De l'avis de cet auteur, nous pensons que l'utilisation du mot « assurer » constitue le plus haut niveau de responsabilité. Seule la force majeure semble être une excuse. Il faut voir si la diligence raisonnable établie dans le cas de Sault Sainte-Marie.

(R.c. Sault Sainte-Marie (ville de) (1978) 2 R.C.S. 1299, est un arrêt fondamental de la Cour Suprême du Canada qui a déterminé que tandis que dans les offenses criminelles où un intention criminel ou mens rea est requise pour condamnation, les offenses de responsabilités strictes ou statutaires ne sont pas sujets à cette exigence.  Cependant, le défendeur pourrait, en tel cas proposer une défense d’avoir exercé de la diligence raisonnable.  Cela semble douteux.

EXIGENCES DE NOTIFICATION D'INCIDENT

Si un « incident » (atteinte à la confidentialité d’une information personnelle) présente un risque de préjudice grave, l’entreprise doit en informer « La Commission d’accès à l’information » ainsi que toute personne dont les informations personnelles sont concernées par l’incident.

COLLECTE DE RENSEIGNEMENTS PERSONNELS ET CONSENTEMENT

À moins que la collecte d'informations personnelles sur un mineur de moins de 14 ans ne soit à son avantage personnel, la collecte d'informations à son sujet nécessite le consentement  parental; et à l'égard de toutes personnes, les informations ne peuvent être collectées qu'aux fins déterminées et déclarées avant de les collecter. La personne a le droit d'être informée des fins de la collecte des information, de la façon dont elles ont été recueillies, du droit d'accès aux informations, du droit de retirer son consentement et que les informations recueillies peuvent être communiquées à l'extérieur du Québec.

En cas d'utilisation d'une technologie permettant d'identifier, de localiser ou de profiler une personne, celle-ci doit en être préalablement informée et consentante.

Le site web de l'entreprise doit, le cas échéant, contenir une politique de confidentialité ou de confidentialité.

Comme pour le RGPD, l'entreprise doit s'assurer que le produit ou le service offre le plus haut niveau de confidentialité.

Cela exigera de toutes les entreprises qui collectent des informations personnelles qu'elles vérifient si elles doivent améliorer leur niveau de sécurité conformément à l'évaluation susmentionnée.

Dans le cas où l'entreprise rend des décisions basées sur le traitement automatisé des informations personnelles, l'entreprise doit «au moment de la décision ou avant celle-ci, en informer la personne concernée en conséquence ».

Il est à noter que « Nul ne peut communiquer à un tiers les informations personnelles qu'il détient sur une autre personne, à moins que la personne concernée n'y consente ou que la présente loi ne prévoie une telle communication., L'entreprise peut communiquer les informations à un tiers par mandat écrit lorsque ce mandat est nécessaire pour désigner la personne-ressource ou les services contractés ». Il convient de noter qu'il s'agit d'un consentement distinct du consentement à collecter les informations.

Comme dans le RGPD, le consentement doit être rédigé dans un langage clair et simple, libre et informé et donné uniquement aux fins spécifiques déclarées.

Veuillez noter qu'un consentement spécifique est requis pour permettre le transfert de renseignements personnels à l'extérieur du Québec.

Le projet de loi stipule qu'une fois que les fins pour lesquelles les informations ont été collectées ont été atteintes, les informations doivent être rendues anonymes.

Une personne dont les informations ont été collectées a le droit de faire confirmer l'existence des informations et d'en recevoir une copie. Si les informations sont inexactes, incomplètes ou équivoques ou si elles ne sont pas autorisées par la loi, il pourra exiger leur rectification.

Il existe des exceptions dans le projet de loi qui permettent la diffusion de certaines informations personnelles dans des circonstances strictes, telles que pour la recherche et des raisons similaires.

PÉNALITÉS ET SANCTIONS

Le projet de loi prévoit des sanctions administratives monstrueuses en cas de non-communication des informations requises par la loi ou commet d'autres fautes violant les dispositions de la loi.

Les sanctions prévues par le projet de loi sont considérablement augmentées: la Commission peut imposer des sanctions administratives d'un maximum de 50 000 $ dans le cas d'un particulier, et dans tous les autres cas, le plus élevé de 10 millions de dollars ou un montant correspondant à 2% du chiffre d'affaires mondial pour la procédure. exercice fiscal.

En cas de commission d'une infraction à la loi, l'amende sera de 5000 $ à 15000 $ pour un individu et dans d'autres cas 15000 $ ou plus de 25 millions de dollars ou 4% du chiffre d'affaires mondial de l'exercice précédent.

DOMMAGES AUX VICTIMES

Enfin, et conformément au RGPD, « à moins que le préjudice ne résulte d'une force majeure, une personne exerçant dans une entreprise qui conserve des informations personnelles est tenue de réparer le préjudice résultant de l'illégalité de la violation d'un droit conféré par la présente loi ou par articles 35 à 40 du Code civil et en cas de faute grave à une indemnité complémentaire de dommages punitifs d'au moins 1000 $. ''

Compte tenu de la gravité des infractions et du niveau élevé de sécurité et de diligence requis, il incombe à toute personne manipulant des informations personnelles d'un tiers de prendre les mesures nécessaires pour éviter les infractions à la loi. Il est à noter que le projet de loi pourrait être amendé lors des audiences parlementaires. De plus, le projet de loi prévoit qu'il entrera en vigueur pour la plupart de ses dispositions, un an après son entrée en vigueur.