Cet article fait partie de notre série de blogs sur la Loi 25, qui offre aux lecteurs une vue à 360 degrés sur la Loi 25 (anciennement connue sous le nom de Projet de loi 64) et ses modifications importantes à la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (ci-après la « Loi sur le secteur privé » ou la « Loi »). Pour consulter d'autres articles de blog de la série, veuillez visiter  cette page. Nous avons également créé une trousse complète d'outils pour les entreprises à la recherche de ressources pour comprendre et garantir leur conformité à la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (ci-après la « Loi 25 »). Cette trousse est disponible  ici

.

À compter du 22 septembre 2023, les entreprises qui opèrent au Québec ou qui traitent les renseignements personnels (ci-après « RP ») des résidents du Québec sont désormais soumises à de nouvelles obligations. La conformité à ces obligations importantes amenées par la Loi 25, qui modifie la Loi sur la protection des renseignements personnels dans le secteur privé nécessite une refonte délibérée et bien documentée dans la manière dont les politiques, les procédures et les pratiques des entreprises concernées permettent de gérer les RP des québécois.

1378078.jpg

Les coûts de la non-conformité sont élevés, avec des amendes pénales pouvant atteindre 25 millions de dollars ou 4 % du chiffre d'affaires mondial de l'année fiscale précédente (ces montants pouvant être doublés en cas de récidive) et des sanctions administratives pécuniaires pouvant atteindre  10 millions de dollars ou 2 % du chiffre d'affaires mondial de l'année fiscale précédente. Cet article offre un bref résumé des principales obligations qui sont entrées en vigueur le 22 septembre 2023.

  1. Cadre de protection de la vie privée documenté et opérationnel

Les entreprises doivent désormais établir des politiques et des pratiques de gouvernance visant à protéger les RP, proportionnées à la nature et à l'importance de leurs activités (article 3.3 de la Loi). Ces politiques et pratiques doivent au minimum (i) prévoir les rôles et responsabilités du personnel, (ii) fournir un cadre de conservation et de destruction (ou d'anonymisation) de ces renseignements et (iii) fournir un processus de traitement des plaintes. Ces politiques doivent être rédigées de manière claire et publiées de manière appropriée par l'organisation, notamment sur le site Internet de l'organisation (articles 3.3 et 8.2 de la Loi).

  1. Exigences supplémentaires en matière de transparence

Les entreprises du secteur privé sont désormais soumises à de nouvelles exigences en matière de divulgation avant (ou au moment de) la collecte des RP. Ces exigences comprennent l'obligation d'informer les individus :

  • de leur droit de retirer leur consentement à la communication ou à l'utilisation des RP collectés ;
  • le cas échéant, du nom du tiers pour lequel les RP sont collectés, le nom du tiers ou les catégories de tiers auxquels il est nécessaire de communiquer les RP, et la possibilité que les RP puissent être communiqués à l'extérieur du Québec (article 8 de la Loi) ; et
  • si les entreprises collectent des RP à l'aide de technologies ayant la capacité de profiler, de localiser ou d'identifier d'une personne, l'organisation doit également informer les individus affectés de l'utilisation de cette technologie et de la manière d'activer ces fonctionnalités (ce qui pourrait être interprété comme imposant des obligations de confidentialité par défaut à l'organisation à l'égard de ces fonctionnalités; article 8.1 de la Loi).

De plus, les entreprises ne doivent pas perdre de vue les obligations de divulgation qui existaient dans la version précédente de la Loi et qui continuent de s'appliquer. Parmi ces obligations, il y a l'obligation de divulguer de manière transparente les fins (précédemment désignées sous le nom « d'objet(s) du dossier ») auxquels les RP sont collectés et les droits d'accès et de rectification prévus par la loi (article 8 de la Loi).

  1. Évaluation d'impact pour la communication de renseignements personnels à l'extérieur du Québec

Conformément à l'article 17 de la Loi, les entreprises doivent effectuer une évaluation des facteurs relatifs à la vie privée (EFVP) avant que les RP collectés au Québec ne puissent être communiqués à l'extérieur de la province (y compris vers une autre province canadienne). C'est aussi le cas lorsque l'organisation confie à une personne ou à un organisme à l'extérieur au Québec la tâche de collecter, d'utiliser, de communiquer ou de conserver de telles informations en son nom. La Loi énumère quatre exigences spécifiques qui doivent être prises en considération pour de telles EFVP :

  • la sensibilité de l'information ;
  • les finalités pour lesquelles elle doit être utilisée ;
  • les mesures de protection, y compris celles qui sont contractuelles, qui s'appliqueraient à cette information ; et
  • le cadre juridique applicable dans l'État où l'information serait communiquée, y compris les principes de protection des RP applicables dans cet État.

Les RP ne peuvent être communiquées à l'extérieur du Québec que si l'EFVP établit que les RP bénéficieraient d'une protection adéquate, notamment à la lumière des principes généralement reconnus concernant la protection des RP. De plus, les parties doivent conclure un accord écrit qui tient compte des conclusions de l'EFVP.

Bien que l'obligation soit entrée en vigueur le 22 septembre 2023, la manière dont la disposition est rédigée a pour effet d'étendre cette obligation aux communications initiés avant cette date, mais qui persistent par la suite. Cette interprétation a également été confirmée par la Commission d'accès à l'information (CAI) dans son récent guide d'accompagnement sur la réalisation d'une EFVP ; voir la fin de la section 1.1.

Les entreprises doivent cartographier de manière proactive le parcours des RP et leurs activités afin d'identifier avec précision ces flux continus de RP, de réaliser des EFVP transfrontalières et de contrôler les risques non atténués révélés par les EFVP.

  1. EFVP pour les nouveaux systèmes d'information ou les mises à jour qui traitent des renseignements personnels

Conformément aux articles 3.3 et 3.4 de la Loi, les entreprises doivent également effectuer une EFVP en relation avec l'acquisition, la révision ou le développement d'un système d'information ou d'un système de prestation électronique impliquant des RP. Ces EFVP devront garantir que le projet en question est conforme à toutes les autres exigences de la Loi 25, y compris les nouvelles exigences en matière de transparence, de consentement, de confidentialité par défaut, de conservation et de destruction, ainsi que les nouveaux droits à la vie privée dont les individus bénéficient désormais, notamment le droit de demander aux entreprises de déréférencer ou de réindexer leurs RP ou de cesser leur diffusion, de soumettre des observations sur les décisions automatisées, et de bénéficier de la portabilité des données (il convient de noter que si les EFVP doivent prendre en compte la portabilité à compter du 22 septembre 2023, les obligations effectives n'entreront en vigueur que le 22 septembre 2024).

Les EFVP menées dans le contexte de projets importants de mise en Suvre de systèmes informatiques nécessitent généralement une forte coordination de la part de multiples parties prenantes (par exemple, l'équipe d'approvisionnement, les services juridiques et les services informatiques). Il est essentiel que les entreprises mettent en place des processus et une formation en ce qui concerne les obligations des EFVP liées à la mise en Suvre de systèmes informatiques dès que possible, si ce n'est pas déjà fait.

  1. Clauses de protection de la vie privée adéquates dans les ententes d'impartition

Conformément à l'article 18.3 de la Loi, les entreprises peuvent communiquer des RP à un fournisseur de services sans obtenir le consentement préalable, à condition que les parties aient conclu un contrat écrit comprenant diverses protections de la vie privée énoncées dans la Loi  (y compris des clauses garantissant que les informations ne sont utilisées que pour l'exécution des services contractés). Ces obligations légales peuvent soulever des problèmes de négociation épineux, notamment en ce qui concerne les contrats avec des fournisseurs offrant des services et des solutions alimentés par l'intelligence artificielle, car ceux-ci souhaitent souvent utiliser les données des clients pour « entraîner » leurs modèles.

  1. Confidentialité par défaut

Conformément à l'article 9.1 de la Loi, les entreprises qui collectent des RP lors de l'offre de produits et de services technologiques au public sont désormais tenues de régler leurs paramètres de confidentialité au niveau le plus élevé de confidentialité par défaut sans aucune intervention de la personne concernée. Par exemple, les entreprises qui offrent des applications mobiles contenant diverses options permettant à leurs utilisateurs de gérer leurs préférences de confidentialité doivent par défaut désactiver ces fonctionnalités et laisser le soin aux utilisateur de les activer en posant une action expresse. Il est important de noter que cette obligation ne s'applique pas aux témoins de navigation (cookies).

De plus, comme mentionné ci-dessus à la section 2 (Exigences supplémentaires en matière de transparence), les entreprises qui collectent des RP à l'aide de technologies qui profilent, localisent ou identifient une personne doivent informer la personne de la manière d'activer cette fonctionnalité (article 8.1 de la Loi). Cette exigence pourrait être interprétée comme imposant des obligations de confidentialité par défaut à l'organisation à l'égard de cette fonctionnalité. Il est également possible que cette exigence s'applique aux témoins de navigation (contrairement aux obligations énoncées à l'article 9.1).

  1. Droit à la désindexation ou à la cessation de la diffusion

Les individus ont désormais le droit de contrôler la diffusion de leurs RP par les entreprises soumises à la Loi (article 28.1 de la Loi). Les individus peuvent demander à l'organisation de cesser la diffusion de leurs RP ou de désindexer tout hyperlien donnant accès aux informations si la diffusion contrevient à la Loi ou à une ordonnance du tribunal, ou si elle porte gravement atteinte à la réputation ou à la vie privée d'un individu. Par conséquent, les entreprises doivent mettre en place des processus pour les aider à déterminer si la poursuite de la diffusion de l'information pourrait entraîner un préjudice, si ce préjudice l'emporte sur le droit du public à l'information et sur la liberté d'expression de l'éditeur, et si le recours demandé n'est pas excessif pour empêcher la perpétuation du préjudice. Pour effectuer cette évaluation, l'organisation doit prendre en considération un certain nombre de facteurs prescrits, notamment : le statut public de l'individu ; si les informations concernent un mineur ; la précision et la sensibilité des RP, le contexte de leur diffusion ; le temps écoulé depuis leur publication ; et enfin si les informations sont liées à des questions criminelles ou pénales, de l'obtention d'un pardon ou des restrictions sur l'accès aux antécédents criminels.

  1. Exigences supplémentaires en matière de consentement

Le consentement est considéré comme la pierre angulaire de la Loi  . Sous réserve de certaines exceptions, nouvelles et anciennes, les entreprises doivent obtenir le consentement d'un individu avant de pouvoir collecter, utiliser et divulguer ses RP (article 14 de la Loi). Dans le régime actuel, le nombre de circonstances – par lesquelles des entreprises peuvent traiter les RP d'un individu sans son consentement – est limité.

La CAI a récemment publié des lignes directrices préliminaires sur le consentement valide. Ces lignes directrices avancent les huit conditions spécifiques qui doivent être remplies pour qu'un consentement soit valide. Le consentement doit être : clair, libre, éclairé, spécifique, granulaire, compréhensible, distinct et temporaire.

1378078b.jpg

Pour en savoir plus sur chacun de ces aspects obligatoires du consentement valide en détail, vous pouvez également vous référer à notre article de blog complet sur ce sujet.

  1. Décisions automatisées utilisant des RP

De nouvelles exigences en matière de transparence sont désormais en vigueur, conformément à l'article 12.1 de la Loi. Si une organisation utilise des RP pour prendre des décisions basées exclusivement sur le traitement automatisé de ces RP, elle doit informer les personnes concernées que la décision a été prise exclusivement par traitement automatisé. Cette notification doit être fournie en même temps que l'individu est informé de la décision.

Les individus ont désormais le droit de demander et de recevoir des informations sur les RP qui ont été utilisées pour prendre la décision automatisée, ainsi que sur les principaux paramètres impliqués dans le processus de prise de décision. Cette exigence est particulièrement importante pour les entreprises qui souhaitent augmenter ou intégrer l'utilisation de l'IA dans leurs services et leurs opérations.

Les entreprises doivent s'assurer qu'elles sont capables d'expliquer aux individus concernés les raisons, les principaux facteurs et les paramètres qui ont conduit à chaque décision. Cette nouvelle obligation nécessite une coordination avec les experts techniques de l'organisation, le département juridique, l'équipe de communication et les clients de l'organisation afin d'évaluer si et comment cette obligation peut être respectée (d'une manière facilement compréhensible pour les clients) sans révéler de secrets commerciaux ou d'informations confidentielles.

  1. Conservation, destruction et anonymisation

Une fois que les finalités pour lesquelles les RP ont été collectées ou utilisées sont atteintes, les entreprises doivent détruire les RP ou les anonymiser pour les utiliser à des fins sérieuses et légitimes. Les entreprises doivent cartographier et créer un inventaire actuel de leurs scénarios de traitement des RP et établir des périodes de conservation avec des protocoles de suppression. Cela peut s'avérer être une étape importante et elle nécessite suffisamment de temps pour être achevée et mise en Suvre. Les entreprises peuvent également envisager d'anonymiser les données au lieu de les supprimer. Toutefois, les directives concernant les exigences exactes en matière d'anonymisation sont limitées à l'heure actuelle. Nous savons que l'anonymisation diffère de la dépersonnalisation puisque, dans le premier cas, le processus ne permet pas de manière irréversible d'identifier directement ou indirectement la personne. Cependant, l'anonymisation est soumise à une réglementation future, dont le contenu est actuellement inconnu.

Conclusion

Une nouvelle ère de protection de la vie privée est entrée en vigueur au Québec (et pour toutes les entreprises qui font des affaires au Québec). Ce nouveau régime juridique, instauré par la Loi 25, exige que des mesures significatives soient prises pour assurer la conformité. De plus, les nouvelles obligations importantes sont assorties de sanctions potentielles qui ne peuvent pas être ignorées et qui élèvent la conformité à la vie privée au Québec au rang de domaine de risque clé pour les entreprises concernées. Si vous n'avez pas encore pris des mesures concrètes pour vous conformer à la Loi 25, il est temps d'agir.

To view the original article click here

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.