Par Me Amélie Soulez

Le 21 septembre 2021, le projet de loi 64 a été adopté à l’unanimité par l’Assemblée nationale. La loi qui en résulte est la Loi 25, soit la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels[1]. Cette réforme modernise les règles protégeant les renseignements personnels au Québec afin qu’elles soient mieux adaptées aux nouveaux défis posés par l’environnement numérique et technologique actuel.

Les modifications qui résultent de la loi 25 ont comme objectif de favoriser la transparence notamment des organismes publics et des entreprises et assurer un meilleur contrôle aux individus sur leurs renseignements personnels. Les mesures mises en place assurent également une meilleure protection de la vie privée des individus tout en tenant compte de la réalité technologique d’aujourd’hui.

La loi 25 vient modifier diverses lois, mais apporte des changements plus considérables en ce qui concerne la Loi sur la protection des renseignements personnels dans le secteur privé[2](ci-après : « Loi sur le secteur privé ») ainsi que la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels[3](ci-après : « Loi sur l’accès »).

À titre informatif, la Loi sur l’accès s’applique aux organismes publics, notamment le gouvernement, le Conseil exécutif, le Conseil du trésor, les ministères, les organismes gouvernementaux, les organismes municipaux, les organismes scolaires et les établissements de santé ou de services sociaux[4].

Quant à la Loi sur le secteur privé, elle a pour objet d’établir des règles particulières à l’égard des renseignements personnels sur autrui qu’une personne recueille, détient, utilise ou communique à des tiers à l’occasion de l’exploitation d’une entreprise au sens de l’article 1525 du Code civil du Québec[5].  Ainsi, la Loi sur le secteur privé s’applique aux entreprises du secteur privé établies au Québec ainsi qu’aux sociétés de l’extérieur de la province qui, dans le cadre de leurs activités, utilisent les renseignements personnels de résidents au Québec.

Les syndicats sont des organismes visés par la Loi sur le secteur privé

La Loi sur le secteur privé s’applique également aux associations syndicales. En effet, les termes « à l’occasion de l’exploitation d’une entreprise » prévus dans la Loi sur le secteur privé sont définis à l’article 1525 du Code civil du Québec. Cette notion est interprétée largement par les tribunaux[6]. Dans l’affaire Beaudoin c. Syndicat canadien des communications, de l’énergie et du papier (S.C.E.P.), section locale 530[7], la Commission d’accès à l’information retient que le syndicat est une entreprise constituée en vertu de la Loi sur les syndicats professionnels et ainsi il exerce une activité d’ordre économique organisée constituant en l’exploitation d’une entreprise au sens de l’article 1525 du Code civil du Québec. Dans l’affaire Gauthier c. Syndicat des employées et employés de la Bibliothèque de Québec[8], la Commission d’accès à l’information conclut que même si le syndicat n’a pas le statut de syndicat professionnel ou celui d’un syndicat formé en vertu de la Loi sur les compagnies, les activités de représentation, de négociation et de promotion des intérêts des membres, en plus de constituer des activités organisées, constituent également des activités de nature économique et que par conséquent, le syndicat est visé par la Loi sur le secteur privé. Par ailleurs, l’article 96 de la Loi sur le secteur privé confirme sans équivoque que les associations syndicales sont assujetties à celle-ci :

« 96. Une association ou une société qui exploite une entreprise et détient des renseignements personnels sur ses membres ou sur des tiers a les mêmes droits et les mêmes obligations à l’égard de ses membres et des tiers que la personne qui exploite une entreprise. »

Ainsi, les modifications apportées par la Loi 25 s’appliquent également aux associations syndicales qui doivent prendre des actions concrètes pour s’assurer de la sécurité de l’information. Il importe de noter que des amendes considérables sont prévues et seront imposées en cas de contravention aux nouvelles normes. L’article 91 de la Loi sur le secteur privé sera modifié à compter du 22 septembre 2023 afin de prévoir des amendes plus élevées :

« 91. Commet une infraction et est passible d’une amende de 5 000 $ à 100 000 $ dans le cas d’une personne physique et, dans les autres cas, de 15 000$ à 25 000 000 $ ou du montant correspondant à 4% du chiffre d’affaires mondial de l’exercice financier précédent quiconque […] »

Par ailleurs, l’article 92.1 de la Loi sur le secteur privé, en vigueur à compter du 22 septembre 2023, prévoit qu’en cas de récidive les amendes seront portées au double. De plus, à compter du 22 septembre 2023, la Commission d’accès à l’information pourra intenter une poursuite pénale pour une infraction prévue à la Loi sur le secteur privé[9].

Les modifications et leur date d’entrée en vigueur

L’entrée en vigueur des dispositions de la Loi 25 s’échelonnera progressivement sur une période de trois ans, entre le 22 septembre 2022 et le 22 septembre 2024. Ainsi, le temps est venu pour les associations syndicales de commencer à se préparer afin de bien gérer la protection de la vie privée de leurs membres.  Dans la présente, nous aborderons les modifications qui touchent le secteur privé, plus particulièrement les syndicats.

A) Les nouvelles dispositions en vigueur depuis le 22 septembre 2022

Désigner une personne responsable de la protection des renseignements personnels

Depuis le 22 septembre 2022, les associations syndicales doivent désigner une personne responsable de la protection des renseignements personnels et publier le titre et les coordonnées du responsable sur le site internet de l’entreprise ou, si elle n’a pas de site, les rendre accessibles par tout autre moyen approprié[10]. Au sein de l’association, la personne ayant la plus haute autorité, c’est-à-dire le président ou la présidente, veille à assurer le respect et la mise en œuvre de la loi. Le président ou la présidente exerce la fonction de responsable de la protection des renseignements personnels et elle peut déléguer cette fonction par écrit, en tout ou en partie à toute personne. Les responsabilités de la personne désignée sont les suivantes :

• Prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé aux personnes concernées et éviter que des nouveaux incidents de même nature de se produisent[11];
• Aviser la Commission d’accès à l’information et la personne concernée si l’incident présente un risque de préjudice sérieux[12];
• Tenir un registre des incidents dont une copie devra être transmise à la Commission à sa demande. Le registre des incidents doit décrire les renseignements personnels visés par l’incident et contenir des informations sur les circonstances de l’incident, le nombre de personnes visées, l’évaluation de la gravité du risque de préjudice et les mesures prises en réaction à l’incident. Les dates pertinentes devraient aussi y figurer : survenance de l’incident, détection par l’organisation, transmission des avis, etc. Conformément au projet de Règlement sur les incidents de confidentialité, les associations doivent conserver les registres des incidents de confidentialité pendant une période de cinq (5) ans après la date ou la période au cours de laquelle l’association a pris connaissance de l’incident[13];
• Respecter le nouvel encadrement de la communication de renseignements personnels sans le consentement de la personne concernée à des fins d’étude, de recherche ou de productions de statistiques et dans le cadre d’une transaction commerciale. L’article 18.1 de la Loi sur le secteur privé a été modifié afin d’inclure plus de conditions afin d’autoriser l’organisme à communiquer des renseignements personnels dans le cadre d’une étude, d’une recherche ou de production de statistiques;
• Procéder à une évaluation des facteurs relatifs à la vie privée avant de communiquer des renseignements personnels sans le consentement des personnes concernées à des fins d’étude, de recherche ou de production de statistiques;
• Divulguer préalablement à la Commission la vérification ou la confirmation d’identité faite au moyen de caractéristiques ou de mesures biométriques. En vertu de l’article 8.1 de la Loi sur le secteur privé, la personne qui recueille des renseignements personnels auprès de la personne concernée en ayant recours à une technologie comprenant des fonctions permettant de l’identifier, de la localiser ou d’effectuer un profilage de celle-ci doit au préalable l’informer du recours à une telle technologie. L’article 8.2 de la Loi sur le secteur privé prévoit que la personne qui recueille par un moyen technologique des renseignements personnels doit publier sur le site internet de l’entreprise, le cas échéant, diffuser par tout moyen propre à atteinte les personnes concernées une politique de confidentialité rédigée en termes simples et clairs;

Il importe que la personne responsable de la protection des renseignements personnels prenne connaissance des règles en matière d’utilisation des renseignements personnels et de communication à des tiers. Le principe général est qu’il faut obtenir le consentement de la personne afin d’utiliser ses renseignements personnels ou les communiquer à des tiers. La Loi sur le secteur privé prévoit des exceptions au principe du consentement édictées aux articles 18 à 18.4. Il y a deux nouvelles exceptions qui sont entrées en vigueur en septembre 2022, soit les suivantes :

• Le consentement n’est plus nécessaire dans le cadre des transactions commerciales à la condition qu’une entente écrite ait été conclue prévoyant que l’entreprise qui reçoit les renseignements personnels s’engage à les utiliser uniquement aux fins de la conclusion de la transaction commerciale et à ne pas les communiquer sans le consentement de la personne concernée, à moins que la loi ne le permettre d’une autre manière. L’entreprise qui reçoit les renseignements doit également s’engager à prendre les mesures nécessaires pour assurer la protection du caractère confidentiel des renseignements et détruire ceux-ci si la transaction commerciale n’est pas conclue ou si l’utilisation n’est plus nécessaire[14]. Pour les associations syndicales, cette exception pourrait s’appliquer, par exemple, dans le cas de la négociation d’une assurance collective à laquelle l’association prend part.

• L’utilisation des renseignements personnels à des fins de recherche ou de production de statistiques. Les organisations doivent procéder à une évaluation des facteurs relatifs à la vie privée afin d’établir si les renseignements personnels sont nécessaires pour atteindre l’objectif et s’il est déraisonnable d’exiger l’obtention d’un consentement. L’évaluation doit conclure que l’objectif de la recherche l’emporte sur l’incidence de la communication des renseignements personnels et que seuls les renseignements nécessaires sont utilisés d’une manière qui permet à en protéger la confidentialité[15].

B) Les nouvelles dispositions qui entreront en vigueur le 22 septembre 2023

À compter du 22 septembre 2023, les associations syndicales devront respecter les exigences suivantes :

• Avoir établi des politiques et des pratiques encadrant la gouvernance des renseignements personnels et publier l’information détaillée sur celles-ci en termes simples et clairs sur le site internet de l’entreprise ou, si elle n’a pas de site, par tout moyen approprié;
• Réaliser une évaluation des facteurs relatifs à la vie privée lorsque la Loi l’exige, par exemple, avant de communiquer des renseignements personnels à l’extérieur du Québec;
• Respecter les nouvelles règles entourant le consentement à la collective, à la communication ou à l’utilisation des renseignements personnels;
• Détruire les renseignements personnels lorsque la finalité de leur collective est accomplie ou les anonymiser pour les utiliser à des fins sérieuses et légitimes, sous réserve de conditions et d’un délai de conservation prévus par une loi;
• Respecter les nouvelles obligations d’information et de transparence envers les citoyens;
• Respecter les nouvelles règles de communication de renseignements personnels sans le consentement de la personne concernée;
• Respecter les nouvelles règles de communications des renseignements personnels à l’extérieur du Québec;
• Respecter les nouvelles règles d’utilisation des renseignements personnels;
• Prévoir, par défaut, les paramètres assurance le plus haut niveau de confidentialité du produit ou du service technologique offert au public;
• Respecter les nouvelles règles entourant la collecte de renseignements personnels concernant un mineur;
• Respecter le droit à la cessation de la diffusion, à la réindexation ou à la désindexation (ou droit à l’oubli);
• Respecter les nouvelles règles de communication des renseignements personnels facilitant le deuil.

C) Les nouvelles dispositions qui entreront en vigueur le 22 septembre 2024

À compter du 22 septembre 2024, les associations syndicales devront respecter les exigences suivantes :

• Répondre aux demandes de portabilité des renseignements personnels. Cela signifie que si la personne concernée demande d’obtenir ses renseignements personnels, les organisations auront l’obligation de lui communiquer, dans un format technologique structuré et couramment utilisé, un renseignement personnel informatisé recueilli auprès d’elle.

Afin d’obtenir plus de détails sur les modifications en matière de protection des renseignements personnels, il est possible de consulter le site internet de la Commission d’accès à l’information[16].  Il est possible également de consulter le guide destiné aux entreprises intitulé « Vers la conformité à la Loi sur le privé » confectionné par la Commission d’accès à l’information qui donne des conseils pratiques pour une meilleure gestion de la protection des renseignements personnels.

[1]  Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, LQ 21 c 25.https://www.canlii.org/fr/qc/legis/loisa/lq-2021-c-25/derniere/lq-2021-c-25.pdf

[2] Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c P-39.1. https://www.canlii.org/fr/qc/legis/lois/rlrq-c-p-39.1/derniere/rlrq-c-p-39.1.html

[3] Loi  sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ c A-2.1.https://www.canlii.org/fr/qc/legis/lois/rlrq-c-a-2.1/derniere/rlrq-c-a-2.1.html

[4] Article 3 de la Loi sur l’accès.

[5] Article 1 de la Loi sur le secteur privé et Code civil du Québec,

[6] Conseil de presse du Québec c. Lamoureux-Gaboury, 2003 CanLii 33002 (QC CQ).

[7] Beaudoin c. Syndicat canadien des communications, de l’énergie et du papier, DT. 2001T-683.

[8] Gauthier c.  Syndicat des employés et employés de la Bibliothèque du Québec, D.T.E. 97T-463.

[9] Article 92 de la Loi sur le secteur privé.

[10] Article 3.1 de la Loi sur le secteur privé.

[11] Article 3.5, 3.8 de la Loi sur le secteur privé.

[12] Article 3.5, 3.6, 3.7 de la Loi sur le secteur privé.

[13] Article 3.8 de la Loi sur le secteur privé.

[14] Article 18.3 et 18.4 de la Loi sur le secteur privé.

[15] Article 21 de la Loi sur le secteur privé.

[16] https://www.cai.gouv.qc.ca/documents/CAI_Loi_prive_version_administrative.pdf.