Amendements proposés à la loi québécoise sur la protection des renseignements personnels : Conséquences sur les entreprises

Éloïse Gratton June 15, 2020

Le 12 juin 2020, la dernière journée avant que l’Assemblée nationale du Québec n’ajourne ses travaux jusqu’au mois de septembre, le Gouvernement du Québec a présenté le projet de loi 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. Ce projet de loi introduirait des changements importants au droit de la protection des renseignements personnels dans le secteur privé et public au Québec. Cet article se concentre sur les amendements proposés à la Loi sur la protection des renseignements personnels dans le secteur privé.

Nous avons préparé un article qui résume les principales conséquences du projet de loi 64 pour les entreprises et les changements importants au régime actuel, lequel discute des enjeux suivants:

  • Nouveaux mécanismes de mise en œuvre :
    • La Commission d’accès à l’information (CAI) aurait le pouvoir d’imposer des sanctions pécuniaires administratives allant jusqu’à 10 000 000$ ou le montant correspondant à 2 % du chiffre d’affaires mondial de l’exercice financier précédent si ce dernier montant est plus élevé.
    • Des amendes plus importantes en cas de procédures pénales, soit un maximum de 25 000 000$ ou du montant correspondant à 4 % du chiffre d’affaires mondial de l’exercice financier précédent si ce dernier montant est plus élevé.
    • La possibilité pour les individus de poursuivre une entreprise en dommages.
  • Une nouvelle obligation d’informer la CAI et les personnes concernées lors d’un incident de confidentialité.
  • De nouvelles exigences en matière d’impartition et de transferts hors Québec, incluant un système d’équivalence qui semble influencé par le droit européen.
  • De nouveaux droits pour les individus inspirés du droit européen : droit à la portabilité des données, droit à l’oubli et droit de s’objecter au traitement automatisé des renseignements personnels.
  • Des nouvelles mesures visant la responsabilité des entreprises dans la protection des renseignements personnels, notamment :
    • La création d’un nouveau rôle de « responsable de la protection des renseignements personnels » qui incomberait par défaut au président de l’entreprise.
    • L’obligation d’établir, de mettre en œuvre et de publier des politiques et pratiques.
    • L’obligation d’effectuer des évaluations des facteurs relatifs à la vie privée.
    • L’obligation de suivre une approche de « protection de la vie privée dès la conception ».
  • Des exigences de consentement renforcées (notamment, une obligation explicite d’obtenir un consentement exprès dans certaines situations).
  • De nouvelles exigences de transparence, notamment lors de l’utilisation d’une technologie comprenant des fonctions permettant d’identifier, de localiser ou d’effectuer un profilage d’une personne.
  • Certains allégements des règles actuelles :         
    • De nouvelles exceptions à l’exigence du consentement pour la recherche et pour les transactions commerciales.
    • L’exclusion des contacts d’affaires de la définition de « renseignements personnels ».

Vous pouvez accéder à notre article complet relatif à ce que les entreprises devraient savoir (une version en anglais est également disponible ici).

Nous avons également préparé une version « comparée » de la Loi du secteur privé en incluant les changements proposés par le projet de loi 64, laquelle est disponible ici.

This content has been updated on June 22, 2020 at 9 h 57 min.