Loi 25[i] : Quelles conséquences pour les organismes ?
[i] Le texte de cette loi : https://www.canlii.org/fr/qc/legis/loisa/lq-2021-c-25/derniere/lq-2021-c-25.html
Entrée en vigueur le 22 septembre 2022, cette modification touche principalement les entreprises privées et les organismes du secteur public. Anciennement le projet de loi 64, elle introduit une importante réforme des lois en matière de protection des renseignements personnels au Québec.
Cette loi renforce le devoir de confidentialité et instaure l’obligation d’aviser la Commission d’accès à l’information (CAI) et toute personne concernée lorsqu’un incident de confidentialité présentant un risque de préjudice sérieux survient dans une entreprise. La Loi prévoit également la création d’un registre de confidentialité dans lequel les entreprises doivent consigner tous les incidents de confidentialité.[1]
Selon la commission de l’accès à l’information (CAI), les organismes sans but lucratif pourraient être inclus dans l’application de cette Loi. Voici la réponse de la CAI[2] : « Un organisme sans but lucratif est généralement une entreprise au sens de la Loi sur le privé. Même s’il ne cherche pas à faire des profits, il exerce une activité économique organisée, ce qui est le critère d’assujettissement prévu à la loi (article 1525 du Code civil[3]). »
Selon le Commissariat à la protection de la vie privée du Canada (2019), une activité commerciale pour un OSBL est : « toute activité régulière ainsi que tout acte isolé qui revêtent un caractère commercial de par leur nature, y compris la vente, le troc ou la location de listes de donneurs, d’adhésion ou de collecte de fonds »[4].
Selon le cabinet d’avocats Denton, si l’OSBL n’a pas de pratique commerciale, les obligations de l’organisme en matière de protection des renseignements personnels relève des articles 35 à 40 du code civil du Québec: La collecte, l’utilisation et la communication des renseignements personnels sont assujetties au consentement ou à l’autorisation par la loi ; L’utilisation ne peut être qu’à des fins compatibles ; Les erreurs de renseignements personnels doivent être corrigées et l’individu doit y avoir accès à moins d’une interdiction ; La violation des droits relatifs à la vie privée fait l’objet d’un droit de recours.[5]
Mesures à prendre
Voici des extraits du site de la commission d’accès à l’information à propos des nouvelles mesures à prendre pour la protection des renseignements personnels[6]. Dans ce texte « entreprise » peut inclure les organismes sans but lucratif :
Un renseignement personnel, c’est quoi ?
Les renseignements personnels sont ceux qui portent sur une personne physique et permettent de l’identifier. Ils sont confidentiels. Sauf exception, ils ne peuvent être communiqués sans le consentement de la personne concernée.
Communiquer des renseignements personnels sans le consentement de la personne concernée
Selon la Loi sur la protection des renseignements personnels dans le secteur privé (Loi sur le privé), un renseignement personnel est confidentiel et une entreprise ne peut, à moins d’exceptions prévues par la loi, communiquer ce renseignement sans le consentement de la personne concernée.
Les différentes exceptions : Tiers autorisés
À certaines conditions, la Loi sur le privé autorise l’entreprise à communiquer un renseignement personnel, sans le consentement de la personne concernée, aux tiers ci-dessous (liste non exhaustive) :
- à son procureur;
- au directeur des poursuites criminelles et pénales si le renseignement est requis aux fins d’une poursuite pour infraction à une loi applicable au Québec;
- à un organisme chargé, en vertu de la loi, de prévenir, détecter ou réprimer le crime ou les infractions aux lois, qui le requiert dans l’exercice de ses fonctions, si le renseignement est nécessaire pour la poursuite d’une infraction à une loi applicable au Québec;
- à une personne à qui il est nécessaire de communiquer le renseignement dans le cadre d’une loi applicable au Québec ou pour l’application d’une convention collective;
- à un organisme public au sens de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements publics et sur la protection des renseignements personnels qui, par l’entremise d’un représentant, le recueille dans l’exercice de ses attributions ou la mise en œuvre d’un programme dont il a la gestion;
- à une personne ou à un organisme ayant pouvoir de contraindre à leur communication et qui les requiert dans l’exercice de ses fonctions;
- à une personne à qui cette communication doit être faite en raison d’une situation d’urgence mettant en danger la vie, la santé ou la sécurité de la personne concernée;
- à des tiers en vue de prévenir un acte de violence, dont un suicide et lorsqu’il existe un motif raisonnable de croire qu’un risque sérieux de mort ou de blessures graves menace une personne ou un groupe de personnes identifiable et que la nature de la menace inspire un sentiment d’urgence;
- | …|
- à toute personne ou tout organisme susceptible de diminuer un risque suivant un incident de confidentialité impliquant un renseignement personnel, en ne lui communiquant que les renseignements personnels nécessaires à cette fin[1].
Communication de renseignements personnels en cas d’urgence ou en vue de prévenir un acte de violence
Dans certaines circonstances exceptionnelles, la Loi sur la protection des renseignements personnels dans le secteur privé (Loi sur le privé), permet à une entreprise de communiquer des renseignements personnels sans le consentement de la personne concernée.
La Commission rappelle néanmoins qu’avant de le faire, une entreprise doit s’assurer de l’existence de toutes les conditions préalables.
Une entreprise peut communiquer un renseignement personnel, sans le consentement de la personne concernée, à une personne à qui cette communication doit être faite en raison d’une situation d’urgence mettant en danger la vie, la santé ou la sécurité de la personne concernée.
Une entreprise peut également communiquer un renseignement personnel, sans le consentement des personnes concernées, en vue de prévenir un acte de violence, dont un suicide, lorsqu’il existe un motif raisonnable de croire qu’un risque sérieux de mort ou de blessures graves menace une personne ou un groupe de personnes et que la nature de la menace inspire un sentiment d’urgence. On entend par « blessures graves » toute blessure physique ou psychologique qui nuit d’une manière importante à l’intégrité physique, à la santé ou au bien-être d’une personne ou d’un groupe de personnes identifiable. Les renseignements peuvent alors être communiqués à la ou aux personnes exposées à ce danger, à leur représentant ou à toute personne susceptible de leur porter secours.
L’entreprise ne peut communiquer que les renseignements nécessaires aux fins poursuivies par la communication. Elle doit inscrire la communication afin que celle-ci fasse partie du dossier.
Incident de confidentialité impliquant des renseignements personnels
Que faire lorsqu’un incident de confidentialité se produit?
Dans cette section, le terme « organisation » est utilisé pour désigner les organismes publics, les entreprises privées et les ordres professionnels, dans la mesure prévue par le Code des professions.
Également, le terme « lois » vise autant la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (Loi sur l’accès) que la Loi sur la protection des renseignements personnels dans le secteur privé (Loi sur le privé).
Qu’est-ce qu’un incident de confidentialité?
Pour l’application des lois, un incident de confidentialité correspond à tout accès, utilisation ou communication non autorisés par la loi d’un renseignement personnel, de même qu’à la perte d’un renseignement personnel ou à toute autre atteinte à sa protection.
Par exemple, un incident de confidentialité pourrait se produire lorsque :
- un membre du personnel consulte un renseignement personnel sans autorisation;
- un membre du personnel communique des renseignements personnels au mauvais destinataire;
- l’organisation est victime d’une cyberattaque : hameçonnage, rançongiciel, etc.
Si une organisation a des motifs de croire qu’un incident de confidentialité impliquant un renseignement personnel qu’elle détient s’est produit, elle doit prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent.
Les obligations en cas d’incident de confidentialité figurent dans le menu de gauche :
- Prendre des mesures pour diminuer les risques et éviter de nouveaux incidents
- Évaluer si l’incident présente un risque de préjudice sérieux
- Aviser :
- Tenir un registre des incidents de confidentialité
Évaluer les risques : Évaluer si l’incident présente un risque de préjudice sérieux
Pour tout incident de confidentialité, l’organisation doit évaluer la gravité du risque de préjudice pour les personnes concernées. Pour ce faire, elle doit considérer, notamment :
- la sensibilité des renseignements concernés;
- les conséquences appréhendées de leur utilisation;
- la probabilité qu’ils soient utilisés à des fins préjudiciables.
L’organisation doit consulter son responsable de la protection des renseignements personnels. Elle peut également impliquer d’autres acteurs, comme le responsable de la sécurité de l’information ou des experts externes.
Si l’analyse fait ressortir un risque de préjudice sérieux, l’organisation doit aviser la Commission et les personnes concernées de l’incident.
Dans le cas contraire, elle doit tout de même poursuivre ses travaux pour réduire les risques et éviter qu’un incident de même nature se produise à nouveau dans le futur.
Tenir un registre des incidents de confidentialité
Toute organisation doit tenir un registre colligeant l’ensemble des incidents de confidentialité impliquant un renseignement personnel qu’elle détient, même ceux ne présentant pas de risque de préjudice sérieux. L’organisation doit transmettre une copie du registre à la Commission lorsqu’elle le demande.
Le registre des incidents de confidentialité devrait notamment décrire les renseignements personnels visés par l’incident et contenir des informations sur les circonstances de l’incident, le nombre de personnes visées, l’évaluation de la gravité du risque de préjudice et les mesures prises en réaction à l’incident. Les dates pertinentes devraient aussi y figurer : survenance de l’incident, détection par l’organisation, transmission des avis (s’il y a lieu), etc.
Dépersonnalisation, anonymisation et désindexation : nouveau jargon, nouvelles obligations ![7]
(Source : Fasken, avocats)
Quelles sont les mesures à prendre relativement à la conservation des consentements écrits obtenus (lieu de conservation, durée, etc.)?
Il est conseillé de conserver ces consentements dans un serveur dont l’accès est limité et qui est séparé de celui où sont conservés les renseignements personnels. Ces consentements devraient être conservés selon un calendrier de rétention qui tient compte de la finalité pour lesquels ils ont été recueillis et le temps de la prescription légale.
Dans le cas d’un OBNL, combien de temps est-il possible de conserver les dossiers de donateurs?
La Loi 25 ne prévoit pas de régime de conservation spécifique pour les renseignements personnels recueillis et détenus par un OBNL qui devront suivre les exigences prévues à la réponse précédente.
La Loi 25 a par ailleurs aboli la possibilité d’utiliser un renseignement personnel à des fins de prospection philanthropique sans obtenir le consentement de la personne concernée à cet effet. Ce changement entrera en vigueur le 22 septembre 2023 également.
Demande péremptoire[8]
La Loi sur l’accès prévoit maintenant que la CAI peut, par une demande péremptoire notifiée par tout mode approprié, exiger d’une personne la production de tout renseignement ou de tout document permettant de vérifier l’application de cette loi ou de ses règlements. Ce pouvoir peut s’exercer à l’endroit de toute personne, indépendamment du fait qu’elle soit assujettie ou non à la Loi sur l’accès. Il peut s’agir, par exemple :
- D’un particulier;
- D’une entreprise;
- D’un organisme sans but lucratif.
La CAI détermine le délai raisonnable qu’elle estime nécessaire afin que la personne obtempère à cette exigence de production. La personne à qui cette demande est faite est tenue de s’y conformer, peu importe qu’elle ait ou non déjà produit un tel renseignement ou un tel document en réponse à une demande semblable ou en vertu d’une obligation découlant de la Loi sur l’accès ou de ses règlements[9].
Personnes de moins de 14 ans
Le nouvel article 53.1 prévoit que lorsqu’une personne a moins de 14 ans, le consentement relatif à ses renseignements personnels doit être donné par la ou le titulaire de l’autorité parentale ou par la tutrice ou le tuteur.
Conformément à l’article 64.1 de la Loi sur l’accès, les renseignements personnels d’une personne de moins de 14 ans ne peuvent être collectés auprès de celle-ci sans le consentement de l’une des personnes mentionnées ci-dessus. Par exemple, les sites Internet et les applications mobiles des organismes publics doivent être conçus de manière à vérifier si des renseignements personnels sont susceptibles d’être collectés, par leur intermédiaire, auprès d’enfants de moins de 14 ans. Advenant ce cas, il importe que les organismes publics se gouvernent en conséquence, comme en prévoyant un moyen pour obtenir le consentement de la personne titulaire de l’autorité parentale ou encore de la tutrice ou du tuteur. Toutefois, ces renseignements personnels peuvent être collectés sans le consentement de ces personnes si l’objectif est manifestement au bénéfice de la personne mineure, comme lors d’une urgence médicale ou dans le contexte d’un dossier de protection de la jeunesse[10].
Personnes mineures de 14 ans et plus
La Loi précise que les personnes mineures de 14 ans et plus, ainsi leur titulaire de l’autorité parentale ou encore leur tutrice ou tuteur peuvent donner leur consentement quant à l’utilisation et à la communication de renseignements personnels.
Un organisme public qui doit obtenir un consentement devrait considérer notamment la sensibilité des renseignements personnels, la complexité de la demande ainsi que les enjeux et les répercussions pour la personne mineure de 14 ans ou plus concernée. Dans certaines circonstances, il pourrait être déterminé qu’il est préférable d’obtenir le consentement à la fois de la personne mineure et du ou de la titulaire de l’autorité parentale ou encore de la tutrice ou du tuteur.
La responsabilité
Les organisations devront obligatoirement désigner un responsable des renseignements personnels.
La loi prévoit que cette responsabilité incombera à la présidence du conseil d’administration par défaut) [11]
En résumé
Cette loi crée une série de contraintes sur la possession et le stockage de renseignements personnels. Les organisations devront éviter de collecter des renseignements non nécessaires ou démonter l’intérêt de la collecte et la conservation de ceux-ci, détruire ceux-ci lorsqu’ils ne seront plus utiles aux fins pour lesquelles ils ont été recueillis. Elles pourront les conserver à la seule condition de les anonymiser à des fins sérieuses et légitimes ou d’intérêt public. La nonchalance sera fortement réprimée12.
Assurez-vous de ne pas collecter et conserver inutilement des renseignements personnels. Pour protéger votre organisme et adopter de bonnes pratiques en matière de protection des renseignements personnels, il vous est également possible, et fortement recommandé, de consulter un.e juriste en protection de la vie privée ou un.e spécialiste en sécurité de l’information pour vous accompagner. Vous pouvez aussi entrer en contact avec l’AAPI, soit l’Association des professionnels en accès à l’information et en protection de la vie privée via le lien suivant : https://aapi.qc.ca/programme-de-soutien/
Sources citées :
[1] https://www.cai.gouv.qc.ca/entreprises/communiquer-renseignements-personnels-sans-consentement-personne-concernee/
[1] https://conseiltaq.com/dossier/loi-25-entree-en-vigueur-le-23-septembre/#:~:text=La%20loi%2025%20impose%20aux,diffuser%20une%20politique%20de%20confidentialit%C3%A9.
[2] Réponse reçue par courriel, le 6 octobre 2022
[3] Code civil du Québec : 1525. La solidarité entre les débiteurs ne se présume pas; elle n’existe que lorsqu’elle est expressément stipulée par les parties ou prévue par la loi. Elle est, au contraire, présumée entre les débiteurs d’une obligation contractée pour le service ou l’exploitation d’une entreprise.
Constitue l’exploitation d’une entreprise l’exercice, par une ou plusieurs personnes, d’une activité économique organisée, qu’elle soit ou non à caractère commercial, consistant dans la production ou la réalisation de biens, leur administration ou leur aliénation, ou dans la prestation de services.
[4] https://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/lois-sur-la-protection-des-renseignements-personnels-au-canada/la-loi-sur-la-protection-des-renseignements-personnels-et-les-documents-electroniques-lprpde/r_o_p/02_05_d_19/
[5] file:///C:/Users/espac/Dropbox/PC/Downloads/Modernisation%20des%20lois%20quebecoises%20sur%20la%20protection%20des%20renseignements%20personnels%20(2).pdf
[6] https://www.cai.gouv.qc.ca/entreprises/protection-des-renseignements-personnels-1/
[7] https://www.fasken.com/fr/knowledge/projet-de-loi-64/2022/02/on-repond-a-vos-questions-1-de-3
[8] https://www.quebec.ca/gouvernement/travailler-gouvernement/travailler-fonction-publique/services-employes-etat/conformite/protection-des-renseignements-personnels/commission-dacces-a-linformation#note1
[9] https://www.quebec.ca/gouvernement/travailler-gouvernement/travailler-fonction-publique/services-employes-etat/conformite/protection-des-renseignements-personnels/commission-dacces-a-linformation
[10] https://www.quebec.ca/gouvernement/travailler-gouvernement/travailler-fonction-publique/services-employes-etat/conformite/protection-des-renseignements-personnels/personne-mineure/personnes-mineures-titulaires-de-lautorite-parentale-ainsi-que-tutrices-ou-tuteurs
[11] https://avenues.ca/comprendre/articles-comprendre/loi-25-protection-renseignements-personnels-quebec/