Le 22 septembre 2022 marque l'entrée en vigueur de nouvelles dispositions en matière de renseignements personnels ("RP") au Québec.
En effet, la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels mais aussi la Loi sur la protection des renseignements personnels dans le secteur privé ont fait l'objet d'une modernisation à la suite de l'adoption du projet de loi n°64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels en septembre 2021. Précisons que cette modernisation vise également 19 autres lois dont la Loi concernant le cadre juridique des technologies de l'informations.
Les dispositions qui entrent en vigueur aujourd'hui visent aussi bien les organismes publics que les entreprises ("organisation"). Elles visent aussi les ordres professionnels et leurs membres.
- Responsabilité: une organisation est responsable des RP qu'elle détient et ce, même si elle en confie la gestion à un tiers.
- Responsable de la protection des renseignements personnels: une organisation doit désigner un responsable de la protection des renseignements personnels ("PRP").
Cette fonction revient à la personne ayant la plus haute autorité, elle peut néanmoins être déléguée, par écrit
- à un membre du l'organisme public ou de son conseil d'administration, selon le cas, ou à un membre du personne de direction. Les titres et les coordonnées du responsable doivent être transmis à la Commission d'accès à l'information;
- à toute personne pour les entreprises. Les titres et les coordonnées du responsable doivent être publiés sur le site Internet de l'entreprise ou, si elle n'en a pas, rendus accessibles par tout autre moyen approprié.
- Comité sur l'accès à l'information et la protection des renseignements personnels ("CAIRPR"): un organisme public, mais aussi les ordres professionnels, doivent constituer un tel comité.
Ce comité est chargé de soutenir l'organisme public / l'ordre professionnel dans l'exercice de ses responsabilités et dans l'exécution de ses obligation. Il doit aussi approuver les règles encadrant la gouvernance à l'égard des renseignements personnels.
- Incident de confidentialité: une organisation doit déclarer à la CAI les incidents de confidentialité qui présente un risque qu'un préjudice sérieux soit causé aux personnes dont les renseignements personnels sont visés par l'incident. Elle doit aussi aviser les personnes concernées. Elle doit également tenir un registre des incidents de confidentialité.
- Transaction commerciale: une entreprise partie à une telle transaction peut communiquer à l'autre partie, sans le consentement des personnes concernées, des renseignements personnels nécessaires aux fins de la conclusion de cette transaction.
Une entente doit préalablement être conclue entre les parties. Et, si la transaction est conclue, la partie qui a reçu les RP doit aviser, dans un délai raisonnable, les personnes concernées qu'elle détient ses RP en raison de la transaction.
- Étude, recherche, production de statistiques: une organisation peut communiquer des renseignements personnels a de telles fins, sans le consentement des personnes concernées.
Elle doit au préalable effectuer une évaluation des facteurs relatifs à la vie privée et conclure une entente avec la personne ou l'organisme à qui elle transmet les RP. Cette entente doit être transmise à la Commission d'accès à l'information et entre en vigueur 30 jours après sa réception par celle-ci.
- Biométrie: une organisation doit déclarer à la Commission d'accès à l'information la création et la mise en service de toute banque de caractéristiques ou de mesures biométriques.
En vertu de la LCCJTI cette déclaration doit intervenir au plus tard 60 jours avant la mise en service de la banque. De plus, les personnes concernées doivent donner un consentement exprès et l'organisation doit être en mesure de proposer une méthode alternative.
Ces changements ne sont pas les seuls prévus. En effet, le cadre juridique applicable à la protection des renseignements personnels au Québec connaîtra d'autres modifications au cours des prochains mois, de nouvelles dispositions entrant en vigueur en septembre 2023 et 2024.
---
Sur une note plus personnelle, le 22 septembre 2022 marque aussi la reprise de mes billets sur cette plateforme.
