20 décembre 2023 | Mark Sward

Loi 25 du Québec : quelques facteurs à prendre en considération

En septembre 2021, l’Assemblée législative du Québec a adopté la Loi 25 en vue de moderniser les dispositions législatives de la province en matière de protection des renseignements personnels. Les nouvelles dispositions entrent en vigueur progressivement, bien que la plupart soient en effet depuis le 22 septembre 2023.

Le moment est bien indiqué pour les entreprises assujetties aux lois du Québec d’évaluer et de mettre à jour leurs activités pour en assurer la conformité aux exigences de la Loi 25. Les nouvelles dispositions ne font pas qu’apporter des modifications substantielles au régime de protection des renseignements personnels dans le secteur privé. Elles accordent également de nouveaux pouvoirs considérables à la Commission d’accès à l’information (CAI), l’autorité de protection des renseignements personnels au Québec, qui pourra désormais infliger de lourdes amendes aux entreprises non conformes.

Responsabilité

La responsabilité est l’un des principes de base sur lesquels s’appuient depuis longtemps les lois du Québec en matière de protection des renseignements personnels. Les entreprises sont responsables de leurs pratiques à cet égard et doivent prendre des mesures pour en assurer la conformité. La Loi 25 renforce les exigences applicables en imposant aux entreprises l’obligation de nommer un responsable de la protection des renseignements personnels, un rôle attribué par défaut au chef de la direction, bien que quelqu’un d’autre puisse être sélectionné. La personne désignée doit être en mesure d’exercer une surveillance sur les activités liées au traitement des données.

La Loi oblige également les entreprises à formuler, à mettre en application et à publier sur leur site Web des politiques et des pratiques compréhensives visant à encadrer la protection des renseignements personnels et à assurer la conformité de leurs activités. Pour terminer, elle requiert une évaluation formelle des facteurs relatifs à la vie privée lors de l’acquisition, de la conception ou de la modification d’un système employé à des fins de traitement des renseignements personnels. Bien qu’une partie de ces exigences étaient déjà en vigueur, la Loi 25 y ajoute des précisions qui obligeront beaucoup d’entreprises à mettre à jour leur programme de protection des données.

En plus de la gouvernance exercée sur leurs activités internes, les entreprises devront également faire preuve d’une vigilance accrue à l’égard de la chaîne d’approvisionnement et du transfert de données au-delà des frontières. Les nouvelles dispositions de la Loi 25 nécessitent la mise en place d’un contrat obligeant les sous-traitants chargés du traitement de renseignements personnels d’en garantir la protection. Des évaluations supplémentaires sont requises pour transférer des données à des parties externes à l’extérieur de la province ou du pays en vue de leur assurer une protection conforme aux normes du Québec.

Transparence et consentement

La Loi 25 s’appuie sur certaines dispositions, déjà en vigueur, exigeant que les personnes concernées soient avisées de la collecte, de l’utilisation et de la divulgation de leurs renseignements personnels. Cet avis doit désormais inclure des précisions supplémentaires, tout en demeurant simple et accessible.

La Loi ajoute également des précisions à l’égard des situations dans lesquelles le consentement est implicite ou n’est pas requis. En général, le consentement deviendra un aspect incontournable de l’approche du Québec à l’égard de la protection des renseignements personnels. Il sera nécessaire pour les entreprises d’évaluer la manière dont elles recueillent le consentement pour s’assurer de respecter les normes strictes définies par la Loi 25. La CAI a publié des lignes directrices sur le consentement pour faciliter la prise de décision.

Au-delà de l’avis et du consentement, les entreprises sont responsables d’avertir les personnes concernées si elles utilisent la géolocalisation, le profilage et l’automatisation dans le cadre de la prise de décision. Elles doivent également obtenir le consentement exprès des personnes visées dans certains cas, notamment lorsqu’il s’agit de traiter des données sensibles, comme des renseignements biométriques.

Droits de la personne

Le régime de protection de la vie privée du Québec accordait déjà certains droits aux individus, comme le droit d’accéder aux renseignements personnels qu’une entreprise détient à leur égard, de les rectifier et, en certaines circonstances, d’exiger qu’ils soient supprimés. La Loi 25 élargit la portée du droit à la suppression de renseignements et crée de nouveaux droits au transfert de données entre entreprises et à l’accès à des informations sur le traitement des renseignements personnels. Les entreprises doivent mettre en place une procédure pour traiter les requêtes de cette nature, dont l’arrivée prochaine est inévitable.

Gestion des fuites de données

Les entreprises étaient déjà obligées de mettre en place des mesures de sécurité pour prévenir les fuites de données, mais cela ne s’arrête plus là. En vertu de la Loi 25, elles doivent désormais prendre des mesures pour minimiser les répercussions des fuites, conserver un registre des fuites qu’elles devront fournir à la CAI sur demande et aviser la CAI et les personnes concernées en cas d’incident hautement susceptible de causer des dommages.

Minimisation des données

La Loi 25 consacre un concept déjà bien ancré dans les lois en matière de protection des renseignements personnels, au Canada comme à l’étranger : le principe de minimisation des données, parfois également dénommé « principe de proportionnalité ». La collecte de renseignements personnels n’est permise que lorsqu’elle est nécessaire pour atteindre une fin préétablie. Une fois que les renseignements ont été obtenus, ils ne peuvent être utilisés à une autre fin, sauf si la loi prévoit une exception ou si la personne concernée l’autorise. Les renseignements personnels doivent être supprimés ou anonymisés lorsqu’ils ne sont plus nécessaires pour atteindre les fins fixées.

Il est intéressant de noter que la Loi 25 prévoit également une nouvelle obligation en matière de conservation des données. Toute information ayant servi à prendre une décision doit être conservée pendant un an après la décision pour permettre à la personne concernée d’exercer ses droits.

Vérification des antécédents : quelques facteurs à prendre en considération

Toute entreprise étant assujettie aux lois du Québec et souhaitant obtenir ou effectuer une vérification des antécédents doit évaluer certaines activités avec l’aide de son fournisseur pour en assurer la conformité aux nouvelles dispositions de la Loi 25.

Voici quelques questions qui pourraient orienter votre questionnement :

  • Disposez-vous d’un responsable de la protection des renseignements personnels et de politiques écrites encadrant le traitement des renseignements personnels ? Avez-vous publié un résumé de ces politiques sur votre site Web ?
  • Votre programme de vérification des antécédents a-t-il fait l’objet d’une évaluation des facteurs relatifs à la vie privée pour garantir qu’il reconnaît et respecte les droits des candidats ?
  • Avisez-vous les personnes concernées, en bonne et due forme, qu’elles feront l’objet d’une vérification des antécédents ? Informez-vous les personnes concernées de la nature des données qui seront collectées, de la finalité de cette collecte et des autres droits que leur octroient les lois applicables ?
  • Avez-vous défini le processus par lequel vous répondrez aux demandes d’accès, de correction, de suppression et de portabilité et aux autres mesures par lesquelles les personnes concernées pourraient faire valoir leurs droits ? Si vous avez recours aux services de vérification des antécédents d’un fournisseur externe, avez-vous confirmé qu’il a également mis en place des instructions pour encadrer ce processus ?
  • Le contrat que vous avez conclu avec des tiers à des fins de présélection, comme votre fournisseur de services de vérification des antécédents, contient-il des dispositions encadrant le traitement de renseignements personnels en votre nom ?
  • Comprenez-vous la nature des transferts de données que vous effectuez à l’extérieur du Québec, le cas échéant ? Avez-vous pris les mesures nécessaires pour garantir aux données transférées la même protection qui leur est offerte au Québec ?
  • Votre fournisseur de services de vérification des antécédents s’est-il inscrit auprès de la CAI à titre d’agent de renseignements personnels, conformément aux nouvelles exigences de la Loi 25 ?
  • Avez-vous mis en place une politique encadrant la tenue des dossiers de vérification des antécédents en fonction des besoins légitimes de votre entreprise et exigeant que ces informations soient conservées pendant au moins un an pour permettre aux personnes concernées de faire valoir leurs droits ? Votre fournisseur de services d’enquête supprime-t-il les renseignements après sept ans en vue de se conformer aux nouvelles obligations imposées aux agents de renseignements personnels ?

Comme toujours, il est recommandé de consulter un conseiller juridique ou un responsable de la protection des renseignements personnels pour obtenir davantage d’information sur la conformité au cadre réglementaire modernisé du Québec. Beaucoup de cabinets d’avocats québécois ont publié des guides détaillés à cet effet.

En tant que leader éclairé de l’industrie de la vérification des antécédents, Sterling Backcheck s’engage à aider les employeurs à suivre l’évolution de la conformité et de la réglementation, partout dans le monde. Contactez nos experts pour en savoir davantage sur ce que Sterling Backcheck peut faire pour vous aider à créer un programme de vérification des antécédents.

Le présent document vous est présenté à titre indicatif seulement et ne peut aucunement être interprété comme un avis juridique. Nous déclinons toute responsabilité pour les dommages découlant de son utilisation. Nous vous recommandons de consulter votre conseiller juridique pour obtenir des conseils adaptés à vos besoins. Nous ne nous engageons pas à modifier les documents qui ont déjà été publiés.