Le 22 septembre 2021, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels du Québec (le « projet de loi n° 64 »), qui avait été adoptée par l’Assemblée nationale du Québec, a reçu la sanction royale. Le Québec est la première province canadienne à remanier en profondeur son régime de protection de la vie privée en modifiant un certain nombre de lois portant sur la protection des renseignements personnels, dont la Loi sur la protection des renseignements personnels dans le secteur privé (la « Loi relative au secteur privé »), la Loi concernant le cadre juridique des technologies de l’information et la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels.

Dans un bulletin précédent, nous avions discuté des différentes façons dont le projet de loi n° 64 donnait lieu à de nouvelles obligations pour les organisations du secteurs privé et les organismes du secteur public au Québec, notamment semblables à celles imposées par le Règlement général sur la protection des données de l’Union européenne.

La plupart des modifications apportées à la Loi relative au secteur privé entreront en vigueur le 22 septembre 2023, mais quelques-unes prendront effet dès l’an prochain. C’est le cas, entre autres, de l’obligation d’aviser la Commission d’accès à l’information et les particuliers concernés de toute atteinte à la vie privée (soit un incident de confidentialité) qui présente un risque qu’un préjudice sérieux soit causé. Cette obligation s’appliquera à compter du 22 septembre 2022.

Avant de recevoir la sanction royale, le projet de loi n° 64 a été modifié par la Commission des institutions du Québec (la « Commission »). Parmi les modifications apportées par la Commission, certaines visaient à :

  • élargir la définition de « renseignement personnel » pour qu’elle s’applique à tout renseignement qui concerne une personne physique et qui permet de l’identifier directement ou indirectement;

  • permettre aux organisations d’utiliser des renseignements personnels sans le consentement des personnes concernées a) lorsque cela est nécessaire à la fourniture d’un produit ou à la prestation d’un service, b) à des fins de prévention et de détection de la fraude, ou c) à des fins d’évaluation ou d’amélioration des mesures de protection et de sécurité;

  • éliminer la restriction selon laquelle un renseignement personnel peut être transféré à l’extérieur du Québec à la condition qu’il bénéficie d’une « protection équivalente » à celle offerte dans le projet de loi n° 64 dans le territoire où il est communiqué, pour autoriser le transfert de tel renseignement vers des territoires offrant une « protection adéquate » au regard des « principes de protection des renseignements personnels généralement reconnus », après la réalisation d’une évaluation des facteurs relatifs à la vie privée;

  • exiger des organisations qu’elles établissent la légitimité et la nécessité d’anonymiser les renseignements personnels plutôt que de les détruire, le cas échéant;

  • prévoir que l’omission de prendre des mesures de sécurité appropriées pour assurer la protection des renseignements personnels recueillis, utilisés, communiqués, conservés ou détruits peut entraîner une sanction administrative pécuniaire, voire pénale.

×