Le 21 septembre 2021, l’Assemblée nationale a adopté le Projet de loi n°64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (ci-après, la « Loi 64 », également désignée comme étant la « Loi 25 »), qui a pour effet de modifier plusieurs lois en matière de protection des renseignements personnels, notamment la Loi sur l’accès aux documents des organismes publics[1] (ci-après, la « Loi sur l’accès »). L’objectif derrière cette modernisation est d’emboîter le pas vers l’instauration d’un régime plus rigide comportant des standards élevés, comme celui mis en place en Europe par le Règlement général pour la protection des données (le « RGPD »).
Pour rappel, une première série de dispositions introduites par la Loi 64 est entrée en vigueur le 22 septembre 2022, soit un an après sa sanction. Parmi ces dispositions, mentionnons :
-
-
- Le principe de responsabilité des organismes publics et les rôles de responsable de l’accès aux documents et de responsable de la protection des renseignements personnels;
- La mise en place d’un comité sur l’accès à l’information et la protection des renseignements personnels;
- Le signalement et la tenue d’un registre des incidents de confidentialité;
- Le nouvel encadrement de la communication de renseignements personnels à des fins d’étude, de recherche ou de production de statistiques;
- L’obligation de déclarer l’utilisation des technologies biométriques;
-
Toutefois, la majorité des dispositions qui ont pour effet de modifier la Loi sur l’accès entreront en vigueur le 22 septembre 2023. Un nouveau droit individuel à la portabilité des données entrera également en vigueur en septembre 2024.
Nouvelles obligations entrant en vigueur le 22 septembre 2023
D’abord, la Loi 64 renforce les exigences relatives à l’obtention du consentement lors de la divulgation de renseignements personnels à des organismes publics. Le consentement exigé par la Loi sur l’accès devra être manifeste, libre, éclairé et être donné à des fins spécifiques. Lorsqu’il est demandé par écrit, il devra également être présenté distinctement de toute autre information (art. 53.1). De plus, la Loi 64 crée une nouvelle catégorie de renseignements personnels, les renseignements « sensibles », pour lesquels un consentement exprès devra être obtenu (art. 59). Elle introduit également de nouvelles exceptions au consentement pour certaines utilisations ou communications de renseignements personnels, telles que l’utilisation d’un renseignement personnel dépersonnalisé à des fins d’étude, de recherche ou de production de statistiques (art. 65.1).
Comme les entreprises du secteur privé, les organismes publics devront également effectuer une évaluation des facteurs relatifs à la vie privée (EFVP) dans certaines situations avant de communiquer un renseignement personnel sans le consentement de la personne visée. Cette évaluation sera notamment requise au moment de l’acquisition, du développement ou de la refonte d’un système d’information, avant la prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction des renseignements personnels (art. 63.5) et avant de communiquer des renseignements personnels à l’extérieur du Québec ou de confier à un tiers situé à l’extérieur du Québec la tâche de recueillir, d’utiliser, de communiquer ou de conserver pour son compte des renseignements personnels (art. 70.1). À cet égard, la Commission d’accès à l’information (ci-après, la « CAI ») compte réviser son Guide d’accompagnement : Réaliser une évaluation des facteurs relatifs à la vie privée à la lumière de la Loi 64.
En outre, les modifications apportées par la Loi 64 viseront à favoriser une transparence accrue des pratiques des organismes publics en matière de collecte et d’utilisation des renseignements personnels. À cette fin, la Loi sur l’accès obligera dorénavant les organismes publics à établir et diffuser sur leur site Internet des règles encadrant la gouvernance des renseignements personnels (art. 63.3). En plus, ceux qui recueillent ces renseignements par un moyen technologique devront publier et diffuser une politique de confidentialité (art. 63.4). Les organismes publics qui ont recours à des technologies d’identification, de localisation ou de profilage pour recueillir des renseignements personnels auront également l’obligation d’en informer la personne visée préalablement (art. 65.0.1). De même, ils devront informer les personnes pour qui sont prises des décisions fondées exclusivement sur un traitement automatisé de leurs renseignements personnels (art 65.2).
Enfin, les sanctions pénales prévues aux articles 158 à 164.2 de la Loi sur l’accès seront modifiées de façon à augmenter le montant des amendes pouvant être imposées. Le fardeau de preuve du poursuivant est également allégé par le retrait du mot « sciemment » aux articles 158 et 159 de la Loi sur l’accès, ce qui fait en sorte que l’intention coupable ne sera plus à démontrer[2]. Notons cependant que la possibilité pour la CAI d’imposer des sanctions administratives pécuniaires aux entreprises privées n’est pas introduite pour le secteur public.
[1] RLRQ, C. A-2.1.
[2] « Voir notamment le Guide de conformité pour les organismes publics, BLG, juillet 2022, en ligne : https://www.blg.com/fr/insights/2022/07/adoption-du-projet-de-loi-no-64-principales-exigences-pour-les-organismes-publics. »