Résumé des modifications apportées par le projet de loi no 64 du Québec
En septembre 2021, le projet de loi no 64 adopté par l’Assemblée nationale du Québec – Loi modernisant des dispositions législatives en matière de protection des renseignements personnels – recevait la sanction royale. Ce projet de loi s’appuie davantage sur l’approche prescrite par le RGPD et comporte de nouveaux droits en matière de protection de la vie privée, dont le droit à la portabilité des données, le droit à l’oubli et l’obligation à une transparence et à un contrôle accrus.
Le projet de loi no 64 exige des entreprises qu’elles procèdent à une évaluation des facteurs relatifs à la vie privée pour tout projet de « système d'information » ou de « prestation électronique de services » qui implique le traitement de renseignements personnels et la communication de renseignements à l’extérieur du Québec.
Le projet de loi no 64, qui devrait intéresser particulièrement les annonceurs numériques et les participants de la DAAC, exige des entreprises – avant qu’elles ne recourent à toute technologie permettant l’identification, la localisation ou le profilage d’un utilisateur – qu’elles mentionnent proactivement cette utilisation et qu’elles offrent un mécanisme de retrait. Cette exigence s’applique aux technologies de suivi sur Internet, telles que les témoins, les pixels espions et autres identifiants.
Le projet de loi no 64 permet également l’utilisation de renseignements dépersonnalisés aux fins de recherche interne d’une organisation.
Il exige le consentement du titulaire de l’autorité parentale pour recueillir des renseignements auprès d’enfants de moins de 14 ans, à moins que ce ne soit clairement dans l’intérêt de l’enfant. La LPRPDE ne fait pas de distinction entre les adultes, les jeunes (d’au plus 18 ans) et les enfants (de moins de 13 ans). Toutefois, le Commissariat à la protection de la vie privée du Canada (CPVP) a toujours considéré les renseignements personnels concernant les jeunes et les enfants comme des renseignements de nature particulièrement délicate, notamment plus ces personnes sont jeunes, et exige le consentement parental pour recueillir des renseignements personnels auprès d’enfants de moins de 13 ans.
Les mois au cours desquels certaines dispositions prendront effet figurent ci-dessous, mais les entreprises sont fortement encouragées à demander l’avis de leur conseiller juridique quant à leurs efforts pour s’y conformer.
Septembre 2022 :
Désignation d’une personne qui sera responsable de la protection des renseignements personnels (art. 3.1)
Signalement obligatoire à la CAI de toute atteinte à la vie privée (« incident de confidentialité ») (art. 3.5, 3.6, 3.7, 3.8)
Communication de renseignements personnels permise sans consentement à des fins de recherche ou de production de statistiques; une évaluation des facteurs relatifs à la vie privée est requise (art. 21)
Obtention du consentement exprès des personnes dans le cas de données biométriques; les entreprises doivent divulguer la création de telles bases de données à la CAI (art. 44, 45)
Septembre 2023 :
Les entreprises doivent établir et mettre en œuvre des politiques et des pratiques concernant les renseignements personnels; elles doivent prévoir l’encadrement applicable à la conservation et à la destruction de ces renseignements, et définir les rôles et les responsabilités des membres de son personnel (art. 3.2)
Elles doivent procéder à une évaluation des facteurs relatifs à la vie privée de tout projet d’acquisition, de développement ou de refonte de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels (art. 3.3, 3.4)
Elles doivent être transparentes quant à leurs fins, leurs moyens et leurs droits d’accès aux renseignements personnels recueillis et utilisés et doivent offrir aux personnes la possibilité de retirer leur consentement; elles doivent rédiger une politique de confidentialité en termes simples et clairs (art. 8, 8.2, and 22)
Les entreprises doivent au préalable informer une personne de l’utilisation de ses renseignements personnels pour l’identifier, la localiser ou effectuer un profilage ainsi que des moyens offerts pour activer les fonctions permettant ces actions (par ex., la publicité ciblée par centres d’intérêt) (art. 8.1)
Protection de la vie privée par défaut. Dans le cas d’un produit ou d’un service technologique disposant de paramètres de confidentialité, les entreprises doivent s’assurer que, par défaut, ces paramètres offrent le plus haut niveau de confidentialité, sans aucune intervention de la part de la personne concernée (art. 9.1)
Les renseignements personnels sensibles exigent un consentement exprès (art. 12)
Les exceptions au consentement sont limitées (art. 12)
Pour rendre une décision fondée exclusivement sur un traitement automatisé, les entreprises doivent informer la personne concernée que des renseignements personnels sont utilisés, en donner les raisons, indiquer les principaux facteurs et paramètres qui ont mené à cette décision et l’informer de son droit de faire rectifier ces renseignements (art. 12)
Le consentement doit être manifeste, libre, éclairé et être donné à des fins spécifiques. Il doit être demandé à chacune de ces fins, en termes simples et clairs (art. 14)
Le consentement d’un mineur de moins de 14 ans est donné par la personne titulaire de l’autorité parentale (le « tuteur ») (art. 14)
La communication de renseignements personnels à l’extérieur du Québec nécessite une évaluation des facteurs relatifs à la vie privée (art. 17)
Le consentement n’est pas requis lorsque la communication de renseignements personnels s’avère nécessaire à l’exercice d’un mandat, à l’exécution d’un contrat ou à la conclusion d’une transaction commerciale (art. 18.3, 18.4)
Les entreprises doivent détruire les renseignements personnels ou les rendre anonymes de manière irréversible afin de ne plus pouvoir identifier directement ou indirectement la personne concernée (art. 23)
Les personnes ont le droit à l’oubli. Une entreprise doit cesser de diffuser des renseignements ou doit désindexer tout hyperlien rattaché aux personnes qui en ont fait la demande (art. 28.1)
Toute contravention est sujette à une sanction administrative pécuniaire (art. 90.1 - 93.1)
Septembre 2024 :
Les personnes ont le droit à la portabilité des données (art. 27 (art. 120 dans le projet de loi qui a reçu la sanction royale))
Ressources recommandées :
Votre entreprise n’est toujours pas inscrite au programme d’autoréglementation Choix de pub? Le programme de la DAAC est bien établi et offre des outils qui pourront vous aider à vous conformer. C’est le moment idéal pour vous inscrire.
Découvrez ce que nous faisons en communiquant avec nous a info@daac.ca.