La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels a été sanctionnée le 22 septembre 2021¹. Il s’agit du projet de loi 64, aussi appelé la loi 25. Cette loi met en œuvre une réforme importante des lois québécoises en matière de protection des renseignements personnels, dont la Loi sur la protection des renseignements personnels dans le secteur privé (LP)² qui s’applique aux entreprises privées, dont les syndicats et les entreprises agricoles.

En septembre 2022, une première série de modifications à la LP entreront en vigueur, mais la majorité des dispositions de la loi 25 prendront effet en septembre 2023.

Application aux entreprises privées

La LP s’applique à l’égard des renseignements personnels sur autrui qu’une personne recueille, détient, utilise ou communique à des tiers à l’occasion de l’exploitation d’une entreprise au sens de l’article 1525 du Code civil du Québec³, soit toute entreprise qui exerce, par une ou plusieurs personnes, une activité économique organisée, qu’elle soit ou non à caractère commercial, consistant dans la production ou la réalisation de biens, leur administration ou leur aliénation, ou dans la prestation de services⁴. Cette définition d’entreprise n’a pas changé dans la loi 25.

Ainsi, toutes les entreprises correspondant à cette définition, quelle que soit leur taille, sont visées par l’entrée en vigueur des nouvelles dispositions.

Mesures entrant en vigueur le 22 septembre 2022

Afin de vous y préparer, nous vous donnons un aperçu des mesures à mettre en place pour le 22 septembre 2022 :

• Nommer pour votre entreprise un responsable de la protection des renseignements personnels et publier ses coordonnées sur le site Internet de l’entreprise ou, si elle n’a pas de site, les rendre accessibles par tout autre moyen approprié. La Loi prévoit que cette fonction est exercée d’office par la personne ayant la plus haute autorité dans l’entreprise, mais celle-ci peut déléguer cette fonction par écrit, en tout ou en partie, à toute personne⁵. Il peut donc s’agir d’une personne interne ou externe à l’entreprise;
• Aviser la Commission d’accès à l’information (CAI) et la personne concernée de tout incident de confidentialité impliquant un renseignement personnel présentant un risque sérieux de préjudice et tenir un registre devant être fourni à la CAI sur demande⁶;
• Respecter le nouvel encadrement pour la communication des renseignements personnels sans le consentement de la personne concernée à des fins d’étude, de recherche ou de production de statistiques ou dans le cadre d’une transaction commerciale⁷;
• Si vous faites une confirmation d’identité avec des données biométriques (par exemple, reconnaissance des empreintes digitales, de la forme de la main, du visage, de la rétine et de l’iris de l’œil) et utilisez une banque de données biométriques, vous devez le divulguer à la CAI⁸.

À noter que des règlements d’application viendront préciser les modalités de certaines obligations, mais ceux-ci ne sont pas encore publiés. 

M^e Diane Simard, avocate spécialisée en droit municipal, admise au Barreau en 1988, et détentrice d’une maîtrise en administration des affaires (MBA) de l’Université du Québec à Montréal et d’une maîtrise en analyse et gestion urbaines de l’École nationale en administration publique

Pour plus d’informations, vous pouvez consulter le site Web de la Commission d’accès à l’information au cai.gouv.qc.ca/espace-evolutif-modernisation-lois/.

Suivez-nous chaque mois et n’hésitez pas à nous transmettre les questions et les sujets qui vous interpellent à l’adresse suivante : [email protected].  Vous pouvez aussi consulter notre site Internet au upa.qc.ca/bhlf-avocats.

La chronique juridique est une vulgarisation de l’état du droit en vigueur et ne constitue pas une opinion, un conseil ou un avis juridique. Nous vous invitons à consulter un avocat ou un notaire pour connaître les règles particulières applicables à une situation donnée.

¹ L.Q. 2021, c. 25. ² RLRQ, c.P-39.1. ³C.c.Q. ⁴Art 1 LP. ⁵Art 3.1 LP. ⁶Art 3.5 à 3.8 LP. ⁷Art 21 et 18.4 LP. ⁸Art 44 et 45 de la Loi concernant le cadre juridique des technologies de l’information (chapitre C-1.1).