Loi 25 : la personne responsable de la protection des renseignements personnels et le droit à la portabilité

La Loi sur la protection des renseignements personnels dans le secteur privé¹(« LPRPSP ») qui a été mise à jour par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels² (« Loi 25 ») s’applique à toutes les entreprises faisant affaire au Québec, qu’elles soient à but lucratif ou non³.

La présente chronique met en lumière deux modifications importantes de la LPRPSP, soit l’obligation imposée aux entreprises de nommer une personne responsable de la protection des renseignements personnels et le droit à la portabilité de ces renseignements.

1. Le responsable de la protection des renseignements personnels

a. Qui doit être la personne responsable des renseignements personnels dans une entreprise collective?

Par défaut, cette personne est celle qui a la plus haute autorité au sein de l’entreprise⁴. En principe, ce serait le président du conseil d’administration. Cependant, en raison de son implication dans les opérations, la direction générale nous semble en meilleure position d’assumer cette responsabilité. Dans tous les cas, notamment dans les organisations de grande taille, il est possible de déléguer une partie ou la totalité de cette fonction à toute personne⁵.

Par ailleurs, il est à noter que « Le titre et les coordonnées (adresse courriel et/ou numéro de téléphone) du responsable de la protection des renseignements personnels (doivent être) publiés sur le site Internet de l’entreprise ou, si elle n’a pas de site, rendus accessibles par tout autre moyen approprié.⁶ »

b. Que doit faire le responsable de la protection des renseignements personnels?

Sommairement, cette personne doit assurer le respect et la mise en œuvre de la LPRPSP⁷. Cela signifie que cette personne doit notamment :

• approuver la politique de protection des renseignements personnels⁸;
• être consultée dans le cadre de toute évaluation des facteurs relatifs à la vie privée (« EFVP »)⁹;
• en cas d’incident de confidentialité, évaluer le risque de préjudice sérieux et enregistrer les communications échangées avec toute personne ou tout organisme susceptible de diminuer le risque de préjudice sérieux¹⁰;
• être avisée « de toute violation ou tentative de violation par toute personne, de l’une ou l’autre des obligations relatives à la confidentialité du renseignement communiqué » lorsque cette violation survient auprès d’un mandataire ou d’un exécutant de contrat (ex. : fournisseur), en plus « d’effectuer toute vérification relative à cette confidentialité »¹¹;
• recevoir et traiter les demandes de cessation de diffusion et de désindexation de l’hyperlien permettant d’accéder au renseignement personnel visé¹²;
• recevoir et traiter les demandes d’accès ou de rectification de renseignements personnels¹³.

c. Mesures de protection concrètes à mettre en place au sein de votre organisation

Les entreprises collectives peuvent effectuer certaines actions pour améliorer leur niveau de protection des renseignements personnels qu’elles détiennent. Les services juridiques et les ressources humaines du Consortium ont travaillé ensemble pour vous fournir une liste de vérification comprenant de telles actions. Vous pourriez notamment considérer :

• l’adoption d’une politique de télétravail encadrant l’utilisation des appareils électroniques de l’entreprise et la mise en place de mesures de sécurité comme un VPN;
• restreindre l’accès à certains dossiers ou documents selon les fonctions des personnes employées;
• changer les mots de passe avec régularité et opter pour une authentification multifactorielle lors d’une première connexion;
• se procurer une couverture d’assurance contre les cyberincidents;
• plusieurs autres éléments figurant dans notre liste de vérification.

2. Le droit à la portabilité d’un renseignement personnel

La dernière phase de la LPRPSP entrera en vigueur à compter du 22 septembre 2024 et concerne le droit à la portabilité d’un renseignement personnel. Ce droit signifie qu’une personne pourra requérir d’une entreprise collective qui recueille ses renseignements personnels de façon informatisée, de les lui communiquer dans un « format technologique structuré et couramment utilisé¹⁴ ».

Cette personne pourra également demander que ces renseignements soient communiqués à toute personne ou tout organisme autorisé à les recueillir par la loi dans ce même format. Le tout demeure néanmoins sujet aux restrictions au droit d’accès à des renseignements personnels prévues par la LPRPSP, notamment dans les cas où la divulgation du renseignement risquerait vraisemblablement d’avoir un effet sur une procédure judiciaire dans laquelle la ou les personnes ont un intérêt, la divulgation révélerait vraisemblablement un renseignement personnel sur un tiers et qu’elle serait susceptible de nuire sérieusement à ce tiers ou les demandes sont manifestement abusives par leur nombre, leur caractère répétitif ou systématique¹⁵.

Il est à noter que le droit à la portabilité d’un renseignement personnel ne vise pas les renseignements personnels recueillis sur format papier ni ceux créés ou inférés par l’entreprise à partir de renseignements personnels.

Soulignons que la LPRPSP ne définit pas ce qu’est un format technologique structuré et couramment utilisé. Toutefois, nous pouvons nous inspirer des exemples de fichiers du gouvernement québécois où le droit à la portabilité entrera également en vigueur le 22 septembre prochain. Ainsi, pour les organismes publics assujettis à la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels¹⁶, le gouvernement du Québec privilégie des formats ouverts et interopérables comme les formats de type CSV, XML ou JSON.

Un format pouvant être difficile à traiter comme une image, certains PDF ou un format dont l’utilisation implique l’acquisition d’un logiciel ou d’une licence payante pourrait ne pas être considéré comme étant un format technologique structuré et couramment utilisé¹⁷. Nous suggérons donc à l’entreprise collective de choisir un format qu’elle juge approprié pour donner suite à une demande. Pour ce faire, une simulation de demande d’accès concernant tous les types de fichiers utilisés par l’entreprise permettrait de déceler les formats numériques problématiques.

Bref, il faut que le document soit ouvrable et lisible. Concrètement, ce droit ne devrait pas soulever des difficultés pratiques sérieuses pour les entreprises collectives. Toutefois, si une entreprise collective a besoin d’être accompagnée lors du traitement d’une demande qui implique l’accès à des renseignements personnels, nous l’invitons à consulter un expert juridique du Consortium.

¹ RLRQ, c. P-39.1.

² LQ 2021, c 25.

³, art. 1, op.cit., note 1.

⁴ Art. 3.1, ibid.

⁵ Ibid.

⁶ Ibid.

⁷ Ibid.

⁸ Art. 3.2, ibid.

⁹ Art. 3.3 et 3.4, ibid.

¹⁰ Art. 3.5 et 3.7, ibid.

¹¹ Art. 18.3, ibid.

¹² Art. 28.1, ibid.

¹³ Art. 30, 32, 34 et 35, ibid.

¹⁴ Art. 27.

¹⁵ Art. 37 à 41 et 46 ibid.

¹⁶ RLRQ c A-2.1.

¹⁷ Gouvernement du Québec, « Droit à la portabilité », en ligne : https://www.quebec.ca/gouvernement/travailler-gouvernement/travailler-fonction-publique/services-employes-etat/conformite/protection-des-renseignements-personnels/acces-aux-renseignements-personnels/droit-portabilite (consulté le 30 août 2024).