Adoptée par l’Assemblée nationale le 21 septembre 2021, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (« Loi 25 ») a pour effet principal de modifier certaines dispositions de la Loi sur la protection des renseignements personnels dans le secteur privé (« Loi sur le secteur privé »).
Comme son nom l’indique, cette loi prévoit des obligations concernant la protection des renseignements personnels qui s’imposent sur les organismes publics ainsi que sur les entreprises du secteur privé faisant affaire au Québec, que leurs activités soient ou non à caractère commercial. Par ce fait, elle modernise le cadre législatif afin de l’adapter aux différents enjeux de la réalité technologique d’aujourd’hui.
La Loi 25 donne davantage de contrôle et d’information aux individus en plus de bonifier les règles entourant le consentement quant au partage des renseignements personnels. Cette loi oblige par ailleurs les entreprises à adopter et à mettre en œuvre de bonnes pratiques visant à assurer la protection des renseignements personnels.
Cadre général d’application de la Loi sur le secteur privé
Tout d’abord, il importe de bien définir certains termes employés dans la Loi sur le secteur privé afin d’avoir une meilleure compréhension du présent texte et des différents concepts abordés.
La notion de « renseignement personnel » est évidemment au cœur de la Loi sur le secteur privé. Elle est définie comme étant « tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l’identifier ». La Loi 25 apporte la modification de la définition par l’ajout du passage « directement ou indirectement », lequel entrera en vigueur le 22 septembre 2023. De manière générale, il est interdit de communiquer un renseignement personnel sans le consentement de la personne concernée.
La « personne concernée », quant à elle, fait référence à toute personne sur laquelle un organisme ou une entreprise détient des renseignements personnels. Il peut s’agir, par exemple, de clients, fournisseurs, employés, consultants et entrepreneurs indépendants, etc.
S’inspirant des lois fédérales et internationales ainsi que des recommandations émises dans les rapports de la Commission d’accès à l’information, la Loi 25 a pour objectif de définir « un encadrement moderne, évolutif et équilibré », surtout en matière de transactions commerciales. Le législateur, lors de la rédaction de cette loi, s’est efforcé de trouver un équilibre entre deux enjeux importants, soit un désir de mieux protéger et de contrôler les renseignements personnels et une volonté de ne pas accabler les organismes avec les nouvelles obligations (QUÉBEC, Assemblée nationale, Journal des Débats de la Commission des institutions, 1re sess., 42e légis., 22 septembre 2020, « Consultations particulières et auditions publiques sur le projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels », 15h00 (M. Jolin-Barrette)).
Application de la Loi lors des transactions commerciales
Avant la réforme de la Loi sur le secteur privé
Sous la version antérieure de la Loi sur le secteur privé, tout consentement pour la collecte, l’utilisation ou la communication des renseignements personnels à un tiers devait être donné de manière manifeste, libre, éclairée et seulement à des fins précises. Bien qu’il existât quelques exceptions où il était possible de communiquer des renseignements personnels sans le consentement de la personne concernée, la dérogation quant à l’obtention du consentement ne s’appliquait qu’à des cas spécifiques. Aucune exemption portant sur les transactions commerciales n’était prévue, donc le régime général nécessitant le consentement exprès était de rigueur.
De plus, la notion de consentement implicite n’existait pas sous la Loi sur le secteur privé. En vertu des exigences énoncées par l’article 14, « il en ressort que tout consentement donné doit être explicite et ne peut être implicitement sous-entendu » (Antoine AYLWIN et Karl DELWAIDE, « Leçons tirées de dix ans d’expérience : la Loi sur la protection des renseignements personnels dans le secteur privé du Québec », S.F.C.B.Q., Développements récents en droit des affaires, Cowansville, Éditions Yvon Blais, 2005). Seuls les consentements exprès sont alors valides. En pratique, requérir et obtenir le consentement de chaque personne pouvait devenir un obstacle aux entreprises qui négocient entre elles. Il était ardu lors d’une transaction commerciale, pour un vendeur diligent, d’obtenir le consentement de toutes les personnes concernées avant de divulguer des renseignements personnels.
En raison du fait que la Loi sur le secteur privé entraînait de nombreux problèmes liés à la gestion de renseignements personnels dans le cadre de transactions commerciales, une modification était nécessaire pour y prévoir des exceptions.
Après la réforme de la Loi sur le secteur privé
La Loi 25 prévoit plusieurs modifications à la Loi sur le secteur privé, dont l’article 18.4 en matière de transactions commerciales. Cet article prévoit une exception à la communication de renseignements personnels et à l’obtention du consentement de la personne concernée dans le cadre d’une transaction commerciale, pourvu que les conditions y étant énoncées soient évidemment respectées. L’article 18.4, alinéa 1 est entré en vigueur en septembre 2022 et indique notamment :
« D’abord, la transaction en question doit constituer une “transaction commerciale” conformément à l’article.
- Ensuite, la communication des renseignements doit être qualifiée de “nécessaire” pour la conclusion de la transaction.
- Enfin, les parties à la transaction doivent préalablement conclure une entente imposant les quatre conditions énumérées à l’alinéa 2 de l’article 18.4 pour la partie qui reçoit les données. »
La définition d’une transaction commerciale
La « transaction commerciale » a une définition différente dans les lois sur la protection des renseignements, selon les juridictions. Sa définition dans le projet de loi était plus restrictive que celle du fédéral et des autres provinces. Elle a donc été élargie afin d’inclure « l’aliénation ou [de] la location de tout ou partie d’une entreprise ou des actifs dont elle dispose, [d’] une modification de sa structure juridique par fusion ou autrement, [de] l’obtention d’un prêt ou de toute autre forme de financement par celle-ci ou [d’] une sûreté prise pour garantir une de ses obligations » (nos modifications).
La notion de nécessité
Selon le Dictionnaire de droit québécois et canadien d’Hubert Reid, la notion de nécessité « se dit d’une condition, d’un moyen que la loi impose pour la validité d’un acte » et fait donc référence à ce qui est « indispensable, dont on ne peut se passer ».
Dans le cadre des transactions commerciales, les renseignements personnels qui sont nécessaires varient selon la nature et les circonstances entourant la transaction en cause. On peut alors penser aux informations qui sont nécessaires pour permettre de mener à bien une vérification diligente, ou encore, pour permettre les représentations et les garanties faites par un vendeur, à titre d’exemple.
La notion de « mesures nécessaires »
Afin que l’entente conclue entre les parties soit valide selon l’article 18.4, elle doit prévoir, comme une des conditions d’application, que la partie qui recevra les renseignements personnels prenne « les mesures nécessaires pour assurer la protection du caractère confidentiel du renseignement ».
Les politiques et les pratiques visant à assurer la protection de ces renseignements doivent « être proportionnées à la nature et à l’importance des activités de l’entreprise ». Différents exemples de mesures de protection existent alors selon l’étape du cycle de vie d’un renseignement personnel.
La destruction des renseignements personnels
Selon la nouvelle version de la Loi sur le secteur privé, un renseignement personnel doit être détruit par la personne qui l’a reçu dès qu’une transaction commerciale n’est pas conclue ou si son utilisation n’est plus nécessaire aux fins de la conclusion de la transaction commerciale. Or, cette loi est silencieuse quant à la façon de procéder. Les autres lois en matière de protection de renseignements personnels ou bien les normes ISO sont alors d’excellentes sources d’inspiration.
Selon nous, il est nécessaire de s’assurer que les informations soient bien organisées et cataloguées de manière à permettre leur identification et leur destruction. Les normes de destruction peuvent varier en fonction de la sensibilité des informations et de la manière dont elles sont stockées. Des registres doivent être mis en place pour aider l’entreprise à identifier les informations en sa possession et à enregistrer leur destruction.
Selon la Commission d’accès à l’information du Québec, pour les documents en format papier contenant des données personnelles, la méthode de destruction appropriée est le déchiquetage et l’incinération. Quant au Commissaire à l’information et à la protection de la vie privée de l’Ontario, si les documents sont sur un média numérique, ils doivent faire l’objet d’un formatage, d’une réécriture et d’une suppression électronique sécurisée, aussi connu sous le nom de déchiquetage numérique. Enfin, l’élimination des documents doit inclure une preuve de destruction.
Les obligations à la suite de la conclusion de la transaction
Dans la nouvelle version de la Loi sur le secteur privé, le législateur indique les obligations à suivre lorsque la transaction commerciale est conclue. Une des obligations est d’aviser la personne concernée dans un délai raisonnable que la partie détient des renseignements personnels la concernant en raison de la transaction. Il importe alors de déterminer ce que signifie un délai raisonnable.
Encore une fois, la Loi sur le secteur privé n’indique pas quel est le délai approprié pour informer la personne concernée à la suite d’une transaction.
Nous croyons donc qu’il est possible de s’inspirer d’autres dispositions de la même loi. À l’article 32, un autre article modifié par l’entremise de la Loi 25, il est indiqué qu’une personne qui fait une demande d’accès ou de rectification doit recevoir une réponse au plus tard dans les 30 jours de la date de réception de la demande. Par analogie, nous pouvons penser que si un délai de 30 jours est raisonnable pour recevoir une réponse à une demande d’accès à l’information, ce même délai serait également raisonnable pour informer les personnes concernées à la suite d’une transaction commerciale.
Conclusion
L’entrée en vigueur de la Loi 25 en matière de protection de renseignements personnels apporte non seulement une plus grande protection pour la population québécoise, mais aussi beaucoup de nouvelles obligations pour les entreprises. Ces dernières, ayant une grande incitative à bien protéger les renseignements personnels de leurs clients et de leurs employés, devront alors rapidement se conformer et adapter leurs pratiques actuelles afin d’assurer une plus grande protection des données personnelles qu’ils auront en leur possession ou qu’ils traiteront.
En matière de transactions commerciales, toutefois, la Loi 25 amène un système d’exceptions qui fera le bonheur des professionnels du droit et des entreprises.
Par Guillaume Lapierre, avocat, Associé, Therrien Couture Joli-Cœur s.e.n.c.r.l., Guillaume.Lapierre@groupetcj.ca
et Mélissa Pelletier, avocate, Associée, Directrice – Groupe de droit des affaires, Therrien Couture Joli-Cœur s.e.n.c.r.l., Melissa.Pelletier@groupetcj.ca
Les auteurs tiennent à remercier Mme Heting Xu, stagiaire en droit au cabinet, pour sa contribution à la recherche et à la rédaction du présent article.
Ce texte a été publié initialement dans le magazine Stratège de l’APFF, vol. 28, no 2 (Été 2023).