Fermer X

En vous inscrivant à notre infolettre vous acceptez de recevoir périodiquement des courriels de la part de Dubé Latreille Avocats Inc.

Merci! Nous avons bien reçu votre courriel.

Désolé, une erreur s'est produite. Merci de réessayer plus tard.

Droit à la Vie Privée - Loi 25

Droit à la vie privée - Icône
Piratage informatique
Incident de confidentialité
Responsabilité des données
Responsable des renseignements personnels
Plan d’urgence / vol de données
Faille de sécurité
Vol de données
Loi 25
Protection des données
Intrusion informatique
Équipe d’intervention cyber
Stratégie de gestion de risques

Ces dernières années, l'omniprésence des ordinateurs et d'Internet a entraîné ce que l'on appelle désormais « l'ère numérique ». Celle-ci se distingue par une interconnectivité et une interopérabilité sans précédent entre les individus, les machines et les réseaux à travers le monde.

Dubé Latreille Avocats Logo

L'un des aspects les plus remarquables de cette révolution technologique est la capacité de convertir tout type d'informations (mots, images, sons, etc.) en une forme standard, c'est-à-dire en « données » ou « data », et de pouvoir les communiquer sur Internet avec des tiers où qu’ils soient presque instantanément.

En l'espace de 2-3 décennies, cette révolution a complètement bouleversé notre société, en particulier la façon dont nous interagissons, communiquons et menons des affaires. C'est pourquoi une grande majorité d'entreprises ont développé une dépendance aux systèmes d'information connectés à Internet pour gérer leurs opérations. Cette dépendance devrait s’accentuer considérablement avec l'émergence de l’intelligence artificielle, l'automatisation (industrie 4.0), le développement de l’Internet des objets (IoT) et le déploiement de la technologie 5G.

Bien que ces innovations technologiques offrent des avantages significatifs à leurs utilisateurs, elles soulèvent également d'importantes questions relatives à la cybersécurité, la confidentialité et la vie privée qui sont lourdes de conséquences.

Chez DUBÉ LATREILLE, notre mission est de guider nos clients dans cet univers complexe afin que leurs entreprises bénéficient des progrès technologiques tout en minimisant leurs risques.  

Qu'est-ce que le droit à la vie privée?

La vie privée peut être définie comme le droit d'un individu de ne pas partager ou divulguer certaines informations personnelles, ou le droit de les garder anonymes ou confidentielles. Parce que ce droit est un principe important d'une société démocratique, il est notamment reconnu à l'article 5 de la Charte des droits et libertés de la personne du Québec.

Pourtant, quotidiennement, les gens sont régulièrement appelés à révéler d’une façon ou d’une autre une partie de leur vie privée. En effet, dans le cours normal de leurs activités, les organisations recueillent, utilisent et divulguent systématiquement des renseignements personnels ou « RP » (comme le numéro d'assurance sociale, l'adresse, le numéro de téléphone, la date de naissance, les revenus, le numéro d'assurance-maladie, etc.) concernant leurs employés, clients, partenaires, etc. Naturellement, si les individus acceptent ou sont obligés de divulguer leurs RP afin d'obtenir un service, ils sont en droit de s’attendre que ceux-ci soient utilisées à des fins légitimes et raisonnablement protégés, à défaut de quoi leur utilisation illégale ou non-autorisée pourrait s’avérer très préjudiciable pour les personnes concernées (violation de la vie privée, atteinte à la réputation, fraude, usurpation d'identité, etc.).

Pourquoi se soucier du droit à la vie privée en entreprise?

La confidentialité et la protection des renseignements personnels sont devenues des préoccupations grandissantes au sein de la population. En effet, les gens s'intéressent de plus en plus aux politiques de confidentialité et à la réputation des entreprises avant de faire des affaires avec elles ou de leur confier leur RP. Cette méfiance est imputable aux abus fréquents entourant la collecte et la protection des renseignements personnels par les organisations au fil des ans, ce qui a contribué dans une large mesure à la compromission de millions de comptes d'utilisateurs contenant des RP.

Devant cette complaisance généralisée à l’égard de la sécurité des RP, diverses juridictions ont exprimé la volonté d'adopter des lois plus restrictives et contraignantes à l’égard des organisations afin de mieux protéger les RP. L’adoption du Règlement général sur la protection des données (ou « RGPD ») en Europe et du Consumer Privacy Act (ou «CCPA») en Californie sont des exemples éloquents de cette tendance. Pour sa part, le gouvernement fédéral au Canada a déposé le projet de loi C-27 (Loi édictant la Loi sur la protection de la vie privée des consommateurs et la Loi sur le Tribunal de la protection des renseignements personnels et des données et apportant des modifications connexes et corrélatives à d'autres lois).

De son côté, le gouvernement du Québec a élaboré un ambitieux projet de loi, la Loi modernisant les dispositions législatives concernant la protection des renseignements personnels (PL-64), laquelle est entrée en vigueur suivant son adoption par l’Assemblée Nationale le 21 septembre 2021. Cette nouvelle législation signale de grands changements pour la communauté d’affaires du Québec car elle comporte de nouvelles obligations pour les organisations dont les suivantes : celle de désigner une personne responsable de la gestion des RP, d'établir des règles de gouvernance relatives aux RP, de divulguer les incidents de confidentialité et d'obtenir un consentement libre et éclairé avant de collecter les RP. Elle prévoit également de nouveaux droits pour les individus dont le droit à l'information, au retrait du consentement, à la rectification, et à l'effacement des archives de l'entreprise. Inévitablement, la mise en application de cette loi ne manquera pas d’entraîner une petite révolution dans la gestion des RP d’autant plus que son non-respect exposera les entreprises à amendes sévères.

Compte tenu du temps et des ressources qui seront nécessaires pour se conformer aux exigences de la loi 25 (et considérant les effets bénéfiques qu’elle sous-tend en matière de contrôle des données et de gestion de risque), il est dans l'intérêt des entreprises québécoises de revoir leurs priorités en conséquence afin d’éviter de procéder à des investissements coûteux qui pourraient s’avérer non-conformes.

Quels sont les risques inhérents aux renseignements personnels?

La plupart des organisations collectent pour divers motifs des RP dans le cours normal de leurs affaires, que ce soit pour les RH, les services, le marketing, la santé, les finances, les contrats, etc. En tant que telles, ces organisations sont tout autant exposées aux cybermenaces que celles qui n’en gèrent pas. Cependant, en cas de cyber incident impliquant la compromission des RP, les questions relatives à la vie privée et à la confidentialité peuvent considérablement augmenter le risque d’une entreprise à l’égard de ses opérations, sa réputation, sa responsabilité et/ou sa conformité.

Du point de vue du droit à la vie privée, les risques sous-jacents à un incident de confidentialité impliquant des RP peuvent être détaillés comme suit :

  1. Risque opérationnel : La compromission de RP peut obliger une organisation à interrompre partiellement ou complètement ses opérations pendant un certain temps afin de déterminer la source/cause d’un incident de confidentialité, d'isoler et d'éradiquer la menace, et de déterminer quels RP ont été compromis afin de prendre les mesures de contingence appropriées. Le temps d'arrêt qui s'ensuit peut s’avérer très coûteux et même fatal pour une organisation compte tenu de l'impact négatif que ceci entraînera sur le moral, la performance et l’image de l'entreprise.
  2. Risque de poursuites : Un incident de sécurité impliquant des RP exposera immanquablement l'organisation à des poursuites judiciaires, notamment des recours collectifs, pour les dommages subis par les victimes (utilisateurs, clients, employés, partenaires commerciaux, actionnaires, etc.). Plus le nombre de victimes est important, plus le risque potentiel sera important.
  3. Risque réputationnel : La compromission des RP peut s’avérer très préjudiciable à l'image et à la réputation d'une organisation surtout si l’aspect relations publiques est négligé et/ou s’il s’avère qu’elle a été négligente dans la protection des RP. Les conséquences peuvent se traduire par un déclin des commandes car cela ne manquera d’affecter la confiance des clients, des employés, des partenaires commerciaux, des fournisseurs d'assurance et, nécessairement, la valeur même de l'organisation.
  4. Risque de non-conformité : Les organisations ont le devoir de se conformer aux exigences de la loi. Bien que les lois québécoises relatives à la protection de la vie privée aient été jusqu'à présent plutôt permissives à l’égard des entités qui négligeaient la protection des RP, le projet de loi-64 ne manquera pas d’apporter des changements de comportement significatifs au sein des entreprises à l’égard de la gestion des RP tout en prévoyant de sévères amendes pour les contrevenants. En conséquence, le devoir de conformité deviendra désormais un enjeu important à considérer dans l’analyse de risque que devront faire les entreprises en matière de gestion des RP.

Capsules loi 25

Consentement et transparence

Il resort clairement de la loi la volonté du législateur d'obliger les entreprises à être plus transparentes dans la collecte des renseignements personnels.

Ainsi, lors de la collecte, l'entreprise deva indiquer notamment à la personne concernée : les fins de la collecte, les moyens utilisés, les droits d'accès et de rectification prévus par la loi, le droit de la personne de retirer son consentement à l'utilisation ou la communication de ses renseignements personnels.

Également, l'entreprise deva recueillir de ses clients, usagers ou bénéficiaires un consentement manifeste, libre, éclairé quant à l'utilisation des renseignements personnels collectés et ce consentement doit être donné à des fins spécifiques.

Pour en savoir plus sur l'exécution des différentes obligations de la Loi 25, communiquer avec nous au info@dubelatreille.ca et surveillez nos futures chroniques!

Impartition

La communication de renseignements personnels à un fournisseur de services doit faire l'objet d'une entente écrite entre l'entreprise communicate et ledit fournisseur. Puisque l'entreprise qui communique des renseignements personnels à un fournisseur de service dans le cadre de l'exercice d'un mandat ou de l'exécution d'une prestation de services demure responsable desdits renseignements, elle doit s'assurer que:

  • Le fournisseur a pris des mesures propres à assure la protection des renseignements communiqués;
  • Le fournisseur utilisera les renseignements que dans le strict cadre du mandat;
  • Le fournisseur deva aviser l'entreprise en cas de tentative de violation ou de violation de la confidentialité des renseignements.

Pour en savoir plus sur l'exécution des différentes obligations de la Loi 25, communiquer avec nous au info@dubelatreille.ca et surveillez nos futures chroniques!

Politiques et pratiques encadrant la gouvernance à l'égard des renseignements personnels

Cette nouvelle obligation va contraindre de nombreuses entreprises à analyser et trier les renseignements personnels collectés au sein de leur structure pour redéfinir leur pratique en la matière. La loi ne se contente pas d'imposer cette obligation, mais elle définit également le contenu minimal.

Ainsi, ces politiques et pratiques devront prévoir:

  • L'encadrement applicable à la conservation et à la destruction des renseignements collectés:
  • Les rôles et les responsabilités des membres du personnel tout au long du cycle de vie de ces renseignements;
  • Un processus de traitement des plaintes.

Pour en savoir plus sur l'exécution des différentes obligations de la Loi 25, communiquer avec nous au info@dubelatreille.ca et surveillez nos futures chroniques!

Politique de confidentialité

Parmi les nombreuses nouvelles obligations de la loi 25, établir une politique de confidentialité est essentielle pour rassurer et établir un lien de confiance avec les citoyens quant au respect de leur vie privée et de la confidentialité de leurs renseignements personnels.

Il s'agit notamment d'expliquer en termes clairs et simples comment sont collectés et traits les renseignements personnel transmis.

Vous devez donc:

  • Mettre en place une politique de
    confidentialité pour vote site Web dès lors
    que vous procédez à une collecte de
    renseignements personnels par un moyen
    technologique;
  • Publier cette politique de confidentialité sur
    vote site Web.

Pour en savoir plus sur l'exécution des différentes obligations de la Loi 25, communiquer avec nous au info@dubelatreille.ca et surveillez nos futures chroniques!

Les partis politiques

En ce lendemain d'élections provinciales, divers partis politiques ont fait les manchettes que ce soit en raison de leurs promesses électorales ou pour leur performance le soir du scrutin. Suivant l'entrée en vigueur de la Loi sur la protection des renseignements personnels dans le secteur privé en septembre dernier, ces mêmes partis peuvent-ils se voir opposer cette Loi? En fait, plusieurs seront surpris d'apprendre qu’un référent explicite aux partis politiques ne sera inscrit dans la Loi qu'en septembre 2023. D'ici là, rien dans la présente formulation n'inclut les partis politiques.

Pour en savoir plus sur les diverses exceptions applicables au sein de la nouvelle Loi 25, communiquer avec nous au info@dubelatreille.ca et surveillez nos futures chroniques!

La communication de renseignement à des fins de recherche - une exception au consentement

Suivant les modifications de l'article 21 et les nouveaux 21.0.1 et 21.0.2 de la Loi sur la protection des renseignements personnels dans le secteur privé, la Commission d'Accès à l'information (CAl) n'a plus un rôle actif à jouer en matière de communication à des fins de recherche. Chacune des parties impliquées partie divulgatrice et partie requérante - devra se conformer aux conditions prévues par la loi. La CAl sera désormais seulement informée de l'entente entre les parties.

Pour tous les critères applicables en la matière, nous vous encourageons fortement à communiquer avec nous au info@dubelatreille.ca et à surveillez nos futures chroniques!

Comment transmettre les renseignements personnels en ma possession lorsque je vends mon entreprise ou mon fonds de commerce?

Parmi les dispositions de la nouvelle Loi sur la protection des renseignements personnels dans le secteur privé, l'article 18.4 encadre justement la transmission des renseignements personnels au sein dune transaction commerciale. Il se trouve que le consentement des personnes concernées par les renseignements en question n'est pas nécessaire, mais certaines conditions rigoureuses doivent ètre respectées. Notamment, les renseignements ne doivent servir aucun autre but que celui de la transaction.

Pour en savoir plus sur les implications d'une telle transaction communiquer avec nous au info@dubelatreille.ca.

Avez-vous nommé votre Responsable de la Protection des Renseignements Personnels (RPRP)?

Vous avez jusqu'au 22 septembre 2022. Votre RPRP devra veiller à assurer le respect, la mise en œuvre de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. Vous devez publier son titre et coordonnées sur le site internet de vote entreprise.

Notre équipe peut vous aider à l'égard de la Loi 25 n'hésitez pas à communiquer avec nous au info@dubelatreille.ca.

Que faire si un incident de confidentialité impliquant un renseignement personnel (RP) se produit au sein de vote entreprise?

L'article 3.5 de la nouvelle Loi sur la protection des renseignements personnels dans le secteur privé qui entre en vigueur la semaine prochaine précise les obligations que doit prendre une entreprise confrontée à un incident de confidentialité, d'une part en termes de mitigation des risques et de prévention et d'autre part en termes de notification de l'incident à la Commission d'Accès à l'Information et aux personnes concernées.

Si vous avez des questions concernant cette obligation ou les changements qui seront requis au sein de votre entreprise pour vous conformer à la Loi 25, veuillez communiquer avec nous au info@dubelatreille.ca.

Champs de pratique - Droit à la vie privée

Afin d’aider nos clients corporatifs à faire face aux enjeux juridiques que soulève le droit à la vie privée, incluant notamment la Loi 25, DUBÉ LATREILLE propose les services suivants :

Notre Infolettre

Joignez-vous à notre infolettre et demeurez à l'affût de nos nouvelles, nos événements et nos chroniques.

Je désire m'inscrire