L’année 2021 passera à l’histoire comme l’année de la transformation numérique. La pandémie actuelle de Covid-19 a mené à des niveaux sans précédent d’innovations technologiques et de numérisation, modifiant complètement notre façon de vivre et de travailler. 

Avec la numérisation croissante, la quantité de données capturées a également augmenté de façon exponentielle et devrait enregistrer un taux de croissance annuel de 18 % entre 2021 et 2025.

De ce fait, les entreprises sont de plus en plus sensibilisées à l’utilisation des données personnelles. En réponse à cette préoccupation, les législateurs québécois ont adopté le projet de loi no 64 visant à moderniser divers aspects de la législation québécoise en matière de protection des renseignements personnels.

Le paysage législatif québécois en matière de protection des données est sur le point de connaître une transformation majeure, qui aura une incidence sur toutes les entreprises qui interagissent avec des clients basés au Québec (quel que soit leur lieu de résidence). C’est pourquoi il est essentiel que les entreprises comprennent les changements fondamentaux introduits par le projet de loi no 64, les sanctions qui y sont associées et les principales exigences pour s’y conformer.

Qu’est-ce que le projet de loi no 64?
Le projet de loi no 64, officiellement connu sous le nom de Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, propose des exigences plus strictes en matière de protection des renseignements personnels, y compris des exigences accrues en matière de protection, de transparence et de consentement pour les entreprises québécoises. 

Le projet de loi a été adopté le 21 septembre 2021 à l’Assemblée nationale du Québec, soit quatorze mois après sa présentation initiale. Cela signifie que le projet de loi a été officiellement adopté et qu’il est prêt à devenir une loi. 

Le projet de loi met à jour et modernise le cadre juridique existant relatif aux droits des personnes en matière d’accès à l’information et de protection des renseignements personnels et harmonise également les lois québécoises avec celles d’autres juridictions. En fait, bon nombre des modifications proposées dans le projet de loi no 64 ont été influencées par d’autres lois mondiales sur la protection des renseignements personnels, comme le Règlement général sur la protection des données (RGPD) de l’Union européenne.

Avec l’arrivée de 2022, les organisations qui font des affaires au Québec ont entamé une course contre la montre afin de comprendre les exigences introduites par le projet de loi no 64 et de les mettre en œuvre. 

Plan de déploiement et exigences clés pour demeurer conforme

Le projet de loi no 64 apporte des changements radicaux aux lois québécoises sur la protection des renseignements personnels dans le secteur privé et le secteur public. 

Bien que le projet de loi ait été officiellement adopté, il sera progressivement mis en œuvre au cours des trois prochaines années. La première série de dispositions entre en vigueur 12 mois après la date de la sanction.

Le projet de loi sera appliqué par la Commission d’accès à l’information (CAI) du Québec.

Voici un aperçu des trois phases.

Phase 1/Année 1 (2022)
Les dispositions qui entreront en vigueur après un an comprennent :

Les organisations doivent désigner un responsable de la protection des renseignements personnels qui sera chargé de la conformité.

Les organisations sont tenues d’informer la Commission (CAI) en cas de violation des données. Les personnes touchées par toute utilisation non autorisée de renseignements personnels doivent également être informées.

Année 2 (2023)
Les dispositions qui entreront en vigueur après deux ans comprennent :

L’obligation pour chaque organisation d’établir et de mettre en œuvre des politiques et des pratiques concernant la gouvernance des données.

Les organisations doivent effectuer des évaluations des facteurs relatifs à la vie privée (ÉFVP) pour les opérations de traitement qui nécessitent la collecte, la divulgation, l’utilisation ou la destruction de données personnelles.

Le droit pour les personnes de demander aux organisations de cesser de diffuser leurs renseignements personnels et de désindexer tout hyperlien associé à leur nom.

L’obligation pour les organisations de détruire les renseignements personnels une fois que l’objectif pour lequel ils ont été recueillis est atteint.

Les organisations qui transfèrent des données à des tiers doivent conclure un accord écrit avec ces derniers. L’autre partie doit fournir une description des mesures prises pour préserver la confidentialité des données.

Les organisations doivent obtenir un consentement explicite pour utiliser les renseignements de nature délicate des clients à des fins secondaires.

Lors de la collecte de données personnelles, les organisations doivent fournir les renseignements suivants :

  • L’objectif de la collecte;
  • Les méthodes utilisées pour la collecte;
  • Les droits d’accès et de rectification;
  • Le droit de retirer le consentement;
  • Les organisations doivent rédiger ces changements dans un langage clair et simple et les documenter.

Année 3 (2024)
Les exigences suivantes entreront en vigueur dans trois ans :

Portabilité des données — Une personne peut demander que les renseignements personnels recueillis à son sujet lui soient communiqués ou soient communiqués à une autre organisation dans un format déterminé.

Traitement automatisé — Obligation pour les organisations d’informer les personnes lorsque leurs renseignements personnels sont utilisés pour prendre des décisions fondées sur le traitement automatisé de ces renseignements. À la demande de la personne, les organisations doivent lui indiquer les données précises utilisées et les principaux facteurs qui ont conduit à ces décisions.

Source de l’information — Si une personne le demande, les organisations doivent fournir la source utilisée pour obtenir ses données.

Sanctions pour non-conformité

La CAI du Québec aura le pouvoir d’imposer des sanctions pour les raisons suivantes :

  • Le non-respect de l’obligation de signaler une violation de données;
  • Le non-respect de la protection des renseignements personnels;
  • La collecte, l’utilisation ou la diffusion illicites de renseignements;
  • Le non-respect de l’obligation d’informer les personnes.

Les amendes maximales sont de 50 000 $ CA pour les particuliers et de 10 000 000 $ CA pour les entreprises, ou de 2 % du chiffre d’affaires à l’échelle mondiale pour l’année précédente, le montant le plus élevé étant retenu. 

Selon la nature du délit, la CAI aura le pouvoir d’engager des poursuites pénales avec une amende maximale de 10 000 $ CA pour les personnes physiques et de 25 000 000 $ CA ou 4 % du chiffre d’affaires à l’échelle mondiale pour les sociétés.

En cas de récidive, les sanctions seront doublées. 

Le projet de loi no 64 prévoit également un droit d’action pour les citoyens qui ont subi des dommages en raison d’une atteinte à la vie privée. Dans de tels cas, le tribunal pourra accorder des dommages et intérêts pour un montant minimum de 1000 $ CA par personne. 

Pourquoi la loi no 64 est-elle importante?
Le projet de loi représente un changement d’étape pour la façon dont les entreprises du Québec vont collecter et gérer les données personnelles. Inspiré par le RGPD de l’Union européenne, le projet de loi propose une protection maximale des données en introduisant de nouvelles normes en matière de droit à la protection des renseignements personnels et en établissant des normes qui dépasseront bientôt les frontières de la province. 

Voici quelques-unes des dispositions qui auront probablement une forte incidence sur les entreprises opérant au Québec et au-delà des frontières :

De lourdes sanctions en cas de non-conformité.

Des exigences plus strictes en matière de protection des renseignements personnels. Cela comprend, entre autres, des ÉFVP obligatoires, une évaluation pour la communication de données personnelles au-delà du Québec, et un consentement écrit pour transférer les données d’une personne à des fournisseurs de services ou à des tiers.

Que vous soyez au Québec ou non, ce projet de loi vous touchera d’une façon ou d’une autre. N’oubliez pas que les entreprises qui traitent des renseignements privés fournis par des organisations québécoises doivent s’assurer que leurs pratiques sont conformes au projet de loi no 64. 

Votre entreprise est-elle prête pour ces nouveaux changements?
Pour demeurer pertinent et compétitif et pour éviter les pénalités, vous devrez commencer à vous préparer rapidement à ces nouveaux changements. Cela dit, voici quelques mesures que vous pouvez prendre avant qu’il ne soit trop tard.

1. Tout d’abord, essayez de trouver des gains rapides.
Par exemple, si le marketing par courriel et l’automatisation du marketing sont des canaux importants pour votre entreprise, envisagez la plateforme d’engagement client de Symplify. Notre solution a été conçue en tenant compte de la confidentialité des données. Nous sommes déjà conformes au RGPD et notre plateforme satisfait aux exigences du projet de loi no 64.

2. Ensuite, préparez-vous dès maintenant! 
Travaillez avec vos équipes de sécurité, votre comité de protection des renseignements personnels, votre équipe de conformité ou la personne chargée de la protection des renseignements personnels au sein de votre organisation afin d’élaborer des politiques qui garantiront une conformité totale avec les exigences ci-dessus. 

3. Enfin, restez connecté avec Symplify.  
Nos experts basés au Québec continueront à vous informer des pratiques exemplaires et à vous donner des conseils pour vous aider à faciliter la transition avec le projet de loi no 64. 

Vos acteurs clés doivent comprendre le contexte du projet de loi no 64, son incidence sur votre entreprise et les sanctions prévues en cas de non-conformité. Bien que le projet de loi dans son état actuel puisse encore être modifié, le fait de vous préparer à ce projet de loi dès maintenant peut vous éviter de nombreux problèmes par la suite.

loi64