Impacts du nouveau régime de protection des renseignements personnels sur les entreprises privées, incluant les cliniques privées d’ergothérapie

Le 21 septembre 2021, l’Assemblée nationale a adopté le projet de loi 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (maintenant la Loi 25). Cette loi modifie une vingtaine de lois ayant trait à la protection des renseignements personnels, dont notamment la Loi sur l’accès aux documents des organismes publics, la Loi sur la protection des renseignements personnels dans le secteur privé (Loi sur le secteur privé) et la Loi sur le cadre juridique des technologies de l’information.

 Les modifications apportées par la Loi 25 visent essentiellement à : 

• donner un meilleur contrôle aux individus sur leurs renseignements personnels;
• favoriser la protection des renseignements personnels;
• responsabiliser davantage les entreprises;
• introduire de nouveaux mécanismes visant à assurer le respect des règles en matière de protection des renseignements personnels.
  
  

Bien que les changements apportés par la Loi 25 touchent à la fois les organismes publics et les entreprises privées, nous présenterons ci-dessous un survol des principales dispositions applicables aux entreprises privées visées par la Loi sur le secteur privé, ce qui inclut les cliniques privées offrant des services d’ergothérapie. Les ergothérapeutes œuvrant dans des organismes publics seront pour leur part informés des changements qui les concernent par leur employeur.

Afin de permettre aux organismes et entreprises de se conformer à leurs nouvelles obligations, le législateur a choisi d’étaler l’entrée en vigueur des diverses dispositions de la Loi 25 en trois phases distinctes, à savoir une première phase le 22 septembre 2022, une seconde phase le 22 septembre 2023 et une troisième et dernière phase le 22 septembre 2024. Nous présenterons ci-après un aperçu des changements entrant en vigueur à chacune de ces dates.

Aperçu des changements entrants en vigueur le 22 septembre 2022  

• Responsable de la protection des renseignements personnels
  • Chaque entreprise devra obligatoirement avoir un responsable de la protection des renseignements personnels qui devra assurer le respect de la Loi sur le secteur privé au sein de l’entreprise. Par défaut, la loi indique que cette fonction sera assumée par la personne ayant la plus haute autorité au sein de l’entreprise. Il est toutefois possible de déléguer cette fonction à une autre personne.
  • Le titre et les coordonnées du responsable de la protection des renseignements personnels devront être accessibles au public, sur un site Internet ou par tout autre moyen approprié. 
    
    
•  Incident de confidentialité impliquant des renseignements personnels
  • Une personne qui exploite une entreprise et qui a des motifs de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel qu’elle détient devra prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent.
  • Si l’incident présente un risque qu’un préjudice sérieux soit causé, elle devra, avec diligence, aviser la Commission d’accès à l’information (CAI) ainsi que la personne concernée.
  • Elle devra de plus consigner l’incident dans un registre tenu à cette fin et dont copie devra être transmise à la CAI, sur demande.
    
    

Aperçu des changements entrants en vigueur le 22 septembre 2023

C’est le 22 septembre 2023 qu’entreront en vigueur la majorité des dispositions de la Loi 25. Bien que cela puisse paraître loin, l’Ordre invite fortement ses membres à consulter dès aujourd’hui le site de la Commission d’accès à l’information afin de connaître l’ensemble des mesures qui deviendront alors applicables puisque la mise en œuvre de certaines d’entre elles pourrait nécessiter d’importants travaux qui devront débuter dès maintenant.

À titre d’exemple, d’ici le 22 septembre 2023, les entreprises devront notamment :

• Établir, mettre en œuvre et publier des politiques et des pratiques encadrant leur gouvernance à l’égard des renseignements personnels (politique de confidentialité, processus de traitement des plaintes, destruction des renseignements personnels, formation du personnel, etc.).
• S’assurer de respecter les nouvelles règles encadrant le consentement des personnes à la collecte, à la communication ou à l’utilisation de leurs renseignements personnels.
• Procéder à une évaluation des facteurs relatifs à la vie privée (EFVP) pour tout projet visant l’acquisition, le développement ou la refonte de systèmes d’information ou la prestation électronique de services impliquant des renseignements personnels, ou encore lorsque la communication des renseignements personnels à l’extérieur du Québec est envisagée (voir le Guide d’accompagnement publié par la CAI).
• S’assurer de détruire les renseignements personnels détenus par l’entreprise lorsque les fins pour lesquelles ils ont été recueillis ou utilisés sont accomplies (sous réserve de l’obligation de conserver vos dossiers professionnels pendant au moins 5 ans) – ou envisager l’anonymisation.
  
  

Par ailleurs, certaines dispositions viendront impacter le travail des ergothérapeutes, dont notamment le nouvel article 4.1 de la Loi sur le secteur privé qui prévoit que les renseignements personnels concernant un mineur de moins de 14 ans ne pourront plus être recueillis auprès de celui-ci sans le consentement du titulaire de l’autorité parentale ou du tuteur, sauf lorsque cette collecte sera manifestement au bénéfice de ce mineur. Les ergothérapeutes devront donc s’assurer de respecter cette nouvelle disposition.

Aperçu des changements entrants en vigueur le 22 septembre 2024

Le droit à la portabilité sera la toute dernière disposition à entrer en vigueur, en septembre 2024.

Ainsi, à compter de cette date, la personne concernée (client ou employé de l’entreprise) aura le droit d’obtenir, dans un format technologique structuré et couramment utilisé, un renseignement personnel informatisé recueilli auprès d’elle et détenu par l’entreprise. Les entreprises devront donc s’assurer que leurs bases de données permettent de se conformer à cette nouvelle exigence.

Sanctions en cas de non-respect de la loi

Toute entreprise qui fait défaut de respecter les dispositions applicables en matière de protection des renseignements personnels s’expose à de sévères sanctions pécuniaires et pénales ainsi qu’à une poursuite de la part de la personne lésée.

Pour en savoir plus

Le présent texte présente un aperçu des changements apportés au régime de protection des renseignements personnels par la Loi 25. Pour connaître l’ensemble des changements ainsi apportés et les mesures à prendre afin de vous y confirmer, nous vous invitons à consulter :

• le site web Espace évolutif – Projet de loi 64 de la Commission à l’accès à l’information
• le Guide de conformité pour les entreprises publié par Borden Ladner Gervais LLP.
  
  

Projet de loi 19 concernant les renseignements de la santé et des services sociaux

Le 3 décembre 2021, le gouvernement du Québec a déposé le projet de loi 19, Loi sur les renseignements de santé et de services sociaux et modifiant diverses dispositions législatives qui vise à établir un nouveau cadre juridique en matière de gestion des renseignements de santé et de services sociaux.

Selon toute vraisemblance, le PL 19 ne sera pas adopté d’ici la fin de la session parlementaire, mais nouveau projet de loi similaire risque de voir le jour plus tôt que tard. Nous vous tiendrons informés de tout développement à cet égard.