La loi 25 du Québec et la protection de la vie privée « dès la conception » : cinq éléments à prendre en compte lors de la configuration de systèmes d’information

La majeure partie des modifications apportées par la « loi 25 » à la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (la « LPRPSP ») prennent effet le 22 septembre 2023. Dans un précédent billet, nous avons analysé les politiques et les pratiques internes que ces modifications nécessitent. Ce billet s’intéresse particulièrement à quatre configurations des systèmes d’information que les entreprises du Québec doivent respecter afin de se conformer à la loi 25. Il faut notamment s’assurer : (i) de désactiver les paramètres de confidentialité par défaut, (ii) de permettre la désactivation facile des paramètres de profilage, (iii) de l’existence d’une inscription exacte des renseignements personnels, et (iv) que les systèmes peuvent détruire et anonymiser les renseignements personnels dont on n’a plus besoin. Ce billet traite également d’une cinquième obligation – souvent négligée, mais de plus en plus pertinente – qui concerne les données biométriques.

Désactiver les paramètres de confidentialité par défaut

À compter de septembre 2023, le nouvel article 9.1 de la LPRPSP obligera les entreprises qui recueillent des renseignements personnels en offrant un produit ou un service technologique à « s’assurer que, par défaut, les paramètres de ce produit ou de ce service assurent le plus haut niveau de confidentialité, sans aucune intervention de la personne concernée ». Cette obligation ne s’applique pas aux témoins utilisés comme indicateurs de connexion. Concrètement, cela signifie que la personne doit activer les fonctions de traçage incluses dans le service ou le produit. Par défaut, l’entreprise qui offre le bien ou le service doit désactiver les fonctions de traçage.

Divulguer le profilage

Conformément au point précédent, les entreprises qui se servent de la technologie aux fins d’identification, de localisation ou de profilage d’une personne devront communiquer, dans leur politique de protection des renseignements personnels, non seulement qu’elles se livrent à une telle activité, mais aussi la façon dont leur technologie de profilage peut être activée (probablement pour que la personne qui ne souhaite pas faire l’objet d’un profilage puisse désactiver la fonction de profilage). L’article 8.1 mentionne clairement que la transparence recherchée s’applique aussi à la surveillance en milieu de travail. Il dispose expressément que le « profilage » « s’entend de la collecte et de l’utilisation de renseignements personnels afin d’évaluer certaines caractéristiques d’une personne physique, notamment à des fins d’analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de cette personne ».

Par conséquent, à compter de septembre 2023, les entreprises devront faire preuve de transparence au sujet de l’ensemble de la technologie qu’elles déploient pour surveiller les personnes, y compris les employés du Québec. Les entreprises devront vraisemblablement veiller à ce que la technologie en question soit configurée afin d’en permettre la désactivation sur demande de la personne concernée.

Savoir où se trouvent les renseignements personnels

Même si le fait de donner suite, dans les trente jours, à la demande d’accès à un renseignement personnel d’une personne, ou de correction de celui-ci, n’est pas nouveau, l’ajout de nouveaux droits individuels (notamment le droit à la mobilité des données et à la désindexation) et l’obligation d’aviser toutes les personnes touchées par un incident de confidentialité obligent les entreprises à savoir où leurs renseignements personnels sont conservés et à savoir qui y a accès. Les systèmes d’information d’une entreprise doivent être pleinement intégrés et configurés afin de permettre : (i) l’accès facile à tous les renseignements personnels nécessaires à l’exécution d’une obligation de divulgation et (ii) la mise à jour et la destruction complètes des renseignements à l’échelle de l’organisation. Bien qu’il ne soit pas obligatoire pour les entreprises du secteur privé, le mappage des données est un outil efficace permettant d’acquérir et de conserver la trace du lieu dans lequel les renseignements personnels sont stockés.

Détruire et anonymiser les données

La capacité de détruire et d’anonymiser les données (notamment les renseignements personnels) dont on n’a plus besoin constitue une quatrième obligation en matière de configuration des systèmes d’information. À compter de septembre 2023, la loi 25 exigera l’anonymisation ou la destruction des renseignements personnels lorsque les fins auxquelles ils ont été recueillis ou utilisés sont accomplies. Même si la question de l’anonymisation est controversée – puisque sur le plan technologique une véritable anonymisation est impossible – et que le verbe « dépersonnalisé » aurait mieux reflété les possibilités et les obligations réelles imposées par la loi, les entreprises doivent dorénavant s’assurer que leurs systèmes d’information sont capables de détruire ou d’« anonymiser » les renseignements personnels dont elles n’ont plus besoin.

Biométrie

Même s’il n’est pas nouveau, ce cinquième point constitue un rappel adressé aux entreprises qui envisagent d’utiliser des renseignements biométriques afin d’identifier et d’authentifier une personne physique. La Loi concernant le cadre juridique des technologies de l'information du Québec oblige l’entreprise qui utilise des renseignements biométriques en vue d’identifier et d’authentifier une personne à obtenir le consentement exprès de la personne après avoir divulgué préalablement sa pratique à la Commission d’accès à l’information (le commissariat à la protection de la vie privée du Québec, la « CAI »). L’entreprise doit également aviser la CAI soixante jours avant la mise en service d’une base de données biométrique. En outre, les directives de la CAI sur l’utilisation de la biométrie au travail énoncent que d’autres moyens de s’identifier doivent être offerts aux personnes. Par conséquent, les employeurs ne peuvent s’en remettre exclusivement à l’identification ou à l’authentification biométrique des employés.

Outre les politiques et les étapes procédurales, les modifications apportées à la LPRPSP qui prendront effet en septembre 2023 nécessitent des rajustements de configuration aux systèmes d’information. Certains de ces changements pourraient être non négligeables. Les entreprises devraient maintenant commencer à s’occuper de ces rajustements, le cas échéant, afin d’éviter l’imposition de sanctions en septembre.

Register now for your free, tailored, daily legal newsfeed service.

La loi 25 du Québec et la protection de la vie privée « dès la conception » : cinq éléments à prendre en compte lors de la configuration de systèmes d’information

Filed under

Popular articles from this firm

Employee termination law in Canada - Quebec *

CSA Defer Launch of SEDAR+: New Target is July 25, 2023 *

Alberta Court Establishes New Tort of Harassment *

Charte de la langue française du Québec: Soyez prêt pour les changements importants affectant les contrats commerciaux, l’utilisation des marques de commerce et les obligations de dépôt auprès du gouvernement *

CBCA Beneficial Ownership Register 2.0: Public Access, Stronger Investigatory Powers and Better Guidance are Coming *

Related practical resources PRO

Related research hubs