Publications

Le Québec a adopté et promulgué le projet de loi no 96 intitulé Loi sur la langue officielle et commune du Québec, le français, qui se veut une réforme majeure de la Charte de la langue française. Voici 10 principales modifications prévues par cette loi qui imposeront des obligations considérables aux entreprises : À compter du 1er juin 2025, les entreprises employant plus de 25 personnes (actuellement, le seuil est de 50 personnes) pendant au moins six mois seront tenues de respecter diverses obligations concernant la « francisation1 ». Les entreprises comptant entre 25 et 99 employés peuvent également se voir contraintes par l’Office québécois de la langue française (l’« OQLF »)2 de former un comité de francisation. De plus, sur demande de l’OQLF, un programme de francisation pourrait devoir être fourni pour examen dans les trois mois. À compter du 1er juin 2025, seules les marques de commerce déposées dans une langue autre que le français (et pour lesquelles aucune version en français n’a été déposée ou enregistrée) seront acceptées à titre d’exception au principe général voulant que les marques de commerce doivent être traduites en français. Les marques de commerce non déposées qui ne sont pas en français devront être accompagnées de leur équivalent en français. Sur les produits ainsi que l’étiquetage et l’emballage de ceux-ci, la règle demeure la même, c’est-à-dire que toute inscription doit être rédigée en français. Le texte en français peut être accompagné d’une ou de plusieurs traductions, mais aucune inscription écrite dans une autre langue ne doit être prédominante par rapport au texte en langue française ni être accessible dans des conditions plus favorables. Toutefois, à compter du 1er juin 2025, les termes génériques ou descriptifs inclus dans une marque de commerce déposée dans une langue autre que le français (pour laquelle aucune version en français n’a été déposée) devront être traduits en français. En outre, à compter du 1er juin 2025, dans l’affichage public visible depuis l’extérieur d’un local, (i) le français devra figurer de façon nettement prédominante (plutôt que d’être suffisamment présent) et (ii) les marques de commerce qui ne sont pas en français (pour lesquelles aucune version en français n’a été déposée) se limiteront aux marques de commerce déposées. Depuis le 1er juin 2022, les entreprises qui offrent au public des biens ou des services doivent respecter le droit du consommateur d’être informé et servi en français. Dans les cas de manquements à cette obligation, les clients auront le droit de déposer une plainte auprès de l’OQLF ou de demander une mesure injonctive, sauf si l’entreprise compte moins de 5 employés. En outre, toute personne morale ou entreprise qui fournit des services à l’Administration sera tenue de fournir ces services en français, y compris lorsque les services sont destinés au public. Depuis le 1er juin 2022, sous réserve de certains critères prévus dans le projet de loi, les employeurs sont tenus de rédiger les documents écrits suivants en français : les contrats individuels de travail3, les communications adressées à un travailleur ou à une association de travailleurs, incluant les communications suivant la fin du lien d’emploi avec un employé. En outre, d’autres documents tels que les formulaires de demande d’emploi, les documents ayant trait aux conditions de travail et les documents de formation doivent être rendus accessibles en français4. Depuis le 1er juin 2022, les employeurs qui souhaitent exiger que les employés aient un certain niveau de compétence dans une langue autre que le français pour pouvoir accéder à un poste doivent faire la preuve que cette exigence est nécessaire à l’accomplissement des tâches liées au poste, qu’il est impossible de procéder autrement au moyen de ressources internes et qu’ils ont déployé des efforts pour restreindre le plus possible le nombre de postes dans leur entreprise nécessitant la connaissance d’une langue autre que le français. À compter du 1er juin 2023, les parties qui souhaitent conclure, dans une autre langue que le français, un contrat de consommation et, sous réserve de diverses exceptions5, un contrat d’adhésion qui n’est pas un contrat de consommation devront avoir reçu une version en français du contrat avant d’y consentir. Dans le cas contraire, une partie peut exiger que le contrat soit annulé sans qu’il soit nécessaire de faire la preuve d’un préjudice. À compter du 1er juin 2023, il sera interdit à l’Administration6  de conclure un contrat ou d’accorder une subvention à une entreprise qui emploie 25 personnes ou plus et qui ne se conforme pas aux obligations suivantes sur l’utilisation de la langue française, soit : obtenir une attestation d’inscription, transmettre à l’OQLF une analyse de la situation linguistique de l’entreprise en temps utile ou obtenir une attestation d’application d’un programme de francisation ou un certificat de francisation, selon le cas. À compter du 1er juin 2023, l’ensemble des contrats et des ententes conclus par l’Administration, de même que tous les écrits transmis à un organisme de l’Administration par une personne morale ou une entreprise pour obtenir un permis, une autorisation, une subvention ou une autre forme d’aide financière devront être rédigés exclusivement en français. À compter du 1er septembre 2022, une traduction en français certifiée devra être jointe aux requêtes et autres actes de procédures rédigés en anglais et émanant d’une entreprise ou d’une personne morale qui est partie à un acte de procédure au Québec, et ce, aux frais de cette dernière. L’application des dispositions imposant cette obligation a cependant été suspendue pour l’instant par la Cour supérieure7. À compter du 1er septembre 2022, les inscriptions au Registre des droits personnels et réels mobiliers et au Bureau de la publicité foncière, notamment les inscriptions de sûretés, d’actes de vente, de baux et de divers autres droits, devront être faites en français. Veuillez noter que les déclarations de copropriété doivent être déposées au Bureau de la publicité foncière en français depuis le 1er juin 2022. Les avocats de Lavery connaissent les lois linguistiques du Québec et peuvent vous aider à comprendre l’incidence de la Loi n° 96 sur votre entreprise, de même que vous indiquer les mesures qu’il convient de prendre face à ces nouvelles obligations. N’hésitez pas à communiquer avec un des membres de l’équipe Lavery nommé dans le présent article pour obtenir de l’aide. Nous vous invitons à consulter les autres articles concernant les modifications apportées à la Charte de la langue française du Québec : Marques de commerce et Charte de la langue française : que vous réserve le projet de loi 96? Modifications de la Charte de la langue française : quelles incidences pour le milieu de l’assurance? La « francisation » désigne un processus établi par la Charte de la langue française pour assurer la généralisation de l’utilisation du français dans les entreprises. L’OQLF est l’organisme de réglementation chargé de faire respecter la Charte de la langue française. L’employé ayant signé un contrat individuel de travail avant le 1er juin 2022 aura jusqu’au 1er juin 2023 pour demander à son employeur de lui fournir une traduction en français si l’employé le souhaite. Si le contrat individuel de travail est un contrat de travail à durée déterminée qui prend fin avant le 1er juin 2024, l’employeur n’a pas l’obligation de le faire traduire en français à la demande de l’employé. Les employeurs auront jusqu’au 1er juin 2023 pour faire traduire en français les formulaires de demande d’emploi, les documents ayant trait aux conditions de travail et les documents de formation si ceux-ci ne sont pas déjà accessibles aux employés en français. Parmi ces exceptions, on trouve les contrats d’emploi, les contrats d’emprunt et les contrats servant dans le cadre de « relations à l’extérieur du Québec ». Il semble y avoir une contradiction dans la loi en ce qui concerne les contrats individuels de travail qui sont des contrats d’adhésion et pour lesquels l’obligation de fournir une traduction française semble néanmoins applicable. L’Administration dans cette loi comprend tout organisme public au sens large du terme. Mitchell c. Québec (Procureur général), 2022 QCCS 2983.

Le Projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, a été adopté le 21 septembre 2021 par l’Assemblée nationale et modifie une vingtaine de lois ayant trait à protection des renseignements personnels, notamment la Loi sur l’accès aux documents des organismes publics (« Loi sur l’accès »), la Loi sur la protection des renseignements personnels dans le secteur privé et la Loi sur le cadre juridique des technologies de l’information. Bien que les changements touchent à la fois les organismes publics et les entreprises privées, le présent bulletin vise plus particulièrement à effectuer un survol des nouvelles exigences pour les organismes publics visés par la Loi sur l’accès. Nous avons préparé une version amendée de la Loi sur l’accès afin de refléter les changements apportés par le projet de loi n 64. 1. Renforcer les mécanismes d’obtention du consentement et accroître le contrôle des individus à l’égard de leurs renseignements personnels Le Projet de loi n° 64 apporte des changements importants à la notion de consentement lors de la divulgation de renseignements personnels à des organismes publics. Le consentement requis par la Loi sur l’accès aux fins de communication des renseignements personnels devra être demandé distinctement de toute autre information communiquée à la personne concernée (art. 53.1). De plus, tout consentement à la collecte de renseignements personnels sensibles (par exemple des renseignements touchant la santé ou ceux de nature financière qui suscitent un haut degré d’attente raisonnable en matière de vie privée) devra être obtenu de manière expresse (art. 59). Il est maintenant prévu que le consentement des mineurs de moins de 14 ans à la collecte de renseignements personnels doit être donné par le titulaire de l’autorité parentale ou le tuteur, alors que celui du mineur de plus de 14 ans pourra être donné par ce dernier, le titulaire de l’autorité parentale ou le tuteur (art. 53.1). Les personnes auront dorénavant le droit d’accéder aux renseignements les concernant recueillis par les organismes publics dans un format technologique structuré et couramment utilisé (le droit à la portabilité) et d’en exiger la communication à un tiers (art. 84). Si une décision fondée exclusivement sur un traitement automatisé de renseignements personnels est prise par un organisme public, la personne concernée doit en être informée. Si la décision produit des effets juridiques ou le touche autrement, l’organisme public devra divulguer à cette personne (i) les renseignements personnels utilisés dans la prise de décision (ii) les raisons et principaux facteurs ayant mené à la décision et (iii) l’existence d’un droit à la rectification des renseignements personnels utilisés dans la prise de décision (art. 65.1).  Les organismes publics qui ont recours à des moyens technologiques permettant d’identifier, de localiser ou d’effectuer un profilage d’une personne doivent maintenant les informer du recours à cette technologie et des moyens offerts pour désactiver ces fonctions (art. 65.0.1). 2. Protéger les renseignements personnels en amont Les organismes publics devront dorénavant réaliser une évaluation des facteurs relatifs à la vie privée pour tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services mettant en cause la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels (article 63.5). Cette obligation forcera ainsi les organismes publics à se questionner dès le début d’un projet sur les risques que celui-ci soulève quant à la protection de la vie privée et des renseignements personnels. Dès le début d’un tel projet, les organismes publics devront consulter leur comité d’accès à l’information, dont la création est dorénavant enchâssée dans la Loi sur l’accès. 3. Favoriser la responsabilisation des organismes publics et la transparence des pratiques Les changements apportés par le Projet de loi n° 64 visent également à accroître la transparence des processus employés par les organismes publics dans la collecte et l'utilisation des renseignements personnels, ainsi qu'à mettre l'accent sur la responsabilité. Lorsque la nouvelle loi sera en vigueur, les organismes publics devront publier sur leurs sites Internet les règles encadrant la gouvernance à l’égard des renseignements personnels (art. 63.3). Ces règles pourront prendre la forme d’une politique, d’une directive ou d’un guide et devront prévoir les diverses responsabilités des membres du personnel à l’égard des renseignements personnels. Les programmes de formation et de sensibilisation offerts au personnel à cet égard devront également être décrits. Tout organisme public qui recueille des renseignements personnels par un moyen technologique devra diffuser une politique de protection des renseignements personnels en termes simples et clairs (art. 63.4). Un règlement, à être adopté, pourra préciser les renseignements que devra couvrir la politique de protection des renseignements personnels. La communication de renseignements personnels à l’extérieur du Québec devra être divulguée aux personnes concernées (art. 65) et est également assujettie à la réalisation d’une évaluation des facteurs d’impacts sur la vie privée, incluant une analyse du régime juridique applicable dans le lieu où seraient communiqués les renseignements personnels (art. 70.1). La communication à l’extérieur du Québec devra faire l’objet d’une entente écrite (art. 70.1). Un organisme public qui souhaite confier à une personne ou un organisme situé à l’extérieur du Québec la tâche de recueillir, d’utiliser, de communiquer ou de conserver des renseignements personnels pour son compte devra entreprendre un exercice similaire. 4. Gérer les incidents de sécurité Lorsque l’organisme public aura des motifs de croire qu’un incident de confidentialité (étant défini comme l’accès, l’utilisation, la communication ou la perte de renseignements personnels) est survenu, il devra prendre des mesures raisonnables afin de réduire les risques de préjudice et les risques de récidives. De plus, lorsque l’incident présente un risque de préjudice sérieux pour les personnes concernées, celles-ci et la Commission d’accès à l’information (« CAI ») devront être avisées (sauf si cela est susceptible d’entraver une enquête visant à prévenir, détecter ou réprimer le crime ou les infractions aux lois) (art. 63.7). Un registre des incidents de confidentialité devra être tenu (art. 63.10), dont la teneur pourra être précisée par règlement. 5. Augmentation des pouvoirs de la CAI et des sanctions pécuniaires pouvant être imposées Le CAI, dans l’éventualité d’un incident de confidentialité, pourra ordonner à tout organisme public de prendre des mesures visant à protéger les droits des personnes concernées pour le temps et aux conditions qu’elle détermine, après lui avoir permis de présenter des observations (art. 127.2). La CAI dispose désormais du pouvoir d’imposer des sanctions administratives pécuniaires importantes, qui pourront, pour les organismes publics, atteindre 150 000$ (art. 159). En cas de récidive, ces amendes seront portées au double (art. 164.1). Entrée en vigueur Les modifications apportées par le Projet de loi n°64 entreront en vigueur en plusieurs étapes. La majorité des nouvelles dispositions introduites à la Loi sur l’accès aux documents des organismes publics entreront en vigueur deux ans suivant la date de la sanction de la loi, soit le 22 septembre 2021. Certaines dispositions spécifiques entreront toutefois en vigueur un an après cette date, dont notamment : Les obligations relatives aux mesures à prendre lors d’incidents de sécurité (art. 63.7) et les pouvoirs de la CAI lors de la divulgation d’un incident de sécurité (art. 127.2); et L’exception quant à la communication sans le consentement à des fins de recherche (art. 67.2.1);  Conclusion Le délai accordé aux organismes publics pour se conformer aux nouvelles dispositions a commencé à courir le 22 septembre 2021, lors de l’adoption du Projet de loi no 64. Nous vous recommandons de nous consulter pour mettre en place les mesures requises pour vous conformer aux nouvelles exigences législatives. L’équipe Lavery se fera un plaisir de répondre à toutes vos questions concernant les modifications annoncées et les incidences possibles pour votre organisation. Les renseignements et commentaires contenus dans le présent document ne constituent pas un avis juridique. Ils ont pour seul but de permettre au lecteur, qui en assume l’entière responsabilité, de les utiliser à des fins qui lui sont propres.

Le projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, a été adopté le 21 septembre 2021 par l’Assemblée nationale et modifie une vingtaine de lois ayant trait à la protection des renseignements personnels, notamment la Loi sur l’accès aux documents des organismes publics (« Loi sur l’accès »), la Loi sur la protection des renseignements personnels dans le secteur privé (« Loi sur le secteur privé ») et la Loi sur le cadre juridique des technologies de l’information. Bien que les changements touchent à la fois les organismes publics et les entreprises privées, le présent bulletin vise plus particulièrement à faire un survol des nouvelles exigences pour les entreprises privées visées par la Loi sur le secteur privé.  Nous avons préparé une version amendée de la Loi sur le secteur privé afin de refléter les changements apportés par le projet de loi n 64. Essentiellement, la loi modifiée tend à donner un meilleur contrôle aux individus sur leurs renseignements personnels, à favoriser la protection des renseignements personnels, à responsabiliser davantage les entreprises et à introduire de nouveaux mécanismes visant à assurer le respect des règles en matière de protection des renseignements personnels. Voici une synthèse des principales modifications adoptées par le législateur ainsi que les nouvelles exigences imposées aux entreprises dans ce domaine. Il importe de mentionner que ce nouveau régime de protection des renseignements personnels entrera en vigueur, en grande partie, dans deux ans. 1. Accroître le contrôle des individus sur leurs renseignements personnels et la transparence La nouvelle loi instaure le droit des individus d’accéder aux renseignements les concernant recueillis par les entreprises dans un format technologique structuré et couramment utilisé et d’en exiger la communication à un tiers, à l’exception des renseignements qui sont créés, dérivés, calculés ou inférés à partir des renseignements fournis par la personne concernée (art. 27). Ce droit est usuellement appelé « droit à la portabilité ». Les entreprises ont maintenant une obligation de détruire les renseignements personnels lorsque les fins pour lesquelles ils ont été recueillis ou utilisés sont accomplies. Les entreprises ont également la possibilité d’anonymiser les renseignements personnels selon les meilleures pratiques généralement reconnues pour les utiliser à des fins sérieuses et légitimes (art. 23). Toutefois, il importe que l’identité des individus concernés ne puisse être restaurée. De plus, les entreprises privées doivent désindexer tout hyperlien permettant d’accéder aux renseignements personnels d’un individu (souvent appelé le droit au « déréférencement ») lorsque sa diffusion contrevient à la loi ou à une ordonnance judiciaire (art. 28.1). Si une organisation prend une décision qui est fondée exclusivement sur le traitement automatisé de renseignements personnels, l’individu concerné doit en être informé, et à sa demande, si la décision produit des effets juridiques ou l’affecte autrement, il doit être informé des renseignements personnels qui ont été utilisés dans la prise de décision, ainsi que des raisons et des principaux facteurs ayant mené à celle-ci. La personne doit également être informée de son droit à la rectification (art. 12.1).  Les organisations qui ont recours à des moyens technologiques permettant d’identifier un individu, de le localiser ou d’effectuer son profilage doivent l’informer du recours à cette technologie et des moyens offerts pour désactiver ces fonctions (art. 8.1). La communication et l’utilisation de listes nominatives par une entreprise privée à des fins de prospection commerciale ou philanthropique sont dorénavant assujetties au consentement de la personne concernée. Les entreprises doivent maintenant publier sur leur site Internet en termes simples et clairs leurs règles de gouvernance à l’égard des renseignements personnels (art. 3.2). Ces règles peuvent prendre la forme d’une politique, d’une directive ou d’un guide et doivent notamment prévoir les diverses responsabilités des membres du personnel à l’égard des renseignements personnels. De plus, les entreprises qui recueillent des renseignements personnels par un moyen technologique devront également adopter et publier sur leur site Internet une politique de confidentialité en termes simples et clairs (art. 8.2). La nouvelle loi prévoit également que les entreprises qui refusent une demande d’accès à l’information doivent dorénavant, en plus de motiver leur refus et d’indiquer la disposition de la Loi sur le secteur privé sur laquelle le refus s’appuie, prêter assistance au requérant qui le demande pour l’aider à comprendre ce refus (art. 34). 2. Favoriser la protection des renseignements personnels et la responsabilisation des entreprises Le projet de loi n° 64 vise à accorder une plus grande part de responsabilité aux entreprises en matière de protection des renseignements personnels. C’est ainsi que les entreprises se voient imposer l’obligation de nommer un responsable de la protection des renseignements personnels, qui par défaut sera la personne ayant la plus haute autorité au sein de leur organisation (art. 3.1). En outre, les entreprises devront réaliser une évaluation des facteurs relatifs à la vie privée (« EFVP ») pour tout projet d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels (art. 3.3). Cette obligation force ainsi les entreprises à s’interroger dès le début d’un projet sur les risques que celui-ci soulève quant à la protection de la vie privée et des renseignements personnels. L’EFVP devra être proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support (art. 3.3). Les entreprises devront également procéder à une EFVP lorsqu’elles auront l’intention de communiquer des renseignements personnels à l’extérieur du Québec, afin de déterminer si les renseignements bénéficieront d’une protection adéquate eu regard notamment aux principes de protection des renseignements personnels généralement reconnus (art. 17). La communication devra aussi faire l’objet d’une entente écrite qui tient compte notamment des résultats de l’EFVP et, le cas échéant, des modalités convenues dans le but d’atténuer les risques identifiés (art. 17 (2)). La communication par les entreprises des renseignements personnels à des fins d’études, de recherche ou de production de statistiques est aussi assujettie à la réalisation d’une EFVP (art. 21). De plus, ce régime est substantiellement modifié puisque le tiers qui souhaite utiliser les renseignements personnels à ces fins doit présenter une demande écrite à la Commission d’accès à l’information (« CAI »), joindre une présentation détaillée de ses activités de recherche et divulguer la liste de toutes les personnes et de tous les organismes auprès desquels il a fait une demande de communication similaire (art. 21.01.1 et 21.01.02). Les entreprises peuvent aussi communiquer un renseignement personnel à un tiers, sans le consentement de l’individu concerné, dans le cadre de l’exécution d’un contrat de service ou d’entreprise. Le mandat devra faire l’objet d’un contrat écrit, qui devra notamment prévoir les mesures de protection des renseignements personnels à respecter par le mandataire ou le prestataire de service (art. 18.3). La communication de renseignements personnels, sans le consentement des individus visés, dans le cadre d’une transaction commerciale entre entreprises privées fait l’objet d’un encadrement supplémentaire (art. 18.4). La notion de transaction commerciale s’entend de « l’aliénation ou de la location de tout ou partie d’une entreprise ou des actifs dont elle dispose, d’une modification de sa structure juridique par fusion ou autrement, de l’obtention d’un prêt ou de toute autre forme de financement par celle-ci ou d’une sûreté prise pour garantir une de ses obligations » (art. 18.4). Les entreprises doivent détruire ou rendre anonymes les renseignements personnels recueillis lorsque les fins de la collecte ont été accomplies, sous réserve des délais de conservation prévus par une loi (art. 23). Il s’agit d’un changement important pour les entreprises privées qui peuvent présentement conserver des renseignements personnels caducs s’ils ne les utilisent pas. La nouvelle loi impose aussi l’intégration du principe de la protection de la vie privée par défaut (privacy by default), ce qui implique que les entreprises qui recueillent des renseignements personnels en offrant au public un produit ou un service technologique disposant de divers paramètres de confidentialité doivent s’assurer que ces paramètres assurent par défaut le plus haut niveau de confidentialité, sans aucune intervention de la personne concernée (art. 9.1). Cela ne s’applique pas aux paramètres de confidentialité d’un témoin de connexion (aussi appelés cookies). Lorsqu’une entreprise a des motifs de croire qu’un incident de confidentialité est survenu, elle doit prendre des mesures raisonnables afin de réduire les risques de préjudice et les risques de récidives (art. 3.5). La notion d’incident de confidentialité est définie comme étant l’accès à un renseignement personnel ou l’utilisation, la communication ou la perte de renseignements personnels (art. 3.6). De plus, les entreprises ont l’obligation d’aviser les personnes concernées, ainsi que la Commission d’accès à l’information de chaque incident qui présente un risque sérieux de préjudice, qui s’évalue à la lumière de la sensibilité des renseignements concernés, des conséquences appréhendées de leur utilisation et de la probabilité qu’ils soient utilisés à des fins préjudiciables (art. art. 3.7). Les entreprises devront également tenir un registre des incidents de confidentialité qui devra être communiqué à la CAI sur demande (art. 3.8). 3. Renforcer le régime d’obtention du consentement La nouvelle loi modifie la Loi sur le secteur privé de façon à ce que le l’obtention de tout consentement qui y est prévu soit manifeste, libre et éclairé et qu’il soit donné à des fins spécifiques. Ce consentement doit de plus être demandé pour chacune des fins de la collecte, en termes simples et clairs et de manière distincte, de façon à éviter qu’il ne soit obtenu par le biais de conditions d’utilisation complexes et difficilement compréhensibles pour les personnes concernées (art. 14).   Le consentement des mineurs de moins de 14 ans à la collecte de renseignements personnels par les entreprises doit être donné par le titulaire de l’autorité parentale, alors que celui du mineur de 14 ans et plus pourra être donné par le mineur, par le titulaire de l’autorité parentale ou par le tuteur (art. 14). Au sein d’une entreprise, le consentement à la communication d’un renseignement personnel sensible (par exemple des renseignements de santé ou par ailleurs intimes) doit être manifesté de façon expresse (art. 12). 4. Assurer une meilleure conformité aux exigences prévues à la Loi sur le secteur privé La Loi sur le secteur privé est aussi modifiée par l’ajout de nouveaux mécanismes visant à faire en sorte que les entreprises assujetties respectent les exigences qui y sont prévues. D’une part, la CAI se voit accorder le pouvoir d’imposer des sanctions administratives pécuniaires dissuasives aux contrevenants. Ces sanctions peuvent s’élever jusqu’à 10 000 000 $ ou 2 % du chiffre d’affaires mondial de l’entreprise (art. 90.12). En cas de récidive, ces amendes seront portées au double (art. 92.1). De plus, lorsqu’un incident de confidentialité survient au sein d’une entreprise, la CAI peut lui ordonner de prendre des mesures visant à protéger les droits des individus concernés, après lui avoir permis de présenter des observations (art. 81.3). Ensuite, de nouvelles infractions pénales sont créées, pouvant elles aussi mener à l’imposition d’amendes sévères. Pour les entreprises contrevenantes, ces amendes peuvent s’élever jusqu’à 25 000 000 $ ou 4 % de leur chiffre d’affaires mondial (art. 91). Finalement, la nouvelle loi crée également un nouveau droit d’action privé. Essentiellement, celui-ci prévoit que lorsqu’une atteinte illicite à un droit conféré par la Loi sur le secteur privé ou par les articles 35 à 40 du Code civil cause un préjudice et que cette atteinte est intentionnelle ou résulte d’une faute lourde, les tribunaux peuvent accorder des dommages-intérêts punitifs d’une valeur minimale de 1000 $ (art. 93.1). 5. Entrée en vigueur Les modifications apportées par le projet de loi n° 64 entreront en vigueur en plusieurs étapes. La majorité des nouvelles dispositions de la Loi sur le secteur privé entreront en vigueur deux ans suivant la date de la sanction de la loi, qui était le 22 septembre 2021. Certaines dispositions spécifiques entreront toutefois en vigueur un an après cette date, dont notamment : L’obligation pour les entreprises de désigner un responsable de la protection des renseignements personnels (art. 3.1) L’obligation de signalement des incidents de confidentialité (art. 3.5 à 3.8) L’exception à la communication de renseignements personnels dans le cadre d’une transaction commerciale (art. 18.4) et L’exception à la communication de renseignements personnels pour des fins d’études ou de recherche (art. 21 à 21.0.2). D’autre part, la disposition consacrant le droit à la portabilité des renseignements personnels (art. 27) entrera en vigueur trois ans suivant la sanction de la loi. Les membres de l’équipe Lavery sont disponibles pour répondre à vos questions et pour vous aider à vous conformer aux nouvelles exigences en matière de protection des renseignements personnels introduites dans la Loi sur le secteur privé. Les informations et commentaires contenus dans le présent document ne constituent pas un avis juridique. Ils ont pour seul but de permettre au lecteur, qui en assume l’entière responsabilité, de les utiliser à des fins qui lui sont propres.

Les États-Unis et l’Union européenne ont récemment conclu une nouvelle entente de principe pour permettre aux entreprises américaines de continuer à recueillir, utiliser et communiquer des renseignements personnels de citoyens européens dans le respect de leurs droits fondamentaux. Pour bien comprendre l’importance de cette nouvelle entente, il faut savoir que dans un arrêt du 6 octobre 2015, la Cour de justice de l’Union européenne avait déclaré invalide l’ancien régime de partage des données – surnommé « Safe Harbor » – qui encadrait notamment la conservation par de nombreuses entreprises américaines, dont les géants du Web comme Facebook et Google, de renseignements personnels concernant des européens. Cet accord transnational prévoyait un mécanisme d’auto-certification des entreprises américaines par lequel ces dernières s’engageaient à respecter un certain nombre de principes directeurs applicables dans l’Espace économique européen (EEE), moyennant quoi elles pouvaient obtenir l’autorisation de recueillir et conserver des renseignements personnels en provenance de l’Union européenne. Rappelons qu’un accord de cette nature est nécessaire pour permettre aux entreprises américaines de détenir des renseignements personnels de citoyens européens puisque le cadre législatif applicable aux États-Unis n’offre pas « le niveau de protection adéquat » des renseignements personnels exigé par les autorités européennes. Or, dans la foulée des révélations d’Edward Snowden relatives à la surveillance de masse exercée par les autorités américaines à partir des données informatiques de plusieurs grandes entreprises, Maximillian Schrems, un citoyen autrichien, a obtenu l’invalidation par la Cour de justice de l’Union européenne de l’accord Safe Harbor1. La Cour y concluait qu’« une réglementation permettant aux autorités publiques d’accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental à la vie privée ». Bien que cette décision était en principe d’application immédiate, le Groupe de travail sur la protection des données (surnommé le « G29 ») — un organe consultatif européen indépendant sur la protection des données et de la vie privée — a sommé les institutions européennes et le gouvernement américain d’agir avant le 31 janvier 2016 pour mettre en place une solution de remplacement. C’est dans ce contexte que le 2 février 2016, la Commission européenne a fait l’annonce très attendue d’un nouvel accord de principe avec les États-Unis, baptisé « Privacy Shield ». Les détails de cet accord n’ont pas encore été dévoilés, mais nous savons d’ores et déjà que le nouveau dispositif imposera des obligations plus strictes et un contrôle plus rigoureux aux entreprises américaines qui traitent des renseignements à caractère personnel en provenance de l’Union européenne. Il est en outre à prévoir que l’accès à ces renseignements par les autorités américaines sera plus étroitement encadré et transparent. Bien qu’en principe cette entente n’affecte pas directement les entreprises canadiennes qui recueillent, utilisent ou communiquent des renseignements personnels de citoyens européens, les entreprises d’ici qui détiennent une filiale américaine ou ont une place d’affaires aux États-Unis et recueillent des renseignements personnels en provenance d’Europe, de même que les entreprises qui confient à un tiers situé aux États-Unis des tâches qui nécessitent la transmission de renseignements personnels sur les ressortissants européens, par exemple à des fins d’hébergement, seraient bien avisées de s’assurer de respecter les conditions de cette nouvelle entente lorsqu’elle entrera en vigueur. Plus de nouvelles à suivre.   Schrems c. Data Protection Commissioner, 2000/520/CE, Cour de justice de l’Union européenne, 6 octobre 2015.

En décembre 2010, le Parlement fédéral adoptait la Loi visant à promouvoir l’efficacité et la capacité d’adaptation de l’économie canadienne par la réglementation de certaines pratiques qui découragent l’exercice des activités commerciales par voie électronique1, mieux connue sous le nom de « Loi canadienne anti-pourriels » (LCAP). La loi vise essentiellement à protéger les consommateurs et les entreprises canadiennes contre les pourriels non sollicités, les représentations commerciales fausses ou trompeuses, les logiciels malveillants et autres menaces électroniques. Son entrée en vigueur est prévue pour le 1er juillet 2014.Le nouveau régime repose sur un mécanisme d’adhésion plutôt que sur un mécanisme d’exclusion. Ainsi, à compter de l’entrée en vigueur de cette loi, il sera interdit de transmettre un message électronique commercial sans avoir le consentement de son destinataire. Les entreprises canadiennes qui utilisent la messagerie électronique ou les réseaux sociaux pour informer et solliciter leur clientèle devront donc revoir leurs pratiques pour se conformer à la loi, sans quoi elles s’exposeront à des sanctions administratives et à des poursuites civiles. Des mesures transitoires sont toutefois prévues pour donner le temps aux entreprises d’ajuster leurs pratiques.La définition de « message électronique commercial » au sens de la loi est large et couvre l’ensemble des messages électroniques, y compris les messages textuels (communément appelés textos ou SMS), sonores, vocaux ou visuels, pour lesquels il est raisonnable de conclure qu’ils ont pour but d’encourager la participation à une activité commerciale. Un message électronique qui fait la promotion d’une offre d’achat, de vente ou de louage d’un produit ou d’un service constitue donc un message électronique commercial visé par cette loi. Il en va de même de celui qui fait la promotion d’une personne en sa qualité d’acheteuse, de vendeuse ou de loueuse d’un produit ou d’un service ou impliquée dans le domaine des affaires, de l’investissement ou du jeu.Puisque les activités non commerciales ne sont pas visées par la loi, il faut garder à l’esprit que les partis politiques, les organismes de charité ainsi que les sociétés qui procèdent à des études de marché ou des sondages ne sont généralement pas visés par la loi, à moins que leurs messages électroniques ne visent la vente ou la promotion d’un produit.En outre, plusieurs cas d’exception sont prévus par la loi. Notons, par exemple, que l’interdiction ne vise pas les messages transmis entre des personnes ayant des liens personnels ou familiaux, ni les messages électroniques commerciaux visant à répondre à un destinataire qui a demandé des informations relatives au prix ou une estimation pour la fourniture ou la livraison de biens, produits ou services.Pour l’instant, l’interdiction ne vise pas non plus les communications vocales par téléphone, actuellement réglementées par la Loi sur les télécommunications2 (au moyen, notamment, de la Liste nationale de numéros de télécommunication exclus). Cette exception est cependant sujette à abrogation par voie de décret si le gouvernement l’estime approprié.Le consentement exprès ou implicite du destinataireLe consentement requis pour transmettre un message électronique commercial peut être exprès ou implicite. Les situations où l’expéditeur d’un tel message peut se fonder sur le consentement implicite du destinataire sont déterminées par la loi. Par exemple, la loi prévoit qu’il y a consentement implicite lorsque l’expéditeur et le destinataire ont eu des relations d’affaires au cours des deux ans précédant la date d’envoi du message. Il en va de même lorsque le destinataire s’est enquis auprès de l’expéditeur à l’égard d’un bien, produit ou service au cours des six mois précédant la date du message.Le consentement du destinataire est également implicite si ce dernier a publié bien en vue son adresse électronique sans ajouter de mention à l’effet qu’il ne veut pas recevoir de messages électroniques commerciaux non sollicités, dans la mesure, bien entendu, où le message transmis a un lien avec l’emploi ou l’entreprise du destinataire ou ses fonctions au sein de cette entreprise.Le consentement est aussi implicite lorsque le destinataire a communiqué son adresse électronique à l’expéditeur sans aucune mention précisant qu’il ne veut recevoir aucun message électronique commercial non sollicité et, encore une fois, dans la mesure où ce message a un lien avec l’emploi ou l’entreprise du destinataire ou encore avec ses fonctions au sein de cette entreprise.Enfin, l’existence de relations privées entre l’expéditeur et le destinataire au cours des deux ans précédant l’envoi du message permet également, dans les cas prévus par la loi, de déduire le consentement implicite du destinataire à la transmission d’un message électronique commercial.Dans tous les autres cas où la loi ne permet pas d’inférer un consentement implicite, le consentement exprès du destinataire est requis pour lui transmettre un message électronique commercial. Ce consentement ne se présume pas et le fardeau de la preuve repose sur l’expéditeur.Pour obtenir ce consentement, l’expéditeur doit énoncer en termes simples et clairs les fins pour lesquelles il le sollicite; il doit aussi inclure des renseignements permettant de l’identifier (ou si l’expéditeur sollicite le consentement au nom d’une autre personne, les renseignements qui permettent d’identifier cette autre personne). L’étendue des renseignements qui doivent être donnés pour identifier la personne qui recherche un consentement est précisée dans les règlements.Il est important de noter qu’à compter de l’entrée en vigueur de la loi une demande de consentement constituera elle-même un message électronique commercial; il ne sera donc pas permis de demander ce consentement par voie électronique.Le mécanisme de retrait du consentement et la forme des messages électroniques commerciauxLa loi prévoit que toute personne qui transmet un message électronique commercial à une autre doit mettre en place un mécanisme d’exclusion permettant au destinataire de pouvoir retirer son consentement à recevoir des messages électroniques commerciaux de cet expéditeur. L’expéditeur doit permettre au destinataire d’exprimer sa volonté par voie électronique, que ce soit par courriel ou par l’intermédiaire d’un site Web, sans frais et en tout temps. L’expéditeur doit donner suite à toute demande de retrait à l’intérieur d’un délai de 10 jours.La description de ce mécanisme d’exclusion doit apparaître dans le message électronique commercial qui doit, en outre, comporter des renseignements sur l’identité de la personne qui envoie le message ou, si le message est envoyé au nom d’une autre personne, une mention indiquant le nom de la personne qui envoie le message et celui au nom de qui il est envoyé. Le message électronique commercial doit également comporter l’adresse postale et soit le numéro de téléphone donnant accès à un agent de service ou à un service de messagerie vocale, soit l’adresse de courriel ou du site Web de la personne qui envoie le message ou, le cas échéant, de celle au nom de qui il est envoyé.Si, dans la pratique, il est impossible d’inclure ces renseignements et le mécanisme d’exclusion dans le message électronique commercial, ils peuvent être affichés sur une page Web facilement accessible sans frais par le destinataire au moyen d’un lien indiqué dans le message en termes clairs et facilement lisibles.Les sanctions administratives et le droit privé d’actionLa Loi canadienne anti-pourriels prévoit des pénalités sévères pour les personnes qui ne se conformeront pas à ses dispositions. En effet, une personne qui y contrevient s’expose à des sanctions administratives pécuniaires qui peuvent atteindre 1 000 000 $ dans le cas d’une personne physique et 10 000 000 $ dans le cas de toute autre personne.De plus, l’existence d’un droit privé d’action contre l’expéditeur d’un message électronique commercial non sollicité constitue un point crucial de ce nouveau régime. En effet, la loi permet à toute personne qui subit une perte ou un dommage en raison du nonrespect des dispositions de la loi par l’expéditeur d’un message électronique commercial de demander au tribunal compétent de rendre une ordonnance condamnant cet expéditeur à lui payer le montant de ces dommages, majoré de dommages liquidés qui peuvent atteindre 1 000 000 $. Ainsi, les destinataires d’un pourriel qui auraient subi des dommages après s’être fiés à une information trompeuse qui y figurait pourraient, par exemple, former un recours collectif pour faire valoir leurs revendications communes sur la base de cette nouvelle loi.ConclusionLes messages électroniques non sollicités sont une nuisance qui mérite qu’on s’y attaque. D’ailleurs, le Canada est la seule juridiction du G8 qui n’avait pas encore de mesures spécifiques pour réglementer ou interdire les pourriels. Cependant, l’obligation d’obtenir le consentement des destinataires de messages électroniques commerciaux, lesquels n’ont le plus souvent rien à voir avec les pourriels, ne manquera pas pour plusieurs entreprises de se révéler ardue et coûteuse.Il est donc important que les entreprises revoient leurs listes d’envois électroniques pour s’assurer qu’elles sont conformes aux dispositions de la loi, c’est-à-dire que les personnes dont le nom s’y trouve ont donné leur consentement exprès à recevoir des messages électroniques commerciaux de l’entreprise ou que l’entreprise peut se fonder sur le consentement implicite de ces personnes. À défaut, les entreprises devront obtenir les consentements adéquats. Rappelons que les entreprises défaillantes s’exposeront à des pénalités substantielles et à des réclamations qui pourraient être décuplées par l’introduction de recours collectifs visant des centaines, voire des milliers de destinataires qui se considèrent lésés._________________________________________1 L.C. 2010, c. 23.2 L.C. 1993, c. 38.

Qu’est-ce qu’un vol d’identité?  Le vol d’identité consiste à obtenir et à utiliser de façon frauduleuse l’identité d’une personne dans le but de commettre des fraudes ou d’autres activités criminelles. On peut notamment voler une identité en subtilisant le courrier d’une personne, en cambriolant sa résidence, en reproduisant des données personnelles relatives à une transaction par carte de crédit ou par chèque, en utilisant des « hameçons » sur Internet, en volant les ordinateurs d’une entreprise ou d’un gouvernement ou encore, en s’introduisant subrepticement dans leurs dossiers informatisés. On voit aussi de plus en plus de vols d’identité qui découlent de fraudes effectuées par téléphone alors que des renseignements (numéros de compte, numéros de carte de crédit, numéros d’identification personnels, etc.) sont obtenus sous de faux prétextes.  L’augmentation des vols d’identité   Le vol d’identité est devenu l’une des formes de crime qui connaît la croissance la plus rapide au Canada et aux États-Unis. Le nombre de plaintes déposées à ce sujet auprès de la Federal Trade Commission des États-Unis a quintuplé entre les années 2000 et 2002, passant de 31 000 à plus de 160 000 plaintes. En 2006, près de 8 000 victimes ont déclaré des pertes de 16 millions de dollars à PhoneBusters, le centre d’appels anti-fraude du gouvernement du Canada. On estime que de nombreux autres cas ne sont pas signalés. Le Conseil canadien des bureaux d’éthique commerciale a estimé que le vol d’identité pourrait coûter aux consommateurs, aux banques, aux sociétés émettrices de cartes de crédit, aux détaillants et aux autres entreprises du Canada plus de 2 milliards de dollars annuellement.   Les données accessibles laissent croire que ce phénomène prend de l’ampleur et qu’au cours de la prochaine décennie, il sera un des éléments les plus importants de la criminalité transfrontalière et menacera des dizaines de millions de personnes et d’entreprises au Canada et aux États-Unis.   Les risques de poursuites pour les entreprises  Au-delà des coûts directs, le vol d’identité est susceptible de mettre en cause la responsabilité des entreprises s’il s’avère qu’une faute a été commise, notamment parce que les mesures adéquates n’ont pas été prises pour empêcher la divulgation de renseignements personnels. La rapidité et la nature de la réaction de l’entreprise dans le but d’atténuer les effets de ce type de crime pour les consommateurs pourraient également être considé- rées par les tribunaux, soit pour établir une faute, soit pour évaluer les dommages. Ceux-ci pourraient, du reste, s’avérer importants parce que le recours collectif est un moyen procédural utilisé de plus en plus par les victimes de vol d’identité dans le but de faire compenser par les entreprises ou les gouvernements les dommages qu’elles ont subis. Ces recours allèguent généralement que l’on n’a pas pris toutes les précautions raisonnables afin d’éviter que les renseignements personnels requis pour commettre des vols d’identité ne soient pas divulgués, que les victimes n’ont pas été averties avec diligence pour leur permettre d’annuler leurs cartes de crédit ou d’avertir leurs institutions financières ou que ces événements leur ont causé du stress et de l’anxiété.  Un récent cas d’intrusion injustifiée  Récemment, le Commissariat à la protection de la vie privée du Canada et le Commissariat à l’information et à la protection de la vie privée de l’Alberta ont émis un rapport d’enquête conjoint sur la sécurité, la collecte et la conservation de renseignements personnels par la chaîne de magasin Winners. Le réseau informatique de la maison mère de Winners, TJX Companies Inc., avait fait l’objet d’une intrusion touchant des renseignements personnels d’environ 45 millions d’utilisateurs de cartes de crédit au Canada, aux États-Unis, à Puerto Rico, au RoyaumeUni et en Irlande à la fin de l’année 2006. Des numéros de cartes de crédit, y compris des dates d’expiration, des noms, des adresses et des numéros de client ainsi que des numéros de permis de conduire ont été illégalement obtenus par des tiers qui se sont introduits à plus d’une reprise, semble-t-il, sur les systèmes informatiques de TJX. Au terme de leur enquête, les commissaires à la vie privée du Canada et de l’Alberta ont conclu que l’entreprise en question a contrevenu aux dispositions des lois canadienne et albertaine relatives à la protection des renseignements personnels en recueillant des numéros de permis de conduire et d’autres renseignements personnels non nécessaires lorsque les clients rapportent de la marchandise, et en conservant ces renseignements ainsi que des renseignements portant sur des transactions par carte de crédit durant une période excessive. Les commissaires ont cependant jugé que la nouvelle procédure mise en place par l’entreprise, après les évé- nements, qui consiste à décomposer par voie cryptographique les numéros d’identification des clients, notamment les numéros de permis de conduire, était adéquate et aurait pu éviter de mettre en péril la vie privée des consommateurs concernés ou de favoriser le vol d’identité si elle avait été adoptée plus tôt.  L’obligation d’adopter les technologies les plus sécuritaires  Ce qui est tout particulièrement intéressant et inusité dans ce rapport d’enquête, c’est que les organismes de surveillance fédéral et albertain ont reproché à TJX/Winners de ne pas avoir mis en place des mesures de sécurité informatiques adéquates, eu égard aux technologies existantes sur le marché. L’entreprise utilisait un protocole de chiffrement peu fiable selon les commissaires et n’a pas adopté une norme d’encryptage plus évoluée dans un délai raisonnable. Si elle avait suivi un protocole de chiffrement de niveau supérieur et surveillé ses systèmes de façon attentive, le risque de brèche aurait été atténué d’écrire les commissaires.  Autrement dit, il ne suffit pas pour les entreprises et les gouvernements d’avoir des systèmes de sécurité de leurs données informatiques et de leurs dossiers physiques. Ils doivent suivre les développements technologiques pour être à la fine pointe et empêcher les intrusions injustifiées, surtout lorsque les renseignements en cause ont un haut niveau de sensibilité. Les méthodes de chiffrement ou d’encryptage les plus performantes doivent donc être adoptées puisque les fraudeurs sont toujours à l’affût et qu’ils sont en mesure de s’introduire dans les systèmes qui sont plus vulnérables, moins sophistiqués et moins avancés d’un point de vue technologique.  Quoi faire et quoi dire aux clients?  D’aucuns se demanderont s’il n’est pas préférable pour les entreprises qui font l’objet d’une intrusion injustifiée ou d’un vol de renseignements personnels de ne pas en informer les clients ou autres personnes concernées afin de ne pas les inquiéter indûment, de ne pas risquer de mettre en péril la relation de confiance qu’ils ont avec l’entreprise ou encore, pour éviter de fournir aux organisations de défense des consommateurs une occasion d’instituer des procédures judiciaires au nom d’un groupe de victimes.  Nous ne pouvons souscrire à une telle approche qui, du reste, contrevient au principe de transparence qui s’impose aux entreprises en vertu de la Loi sur la protection des renseignements personnels et des documents électroniques.  S’il y a effectivement eu intrusion injustifiée dans une base de données, vol de courrier, de dossiers ou de renseignements personnels, etc., les personnes concernées ont le droit d’en être informées afin de pouvoir se prémunir le plus rapidement possible contre les conséquences de ces actes, par exemple les fraudes. Les assureurs de l’entreprise devraient également être avisés dans les meilleurs délais.  Dans la plupart des cas, une lettre des dirigeants de l’entreprise devrait être transmise avec diligence à chaque client ou personne dont les renseignements personnels ont vraisemblablement fait l’objet d’une intrusion ou d’un vol, afin de les informer de la situation et de porter à leur attention différents moyens à prendre pour éviter de faire l’objet d’une fraude. Ces moyens sont notamment : les inviter à faire preuve de vigilance relativement aux transactions qu’ils ont faites dans les mois précédents ou qu’ils seraient appelés à faire à l’avenir;  les encourager à obtenir régulièrement une copie de leur dossier de crédit pour s’assurer que des demandes de crédit n’ont pas été effectuées en leur nom et sans leur accord; leur suggérer d’aviser leur institution financière, compagnie émettrice de leur carte de crédit ainsi que le centre d’appels national PhoneBusters qui constitue le centre d’appels antifraude du Canada; leur proposer de consulter au besoin le site www.securitecanada.ca/identitytheft_f.asp pour obtenir des conseils afin de réduire les risques de vol d’identité ainsi que des réponses aux questions généralement posées par les consommateurs à ce sujet. Pour sa part, l’entreprise qui a fait l’objet d’un vol de renseignements personnels ou d’une intrusion injustifiée devrait avertir les principales agences d’évaluation de crédit du Canada qui ont développé des protocoles permettant de rapporter les vols d’information de manière à ce que les dossiers de crédit des consommateurs visés soient mis sous surveillance immédiatement. Un avis de fraude est alors inscrit au dossier de crédit de ces personnes et indique aux éventuels créanciers qu’ils doivent communiquer avec le consommateur lui-même avant d’accorder du crédit, d’ouvrir un compte ou de modifier les comptes existants. L’entreprise serait également bien avisée d’informer les corps policiers de l’existence du crime dont elle a fait l’objet. La lettre transmise par l’entreprise aux clients visés pourrait d’ailleurs leur faire part des démarches qui ont été entreprises en ce sens. Il serait également opportun d’indiquer dans cette correspondance le nom et les coordonnées d’une personne responsable au sein de l’entreprise avec laquelle les clients pourront communiquer en tout temps.

La nouvelle loi fédérale sur la protection des renseignements personnels : à qui et à partir de quand s'applique-t-elle?

La confidentialité des expertises médicales remise en question par la Commission d'accès à l'information