Consommation

Vue d’ensemble

Le commerce de détail est un des secteurs commerciaux les plus importants de l'économie commerciale, sinon le plus important. Les acteurs impliqués dans ce secteur tiennent plusieurs rôles : détaillants, distributeurs, fabricants, importateurs, franchiseurs et franchisés, prestataires de services, restaurateurs, etc. Les sous-secteurs sont aussi nombreux : alimentation, ameublement, automobile, électronique, quincaillerie, etc. Autant de marchés qui foisonnent et qui sont souvent réglementés par plusieurs outils législatifs. Les institutions financières qui offrent du crédit à la consommation participent aussi au développement de ce marché. Le nombre d'intervenants du secteur est important et leurs divers rôles constituent des maillons clés dans le portrait global des échanges commerciaux.

La multidisciplinarité de ses avocats permet à Lavery de conseiller chacun de ces maillons sur l'accomplissement de leurs obligations légales respectives envers leur clientèle ultime : les consommateurs. Les avocats de Lavery œuvrent dans un nombre important de domaines, ce qui leur permet d'offrir leurs services à l'ensemble de la communauté d'affaires de la province impliquée dans le commerce de détail. C'est pourquoi Lavery est chef de file dans ce secteur en desservant depuis plusieurs décennies une clientèle diversifiée qui œuvre dans le commerce de détail et ses nombreux sous-secteurs.

Les corporations impliquées dans le commerce de détail évoluent dans un secteur qui est en constante transformation. Au cours des 15 dernières années, ce secteur a subi plusieurs changements, principalement liés aux innovations technologiques. La nature des produits offerts aux consommateurs a aussi changé et les technologies modernes sont aujourd'hui accessibles à tous.

Au surplus, la manière de faire ses achats a aussi évolué de sorte que plusieurs options s'offrent aujourd'hui aux consommateurs : commerce en ligne, comptoirs-franchises, magasin à grande surface ou entrepôts de produits en gros, pour n'en nommer que quelques-uns. Les techniques de mise en marché, de publicité et de marketing ont également évolué, pour pouvoir rejoindre les consommateurs de façon plus directe.

En parallèle, plusieurs organismes de protection des droits des consommateurs ont été mis sur pied et ont demandé au gouvernement d'établir et de maintenir un sain climat commercial et de réglementer étroitement ces nouvelles pratiques de commerce et ces nouveaux secteurs. Plusieurs changements législatifs s'en sont suivis, qui ont entraîné leurs lots de complexités et d'enjeux juridiques divers. Les avocats de Lavery sont restés attentifs à toutes ces transformations et ont accompagné plusieurs commerçants, manufacturiers ou distributeurs, œuvrant dans des secteurs variés, en les aidant à établir leurs cheminements stratégiques respectifs pouvant leur permettre de traverser ces périodes de changements législatifs.

Lavery a toujours été impliqué dans le secteur du commerce de détail et de vente de produits destinés à la consommation. Ses avocats ont traité une multitude de dossiers mettant en jeu l'application des lois visant à réglementer le commerce de détail et à protéger les consommateurs. Lavery comprend bien le secteur, notamment en raison de son expérience et son implication soutenue au sein de plusieurs organismes et regroupements de commerçants. Leurs relations de longue date avec plusieurs clients œuvrant dans des secteurs variés du commerce de détail leur permettent de bien saisir les enjeux reliés aux opérations de ces types d'entreprises.

Les avocats de Lavery ont suivi de près le processus de la réforme de la Loi sur la protection du consommateur qui a été enclenché au tournant du siècle. Notre expertise a été retenue à plusieurs reprises pour conseiller et commenter les nouveaux textes de loi qui étaient proposés par le gouvernement. Non seulement en raison de sa connaissance de la réforme, mais aussi grâce à la place de choix qu'occupe Lavery dans le milieu, de nombreux intervenants du secteur du commerce de détail lui ont permis d'effectuer des mandats de nature variée dans le domaine.

Mandats représentatifs

Secteur du commerce de détail en général :
• Traitement de nombreux dossiers de pratiques de commerce visant à établir des pratiques uniformes nationales conformes aux législations en droit de la consommation à l'ensemble du pays dont notamment la Loi sur la protection du consommateur et les autres lois applicables au Canada en matière de protection du consommateur.
• Implication dans plusieurs dossiers à portée extra-provinciale, concernant notamment l'élaboration des conventions utilisées dans le cadre de programmes nationaux à être utilisés dans l'ensemble du pays.
• Représentation de fabricants et distributeurs internationaux relativement à la mise en marché, au marketing et à la vente de produits et services au Canada, incluant la conformité avec les législations fédérale et provinciale et la réglementation applicable en matière de protection des consommateurs.
• Conseils et représentation concernant le traitement des informations personnelles dans le secteur du commerce de détail, incluant les questions de vie privée.
• Conseils et services en matière de distribution de produits, d'enregistrement, d'étiquetage des produits et de la sécurité des produits.
• Rédaction des contrats concernant les niveaux de service et les licences de logiciels.
• Rédaction de contrats de distribution et d'approvisionnement.
• Représentation de plusieurs détaillants, distributeurs, groupements d'achat et manufacturiers canadiens relativement à toute question en lien avec l'approvisionnement, la distribution, la fabrication des produits, au Canada ou à l'étranger.
• Conseil et représentation de nombreux franchiseurs québécois dans le démarrage de leur réseau de franchise au Québec.
• Représentation de franchiseurs canadiens et étrangers dans le cadre de l'expansion de leur réseau de franchise au Canada et/ou au Québec.
• Négociation et élaboration pour le bénéfice de manufacturiers, distributeurs, franchiseurs et détaillants d'infrastructures visant l'approvisionnement, la distribution et/ou la fabrication de produits.
• Élaboration pour le bénéfice de franchiseurs et détaillants de divers systèmes de contrôle pour leurs opérations « réseau ».
• Conseils et recommandations en matière de demandes de permis, tels des permis d'agents de voyage, de commerçants itinérants, de commerçants offrant des facilités de crédit, opérant des studios de santé, etc.
• Conseils et recommandations concernant la surveillance et la sécurité en magasin, incluant participation à l'établissement de politiques d'interception en relation avec les dossiers de vols à l'étalage.
• Négociation, avec l'Office de protection du consommateur, du contenu de plusieurs contrats régis par la Loi sur la protection du consommateur relativement auxquels l'Office demandait l'ajout ou la modification de certaines clauses pour les rendre conformes à cette loi.
• Implication depuis 2002 dans plusieurs dossiers de consommation auprès du Comité Consommation du Conseil Québécois du Commerce de Détail (dossier de l'étiquetage; dossier du prix exact; dossier des redevances pro-environnementales et dossiers des réformes de la Loi sur la protection du consommateur), lors de démarches effectuées par le Conseil et certains de ses membres.
• Participation à la réforme de la Loi sur la protection du consommateur par la révision et la rédaction des dispositions de la loi en matière de contrats à distance et de contrats conclus par internet.
• Depuis 2006, représentation du Conseil québécois du commerce de détail et participation à la rédaction des mémoires du conseil produits et présentés devant la Commission des institutions.
• Participation au comité consommation du Conseil québécois du commerce de détail lors des négociations relativement à l'entrée en vigueur des dispositions de la Loi sur la protection du consommateur concernant les garanties prolongées.
• Participation à la rédaction des mémoires du Barreau du Québec produits et présentés devant la Commission des relations avec les citoyens à l'occasion de la réforme de la Loi sur la protection du consommateur.
• Participation à plusieurs organismes impliqués dans les travaux de l'Office de la protection du consommateur en relation avec la réforme de la Loi sur la protection du consommateur.
• Préparation d'avis juridiques en droit de la consommation à une clientèle variée concernant l'adoption de la réforme de la Loi sur la protection du consommateur.
• Révision de campagnes publicitaires, circulaires, etc.; destinés aux consommateurs.

Litige :
• Services et recommandations à la clientèle relativement à l'établissement de procédures relatives à l'administration des dossiers de poursuite devant la Cour des petites créances.
• Implication dans plusieurs dossiers de poursuites pénales impliquant l'Office de la protection du consommateur et alléguant la commission de pratiques de commerce interdites de la part d'un marchand ou détaillant.
• Implication dans plusieurs dossiers alléguant des cas de concurrence déloyale, de fausses représentations ou de publicité trompeuse.
• Représentation de franchiseurs devant les tribunaux relativement à divers conflits avec des franchisés, fournisseurs et bailleurs.
• Représentation et conseil en matière de litiges impliquant des ententes de distribution de produits et/ou de référencement de clientèle.
• Exercice de sûretés et procédure de reprise de possession de flottes d'équipements roulants ou d'inventaires de produits de consommation.
• Responsabilité de produits destinés à la consommation.

Recours collectifs :
• Implication dans plusieurs dossiers de recours collectifs recherchant l'application de lois visant à protéger les consommateurs, dont notamment la Loi sur la protection du consommateur et la Loi sur la concurrence.
• Implication dans plusieurs dossiers de recours collectifs concernant la vente alléguée de produits défectueux ou de produits affectés de vices cachés initiés en vertu de la Loi sur la protection du consommateur.
• Représentations et conseils auprès de bon nombre de sociétés multinationales dans le cadre de recours collectifs multi-juridictionnels et transfrontaliers, notamment en droit de la concurrence et en droit de la consommation.
• Implication dans des dossiers de recours collectifs concernant la publicité sur le crédit, les frais de crédit et la vente de contrats de garanties prolongées.

Secteur du crédit à la consommation :
• Élaboration de conventions de crédit maison pour des chaînes de commerce de détail.
• Représentation de deux banques canadiennes à charte dans la rédaction de contrats de crédit et de sécurité standards conformément aux normes de l'Ontario.
• Représentation d'une société de la Couronne canadienne dans l'application des contrats de crédit et de sécurité.
• Mise en place de programmes hypothécaires à la consommation, incluant des guides à l'interne, des instructions aux notaires instrumentant et la rédaction des documents de prêts et d'hypothèques requis pour les transactions journalières de clients.
• Mise en place de programmes de crédit et de cartes de crédit, avis juridique quant à la propriété des soldes créditeurs dans les comptes des consommateurs détenteurs d'une carte de crédit.
• Rédaction de contrats de cession de droits, de prêts et de crédit variable pour cartes de crédit ou non et des contrats et modifications aux documents reliés aux prêts personnels avec sûreté ou non.
• Services de conseil et recommandations à des institutions financières relativement à l'établissement de conventions de crédit aux commerçants détaillants (plans de financement d'inventaires), quant aux procédures et meilleures pratiques à mettre en place dans le cadre de la rédaction de contrats de crédit pour consommateurs et quant aux procédures et meilleures pratiques à mettre en place dans les procédures d'exercice de droits dans les dossiers de crédit à la consommation (hypothèques, prêts avec sûretés ou non, vente à tempérament cédée, etc.). .
• Mise en place de programmes de financement pour des contrats de préarrangements funéraires et de sépultures.

Commerce électronique :
• Participation à la préparation et la mise sur pied de plusieurs sites internet transactionnels.
• Mise en place de programmes pour la vente sur le Web de produits et services divers.
• Révision de publicités diffusées sur le Web.
• Implications dans plusieurs dossiers mettant en cause des intermédiaires de paiement ainsi que les banques émettrices de cartes de crédit.
• Implication dans plusieurs dossiers de recouvrement institués par des intermédiaires de paiements à l'encontre de marchands, ou vice-versa, notamment dans des cas de fraude, chargebacks (rétro facturation, demandes de remboursement excessives, double facturation, évaluation du risque, conciliation de comptes, etc.) et illégitimité des services offerts.
Ces mandats représentatifs ne couvrent que certains des sous-secteurs reliés au commerce de détail, à la mise en marché et la distribution de produits et au droit de la consommation en général.

La renommée de Lavery en matière de droit de la consommation n'est plus à refaire. Lavery jouit d'une excellente réputation auprès de l'Office de la protection du consommateur et auprès de plusieurs associations de protection des droits des consommateurs. Depuis plusieurs années, Lavery fait preuve de sa ferme intention de collaborer à l'établissement d'un marché des biens destinés à la consommation dont pourront bénéficier tous les intervenants concernés, incluant les consommateurs et les entreprises, dans le respect des droits de chacun. La pratique de Lavery vise ainsi à s'impliquer le plus possible dans le secteur afin de faire bénéficier à sa clientèle de la même réputation. Lavery a été impliqué dans de nombreux dossiers d'enquête de l'Office de la protection du consommateur, a accompagné ses clients dans le traitement de ces dossiers et a participé à l'atteinte de solutions pratiques et avantageuses pour ses clients.

  1. Projet de loi C-18 : le Canada cherche à forcer les géants du web à indemniser les médias canadiens

    Emboîtant le pas à l’Australie qui a adopté une loi semblable l’an dernier, le ministre du Patrimoine canadien, Pablo Rodriguez, a récemment présenté au Parlement le projet de loi C-18, dont le titre abrégé est la Loi sur les nouvelles en ligne. Ce projet de loi vise essentiellement à assurer un partage plus équitable des revenus entre les plateformes numériques et les médias d’information canadiens. Si ce projet de loi est adopté, il obligera notamment les plateformes numériques comme Google et Facebook à conclure des accords commerciaux avec les organisations journalistiques pour les textes et reportages qui sont publiés sur ces plateformes. Le projet de loi C-18, déposé le 5 avril 2022, a une portée très large et vise toutes les organisations journalistiques canadiennes, quel que soit le type de média sur lequel elles diffusent leurs nouvelles, dans la mesure où elles répondent à certains critères d'admissibilité. En ce qui concerne les « intermédiaires de nouvelles numériques » sur lesquelles ces nouvelles sont partagées, le projet de loi C-18 vise les plateformes de communication en ligne, notamment un moteur de recherche ou un réseau social, au moyen desquelles les contenus de nouvelles sont rendus disponibles au Canada et qui, en raison de leur taille, sont en situation de déséquilibre quant au partage de revenus qu’elles tirent de l’information diffusée. Le projet de loi C-18 prévoit que ce déséquilibre de négociation sera déterminé par l’évaluation de certains critères comme la taille de la plateforme numérique en cause, le fait que le marché de la plateforme lui accorde ou non un avantage stratégique par rapport aux médias et le fait que la plateforme occupe ou non une position de premier plan au sein du marché. Il s’agit à l’évidence de critères très subjectifs qui rendent difficile la détermination précise de ces intermédiaires. La version actuelle du projet de loi prévoit par ailleurs que ce sont les intermédiaires eux-mêmes qui devront aviser le Conseil de la radiodiffusion et des télécommunications canadiennes (« CRTC ») du fait que la loi leur est applicable. Le processus obligatoire de négociation constitue véritablement le cœur du projet de loi C-18. Si celui-ci est adopté dans sa forme actuelle, les exploitants de plateformes numériques seraient en effet tenues de négocier de bonne foi avec les médias canadiens afin de conclure des accords de partage de revenus. À défaut d’entente entre les parties à l’issue du processus de négociation et de médiation prévu par la loi, une formation de trois arbitres pourra être appelée à choisir l’offre finale de l’une ou l’autre des parties, qui sera alors réputée être un accord conclu entre les parties. Le projet de loi C-18 prévoit enfin que les exploitants de plateformes numériques peuvent demander au CRTC d’être exemptés de l’application de la loi si elles ont déjà conclu des accords qui, de l’avis du CRTC, satisfont aux critères suivants: Ils prévoient une indemnisation équitable des entreprises journalistiques pour le contenu de nouvelles rendu disponible par la plateforme numérique; Ils assurent qu’une partie convenable de l’indemnisation soit utilisée par les entreprises de nouvelles pour soutenir la production de contenu de nouvelles locales, régionales et nationales; Ils ne laissent pas l’influence des entreprises porter atteinte à la liberté d’expression et à l’indépendance journalistique dont jouit tout média d’information; Ils contribuent à la viabilité du marché canadien des nouvelles; Ils assurent qu’une partie importante des entreprises de nouvelles locales et indépendantes en bénéficie, ils contribuent à leur viabilité et ils encouragent les modèles d’entreprises novateurs dans le marché canadien des nouvelles; L’éventail des médias d’information qu’ils visent reflète la diversité du marché canadien des nouvelles, notamment en ce qui concerne les langues, les groupes racialisés, les collectivités autochtones, les nouvelles locales et les modèles d’entreprises. Un projet de loi d’une telle envergure fera certainement l’objet d’une étude approfondie par le Parlement canadien et il ne serait pas surprenant que des modifications importantes y soient apportées en cours de route. Certaines précisions seraient d’ailleurs les bienvenues, notamment en ce qui a trait à la détermination précise des entreprises devant être considérées comme des « intermédiaires d'informations numériques ».

    Lire la suite
  2. Un faux sentiment de cybersécurité?

    Les rançongiciels ont fait tellement de ravages dans les dernières années que plusieurs en oublient les autres risques liés à la cybersécurité. Pour certains, le fait de ne pas détenir de renseignements personnels les immunise contre les pirates informatiques et les cyberincidents. Pour d'autres, tant que leurs ordinateurs continuent de fonctionner, c’est qu’il n’y a aucun logiciel malveillant qui y réside. Malheureusement, la réalité est toute autre. Une nouvelle tendance se dessine à l’horizon, où l’on voit des logiciels malveillants déployés pour détourner de l’information confidentielle, notamment des secrets commerciaux, pour les vendre par la suite à des tiers ou les divulguer au public1. Les médias ont abondamment discuté du logiciel Pegasus utilisé pour épier des journalistes et des opposants politiques à travers le monde, au point où les autorités des États-Unis ont décidé de l’inclure dans leur liste d’interdictions2. Mais l’utilisation de logiciels espions n’est pas limitée à la sphère politique. Récemment, un tribunal californien a condamné une société américaine, 24[7].ai, à payer 30 millions de dollars à une de ses concurrentes, Liveperson3. C'est qu’un logiciel de 24[7].ai était installé côte à côte avec le logiciel de Liveperson sur des systèmes de clients mutuels. Liveperson alléguait dans sa poursuite que 24[7].ai installait des logiciels espions capturant de l’information confidentielle de l’application Liveperson. De plus, les logiciels que 24[7].ai auraient installés faisaient disparaître certaines fonctionnalités de l’application de Liveperson, notamment le bouton activant la fonction de clavardage.  Ce faisant, 24[7].ai aurait interféré dans la relation entre Liveperson et ses clients. Cette saga judiciaire se poursuit d’ailleurs, puisqu’un autre procès devra avoir lieu relativement aux secrets commerciaux d’une cliente de Liveperson4. Ce litige illustre bien que la cybersécurité concerne non seulement les renseignements personnels, mais aussi les secrets commerciaux et même le bon fonctionnement des logiciels d’entreprise. Plusieurs précautions peuvent être prises pour diminuer les risques d’incidents de cybersécurité. Des politiques internes robustes à tous les niveaux dans l’entreprise aident à maintenir un cadre sécuritaire pour les opérations des entreprises. Combinées à une sensibilisation des employés aux enjeux juridiques et commerciaux de la cybersécurité, ces politiques peuvent être des ajouts importants aux meilleures pratiques en informatique. Par ailleurs, la sensibilisation des employés facilite l’adoption de meilleures pratiques, notamment des investigations systématiques des anomalies de fonctionnement et l'utilisation de méthodes de programmation protégeant les secrets commerciaux de l’entreprise. Qui plus est, il peut être opportun de s’assurer que les contrats avec des clients accordent aux fournisseurs informatiques des accès permettant les suivis nécessaires pour assurer la sécurité des deux parties. Finalement, il faut se rappeler que le conseil d’administration doit faire preuve de soin, de diligence et de compétence tout en veillant à l’intérêt supérieur de l’entreprise.  Les administrateurs pourraient être tenus personnellement responsables s’ils manquent à leurs obligations de veiller à ce que des mesures adéquates soient mises en place pour prévenir des cyberincidents, ou s’ils font fi des risques et font preuve d’aveuglement volontaire.  Ainsi, les membres du conseil d’administration doivent faire preuve de vigilance et être formés et sensibilisés en matière de cybersécurité afin de pouvoir intégrer celle-ci dans leur gestion des risques.    Dans une ère où la propriété intellectuelle est devenue l’actif le plus important d’une société, il va de soi qu’il est primordial de mettre en place les outils technologiques, mais aussi les procédures et les politiques requises pour bien la protéger! N’hésitez pas à faire appel aux services de Lavery pour vous conseiller sur les aspects juridiques de la cybersécurité. voir notamment  Carly Page, This new Android spyware mascarades as legitimate apps, Techcrunch, 10 novembre 2021, en ligne : https://techcrunch.com/2021/11/10/android-spyware-legitimate-apps; Carly Page, FBI says ransomware groups are using private financial information to further extort victims, Techcrunch, 2 novembre 2021, en ligne : https://techcrunch.com/2021/11/02/fbi-ransomware-private-financial-extort. Frank Gardener, NSO Group: Israeli spyware company added to US trade blacklist, BBC News, 3 novembre 2021, en ligne: https://www.bbc.com/news/technology-59149651. Thomas Claburn, Spyware, trade-secret theft, and $30m in damages: How two online support partners spectacularly fell out, The Register, 18 juin 2021, en ligne:  https://www.theregister.com/2021/06/18/liveperson_wins_30m_trade_secret. Blake Brittain, LivePerson wins $30 million from [24]7.ai in trade-secret verdict,Reuters, 17 juin 2021, en ligne: https://www.reuters.com/legal/transactional/liveperson-wins-30-million-247ai-trade-secret-verdict-2021-06-17.

    Lire la suite
  3. Adoption du projet de loi 64 : quel impact pour les organismes publics?

    Le Projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, a été adopté le 21 septembre 2021 par l’Assemblée nationale et modifie une vingtaine de lois ayant trait à protection des renseignements personnels, notamment la Loi sur l’accès aux documents des organismes publics (« Loi sur l’accès »), la Loi sur la protection des renseignements personnels dans le secteur privé et la Loi sur le cadre juridique des technologies de l’information. Bien que les changements touchent à la fois les organismes publics et les entreprises privées, le présent bulletin vise plus particulièrement à effectuer un survol des nouvelles exigences pour les organismes publics visés par la Loi sur l’accès. Nous avons préparé une version amendée de la Loi sur l’accès afin de refléter les changements apportés par le projet de loi n 64. 1. Renforcer les mécanismes d’obtention du consentement et accroître le contrôle des individus à l’égard de leurs renseignements personnels Le Projet de loi n° 64 apporte des changements importants à la notion de consentement lors de la divulgation de renseignements personnels à des organismes publics. Le consentement requis par la Loi sur l’accès aux fins de communication des renseignements personnels devra être demandé distinctement de toute autre information communiquée à la personne concernée (art. 53.1). De plus, tout consentement à la collecte de renseignements personnels sensibles (par exemple des renseignements touchant la santé ou ceux de nature financière qui suscitent un haut degré d’attente raisonnable en matière de vie privée) devra être obtenu de manière expresse (art. 59). Il est maintenant prévu que le consentement des mineurs de moins de 14 ans à la collecte de renseignements personnels doit être donné par le titulaire de l’autorité parentale ou le tuteur, alors que celui du mineur de plus de 14 ans pourra être donné par ce dernier, le titulaire de l’autorité parentale ou le tuteur (art. 53.1). Les personnes auront dorénavant le droit d’accéder aux renseignements les concernant recueillis par les organismes publics dans un format technologique structuré et couramment utilisé (le droit à la portabilité) et d’en exiger la communication à un tiers (art. 84). Si une décision fondée exclusivement sur un traitement automatisé de renseignements personnels est prise par un organisme public, la personne concernée doit en être informée. Si la décision produit des effets juridiques ou le touche autrement, l’organisme public devra divulguer à cette personne (i) les renseignements personnels utilisés dans la prise de décision (ii) les raisons et principaux facteurs ayant mené à la décision et (iii) l’existence d’un droit à la rectification des renseignements personnels utilisés dans la prise de décision (art. 65.1).  Les organismes publics qui ont recours à des moyens technologiques permettant d’identifier, de localiser ou d’effectuer un profilage d’une personne doivent maintenant les informer du recours à cette technologie et des moyens offerts pour désactiver ces fonctions (art. 65.0.1). 2. Protéger les renseignements personnels en amont Les organismes publics devront dorénavant réaliser une évaluation des facteurs relatifs à la vie privée pour tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services mettant en cause la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels (article 63.5). Cette obligation forcera ainsi les organismes publics à se questionner dès le début d’un projet sur les risques que celui-ci soulève quant à la protection de la vie privée et des renseignements personnels. Dès le début d’un tel projet, les organismes publics devront consulter leur comité d’accès à l’information, dont la création est dorénavant enchâssée dans la Loi sur l’accès. 3. Favoriser la responsabilisation des organismes publics et la transparence des pratiques Les changements apportés par le Projet de loi n° 64 visent également à accroître la transparence des processus employés par les organismes publics dans la collecte et l'utilisation des renseignements personnels, ainsi qu'à mettre l'accent sur la responsabilité. Lorsque la nouvelle loi sera en vigueur, les organismes publics devront publier sur leurs sites Internet les règles encadrant la gouvernance à l’égard des renseignements personnels (art. 63.3). Ces règles pourront prendre la forme d’une politique, d’une directive ou d’un guide et devront prévoir les diverses responsabilités des membres du personnel à l’égard des renseignements personnels. Les programmes de formation et de sensibilisation offerts au personnel à cet égard devront également être décrits. Tout organisme public qui recueille des renseignements personnels par un moyen technologique devra diffuser une politique de protection des renseignements personnels en termes simples et clairs (art. 63.4). Un règlement, à être adopté, pourra préciser les renseignements que devra couvrir la politique de protection des renseignements personnels. La communication de renseignements personnels à l’extérieur du Québec devra être divulguée aux personnes concernées (art. 65) et est également assujettie à la réalisation d’une évaluation des facteurs d’impacts sur la vie privée, incluant une analyse du régime juridique applicable dans le lieu où seraient communiqués les renseignements personnels (art. 70.1). La communication à l’extérieur du Québec devra faire l’objet d’une entente écrite (art. 70.1). Un organisme public qui souhaite confier à une personne ou un organisme situé à l’extérieur du Québec la tâche de recueillir, d’utiliser, de communiquer ou de conserver des renseignements personnels pour son compte devra entreprendre un exercice similaire. 4. Gérer les incidents de sécurité Lorsque l’organisme public aura des motifs de croire qu’un incident de confidentialité (étant défini comme l’accès, l’utilisation, la communication ou la perte de renseignements personnels) est survenu, il devra prendre des mesures raisonnables afin de réduire les risques de préjudice et les risques de récidives. De plus, lorsque l’incident présente un risque de préjudice sérieux pour les personnes concernées, celles-ci et la Commission d’accès à l’information (« CAI ») devront être avisées (sauf si cela est susceptible d’entraver une enquête visant à prévenir, détecter ou réprimer le crime ou les infractions aux lois) (art. 63.7). Un registre des incidents de confidentialité devra être tenu (art. 63.10), dont la teneur pourra être précisée par règlement. 5. Augmentation des pouvoirs de la CAI et des sanctions pécuniaires pouvant être imposées Le CAI, dans l’éventualité d’un incident de confidentialité, pourra ordonner à tout organisme public de prendre des mesures visant à protéger les droits des personnes concernées pour le temps et aux conditions qu’elle détermine, après lui avoir permis de présenter des observations (art. 127.2). La CAI dispose désormais du pouvoir d’imposer des sanctions administratives pécuniaires importantes, qui pourront, pour les organismes publics, atteindre 150 000$ (art. 159). En cas de récidive, ces amendes seront portées au double (art. 164.1). Entrée en vigueur Les modifications apportées par le Projet de loi n°64 entreront en vigueur en plusieurs étapes. La majorité des nouvelles dispositions introduites à la Loi sur l’accès aux documents des organismes publics entreront en vigueur deux ans suivant la date de la sanction de la loi, soit le 22 septembre 2021. Certaines dispositions spécifiques entreront toutefois en vigueur un an après cette date, dont notamment : Les obligations relatives aux mesures à prendre lors d’incidents de sécurité (art. 63.7) et les pouvoirs de la CAI lors de la divulgation d’un incident de sécurité (art. 127.2); et L’exception quant à la communication sans le consentement à des fins de recherche (art. 67.2.1);  Conclusion Le délai accordé aux organismes publics pour se conformer aux nouvelles dispositions a commencé à courir le 22 septembre 2021, lors de l’adoption du Projet de loi no 64. Nous vous recommandons de nous consulter pour mettre en place les mesures requises pour vous conformer aux nouvelles exigences législatives. L’équipe Lavery se fera un plaisir de répondre à toutes vos questions concernant les modifications annoncées et les incidences possibles pour votre organisation. Les renseignements et commentaires contenus dans le présent document ne constituent pas un avis juridique. Ils ont pour seul but de permettre au lecteur, qui en assume l’entière responsabilité, de les utiliser à des fins qui lui sont propres.

    Lire la suite
  4. Modifications aux lois sur la protection des renseignements personnels : ce que les entreprises doivent savoir

    Le projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, a été adopté le 21 septembre 2021 par l’Assemblée nationale et modifie une vingtaine de lois ayant trait à la protection des renseignements personnels, notamment la Loi sur l’accès aux documents des organismes publics (« Loi sur l’accès »), la Loi sur la protection des renseignements personnels dans le secteur privé (« Loi sur le secteur privé ») et la Loi sur le cadre juridique des technologies de l’information. Bien que les changements touchent à la fois les organismes publics et les entreprises privées, le présent bulletin vise plus particulièrement à faire un survol des nouvelles exigences pour les entreprises privées visées par la Loi sur le secteur privé.  Nous avons préparé une version amendée de la Loi sur le secteur privé afin de refléter les changements apportés par le projet de loi n 64. Essentiellement, la loi modifiée tend à donner un meilleur contrôle aux individus sur leurs renseignements personnels, à favoriser la protection des renseignements personnels, à responsabiliser davantage les entreprises et à introduire de nouveaux mécanismes visant à assurer le respect des règles en matière de protection des renseignements personnels. Voici une synthèse des principales modifications adoptées par le législateur ainsi que les nouvelles exigences imposées aux entreprises dans ce domaine. Il importe de mentionner que ce nouveau régime de protection des renseignements personnels entrera en vigueur, en grande partie, dans deux ans. 1. Accroître le contrôle des individus sur leurs renseignements personnels et la transparence La nouvelle loi instaure le droit des individus d’accéder aux renseignements les concernant recueillis par les entreprises dans un format technologique structuré et couramment utilisé et d’en exiger la communication à un tiers, à l’exception des renseignements qui sont créés, dérivés, calculés ou inférés à partir des renseignements fournis par la personne concernée (art. 27). Ce droit est usuellement appelé « droit à la portabilité ». Les entreprises ont maintenant une obligation de détruire les renseignements personnels lorsque les fins pour lesquelles ils ont été recueillis ou utilisés sont accomplies. Les entreprises ont également la possibilité d’anonymiser les renseignements personnels selon les meilleures pratiques généralement reconnues pour les utiliser à des fins sérieuses et légitimes (art. 23). Toutefois, il importe que l’identité des individus concernés ne puisse être restaurée. De plus, les entreprises privées doivent désindexer tout hyperlien permettant d’accéder aux renseignements personnels d’un individu (souvent appelé le droit au « déréférencement ») lorsque sa diffusion contrevient à la loi ou à une ordonnance judiciaire (art. 28.1). Si une organisation prend une décision qui est fondée exclusivement sur le traitement automatisé de renseignements personnels, l’individu concerné doit en être informé, et à sa demande, si la décision produit des effets juridiques ou l’affecte autrement, il doit être informé des renseignements personnels qui ont été utilisés dans la prise de décision, ainsi que des raisons et des principaux facteurs ayant mené à celle-ci. La personne doit également être informée de son droit à la rectification (art. 12.1).  Les organisations qui ont recours à des moyens technologiques permettant d’identifier un individu, de le localiser ou d’effectuer son profilage doivent l’informer du recours à cette technologie et des moyens offerts pour désactiver ces fonctions (art. 8.1). La communication et l’utilisation de listes nominatives par une entreprise privée à des fins de prospection commerciale ou philanthropique sont dorénavant assujetties au consentement de la personne concernée. Les entreprises doivent maintenant publier sur leur site Internet en termes simples et clairs leurs règles de gouvernance à l’égard des renseignements personnels (art. 3.2). Ces règles peuvent prendre la forme d’une politique, d’une directive ou d’un guide et doivent notamment prévoir les diverses responsabilités des membres du personnel à l’égard des renseignements personnels. De plus, les entreprises qui recueillent des renseignements personnels par un moyen technologique devront également adopter et publier sur leur site Internet une politique de confidentialité en termes simples et clairs (art. 8.2). La nouvelle loi prévoit également que les entreprises qui refusent une demande d’accès à l’information doivent dorénavant, en plus de motiver leur refus et d’indiquer la disposition de la Loi sur le secteur privé sur laquelle le refus s’appuie, prêter assistance au requérant qui le demande pour l’aider à comprendre ce refus (art. 34). 2. Favoriser la protection des renseignements personnels et la responsabilisation des entreprises Le projet de loi n° 64 vise à accorder une plus grande part de responsabilité aux entreprises en matière de protection des renseignements personnels. C’est ainsi que les entreprises se voient imposer l’obligation de nommer un responsable de la protection des renseignements personnels, qui par défaut sera la personne ayant la plus haute autorité au sein de leur organisation (art. 3.1). En outre, les entreprises devront réaliser une évaluation des facteurs relatifs à la vie privée (« EFVP ») pour tout projet d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels (art. 3.3). Cette obligation force ainsi les entreprises à s’interroger dès le début d’un projet sur les risques que celui-ci soulève quant à la protection de la vie privée et des renseignements personnels. L’EFVP devra être proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support (art. 3.3). Les entreprises devront également procéder à une EFVP lorsqu’elles auront l’intention de communiquer des renseignements personnels à l’extérieur du Québec, afin de déterminer si les renseignements bénéficieront d’une protection adéquate eu regard notamment aux principes de protection des renseignements personnels généralement reconnus (art. 17). La communication devra aussi faire l’objet d’une entente écrite qui tient compte notamment des résultats de l’EFVP et, le cas échéant, des modalités convenues dans le but d’atténuer les risques identifiés (art. 17 (2)). La communication par les entreprises des renseignements personnels à des fins d’études, de recherche ou de production de statistiques est aussi assujettie à la réalisation d’une EFVP (art. 21). De plus, ce régime est substantiellement modifié puisque le tiers qui souhaite utiliser les renseignements personnels à ces fins doit présenter une demande écrite à la Commission d’accès à l’information (« CAI »), joindre une présentation détaillée de ses activités de recherche et divulguer la liste de toutes les personnes et de tous les organismes auprès desquels il a fait une demande de communication similaire (art. 21.01.1 et 21.01.02). Les entreprises peuvent aussi communiquer un renseignement personnel à un tiers, sans le consentement de l’individu concerné, dans le cadre de l’exécution d’un contrat de service ou d’entreprise. Le mandat devra faire l’objet d’un contrat écrit, qui devra notamment prévoir les mesures de protection des renseignements personnels à respecter par le mandataire ou le prestataire de service (art. 18.3). La communication de renseignements personnels, sans le consentement des individus visés, dans le cadre d’une transaction commerciale entre entreprises privées fait l’objet d’un encadrement supplémentaire (art. 18.4). La notion de transaction commerciale s’entend de « l’aliénation ou de la location de tout ou partie d’une entreprise ou des actifs dont elle dispose, d’une modification de sa structure juridique par fusion ou autrement, de l’obtention d’un prêt ou de toute autre forme de financement par celle-ci ou d’une sûreté prise pour garantir une de ses obligations » (art. 18.4). Les entreprises doivent détruire ou rendre anonymes les renseignements personnels recueillis lorsque les fins de la collecte ont été accomplies, sous réserve des délais de conservation prévus par une loi (art. 23). Il s’agit d’un changement important pour les entreprises privées qui peuvent présentement conserver des renseignements personnels caducs s’ils ne les utilisent pas. La nouvelle loi impose aussi l’intégration du principe de la protection de la vie privée par défaut (privacy by default), ce qui implique que les entreprises qui recueillent des renseignements personnels en offrant au public un produit ou un service technologique disposant de divers paramètres de confidentialité doivent s’assurer que ces paramètres assurent par défaut le plus haut niveau de confidentialité, sans aucune intervention de la personne concernée (art. 9.1). Cela ne s’applique pas aux paramètres de confidentialité d’un témoin de connexion (aussi appelés cookies). Lorsqu’une entreprise a des motifs de croire qu’un incident de confidentialité est survenu, elle doit prendre des mesures raisonnables afin de réduire les risques de préjudice et les risques de récidives (art. 3.5). La notion d’incident de confidentialité est définie comme étant l’accès à un renseignement personnel ou l’utilisation, la communication ou la perte de renseignements personnels (art. 3.6). De plus, les entreprises ont l’obligation d’aviser les personnes concernées, ainsi que la Commission d’accès à l’information de chaque incident qui présente un risque sérieux de préjudice, qui s’évalue à la lumière de la sensibilité des renseignements concernés, des conséquences appréhendées de leur utilisation et de la probabilité qu’ils soient utilisés à des fins préjudiciables (art. art. 3.7). Les entreprises devront également tenir un registre des incidents de confidentialité qui devra être communiqué à la CAI sur demande (art. 3.8). 3. Renforcer le régime d’obtention du consentement La nouvelle loi modifie la Loi sur le secteur privé de façon à ce que le l’obtention de tout consentement qui y est prévu soit manifeste, libre et éclairé et qu’il soit donné à des fins spécifiques. Ce consentement doit de plus être demandé pour chacune des fins de la collecte, en termes simples et clairs et de manière distincte, de façon à éviter qu’il ne soit obtenu par le biais de conditions d’utilisation complexes et difficilement compréhensibles pour les personnes concernées (art. 14).   Le consentement des mineurs de moins de 14 ans à la collecte de renseignements personnels par les entreprises doit être donné par le titulaire de l’autorité parentale, alors que celui du mineur de 14 ans et plus pourra être donné par le mineur, par le titulaire de l’autorité parentale ou par le tuteur (art. 14). Au sein d’une entreprise, le consentement à la communication d’un renseignement personnel sensible (par exemple des renseignements de santé ou par ailleurs intimes) doit être manifesté de façon expresse (art. 12). 4. Assurer une meilleure conformité aux exigences prévues à la Loi sur le secteur privé La Loi sur le secteur privé est aussi modifiée par l’ajout de nouveaux mécanismes visant à faire en sorte que les entreprises assujetties respectent les exigences qui y sont prévues. D’une part, la CAI se voit accorder le pouvoir d’imposer des sanctions administratives pécuniaires dissuasives aux contrevenants. Ces sanctions peuvent s’élever jusqu’à 10 000 000 $ ou 2 % du chiffre d’affaires mondial de l’entreprise (art. 90.12). En cas de récidive, ces amendes seront portées au double (art. 92.1). De plus, lorsqu’un incident de confidentialité survient au sein d’une entreprise, la CAI peut lui ordonner de prendre des mesures visant à protéger les droits des individus concernés, après lui avoir permis de présenter des observations (art. 81.3). Ensuite, de nouvelles infractions pénales sont créées, pouvant elles aussi mener à l’imposition d’amendes sévères. Pour les entreprises contrevenantes, ces amendes peuvent s’élever jusqu’à 25 000 000 $ ou 4 % de leur chiffre d’affaires mondial (art. 91). Finalement, la nouvelle loi crée également un nouveau droit d’action privé. Essentiellement, celui-ci prévoit que lorsqu’une atteinte illicite à un droit conféré par la Loi sur le secteur privé ou par les articles 35 à 40 du Code civil cause un préjudice et que cette atteinte est intentionnelle ou résulte d’une faute lourde, les tribunaux peuvent accorder des dommages-intérêts punitifs d’une valeur minimale de 1000 $ (art. 93.1). 5. Entrée en vigueur Les modifications apportées par le projet de loi n° 64 entreront en vigueur en plusieurs étapes. La majorité des nouvelles dispositions de la Loi sur le secteur privé entreront en vigueur deux ans suivant la date de la sanction de la loi, qui était le 22 septembre 2021. Certaines dispositions spécifiques entreront toutefois en vigueur un an après cette date, dont notamment : L’obligation pour les entreprises de désigner un responsable de la protection des renseignements personnels (art. 3.1) L’obligation de signalement des incidents de confidentialité (art. 3.5 à 3.8) L’exception à la communication de renseignements personnels dans le cadre d’une transaction commerciale (art. 18.4) et L’exception à la communication de renseignements personnels pour des fins d’études ou de recherche (art. 21 à 21.0.2). D’autre part, la disposition consacrant le droit à la portabilité des renseignements personnels (art. 27) entrera en vigueur trois ans suivant la sanction de la loi. Les membres de l’équipe Lavery sont disponibles pour répondre à vos questions et pour vous aider à vous conformer aux nouvelles exigences en matière de protection des renseignements personnels introduites dans la Loi sur le secteur privé. Les informations et commentaires contenus dans le présent document ne constituent pas un avis juridique. Ils ont pour seul but de permettre au lecteur, qui en assume l’entière responsabilité, de les utiliser à des fins qui lui sont propres.

    Lire la suite