Au Québec, deux lois régissent de manière spécifique la cueillette, la communication et l’utilisation des renseignements personnels par une entreprise dans le cadre de l’opération de ses activités. Il s’agit de :
- La Loi sur la protection des renseignements personnels dans le secteur privé (ci-après dénommée la « LPRPSP ») qui est une loi du gouvernement du Québec en vigueur depuis 1994, ainsi que
- La Loi sur la protection des renseignements personnels et les documents électroniques (ci-après dénommée la « LPRPDE ») qui est une loi du gouvernement du Canada et en vigueur depuis 2004.
Dès lors qu’une personne physique ou morale opère une entreprise au Québec, celle-ci doit respecter ces deux lois. Par exemple, si votre entreprise propose la vente de biens ou de services sur un site internet, se munir d’une convention sur les termes et conditions pour votre commerce en ligne devient ainsi essentiel afin de respecter ces deux lois.
Dans ce billet de blogue, nous regardons en détail la LPRPSP avec pour principal objectif d’expliquer les responsabilités des entrepreneurs et administrateurs d’une entreprise vis-à-vis de la protection des renseignements personnels des personnes. Toutefois, nous ne couvrons pas les règles prévues par la LPRPDE. Bien que cette loi soit similaire à la LPRPSP, il existe certains points de différence. Pour plus d’informations au sujet de la LPRPDE, contactez-nous.
Ceci étant dit, dans cette première rubrique, nous passons en revue les fondements juridiques suivants :
- Le champ d’application de la LPRPSP,
- La cueillette, la communication et l’utilisation des renseignements personnels, ainsi que
- La notion de consentement.
Dans une seconde rubrique qui fait l’objet d’un autre billet de blogue, nous abordons spécifiquement la responsabilité de l’entreprise sous la LPRPSP.
Notez que le 12 juin 2020, le projet de loi n° 64 sur la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels a été introduit à l’Assemblée Nationale du Québec. Ce projet de loi propose des modifications significatives à la protection des renseignements personnels telle que présentée dans nos deux rubriques. Une fois cette loi adoptée, nous vous proposerons un billet de blogue sur ces modifications. Pour demeurer à l’affût de ces changements et de tout changement aux lois qui s’appliquent aux entreprises, suivez-nous sur nos réseaux sociaux.
Champ d'application de la LPRPSP au Québec
Pour comprendre ce qu’est la LPRPSP, nous débutons ce billet en expliquant les bases légales de la loi, soit son objectif et à qui elle s’applique au Québec.
OBJECTIF ET PORTÉE DE LA LPRPSP
La LPRPSP a pour objet de protéger le respect de la réputation et de la vie privée des personnes physiques prévus aux articles 35 à 40 du Code civil du Québec (ci-après dénommée « CcQ »). Pour ce faire, la LPRPSP porte sur :
- Les renseignements personnels des personnes physiques qui
- Font l’objet d’une cueillette, d’une communication ou d’une utilisation à une tierce personne, soit une personne physique ou morale,
- À l’occasion de l’exploitation d’une entreprise (Article 1 LPRPSP).
Le concept de « renseignements personnels » comprend tout renseignement qui concerne une personne physique et permet de l’identifier (Article 2 LPRPSP). Cette définition s’applique exclusivement aux personnes physiques et tend à être interprétée généreusement par les tribunaux. Donc, tout renseignement au sujet d’une personne morale ne peut pas constituer un renseignement personnel au sens de la loi: la LPRPSP vise à protéger uniquement les individus.
Le concept de « l’occasion de l’exploitation d’une entreprise » est défini par l’article 1525 al. 3 du CcQ qui, dans la pratique, est aussi interprété largement par les tribunaux. Pour les fins de cet article, il faut se rappeler que cette expression:
- N’opère pas de distinction entre les structures juridiques des entreprises et qu’elle peut aller au-delà de la conception populaire de ce qu’est une entreprise. Ainsi, il a été jugé qu’un syndicat remplit la définition d’une entreprise pour les fins de la LPRPSP.
- Inclut toute entreprise qui exerce ses activités au Québec, peu importe sa juridiction d’incorporation et le lieu de conservation des renseignements personnels.
- Inclut toute société ou association qui exploite une entreprise qui est assujettie aux dispositions de la loi (article 96 LPRPSP).
Pour remplir son objectif, la LPRPSP jouit d’un statut légal particulier. En effet, cette loi prévaut sur toute autre loi et règlement en matière de protection des renseignements personnels dans le secteur privé au Québec, à moins d’une mention expresse contraire dans une autre loi. Par conséquent, une entreprise ne peut pas adopter un règlement interne sur la protection des renseignements personnels de ses employés qui prévoit des mesures qui ne respectent pas le seuil de protection fixé par la loi. Par contre, cette entreprise peut aller au-delà du seuil fixé et offrir des mesures de protection plus avantageuses (Article 94 LPRPSP)
EXCEPTIONS À L’APPLICATION DE LA LPRPSP
Il existe certaines exceptions à l’application de la LPRPSP, par exemple :
- Les organismes publics au sens de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels et toute personne tierce qui détient des renseignements personnels pour le compte de ceux-ci (Article 3 LPRPSP).
- Les renseignements personnels obtenus ou produits lors d’une action collective – il s’agit d’une procédure judiciaire dans le cadre de laquelle un groupe de personnes poursuit une même personne pour les mêmes raisons et objectifs.
- Certains aspects de l’exploitation d’une entreprise incorporée selon la loi fédérale et qui relèvent de la compétence du gouvernement fédéral. Par exemple, les relations de travail d’une compagnie fédérale ne sont pas assujetties à la LPRPSP.
Dans ces cas-ci, la LPRPSP ne s’applique pas, mais ces exceptions ne constituent pas une liste exhaustive de celles-ci : il s’agit plutôt des exceptions couramment reconnues par les tribunaux.
La cueillette, la communication et l'utilisation des renseignements personnels
Au Québec, lorsqu’une entreprise recueille des renseignements personnels au sujet d’une personne en vue de constituer un dossier sur celle-ci, 3 règles fondamentales doivent être respectées.
(1) RÈGLE DU CONSENTEMENT
Premièrement, toute collecte, communication et utilisation de renseignements personnels d’une personne physique est assujettie au consentement de celle-ci. Le consentement est la pierre angulaire de la LPRPSP. Sans avoir obtenu le consentement de la personne concernée, nul ne peut recueillir, communiquer ou utiliser un renseignement personnel. Nous réservons plus bas une section entière à la notion du consentement compte tenu de son importance.
(2) RÈGLE DE L’INTÉRÊT SÉRIEUX ET LÉGITIME
Deuxièmement, la constitution d’un dossier sur autrui requiert l’existence d’un intérêt sérieux et légitime à cette fin. Autrement dit, toute entreprise qui désire créer un dossier qui contient des renseignements personnels au sujet d’un individu doit posséder un intérêt sérieux et légitime pour le faire. Par exemple, l’exécution d’un contrat peut constituer un intérêt suffisamment sérieux et légitime pour demander le nom légal d’une personne avec qui l’entreprise veut conclure le contrat.
Cette exigence doit se lire conjointement avec le critère de la nécessité.Prévu à l’article 5 LPRPSP, ce critère exige que seuls les renseignements personnels qui sont nécessaires à l’objet du dossier qui est constitué doivent être recueillis. Qu’est-ce que « nécessaire » signifie ? L’interprétation du critère de la « nécessité » varie en fonction des circonstances et des objectifs de la cueillette d’information. À cet égard, notez que c’est à l’entreprise de démontrer qu’elle respecte le critère de la nécessité. De plus, aucune entreprise ne peut utiliser le consentement de la personne concernée pour faire la preuve de la nécessité ou pour l’écarter. En d’autres mots, le simple fait que la personne concernée par le dossier consente à la cueillette des renseignements personnels est insuffisant pour qu’une entreprise respecte le caractère « nécessaire » de la cueillette de l’information.
(3) RÈGLE DE LA CUEILLETTE DIRECTE
Troisièmement, toute collecte de renseignements personnels doit s’effectuer directement auprès de la personne concernée (article 6 LPRPSP). Il est fait exception à cette règle lorsqu’une personne accorde son consentement pour que la cueillette s’effectue auprès d’un tiers. Dans un tel cas, le tiers possède aussi certaines obligations vis-à-vis de la personne concernée, notamment en matière de consentement.
De plus, toute collecte de renseignements personnels ne doit pas être imposée comme condition à la conclusion d’un contrat de biens ou de services ou d’un contrat d’emploi. Précisément, l’article 9 LPRPSP interdit aux entreprises de refuser une demande de biens, de services, ou d’emploi sur la base du refus du demandeur de fournir un renseignement personnel. À cette règle, trois exceptions existent :
- Lorsque les renseignements personnels sont nécessaires pour la conclusion ou l’exécution du contrat : dans ce cas-là, il appartient à l’entreprise de démontrer cette nécessité.
- Lorsque les renseignements personnels sont autorisés par la loi à être recueillis.
- Lorsqu’il y a des motifs raisonnables de croire que la cueillette de renseignements personnels n’est pas permise par la loi.
Donc, une entreprise peut refuser à une personne de conclure un contrat avec celle-ci sur la base de son refus de fournir un renseignement personnel dans une des trois situations décrites ci-dessus. Dans la prochaine section, nous porterons un regard précis sur le consentement à la collecte, la communication et l’utilisation des renseignements personnels.
Le consentement en vertu de la LPRPSP au Québec
D’emblée, une entreprise doit s’assurer que toute collecte, communication et utilisation de renseignements personnels contenus dans un dossier sur une personne respecte l’objet de ce dossier et qu’elle possède le consentement de la personne concernée. Dans cette section, nous regardons la notion de consentement et ses modalités telles qu’appliquées au Québec.
LA NOTION DE CONSENTEMENT
L’article 14 LPRPSP prévoit que « le consentement à la collecte, à la communication ou à l’utilisation d’un renseignement personnel doit être manifeste, libre, éclairé et être donné à des fins spécifiques (nos soulignements). Ce consentement ne vaut que pour la durée nécessaire à la réalisation des fins pour lesquelles il a été demandé. »
Donc, un consentement qui ne respecte pas ces conditions est jugé sans effet, soit qu’il n’a jamais été accordé. De plus, cela signifie que, chaque fois qu’une entreprise veut utiliser des renseignements personnels pour un objet autre que celui pour lequel ces renseignements ont été initialement recueillis, celle-ci doit demander le consentement de la personne concernée de nouveau. Aussi, le consentement doit être explicite et ne peut pas être inféré par les circonstances dans lesquelles celui-ci a été donné : il ne peut pas être implicite.
Toutefois, les tribunaux reconnaissent qu’un consentement peut être intrinsèque à un acte juridique ou à une situation spécifique. Autrement dit, le consentement de la personne concernée serait essentiel à l’accomplissement de l’acte juridique ou à la réalisation de la situation. Par exemple, la personne assurée qui réclame auprès de son assureur une compensation pour son invalidité doit consentir à la communication de ses renseignements personnels médicaux pertinents pour compléter sa demande. Dans un cas où il n’y a pas eu de consentement explicite qui a été accordé par l’assuré, le consentement de celui-ci a été jugé intrinsèque et accordé par la nature même de l’acte juridique de réclamation. Il faut souligner que l’interprétation du caractère intrinsèque du consentement dépend des circonstances et afin d’éviter toute exposition aux risques, il est pratique courante pour une entreprise de toujours demander le consentement explicite et écrit de la personne concernée.
EXCEPTIONS AU CONSENTEMENT
Il existe deux principales exceptions à l’exigence de consentement dans la communication des renseignements personnels d’un individu.
En premier lieu, les articles 18 à 18.2 LPRPSP prévoient des situations à l’intérieur desquelles une entreprise n’aura pas à demander l’autorisation de la personne concernée avant de communiquer ses renseignements personnels à des tiers spécifiques. Sans en procurer la liste exhaustive, une telle communication peut être faite par exemple pour le bénéfice du directeur des poursuites criminelles et pénales dans le cadre d’une poursuite pour une infraction à une loi applicable au Québec, si le renseignement communiqué est nécessaire à la poursuite. Peut aussi bénéficier de cette exception une personne qui possède le mandat de recouvrer une créance pour autrui, si le renseignement communiqué est requis dans l’exercice de ses fonctions.
En second lieu, les articles 22 à 26 de la LPRPSP permettent la communication des renseignements personnels dans le cadre des listes nominatives qui ont un objet philanthropique ou de prospection commerciale. Ces listes sont des carnets d’informations qui contiennent les noms, les adresses ou les numéros de téléphone de personnes physiques. Cette exception se base sur le raisonnement voulant qu’un individu est présumé avoir consenti de faire partie de ces listes. En ce cas, le législateur a jugé que l’objet de ces listes ne va pas à l’encontre de l’objectif de la protection des renseignements personnels puisque tout individu peut mettre fin à cette présomption en faisant signaler son retrait de la liste à toute entreprise. Cette exception peut aussi s’appliquer à la communication de la liste nominative à une tierce partie en vue d’un même objectif. Pour ce faire, plusieurs conditions doivent être remplies tel que prévu par l’article 22 de la LPRPSP. Il faut noter que toute personne physique ou morale qui utilise une liste nominative et contacte un individu par son intermédiaire, par voie de télécommunication ou postale, possède l’obligation de s’identifier et d’informer la personne contactée de son droit d’être retirée de la liste en vertu de laquelle celle-ci a été contactée (article 24 LPRPSP).
C’est ce qui clôt la section sur le consentement ainsi que les notions de base qui ont trait à la protection des renseignements personnels des personnes physiques par toute entreprise.
Conclusion
En conclusion, rappelez-vous que :
- La LPRPSP est une loi fondamentale au Québec que vous devez respecter comme entrepreneur(e) ou administrateur(e) dès lors que vous recueillez, communiquez ou utilisez les renseignements personnels de vos clients au Québec.
- Vous n’êtes pas seul : Lexstart est là pour vous aider à vous procurer des termes et conditions sans compromettre votre budget en vous offrant des services juridiques abordables et personnalisés.
Nous espérons que cet article vous a permis de mieux comprendre l’étendue de vos responsabilités vis-à-vis du traitement des renseignements personnels de vos clients et l’importance de vous munir d’une convention de termes et conditions qui respecte la loi. Pour plus d’informations à ce sujet ou sur le processus de démarrage de votre entreprise, contactez-nous.
