Dans notre première rubrique sur la protection des renseignements personnels au Québec, nous avons expliqué les notions juridiques de base applicables dans la situation où une entreprise est assujettie à la Loi sur la protection des renseignements personnels dans le secteur privé (ci-après dénommée la « LPRPSP ») au Québec.
Dans cette rubrique-ci, nous détaillerons les responsabilités détenues par les entreprises en faveur des personnes physiques concernées en vertu de la LPRPSP. Pour ce faire, ce billet est divisé en deux parties.
- La première partie expose les cas de responsabilité d’une entreprise en ce qui a trait à la protection des renseignements personnels recueillis, utilisés ou communiqués.
- La seconde partie discute des conséquences auxquelles une entreprise s’expose lorsque celle-ci est en défaut de respecter ses responsabilités.
Rappelez-vous que le 12 juin 2020, le projet de loi n° 64 sur la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels a été introduit à l’Assemblée Nationale du Québec. Ce projet de loi propose des modifications significatives à la protection des renseignements personnels telle que présentée dans nos deux rubriques.Une fois cette loi adoptée, nous vous proposerons un billet de blogue sur ces modifications. Pour demeurer à l’affût de ces changements et de tout changement aux lois qui s’appliquent aux entreprises, suivez-nous sur nos réseaux sociaux.
La responsabilité de l'entreprise vis-à-vis des renseignements personnels des personnes au Québec
Au Québec, toute entreprise qui est assujettie aux dispositions de la LPRPSP possède la responsabilité de s’y conformer. Cette responsabilité peut se découper en deux: la responsabilité de confidentialité des renseignements personnels et la responsabilité d’accès et de rectification des renseignements personnels.
LA RESPONSABILITÉ DE CONFIDENTIALITÉ
La LPRPSP prévoit trois articles de loi qui veillent à assurer la confidentialité des renseignements personnels de toute personne concernée lorsqu’un dossier est constitué à son sujet au Québec.
L’article 10 de la LPRPSP prévoit que toute entreprise qui collecte, utilise ou communique des renseignements personnels doit prendre toutes les mesures de sécurité raisonnables qui sont nécessaires à la conservation et à la destruction de ces documents. Dans la détermination du caractère raisonnable des mesures prises, il est tenu compte par exemple du support sur lequel ces renseignements figurent ainsi que de leur quantité, ou de la finalité de leur utilisation ou des renseignements qui y sont contenus.
L’article 11 de la LPRPSP exige que les entreprises maintiennent à jour le dossier d’une personne qui revêt des renseignements personnels lorsque celles-ci prennent une décision à son sujet. Cette obligation vise à sauvegarder l’intégrité de l’information, tant dans son fond que sa forme, et que la personne concernée ne subit pas un préjudice basée sur une information qui est inexacte ou désuète à son égard. D’ailleurs, lorsqu’une entreprise doit mettre à jour un tel dossier, celle-ci doit demander le consentement de la personne concernée à nouveau. Le corollaire de cette exigence est le droit d’accès et de rectification qu’une personne possède vis-à-vis du dossier qui la concerne. Nous détaillerons ce droit dans la seconde partie de ce billet.
L’article 12 de la LPRPSP permet aux entreprises d’utiliser les renseignements personnels d’une personne uniquement dans le cadre de l’objet pour lequel le dossier est constitué. Autrement dit, une fois que l’objet du dossier est accompli, l’entreprise ne possède plus le droit d’y avoir recours. Toutefois, cela ne sous tend pas que l’entreprise possède l’obligation de détruire tout dossier qui détient des renseignements personnels, ce qui constitue une différence notable avec l’article 4.5.3. de la Loi sur la protection des renseignements personnels et les documents électroniques (ci-après dénommée la « LPRPDE »). Lorsqu’une entreprise désire utiliser les renseignements personnels recueillis dans le cadre d’un autre objet que celui pour lequel ces renseignements ont été initialement recueillis, un nouveau consentement de la personne concernée doit être demandé.
LA RESPONSABILITÉ D’ACCÈS ET DE RECTIFICATION DU DOSSIER
En vertu de l’article 8 de la LPRPSP, toute entreprise qui détient un dossier sur autrui doit informer la personne concernée de :
- L’objet du dossier,
- L’utilisation du dossier et de l’accès qui y est réservé au sein de l’entreprise, et
- L’endroit où le dossier sera détenu ainsi que du droit d’y avoir accès ou de le rectifier.
Ainsi, toute personne au sujet de qui un dossier contenant ses informations personnelles est constitué, possède le droit d’y avoir accès et de le rectifier. À cet effet, la personne peut déposer une demande d’accès ou de rectification écrite auprès de l’entreprise en question (articles 27 et 28 LPRPSP). Il faut noter que l’accès et la rectification au dossier peut être pratiquée par plusieurs personnes en plus de la personne concernée, notamment un héritier à titre de liquidateur de la succession de la personne concernée ou le bénéficiaire d’une assurance-vie sur la personne concernée. En outre, l’accès au dossier doit être gratuit, seuls des frais raisonnables pour la reproduction, la transcription ou la transmission des renseignements peuvent être exigés par une entreprise.
Une fois saisie d’une demande d’accès ou de rectification, toute entreprise doit y répondre dans un délai de 30 jours. Si celle-ci ne répond pas à la demande, son silence vaudra pour un refus d’accès ou de rectification du dossier. Malgré cela, l’entreprise doit conserver ce dossier jusqu’à ce que tous les recours de la personne concernée et prévus par la loi expirent. En l’espèce, un personne physique peut saisir la Commission de l’accès à l’information pour demander une révision du refus de l’entreprise. La Commission, qui est un organisme gouvernemental chargé de promouvoir le respect de cette loi auprès des personnes physiques, des entreprises et des organismes publics, est investie par LPRPSP pour intervenir et régler toute incompréhension ou conflit dans l’application de la LPRPSP ou le retrait d’une liste nominative (article 42 LPRPSP).
EXCEPTIONS AU DROIT D’ACCÈS ET DE RECTIFICATION
Plusieurs exceptions au droit d’accès et de rectification d’un dossier qui contient des renseignements personnels existent. Pour les fins de ce billet, nous discuterons les trois exceptions les plus courantes, mais sachez que d’autres exceptions existent, notamment en ce qui a trait aux dossiers médicaux des personnes qui jouissent d’un traitement particulier sous la loi du Québec.
La première exception est celle de l’intérêt public. Dans certaines circonstances, une entreprise sera autorisée à refuser l’accès et la rectification d’un dossier pour une raison d’intérêt public. Un exemple commun est celui du secret professionnel. Cette n’exception n’est pas prévue noir sur blanc dans la LPRPSP, mais a été reconnue et appliquée par les tribunaux à plusieurs reprises. Par exemple, le secret professionnel établi dans le cadre d’une relation professionnelle entre un avocat et son client jouit d’un statut quasi-constitutionnel au yeux de la loi et constitue un motif qui peut empêcher l’exercice du droit d’accès ou de rectification si cela divulguait des informations qui revêtent du secret professionnel.
La seconde exception est celle des renseignements au sujet d’un ou de plusieurs tiers (article 40 LPRPSP). Par conséquent, une entreprise peut refuser l’accès ou la rectification d’un dossier lorsque ce dossier révèle des renseignements sur un tiers et que ces renseignements peuvent nuire à celui-ci. C’est seulement dans le cas où le tiers consent à l’accès ou à la rectification, ou que la vie, la santé ou la sécurité d’une personne est menacée, qu’il est possible pour une entreprise d’outrepasser cette exigence de la loi.
La troisième exception permet à une entreprise de refuser de communiquer un renseignement personnel lorsque celui-ci a, de manière vraisemblable, un effet sur une procédure judiciaire en cours ou future qui oppose l’entreprise à laquelle le renseignement personnel est demandé et la personne concernée par ce renseignement (article 39(2) LPRPSP). D’ailleurs, c’est l’entreprise qui devra prouver l’effet préjudiciable de la communication et l’existence ou la possibilité d’un recours. Par exemple, l’envoi d’une mise en demeure par la personne concernée fait généralement état d’une possibilité de recours aux yeux des tribunaux.
C’est ce qui conclut la section sur les responsabilités qu’une entreprise possède en faveur d’une personne physique. Dans la prochaine section, nous regardons comment ces responsabilités peuvent se concrétiser dans le cadre d’un litige.
La responsabilité civile des entreprises au Québec
Lorsque la LPRPSP a été adoptée, le législateur n’a pas prévu un mécanisme spécifique ou un tribunal spécial chargé de mettre en œuvre ou d’offrir une réparation à toute personne qui subirait un préjudice suite à une violation d’une disposition de la LPRPSP. Toutefois, cela ne signifie pas qu’une entreprise est à l’abri d’une poursuite en vertu de la LPRPSP. Au contraire, toute entreprise peut être poursuivie en dommages-intérêts pour un manquement à la LPRPSP ou en vertu des principes de droit commun afin de réparer un préjudice causé à une personne physique au Québec.
Donc, lorsqu’il est temps de faire valoir un droit conféré par la LPRPSP, une personne physique peut s’adresser au tribunal de droit commun compétent pour demander réparation. Ainsi, un recours en dommages-intérêts peut être intenté devant la Cour du Québec lorsque la valeur du litige est inférieure à 85 000$ ou devant la Cour supérieure du Québec lorsque la valeur du litige est de 85 000$ et plus. À des dommages-intérêts peuvent s’ajouter des dommages-intérêts exemplaires. Ces dommages sont accordés par un tribunal lorsque celui-ci veut punir ou dénoncer le comportement répréhensible de l’entreprise fautive. En matière de renseignements personnels, des dommages-intérêts exemplaires ont été accordés lorsqu’une entreprise, sans raison, a refusé de donner accès à une personne à ses renseignements personnels en contravention de l’article 11 de la LPRPSP.
Donc, les entreprises ne sont pas à l’abri des sanctions judiciaires : elles doivent respecter et appliquer la LPRPSP, à défaut de quoi des dommages-intérêts et exemplaires peuvent être accordés pour réparer un préjudice causé par la violation de la LPRPSP.
Conclusion
- La LPRPSP est une loi fondamentale que vous devez respecter comme entrepreneur(e) et administrateur(e) dès lors que vous recueillez, communiquez ou utilisez les renseignements personnels de vos clients du Québec.
- Vous n’êtes pas seul : Lexstart est là pour vous aider à vous procurer les termes et conditions nécessaires sans compromettre votre budget en vous offrant des services juridiques abordables et personnalisés.
Nous espérons que cet article vous a permis de mieux comprendre l’étendue de vos responsabilités vis-à-vis la protection des renseignements personnels de vos clients et l’importance de vous munir d’une convention de termes et conditions qui respecte la loi. Pour plus d’informations à ce sujet ou sur le processus de démarrage de votre entreprise, contactez-nous.