Objectifs et principaux impacts de la Loi sur les entreprises privées et publiques
Comme son nom l’indique, cette loi vise à moderniser, harmoniser et bonifier les différentes lois qui traitent de protection des renseignements dans les secteurs privés et publics. En fait, les obligations seront très similaires pour les deux types d’organisations. La loi vient préciser que toute personne qui détient des renseignements sur autrui est responsable de la protection de ceux-ci. Ainsi, la loi demande de nommer une personne dans l’organisation qui sera responsable du respect et de la mise en œuvre de la loi et de la protection des renseignements personnels pour l’organisation. En principe, il s’agira de la personne ayant la plus haute autorité dans l’organisation, à moins que celle-ci désigne un autre responsable. Cette information sera mise à la disposition du public. Dans le cas du secteur public, une formation devra être offerte aux employés en matière de protection des renseignements personnels.
Des responsabilités accrues pour les organisations
La loi exige également que les organisations publient des règles encadrant leur gouvernance à l’égard des renseignements personnels. Elles devront émettre une politique et des pratiques claires en matière de protection des renseignements personnels, de conservation et de destruction d’information et les diffuser aux membres de l'organisation tout en les rendant publiques. Cette politique devra faire état du rôle et des responsabilités de l’entreprise en matière de traitement des plaintes. Les organisations publiques quant à elles devront établir des règles en matière de gouvernance et de protection des renseignements personnels. Une formation devra être offerte aux employés sur ce sujet. Les deux types d’organisations devront publier sur le site Internet de l’organisation des informations détaillées sur ces politiques et pratiques.
La loi oblige également les organisations à aviser la Commission d'accès à l’information (CAI) de tout incident de confidentialité concernant les renseignements personnels qui sont détenus par l’entreprise et qui présentent un risque qu’un préjudice sérieux soit causé. L’entreprise devra également aviser les personnes dont les renseignements personnels sont visés par l’incident. Les entreprises devront tenir un registre faisant état de tous les incidents survenus en matière de confidentialité ainsi que des actions entreprises afin de mitiger ceux-ci.
L’utilisation des technologies de l’information
Par ailleurs, la loi vient encadrer les activités visant l’utilisation des technologies dans les activités des entreprises. Tout projet qui vise l’acquisition, le développement et/ou la refonte d’un système d’information ou de prestation électronique de service impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels devra faire l’objet au préalable d’une Évaluation des facteurs relatifs à la vie privée (EFVP). Cette évaluation devra être proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support et devra se faire de concert avec le responsable de la protection des renseignements personnels de l’entreprise.
La loi énonce également des balises à suivre dans le cas d’une personne qui recueille des renseignements personnels en ayant recours à une technologie qui permet le profilage (soit l’évaluation de certaines informations qualitatives et quantitatives), l’identification et la localisation de personnes. La loi précise également les paramètres à suivre pour les produits et services technologiques offerts au public qui devront, par défaut, présenter les plus hauts niveaux de confidentialité sans aucune intervention de la personne concernée. Autrement dit, le paramétrage par défaut devra garantir une protection maximale de la confidentialité des renseignements personnels.
Elle s’applique également aux entreprises qui communiquent des renseignements à l’extérieur du Québec ou qui confient à une personne ou à un organisme à l’extérieur du Québec la tâche de recueillir, d’utiliser, de communiquer ou de conserver pour son compte de tels renseignements. Pour ce faire, les entreprises devront au préalable réaliser une EFVP qui devra tenir compte de la sensibilité de l’information, de la finalité de son utilisation, des mesures de protection, y compris celles qui sont contractuelles, dont bénéficieront les renseignements personnels, ainsi que le régime juridique applicable dans le pays où le renseignement est communiqué. La communication ne pourra se faire que si l’évaluation démontre que le renseignement bénéficiera d’une protection adéquate, et une entente écrite devra être conclue.
La loi vient également préciser la notion de consentement pour les personnes concernées. On parle d’un consentement manifeste, libre et éclairé. Lorsqu’il s’agit d’un renseignement personnel critique, incluant la biométrie, le consentement doit être manifesté de façon expresse. Par ailleurs, le consentement doit être donné à des fins précises. Lorsque le consentement se fait par écrit, il doit être présenté distinctement de toute autre information communiquée à la personne concernée. Finalement, le consentement ne vaut que pour la durée de la finalité pour laquelle il a été demandé. Lorsque la fin pour laquelle le renseignement a été demandé est accomplie, il y a obligation de détruire les renseignements personnels ou de les anonymiser pour les utiliser à des fins sérieuses et légitimes, sous réserve d’un délai de conservation prévu par une loi.
Les pouvoirs de la CAI et les impacts financiers possibles
La loi étend également le pouvoir de la CAI. À ce titre, elle donne le pouvoir à la CAI d’imposer une sanction administrative pécuniaire aux contrevenants à la loi. Ces sanctions administratives pourront être conséquentes, elles viseront à la fois les individus impliqués ainsi que les entreprises du secteur privé. Ces contraventions à la loi seront également passibles d’amendes (dispositions pénales) tant pour les individus que pour les entreprises dans un délai de cinq ans de la perpétration de l’infraction.
Implication pour les CRHA et CRIA dans leur pratique courante
Bien que la loi devienne progressivement en vigueur à partir de septembre 2022, il convient d’ores et déjà de prendre les mesures préparatoires à la mise en conformité de sa planification.
Pour ce faire, et afin de s’assurer de ne négliger aucun aspect, nous recommandons donc au service des ressources humaines de procéder dès maintenant à une cartographie de l’ensemble des activités RH qui consiste à noter toutes les situations où l’entreprise collecte de l’information notamment auprès de ses employés, candidats et retraités. Ceci vous permettra d’informer le responsable de la protection des renseignements personnels de votre organisation et de proposer un plan d’action répondant aux exigences de la loi.
Le premier domaine professionnel qui vient en tête est naturellement celui de la dotation de personnel. Tout ce qui touche le traitement de la candidature d’un candidat, tel que les demandes de références, les vérifications de dossiers criminels, de dossiers de crédit et d’antécédents médicaux, ainsi que les tests psychométriques seront des aspects à évaluer. Il faudra également valider la sécurité du traitement effectué par vos partenaires en la matière. Ceci est particulièrement important pour les entreprises qui transmettent des informations sur des candidats ou des employés à des entités situées à l’étranger.
Dans un deuxième temps, la rémunération globale constitue un autre volet où la quantité de renseignements personnels qui y circulent est imposante. Le traitement de la paye, des assurances collectives, des régimes enregistrés d’épargne, des avantages sociaux sont autant d’endroits où il faudra voir à assurer la sécurité des pratiques en matière de protection des renseignements personnels.
Le traitement des dossiers de santé-sécurité au travail où des renseignements médicaux sont souvent échangés en lien avec l’état de santé des travailleurs doit être revu. C’est aussi le cas du domaine des relations de travail, où le dossier disciplinaire et les éléments d’enquête regorgent de renseignements personnels qui doivent être pris en compte.
Dans l’analyse, il ne faudra pas négliger le dossier de formation, ou toute autre situation où pourraient se trouver des renseignements personnels ainsi que toute activité connexe à la gestion des ressources humaines, comme le club social, par exemple.
Il faudra s’attarder aussi bien au dossier physique, à sa conservation et sa destruction, qu’au dossier électronique et aux différents éléments de traitement de celui-ci et s’assurer de bien analyser l’ensemble des aspects sur lesquels la confidentialité des renseignements est en jeu et voir quels moyens peuvent être mis en place afin de se conformer à tous les aspects de la loi et prévenir les risques en la matière.
Pour le professionnel en ressources humaines responsable de son service, il sera primordial de prendre en main ce dossier en avance afin de jouer un rôle proactif auprès du responsable des données personnelles de son organisation