11 décembre 2022
En septembre 2021, une loi a été adoptée pour moderniser la protection des renseignements personnels au Québec. Les changements apportés par cette loi sont si importants qu’ils s’étalent sur trois ans : automne 2022, automne 2023, automne 2024. Que dit cette loi ? Qu’est-ce qu’un renseignement personnel ? Que signifient ces changements pour les OSBL-H et comment s’y préparer ?
Le 22 novembre 2022, le RQOH a tenu un webinaire faisant un tour d’horizon des obligations, outils et solutions. Pour accéder aux capsules de formations et aux webinaires, nous vous invitons à visiter la capsule La loi nouvelle sur la Protection des renseignements personnels et OSBL-H sur la plateforme de formation en ligne des OSBL d’habitation du Québec.
Nous publions ici les principales questions posées par le public à la fin du webinaire et les réponses qui ont été apportées par Pierre-Luc Fréchette, Conseiller aux affaires publiques et juridiques au RQOH.
___________
Dans ce FAQ, l’expression « Loi sur le secteur privé » fait référence à la Loi sur la protection des renseignements personnels dans le secteur privé, et L25 à la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels.
Oui, le RQOH prévoit préparer un canevas de politique sur la protection des renseignements personnels, que les OSBL-H pourront intégrer et personnaliser à leurs réalités. Il est prévu que ce gabarit sera disponible à l’hiver 2023. Nous prévoyons également rendre disponible, à l’hiver ou au printemps, des modèles de clauses à intégrer aux documents des OSBL-H les reliant aux locataires, au personnel, aux partenaires – L25 exigeant davantage qu’une seule politique.
Depuis septembre 2022, la personne ayant les plus hautes responsabilités au sein d’une entreprise/d’un organisme est réputée être la personne responsable de la protection des renseignements personnels, à moins que ou jusqu’à ce qu’une autre personne soit ainsi désignée par écrit. Pour ce qui est des OSBL-H, cette personne est belle et bien celle qui assure la présidence du CA.
Ces informations doivent se trouver sur votre site web, si vous en avez un. À défaut, elles doivent être autrement accessibles (par exemple à l’accueil ou à la réception du bâtiment, de l’organisme). Elles n’ont pas à être affichées dans chacune des chambres et/ou pièces du bâtiment.
Que vous soyez la personne responsable au sens de la L25 ne signifie pas que votre responsabilité civile est automatiquement engagée en cas d’incident, bien au contraire. L’entreprise (ou l’OSBL) est aussi une personne, et c’est sa responsabilité qui est en première ligne, tant en cas d’incident que pour sa conformité avec la loi.
Pour que la responsabilité civile de la personne responsable de la protection des renseignements personnels soit engagée en cas d’incident, il faudrait que cette personne ait commis une faute importante, comme causer intentionnellement l’incident.
Oui. La Loi sur le secteur privé des renseignements personnels, ainsi que les modifications qui y sont apportées par L25, s’appliquent à tout le secteur privé. Cela comprend toutes les compagnies, entreprises individuelles, coop, OSBL, etc. qu’importe leur vocation, taille, ou champ d’activités.
La mobilisation des ressources nécessaires à la transition vers ces nouvelles normes de protection des renseignements personnels est un enjeu réel pour les OSBL-H. Si, au-delà du support apporté par votre fédération, le RQOH et la CAI, vous ne disposez pas de ces ressources, nous vous prions d’en aviser votre fédération.
Cela dit, un organisme qui n’offre pas de soins ou de services de santé signifie également qu’il n’a pas à protéger les renseignements personnels, sensibles de surcroît, qu’il détiendrait s’il dispensait de tels services. Le fardeau de transition à la L25 est donc moindre.
C’est exact. Les renseignements personnels rattachés à l’exercice d’une fonction, tels que le nom, le poste et l’adresse courriel électronique employés pour ce poste, ne sont pas des renseignements personnels au sens de l’article 2 de la Loi.
Ceci est une nouveauté de L25, que l’on peut retrouver à son article 100, et qui vient ajouter à l’article 1 de la Loi sur le secteur privé ce paragraphe : « Elles [les sections II et III de la Loi] ne s’appliquent pas non plus aux renseignements personnels qui concernent l’exercice par la personne concernée d’une fonction au sein d’une entreprise, tels que son nom, son titre et sa fonction, de même que l’adresse, l’adresse de courrier électronique et le numéro de téléphone de son lieu de travail. »
Oui. Les renseignements personnels peuvent être sur n’importe quel support, même visuel. Une vidéo prise par une caméra de sécurité donne des informations sur des personnes physiques permettant, directement ou indirectement, de les identifier. La définition de ce qu’est un renseignement personnel au sens de la Loi sur le secteur privé et de L25 est très, très large.
Sur demande. La personne responsable dispose, à compter du jour où elle reçoit la demande d’accès, de 30 jours pour y répondre. Aucune réponse dans ce délai équivaut à un refus d’accès.
(Article 32 de la Loi sur le secteur privé des renseignements personnels dans le secteur privé, légèrement modifié par l’article 124 de la L25)
Oui, car elles contiennent des renseignements personnels.
Cela dit, l’article 27 de la Loi sur le secteur privé, tel que modifié par l’article 120 de la L25, prévoit que les informations créées ou inférées à partir de renseignements personnels la concernant n’ont pas à lui être communiquées. De plus, l’accès à des renseignements personnels relatifs à la santé peut être refusé si l’organisme juge que sa consultation résulterait pour la personne en un préjudice grave pour sa santé. Le cas échéant, l’organisme doit indiquer par écrit son refus à la personne concernée, et lui offrir de désigner un.e professionnel.le de la santé pour consulter le dossier en question (article 37 de la Loi sur le secteur privé).
La responsabilité des organismes est de minimiser les risques par l’instauration de politiques et de pratiques raisonnables, non pas de les anéantir. Il est possible d’avoir recours à des tiers et à des systèmes informatisés, incluant les infonuages, pour des opérations dans lesquelles se retrouvent des renseignements personnels.
Il faut alors s’assurer que ces tiers ont eux-mêmes des politiques de confidentialité qui satisfont aux normes de la loi (essentiellement, aucune utilisation ni communication du RP ne sera faite en dehors des fins pour lesquelles le RP a été communiqué à ce tiers). Cela est particulièrement important pour les partenaires plus immédiats qu’un système infonuagique, tels que les EÉSAD ou un sous-contractant responsable du prélèvement de loyers. Les services infonuagiques tels que OneDrive auront aussi à se conformer à la L25.
Pour ce qui est de l’infonuagique en particulier, la CAI a publié un document comprenant des conseils pratiques pour les entreprises qui utilisent des services infonuagiques. Vous pouvez consulter ce document au lien suivant, mais sachez qu’en date du 1er décembre, ce document était encore en cours de révision pour incorporer les changements apportés par L25. Dans l’immédiat, les conseils pratiques du document sont encore hautement pertinents : https://www.cai.gouv.qc.ca/documents/CAI_FI_infonuagique.pdf
Les maisons d’hébergement pour femmes et enfants de violence conjugale peuvent légalement détenir des renseignements personnels concernant les ex-conjoints, sans que ceux-ci aient les droits afférents d’accès, de consentement, de rectification, etc.
L’explication juridique de cette réponse est fort complexe, mais l’article 39 du Code civil du Québec en est un élément important, car il permet de refuser l’accès aux renseignements sur la base d’un intérêt sérieux et légitime, ou si cela était susceptible de nuire sérieusement à un tiers.
Cette réponse est basée sur une communication du Secrétariat à l’accès à l’information, obtenue par l’Alliance MH2 (https://www.alliancemh2.org/), que nous remercions à cet égard.
Les organismes publics sont ceux créés (habilités, dans le jargon juridique) par une loi. À contrario, les organismes privés sont incorporés et listés dans le registraire des entreprises du Québec (https://www.registreentreprises.gouv.qc.ca/fr/default.aspx)
Les organismes publics sont les institutions gouvernementales et étatiques, telles que les services de police, les centre de santé et de services sociaux, la SHQ, le curateur public, les écoles, Revenu Québec, etc.
Oui. Le fait qu’une demande de communication de RP provienne d’un organisme public est une exception à la règle qu’il faut obtenir le consentement pour communiquer un RP (et ce consentement doit être expresse s’il s’agit d’un RP sensible). Cela n’est pas une nouveauté de L25 et se trouvait déjà à l’article 18 de la Loi sur le secteur privé :
[. . .]
5° à un organisme public au sens de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (chapitre A‐2.1) qui, par l’entremise d’un représentant, le recueille dans l’exercice de ses attributions ou la mise en oeuvre d’un programme dont il a la gestion;
L’article 18 de la Loi sur le secteur privé qui a été reproduit dans une réponse précédente pour une question analogue indique que l’entreprise (l’OSBL) peut communiquer le renseignement personnel à un organisme public sans le consentement de la personne, et non pas qu’il doit. L’exception (à la règle du consentement) s’applique qu’il s’agisse d’un RP sensible ou non.
Ce qu’il faut également savoir, c’est que la L25 apporte également de nombreuses et nouvelles responsabilités pour les organismes publics ; c’est à eux que la loi impose le fardeau de protection des renseignements personnels dont ils vous requièrent la communication. Qui plus est, la protection des renseignements personnels qu’un OSBL détient pour le compte d’un organisme public ne relève pas de la Loi sur le secteur privé, mais de la loi sur le secteur public (Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels).
Le droit sur la protection des renseignements personnels ne vous oblige pas à communiquer le RP ; il n’indique pas ce qui arrive si vous refusez de communiquer le RP à l’organisme public, et il n’interdit pas non plus de sonder le consentement de la personne concernée concernant la demande de communication.
Non, ce n’est pas un bris ou un incident de protection des renseignements personnels. Le nom de l’organisme n’est pas un renseignement personnel puisqu’il ne se rapporte pas à une personne physique. Que le facteur ou des livreurs prennent connaissance de l’identité de certain.es de vos locataires n’est pas un incident au sens de la L25 et de la Loi sur le secteur privé. Ces personnes font partie de l’environnement mais ne s’y trouvent pas par demande contractuelle de l’organisme
Le droit d’accès d’une personne aux RP que détient l’organisme la concernant comprend le droit de savoir d’où vient le RP lorsqu’il n’a pas été recueilli auprès de la personne concernée. (Article 7 de la Loi sur le secteur privé et article 106 de la L25)
Les motifs justifiant un refus d’accès aux RP (incluant leur source) se trouvent aux articles 32 à 37 de la Loi sur le secteur privé, et 126 de la L25.
Cette question est déterminée par le droit, sans recours à la L25 et la Loi sur le secteur privé : On peut prendre la photo d’une personne dans un espace public sans son consentement, mais on ne peut publier cette photo sur un espace public (tel Facebook) sans son consentement.
L’anniversaire est en effet un renseignement personnel, donc son utilisation (l’organisation d’un événement dans la résidence par exemple) ou sa communication (sur facebook, par exemple) doivent se faire avec le consentement de la personne concernée.
Ce consentement ne doit être spécifique que si le renseignement personnel est sensible de par le contexte particulier de la personne. Hors contexte, l’anniversaire n’est pas en soi un renseignement personnel sensible. Si le RP n’est pas sensible pour la personne concernée, le consentement peut être implicite. Le consentement est implicite lorsqu’il peut être inféré de la situation ou d’un consentement préalable de la personne.
En l’occurrence, souligner un anniversaire fait partie de ce que l’on pourrait s’attendre d’un OSBL-H, car cela contribue à offrir un milieu de vie et de travail communautaire et animé.
Considérez par exemple l’OSBL-H qui dans ses documents à l’intention des locataires y indique : célébrer les anniversaires, organiser des activités ou encore vouloir briser l’isolement : la personne qui décide d’y devenir locataire ou d’y rester consent (et peut-être même s’attend) à ce que son anniversaire soit souligné. Pour utiliser les termes de la L25, les OSBL-H recueillent les anniversaires aux fins d’accomplir leurs engagements envers les locataires et ces engagements comprennent l’entretien d’un milieu de vie communautaire ; puisque le consentement s’étend aux finalités pour lesquelles il est donné, il comprend implicitement que les OSBL-H soulignent l’anniversaire de leurs locataires.
Oui. Le droit à la portabilité se trouve sous l’art. 27 de la Loi sur le secteur privé des renseignements personnels dans le secteur privé, tel que modifié par L25 :
« Toute personne qui exploite une entreprise et détient un renseignement personnel sur autrui doit, à la demande de la personne concernée, lui en confirmer l’existence et lui donner communication de ce renseignement en lui permettant d’en obtenir une copie.
À la demande du requérant, un renseignement personnel informatisé doit être communiqué sous la forme d’une transcription écrite et intelligible.
À moins que cela ne soulève des difficultés pratiques sérieuses, un renseignement personnel informatisé recueilli auprès du requérant, et non pas créé ou inféré à partir d’un renseignement personnel le concernant, lui est, à sa demande, communiqué dans un format technologique structuré et couramment utilisé. Ce renseignement est aussi communiqué à sa demande à toute personne ou à tout organisme autorisé par la loi à recueillir un tel renseignement. » (Nous soulignons)
Un renseignement personnel recueilli via l’utilisation d’un « Google Form » est un renseignement personnel informatisé ; dès Septembre 2024 il devra donc être communiqué dans un format technologique structuré et couramment utilisé.
La complexité du droit à la portabilité tient du fait que certaines entreprises privées, dans leurs opérations, gèrent un flux constant et appréciable de renseignements personnels via un logiciel informatisé complexe et parfois de traitement automatisé (qui ne fait pas que recueillir des informations mais prend aussi des décisions basées sur celles-ci). Selon toute vraisemblance, ces entreprises devront incorporer à leur logiciel ou plateforme une dimension d’accès au dossier par l’usager, si elle n’existe pas déjà. C’est en cela que tient le délai d’entrée en vigueur du droit à la portabilité. Ce n’est pas actuellement un enjeu pour les OSBL-H.
Oui. La L25 et la Loi sur le secteur privé s’applique également aux engagements de votre personnel quant à la protection des renseignements personnels qu’il est appelé à prendre connaissance et à utiliser pour exercer ses fonctions. La confidentialité et la protection des renseignements personnels ne sont pas exactement la même notion, mais elles s’entrecoupent énormément. Le droit concernant la protection des renseignements personnels exige par exemple que vos employé.es n’utilisent pas les RP des locataires au-delà des fins pour lesquelles ils ont été recueillies. Inclure cet élément dans vos engagements préexistants de confidentialité serait une façon de se conformer à la L25.
Oui. La L25 s’applique même si la conservation des renseignements personnels est assurée par un tiers (article 100 de la L25 de la Loi sur le secteur privé). La situation est analogue à la communication de RP que vous faites auprès d’entreprises et organismes partenaires afin qu’ils octroient des services : les contrats vous liant à ces tiers doivent prévoir que ces derniers assureront la protection des renseignements personnels : notamment qu’ils n’en feront nulle utilisation ni communication dépassant les fins pour lesquelles ces RP ont été communiqués. (Voir article 115 de la L25, article 18 de la Loi sur le secteur privé)
Considérant les modifications apportées par L25, en particulier son objectif de changer la culture sociale au sens large envers la protection des renseignements personnels, il est à parier que les compagnies d’assurance ajusteront leurs produits. Puisque c’est l’organisme qui est premier responsable de sa conformité à la loi et d’un incident éventuel, il pourrait être prudent d’obtenir une couverture pour ce risque. C’est un excellent point à soulever au CA de votre organisme ainsi qu’auprès de votre assureur.
Oui. Un organisme peut demander des renseignements personnels dans l’évaluation d’une demande d’admission par une personne qui désire devenir locataire. Les renseignements personnels ainsi demandés doivent tout de même être logiques et raisonnables dans le contexte. Il ne serait pas légal de demander des renseignements personnels n’ayant rien à voir avec l’évaluation par l’organisme de la demande d’admission.
Le droit au consentement inclut celui de ne pas subir de discrimination injustifiée lorsque le consentement n’est pas donné (la personne refuse de donner le RP) (art. 9 Loi sur le secteur privé). Refuser l’admission d’une personne sur la base qu’elle refuse de consentir à une vérification de crédit constitue de la discrimination, mais elle n’est pas injustifiée. Exemple a contrario : refuser l’admission d’une personne sur la base qu’elle refuse d’indiquer sa religion constitue une discrimination injustifiée. Les motifs illégaux de discrimination comprennent (mais ne sont pas limités à) l’origine ethnique, l’âge, le genre, la religion, un handicap, etc. ; on les retrouve notamment dans la Charte canadienne des droits et libertés et dans la Charte [québécoise] des droits et libertés de la personne.
En effet.
Si l’intervenant.e (Travailleur.se social.e, psychologue, docteur, infirmièr.e, etc.) agit pour le compte d’un organisme public, l’organisme peut lui communiquer un RP sans le consentement de la personne concernée. Si l’intervenant.e relève du secteur privé, il faut plutôt veiller à la protection des renseignements personnels et non les communiquer aveuglément (s’il s’agit d’un RP sensible, il faut le consentement expresse de la personne concernée ; si le RP n’est pas sensible, il faut analyser s’il y a un consentement implicite).
Tel qu’indiqué plus haut, la L25 ne prévoit pas qu’en de telles circonstances l’organisme doive communiquer les RP (sans le consentement de la personne), mais qu’il le peut.
De plus, d’autres lois, règlements ou principes juridiques peuvent venir ajouter des obligations à celles prévues par la L25 et la Loi sur le secteur privé. C’est le cas par exemple du Règlement sur la certification des résidences privées pour aînés et du secret professionnel rattaché à l’exercice de certaines professions (ex: infirmières et infirmiers).
La L25 a pour objectif d’augmenter la protection des renseignements personnels notamment en rehaussant les droits des personnes par rapport à leurs renseignements personnels, mais aussi en rehaussant les responsabilités et obligations des entités publiques et privés relativement à ces renseignements personnels. Quoiqu’il n’y ait pas d’obligation formelle à la Loi de devoir communiquer aux organismes publics les RP, il n’est pas impossible que d’autres lois, règlements ou pratiques selon l’organisme public concerné et le contexte, forcent les organismes à communiquer des RP, et ce même si une telle communication est en porte-à-faux avec les intérêts de la personne concernée. Comme pour toute loi, il y a des arguments et des interprétations divergentes, et seul l’avenir nous éclairera sur l’écart entre son effet escompté et son effet réel.
La L25 ne vous oblige pas à communiquer aux organismes publics les RP. Les raisons valables ou l’assise juridique vous permettant de refuser une telle communication est hautement dépendante du contexte. La loi ne prévoit pas de principe général justifiant le refus d’une telle communication. Il serait de bonne pratique d’indiquer à l’organisme public votre réticence et ses motifs, notamment le fait que votre organisme a lui-même de hautes responsabilités à l’égard de la protection des renseignements personnels demandés par l’organisme public. L’organisme public devrait alors aborder vos craintes ; si celles-ci ne sont en rien apaisées, vous devriez communiquer l’enjeu à vos partenaires, dont font partie votre fédération et le RQOH.