Articles spéciaux
Retour à la listeDe nouvelles obligations en matière de protection des renseignements personnels pour les cliniques privées d’ergothérapie
Le 21 septembre 2021, l’Assemblée Nationale a adopté le projet de loi 64, loi modernisant des dispositions législatives en matière de protection des renseignements personnels (maintenant la loi 25).
Cette Loi modifie une vingtaine de lois ayant trait à la protection des renseignements personnels, dont notamment la Loi sur l’accès aux documents des organismes publics, la Loi sur la protection des renseignements personnels dans le secteur privé (Loi sur le secteur privé) et la Loi sur le cadre juridique des technologies de l’information.
Les modifications apportées par la Loi 25 visent essentiellement à :
- donner un meilleur contrôle aux individus sur leurs renseignements personnels;
- favoriser la protection des renseignements personnels;
- responsabiliser davantage les entreprises;
- introduire de nouveaux mécanismes visant à assurer le respect des règles en matière de protection des renseignements personnels.
Dans une infolettre qui a été transmise le 9 juin 2022, l’Ordre informait les membres des principales nouveautés découlant de la Loi 25 et applicables aux entreprises privées visées par la Loi sur le secteur privé, ce qui inclut les cliniques privées offrant des services d’ergothérapie, ainsi que leurs dates d’entrée en vigueur.
Les premières modifications entrant en vigueur sous peu, nous vous fournissons ci-dessous un rappel des changements à venir afin de vous permettre de vous y conformer.
Aperçu des changements entrants en vigueur le 22 septembre 2022: Responsable de la protection des renseignements personnels
- Chaque entreprise devra obligatoirement avoir un responsable de la protection des renseignements personnels qui devra assurer le respect de la Loi sur le secteur privé au sein de l’entreprise. Par défaut, la Loi indique que cette fonction sera assumée par la personne ayant la plus haute autorité au sein de l’entreprise. Il est toutefois possible de déléguer cette fonction par écrit, en tout ou en partie, à une autre personne;
- Le titre et les coordonnées du responsable de la protection des renseignements personnels devront être accessibles au public, sur un site Internet ou partout autre moyen approprié
Incident de confidentialité impliquant des renseignements personnels
- Une personne qui exploite une entreprise et qui a des motifs de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel qu’elle détient devra prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent;
- Si l’incident présente un risque qu’un préjudice sérieux soit causé, elle devra, avec diligence, aviser la Commission d’accès à l’information (CAI) ainsi que la personne concernée;
- Elle devra de plus consigner l’incident dans un registre tenu à cette fin et dont copie devra être transmise à la CAI, sur demande.
Biométrie
- La Loi prévoit un nouveau délai pour divulguer à la Commission la création d’une banque de caractéristiques ou de mesures biométriques. À compter du 22 septembre 2022, celle-ci devra être divulguée à la Commission au plus tard 60 jours avant sa mise en service;
- De manière plus générale, il sera également obligatoire après cette date d’aviser la Commission avant d’utiliser toute technique biométrique permettant de vérifier ou de confirmer l’identité d’une personne. Cette technique ne peut être utilisée sans le consentement exprès de la personne.
Aperçu des changements entrants en vigueur le 22 septembre 2023
C’est le 22 septembre 2023 qu’entreront en vigueur la majorité des dispositions de la Loi 25. Bien que cela puisse paraître une date éloignée, l’Ordre invite fortement ses membres à consulter dès aujourd’hui le site de la Commission d’accès à l’information afin de connaître l’ensemble des mesures qui deviendront alors applicables puisque la mise en œuvre de certaines d’entre elles pourrait nécessiter d’importants travaux qui devront débuter dès maintenant.
À titre d’exemple, d’ici le 22 septembre 2023, les entreprises devront notamment :
- Établir, mettre en œuvre et publier des politiques et des pratiques encadrant leur gouvernance à l’égard des renseignements personnels (politique de confidentialité, processus de traitement des plaintes, destruction des renseignements personnels, formation du personnel, etc.);
- S’assurer de respecter les nouvelles règles encadrant le consentement des personnes à la collecte, à la communication ou à l’utilisation de leurs renseignements personnels;
- Procéder à une évaluation des facteurs relatifs à la vie privée (EFVP) pour tout projet visant l’acquisition, le développement ou la refonte de systèmes d’information ou la prestation électronique de services impliquant des renseignements personnels, ou encore lorsque la communication des renseignements personnels à l’extérieur du Québec est envisagée (voir le Guide d’accompagnement publié par la CAI);
- S’assurer de détruire les renseignements personnels détenus par l’entreprise lorsque les fins pour lesquelles ils ont été recueillis ou utilisés sont accomplies (sous réserve de l’obligation de conserver vos dossiers professionnels pendant au moins 5 ans) – ou envisager l’anonymisation.
Par ailleurs, certaines dispositions auront des répercussions sur le travail des ergothérapeutes, notamment le nouvel article 4.1 de la Loi sur le secteur privé qui prévoit que les renseignements personnels concernant un mineur de moins de 14 ans ne pourront plus être recueillis auprès de celui-ci sans le consentement du titulaire de l’autorité parentale ou du tuteur, sauf lorsque cette collecte sera manifestement au bénéfice de ce mineur. Les ergothérapeutes devront donc s’assurer de respecter cette nouvelle disposition.
Aperçu des changements entrants en vigueur le 22 septembre 2024
Le droit à la portabilité sera la toute dernière disposition à entrer en vigueur, en septembre 2024.
Ainsi, à compter de cette date, la personne concernée (client ou employé de l’entreprise) aura le droit d’obtenir, dans un format technologique structuré et couramment utilisé, un renseignement personnel informatisé recueilli auprès d’elle et détenu par l’entreprise. Les entreprises devront donc s’assurer que leurs bases de données permettent de se conformer à cette nouvelle exigence.
Sanctions en cas de non-respect de la Loi
Toute entreprise qui fait défaut de respecter les dispositions applicables en matière de protection des renseignements personnels s’expose à de sévères sanctions pécuniaires et pénales ainsi qu’à une poursuite de la part de la personne lésée.
Pour en savoir plus
Le présent texte présente un aperçu des changements apportés au régime de protection des renseignements personnels par la Loi 25. Pour connaître l’ensemble des changements et les mesures à prendre afin de vous y conformer, nous invitons les membres à consulter :
- le site web Espace évolutif – Projet de loi 64 de la Commission à l’accès à l’information;
- le Guide de conformité pour les entreprises, publié par Borden Ladner Gervais LLP.
Nous vous invitons de plus à visionner la formation intitulée «Loi 25» conçue pour les membres d’ordres professionnels et offerte par Me Cynthia Chassigneux, associée chez Langlois Avocats. Cette formation est disponible sur le site du Conseil interprofessionnel du Québec au coût de 75,00$.