À compter du 22 septembre 2023, des dispositions entreront en vigueur dans la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, c. P-39.1) en raison des effets de la Loi modernisant les dispositions législatives en matière de protection des renseignements personnels (L.Q., 2021, c. 25, la Loi 25).
L’une d’elles permet à une personne qui exploite une entreprise de communiquer un renseignement personnel à toute personne ou à tout organisme sans le consentement de la personne concernée selon certaines conditions. Cette communication doit être nécessaire à l’exercice d’un mandat ou à l’exécution d’un contrat d’entreprise ou de service qui sera confié à cette personne ou à cet organisme[1].
Afin de pouvoir bénéficier de cette exception, la Loi 25 impose des conditions concernant la forme et le contenu du mandat ou contrat :
- Le mandat ou le contrat doit être constaté par écrit.
- Il doit indiquer les mesures que le mandataire ou l’exécutant du contrat doit prendre pour assurer la protection du caractère confidentiel du renseignement personnel communiqué. Des mesures de protectionpeuvent comprendre les éléments suivants : logiciel antivirus, pare-feu, connexion VPN (Virtual Private Network), utilisation de courriels cryptés et de logiciels spécialisés pour l’envoi de courriels sécuritaires, mots de passe robustes et une politique de confidentialité de renseignements personnels.
- Il doit prévoir les mesures pour s’assurer que le renseignement ne soit utilisé que pour l’exercice du mandat ou l’exécution du contrat.
- De plus, une clause stipule que le renseignement ne sera pas conservé après l’exercice du mandat ou de l’exécution du contrat.
- Également, il faut spécifier l’obligation pour la personne qui exerce un mandat ou qui exécute un contrat d’entreprise (voir par exemple un entrepreneur spécialisé) ou un contrat de service d’aviser sans délai le responsable de la protection des renseignements personnels (ci-après « RPRP ») de toute violation ou tentative de violation des obligations relatives à la confidentialité du renseignement communiqué.
- Cette personne doit aussi permettre au RPRP d’effectuer toute vérification relative à cette confidentialité.
Les formalités précédemment décrites pourraient s’appliquer dans le cas où un entrepreneur général confie l’exécution d’un contrat d’entreprise à un entrepreneur spécialisé afin que celui-ci réalise des travaux de réparation et de modification d’un bâtiment pouvant concerner plusieurs locataires. Le caractère confidentiel des renseignements personnels (ex. : prénom, nom de famille, adresse, numéro de téléphone) communiqués sans le consentement de ces locataires devra être protégé dans un contrat écrit.
Par contre, afin d’éviter des risques d’interprétation ou une mauvaise application de ces règles, nous vous suggérons d’obtenir le consentement de votre client par écrit lorsque vous devez communiquer les renseignements personnels de ce dernier à un tiers pour les fins d’exécution du mandat ou d’un contrat.
Il faut noter que ces formalités ne s’appliquent pas lorsque le mandataire ou l’exécutant du contrat est un organisme public au sens de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (Chapitre A-2.1) ou un membre d’un ordre professionnel.
Si vous avez des questions concernant la protection des renseignements personnels, nous vous invitons à communiquer avec les Services juridiques de l’APCHQ aux numéros suivants : 438 315-6888 ou 1 800 468-8160.
Pour en connaître davantage au sujet de la protection des renseignements personnels, vous pouvez consulter les articles suivants :
Dois-je procéder à une évaluation des facteurs relatifs à la vie privée?
La protection des renseignements personnels : êtes-vous prêt à faire face à vos obligations?
Quels sont les types de renseignements prévus par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels?
Serez-vous prêt à exercer la fonction de responsable de la protection des renseignements personnels?
Quels sont les critères à respecter avant de collecter un renseignement personnel?
Quelles sont vos obligations lorsqu’un incident de confidentialité présente un risque de préjudice sérieux?
Registre des incidents de confidentialité : quels renseignements doit-il contenir?
Dois-je adopter des politiques et des pratiques en matière de protection des renseignements personnels?
Loi 25 : obligation d’information en matière de renseignements personnels
Loi 25 : consentement et exceptions
Quelles sont les conditions pour communiquer un renseignement personnel sans le consentement de la personne concernée dans le cadre d’un mandat ou contrat?
Loi 25 : la politique de confidentialité
[1] Art. 18.3 de la Loi 25.