Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, LQ 2021, c 25
Version courante : telle que diffusée le 23 sept. 2021
PREMIÈRE SESSION
QUARANTE-DEUXIÈME LÉGISLATURE
Projet de loi n o 64 (2021, chapitre 25)
Loi modernisant des dispositions législatives en matière de protection des renseignements personnels
Présenté le 12 juin 2020 Principe adopté le 20 octobre 2020 Adopté le 21 septembre 2021 Sanctionné le 22 septembre 2021
Éditeur officiel du Québec 2021
NOTES EXPLICATIVES Cette loi modernise l’encadrement applicable à la protection des renseignements personnels dans diverses lois, dont la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels et la Loi sur la protection des renseignements personnels dans le secteur privé.
La loi introduit à ces deux lois des règles concernant le traitement des incidents affectant la confidentialité des renseignements personnels par les organismes publics et les entreprises. De plus, elle oblige ces organismes et ces entreprises à publier des règles encadrant la gouvernance à l’égard des renseignements personnels ou des informations relatives aux politiques et pratiques encadrant une telle gouvernance et, pour ceux qui recueillent ces renseignements par un moyen technologique, à publier et diffuser une politique de confidentialité. Elle y introduit aussi l’exigence qu’une évaluation des facteurs relatifs à la vie privée soit réalisée en certaines circonstances, notamment à l’égard de tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels.
La loi précise diverses exigences relatives au consentement requis préalablement à une collecte, une utilisation ou une communication de renseignements personnels. Ainsi, elle prévoit qu’un organisme public ou qu’une entreprise qui demande par écrit un consentement doit le faire distinctement de toute autre information communiquée à la personne concernée. Elle prescrit que le consentement nécessaire à certaines utilisations ou communications d’un renseignement personnel sensible doit être manifesté de façon expresse. Elle exige également l’obtention du consentement du titulaire de l’autorité parentale ou du tuteur pour une collecte, une utilisation ou une communication de renseignements personnels concernant un mineur de moins de 14 ans.
Au surplus, la loi encadre les organismes publics et les entreprises lors d’une collecte de renseignements personnels par une technologie comprenant des fonctions d’identification, de localisation ou de profilage de la personne concernée, ainsi que lors de l’utilisation de renseignements personnels afin que soit rendue une décision fondée
exclusivement sur un traitement automatisé de ceux-ci, en exigeant que certaines informations soient fournies à la personne concernée. Elle instaure aussi le droit d’une personne d’accéder à certains renseignements personnels informatisés la concernant dans un format technologique structuré et couramment utilisé ou d’en exiger la communication à un tiers. En outre, elle exige des organismes publics et des entreprises qui recueillent des renseignements personnels en offrant au public un produit ou un service technologique disposant de paramètres de confidentialité qu’ils s’assurent que, par défaut, ces paramètres assurent le plus haut niveau de confidentialité.
La loi modifie les conditions auxquelles les organismes publics et les entreprises peuvent communiquer des renseignements personnels sans le consentement des personnes concernées à une personne ou un organisme qui souhaite utiliser ces renseignements à des fins d’étude, de recherche ou de production de statistiques. Elle précise en outre les conditions applicables à d’autres communications de renseignements personnels ne nécessitant pas le consentement de la personne concernée, telles qu’une communication effectuée à l’extérieur du Québec, une communication effectuée au bénéfice d’un conjoint ou d’un proche parent d’une personne décédée ou une communication effectuée par une entreprise à une autre aux fins de la conclusion d’une transaction commerciale.
La loi précise les obligations des organismes publics et des entreprises quant à la conservation des renseignements personnels, en prévoyant notamment la possibilité d’anonymiser ces renseignements.
La loi modifie la composition de la Commission d’accès à l’information et révise les fonctions et les pouvoirs de cette dernière.
La loi modifie les dispositions pénales applicables en cas de contravention à la loi, notamment en haussant le montant des amendes.
La loi modifie plus particulièrement la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels afin d’encadrer au sein des organismes publics la formation d’un comité sur l’accès à l’information et la protection des renseignements personnels.
La loi modifie plus particulièrement la Loi sur la protection des renseignements personnels dans le secteur privé afin de créer la fonction de responsable de la protection des renseignements personnels au sein des entreprises, leur retire la possibilité de communiquer,
3
sans le consentement des personnes concernées, des listes nominatives et révise les règles encadrant l’utilisation des renseignements personnels à des fins de prospection commerciale ou philanthropique.
La loi octroie des droits à une personne concernée par un renseignement personnel, dont celui d’exiger que cesse la diffusion d’un tel renseignement ou que soit désindexé ou réindexé un hyperlien rattaché à son nom permettant d’accéder à ce renseignement par un moyen technologique.
La loi révise les obligations imposées aux agents de renseignements personnels et prévoit la possibilité pour la Commission d’accès à l’information d’imposer des sanctions administratives pécuniaires, ainsi que les modalités de recouvrement et de réclamation des sommes dues.
La loi modifie également la Loi électorale afin d’assujettir les partis politiques, les députés indépendants et les candidats indépendants régis par celle-ci à certaines dispositions de la Loi sur la protection des renseignements personnels dans le secteur privé, tout en prévoyant des exceptions.
La loi modifie aussi la Loi visant à prévenir et à combattre les violences à caractère sexuel dans les établissements d’enseignement supérieur pour exiger de ces établissements qu’ils communiquent des renseignements à la personne ayant déposé une plainte.
Finalement, la loi contient des dispositions modificatives, transitoire et finale.
LOIS MODIFIÉES PAR CETTE LOI : − Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (chapitre A-2.1);
− Loi sur l’administration financière (chapitre A-6.001); − Loi sur l’administration fiscale (chapitre A-6.002); − Loi sur l’assurance maladie (chapitre A-29); − Loi concernant le cadre juridique des technologies de l’information (chapitre C-1.1);
4
− Loi sur les élections et les référendums dans les municipalités (chapitre E-2.2);
− Loi sur les élections scolaires visant certains membres des conseils d’administration des centres de services scolaires anglophones (chapitre E-2.3);
− Loi électorale (chapitre E-3.3); − Loi sur l’Institut de la statistique du Québec (chapitre I-13.011); − Loi sur La Financière agricole du Québec (chapitre L-0.1); − Loi sur le ministère de l’Emploi et de la Solidarité sociale et sur la Commission des partenaires du marché du travail (chapitre M-15.001);
− Loi concernant les paramètres sectoriels de certaines mesures fiscales (chapitre P-5.1);
− Loi concernant le partage de certains renseignements de santé (chapitre P-9.0001);
− Loi visant à prévenir et à combattre les violences à caractère sexuel dans les établissements d’enseignement supérieur (chapitre P-22.1);
− Loi sur la protection des renseignements personnels dans le secteur privé (chapitre P-39.1);
− Loi sur la protection sanitaire des animaux (chapitre P-42); − Loi sur la publicité légale des entreprises (chapitre P-44.1); − Loi sur la Régie de l’assurance maladie du Québec (chapitre R-5); − Loi sur le régime de retraite des employés du gouvernement et des organismes publics (chapitre R-10);
− Loi sur la santé et la sécurité du travail (chapitre S-2.1); − Loi sur la santé publique (chapitre S-2.2); − Loi sur les services de santé et les services sociaux (chapitre S-4.2); − Loi sur les services de santé et les services sociaux pour les autochtones cris (chapitre S-5);
− Loi sur les agents d’évaluation du crédit (2020, chapitre 21).
5
Projet de loi n o 64 LOI MODERNISANT DES DISPOSITIONS LÉGISLATIVES EN MATIÈRE DE PROTECTION DES RENSEIGNEMENTS PERSONNELS
LE PARLEMENT DU QUÉBEC DÉCRÈTE CE QUI SUIT : LOI SUR L’ACCÈS AUX DOCUMENTS DES ORGANISMES PUBLICS ET SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
1. La Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (chapitre A-2.1) est modifiée par le remplacement de l’article 8 par les suivants :
« 8. La personne ayant la plus haute autorité au sein d’un organisme public veille à y assurer le respect et la mise en oeuvre de la présente loi. Elle exerce la fonction de responsable de l’accès aux documents et celle de responsable de la protection des renseignements personnels.
Ces fonctions peuvent être déléguées par écrit, en tout ou en partie, à un membre de l’organisme public ou de son conseil d’administration, selon le cas, ou à un membre du personnel de direction. Cette personne doit pouvoir les exercer de manière autonome.
Lorsqu’elle n’exerce pas elle-même ces fonctions, la personne ayant la plus haute autorité au sein d’un organisme public veille à en faciliter l’exercice.
L’organisme doit, dès que possible, aviser la Commission par écrit du titre, des coordonnées et de la date d’entrée en fonction de la personne qui exerce la fonction de responsable de l’accès aux documents et ceux de la personne qui exerce la fonction de responsable de la protection des renseignements personnels.
« 8.1. Au sein d’un organisme public, un comité sur l’accès à l’information et la protection des renseignements personnels est chargé de le soutenir dans l’exercice de ses responsabilités et dans l’exécution de ses obligations en vertu de la présente loi. Ce comité exerce aussi les fonctions qui lui sont confiées par la présente loi.
Le comité relève de la personne ayant la plus haute autorité au sein de l’organisme ou, dans le cas d’un ministère, du sous-ministre et, dans le cas d’une municipalité, d’un ordre professionnel ou d’une commission scolaire, du directeur général. Il se compose de la personne responsable de l’accès aux documents, de celle responsable de la protection des renseignements personnels et de toute autre personne dont l’expertise est requise, incluant, le cas échéant, le responsable de la sécurité de l’information et le responsable de la gestion documentaire.
Un règlement du gouvernement peut exclure un organisme public de l’obligation de former ce comité ou modifier les obligations d’un organisme en fonction de critères qu’il définit. ».
2. L’article 41.2 de cette loi est modifié par l’insertion, au début du paragraphe 3° du premier alinéa, de « à une personne ou ».
3. L’article 43 de cette loi est modifié : 1° par l’ajout, à la fin du premier alinéa, de la phrase suivante : « Si elle est écrite, elle peut donc se faire dans un format technologique. »;
2° par le remplacement, dans le troisième alinéa, de « qu’elle a désigné » par « à qui cette fonction a été déléguée ».
4. L’article 47 de cette loi est modifié : 1° par le remplacement, dans le paragraphe 7° du premier alinéa, de « ne peut être avisé par courrier et qu’il le sera » par « sera avisé »;
2° par le remplacement, dans le deuxième alinéa, de « courrier » par « écrit ». 5. L’article 49 de cette loi est modifié : 1° par le remplacement, dans le premier alinéa, de « par courrier » par « en lui transmettant un écrit »;
2° par le remplacement, dans le deuxième alinéa, de « par courrier » par « conformément au premier alinéa »;
3° par le remplacement, dans le quatrième alinéa, de « courrier » et de « mise à la poste » par, respectivement, « écrit » et « transmission ».
6. L’article 50 de cette loi est modifié par l’ajout, à la fin, de la phrase suivante : « Il doit également prêter assistance au requérant qui le demande pour l’aider à comprendre la décision. ».
8
7. Cette loi est modifiée par l’ajout, avant l’article 53, du suivant : « 52.2. Un organisme public est responsable de la protection des renseignements personnels qu’il détient. ».
8. L’article 53 de cette loi est modifié par la suppression, dans le paragraphe 1°, de « ; si cette personne est mineure, le consentement peut également être donné par le titulaire de l’autorité parentale ».
9. Cette loi est modifiée par l’insertion, après l’article 53, du suivant : « 53.1. Un consentement prévu à la présente loi doit être manifeste, libre, éclairé et être donné à des fins spécifiques. Il est demandé à chacune de ces fins, en termes simples et clairs. Lorsque la demande de consentement est faite par écrit, elle doit être présentée distinctement de toute autre information communiquée à la personne concernée. Lorsque celle-ci le requiert, il lui est prêté assistance afin de l’aider à comprendre la portée du consentement demandé.
Le consentement du mineur de moins de 14 ans est donné par le titulaire de l’autorité parentale ou par le tuteur. Le consentement du mineur de 14 ans et plus est donné par le mineur, par le titulaire de l’autorité parentale ou par le tuteur.
Le consentement ne vaut que pour la durée nécessaire à la réalisation des fins auxquelles il a été demandé.
Un consentement qui n’est pas donné conformément à la présente loi est sans effet. ».
10. L’article 54 de cette loi est modifié par l’insertion, après « permettent », de « , directement ou indirectement, ».
11. L’article 55 de cette loi est modifié par l’ajout, à la fin du premier alinéa, de la phrase suivante : « N’est pas non plus soumis à ces règles un renseignement personnel qui concerne l’exercice par la personne concernée d’une fonction au sein d’une entreprise, tel que son nom, son titre et sa fonction, de même que l’adresse, l’adresse de courrier électronique et le numéro de téléphone de son lieu de travail. ».
12. L’article 57 de cette loi est modifié : 1° dans le premier alinéa : a) par l’insertion, dans les paragraphes 1° et 2° et après « l’adresse », de « , l’adresse de courrier électronique »;
9
b) par le remplacement, dans le texte anglais du paragraphe 1°, de « a member, the board of directors or the management personnel of a public body » par « a member of a public body, its board of directors or its management personnel »;
2° par l’insertion, dans le deuxième alinéa et après « travail », de « d’une personne ou ».
13. L’article 59 de cette loi est modifié : 1° par l’ajout, à la fin du premier alinéa, de la phrase suivante : « Ce consentement doit être manifesté de façon expresse dès qu’il s’agit d’un renseignement personnel sensible. »;
2° dans le deuxième alinéa : a) par le remplacement, dans ce qui précède le paragraphe 1°, de « tel renseignement sans le consentement de cette personne » par « renseignement personnel sans le consentement de la personne concernée »;
b) par l’insertion, au début du paragraphe 3°, de « à une personne ou »; c) par la suppression du paragraphe 5°; d) par le remplacement, dans le paragraphe 8°, de « 61, 66, 67, 67.1, 67.2, 68 et 68.1 » par « 61, 63.8, 66, 67, 67.1, 67.2, 67.2.1 et 68 »;
3° par l’ajout, à la fin, de l’alinéa suivant : « Pour l’application de la présente loi, un renseignement personnel est sensible lorsque, de par sa nature notamment médicale, biométrique ou autrement intime, ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d’attente raisonnable en matière de vie privée. ».
14. L’article 60 de cette loi est modifié : 1° par le remplacement, dans le troisième alinéa, de « doit refuser de » par « ne doit pas »;
2° par la suppression, dans le quatrième alinéa, de « par suite d’une demande faite ».
15. Cette loi est modifiée par l’insertion, après l’article 63.2, des suivants : « 63.3. Un organisme public doit publier sur son site Internet des règles encadrant sa gouvernance à l’égard des renseignements personnels. Ces règles doivent être approuvées par son comité sur l’accès à l’information et la protection des renseignements personnels.
10
Elles peuvent prendre la forme d’une politique, d’une directive ou d’un guide et doivent notamment prévoir les rôles et les responsabilités des membres de son personnel tout au long du cycle de vie de ces renseignements ainsi qu’un processus de traitement des plaintes relatives à la protection de ceux-ci. Elles incluent une description des activités de formation et de sensibilisation que l’organisme offre à son personnel en matière de protection des renseignements personnels.
Ces règles incluent également les mesures de protection à prendre à l’égard des renseignements personnels recueillis ou utilisés dans le cadre d’un sondage, dont une évaluation de :
1° la nécessité de recourir au sondage; 2° l’aspect éthique du sondage compte tenu, notamment, de la sensibilité des renseignements personnels recueillis et de la finalité de leur utilisation.
Un règlement du gouvernement peut déterminer le contenu et les modalités de ces règles.
« 63.4. Un organisme public qui recueille par un moyen technologique des renseignements personnels doit publier sur son site Internet et diffuser par tout moyen propre à atteindre les personnes concernées une politique de confidentialité rédigée en termes simples et clairs. Il fait de même pour l’avis dont toute modification à cette politique doit faire l’objet.
Un règlement du gouvernement peut déterminer le contenu et les modalités de cette politique et de cet avis.
« 63.5. Un organisme public doit procéder à une évaluation des facteurs relatifs à la vie privée de tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels.
Aux fins de cette évaluation, l’organisme public doit consulter, dès le début du projet, son comité sur l’accès à l’information et la protection des renseignements personnels.
Cet organisme public doit également s’assurer que ce projet permet qu’un renseignement personnel informatisé recueilli auprès de la personne concernée soit communiqué à cette dernière dans un format technologique structuré et couramment utilisé.
La réalisation d’une évaluation des facteurs relatifs à la vie privée en application de la présente loi doit être proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support.
11
« 63.6. Le comité peut, à toute étape d’un projet visé à l’article 63.5, suggérer des mesures de protection des renseignements personnels applicables à ce projet, telles que :
1° la nomination d’une personne chargée de la mise en oeuvre des mesures de protection des renseignements personnels;
2° des mesures de protection des renseignements personnels dans tout document relatif au projet, tel qu’un cahier des charges ou un contrat;
3° une description des responsabilités des participants au projet en matière de protection des renseignements personnels;
4° la tenue d’activités de formation sur la protection des renseignements personnels pour les participants au projet.
« 63.7. Un organisme public qui recueille des renseignements personnels en offrant au public un produit ou un service technologique disposant de paramètres de confidentialité doit s’assurer que, par défaut, ces paramètres assurent le plus haut niveau de confidentialité, sans aucune intervention de la personne concernée.
Ne sont pas visés au premier alinéa les paramètres de confidentialité d’un témoin de connexion.
« 63.8. Un organisme public qui a des motifs de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel qu’il détient doit prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent.
Si l’incident présente un risque qu’un préjudice sérieux soit causé, l’organisme doit, avec diligence, aviser la Commission. Il doit également aviser toute personne dont un renseignement personnel est concerné par l’incident, à défaut de quoi la Commission peut lui ordonner de le faire. Il peut également aviser toute personne ou tout organisme susceptible de diminuer ce risque, en ne lui communiquant que les renseignements personnels nécessaires à cette fin sans le consentement de la personne concernée. Dans ce dernier cas, le responsable de la protection des renseignements personnels doit enregistrer la communication.
Malgré le deuxième alinéa, une personne dont un renseignement personnel est concerné par l’incident n’a pas à être avisée tant que cela serait susceptible d’entraver une enquête faite par une personne ou par un organisme qui, en vertu de la loi, est chargé de prévenir, détecter ou réprimer le crime ou les infractions aux lois.
Un règlement du gouvernement peut déterminer le contenu et les modalités des avis prévus au présent article.
12
« 63.9. Pour l’application de la présente loi, on entend par « incident de confidentialité » :
1° l’accès non autorisé par la loi à un renseignement personnel; 2° l’utilisation non autorisée par la loi d’un renseignement personnel; 3° la communication non autorisée par la loi d’un renseignement personnel; 4° la perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.
« 63.10. Lorsqu’il évalue le risque qu’un préjudice soit causé à une personne dont un renseignement personnel est concerné par un incident de confidentialité, un organisme public doit considérer notamment la sensibilité du renseignement concerné, les conséquences appréhendées de son utilisation et la probabilité qu’il soit utilisé à des fins préjudiciables. L’organisme doit également consulter son responsable de la protection des renseignements personnels.
« 63.11. Un organisme public doit tenir un registre des incidents de confidentialité. Un règlement du gouvernement peut déterminer la teneur de ce registre.
Sur demande de la Commission, une copie de ce registre lui est transmise. ». 16. L’article 64 de cette loi est modifié par le remplacement du troisième alinéa par les suivants :
« La collecte visée au deuxième alinéa doit être précédée d’une évaluation des facteurs relatifs à la vie privée et s’effectue dans le cadre d’une entente écrite transmise à la Commission. L’entente entre en vigueur 30 jours après sa réception par la Commission.
Cette entente doit prévoir : 1° l’identification de l’organisme public qui recueille le renseignement et celle de l’organisme public pour lequel la collecte est effectuée;
2° les fins auxquelles le renseignement est recueilli; 3° la nature ou le type du renseignement recueilli; 4° les moyens par lesquels le renseignement est recueilli; 5° les mesures propres à assurer la protection du renseignement personnel; 6° la périodicité de la collecte; 7° la durée de l’entente. ». 13
17. Cette loi est modifiée par l’insertion, après l’article 64, du suivant : « 64.1. Les renseignements personnels concernant un mineur de moins de 14 ans ne peuvent être recueillis auprès de celui-ci sans le consentement du titulaire de l’autorité parentale ou du tuteur, sauf lorsque cette collecte est manifestement au bénéfice de ce mineur. ».
18. L’article 65 de cette loi est modifié : 1° par le remplacement des deux premiers alinéas par les suivants : « Quiconque, au nom d’un organisme public, recueille des renseignements personnels auprès de la personne concernée doit, lors de leur collecte et par la suite sur demande, l’informer :
1° du nom de l’organisme public au nom de qui la collecte est faite; 2° des fins auxquelles ces renseignements sont recueillis; 3° des moyens par lesquels les renseignements sont recueillis; 4° du caractère obligatoire ou facultatif de la demande; 5° des conséquences pour la personne concernée ou, selon le cas, pour le tiers, d’un refus de répondre à la demande ou, le cas échéant, d’un retrait de son consentement à la communication ou à l’utilisation des renseignements recueillis suivant une demande facultative;
6° des droits d’accès et de rectification prévus par la loi. Le cas échéant, la personne concernée est informée du nom du tiers qui recueille les renseignements au nom de l’organisme public, du nom des tiers ou des catégories de tiers à qui il est nécessaire de communiquer les renseignements aux fins visées au paragraphe 2° du premier alinéa et de la possibilité que les renseignements soient communiqués à l’extérieur du Québec.
Sur demande, la personne concernée est également informée des renseignements personnels recueillis auprès d’elle, des catégories de personnes qui ont accès à ces renseignements au sein de l’organisme public, de la durée de conservation de ces renseignements, ainsi que des coordonnées du responsable de la protection des renseignements personnels. »;
2° par la suppression, dans le troisième alinéa, de « se nommer et »; 3° par l’insertion, dans le cinquième alinéa et après « par », de « une personne ou ».
14
19. Cette loi est modifiée par l’insertion, après l’article 65, des suivants : « 65.0.1. En plus des informations devant être fournies suivant l’article 65, quiconque recueille des renseignements personnels auprès de la personne concernée en ayant recours à une technologie comprenant des fonctions permettant de l’identifier, de la localiser ou d’effectuer un profilage de celle-ci doit, au préalable, l’informer :
1° du recours à une telle technologie; 2° des moyens offerts pour activer les fonctions permettant d’identifier, de localiser ou d’effectuer un profilage.
Le profilage s’entend de la collecte et de l’utilisation de renseignements personnels afin d’évaluer certaines caractéristiques d’une personne physique, notamment à des fins d’analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de cette personne. ».
« 65.0.2. Toute personne qui fournit ses renseignements personnels suivant l’article 65 consent à leur utilisation et à leur communication aux fins visées au paragraphe 2° du premier alinéa de cet article. ».
20. L’article 65.1 de cette loi est modifié : 1° par le remplacement des deux premiers alinéas par les suivants : « Un renseignement personnel ne peut être utilisé au sein d’un organisme public qu’aux fins pour lesquelles il a été recueilli, à moins du consentement de la personne concernée. Ce consentement doit être manifesté de façon expresse dès qu’il s’agit d’un renseignement personnel sensible.
L’organisme public peut toutefois utiliser un renseignement personnel à une autre fin sans le consentement de la personne concernée dans les seuls cas suivants :
1° lorsque son utilisation est à des fins compatibles avec celles pour lesquelles il a été recueilli;
2° lorsque son utilisation est manifestement au bénéfice de la personne concernée;
3° lorsque son utilisation est nécessaire à l’application d’une loi au Québec, que cette utilisation soit ou non prévue expressément par la loi;
4° lorsque son utilisation est nécessaire à des fins d’étude, de recherche ou de production de statistiques et qu’il est dépersonnalisé. »;
15
2° par l’ajout, à la fin, des alinéas suivants : « Pour l’application de la présente loi, un renseignement personnel est dépersonnalisé lorsque ce renseignement ne permet plus d’identifier directement la personne concernée.
Un organisme public qui utilise des renseignements dépersonnalisés doit prendre les mesures raisonnables afin de limiter les risques que quiconque procède à l’identification d’une personne physique à partir de renseignements dépersonnalisés. ».
21. Cette loi est modifiée par l’insertion, après l’article 65.1, du suivant : « 65.2. Un organisme public qui utilise des renseignements personnels afin que soit rendue une décision fondée exclusivement sur un traitement automatisé de ceux-ci doit en informer la personne concernée au plus tard au moment où il l’informe de cette décision.
Il doit aussi, à la demande de la personne concernée, l’informer : 1° des renseignements personnels utilisés pour rendre la décision; 2° des raisons, ainsi que des principaux facteurs et paramètres, ayant mené à la décision;
3° de son droit de faire rectifier les renseignements personnels utilisés pour rendre la décision.
Il doit être donné à la personne concernée l’occasion de présenter ses observations à un membre du personnel de l’organisme public en mesure de réviser la décision. ».
22. L’article 67.2 de cette loi est modifié par le remplacement du dernier alinéa par le suivant :
« Le paragraphe 2° du deuxième alinéa ne s’applique pas lorsque le mandataire ou l’exécutant du contrat est un autre organisme public ou un membre d’un ordre professionnel. ».
23. Cette loi est modifiée par l’insertion, après l’article 67.2, des suivants : « 67.2.1. Un organisme public peut communiquer des renseignements personnels sans le consentement des personnes concernées à une personne ou à un organisme qui souhaite utiliser ces renseignements à des fins d’étude, de recherche ou de production de statistiques.
16
La communication peut s’effectuer si une évaluation des facteurs relatifs à la vie privée conclut que :
1° l’objectif de l’étude, de la recherche ou de la production de statistiques ne peut être atteint que si les renseignements sont communiqués sous une forme permettant d’identifier les personnes concernées;
2° il est déraisonnable d’exiger que la personne ou l’organisme obtienne le consentement des personnes concernées;
3° l’objectif de l’étude, de la recherche ou de la production de statistiques l’emporte, eu égard à l’intérêt public, sur l’impact de la communication et de l’utilisation des renseignements sur la vie privée des personnes concernées;
4° les renseignements personnels sont utilisés de manière à en assurer la confidentialité;
5° seuls les renseignements nécessaires sont communiqués. « 67.2.2. La personne ou l’organisme qui souhaite utiliser des renseignements personnels à des fins d’étude, de recherche ou de production de statistiques doit :
1° faire sa demande par écrit; 2° joindre à sa demande une présentation détaillée des activités de recherche; 3° exposer les motifs pouvant soutenir que les critères mentionnés aux paragraphes 1° à 5° du deuxième alinéa de l’article 67.2.1 sont remplis;
4° mentionner toutes les personnes et tous les organismes à qui il fait une demande similaire aux fins de la même étude, recherche ou production de statistiques;
5° le cas échéant, décrire les différentes technologies qui seront utilisées pour effectuer le traitement des renseignements;
6° le cas échéant, transmettre la décision documentée d’un comité d’éthique de la recherche relative à cette étude, recherche ou production de statistiques.
« 67.2.3. L’organisme public qui communique des renseignements personnels conformément à l’article 67.2.1 doit préalablement conclure avec la personne ou l’organisme à qui il les transmet une entente stipulant notamment que ces renseignements :
1° ne peuvent être rendus accessibles qu’aux personnes à qui leur connaissance est nécessaire à l’exercice de leurs fonctions et ayant signé un engagement de confidentialité;
17
2° ne peuvent être utilisés à des fins différentes de celles prévues à la présentation détaillée des activités de recherche;
3° ne peuvent être appariés avec tout autre fichier de renseignements non prévu à la présentation détaillée des activités de recherche;
4° ne peuvent être communiqués, publiés ou autrement diffusés sous une forme permettant d’identifier les personnes concernées.
Cette entente doit également : 1° prévoir les informations devant être communiquées aux personnes concernées lorsque les renseignements les concernant sont utilisés pour les rejoindre en vue de leur participation à l’étude ou à la recherche;
2° prévoir des mesures pour assurer la protection des renseignements; 3° déterminer un délai de conservation des renseignements; 4° prévoir l’obligation d’aviser l’organisme public de la destruction des renseignements;
5° prévoir que l’organisme public et la Commission doivent être avisés sans délai :
a) du non-respect de toute condition prévue à l’entente; b) de tout manquement aux mesures de protection prévues à l’entente; c) de tout événement susceptible de porter atteinte à la confidentialité des renseignements.
L’entente est transmise à la Commission et entre en vigueur 30 jours après sa réception par celle-ci. ».
24. L’article 67.3 de cette loi est modifié par le remplacement, dans le premier alinéa, de « 68 et 68.1 » par « 67.2.1 et 68 ».
25. L’article 68 de cette loi est modifié : 1° par l’insertion, après le premier alinéa, du suivant : « La communication peut s’effectuer si une évaluation des facteurs relatifs à la vie privée conclut que :
1° l’objectif visé ne peut être atteint que si le renseignement est communiqué sous une forme permettant d’identifier la personne concernée;
2° il est déraisonnable d’exiger l’obtention du consentement de la personne concernée;
18
3° l’objectif pour lequel la communication est requise l’emporte, eu égard à l’intérêt public, sur l’impact de la communication et de l’utilisation du renseignement sur la vie privée de la personne concernée;
4° le renseignement personnel est utilisé de manière à en assurer la confidentialité. »;
2° par l’ajout, à la fin, de l’alinéa suivant : « L’entente est transmise à la Commission et entre en vigueur 30 jours après sa réception par celle-ci. ».
26. Les articles 68.1 et 70 de cette loi sont abrogés. 27. L’article 70.1 de cette loi est remplacé par le suivant : « 70.1. Avant de communiquer à l’extérieur du Québec un renseignement personnel, un organisme public doit procéder à une évaluation des facteurs relatifs à la vie privée. Il doit notamment tenir compte des éléments suivants :
1° la sensibilité du renseignement; 2° la finalité de son utilisation; 3° les mesures de protection, y compris celles qui sont contractuelles, dont le renseignement bénéficierait;
4° le régime juridique applicable dans l’État où ce renseignement serait communiqué, notamment les principes de protection des renseignements personnels qui y sont applicables.
La communication peut s’effectuer si l’évaluation démontre que le renseignement bénéficierait d’une protection adéquate, notamment au regard des principes de protection des renseignements personnels généralement reconnus. Elle doit faire l’objet d’une entente écrite qui tient compte notamment des résultats de l’évaluation et, le cas échéant, des modalités convenues dans le but d’atténuer les risques identifiés dans le cadre de cette évaluation.
Il en est de même lorsque l’organisme public confie à une personne ou à un organisme à l’extérieur du Québec la tâche de recueillir, d’utiliser, de communiquer ou de conserver pour son compte un tel renseignement.
Le présent article ne s’applique pas à une communication prévue au paragraphe 4° du deuxième alinéa de l’article 59 ou au paragraphe 1.1° du premier alinéa de l’article 68. Il ne s’applique pas non plus à une communication faite dans le cadre d’un engagement international visé au chapitre III de la Loi sur le ministère des Relations internationales (chapitre M-25.1.1), à une communication faite dans le cadre d’une entente visée au chapitre III.1 ou III.2 de cette loi ou à une communication prévue à l’article 133 de la Loi sur la santé publique (chapitre S-2.2). ».
19
28. L’article 73 de cette loi est modifié : 1° par l’insertion, après « détruire », de « , ou l’anonymiser pour l’utiliser à des fins d’intérêt public »;
2° par l’ajout, à la fin, des alinéas suivants : « Pour l’application de la présente loi, un renseignement concernant une personne physique est anonymisé lorsqu’il est, en tout temps, raisonnable de prévoir dans les circonstances qu’il ne permet plus, de façon irréversible, d’identifier directement ou indirectement cette personne.
Les renseignements anonymisés en vertu de la présente loi doivent l’être selon les meilleures pratiques généralement reconnues et selon les critères et modalités déterminés par règlement. ».
29. L’article 79 de cette loi est modifié : 1° par le remplacement, dans le premier alinéa, de « 63.1 à 66 » par « 63.1 à 63.4, 64 à 66 »;
2° par le remplacement, dans le deuxième alinéa, de « 63.1 à 66, 67.3 et 67.4 et les articles 71 à 76 » par « 63.1 à 63.4, 64 à 66, 67.3, 67.4 et 71 à 76 ».
30. L’article 84 de cette loi est modifié par l’insertion, après le deuxième alinéa, du suivant :
« À moins que cela ne soulève des difficultés pratiques sérieuses, un renseignement personnel informatisé recueilli auprès du requérant, et non pas créé ou inféré à partir d’un renseignement personnel le concernant, lui est, à sa demande, communiqué dans un format technologique structuré et couramment utilisé. Ce renseignement est aussi communiqué à sa demande à toute personne ou à tout organisme autorisé par la loi à recueillir un tel renseignement. ».
31. Cette loi est modifiée par l’insertion, après l’article 88, du suivant : « 88.0.1. Un organisme public peut communiquer au conjoint ou à un proche parent d’une personne décédée un renseignement personnel qu’il détient concernant cette personne, si la connaissance de ce renseignement est susceptible d’aider le requérant dans son processus de deuil et que la personne décédée n’a pas consigné par écrit son refus d’accorder ce droit d’accès. ».
32. L’article 88.1 de cette loi est modifié par l’insertion, au début, de « Sous réserve de l’article 88.0.1, ».
20
33. L’article 94 de cette loi est modifié : 1° par le remplacement, dans le premier alinéa, de « ou à titre de titulaire de l’autorité parentale même si l’enfant mineur est décédé » par « , à titre de titulaire de l’autorité parentale même si l’enfant mineur est décédé ou à titre de conjoint ou de proche parent d’une personne décédée suivant l’article 88.0.1 »;
2° par le remplacement, dans le troisième alinéa, de « qu’elle a désigné » par « à qui cette fonction a été déléguée ».
34. L’article 98 de cette loi est modifié par le remplacement, dans le deuxième alinéa, de « courrier » par « écrit ».
35. L’article 100 de cette loi est modifié par l’ajout, à la fin, de la phrase suivante : « Il doit également prêter assistance au requérant qui le demande pour l’aider à comprendre la décision. ».
36. L’article 104 de cette loi est modifié : 1° par le remplacement, dans le premier alinéa, de « cinq » par « six » et de « un vice-président » par « deux vice-présidents »;
2° par l’insertion, après le premier alinéa, du suivant : « Un des vice-présidents est responsable de la section de surveillance et doit posséder une expertise relative au domaine des technologies de l’information et un autre vice-président est responsable de la section juridictionnelle. »;
3° par la suppression, dans le deuxième alinéa, de « et le vice-président ». 37. L’article 107.1 de cette loi est abrogé. 38. L’article 108 de cette loi est remplacé par le suivant : « 108. En cas d’absence ou d’empêchement du président ou de vacance de son poste, le président de l’Assemblée nationale peut, avec l’accord du Premier ministre et du Chef de l’opposition officielle à l’Assemblée et après consultation des autres chefs des groupes parlementaires au sens du Règlement de l’Assemblée nationale, désigner un vice-président de la Commission ou, à défaut de vice-président ou en cas d’absence ou d’empêchement des vice-présidents, l’un des autres membres de la Commission pour assurer l’intérim pour la durée de l’absence ou de l’empêchement ou, en cas de vacance du poste, pour une période qui ne peut dépasser 18 mois.
En cas d’absence ou d’empêchement d’un vice-président de la Commission ou de vacance de son poste, le président de l’Assemblée nationale peut, avec l’accord du Premier ministre et du Chef de l’opposition officielle à l’Assemblée et après consultation des autres chefs des groupes parlementaires au sens du Règlement de l’Assemblée nationale, désigner l’un des autres membres de la
21
Commission pour assurer l’intérim pour la durée de l’absence ou de l’empêchement ou, en cas de vacance du poste, pour une période qui ne peut dépasser 18 mois. ».
39. L’article 109 de cette loi est modifié : 1° par l’insertion, dans le premier alinéa et après « à l’Assemblée », de « et après consultation des autres chefs des groupes parlementaires au sens du Règlement de l’Assemblée nationale »;
2° par le remplacement, dans le deuxième alinéa, de « deuxième » par « troisième ».
40. Cette loi est modifiée par l’insertion, après l’article 110, des suivants : « 110.0.1. Le président peut déléguer tout ou partie de ses attributions à un vice-président.
« 110.0.2. Outre les attributions qui peuvent lui être dévolues par ailleurs ou déléguées par le président, un vice-président :
1° assiste et conseille le président dans l’exercice de ses fonctions; 2° exerce ses fonctions administratives sous l’autorité du président. ». 41. L’article 118 de cette loi est modifié : 1° par le remplacement, dans le premier alinéa, de « désigné » par « responsable de l’application de la présente loi »;
2° par l’insertion, à la fin du quatrième alinéa, de « ainsi que sur les sujets que le ministre peut soumettre à la Commission ».
42. L’article 120 de cette loi est modifié par le remplacement, dans le premier alinéa, de « désigné » par « responsable de l’application de la présente loi ».
43. L’article 122 de cette loi est remplacé par le suivant : « 122. Les fonctions et pouvoirs de la Commission prévus à la présente section sont exercés par le président, le vice-président responsable de la section de surveillance et les membres affectés à cette section. ».
44. L’article 122.1 de cette loi est modifié par l’insertion, à la fin du deuxième alinéa, de « , notamment par des moyens de sensibilisation ».
22
45. L’article 123 de cette loi est modifié par l’ajout, à la fin, des paragraphes suivants :
« 7° de réaliser ou faire réaliser des recherches, des inventaires, des études ou des analyses;
« 8° d’émettre des avis sur des projets de législation ou de développement de systèmes d’information;
« 9° d’élaborer des lignes directrices pour faciliter l’application de la présente loi et de la Loi sur la protection des renseignements personnels dans le secteur privé (chapitre P-39.1), notamment en matière de consentement. ».
46. L’article 125 de cette loi est abrogé. 47. L’article 127 de cette loi est modifié par la suppression, dans ce qui précède le paragraphe 1° du premier alinéa, de « intéressée ».
48. Cette loi est modifiée par l’insertion, après l’article 127, des suivants : « 127.1. La Commission peut, par une demande péremptoire notifiée par tout mode approprié, exiger d’une personne, assujettie ou non à la présente loi, dans le délai raisonnable qu’elle fixe, la production de tout renseignement ou de tout document permettant de vérifier l’application de la présente loi ou de ses règlements.
La personne à qui cette demande est faite doit, dans le délai fixé, s’y conformer, qu’elle ait ou non déjà produit un tel renseignement ou un tel document en réponse à une demande semblable ou en vertu d’une obligation découlant de la présente loi ou de ses règlements.
« 127.2. La Commission peut, lorsqu’un incident de confidentialité est porté à son attention, ordonner à toute personne, après lui avoir fourni l’occasion de présenter ses observations, l’application de toute mesure visant à protéger les droits des personnes concernées qui leur sont accordés par la présente loi, pour le temps et aux conditions qu’elle détermine. Elle peut notamment ordonner la remise des renseignements personnels impliqués à l’organisme public ou leur destruction.
La personne visée par une ordonnance sans qu’elle en ait été informée au préalable parce que, de l’avis de la Commission, il y a urgence ou danger de causer un préjudice irréparable, peut, dans le délai indiqué dans l’ordonnance, présenter ses observations pour en permettre le réexamen par la Commission. ».
23
49. L’article 129 de cette loi est modifié : 1° par l’insertion, après le deuxième alinéa, du suivant : « Lorsque l’enquête porte sur une entente transmise en vertu de la loi à la Commission, cette dernière peut rendre toute ordonnance contre un organisme public partie à cette entente et qu’elle estime propre à sauvegarder les droits accordés par la présente loi aux personnes concernées par ces renseignements. »;
2° dans le troisième alinéa : a) par l’insertion, avant « lui ordonner », de « lui recommander ou »; b) par l’insertion, à la fin, de « dans le délai raisonnable qu’elle indique ». 50. Cette loi est modifiée par l’insertion, après l’article 129, du suivant : « 129.1. Une ordonnance prise par la section de surveillance de la Commission devient exécutoire de la même manière qu’une décision visée à l’article 144. ».
51. L’article 130.2 de cette loi est modifié : 1° par le remplacement, dans le premier alinéa, de « le troisième alinéa » par « les troisième et quatrième alinéas »;
2° dans le deuxième alinéa : a) par l’insertion, après « paragraphes 1°, », de « 2°, »; b) par le remplacement de « les articles 123.1 et 125 » par « l’article 123.1 ». 52. L’article 133 de cette loi est modifié : 1° par la suppression de « ou après avoir rendu une ordonnance »; 2° par le remplacement de « ou exposer la situation dans son rapport annuel » par « exposer la situation dans son rapport annuel ou en informer le public ».
53. L’article 134.1 de cette loi est remplacé par le suivant : « 134.1. Les fonctions et pouvoirs de la Commission prévus à la présente section sont exercés par le président, le vice-président responsable de la section juridictionnelle et les membres affectés à cette section. ».
24
54. Cette loi est modifiée par l’insertion, après l’article 134.2, des suivants : « 134.3. La Commission et ses membres sont, lorsqu’ils exercent les fonctions et les pouvoirs prévus à la présente section, investis des pouvoirs et de l’immunité des commissaires nommés en vertu de la Loi sur les commissions d’enquête (chapitre C-37), sauf du pouvoir d’ordonner l’emprisonnement.
« 134.4. Les parties à une instance doivent s’assurer que leurs démarches, les actes de procédure et les moyens de preuve choisis sont, eu égard aux coûts et au temps exigé, proportionnés à la nature et à la complexité de l’affaire et à la finalité de la demande.
La Commission doit faire de même dans la gestion de chaque instance qui lui est confiée. Les mesures et les actes qu’elle ordonne ou autorise doivent l’être dans le respect de ce principe de proportionnalité, tout en tenant compte de la bonne administration de la justice. ».
55. L’article 136 de cette loi est modifié par le remplacement, dans le premier alinéa, de « mise à la poste » par « transmission ».
56. L’article 137 de cette loi est modifié par le remplacement, dans le quatrième alinéa, de « courrier » par « la transmission d’un écrit ».
57. L’article 137.1 de cette loi est modifié : 1° dans le premier alinéa : a) par le remplacement, dans le texte anglais, de « applications » et « an application » par, respectivement, « requests » et « a request »;
b) par l’ajout, à la fin, de la phrase suivante : « Elle peut aussi circonscrire la demande du requérant ou prolonger le délai dans lequel l’organisme public doit répondre. »;
2° par le remplacement, dans le texte anglais du deuxième alinéa, de « applications » par « requests »;
3° par l’ajout, à la fin, de l’alinéa suivant : « La demande de l’organisme public doit être faite, à compter de la réception de la dernière demande du requérant, dans le même délai que celui qui serait applicable au traitement de la demande en vertu des articles 47 ou 98. ».
58. L’article 137.2 de cette loi est modifié par l’ajout, à la fin, de l’alinéa suivant :
« Dans ces cas, la Commission peut interdire à une personne d’introduire une demande sans l’autorisation du président de la Commission et selon les
25
conditions que celui-ci détermine. Elle peut de la même manière interdire à une personne de présenter un acte de procédure dans une instance déjà introduite. ».
59. Cette loi est modifiée par l’insertion, après l’article 137.3, du suivant : « 137.4. La Commission peut, à toute étape de l’instance, utiliser un moyen technologique qui est disponible tant pour les parties que pour elle-même. Elle peut ordonner qu’il soit utilisé par les parties, même d’office. Elle peut aussi, si elle le considère nécessaire, exiger, malgré l’accord des parties, qu’une personne se présente physiquement à une audience, à une conférence ou à un interrogatoire. ».
60. L’article 139 de cette loi est modifié par l’insertion, après « 135, », de « 136, ».
61. L’intitulé du chapitre V de cette loi est modifié par l’ajout, à la fin, de « ET CONTESTATION ».
62. L’article 147 de cette loi est modifié : 1° par la suppression de « , y compris une ordonnance de la Commission rendue au terme d’une enquête, »;
2° par l’ajout, à la fin, de l’alinéa suivant : « Elle peut aussi contester devant un juge de la Cour du Québec une ordonnance prise par la section de surveillance de la Commission. ».
63. L’article 149 de cette loi est modifié : 1° par le remplacement, dans le deuxième alinéa, de « date de la réception de la décision finale par les parties » par « notification de la décision finale »;
2° par l’ajout, à la fin, de l’alinéa suivant : « Le recours en contestation d’une ordonnance prise par la section de surveillance de la Commission est déposé au greffe de la Cour du Québec dans les 30 jours qui suivent la notification de l’ordonnance et précise les questions qui devraient être examinées. ».
64. L’article 150 de cette loi est modifié par l’ajout, à la fin, de l’alinéa suivant :
« Le dépôt du recours en contestation d’une ordonnance prise par la section de surveillance de la Commission ne suspend pas l’exécution de cette ordonnance. Toutefois, sur requête instruite et jugée d’urgence, un juge de la Cour du Québec peut en ordonner autrement en raison de l’urgence ou du risque d’un préjudice sérieux et irréparable. ».
26
65. L’article 151 de cette loi est modifié : 1° par le remplacement, dans le deuxième alinéa, de « contestée et les pièces de la contestation » par « dont il y a appel et les pièces qui l’accompagnent »;
2° par l’ajout, à la fin, de l’alinéa suivant : « La contestation d’une ordonnance prise par la section de surveillance de la Commission doit être signifiée à la Commission et, le cas échéant, aux autres parties, dans les 10 jours de son dépôt au greffe de la Cour du Québec. Le secrétaire de la Commission transmet au greffe, pour tenir lieu de dossier conjoint, un exemplaire de l’ordonnance contestée et les pièces qui l’accompagnent. ».
66. L’article 152 de cette loi est modifié par l’ajout, à la fin, de l’alinéa suivant :
« La contestation est régie par les règles du Code de procédure civile applicables en première instance. ».
67. L’article 155 de cette loi est modifié, dans le premier alinéa : 1° par la suppression, dans le paragraphe 3.1°, de « ces règles peuvent prévoir la formation d’un comité chargé de soutenir l’organisme public dans l’exercice de ses responsabilités et confier des fonctions à d’autres personnes que le responsable de l’accès aux documents ou de la protection des renseignements personnels; »;
2° par l’insertion, après le paragraphe 3.1°, des suivants : « 4° exclure un organisme public de l’obligation de former le comité prévu à l’article 8.1 ou modifier les obligations d’un organisme prévues à cet article en fonction de critères qu’il définit;
« 5° déterminer le contenu et les modalités des règles de gouvernance prévues à l’article 63.3;
« 6° déterminer le contenu et les modalités de la politique prévue à l’article 63.4;
« 6.1° déterminer le contenu et les modalités des avis prévus à l’article 63.8; « 6.2° déterminer la teneur du registre prévu à l’article 63.11; « 6.3° aux fins de l’article 73, déterminer les critères et les modalités applicables à l’anonymisation d’un renseignement personnel; ».
27
68. L’article 156 de cette loi est modifié : 1° par le remplacement de « désigné » par « responsable de l’application de la présente loi »;
2° par le remplacement de « d’un projet de règlement » par « de tout projet de règlement pris en vertu de la présente loi ».
69. Les articles 158 à 162 de cette loi sont remplacés par les suivants : « 158. Commet une infraction et est passible d’une amende de 1 000 $ à 10 000 $ dans le cas d’une personne physique et de 3 000 $ à 30 000 $ dans les autres cas quiconque :
1° refuse ou entrave l’accès à un document ou à un renseignement accessible en vertu de la loi, notamment en détruisant, modifiant ou cachant le document ou en retardant indûment sa communication;
2° donne accès à un document dont la loi ne permet pas l’accès ou auquel un organisme public, conformément à la loi, refuse de donner accès;
3° informe une personne de l’existence d’un renseignement dont elle n’a pas le droit d’être informée en vertu de la loi;
4° entrave l’exercice des fonctions du responsable de l’accès aux documents ou de la protection des renseignements personnels;
5° recueille, utilise, conserve ou détruit des renseignements personnels en contravention à la loi;
6° omet de déclarer, s’il est tenu de le faire, un incident de confidentialité à la Commission ou aux personnes concernées;
7° est en défaut de respecter les conditions prévues à une entente conclue en application de l’article 67.2.3.
« 159. Commet une infraction et est passible d’une amende de 5 000 $ à 100 000 $ dans le cas d’une personne physique et de 15 000 $ à 150 000 $ dans les autres cas quiconque :
1° communique des renseignements personnels en contravention à la loi; 2° procède ou tente de procéder à l’identification d’une personne physique à partir de renseignements dépersonnalisés sans l’autorisation de l’organisme public qui les détient ou à partir de renseignements anonymisés;
3° entrave le déroulement d’une enquête ou d’une inspection de la Commission ou l’instruction d’une demande par celle-ci en lui communiquant des renseignements faux ou inexacts, ou en omettant de lui communiquer des renseignements qu’elle requiert ou autrement;
28
4° refuse ou néglige de se conformer, dans le délai fixé, à une demande transmise en application de l’article 127.1;
5° contrevient à une ordonnance de la Commission; 6° ne prend pas les mesures de sécurité propres à assurer la protection des renseignements personnels conformément à l’article 63.1.
« 160. Dans la détermination de la peine, le juge tient notamment compte des facteurs suivants :
1° la nature, la gravité, le caractère répétitif et la durée de l’infraction; 2° la sensibilité des renseignements personnels concernés par l’infraction; 3° le fait que le contrevenant ait agi intentionnellement ou ait fait preuve de négligence ou d’insouciance;
4° le caractère prévisible de l’infraction ou le défaut d’avoir donné suite aux recommandations ou aux avertissements visant à la prévenir;
5° les tentatives du contrevenant de dissimuler l’infraction ou son défaut de tenter d’en atténuer les conséquences;
6° le fait que le contrevenant ait omis de prendre des mesures raisonnables pour empêcher la perpétration de l’infraction;
7° le fait que le contrevenant, en commettant l’infraction ou en omettant de prendre des mesures pour empêcher sa perpétration, ait accru ses revenus ou ait réduit ses dépenses ou avait l’intention de le faire;
8° le nombre de personnes concernées par l’infraction et le risque de préjudice auquel ces personnes sont exposées. ».
70. Cette loi est modifiée par l’insertion, après l’article 164, des suivants : « 164.1. En cas de récidive, les amendes prévues à la présente section sont portées au double.
« 164.2. Toute poursuite pénale doit être intentée dans un délai de cinq ans de la perpétration de l’infraction. ».
71. L’article 167 de cette loi est remplacé par le suivant : « 167. Lorsqu’une atteinte illicite à un droit reconnu par le chapitre III cause un préjudice et que cette atteinte est intentionnelle ou résulte d’une faute lourde, le tribunal accorde des dommages-intérêts punitifs d’au moins 1 000 $. ».
72. L’article 174 de cette loi est modifié par l’insertion, dans le deuxième alinéa et après « consulter », de « la section de surveillance de ».
29
73. L’article 179 de cette loi est modifié par le remplacement, dans le premier alinéa, de « 2011 » par « 2026 ».
LOI SUR L’ADMINISTRATION FINANCIÈRE 74. L’article 44 de la Loi sur l’administration financière (chapitre A-6.001) est abrogé.
LOI SUR L’ADMINISTRATION FISCALE 75. L’article 31.1.7 de la Loi sur l’administration fiscale (chapitre A-6.002) est abrogé.
76. L’article 69.8 de cette loi est modifié par le remplacement, dans le dernier alinéa, de « , 68, 68.1 et 70 » par « et 68 ».
77. L’article 71 de cette loi est modifié par le remplacement, dans le dernier alinéa, de « , 68, 68.1 et 70 » par « et 68 ».
LOI SUR L’ASSURANCE MALADIE 78. L’article 65.0.2 de la Loi sur l’assurance maladie (chapitre A-29) est modifié par le remplacement du deuxième alinéa par le suivant :
« Cette entente est transmise à la Commission d’accès à l’information et entre en vigueur 30 jours après sa réception par celle-ci. ».
79. L’article 67 de cette loi est modifié par le remplacement, dans le neuvième alinéa, de « autorisée par la Commission d’accès à l’information à » par « ou à un organisme pour qu’il puisse, conformément aux articles 67.2.1 à 67.2.3 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, ».
LOI CONCERNANT LE CADRE JURIDIQUE DES TECHNOLOGIES DE L’INFORMATION
80. L’article 44 de la Loi concernant le cadre juridique des technologies de l’information (chapitre C-1.1) est modifié par l’insertion, dans le premier alinéa et avant « sans le consentement », de « sans l’avoir divulgué préalablement à la Commission d’accès à l’information et ».
81. L’article 45 de cette loi est modifié par le remplacement du premier alinéa par le suivant :
« La création d’une banque de caractéristiques ou de mesures biométriques doit être divulguée à la Commission d’accès à l’information avec diligence, au plus tard 60 jours avant sa mise en service. ».
30
LOI SUR LES ÉLECTIONS ET LES RÉFÉRENDUMS DANS LES MUNICIPALITÉS
82. L’article 659 de la Loi sur les élections et les référendums dans les municipalités (chapitre E-2.2) est modifié par le remplacement, dans le troisième alinéa, de « 70 » par « 68 ».
LOI SUR LES ÉLECTIONS SCOLAIRES VISANT CERTAINS MEMBRES DES CONSEILS D’ADMINISTRATION DES CENTRES DE SERVICES SCOLAIRES ANGLOPHONES
83. L’article 282 de la Loi sur les élections scolaires visant certains membres des conseils d’administration des centres de services scolaires anglophones (chapitre E-2.3) est modifié par le remplacement, partout où ceci se trouve, de « 70 » par « 68 ».
LOI ÉLECTORALE 84. L’article 40.38.3 de la Loi électorale (chapitre E-3.3) est modifié par le remplacement, dans le deuxième alinéa, de « doit s’engager » par « la reçoit après s’être engagé ».
85. L’article 40.42 de cette loi est modifié : 1° par le remplacement, dans le premier alinéa, de « le deuxième alinéa » par « les deuxième et quatrième alinéas »;
2° par l’ajout, à la fin, de l’alinéa suivant : « Le directeur général des élections peut conclure une entente, conformément aux articles 67.2.1 à 67.2.3 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (chapitre A-2.1), afin de communiquer des renseignements personnels contenus à la liste électorale permanente à une personne ou à un organisme qui souhaite utiliser ces renseignements à des fins d’étude, de recherche ou de production de statistiques. ».
86. Cette loi est modifiée par l’insertion, après l’article 127.21, du titre suivant :
« TITRE III.1 « PROTECTION DES RENSEIGNEMENTS PERSONNELS DES ÉLECTEURS
« 127.22. Sauf disposition inconciliable avec la présente loi, la Loi sur la protection des renseignements personnels dans le secteur privé
31
(chapitre P-39.1) s’applique aux renseignements personnels d’électeurs détenus par un parti politique, un député indépendant ou un candidat indépendant, à l’exception des articles 4, 5, 12, 23 et 27 à 60.
Tout parti politique doit désigner, parmi ses dirigeants, la personne qui exerce la fonction de responsable de la protection des renseignements personnels.
Aux fins de l’application de la Loi sur la protection des renseignements personnels dans le secteur privé et du présent titre, l’instance d’un parti politique est considérée comme partie intégrante de celui-ci.
« 127.23. Un parti politique, un député indépendant et un candidat indépendant ne peuvent recueillir que les renseignements personnels d’électeurs qui leur sont nécessaires à des fins électorales, de financement politique ou aux fins d’une activité politique au sens de l’article 88 conformément à la présente loi. Ils ne peuvent utiliser ces renseignements personnels qu’à ces mêmes fins.
De plus, ils ne peuvent recueillir ou utiliser des renseignements personnels sans le consentement de la personne concernée. ».
87. L’article 146 de cette loi est modifié par l’ajout, à la fin du deuxième alinéa, de la phrase suivante : « Un candidat reçoit les listes après s’être engagé par écrit à prendre les mesures appropriées pour protéger leur caractère confidentiel et pour que ces listes soient utilisées aux seules fins prévues par la présente loi. ».
88. L’article 551.1.1 de cette loi est modifié par le remplacement de « 1 000 $ à 10 000 $, ou, s’il s’agit d’une personne morale, d’une amende de 3 000 $ à 30 000 $, quiconque » par « 5 000 $ à 50 000 $, ou, dans les autres cas, d’une amende de 15 000 $ à 150 000 $, quiconque recueille, ».
89. L’article 551.2 de cette loi est modifié par le remplacement de « 10 000 $, ou, s’il s’agit d’une personne morale, d’une amende de 10 000 $ à 30 000 $ » par « 50 000 $ ou, dans les autres cas, d’une amende de 15 000 $ à 150 000 $ ».
90. L’article 570 de cette loi est modifié par la suppression du deuxième alinéa. LOI SUR L’INSTITUT DE LA STATISTIQUE DU QUÉBEC 91. L’article 13.5 de la Loi sur l’Institut de la statistique du Québec (chapitre I-13.011), édicté par l’article 71 du chapitre 15 des lois de 2021, est remplacé par le suivant :
« 13.5. La communication de renseignements désignés à des fins de recherche à un chercheur lié à un organisme public est effectuée par l’Institut conformément au présent chapitre malgré les articles 67.2.1 à 67.2.3 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (chapitre A-2.1). ».
32
92. L’article 13.6 de cette loi, édicté par l’article 71 du chapitre 15 des lois de 2021, est modifié par la suppression, dans ce qui précède le paragraphe 1°, de « le premier alinéa de ».
LOI SUR LA FINANCIÈRE AGRICOLE DU QUÉBEC 93. L’article 28 de la Loi sur La Financière agricole du Québec (chapitre L-0.1) est modifié par le remplacement du dernier alinéa par le suivant :
« Cette entente est transmise à la Commission d’accès à l’information et entre en vigueur 30 jours après sa réception par celle-ci. ».
LOI SUR LE MINISTÈRE DE L’EMPLOI ET DE LA SOLIDARITÉ SOCIALE ET SUR LA COMMISSION DES PARTENAIRES DU MARCHÉ DU TRAVAIL
94. L’article 8 de la Loi sur le ministère de l’Emploi et de la Solidarité sociale et sur la Commission des partenaires du marché du travail (chapitre M-15.001) est modifié par le remplacement du deuxième alinéa par le suivant :
« Une telle entente est transmise à la Commission d’accès à l’information et entre en vigueur 30 jours après sa réception par celle-ci. ».
LOI CONCERNANT LES PARAMÈTRES SECTORIELS DE CERTAINES MESURES FISCALES
95. L’article 31 de la Loi concernant les paramètres sectoriels de certaines mesures fiscales (chapitre P-5.1) est modifié par la suppression du deuxième alinéa.
96. L’article 32 de cette loi est remplacé par le suivant : « 32. La communication d’un renseignement au ministre des Finances pour une fin mentionnée à l’article 31, effectuée conformément à cet article ou à l’initiative d’un ministre ou d’un organisme responsable visé à cet article, n’a pas à être inscrite au registre prévu à l’article 41.3 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (chapitre A-2.1). ».
LOI CONCERNANT LE PARTAGE DE CERTAINS RENSEIGNEMENTS DE SANTÉ
97. L’article 106 de la Loi concernant le partage de certains renseignements de santé (chapitre P-9.0001) est modifié par le remplacement du paragraphe 4° du premier alinéa par le paragraphe suivant :
« 4° à une personne ou à un organisme qui peut, conformément aux articles 67.2.1 à 67.2.3 de la Loi sur l’accès aux documents des organismes
33
publics et sur la protection des renseignements personnels (chapitre A-2.1), utiliser des renseignements à des fins d’étude, de recherche ou de production de statistiques dans le domaine de la santé et des services sociaux. ».
98. L’article 107 de cette loi est abrogé. LOI VISANT À PRÉVENIR ET À COMBATTRE LES VIOLENCES À CARACTÈRE SEXUEL DANS LES ÉTABLISSEMENTS D’ENSEIGNEMENT SUPÉRIEUR
99. L’article 4 de la Loi visant à prévenir et à combattre les violences à caractère sexuel dans les établissements d’enseignement supérieur (chapitre P-22.1) est modifié par l’ajout, à la fin, de l’alinéa suivant :
« À la demande de la personne ayant déposé une plainte, l’établissement d’enseignement doit lui communiquer les renseignements relatifs aux suites qui ont été données à la plainte, soit l’imposition ou non d’une sanction ainsi que les détails et les modalités de celle-ci, le cas échéant. ».
LOI SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS DANS LE SECTEUR PRIVÉ
100. L’article 1 de la Loi sur la protection des renseignements personnels dans le secteur privé (chapitre P-39.1) est modifié :
1° par l’insertion, dans le deuxième alinéa et après « renseignements », de « , que leur conservation soit assurée par l’entreprise ou par un tiers, »;
2° par l’insertion, dans le troisième alinéa et après « (chapitre C-26) », de « et à ceux détenus par un parti politique, un député indépendant ou un candidat indépendant dans la mesure prévue par la Loi électorale (chapitre E-3.3) »;
3° par l’ajout, à la fin du cinquième alinéa, de la phrase suivante : « Elles ne s’appliquent pas non plus aux renseignements personnels qui concernent l’exercice par la personne concernée d’une fonction au sein d’une entreprise, tels que son nom, son titre et sa fonction, de même que l’adresse, l’adresse de courrier électronique et le numéro de téléphone de son lieu de travail. ».
101. Cette loi est modifiée par l’insertion, après l’article 1, du suivant : « 1.1. Pour l’application de la présente loi, une personne qui recueille des renseignements personnels sur autrui en raison d’un intérêt sérieux et légitime est réputée constituer un dossier au sens du Code civil et les droits concernant ce dossier conférés par les articles 35 à 40 de ce code s’appliquent aux renseignements personnels recueillis. ».
102. L’article 2 de cette loi est modifié par l’insertion, après « permet », de « , directement ou indirectement, ».
34
103. Cette loi est modifiée par l’insertion, après l’article 3, de la section suivante :
« SECTION I.1 « RESPONSABILITÉS RELATIVES À LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
« 3.1. Toute personne qui exploite une entreprise est responsable de la protection des renseignements personnels qu’elle détient.
Au sein de l’entreprise, la personne ayant la plus haute autorité veille à assurer le respect et la mise en oeuvre de la présente loi. Elle exerce la fonction de responsable de la protection des renseignements personnels; elle peut déléguer cette fonction par écrit, en tout ou en partie, à toute personne.
Le titre et les coordonnées du responsable de la protection des renseignements personnels sont publiés sur le site Internet de l’entreprise ou, si elle n’a pas de site, rendus accessibles par tout autre moyen approprié.
« 3.2. Toute personne qui exploite une entreprise doit établir et mettre en œuvre des politiques et des pratiques encadrant sa gouvernance à l’égard des renseignements personnels et propres à assurer la protection de ces renseignements. Celles-ci doivent notamment prévoir l’encadrement applicable à la conservation et à la destruction de ces renseignements, prévoir les rôles et les responsabilités des membres de son personnel tout au long du cycle de vie de ces renseignements et un processus de traitement des plaintes relatives à la protection de ceux-ci. Elles doivent également être proportionnées à la nature et à l’importance des activités de l’entreprise et être approuvées par le responsable de la protection des renseignements personnels.
Des informations détaillées au sujet de ces politiques et de ces pratiques, notamment en ce qui concerne le contenu exigé au premier alinéa, sont, en termes simples et clairs, publiées sur le site Internet de l’entreprise ou, si elle n’a pas de site, rendues accessibles par tout autre moyen approprié.
« 3.3. Toute personne qui exploite une entreprise doit procéder à une évaluation des facteurs relatifs à la vie privée de tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels.
Aux fins de cette évaluation, la personne doit consulter, dès le début du projet, son responsable de la protection des renseignements personnels.
La personne doit également s’assurer que ce projet permet qu’un renseignement personnel informatisé recueilli auprès de la personne concernée soit communiqué à cette dernière dans un format technologique structuré et couramment utilisé.
35
La réalisation d’une évaluation des facteurs relatifs à la vie privée en application de la présente loi doit être proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support.
« 3.4. Le responsable de la protection des renseignements personnels peut, à toute étape d’un projet visé à l’article 3.3, suggérer des mesures de protection des renseignements personnels applicables à ce projet, telles que :
1° la nomination d’une personne chargée de la mise en oeuvre des mesures de protection des renseignements personnels;
2° des mesures de protection des renseignements personnels dans tout document relatif au projet;
3° une description des responsabilités des participants au projet en matière de protection des renseignements personnels;
4° la tenue d’activités de formation sur la protection des renseignements personnels pour les participants au projet.
« 3.5. Une personne qui exploite une entreprise et qui a des motifs de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel qu’elle détient doit prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent.
Si l’incident présente un risque qu’un préjudice sérieux soit causé, elle doit, avec diligence, aviser la Commission d’accès à l’information instituée par l’article 103 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (chapitre A-2.1). Elle doit également aviser toute personne dont un renseignement personnel est concerné par l’incident, à défaut de quoi la Commission peut lui ordonner de le faire. Elle peut également aviser toute personne ou tout organisme susceptible de diminuer ce risque, en ne lui communiquant que les renseignements personnels nécessaires à cette fin sans le consentement de la personne concernée. Dans ce dernier cas, le responsable de la protection des renseignements personnels doit enregistrer la communication.
Malgré le deuxième alinéa, une personne dont un renseignement personnel est concerné par l’incident n’a pas à être avisée tant que cela serait susceptible d’entraver une enquête faite par une personne ou par un organisme qui, en vertu de la loi, est chargé de prévenir, détecter ou réprimer le crime ou les infractions aux lois.
Un règlement du gouvernement peut déterminer le contenu et les modalités des avis prévus au présent article.
36
« 3.6. Pour l’application de la présente loi, on entend par « incident de confidentialité » :
1° l’accès non autorisé par la loi à un renseignement personnel; 2° l’utilisation non autorisée par la loi d’un renseignement personnel; 3° la communication non autorisée par la loi d’un renseignement personnel; 4° la perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.
« 3.7. Lorsqu’elle évalue le risque qu’un préjudice soit causé à une personne dont un renseignement personnel est concerné par un incident de confidentialité, la personne qui exploite une entreprise doit considérer notamment la sensibilité du renseignement concerné, les conséquences appréhendées de son utilisation et la probabilité qu’il soit utilisé à des fins préjudiciables. Elle doit également consulter son responsable de la protection des renseignements personnels.
« 3.8. La personne qui exploite une entreprise doit tenir un registre des incidents de confidentialité. Un règlement du gouvernement peut déterminer la teneur de ce registre.
Sur demande de la Commission, une copie de ce registre lui est transmise. ». 104. L’article 4 de cette loi est remplacé par les suivants : « 4. Toute personne qui exploite une entreprise et qui, en raison d’un intérêt sérieux et légitime, recueille des renseignements personnels sur autrui doit, avant la collecte, déterminer les fins de celle-ci.
« 4.1. Les renseignements personnels concernant un mineur de moins de 14 ans ne peuvent être recueillis auprès de celui-ci sans le consentement du titulaire de l’autorité parentale ou du tuteur, sauf lorsque cette collecte est manifestement au bénéfice de ce mineur. ».
105. L’article 5 de cette loi est modifié par le remplacement du premier alinéa par le suivant :
« La personne qui recueille des renseignements personnels sur autrui ne doit recueillir que les renseignements nécessaires aux fins déterminées avant la collecte. ».
106. L’article 7 de cette loi est modifié par le remplacement des deux premiers alinéas par le suivant :
« La personne qui recueille des renseignements personnels auprès d’une autre personne qui exploite une entreprise doit, à la demande de la personne concernée, informer celle-ci de la source de ces renseignements. ».
37
107. L’article 8 de cette loi est remplacé par les suivants : « 8. La personne qui recueille des renseignements personnels auprès de la personne concernée doit, lors de la collecte et par la suite sur demande, l’informer :
1° des fins auxquelles ces renseignements sont recueillis; 2° des moyens par lesquels les renseignements sont recueillis; 3° des droits d’accès et de rectification prévus par la loi; 4° de son droit de retirer son consentement à la communication ou à l’utilisation des renseignements recueillis.
Le cas échéant, la personne concernée est informée du nom du tiers pour qui la collecte est faite, du nom des tiers ou des catégories de tiers à qui il est nécessaire de communiquer les renseignements aux fins visées au paragraphe 1° du premier alinéa et de la possibilité que les renseignements soient communiqués à l’extérieur du Québec.
Sur demande, la personne concernée est également informée des renseignements personnels recueillis auprès d’elle, des catégories de personnes qui ont accès à ces renseignements au sein de l’entreprise, de la durée de conservation de ces renseignements, ainsi que des coordonnées du responsable de la protection des renseignements personnels.
L’information doit être transmise à la personne concernée en termes simples et clairs, quel que soit le moyen utilisé pour recueillir les renseignements.
« 8.1. En plus des informations devant être fournies suivant l’article 8, la personne qui recueille des renseignements personnels auprès de la personne concernée en ayant recours à une technologie comprenant des fonctions permettant de l’identifier, de la localiser ou d’effectuer un profilage de celle-ci doit, au préalable, l’informer :
1° du recours à une telle technologie; 2° des moyens offerts pour activer les fonctions permettant d’identifier, de localiser ou d’effectuer un profilage.
Le profilage s’entend de la collecte et de l’utilisation de renseignements personnels afin d’évaluer certaines caractéristiques d’une personne physique, notamment à des fins d’analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de cette personne.
38
« 8.2. La personne qui recueille par un moyen technologique des renseignements personnels doit publier sur le site Internet de l’entreprise, le cas échéant, et diffuser par tout moyen propre à atteindre les personnes concernées une politique de confidentialité rédigée en termes simples et clairs. Elle fait de même pour l’avis dont toute modification à cette politique doit faire l’objet.
« 8.3. Toute personne qui fournit ses renseignements personnels suivant l’article 8 consent à leur utilisation et à leur communication aux fins visées au paragraphe 1° du premier alinéa de cet article. ».
108. Cette loi est modifiée par l’insertion, après l’article 9, du suivant : « 9.1. Une personne qui exploite une entreprise et qui recueille des renseignements personnels en offrant au public un produit ou un service technologique disposant de paramètres de confidentialité doit s’assurer que, par défaut, ces paramètres assurent le plus haut niveau de confidentialité, sans aucune intervention de la personne concernée.
Ne sont pas visés au premier alinéa les paramètres de confidentialité d’un témoin de connexion. ».
109. L’article 11 de cette loi est modifié : 1° par le remplacement de « dossiers » par « renseignements personnels »; 2° par l’ajout, à la fin, de l’alinéa suivant : « Les renseignements utilisés pour prendre une telle décision sont conservés pendant au moins un an suivant la décision. ».
110. Les articles 12 à 14 de cette loi sont remplacés par les suivants : « 12. Un renseignement personnel ne peut être utilisé au sein de l’entreprise qu’aux fins pour lesquelles il a été recueilli, à moins du consentement de la personne concernée. Ce consentement doit être manifesté de façon expresse dès qu’il s’agit d’un renseignement personnel sensible.
Un renseignement personnel peut toutefois être utilisé à une autre fin sans le consentement de la personne concernée dans les seuls cas suivants :
1° lorsque son utilisation est à des fins compatibles avec celles pour lesquelles il a été recueilli;
2° lorsque son utilisation est manifestement au bénéfice de la personne concernée;
3° lorsque son utilisation est nécessaire à des fins de prévention et de détection de la fraude ou d’évaluation et d’amélioration des mesures de protection et de sécurité;
39
4° lorsque son utilisation est nécessaire à des fins de fourniture ou de livraison d’un produit ou de prestation d’un service demandé par la personne concernée;
5° lorsque son utilisation est nécessaire à des fins d’étude, de recherche ou de production de statistiques et qu’il est dépersonnalisé.
Pour qu’une fin soit compatible au sens du paragraphe 1° du deuxième alinéa, il doit y avoir un lien pertinent et direct avec les fins auxquelles le renseignement a été recueilli. Toutefois, ne peut être considérée comme une fin compatible la prospection commerciale ou philanthropique.
Pour l’application de la présente loi, un renseignement personnel est : 1° dépersonnalisé lorsque ce renseignement ne permet plus d’identifier directement la personne concernée;
2° sensible lorsque, de par sa nature notamment médicale, biométrique ou autrement intime, ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d’attente raisonnable en matière de vie privée.
Toute personne qui exploite une entreprise et qui utilise des renseignements dépersonnalisés doit prendre les mesures raisonnables afin de limiter les risques que quiconque procède à l’identification d’une personne physique à partir de renseignements dépersonnalisés.
« 12.1. Toute personne qui exploite une entreprise et qui utilise des renseignements personnels afin que soit rendue une décision fondée exclusivement sur un traitement automatisé de ceux-ci doit en informer la personne concernée au plus tard au moment où elle l’informe de cette décision.
Elle doit aussi, à la demande de la personne concernée, l’informer : 1° des renseignements personnels utilisés pour rendre la décision; 2° des raisons, ainsi que des principaux facteurs et paramètres, ayant mené à la décision;
3° de son droit de faire rectifier les renseignements personnels utilisés pour rendre la décision.
Il doit être donné à la personne concernée l’occasion de présenter ses observations à un membre du personnel de l’entreprise en mesure de réviser la décision.
« 13. Nul ne peut communiquer à un tiers les renseignements personnels qu’il détient sur autrui, à moins que la personne concernée n’y consente ou que la présente loi ne le prévoie.
40
Le consentement doit être manifesté de façon expresse dès qu’il s’agit d’un renseignement personnel sensible.
« 14. Un consentement prévu à la présente loi doit être manifeste, libre, éclairé et être donné à des fins spécifiques. Il est demandé à chacune de ces fins, en termes simples et clairs. Lorsque la demande de consentement est faite par écrit, elle doit être présentée distinctement de toute autre information communiquée à la personne concernée. Lorsque celle-ci le requiert, il lui est prêté assistance afin de l’aider à comprendre la portée du consentement demandé.
Le consentement du mineur de moins de 14 ans est donné par le titulaire de l’autorité parentale ou par le tuteur. Le consentement du mineur de 14 ans et plus est donné par le mineur, par le titulaire de l’autorité parentale ou par le tuteur.
Le consentement ne vaut que pour la durée nécessaire à la réalisation des fins auxquelles il a été demandé.
Un consentement qui n’est pas donné conformément à la présente loi est sans effet. ».
111. L’article 17 de cette loi est remplacé par le suivant : « 17. Avant de communiquer à l’extérieur du Québec un renseignement personnel, la personne qui exploite une entreprise doit procéder à une évaluation des facteurs relatifs à la vie privée. Elle doit notamment tenir compte des éléments suivants :
1° la sensibilité du renseignement; 2° la finalité de son utilisation; 3° les mesures de protection, y compris celles qui sont contractuelles, dont le renseignement bénéficierait;
4° le régime juridique applicable dans l’État où ce renseignement serait communiqué, notamment les principes de protection des renseignements personnels qui y sont applicables.
La communication peut s’effectuer si l’évaluation démontre que le renseignement bénéficierait d’une protection adéquate, notamment au regard des principes de protection des renseignements personnels généralement reconnus. Elle doit faire l’objet d’une entente écrite qui tient compte notamment des résultats de l’évaluation et, le cas échéant, des modalités convenues dans le but d’atténuer les risques identifiés dans le cadre de cette évaluation.
Il en est de même lorsque la personne qui exploite une entreprise confie à une personne ou à un organisme à l’extérieur du Québec la tâche de recueillir, d’utiliser, de communiquer ou de conserver pour son compte un tel renseignement.
41
Le présent article ne s’applique pas à une communication prévue au paragraphe 7° du premier alinéa de l’article 18. ».
112. L’article 18 de cette loi est modifié : 1° dans le premier alinéa : a) par la suppression, dans ce qui précède le paragraphe 1°, de « contenu dans un dossier »;
b) par l’insertion, au début du paragraphe 3°, de « à une personne ou »; c) par l’insertion, après le paragraphe 7°, du suivant : « 7.1° à une personne ou à un organisme, conformément aux articles 18.1 à 18.4; »;
d) par le remplacement, dans le paragraphe 8°, de « est autorisée à utiliser » par « peut utiliser »;
e) par la suppression du paragraphe 10°; 2° dans le deuxième alinéa : a) par le remplacement de « 10° » par « 9.1° »; b) par la suppression de la dernière phrase. 113. L’article 18.1 de cette loi est modifié : 1° par la suppression, dans le premier alinéa, de « contenu dans un dossier »; 2° par la suppression, dans le quatrième alinéa, de la dernière phrase. 114. L’article 18.2 de cette loi est modifié par la suppression, dans le premier alinéa, de « contenu dans un dossier ».
115. Cette loi est modifiée par l’insertion, après l’article 18.2, des suivants : « 18.3. Une personne qui exploite une entreprise peut, sans le consentement de la personne concernée, communiquer un renseignement personnel à toute personne ou à tout organisme si cette communication est nécessaire à l’exercice d’un mandat ou à l’exécution d’un contrat de service ou d’entreprise qu’elle confie à cette personne ou à cet organisme.
Dans ce cas, la personne qui exploite une entreprise doit : 1° confier le mandat ou le contrat par écrit;
42
2° indiquer, dans le mandat ou le contrat, les mesures que le mandataire ou l’exécutant du contrat doit prendre pour assurer la protection du caractère confidentiel du renseignement personnel communiqué, pour que ce renseignement ne soit utilisé que dans l’exercice de son mandat ou l’exécution de son contrat et pour qu’il ne le conserve pas après son expiration. Une personne ou un organisme qui exerce un mandat ou qui exécute un contrat de service ou d’entreprise visé au premier alinéa doit aviser sans délai le responsable de la protection des renseignements personnels de toute violation ou tentative de violation par toute personne de l’une ou l’autre des obligations relatives à la confidentialité du renseignement communiqué et il doit également permettre au responsable de la protection des renseignements personnels d’effectuer toute vérification relative à cette confidentialité.
Le paragraphe 2° du deuxième alinéa ne s’applique pas lorsque le mandataire ou l’exécutant du contrat est un organisme public au sens de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (chapitre A-2.1) ou un membre d’un ordre professionnel.
« 18.4. Lorsque la communication d’un renseignement personnel est nécessaire aux fins de la conclusion d’une transaction commerciale à laquelle elle entend être partie, une personne qui exploite une entreprise peut communiquer un tel renseignement, sans le consentement de la personne concernée, à l’autre partie à la transaction.
Une entente doit préalablement être conclue avec l’autre partie, stipulant notamment que cette dernière partie s’engage :
1° à n’utiliser le renseignement qu’aux seules fins de la conclusion de la transaction commerciale;
2° à ne pas communiquer le renseignement sans le consentement de la personne concernée, à moins d’y être autorisée par la présente loi;
3° à prendre les mesures nécessaires pour assurer la protection du caractère confidentiel du renseignement;
4° à détruire le renseignement si la transaction commerciale n’est pas conclue ou si l’utilisation de celui-ci n’est plus nécessaire aux fins de la conclusion de la transaction commerciale.
Lorsque la transaction commerciale est conclue et que l’autre partie souhaite continuer d’utiliser le renseignement ou le communiquer, cette partie ne peut l’utiliser ou le communiquer que conformément à la présente loi. Dans un délai raisonnable après la conclusion de la transaction commerciale, elle doit aviser la personne concernée qu’elle détient maintenant un renseignement personnel la concernant en raison de la transaction.
43
Pour l’application du présent article, une transaction commerciale s’entend de l’aliénation ou de la location de tout ou partie d’une entreprise ou des actifs dont elle dispose, d’une modification de sa structure juridique par fusion ou autrement, de l’obtention d’un prêt ou de toute autre forme de financement par celle-ci ou d’une sûreté prise pour garantir l’une de ses obligations. ».
116. L’article 19 de cette loi est modifié par le remplacement, dans le premier alinéa, de « au dossier détenu » par « aux renseignements personnels détenus ».
117. L’article 20 de cette loi est remplacé par le suivant : « 20. Dans l’exploitation d’une entreprise, un renseignement personnel n’est accessible, sans le consentement de la personne concernée, à tout préposé ou agent de l’exploitant qui a qualité pour le connaître qu’à la condition que ce renseignement soit nécessaire à l’exercice de ses fonctions. ».
118. L’article 21 de cette loi est remplacé par les suivants : « 21. Une personne qui exploite une entreprise peut communiquer des renseignements personnels sans le consentement des personnes concernées à une personne ou à un organisme qui souhaite utiliser ces renseignements à des fins d’étude, de recherche ou de production de statistiques.
La communication peut s’effectuer si une évaluation des facteurs relatifs à la vie privée conclut que :
1° l’objectif de l’étude, de la recherche ou de la production de statistiques ne peut être atteint que si les renseignements sont communiqués sous une forme permettant d’identifier les personnes concernées;
2° il est déraisonnable d’exiger que la personne ou l’organisme obtienne le consentement des personnes concernées;
3° l’objectif de l’étude, de la recherche ou de la production de statistiques l’emporte, eu égard à l’intérêt public, sur l’impact de la communication et de l’utilisation des renseignements sur la vie privée des personnes concernées;
4° les renseignements personnels sont utilisés de manière à en assurer la confidentialité;
5° seuls les renseignements nécessaires sont communiqués. « 21.0.1. La personne ou l’organisme qui souhaite utiliser des renseignements personnels à des fins d’étude, de recherche ou de production de statistiques doit :
1° faire sa demande par écrit; 2° joindre à sa demande une présentation détaillée des activités de recherche;
44
3° exposer les motifs pouvant soutenir que les critères mentionnés aux paragraphes 1° à 5° du deuxième alinéa de l’article 21 sont remplis;
4° mentionner toutes les personnes et tous les organismes à qui il fait une demande similaire aux fins de la même étude, recherche ou production de statistiques;
5° le cas échéant, décrire les différentes technologies qui seront utilisées pour effectuer le traitement des renseignements;
6° le cas échéant, transmettre la décision documentée d’un comité d’éthique de la recherche relative à cette étude, recherche ou production de statistiques.
« 21.0.2. La personne qui communique des renseignements personnels conformément à l’article 21 doit préalablement conclure avec la personne ou l’organisme à qui elle les transmet une entente stipulant notamment que ces renseignements :
1° ne peuvent être rendus accessibles qu’aux personnes à qui leur connaissance est nécessaire à l’exercice de leurs fonctions et ayant signé un engagement de confidentialité;
2° ne peuvent être utilisés à des fins différentes de celles prévues à la présentation détaillée des activités de recherche;
3° ne peuvent être appariés avec tout autre fichier de renseignements non prévu à la présentation détaillée des activités de recherche;
4° ne peuvent être communiqués, publiés ou autrement diffusés sous une forme permettant d’identifier les personnes concernées.
Cette entente doit également : 1° prévoir les informations devant être communiquées aux personnes concernées lorsque les renseignements les concernant sont utilisés pour les rejoindre en vue de leur participation à l’étude ou à la recherche;
2° prévoir des mesures pour assurer la protection des renseignements; 3° déterminer un délai de conservation des renseignements; 4° prévoir l’obligation d’aviser la personne qui communique les renseignements de la destruction de ceux-ci;
5° prévoir que la personne qui communique les renseignements et la Commission doivent être avisées sans délai :
a) du non-respect de toute condition prévue à l’entente; b) de tout manquement aux mesures de protection prévues à l’entente;
45
c) de tout événement susceptible de porter atteinte à la confidentialité des renseignements.
L’entente est transmise à la Commission et entre en vigueur 30 jours après sa réception par celle-ci. ».
119. Les articles 22 à 26 de cette loi sont remplacés par ce qui suit : « 22. Toute personne qui exploite une entreprise et qui utilise des renseignements personnels à des fins de prospection commerciale ou philanthropique doit s’identifier auprès de la personne à qui elle s’adresse et l’informer de son droit de retirer son consentement à ce que les renseignements personnels la concernant soient utilisés à ces fins.
Lorsque la personne concernée retire son consentement à une telle utilisation des renseignements personnels la concernant, ceux-ci doivent cesser d’être ainsi utilisés.
« §3. — Destruction ou anonymisation « 23. Lorsque les fins auxquelles un renseignement personnel a été recueilli ou utilisé sont accomplies, la personne qui exploite une entreprise doit le détruire ou l’anonymiser pour l’utiliser à des fins sérieuses et légitimes, sous réserve d’un délai de conservation prévu par une loi.
Pour l’application de la présente loi, un renseignement concernant une personne physique est anonymisé lorsqu’il est, en tout temps, raisonnable de prévoir dans les circonstances qu’il ne permet plus, de façon irréversible, d’identifier directement ou indirectement cette personne.
Les renseignements anonymisés en vertu de la présente loi doivent l’être selon les meilleures pratiques généralement reconnues et selon les critères et modalités déterminés par règlement. ».
120. L’article 27 de cette loi est modifié par le remplacement du premier alinéa par les suivants :
« Toute personne qui exploite une entreprise et détient un renseignement personnel sur autrui doit, à la demande de la personne concernée, lui en confirmer l’existence et lui donner communication de ce renseignement en lui permettant d’en obtenir une copie.
À la demande du requérant, un renseignement personnel informatisé doit être communiqué sous la forme d’une transcription écrite et intelligible.
46
À moins que cela ne soulève des difficultés pratiques sérieuses, un renseignement personnel informatisé recueilli auprès du requérant, et non pas créé ou inféré à partir d’un renseignement personnel le concernant, lui est, à sa demande, communiqué dans un format technologique structuré et couramment utilisé. Ce renseignement est aussi communiqué à sa demande à toute personne ou à tout organisme autorisé par la loi à recueillir un tel renseignement. ».
121. L’article 28 de cette loi est remplacé par les suivants : « 28. Outre les droits prévus au premier alinéa de l’article 40 du Code civil, toute personne peut, si le renseignement personnel la concernant est inexact, incomplet ou équivoque, ou si sa collecte, sa communication ou sa conservation ne sont pas autorisées par la loi, exiger qu’il soit rectifié.
« 28.1. La personne concernée par un renseignement personnel peut exiger d’une personne qui exploite une entreprise qu’elle cesse la diffusion de ce renseignement ou que soit désindexé tout hyperlien rattaché à son nom permettant d’accéder à ce renseignement par un moyen technologique, lorsque la diffusion de ce renseignement contrevient à la loi ou à une ordonnance judiciaire.
Elle peut faire de même, ou encore exiger que l’hyperlien permettant d’accéder à ce renseignement soit réindexé, lorsque les conditions suivantes sont réunies :
1° la diffusion de ce renseignement lui cause un préjudice grave relatif au droit au respect de sa réputation ou de sa vie privée;
2° ce préjudice est manifestement supérieur à l’intérêt du public de connaître ce renseignement ou à l’intérêt de toute personne de s’exprimer librement;
3° la cessation de la diffusion, la réindexation ou la désindexation demandée n’excède pas ce qui est nécessaire pour éviter la perpétuation du préjudice.
Dans l’évaluation des critères du deuxième alinéa, il est tenu compte, notamment :
1° du fait que la personne concernée est une personnalité publique; 2° du fait que le renseignement concerne la personne alors qu’elle est mineure;
3° du fait que le renseignement est à jour et exact; 4° de la sensibilité du renseignement; 5° du contexte dans lequel s’effectue la diffusion du renseignement; 6° du délai écoulé entre la diffusion du renseignement et la demande faite en vertu du présent article;
47
7° si le renseignement concerne une procédure criminelle ou pénale, de l’obtention d’un pardon ou de l’application d’une restriction à l’accessibilité des registres des tribunaux judiciaires.
Les articles 30, 32 et 34 s’appliquent à une demande faite en vertu du présent article, avec les adaptations nécessaires. Lorsqu’il acquiesce à la demande, le responsable de la protection des renseignements personnels atteste, dans sa réponse écrite en vertu de l’article 32, de la cessation de diffusion du renseignement personnel ou de la désindexation ou de la réindexation de l’hyperlien. ».
122. L’article 29 de cette loi est modifié par le remplacement, partout où ceci se trouve, de « dossiers » par « renseignements personnels ».
123. L’article 30 de cette loi est modifié : 1° par le remplacement, dans le premier alinéa, de « ou à titre de titulaire de l’autorité parentale même si l’enfant mineur est décédé » par « , à titre de titulaire de l’autorité parentale même si l’enfant mineur est décédé ou à titre de conjoint ou de proche parent d’une personne décédée suivant l’article 40.1 »;
2° par l’insertion, après le premier alinéa, du suivant : « Une telle demande est adressée au responsable de la protection des renseignements personnels. Lorsque la demande n’est pas suffisamment précise ou lorsqu’une personne le requiert, le responsable doit prêter assistance pour identifier les renseignements recherchés. »;
3° par le remplacement, dans le deuxième alinéa, de « correction » par « rectification ».
124. L’article 32 de cette loi est modifié par le remplacement du premier alinéa par le suivant :
« Le responsable de la protection des renseignements personnels doit répondre par écrit à la demande d’accès ou de rectification, avec diligence et au plus tard dans les 30 jours de la date de réception de la demande. ».
125. L’article 33 de cette loi est modifié par la suppression, dans le premier alinéa, de « contenus dans un dossier ».
126. L’article 34 de cette loi est remplacé par le suivant : « 34. Le responsable de la protection des renseignements personnels doit motiver tout refus d’acquiescer à une demande et indiquer la disposition de la loi sur laquelle ce refus s’appuie, les recours qui s’offrent au requérant en vertu de la présente loi et le délai dans lequel ils peuvent être exercés. Il doit également prêter assistance au requérant qui le demande pour l’aider à comprendre le refus. ».
48
127. L’article 35 de cette loi est modifié par le remplacement de « la personne qui détient le dossier » et de « du retrait d’un renseignement personnel » par, respectivement, « le responsable de la protection des renseignements personnels » et « de la suppression d’un tel renseignement ».
128. L’article 40 de cette loi est modifié par la suppression de « et détient un dossier sur autrui ».
129. Cette loi est modifiée par l’insertion, après l’article 40, du suivant : « 40.1. Une personne qui exploite une entreprise peut communiquer au conjoint ou à un proche parent d’une personne décédée un renseignement personnel qu’elle détient concernant cette personne, si la connaissance de ce renseignement est susceptible d’aider le requérant dans son processus de deuil et que la personne décédée n’a pas consigné par écrit son refus d’accorder ce droit d’accès. ».
130. L’article 41 de cette loi est modifié : 1° par le remplacement de « Toute » par « Sous réserve de l’article 40.1, toute »;
2° par la suppression de « et détient un dossier sur autrui ». 131. L’article 42 de cette loi est modifié par le remplacement de « 25 » par « 28.1 ».
132. L’article 46 de cette loi est modifié : 1° par l’ajout, à la fin du premier alinéa, de la phrase suivante : « Elle peut aussi demander à la Commission de circonscrire la demande du requérant ou de prolonger le délai dans lequel elle doit répondre. »;
2° par l’ajout, à la fin, de l’alinéa suivant : « La demande faite en vertu du premier alinéa doit être transmise à la Commission dans le même délai que celui qui serait applicable au traitement de la demande en vertu de l’article 32, à compter de la réception de la dernière demande du requérant. ».
133. L’article 52 de cette loi est modifié par l’ajout, à la fin, de l’alinéa suivant :
« Dans ces cas, la Commission peut interdire à une personne d’introduire une demande sans l’autorisation du président de la Commission et selon les conditions que celui-ci détermine. Elle peut de la même manière interdire à une personne de présenter un acte de procédure dans une instance déjà introduite. ».
49
134. L’article 53 de cette loi est modifié par le remplacement de « dossier » par « renseignement personnel ».
135. L’article 56 de cette loi est abrogé. 136. L’article 58 de cette loi est remplacé par le suivant : « 58. Une décision de la Commission ayant pour effet d’ordonner à une partie de faire quelque chose est exécutoire à l’expiration des 30 jours qui suivent la date de sa réception par les parties.
Une décision ordonnant à une partie de s’abstenir de faire quelque chose est exécutoire dès qu’elle est transmise à la partie en cause.
Dès le moment où une décision devient exécutoire, copie conforme peut en être déposée par la Commission ou une partie au bureau du greffier de la Cour supérieure du district de Montréal ou de Québec ou du district où est situé le siège, l’établissement d’entreprise ou la résidence d’une partie.
Le dépôt d’une décision lui confère alors la même force et le même effet que s’il s’agissait d’un jugement émanant de la Cour supérieure. ».
137. L’intitulé de la sous-section 3 de la section V de cette loi est modifié par l’ajout, à la fin, de « et contestation ».
138. L’article 61 de cette loi est modifié par l’ajout, à la fin, de l’alinéa suivant :
« Elle peut aussi contester devant un juge de la Cour du Québec une ordonnance prise par la section de surveillance de la Commission. ».
139. L’article 63 de cette loi est modifié : 1° par le remplacement, dans le deuxième alinéa, de « date de la réception de la décision finale par les parties » par « notification de la décision finale »;
2° par l’ajout, à la fin, de l’alinéa suivant : « Le recours en contestation d’une ordonnance prise par la section de surveillance de la Commission est déposé au greffe de la Cour du Québec dans les 30 jours qui suivent la notification de l’ordonnance et précise les questions qui devraient être examinées. ».
50
140. L’article 64 de cette loi est modifié par l’ajout, à la fin, de l’alinéa suivant :
« Le dépôt du recours en contestation d’une ordonnance prise par la section de surveillance de la Commission ne suspend pas l’exécution de cette ordonnance. Toutefois, sur requête instruite et jugée d’urgence, un juge de la Cour du Québec peut en ordonner autrement en raison de l’urgence ou du risque d’un préjudice sérieux et irréparable. ».
141. L’article 65 de cette loi est modifié : 1° par le remplacement, dans le deuxième alinéa, de « contestée et les pièces de la contestation » par « dont il y a appel et les pièces qui l’accompagnent »;
2° par l’ajout, à la fin, de l’alinéa suivant : « La contestation d’une ordonnance prise par la section de surveillance de la Commission doit être signifiée à la Commission et, le cas échéant, aux autres parties, dans les 10 jours de son dépôt au greffe de la Cour du Québec. Le secrétaire de la Commission transmet au greffe, pour tenir lieu de dossier conjoint, un exemplaire de l’ordonnance contestée et les pièces qui l’accompagnent. ».
142. L’article 67 de cette loi est modifié par l’ajout, à la fin, de l’alinéa suivant :
« La contestation est régie par les règles du Code de procédure civile applicables en première instance. ».
143. L’article 71 de cette loi est modifié par l’insertion, à la fin, de « et que cette communication est effectuée conformément à la présente loi ».
144. L’article 72 de cette loi est modifié : 1° par le remplacement des paragraphes 1° à 3° du premier alinéa par les suivants :
« 1° le nom, l’adresse et l’adresse de courrier électronique de l’agent et, s’il s’agit d’une personne morale, l’adresse de son siège et les noms et adresses de ses administrateurs;
« 2° l’adresse, l’adresse de courrier électronique et le numéro de téléphone de tout établissement de l’agent au Québec;
« 3° le titre et les coordonnées du responsable de la protection des renseignements personnels;
« 4° les modalités d’opérations prévues à l’article 71;
51
« 5° les règles de conduite prévues à l’article 78; « 6° les autres mesures prises pour assurer la confidentialité et la sécurité des renseignements personnels conformément à la présente loi. »;
2° par le remplacement du deuxième alinéa par le suivant : « L’agent de renseignements personnels doit informer la Commission de toute modification à l’information visée au premier alinéa au plus tard dans les 30 jours suivant la modification. Le cas échéant, il doit également informer la Commission avec diligence de la cessation prévue de ses activités. ».
145. L’article 74 de cette loi est remplacé par le suivant : « 74. La Commission tient à jour un registre des agents de renseignements personnels contenant, pour chacun, son nom, son adresse et son adresse de courrier électronique, ainsi que le titre et les coordonnées de son responsable de la protection des renseignements personnels. ».
146. L’article 75 de cette loi est modifié par l’ajout, à la fin du premier alinéa, de la phrase suivante : « Le registre peut également être consulté sur son site Internet. ».
147. L’article 76 de cette loi est abrogé. 148. Les articles 78 et 79 de cette loi sont remplacés par les suivants : « 78. Un agent de renseignements personnels doit établir et appliquer au sein de son entreprise des règles de conduite ayant pour objet de permettre à toute personne concernée par un renseignement personnel qu’il détient d’y avoir accès selon des modalités propres à assurer la protection d’un tel renseignement et de le faire rectifier.
« 79. Un agent de renseignements personnels doit informer le public : 1° du fait qu’il détient des renseignements personnels sur autrui, qu’il communique à ses cocontractants des rapports de crédit au sujet du caractère, de la réputation et de la solvabilité des personnes concernées par ces renseignements personnels et qu’il reçoit communication de ses cocontractants de renseignements personnels sur autrui;
2° des droits d’accès et de rectification que les personnes concernées peuvent exercer en vertu de la présente loi à l’égard des renseignements personnels qu’il détient;
3° des informations prévues aux paragraphes 3° à 6° du premier alinéa de l’article 72.
52
Ces informations sont publiées sur le site Internet de l’agent de renseignements personnels ou, s’il n’a pas de site, rendues accessibles par tout autre moyen approprié.
« 79.1. Malgré l’article 23, un agent de renseignements personnels doit détruire un renseignement personnel recueilli il y a plus de sept ans.
Le présent article ne s’applique pas à un renseignement personnel contenu dans un dossier d’enquête constitué en vue de prévenir, détecter ou réprimer un crime ou une infraction à la loi. ».
149. L’article 80 de cette loi est modifié par le remplacement de « aux articles 21, » par « à l’article ».
150. L’article 80.1 de cette loi est modifié : 1° dans le premier alinéa : a) par l’insertion, après « seul les », de « fonctions et »; b) par le remplacement de « 21, 21.1, 72, 81, 83, 84 » par « 21.1, 72, 80.2, 81, 81.3, 81.4, 83, 84, 92 »;
2° par le remplacement, dans le deuxième alinéa, de « 21, 21.1 » par « 21.1, 80.2 ».
151. Cette loi est modifiée par l’insertion, après l’article 80.1, du suivant : « 80.1.1. Aux fins de l’application des sous-sections 4.1 et 5, un parti politique est assimilé à une personne physique. ».
152. L’article 81 de cette loi est modifié : 1° par la suppression de « intéressée »; 2° par l’ajout, à la fin, de la phrase suivante : « Une plainte peut être déposée sous le couvert de l’anonymat. ».
153. Cette loi est modifiée par l’insertion, après l’article 81, des suivants : « 81.1. Il est interdit d’exercer des représailles contre une personne pour le motif qu’elle a de bonne foi déposé une plainte à la Commission ou collaboré à une enquête.
Il est également interdit de menacer une personne de représailles pour qu’elle s’abstienne de déposer une plainte ou de collaborer à une enquête.
53
« 81.2. Sont présumés être des représailles au sens de l’article 81.1 la rétrogradation, la suspension, le congédiement, le déplacement ainsi que toute autre mesure disciplinaire ou mesure portant atteinte à l’emploi ou aux conditions de travail d’une personne.
« 81.3. La Commission peut, par une demande péremptoire notifiée par tout mode approprié, exiger d’une personne, assujettie ou non à la présente loi, dans le délai raisonnable qu’elle fixe, la production de tout renseignement ou de tout document permettant de vérifier l’application de la présente loi ou de ses règlements.
La personne à qui cette demande est faite doit, dans le délai fixé, s’y conformer, qu’elle ait ou non déjà produit un tel renseignement ou un tel document en réponse à une demande semblable ou en vertu d’une obligation découlant de la présente loi ou de ses règlements.
« 81.4. La Commission peut, lorsqu’un incident de confidentialité est porté à son attention, ordonner à toute personne, après lui avoir fourni l’occasion de présenter ses observations, l’application de toute mesure visant à protéger les droits des personnes concernées qui leur sont accordés par la présente loi, pour le temps et aux conditions qu’elle détermine. Elle peut notamment ordonner la remise des renseignements personnels impliqués à la personne qui exploite une entreprise ou leur destruction.
La personne visée par une ordonnance sans qu’elle en ait été informée au préalable parce que, de l’avis de la Commission, il y a urgence ou danger de causer un préjudice irréparable, peut, dans le délai indiqué dans l’ordonnance, présenter ses observations pour en permettre le réexamen par la Commission. ».
154. L’article 83 de cette loi est modifié : 1° par l’ajout, avant le premier alinéa, du suivant : « Les enquêtes de la Commission sont faites selon un mode non contradictoire. »;
2° par l’insertion, à la fin du premier alinéa, de « dans le délai raisonnable qu’elle indique »;
3° par la suppression du deuxième alinéa. 155. Cette loi est modifiée par l’insertion, après l’article 83, du suivant : « 83.1. Une personne qui exploite une entreprise doit, sur demande de la Commission, lui fournir toute information qu’elle requiert sur l’application de la présente loi. ».
54
156. Les articles 86 et 87 de cette loi sont remplacés par les suivants : « 86. Une ordonnance prise par la section de surveillance de la Commission devient exécutoire de la même manière qu’une décision visée à l’article 58.
« 87. Une personne directement intéressée peut contester une ordonnance prise par la section de surveillance de la Commission.
La contestation est assujettie aux règles prévues aux articles 61 à 69. ». 157. L’article 88 de cette loi est modifié par le remplacement, dans le premier alinéa, de « 2011 » par « 2026 ».
158. L’article 90 de cette loi est modifié par le remplacement du paragraphe 3° du premier alinéa par les paragraphes suivants :
« 3° déterminer le contenu et les modalités des avis prévus à l’article 3.5; « 3.1° déterminer la teneur du registre prévu à l’article 3.8; « 3.2° aux fins de l’article 23, déterminer les critères et les modalités applicables à l’anonymisation d’un renseignement personnel;
« 3.3° déterminer les cas, les conditions et le montant du paiement de frais de recouvrement suivant l’article 90.17; ».
159. Cette loi est modifiée par l’insertion, après l’article 90, de la sous-section suivante :
« §4.1. — Sanctions administratives pécuniaires « 90.1. Une sanction administrative pécuniaire peut être imposée par une personne désignée par la Commission, mais qui n’est pas membre de l’une de ses sections, à quiconque :
1° n’informe pas les personnes concernées conformément aux articles 7 et 8;
2° recueille, utilise, communique, conserve ou détruit des renseignements personnels en contravention à la loi;
3° ne déclare pas à la Commission ou aux personnes concernées, lorsqu’il y est tenu, un incident de confidentialité;
4° ne prend pas les mesures de sécurité propres à assurer la protection des renseignements personnels conformément à l’article 10;
55
5° n’informe pas la personne concernée par une décision fondée exclusivement sur un traitement automatisé ou ne lui donne pas l’occasion de présenter ses observations, et ce, en contravention à l’article 12.1;
6° s’il est un agent de renseignements personnels, contrevient aux articles 70, 70.1, 71, 72, 78, 79 ou 79.1.
À la suite d’un manquement visé au premier alinéa, une personne peut, en tout temps, s’engager auprès de la Commission à prendre les mesures nécessaires pour remédier au manquement ou en atténuer les conséquences. Cet engagement doit énoncer les actes ou les omissions qui constituent un manquement et les dispositions en cause. Celui-ci peut également inclure les conditions que la Commission estime nécessaires et il peut prévoir l’obligation de payer une somme d’argent.
Si l’engagement est accepté par la Commission et qu’il est respecté, la personne qui exploite une entreprise ne peut faire l’objet d’une sanction administrative pécuniaire à l’égard des actes ou des omissions mentionnés dans l’engagement.
« 90.2. La Commission élabore et rend public un cadre général d’application de sanctions administratives pécuniaires et y précise notamment les éléments suivants :
1° les objectifs poursuivis par ces sanctions, notamment inciter la personne qui exploite une entreprise à prendre rapidement les mesures requises pour remédier au manquement et dissuader la répétition de tels manquements;
2° les critères qui doivent guider les personnes désignées dans la décision d’imposer une sanction lorsqu’un manquement est constaté ainsi que dans la détermination du montant de la sanction, notamment :
a) la nature, la gravité, le caractère répétitif et la durée du manquement; b) la sensibilité des renseignements personnels concernés par le manquement; c) le nombre de personnes concernées par le manquement et le risque de préjudice auquel ces personnes sont exposées;
d) les mesures prises par la personne en défaut pour remédier au manquement ou en atténuer les conséquences;
e) le degré de collaboration offert à la Commission en vue de remédier au manquement ou d’en atténuer les conséquences;
f) la compensation offerte par la personne en défaut, à titre de dédommagement, à toute personne concernée par le manquement;
g) la capacité de payer de la personne en défaut, compte tenu notamment de son patrimoine, de son chiffre d’affaires ou de ses revenus;
56
3° les circonstances dans lesquelles le recours pénal sera priorisé; 4° les autres modalités relatives à l’imposition d’une telle sanction. « 90.3. Lorsqu’un manquement visé à l’article 90.1 est constaté, un avis de non-conformité peut être notifié à la personne en défaut afin de l’inciter à prendre sans délai les mesures requises pour remédier au manquement. Cet avis doit faire mention du fait que le manquement pourrait notamment donner lieu à une sanction administrative pécuniaire ou à une sanction pénale.
« 90.4. La personne désignée doit, avant d’imposer une sanction administrative pécuniaire, avoir notifié à la personne en défaut l’avis de non-conformité visé à l’article 90.3 ainsi que lui avoir donné l’occasion de présenter ses observations et de produire tout document pour compléter son dossier.
« 90.5. Une sanction administrative pécuniaire est imposée à la personne en défaut par la notification d’un avis de réclamation énonçant le montant réclamé, les motifs de son exigibilité, le délai à compter duquel il porte intérêt, le droit de demander le réexamen de la décision, le droit de contester la décision en réexamen devant la Cour du Québec et le délai pour exercer ces recours.
L’avis de réclamation doit aussi contenir des informations relatives aux modalités de recouvrement du montant réclamé, notamment celles relatives à la délivrance du certificat de recouvrement prévu à l’article 90.14 et à ses effets. La personne doit également être informée que les faits à l’origine de la réclamation peuvent aussi donner lieu à une poursuite pénale.
Le montant dû porte intérêt au taux prévu au premier alinéa de l’article 28 de la Loi sur l’administration fiscale (chapitre A-6.002), à compter du 31 e jour suivant la notification de l’avis.
La notification d’un avis de réclamation interrompt la prescription prévue au Code civil quant au recouvrement du montant dû.
« 90.6. La personne en défaut peut, par écrit, demander à la Commission le réexamen de la décision d’imposer une sanction administrative pécuniaire dans les 30 jours de la notification de l’avis de réclamation.
Un membre affecté à la section de surveillance de la Commission est chargé du réexamen de la décision.
« 90.7. La demande de réexamen doit être traitée avec diligence. La décision en réexamen est rendue après avoir donné à la personne en défaut l’occasion de présenter ses observations et de produire des documents pour compléter son dossier. Cette décision peut confirmer la décision qui fait l’objet du réexamen, l’infirmer ou la modifier.
57
« 90.8. La décision en réexamen doit être écrite en termes clairs et concis et être motivée et notifiée au demandeur avec la mention de son droit de la contester devant la Cour du Québec et du délai pour exercer ce recours.
Si la décision en réexamen n’est pas rendue dans les 30 jours de la réception de la demande ou, le cas échéant, du délai accordé au demandeur pour présenter ses observations ou pour produire des documents, les intérêts prévus au premier alinéa de l’article 90.5 sur le montant dû sont suspendus jusqu’à ce que la décision soit rendue.
« 90.9. La décision en réexamen confirmant ou modifiant la décision d’imposer une sanction administrative pécuniaire peut être contestée devant la Cour du Québec dans les 30 jours qui suivent la notification de la décision contestée.
La contestation est assujettie aux règles prévues aux articles 61 à 69, avec les adaptations nécessaires.
« 90.10. L’imposition d’une sanction administrative pécuniaire se prescrit par deux ans à compter de la date du manquement à la présente loi.
« 90.11. Aucune sanction administrative pécuniaire ne peut être imposée à une personne en raison d’un manquement à la présente loi lorsqu’un constat d’infraction lui a été antérieurement signifié en raison d’une contravention à la même disposition, survenue le même jour et fondée sur les mêmes faits.
« 90.12. Le montant maximal de la sanction administrative pécuniaire est de 50 000 $ dans le cas d’une personne physique et, dans les autres cas, de 10 000 000 $ ou du montant correspondant à 2 % du chiffre d’affaires mondial de l’exercice financier précédent si ce dernier montant est plus élevé.
« 90.13. Le débiteur et la Commission peuvent conclure une entente de paiement du montant dû. Une telle entente ou le paiement de ce montant ne constitue pas, aux fins d’une poursuite pénale ou de toute autre sanction administrative prévue par la présente loi, une reconnaissance des faits y donnant lieu.
« 90.14. À défaut d’acquittement de la totalité du montant dû ou de respect de l’entente conclue à cette fin, la Commission peut délivrer un certificat de recouvrement à l’expiration du délai pour demander le réexamen de la décision d’imposer la sanction administrative pécuniaire, à l’expiration du délai pour contester la décision en réexamen devant la Cour du Québec ou à l’expiration d’un délai de 30 jours suivant la décision finale de ce tribunal confirmant en tout ou en partie la décision d’imposer la sanction ou la décision en réexamen, selon le cas.
Toutefois, ce certificat peut être délivré avant l’expiration d’un délai prévu au premier alinéa si la Commission est d’avis que le débiteur tente d’éluder le paiement.
58
Ce certificat énonce le nom et l’adresse du débiteur et le montant de la dette. « 90.15. Après la délivrance du certificat de recouvrement, le ministre du Revenu affecte, conformément à l’article 31 de la Loi sur l’administration fiscale (chapitre A-6.002), un remboursement dû à une personne par suite de l’application d’une loi fiscale au paiement d’un montant dû par cette personne en vertu de la présente loi.
Cette affectation interrompt la prescription prévue au Code civil quant au recouvrement d’un montant dû.
« 90.16. Sur dépôt du certificat de recouvrement au greffe du tribunal compétent, accompagné d’une copie de la décision définitive qui établit la dette, la décision devient exécutoire comme s’il s’agissait d’un jugement définitif et sans appel de ce tribunal et en a tous les effets.
« 90.17. Le débiteur est tenu au paiement de frais de recouvrement, dans les cas et conditions déterminés par règlement, selon le montant qui y est prévu. ».
160. Les articles 91 à 92.1 de cette loi sont remplacés par les suivants : « 91. Commet une infraction et est passible d’une amende de 5 000 $ à 100 000 $ dans le cas d’une personne physique et, dans les autres cas, de 15 000 $ à 25 000 000 $ ou du montant correspondant à 4 % du chiffre d’affaires mondial de l’exercice financier précédent si ce dernier montant est plus élevé, quiconque :
1° recueille, utilise, communique, conserve ou détruit des renseignements personnels en contravention à la loi;
2° omet de déclarer, s’il est tenu de le faire, un incident de confidentialité à la Commission ou aux personnes concernées;
3° contrevient à l’interdiction prévue à l’article 8.4; 4° ne prend pas les mesures de sécurité propres à assurer la protection des renseignements personnels conformément à l’article 10;
5° procède ou tente de procéder à l’identification d’une personne physique à partir de renseignements dépersonnalisés sans l’autorisation de la personne les détenant ou à partir de renseignements anonymisés;
6° s’il est un agent de renseignements personnels, contrevient aux articles 70, 70.1, 71, 72, 78, 79 ou 79.1;
7° entrave le déroulement d’une enquête ou d’une inspection de la Commission ou l’instruction d’une demande par celle-ci en lui communiquant des renseignements faux ou inexacts, ou en omettant de lui communiquer des renseignements qu’elle requiert ou autrement;
59
8° contrevient à l’article 81.1; 9° refuse ou néglige de se conformer, dans le délai fixé, à une demande transmise en application de l’article 81.3;
10° contrevient à une ordonnance de la Commission. « 92. La Commission peut, conformément à l’article 10 du Code de procédure pénale (chapitre C-25.1), intenter une poursuite pénale pour une infraction prévue à la présente section.
« 92.1. En cas de récidive, les amendes prévues à la présente section sont portées au double.
« 92.2. Toute poursuite pénale doit être intentée dans un délai de cinq ans de la perpétration de l’infraction.
« 92.3. Dans la détermination de la peine, le juge tient notamment compte des facteurs suivants :
1° la nature, la gravité, le caractère répétitif et la durée de l’infraction; 2° la sensibilité des renseignements personnels concernés par l’infraction; 3° le fait que le contrevenant ait agi intentionnellement ou ait fait preuve de négligence ou d’insouciance;
4° le caractère prévisible de l’infraction ou le défaut d’avoir donné suite aux recommandations ou aux avertissements visant à la prévenir;
5° les tentatives du contrevenant de dissimuler l’infraction ou son défaut de tenter d’en atténuer les conséquences;
6° le fait que le contrevenant ait omis de prendre des mesures raisonnables pour empêcher la perpétration de l’infraction;
7° le fait que le contrevenant, en commettant l’infraction ou en omettant de prendre des mesures pour empêcher sa perpétration, ait accru ses revenus ou ait réduit ses dépenses ou avait l’intention de le faire;
8° le nombre de personnes concernées par l’infraction et le risque de préjudice auquel ces personnes sont exposées. ».
60
161. Cette loi est modifiée par l’insertion, après l’article 93, de ce qui suit : « §6. — Dommages-intérêts « 93.1. Lorsqu’une atteinte illicite à un droit conféré par la présente loi ou par les articles 35 à 40 du Code civil cause un préjudice et que cette atteinte est intentionnelle ou résulte d’une faute lourde, le tribunal accorde des dommages-intérêts punitifs d’au moins 1 000 $. ».
LOI SUR LA PROTECTION SANITAIRE DES ANIMAUX 162. L’article 11.3 de la Loi sur la protection sanitaire des animaux (chapitre P-42) est modifié par le remplacement du dernier alinéa par le suivant :
« Ces ententes sont transmises à la Commission d’accès à l’information et entrent en vigueur 30 jours après leur réception par celle-ci. ».
163. L’article 22.4 de cette loi est modifié par le remplacement du dernier alinéa par le suivant :
« Ces ententes sont transmises à la Commission d’accès à l’information et entrent en vigueur 30 jours après leur réception par celle-ci. ».
LOI SUR LA PUBLICITÉ LÉGALE DES ENTREPRISES 164. L’article 101 de la Loi sur la publicité légale des entreprises (chapitre P-44.1) est modifié, dans le deuxième alinéa :
1° par la suppression de « ou 5° »; 2° par l’insertion, après « articles 67 », de « , 67.2.1 ». 165. L’article 121 de cette loi est modifié, dans le paragraphe 2° du troisième alinéa :
1° par la suppression de « ou 5° »; 2° par l’insertion, après « articles 67 », de « , 67.2.1 ». LOI SUR LA RÉGIE DE L’ASSURANCE MALADIE DU QUÉBEC 166. L’article 2 de la Loi sur la Régie de l’assurance maladie du Québec (chapitre R-5) est modifié par le remplacement, dans le quatrième alinéa, de « soumise à l’application de l’article 70 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (chapitre A-2.1) » par « transmise à la Commission d’accès à l’information ».
61
LOI SUR LE RÉGIME DE RETRAITE DES EMPLOYÉS DU GOUVERNEMENT ET DES ORGANISMES PUBLICS
167. L’article 223 de la Loi sur le régime de retraite des employés du gouvernement et des organismes publics (chapitre R-10) est modifié par le remplacement, dans le deuxième alinéa, de « 67 à 70 » par « 67 à 68 ».
LOI SUR LA SANTÉ ET LA SÉCURITÉ DU TRAVAIL 168. L’article 175 de la Loi sur la santé et la sécurité du travail (chapitre S-2.1) est modifié :
1° par le remplacement, dans le premier alinéa, de « , avec, malgré le paragraphe 5° du deuxième alinéa de l’article 59 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (chapitre A-2.1), » par « avec »;
2° par le remplacement du deuxième alinéa par le suivant : « Cette autorisation est accordée conformément aux articles 67.2.1 à 67.2.3 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (chapitre A-2.1). ».
LOI SUR LA SANTÉ PUBLIQUE 169. L’article 36 de la Loi sur la santé publique (chapitre S-2.2) est modifié par le remplacement, dans le deuxième alinéa, de « sur laquelle la Commission d’accès à l’information doit se prononcer » par « devant faire l’objet d’une entente transmise à la Commission d’accès à l’information ».
LOI SUR LES SERVICES DE SANTÉ ET LES SERVICES SOCIAUX 170. L’article 19.2 de la Loi sur les services de santé et les services sociaux (chapitre S-4.2) est modifié par le remplacement de la première phrase du deuxième alinéa par la suivante : « Le directeur doit cependant, avant d’accorder une telle autorisation, s’assurer que celle-ci est conforme aux articles 67.2.1 à 67.2.3 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (chapitre A-2.1). ».
LOI SUR LES SERVICES DE SANTÉ ET LES SERVICES SOCIAUX POUR LES AUTOCHTONES CRIS
171. L’article 7 de la Loi sur les services de santé et les services sociaux pour les autochtones cris (chapitre S-5) est modifié, dans le quatrième alinéa :
1° par la suppression de « , malgré le paragraphe 5° du deuxième alinéa de l’article 59 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (chapitre A-2.1), »;
62
2° par le remplacement de « que les critères établis par l’article 125 de cette loi sont satisfaits » par « que celle-ci est conforme aux articles 67.2.1 à 67.2.3 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (chapitre A-2.1) ».
LOI SUR LES AGENTS D’ÉVALUATION DU CRÉDIT 172. L’article 108 de la Loi sur les agents d’évaluation du crédit (2020, chapitre 21) est modifié par la renumérotation de l’article 8.1 de la Loi sur la protection des renseignements personnels dans le secteur privé (chapitre P-39.1) qu’il édicte, qui devient l’article 8.4.
173. L’article 111 de cette loi est abrogé. DISPOSITIONS TRANSITOIRE ET FINALE 174. Les articles 64, 68 et 68.1 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (chapitre A-2.1), tels qu’ils se lisent le 22 septembre 2021, continuent de s’appliquer à toute entente conclue conformément à l’un de ces articles avant cette date et toujours en vigueur le 22 septembre 2023, et ce, jusqu’à la date d’expiration d’une telle entente ou jusqu’au 22 septembre 2025, selon la première de ces dates.
175. Les dispositions de la présente loi entrent en vigueur le 22 septembre 2023, à l’exception :
1° du paragraphe 2° de l’article 41 et des articles 73, 157, 172 et 173, qui entrent en vigueur le 22 septembre 2021;
2° des articles 1, 3 et 7, des sous-paragraphes c et d, en ce que ce dernier concerne les articles 63.8 et 67.2.1 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, du paragraphe 2° de l’article 13, de l’article 15 en ce qu’il édicte les articles 63.8 à 63.11 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, de l’article 23, de l’article 24 en ce qu’il concerne l’article 67.2.1 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, du paragraphe 2° de l’article 33, des articles 36 à 40, du paragraphe 1° de l’article 41, des articles 42 à 54 et 57 à 66, de l’article 67, à l’exception des paragraphes 5° et 6.3° du premier alinéa de l’article 155 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, édictés par le paragraphe 2° de cet article, des articles 68, 79 à 81, 85, 90 à 92, 97 et 99, de l’article 103 en ce qu’il édicte les articles 3.1 et 3.5 à 3.8 de la Loi sur la protection des renseignements personnels dans le secteur privé (chapitre P-39.1), des sous-paragraphes c, en ce que celui-ci concerne l’article 18.4 de la Loi sur la protection des renseignements personnels dans le secteur privé, et d du paragraphe 1° de l’article 112, de l’article 115 en ce qu’il édicte l’article 18.4 de la Loi sur la protection des renseignements
63
personnels dans le secteur privé, des articles 118, 132, 133, 135 à 142, 149, 150 et 153 à 156, de l’article 158 en ce qu’il édicte les paragraphes 3° et 3.1° du premier alinéa de l’article 90 de la Loi sur la protection des renseignements personnels dans le secteur privé, des articles 164, 165, 168, 170 et 171, qui entrent en vigueur le 22 septembre 2022;
3° de l’article 30 et de l’article 120, dans la mesure où il édicte le troisième alinéa de l’article 27 de la Loi sur la protection des renseignements personnels dans le secteur privé, qui entrent en vigueur le 22 septembre 2024;
4° de l’article 160 en ce qu’il édicte le paragraphe 3° de l’article 91 de la Loi sur la protection des renseignements personnels dans le secteur privé, qui entre en vigueur à la date de l’entrée en vigueur de l’article 108 de la Loi sur les agents d’évaluation du crédit (2020, chapitre 21).
64