Le 22 septembre 2021, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels1 (l’ancien projet de loi no 642) a reçu la sanction royale. Cette loi modifie diverses lois afin d’obliger les entreprises privées et les organismes publics du Québec à protéger davantage les renseignements personnels qu’ils détiennent. Certains articles de la loi sont entrés très récemment en vigueur, soit le 22 septembre 2022. Voici cinq éléments dont les municipalités doivent être informées.
Quelques responsabilités importantes pour les municipalités
Avant tout, il importe de rappeler que les municipalités sont des organismes publics et qu’elles ont donc des obligations concernant les données personnelles qu’elles détiennent3. C’est pourquoi elles sont visées par les modifications législatives en matière de protection accrue des renseignements personnels.
Premièrement, la nouvelle mouture de la loi vient recadrer l’importance de la protection des données personnelles. En effet, on confie la responsabilité du respect et de la mise en œuvre des règles à ce sujet à la personne ayant la plus haute autorité au sein de l’organisme public. On comprend donc que ce sont les mairesses et les maires qui exercent désormais ce rôle. Le titulaire de ce rôle est aussi responsable de l’accès aux documents et de la protection des renseignements personnels. Toutes ces responsabilités peuvent cependant être déléguées par écrit, en tout ou en partie, notamment à un membre de la direction4.
Deuxièmement, la loi introduit une nouveauté : les organismes publics doivent former un comité sur l’accès à l’information et la protection des renseignements personnels. Le comité est chargé de soutenir la ou les personnes en charge du respect et de la mise en œuvre de la loi. Le comité comprend la personne responsable de l’accès aux documents au sein de l’organisme, la personne responsable de la protection des renseignements personnels (si ces rôles sont délégués à une autre personne que la mairesse ou le maire), ainsi que toute autre personne dont l’expertise est requise. Si cela est applicable à votre cas, la loi inclut dans ce comité la personne responsable de la sécurité de l’information et celle responsable de la gestion documentaire auprès de la municipalité. Dans un contexte municipal, ce comité relève de votre directeur général5.
Troisièmement, il est désormais clair que les municipalités auront une responsabilité juridique relativement à la protection des renseignements personnels qu’elles détiennent. En effet, le législateur a énoncé explicitement que les organismes publics ont ce devoir. Les municipalités devront faire preuve de diligence, sinon elles s’exposeront à des poursuites civiles et devront verser des dommages en réparation des torts créés par leur faute de respecter cette obligation6.
Quatrièmement, la loi oblige désormais les municipalités à prendre certaines mesures lorsqu’un incident de confidentialité est soupçonné, ou se trouve avéré. De tels incidents comprennent la perte d’un renseignement personnel, ainsi que l’accès, l’usage et la communication non autorisée d’un tel renseignement. La municipalité devra faire ce qui s’impose afin d’éviter que cet incident ne cause des dommages aux personnes touchées et afin qu’un tel incident ne se reproduise plus. De plus, si l’incident est « plus sérieux », la municipalité doit en aviser la Commission d’accès à l’information, ainsi que la personne visée par cet incident, sauf si cela risque d’entraver une enquête, notamment policière, en cours7.
Cinquièmement, les municipalités pourront communiquer des renseignements personnels, sans le consentement des personnes concernées, pour des fins de recherche ou de production de statistiques. Une évaluation préalable doit cependant être faite ; il faut notamment que l’objectif de l’étude ou de la recherche l’emporte, du point de vue de l’intérêt public, en opposition à l’impact de la communication et l’usage de ces données sur la vie des personnes concernées. Il faudra évidemment que ces renseignements soient utilisés de manière à en assurer la confidentialité, que le strict minimum nécessaire soit communiqué, et qu’il soit nécessaire de communiquer ces informations dans le cadre de l’étude8.
De nouvelles responsabilités bientôt en vigueur
En résumé, la loi responsabilise davantage les organismes publics, dont les municipalités, en ce qui a trait à la protection des renseignements personnels et des données personnelles. Les municipalités devront être vigilantes et proactives afin de mettre en œuvre ces nouvelles obligations et responsabilités ; elles devront notamment faire preuve d’exemplarité en la matière, comme le requièrent ces nouvelles modifications. Il importe de noter que le florilège de mesures traitées dans ce texte est incomplet et que d’autres mesures sont aussi, depuis le 22 septembre, applicables aux municipalités. Cependant, d’autres aspects de la loi entreront bientôt en vigueur. En effet, la loi entre progressivement en application, et d’autres responsabilités incomberont aux municipalités. Par exemple, si la municipalité a besoin du consentement d’un individu afin de recueillir ses données personnelles, ce consentement devra être manifeste, libre, éclairé et demandé en termes simples et clairs9. En outre, les municipalités devront rendre publique sur leur site Internet leur politique de gestion des renseignements personnels10. De plus, les municipalités recueillant des renseignements personnels devront, par défaut, disposer de paramètres assurant le plus haut niveau de confidentialité11. Et ce ne sont que quelques-uns des éléments à venir.
Nous invitons les municipalités à bien se renseigner sur leurs nouvelles responsabilités contenues dans la loi.