Le 21 septembre 2021, l’Assemblée nationale a adopté la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. Celle-ci modifie une vingtaine de lois, dont la Loi sur la protection des renseignements personnels dans le secteur privé (ci-après la « Loi sur le privé »), ce qui impacte directement tous les syndicats, quels que soient leur taille et leur nombre de membres.  

Voici un survol de certaines de ces nouvelles dispositions en mettant spécifiquement l’accent sur celles ayant un impact important pour les syndicats. Pour obtenir des conseils spécifiques et mieux comprendre comment composer avec ces nouvelles modifications, n’hésitez pas à faire appel à notre équipe.   

1) La nomination d’un responsable de la protection des renseignements personnels (article 3.1 de la Loi sur le privé). 

Depuis le 22 septembre 2022, tous les syndicats ont dorénavant l’obligation de nommer un responsable de la protection des renseignements personnels. Celui-ci, qui peut être un membre du personnel ou non, sera la personne-ressource pour divers enjeux relatifs à la protection des renseignements personnels, telle que la gestion d’un incident de bris de confidentialité. 

À défaut de nommer quelqu’un à titre de responsable, ce poste sera automatiquement décerné à la personne ayant la plus haute autorité dans l’entreprise. 

Une fois le responsable choisi, il est alors nécessaire de mettre à jour le site internet du syndicat afin d’y mentionner qui occupe la fonction de responsable de la protection des renseignements personnels ainsi que ses coordonnées.  

2) Les règles de gouvernances (article 3.2 de la Loi sur le privé). 

À partir du 22 septembre 2023, tous les syndicats devront avoir une politique encadrant la protection des renseignements personnels. Celle-ci devra être approuvée par le responsable de la protection des renseignements personnels et devra contenir diverses informations, notamment : 

• L’encadrement quant à la conservation et la destruction des renseignements personnels ; 

• Le processus de traitement des plaintes quant à la protection des renseignements personnels. 

Cette politique devra être rédigée en termes simples et clairs avant d’être publiée sur le site internet du syndicat. Pour toute question quant à la rédaction de la politique de gouvernance, n’hésitez pas à contacter notre équipe. 

3) L’évaluation des facteurs relatifs à la vie privée (article 3.3 et 3.4 de la Loi sur le privé). 

À compter du 22 septembre 2023, les syndicats auront l’obligation, dans certaines situations, de procéder à une évaluation des facteurs relatifs à la vie privée. Une telle évaluation sera nécessaire lors de tout changement relatif aux systèmes informatiques contenant certains renseignements personnels. À titre d’exemple, si l’on souhaite changer la plateforme informatique contenant des renseignements personnels relatifs aux membres, il sera impératif de procéder préalablement à une évaluation. Une telle évaluation est mise sur pied par le responsable des renseignements personnels et a pour objectif de prévoir diverses mesures afin s’assurer que les renseignements personnels sont toujours stockés de manière sécuritaire. 

4) Les mesures lorsqu’il se produit un incident de confidentialité impliquant un renseignement personnel (article 3.5 à 3.8 de la Loi sur le privé). 

Malgré les obligations légales prévoyant des mesures s’assurant de la sécurité des renseignements personnels, il est tout de même possible, à la suite d’un incident, que des renseignements personnels ne soient plus sécurisés. S’il y a des motifs de croire qu’une telle situation se soit produite, et qu’un renseignement personnel ait été perdu ou utilisé de manière non autorisée, les syndicats ont actuellement l’obligation d’aviser la Commission d’accès à l’information ainsi que toute personne dont les renseignements personnels sont concernés par l’incident.  

En outre, les syndicats doivent tenir un registre concernant les incidents de confidentialité qui se sont produits. La Commission d’accès à l’information peut demander d’accéder à ce registre. 

5) Obligation de destruction ou d’anonymisation des renseignements personnels (article 23 de la Loi sur le privé). 

En septembre 2023, les syndicats devront s’assurer d’avoir une procédure afin de détruire ou d’anonymiser des renseignements personnels. Pour toute question concernant les délais de conservation ou les procédures d’anonymisation, n’hésitez pas à contacter notre équipe. 

6) Le droit pour les individus d’accéder aux renseignements les concernant dans un format électronique structuré (article 27 de la Loi sur le privé). 

Plusieurs modifications de la Loi sur le privé viennent transporter cette loi dans l’ère moderne en adaptant plusieurs dispositions à la réalité technologique. Ceci est le cas de la notion du « droit à la portabilité » qui prévoit qu’à partir du 22 septembre 2024, lorsqu’une personne demandera d’accéder à une information personnelle informatisée, celle-ci devra lui être communiquée sous une forme écrite et intelligible dans un format technologique structuré et couramment utilisé.  

Par conséquent, si un syndicat possède des renseignements personnels sous format électronique, il doit être en mesure de les communiquer sans qu’il ne soit nécessaire d’utiliser à des logiciels sophistiqués afin de lire l’information.