L’entrée en vigueur de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels[1], communément appelée la « Loi 25 » est une véritable réforme de la Loi sur la protection des renseignements personnels dans le secteur privé[2] (ci-après la « LPRPSP »).
Les articles spécifiques de la Loi 25 concernant l’échange et la communication des renseignements qui revêtent un caractère personnel dans le cadre d’une transaction commerciale méritent d’être connus de toutes les parties impliquées. Quelles sont les obligations à respecter en la matière, les meilleures pratiques et les exceptions à connaitre?
Les entrepreneurs font instinctivement preuve de prudence lorsque vient le temps de divulguer des informations confidentielles qui procurent un avantage concurrentiel à leur société. Il en va de même pour la propriété intellectuelle, fruit d’efforts soutenus et d’investissements considérables.
Cependant, protéger les renseignements personnels détenus par l’entreprise est une obligation souvent négligée alors que cela revêt une importance capitale. La responsabilité de toutes les parties impliquées dans la transaction peut être engagée en cas de manquement aux lois applicables.
L’exception au principe général du consentement
Avant le 22 septembre 2022, la réalisation d’une transaction commerciale ne faisait pas exception au principe général en matière de consentement prévu à la LPRPSP. En théorie, avant qu’une entreprise puisse communiquer les renseignements personnels qu’elle détenait, elle devait obtenir le consentement libre, manifeste, éclairé et spécifique de chaque personne concernée par ces renseignements, telle que des clients, des employés, des consultants, des fournisseurs, etc. En pratique, obtenir le consentement préalable de ces individus avant de conclure une transaction confidentielle était souvent impossible.
Or, depuis le 22 septembre 2022, lorsqu’un renseignement personnel est nécessaire aux fins d’une transaction commerciale, ce renseignement peut être communiqué par la partie qui le détient à l’autre partie à la transaction, sans le consentement de la personne concernée.[3] Il s’agit là de l’un des rares allégements découlant de la Loi 25, qui nécessite toutefois le respect de certaines conditions fondamentales.
L’exigence d’avoir une entente écrite et d’aviser les personnes concernées
Avant que des renseignements personnels ne soient communiqués dans le cadre d’une transaction commerciale, une entente écrite doit préalablement être convenue entre les parties. Le contenu de cet accord ne laisse aucune place à interprétation, étant expressément précisé à la LPRPSP. Les balises ci-dessous, régissant l’utilisation, la communication, la protection et la destruction des renseignements personnels par la partie qui en est récipiendaire, doivent être prévues à cette entente :
Dans le cadre de la majorité des transactions, les parties signent des ententes de confidentialité dès leurs premières discussions. Elles devraient alors s’assurer que ces ententes abordent la protection des renseignements personnels. Ces engagements peuvent être intégrés à même une lettre d’intention ou une offre d’achat ou faire l’objet d’un document distinct visant expressément le respect de la confidentialité.
Dans un délai raisonnable suivant la transaction commerciale, la partie qui reçoit les renseignements personnels doit aviser les personnes concernées qu’elle détient maintenant tels renseignements à leur égard.[5] Puisque chacune de ces personnes doit être informée des fins auxquelles les renseignements personnels seront utilisés, planifier une stratégie de communication en amont constitue une bonne pratique.
Autre nouveauté de la Loi 25 : l’évaluation des facteurs à la vie privée (EFVP)
À partir du 22 septembre 2023, toute personne qui exploite une entreprise devra, tôt ou tard, procéder à une évaluation des facteurs à la vie privée, communément appelée « EFVP ». La LPRPSP prévoit plusieurs situations qui requièrent que l’entreprise fasse une EFVP.[6] Puisque les projets d’acquisition risquent d’avoir une incidence sur le respect de la vie privée des personnes concernées par les renseignements personnels détenus par une entreprise, ils sont spécifiquement mentionnés comme devant faire l’objet d’une EFVP[7].
Le responsable de la protection des renseignements personnels de l’entreprise doit être impliqué dans le cadre de l’EFVP afin de procéder à l’analyse complète du projet. À cette fin, le responsable peut nommer une personne chargée de la mise en œuvre des mesures de protection des renseignements personnels, entre autres, dans la documentation liée au projet d’acquisition.[8]
Les éléments suivants sont des exemples de points à vérifier dans le cadre d’une EFVP :
L’échange de renseignements personnels au cours de la vérification diligente
Au-delà des modifications apportées par la Loi 25, l’inventaire des renseignements personnels échangés dans le cadre d’une transaction devrait être limité à ceux qui sont nécessaires.[9] Prendre le temps de caviarder des renseignements personnels sensibles comme les numéros d’assurance sociale ou des informations de santé sur les employés est une bonne pratique.
De plus en plus, la vérification diligente comprend des questions relatives aux mesures prises par les entreprises pour se conformer aux lois en matière de protection des renseignements personnels et de la vie privée. En effet, la non-conformité de l’entreprise aux exigences des lois applicables peut avoir un impact important sur les finances, les opérations et la réputation de l’entreprise. Par exemple, si la gestion des renseignements personnels par une entreprise était défaillante avant la vente de celle-ci, l’acquéreur a tout intérêt à soupeser les risques de ce constat. Par ailleurs, si le modèle d’affaires d’une entreprise repose sur l’utilisation de renseignements personnels obtenus d’une façon non conforme, l’acquéreur d’une société pourrait se trouver face à un enjeu mettant en péril la continuité des affaires de la société.
En plus des impacts sur les affaires de la société, si cette dernière n’a pas mis en place des mesures de protection adéquates à l’égard des renseignements personnels qu’elle détient, les parties devraient prendre en compte la modernisation de l’infrastructure technologique de l’entreprise dans l’établissement du prix d’achat de l’entreprise, notamment à des fins d’assurabilité. En effet, il est fréquent que les assureurs exigent que l’entreprise rencontre certains standards de cybersécurité pour pouvoir bénéficier d’une couverture d’assurance.
Attention aux regroupements de sociétés
La gestion des renseignements personnels au sein d’un même groupe corporatif est un autre élément à ne pas négliger en matière de protection des renseignements personnels. Même si des entités juridiques sont liées, le flux des renseignements personnels qu’elles détiennent respectivement doit respecter les principes édictés par la LPRPSP puisqu’elles ont néanmoins des personnalités juridiques distinctes.
Par exemple, il est recommandé de faire analyser les consentements obtenus par les clients de chacune des entités d’un groupe corporatif impliqué dans une transaction commerciale si celles-ci souhaitent échanger entre elles des renseignements personnels. En effet, si un client a donné son consentement à l’entité A afin que cette dernière lui transmette de l’information sur ses produits et services, il ne s’attend pas nécessairement à ce que l’entité B le sollicite pour des produits et services différents, et ce, même si les entités A et B sont liées. Une bonne pratique consiste à vérifier les libellés des consentements collectés par le groupe corporatif afin de s’assurer qu’ils soient assez étendus, sans compromettre les dispositions de la Loi 25.
Le caractère public des coordonnées professionnelles
Il convient de noter qu’à partir du 22 septembre 2023, les coordonnées professionnelles, telles que le nom, le titre, l’adresse professionnelle, le courriel et le numéro de téléphone, ne seront plus considérées comme confidentielles en vertu de la Loi 25[10].
L’importance de se faire conseiller
En somme, l’ensemble des parties devraient prendre des précautions pour protéger les renseignements personnels échangés lors des négociations au cours d’une transaction commerciale.
Il est vivement recommandé de consulter un avocat spécialisé en droit de la protection des renseignements personnels afin de bénéficier de conseils juridiques adaptés à votre situation spécifique. Les conseils d’un spécialiste en matière de protection des renseignements personnels vont bien au-delà du respect des lois applicables, car ils vous permettront d’établir et de suivre de bonnes pratiques, d’anticiper les enjeux et de gagner en efficacité en vous permettant de vous concentrer sur les points d’affaires de la transaction commerciale.
[1] LQ 2021, c 25.
[2] RLRQ c P-39.1chapitre P-39.1
[3] art. 18.4 LPRPSP
[4] art. 23 LPRPSP (en vigueur au 22 septembre 2023)
[5] art. 18.4 LPRPSP
[6] art. 3.3, art. 17 LPRPSP (en vigueur le 22 septembre 2023)
[7] ibid.
[8] art. 3.4 LPRPSP (en vigueur le 22 septembre 2023)
[9] art. 5 LPRPSP
[10] art.1 LPRPS (en vigueur au 22 septembre 2023)