10 juillet 2023

Protéger les renseignements personnels dans le cadre d’une transaction commerciale, c’est l’affaire de toutes les parties!

Par Marie-Pier Lefebvre, Avocate - Droit des affaires et protection des renseignements personnels

L’entrée en vigueur de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels[1], communément appelée la « Loi 25 » est une véritable réforme de la Loi sur la protection des renseignements personnels dans le secteur privé[2] (ci-après la « LPRPSP »). 

Les articles spécifiques de la Loi 25 concernant l’échange et la communication des renseignements qui revêtent un caractère personnel dans le cadre d’une transaction commerciale méritent d’être connus de toutes les parties impliquées. Quelles sont les obligations à respecter en la matière, les meilleures pratiques et les exceptions à connaitre?

Les entrepreneurs font instinctivement preuve de prudence lorsque vient le temps de divulguer des informations confidentielles qui procurent un avantage concurrentiel à leur société. Il en va de même pour la propriété intellectuelle, fruit d’efforts soutenus et d’investissements considérables.

Cependant, protéger les renseignements personnels détenus par l’entreprise est une obligation souvent négligée alors que cela revêt une importance capitale.  La responsabilité de toutes les parties impliquées dans la transaction peut être engagée en cas de manquement aux lois applicables.

L’exception au principe général du consentement

Avant le 22 septembre 2022, la réalisation d’une transaction commerciale ne faisait pas exception au principe général en matière de consentement prévu à la LPRPSP.  En théorie, avant qu’une entreprise puisse communiquer les renseignements personnels qu’elle détenait, elle devait obtenir le consentement libre, manifeste, éclairé et spécifique de chaque personne concernée par ces renseignements, telle que des clients, des employés, des consultants, des fournisseurs, etc. En pratique, obtenir le consentement préalable de ces individus avant de conclure une transaction confidentielle était souvent impossible.

Or, depuis le 22 septembre 2022, lorsqu’un renseignement personnel est nécessaire aux fins d’une transaction commerciale, ce renseignement peut être communiqué par la partie qui le détient à l’autre partie à la transaction, sans le consentement de la personne concernée.[3] Il s’agit là de l’un des rares allégements découlant de la Loi 25, qui nécessite toutefois le respect de certaines conditions fondamentales.

L’exigence d’avoir une entente écrite et d’aviser les personnes concernées

Avant que des renseignements personnels ne soient communiqués dans le cadre d’une transaction commerciale, une entente écrite doit préalablement être convenue entre les parties.  Le contenu de cet accord ne laisse aucune place à interprétation, étant expressément précisé à la LPRPSP.  Les balises ci-dessous, régissant l’utilisation, la communication, la protection et la destruction des renseignements personnels par la partie qui en est récipiendaire, doivent être prévues à cette entente :

  • La partie récipiendaire ne doit les utiliser que pour la conclusion de la transaction commerciale;
  • Elle ne doit pas communiquer les renseignements sans le consentement de la personne qu’ils concernent;
  • Elle doit prendre les mesures nécessaires pour assurer la protection de leur caractère confidentiel;
  • Elle doit les détruire si la transaction n’est pas conclue ou si leur utilisation n’est plus nécessaire aux fins de sa conclusion. La destruction doit être conforme aux nouvelles dispositions de la LPRPSP qui entreront en vigueur le 22 septembre 2023.[4]

Dans le cadre de la majorité des transactions, les parties signent des ententes de confidentialité dès leurs premières discussions. Elles devraient alors s’assurer que ces ententes abordent la protection des renseignements personnels. Ces engagements peuvent être intégrés à même une lettre d’intention ou une offre d’achat ou faire l’objet d’un document distinct visant expressément le respect de la confidentialité.

Dans un délai raisonnable suivant la transaction commerciale, la partie qui reçoit les renseignements personnels doit aviser les personnes concernées qu’elle détient maintenant tels renseignements à leur égard.[5]  Puisque chacune de ces personnes doit être informée des fins auxquelles les renseignements personnels seront utilisés, planifier une stratégie de communication en amont constitue une bonne pratique.

Autre nouveauté de la Loi 25 : l’évaluation des facteurs à la vie privée (EFVP)

À partir du 22 septembre 2023, toute personne qui exploite une entreprise devra, tôt ou tard, procéder à une évaluation des facteurs à la vie privée, communément appelée « EFVP ». La LPRPSP prévoit plusieurs situations qui requièrent que l’entreprise fasse une EFVP.[6]  Puisque les projets d’acquisition risquent d’avoir une incidence sur le respect de la vie privée des personnes concernées par les renseignements personnels détenus par une entreprise, ils sont spécifiquement mentionnés comme devant faire l’objet d’une EFVP[7].

Le responsable de la protection des renseignements personnels de l’entreprise doit être impliqué dans le cadre de l’EFVP afin de procéder à l’analyse complète du projet.  À cette fin, le responsable peut nommer une personne chargée de la mise en œuvre des mesures de protection des renseignements personnels, entre autres, dans la documentation liée au projet d’acquisition.[8]  

Les éléments suivants sont des exemples de points à vérifier dans le cadre d’une EFVP :

  • La description du projet, de ses objectifs, de son impact sur les renseignements personnels des personnes concernées, du type et des catégories des renseignements personnels impliqués;
  • Les risques encourus dans le cadre de sa réalisation;
  • La probabilité que ces risques se réalisent, et;
  • Les mesures de protection à mettre en œuvre, etc.

L’échange de renseignements personnels au cours de la vérification diligente

Au-delà des modifications apportées par la Loi 25, l’inventaire des renseignements personnels échangés dans le cadre d’une transaction devrait être limité à ceux qui sont nécessaires.[9] Prendre le temps de caviarder des renseignements personnels sensibles comme les numéros d’assurance sociale ou des informations de santé sur les employés est une bonne pratique.

De plus en plus, la vérification diligente comprend des questions relatives aux mesures prises par les entreprises pour se conformer aux lois en matière de protection des renseignements personnels et de la vie privée. En effet, la non-conformité de l’entreprise aux exigences des lois applicables peut avoir un impact important sur les finances, les opérations et la réputation de l’entreprise.  Par exemple, si la gestion des renseignements personnels par une entreprise était défaillante avant la vente de celle-ci, l’acquéreur a tout intérêt à soupeser les risques de ce constat. Par ailleurs, si le modèle d’affaires d’une entreprise repose sur l’utilisation de renseignements personnels obtenus d’une façon non conforme, l’acquéreur d’une société pourrait se trouver face à un enjeu mettant en péril la continuité des affaires de la société. 

En plus des impacts sur les affaires de la société, si cette dernière n’a pas mis en place des mesures de protection adéquates à l’égard des renseignements personnels qu’elle détient, les parties devraient prendre en compte la modernisation de l’infrastructure technologique de l’entreprise dans l’établissement du prix d’achat de l’entreprise, notamment à des fins d’assurabilité. En effet, il est fréquent que les assureurs exigent que l’entreprise rencontre certains standards de cybersécurité pour pouvoir bénéficier d’une couverture d’assurance. 

Attention aux regroupements de sociétés

La gestion des renseignements personnels au sein d’un même groupe corporatif est un autre élément à ne pas négliger en matière de protection des renseignements personnels. Même si des entités juridiques sont liées, le flux des renseignements personnels qu’elles détiennent respectivement doit respecter les principes édictés par la LPRPSP puisqu’elles ont néanmoins des personnalités juridiques distinctes. 

Par exemple, il est recommandé de faire analyser les consentements obtenus par les clients de chacune des entités d’un groupe corporatif impliqué dans une transaction commerciale si celles-ci souhaitent échanger entre elles des renseignements personnels. En effet, si un client a donné son consentement à l’entité A afin que cette dernière lui transmette de l’information sur ses produits et services, il ne s’attend pas nécessairement à ce que l’entité B le sollicite pour des produits et services différents, et ce, même si les entités A et B sont liées.  Une bonne pratique consiste à vérifier les libellés des consentements collectés par le groupe corporatif afin de s’assurer qu’ils soient assez étendus, sans compromettre les dispositions de la Loi 25.  

Le caractère public des coordonnées professionnelles

Il convient de noter qu’à partir du 22 septembre 2023, les coordonnées professionnelles, telles que le nom, le titre, l’adresse professionnelle, le courriel et le numéro de téléphone, ne seront plus considérées comme confidentielles en vertu de la Loi 25[10]

L’importance de se faire conseiller  

En somme, l’ensemble des parties devraient prendre des précautions pour protéger les renseignements personnels échangés lors des négociations au cours d’une transaction commerciale.

Il est vivement recommandé de consulter un avocat spécialisé en droit de la protection des renseignements personnels afin de bénéficier de conseils juridiques adaptés à votre situation spécifique. Les conseils d’un spécialiste en matière de protection des renseignements personnels vont bien au-delà du respect des lois applicables, car ils vous permettront d’établir et de suivre de bonnes pratiques, d’anticiper les enjeux et de gagner en efficacité en vous permettant de vous concentrer sur les points d’affaires de la transaction commerciale.

[1] LQ 2021, c 25.

[2] RLRQ c P-39.1chapitre P-39.1

[3] art. 18.4 LPRPSP

[4] art. 23 LPRPSP (en vigueur au 22 septembre 2023)

[5] art. 18.4 LPRPSP

[6] art. 3.3, art. 17 LPRPSP (en vigueur le 22 septembre 2023)

[7] ibid.

[8] art. 3.4 LPRPSP (en vigueur le 22 septembre 2023)

[9] art. 5 LPRPSP

[10] art.1 LPRPS (en vigueur au 22 septembre 2023)

Article suivant

Ces articles pourraient vous intéresser...

12 juillet 2024

Risques et loisirs : Les enjeux juridiques des décharges de responsabilité

par Me Mélanie Rhéaume et Me Sabrina Allard
Les vacances sont souvent synonymes de détente et de loisirs, mais elles peuvent également comporter des risques, notamment lors de la participation à diverses activités de plein air ou sportives. Il n’est pas rare que les entreprises organisatrices de ces activités demandent aux participants de signer une décharge de responsabilité (également appelée exonération de responsabilité).… ...
Lire l'article
31 mai 2024

Harcèlement au travail et violence à caractère sexuel: les employeurs face à de nouvelles responsabilités

par Me Marie-Ève Malenfant et Me Sandra Fournier, CRHA
Depuis le 27 mars 2024, de nouvelles obligations incombent aux employeurs du Québec en matière de harcèlement au travail. C’est en effet à cette date que le législateur a sanctionné la Loi visant à prévenir et à combattre le harcèlement psychologique et la violence à caractère sexuel en milieu de travail (la « Loi »), qui a… ...
Lire l'article
30 mai 2024

Assermentation de Me Marie-Pier Lefebvre au Barreau de Paris

par Patricia Giroux
Nous sommes ravis de partager une nouvelle excitante qui marque un jalon important pour Ksa Avocats + Notaires. Me Marie-Pier Lefebvre, membre de notre équipe et spécialisée en droit commercial et corporatif et en protection des renseignements personnels, a récemment prêté serment devant la Cour d’Appel de Paris, le 27 mai dernier. Cette étape remarquable… ...
Lire l'article
Retour au blogue
Article suivant