Personne n'échappe à la loi

time 3m

La nouvelle Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (« loi 25 ») s’applique aux conseillers autonomes, mais la question des conseillers rattachés est plus complexe. Éclairage.

Adoptée en septembre 2021, la loi 25 (qui découle du projet de loi no 64) augmente les exigences de protection des renseignements personnels (RP) et prévoit des pénalités salées en cas de contravention. Elle oblige à désigner dès septembre 2022 un responsable de la protection des RP et à signaler les incidents de confidentialité.

À partir de 2023, les entreprises devront notamment :

— établir et mettre en action des politiques et des pratiques pour encadrer leur gouvernance des RP;

— publier sur leur site web des explications détaillées et claires au sujet de ces politiques et pratiques;

— renseigner leurs clients quant aux moyens utilisés pour recueillir les données et quant aux fins auxquelles elles les emploieront;

— obtenir un consentement libre et éclairé pour chacun des objectifs;

— détruire ou anonymiser les données une fois ces objectifs atteints;

— régler par défaut leurs outils technologiques servant à prélever des RP au plus haut niveau de confidentialité.

La loi s’applique à toutes les personnes qui exploitent une entreprise au sens de l’article 1525 du Code civil du Québec et ne fait pas de distinction entre un travailleur autonome et une plus grande entreprise.

Me Cynthia Chassigneux

La situation des conseillers rattachés

La loi est assortie de pénalités qui varient de 2 % à 4 % du chiffre d’affaires pour les entreprises et de 5 000 à 150 000 dollars pour les personnes physiques. Les représentants autonomes sont considérés comme des cabinets et sont donc soumis à la loi.

« La loi s’applique à toutes les personnes qui exploitent une entreprise au sens de l’article 1525 du Code civil du Québec et ne fait pas de distinction entre un travailleur autonome et une plus grande entreprise », souligne Me Cynthia Chassigneux, associée chez Langlois Avocats et ancienne commissaire à la Commission d’accès à l’information. Ainsi, un conseiller autonome devient automatiquement responsable de la protection des RP qu’il récolte. La seule différence se trouve sur le plan des montants des pénalités, lesquels sont moins élevés pour les indépendants.

Qu’en est-il des conseillers qui nouent des accords avec des réseaux de distribution et constituent des conseillers rattachés au sens de la Loi sur la distribution de produits et services financiers, mais qui travaillent avec leur propre clientèle ?

« Une entente relative à la propriété de la clientèle n’a aucun effet sur les obligations qui s’appliquent au cabinet concernant la protection des renseignements de ses clients : le cabinet demeure en tout temps responsable d’assurer la confidentialité de ces renseignements », répond Sylvain Théberge, directeur des relations médias de l’Autorité des marchés financiers.

Me Chassigneux abonde dans le même sens. Elle n’a d’ailleurs pas à chercher loin pour trouver un exemple qui illustre cette situation. « Moi-même, je suis considérée comme une travailleuse autonome, mais je suis rattachée à Langlois Avocats, explique-t-elle. Ainsi, la firme prend les mesures de sécurité nécessaires pour protéger les RP des clients, et moi je dois respecter ces règles. »

En ce sens, les conseillers rattachés pourraient jouir d’un certain avantage sur les représentants autonomes, puisqu’ils profitent de l’appui du cabinet auquel ils sont liés. Les conseillers autonomes doivent quant à eux s’assurer d’établir leurs propres politiques et pratiques de protection des RP et portent l’entière responsabilité en cas de problème.

Une entente relative à la propriété de la clientèle n’a aucun effet sur les obligations qui s’appliquent au cabinet concernant la protection des renseignements de ses clients.

Sylvain Théberge