Article 22 novembre 2022

Ce que vous devez savoir sur la Loi 25

La nouvelle Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (« loi 25 ») s’applique à tous les conseillers. Elle s’applique donc autant aux conseillers autonomes qu’aux conseillers rattachés et, bien que la situation soit plus complexe pour les conseillers rattachés à un cabinet ou un courtier, les responsabilités des conseillers autonomes deviennent beaucoup plus importantes. Voici pourquoi.

Adoptée en septembre 2021, la loi 25 (qui découle du projet de loi no 64) augmente les exigences de protection des renseignements personnels (RP) et prévoit des pénalités substantielles en cas de contravention ou de non-conformité. Les membres de la Chambre devront donc composer avec un rehaussement des exigences, même s’ils possèdent déjà des obligations professionnelles concernant la protection et la divulgation des RP de leurs clients telles que décrites aux articles 26 et 27 du code de déontologie et de la section III du Règlement sur la déontologie dans les disciplines de valeurs mobilières.

Désigner un responsable

D’emblée, il est important de noter que depuis septembre 2022, il est obligatoire pour chaque cabinet de désigner un responsable de la protection des RP et à signaler les incidents de confidentialité. Par défaut, le PDG d’une organisation exerce cette fonction de responsable, mais il peut la déléguer par écrit à toute personne, même à l’externe. L’organisation devra publier le nom et les coordonnées du responsable sur son site web.

Les organisations doivent aussi aviser la Commission d’accès à l’information (CAI) et les individus concernés de tout incident de confidentialité qui présente un risque de préjudice sérieux, en plus de tenir un registre de ces événements. Un exemple d’incident peut être un accès illicite aux RP, une utilisation ou une communication des RP non autorisés par la loi ou encore une perte de RP.

« Dans chaque cas, on devra évaluer s’il y a un risque de préjudice sérieux, précise Me Beauvais. Il faudra donc analyser le degré de sensibilité de ces renseignements, quelles conséquences l’incident peut entraîner et le niveau de probabilité que ces informations servent à des fins préjudiciables. »

La situation des conseillers rattachés

Les professionnels de la Chambre sont touchés par plusieurs modifications à la loi sur le secteur privé. Elles ont commencé à entrer en vigueur en trois étapes, soit en septembre 2022, 2023 et 2024.

La loi est assortie de pénalités qui varient de 2 % à 4 % du chiffre d’affaires pour les entreprises et de 5 000 à 150 000 dollars pour les personnes physiques. Les représentants autonomes sont considérés comme des cabinets et sont donc soumis à la loi.

« La loi s’applique à toutes les personnes qui exploitent une entreprise au sens de l’article 1525 du Code civil du Québec et ne fait pas de distinction entre un travailleur autonome et une plus grande entreprise », souligne Me Cynthia Chassigneux, associée chez Langlois Avocats et ancienne commissaire à la Commission d’accès à l’information.

Ainsi, un conseiller autonome devient automatiquement responsable de la protection des RP qu’il récolte. La seule différence se trouve sur le plan des montants des pénalités, lesquels sont moins élevés pour les indépendants.

Qu’en est-il des conseillers qui nouent des accords avec des réseaux de distribution et constituent des conseillers rattachés au sens de la Loi sur la distribution de produits et services financiers, mais qui travaillent avec leur propre clientèle ?

« Une entente relative à la propriété de la clientèle n’a aucun effet sur les obligations qui s’appliquent au cabinet concernant la protection des renseignements de ses clients : le cabinet demeure en tout temps responsable d’assurer la confidentialité de ces renseignements », répond Sylvain Théberge, directeur des relations médias de l’Autorité des marchés financiers.

Me Chassigneux abonde dans le même sens. Elle n’a d’ailleurs pas à chercher loin pour trouver un exemple qui illustre cette situation. « Moi-même, je suis considérée comme une travailleuse autonome, mais je suis rattachée à Langlois Avocats, explique-t-elle. Ainsi, la firme prend les mesures de sécurité nécessaires pour protéger les RP des clients, et moi je dois respecter ces règles. »

En ce sens, les conseillers rattachés pourraient jouir d’un certain avantage sur les représentants autonomes, puisqu’ils profitent de l’appui du cabinet auquel ils sont liés pour mettre en place des mesures de protection des renseignements personnels et des protocoles pour les respecter.

De leur côté, les conseillers autonomes doivent s’assurer d’établir leurs propres politiques et pratiques de protection des RP et portent l’entière responsabilité en cas de problème.

De plus, en vertu de la Loi sur la protection des renseignements personnels dans le secteur privé (loi sur le secteur privé), tous les membres de la Chambre ont l’obligation de préserver la confidentialité des RP qu’ils recueillent à titre de représentants autonomes ou pour le compte de leur cabinet, courtier ou société autonome. « La nouvelle législation vient compléter et préciser ces obligations et surtout rehausser les exigences », résume Me Geneviève Beauvais, avocate au développement professionnel et à la qualité des pratiques à la CSF.

Une grosse bouchée en 2023

Un bouquet plus imposant de nouvelles exigences entrera en vigueur en septembre 2023. Les organisations devront établir et mettre en action des politiques et des pratiques pour encadrer leur gouvernance des RP. Elles seront également tenues de publier - selon les principes du langage clair - sur leur site web des explications détaillées au sujet de ces politiques et pratiques.

Les organisations devront de plus renseigner leurs clients quant aux moyens utilisés pour recueillir les données et fins auxquelles elles les emploieront. Les informations devront être détruites ou anonymisées une fois ces objectifs atteints.

Les réglages des outils technologiques servant à prélever des RP devront être positionnés par défaut au plus haut niveau de confidentialité. Les gens devront intentionnellement poser des gestes pour partager leurs informations personnelles et non pour les protéger. Les clients doivent aussi se voir informés de l’utilisation de fonctions qui permettent d’effectuer leur profilage, de préciser leur localisation ou de les identifier et savoir comment les activer. Celles-ci ne peuvent être imposées par défaut.

« Les professionnels sont particulièrement concernés par ces changements, puisqu’ils se retrouvent en première ligne auprès des clients », prévient Me Beauvais. Ce sera leur responsabilité de bien expliquer les motifs de la cueillette d’informations et les politiques qui encadreront l’emploi et la protection de ces données.

Ils devront aussi obtenir un consentement libre et éclairé pour chacun des objectifs. Le client ne peut pas accorder un consentement général d’utilisation de ses informations à plusieurs fins. Dans le cas de données sensibles, comme celles de nature médicale ou biométrique, le consentement doit être fourni par écrit. Notons que les clients conservent en tout temps le droit de retirer leur accord, d’accéder à leurs RP et de les faire rectifier.

En septembre 2024, une dernière exigence viendra s’ajouter : le droit à la portabilité. Une personne pourra demander de recevoir les RP qui la concernent dans un format technologique couramment utilisé. « Cela exclut toutefois les données que l’organisation crée à partir de sa propre analyse des RP de l’individu », spécifie Me Beauvais.

La CAI pourra imposer des sanctions administratives directement en cas de violation des exigences de la loi. Le montant des amendes s’élève à 10 millions de dollars ou 2 % du chiffre d’affaires mondial de l’entité visée.

Certaines infractions seront aussi passibles de sanctions pénales, dont le montant pourra atteindre 25 millions de dollars ou 4 % du chiffre d’affaires mondial. Enfin, les clients eux-mêmes obtiennent le droit de poursuivre les organisations en dommages-intérêts.

Me Yvan Morin, vice-président aux affaires juridiques de MICA Cabinets de services financiers, estime approprié que le gouvernement renforce la protection des RP. « Les outils technologiques permettent de collecter et de conserver beaucoup d’informations,
qui sont souvent de nature sensible », rappelle-t-il.

Notez enfin que pour ceux qui voudrait utiliser des listes de clients potentiels que la communication et l’utilisation de listes nominatives par une entreprise privée à des fins de prospection commerciale ou philanthropique sont dorénavant assujetties au consentement de la personne concernée.

À partir du 1er septembre 2023, les entreprises devront notamment :

— établir et mettre en action des politiques et des pratiques pour encadrer leur gouvernance des RP

— publier sur leur site web des explications détaillées et claires au sujet de ces politiques et pratiques

— renseigner leurs clients quant aux moyens utilisés pour recueillir les données et quant aux fins auxquelles elles les emploieront

— obtenir un consentement libre et éclairé pour chacun des objectifs

— détruire ou anonymiser les données une fois ces objectifs atteints

— régler par défaut leurs outils technologiques servant à prélever des RP au plus haut niveau de confidentialité