Archives de l’étiquette : québec

Entreprises au Québec: vous avez des employés, donc des données et des devoirs à faire!

Publié le par

Comme vous le savez probablement, jusqu’à maintenant, le droit québécois ignorait largement le fait que toutes les organisations et entreprises détiennent, invariablement, des données sur leur personnel. En effet, la loi québécoise touchant la protection des renseignements personnels a longtemps fait fit de ce fait, préférant se concentrer sur tous les autres cas où des entreprises détenait et utilisait des données de ce genre. Avec la nouvelle mouture de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnelsLoi»), de 2022 (une loi résultant du Projet de loi no 64), tout cela vient de changer.

La Loi de 2022 vient imposer toute une série de nouvelles obligations aux organisations détenant des données personnelles sur autrui. Dès maintenant, toutes les organisations, incluant même les PME, doivent donc commencer à porter attention à la question de la protection des renseignements personnels, en commençant, eh oui, par tous les renseignements que détiennent les organisations de tout acabit sur leurs employés. Ce serai d’autant plus important que la Loi prévoit dorénavant qu’on pourra imposer des amendes aux organisation contrevenante de l’ordre de 25 MILLIONS (oui, 25 000 000$) de dollars ou, même, à l’équivalent de 4% de son chiffre d’affaires annuel. Ai-je votre attention?

L’une des première chose à faire est de réaliser, au niveau de l’organisation, qu’on doit désormais commencer à se préoccuper de protection des renseignements personnels. Il faut y dédier des ressources, s’organiser et, eh oui, commencer à s’informer adéquatement quant à ce que la loi exige en matière de protection des données à caractère personnel. Pour les PME, ce sera malheureusement parfois la première fois où on fait cet exercice, la loi étant souvent vue à ce sujet comme une affaire de multinationale sans importance pour les plus petites entités.

Ensuite, si on commence à regarder ce que prévoit la Loi spécifiquement, on réalisera rapidement qu’il faut obligatoirement désormais mettre en place des protocoles, des politiques et des pratiques dictées par chaque organisation dans le but de bien gérer et encadrer sa gouvernance en matière de protection des renseignements personnels en sa possession. Oui, les jours du laisser-aller généralisé à ce sujet sont, en principe, maintenant chose du passé. Temps pour toutes les organisation de s’y mettre!

Fait intéressant, pour ceux et celles qui pourraient penser s’en tirer en ne faisant rien à ce sujet, en catimini: la Loi prévoit que chaque organisation devra (c’est une obligation non-optionnelle) rendre publiquement accessible tous ses protocoles, ses politiques et ses pratiques en la matière. Oui, vous lisez bien et, ceci à compter de dès maintenant.

Premier exemple spécifique au personnel, la Loi prévoit des règles contraignant la mesure dans laquelle les employeurs peuvent faire effectuer un traitement automatisé de renseignements personnels sur des employés potentiels ou présents, afin de prendre une décision sur leur embauche, leur promotion, etc. Généralement, bien que ce soit permis, les employeurs devraient s’informer des règles s’appliquant à ce type de traitement de données par des technologies telles l’intelligence artificielle.

La Loi confirme aussi (comme c’est le cas presque partout ailleurs) que toutes les organisations québécoises devraient se munir d’une politique de gestion des renseignements personnels, qu’on doit rendre accessible au personnel et au public. Cela comprend adopter une telle politique touchant les données des employés et prenant en compte les outils qu’on utilise dans l’organisation pour surveiller ou gérer le travail des salariés, comme par exemple les outils de surveillance, les outils de gestion de performance des employés, etc.

Règle générale, les entreprises québécoises devraient amorcer un réexamen de leurs pratiques de ce genre quant à leur personnel, en comprenant qu’on doit dorénavant porter généralement attention à la notion de consentement du personnel. Notons à ce sujet que le nouveau critère d’un consentement valable implique qu’il soit donné à des fins spécifiques, de surcroit «manifeste, libre et éclairé». En pratique, quand c’est nécessaire, chaque employé devra donc réellement consentir, après lui avoir demandé dans des documents distincts du reste des documents d’emploi. Attention, cela place la barre relativement haute!

À ce sujet, il faudra d’ailleurs dorénavant aussi faire bien attention à l’usage de systèmes divers permettant de surveiller, d’identifier ou de localiser nos employés et d’amasser des données quant à eux. Il faudra notamment informer le personnel visé des raisons sérieuses le justifiant et obtenir leur consentement à cet usage de renseignements les concernant, etc.. En un mot comme en mille, la période où on faisant ce qu’on voulait à ce sujet est bien révolue au Québec.

Autre obligation déjà en vigueur, depuis la semaine dernière: on doit désigner un responsable de la protection des renseignements personnels dans chaque organisation, incluant en diffusant cette information, dont auprès du public et des employés. Cette obligation s’avère conforme dans ce qui se faire dans bon nombre d’autres juridictions et n’a donc rien de bien surprenant. Chaque entreprise et organisation devrait donc en principe avoir quelqu’un (qu’il soit à l’interne ou à l’externe) qui soit chargé de ce genre de questions. Dans le cours normal des choses, on devrait choisir pour ce faire un membre de la haute direction détenant l’expertise nécessaire à gérer le genre de données qu’on possède, un individu qu’on devrait munir de l’autorité nécessaire afin de combler ce rôle.

Désormais, il est aussi important de noter que la Loi exigera qu’on rapporte à la Commission d’accès à l’information (la «CAI»), le chien garde québécois quant à ce genre de question), les incidents éventuels de sécurité ayant potentiellement résulté dans la perte ou la fuite de données personnelles. Cela comprendra les cas où on réalise avoir été la cible de pirates informatiques, les pertes d’ordinateurs portables contenant des données sensibles, etc. Côté salariés, à compter de maintenant, les employés désirant se plaindre des pratiques de leur employeur quant à leurs données pourront d’ailleurs porter plainte auprès de la CAI.

Bien que ce ne soit pas toutes les dispositions de la Loi qui soit déjà en vigueur (l’entrée en vigueur s’avère graduelle d’ici à 2024), une partie de celles-ci le sont déjà -attention et faites vos devoirs!

Tentative avortée d’action collective quant à Google Photos au Québec, faute de cause défendable

Publié le par

La Cour supérieure refusait récemment d’autoriser une action collective, dans Homsy c. Google (2022 QCCS 722). Le tribunal y retourne essentiellement le demandeur faire ses devoirs, en nous fournissant un rappel utile du fait que, bien que nos règles de procédures visent à faciliter l’introduction de tels recours devant nos tribunaux, il ne faut pas assumer que tout ce qu’on peut imaginer amener devant nos tribunaux passe le test et sera nécessairement traité par le système judiciaire.

La décision en question découle d’allégations d’un Québécois à l’effet que la société Google utiliserait l’information biométrique des usagers du service Google Photos sans consentement adéquat de la part des usagers. Selon M. Homsy, des pratiques douteuses d’extraction, de collecte, de conservation et d’utilisation de ses données biométriques faciales seraient en cause, tout comme un préavis insuffisant aux usagers et des consentements inadéquats.

Malheureusement pour le demandeur, bien que les problèmes rapportés existent peut-être, le hic ici c’est que cette tentative de recours collectif contre Google ne repose sur aucune preuve adéquate. Devant ce constat, le tribunal nous sert un rappel utile en refusant d’autoriser ce recours: une action collective c’est bien, pour peu qu’on puisse démontrer avoir une «cause défendable». À défaut, même le régime spécial qui vise à favoriser l’introduction de ce genre de recours ne devrait pas laisser passer n’importe quelle réclamation devant nos tribunaux. Peu de preuve c’est une chose -pas de preuve une toute autre, de dire essentiellement le tribunal.

À première vue, cette décision à de quoi surprendre quand on lit l’article 575 du Code de procédure civile, lequel dicte que le tribunal chargé de valider une action collective (quand elle est déposée au début), doit se limiter à vérifier des choses de base, dont que «les faits allégués paraissent justifier les conclusions recherchées». En lisant cela, on pourrait penser qu’on a rien à prouver à ce stade-ci, seulement à faire de pures allégations. Eh bien non de dire la Cour supérieure, détrompez-vous!

Pour parvenir à cette conclusion, le tribunal nous explique que, compte tenu de la jurisprudence, il faut lire les prérequis de l’art. 575 avec ce qui suit en tête :

Toutes les allégations de fait ne peuvent être tenues pour avérées. Les hypothèses, opinions, spéculations et inférences non supportées ne sont pas tenues pour avérées. De plus, les allégations factuelles générales qui visent le comportement d’une partie défenderesse ne peuvent être tenues pour avérées sans la présentation d’un élément de preuve. En effet, comme l’a établi la Cour suprême du Canada, lorsque des allégations de la demande sont générales et imprécises, elles sont insuffisantes pour satisfaire à la condition préliminaire d’établir une cause défendable; elles doivent être accompagnées d’une certaine preuve afin d’établir une cause défendable.

Puisqu’ici les procédures ne présentaient à peu près rien d’autre que des hypothèses, des opinions, des spéculations et des inférences, on ne rencontrait pas le seuil nous permettant d’autoriser le recours, lequel doit donc être purement et simplement rejeté.

La Charte de la Langue française v. 3.0 -Yikes!

Publié le par

Comme on s’en souviendra, en 1977, le gouvernement québécois adoptait un projet de loi numéroté «101», un projet ayant résulté en une loi désormais affublée du nom de la «Loi 101», bien que possédant bien un véritable nom: la Charte de la langue française (la «Charte»). Comme chacun le sait, la Charte visait (et vise toujours) à promouvoir l’usage de la langue française au sein de la province du Québec, au Canada, de façon à contrer ce qu’on perçoit comme l’assimilation éventuelle, quasi-inévitable de dire certains, du français par l’anglais.

En 2019, confronté à un monde des affaires prenant de plus en plus avantage d’une lacune de la Charte, le législateur québécois amendait celle-ci, principalement afin de forcer les commerçant à inclure sur la devanture des commerces des descriptifs en français, augmentant ainsi la visibilité du français dans le commerce.

Puis, récemment, en juin 2022, une nouvelle mouture de la Charte est adoptée, laquelle vient modifier substantiellement la donne pour les entreprises exploitées au Québec. Fidèles à leurs habitudes, les Québécois réfèrent largement pour l’instant au Projet de loi 96 comme la «Loi 96». Pour nos fins, appelons cela la Charte version 3.0.

Sans vouloir en faire ici un examen exhaustif, permettez-moi d’en faire ici un bref survol. Pour ce faire, voici le genre de changements dont ont parle ici, en plus de l’augmentation des pouvoirs du chien de garde de la Charte, l’OQLF:

  • L’obligation pour toutes les entreprises exploitées au Québec de voir à servir leur clientèle en français, en leur fournissant toute information mise à la disposition de la clientèle en français;
  • Un changement MAJEUR en matière de marques, à savoir de prévoir qu’on considèrera dorénavant qu’une marque de commerce (i.e. une créature protégée) n’en est un que si elle est véritablement enregistrée, évitant ainsi dorénavant que les commerçants au Québec puissent continuer à exhiber impunément des marques d’usage anglophones, sans aucun mention en français – conséquence: toute marque comportant du contenu qui n’est pas en français DEVRA dorénavant être enregistrée en bonne et due forme si on veut éviter être sujet à des procédures instituées en vertu de la Charte, etc.;
  • Plus encore, renforcer les règles en matière d’affichage en français (par ex., pour les enseignes de magasins), en exigeant dorénavant la présence nettement prédominante (disons 2 vs. 1) du français sur les devantures de magasins, par exemple (en regardant la devanture en faisant abstraction de la présence de la marque);
  • L’ajout de l’obligation pour les entreprises qui se munissent de contrats d’adhésion (par ex. des contrats de consommation), de les mettre à la disposition du public québécois en français, comme condition de validité de ces contrats, ni plus ni moins!;
  • Réduire le seuil du nombre d’employés requis pour assujettir une entreprise aux exigences en matière de programmes de francisation, de 50 à 25;
  • Des obligations plus strictes d’affichage des offres d’emploi en français, en exigeant leur publication d’une façon qui s’avère comparable à la version anglaise, le cas échéant;
  • Un resserrement des critères permettant aux employeurs d’exiger qu’un candidat recherché pour un poste qu’on affiche maitrise une langue autre que le français; et
  • L’obligation généralisée pour la plupart des organisation de fournir tout matériel écrit en français à son personnel.

On note aussi un ajout très américain à cette nouvelle mouture de la Charte, à savoir un droit d’action privé, lequel permettra aux citoyens qui s’estiment lésés de poursuivre eux-mêmes les organisations délinquantes, soit pour obtenir des injonctions ou des dommages, qu’ils soient punitifs ou autres. Bref, on veut se munir d’un régime que toutes les entreprises et organisations ne seront plus tentées d’ignorer.

Malgré ce qui précède, notons que la plupart des nouvelles règles sont essentiellement mises sur la glace pour trois (3) ans, jusqu’au 1er juin 2025, afin de donner une chance à toutes les organisations de se mettre à jour.

Et vous, votre organisation est-elle conforme? À défaut, vous disposez de trois ans pour faire vos devoirs!