6. Utilisation des renseignements personnels
6.1 Exceptions : utilisation sans le consentement
6.2 Mesures de sécurité lors de l'utilisation des renseignements
6.2.1 Incident de confidentialité
Les renseignements personnels ne peuvent être utilisés qu’aux fins pour lesquelles ils ont été recueillis.
Lorsque l’objet du dossier est accompli (par exemple, la vente immobilière s’est réalisée ou la promesse d’achat a été refusée), le titulaire de permis ne doit plus utiliser les renseignements personnels qui figurent au dossier.
6.1 Exceptions : utilisation sans le consentement1
La loi prévoit des cas d’exception quand les renseignements personnels peuvent être utilisés sans le consentement de la personne concernée :
- L’utilisation secondaire est compatible avec les fins pour lesquelles le renseignement a été initialement recueilli. Il doit y avoir un lien direct et pertinent avec les fins initiales. La prospection commerciale est expressément exclue des fins compatibles;
- L’utilisation est manifestement au bénéfice de la personne concernée;
- L’utilisation est nécessaire à des fins d’étude, de recherche ou de production de statistiques, mais les renseignements doivent être dépersonnalisés de façon à empêcher d’identifier directement la personne concernée.
1 Art. 12 de la Loi sur le secteur privé, en vigueur le 22 septembre 2023.
6.2 Mesures de sécurité lors de l'utilisation des renseignements
Le titulaire de permis est tenu de prendre des mesures de sécurité raisonnables pour assurer la protection des renseignements personnels qu’il détient. Ces mesures doivent notamment tenir compte de la sensibilité des renseignements, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support2.
Dans le cadre des mesures de sécurité, il y a lieu notamment de restreindre l’accès physique et informatique (système de GED) aux renseignements aux seules personnes auxquelles il est nécessaire d’y accéder dans le cadre de leur fonction.
Lorsqu’un contrat de courtage est conclu entre un vendeur et une agence représentée par un courtier, celui-ci a d’office accès aux renseignements personnels du vendeur. Hormis ce courtier, le dirigeant d’agence pourrait aussi y avoir accès aux fins de vérification de conformité, ainsi que le personnel de soutien (idéalement une seule personne) pour effectuer les tâches administratives.
Les autres courtiers de l’agence qui ne sont pas impliqués dans ce dossier ne doivent pas avoir accès à ces renseignements personnels. En revanche, si le vendeur est représenté en vertu du contrat de courtage par une équipe de courtiers de l’agence, les membres de l’équipe auront accès aux renseignements personnels afin de pouvoir remplir leurs obligations de représentation à l’égard de leur client.
Les titulaires de permis doivent s’assurer que le support choisi pour détenir et utiliser les renseignements personnels est stable, sécuritaire et qu’il assure la confidentialité en tout temps.
Pour en savoir plus :
- Firmes accréditées par l’OACIQ pour la gestion électronique des documents
- Conservation des documents portant une ou des signatures électroniques : les bonnes pratiques
- Quelles sont les règles qui entourent la signature électronique?
2 Art. 10 de la Loi sur le secteur privé.
6.2.1 Incident de confidentialité3
Dans la foulée des récents scandales relatifs aux fuites de renseignements personnels et dans le contexte de la convergence massive vers le télétravail, la nouvelle Loi a mis clairement l’accent sur la cybersécurité.
Un incident de confidentialité est défini comme un événement susceptible de compromettre la confidentialité des renseignements personnels lorsqu’ils sont utilisés par une entreprise, soit :
- l’accès non autorisé par la Loi à un renseignement personnel;
- l’utilisation non autorisée par la Loi d’un renseignement personnel;
- la communication non autorisée par la Loi d’un renseignement personnel;
- la perte d’un renseignement personnel ou toute autre atteinte à sa protection.
Peuvent constituer un incident de confidentialité des événements comme le vol, la fraude, la perte (causée par un virus ou une faille informatique, une fuite, une attaque informatique, une erreur), une action délibérée (l’extraction de renseignements par un employé ou une personne non autorisés), etc.
Si un incident se produit et présente un risque sérieux de préjudice, le titulaire de permis doit le dénoncer avec diligence aux personnes concernées ainsi qu’à la Commission d’accès à l’information (CAI). Il pourra, à sa discrétion, aviser aussi toute entité susceptible de diminuer le risque en ne lui communiquant que les renseignements nécessaires à cette fin et ce, sans le consentement de la personne concernée (par exemple, la police, son fournisseur GED, son fournisseur informatique, etc.).
Pour évaluer le risque qu’un préjudice soit causé à une personne dont un renseignement personnel est impliqué dans un incident de confidentialité, il faudra considérer notamment la sensibilité du renseignement concerné, les conséquences appréhendées de son utilisation et la probabilité qu’il soit utilisé à des fins préjudiciables. Dans le cas d’un accès non autorisé aux renseignements dont la divulgation accroît les risques d’usurpation d’identité (par exemple, les renseignements des pièces d’identité), on doit considérer que le risque est sérieux et le dénoncer.
Comme l’ensemble des entreprises du Québec, les agences et les courtiers exerçant à leur compte doivent prendre des mesures visant à diminuer les risques de préjudice en cas d’incident de confidentialité.
Afin de minimiser le préjudice possible, il est fortement recommandé de mettre en place des mesures préventives en matière de cybersécurité (revue des systèmes informatiques, formation du personnel, politiques de contrôle internes) ainsi que des mesures de gestion des incidents.
Notamment, il est recommandé d’établir un protocole de gestion d’un incident de confidentialité dans lequel seront identifiés les membres d’une cellule de crise qui aura la charge de gérer l’incident et de déterminer les actions concrètes à poser après l’incident. Il est également recommandé de se munir d’une assurance couvrant les cyber-risques et de s’assurer que les fournisseurs de services GED s’engagent à signaler les incidents en matière de sécurité de l’information confidentielle.
De plus, les agences devront tenir un registre des incidents de confidentialité4.
L’obligation de gestion et de dénonciation des incidents de confidentialité doit être prise au sérieux compte tenu des sanctions administratives sévères qui pourraient être imposées par la CAI en cas de non-respect des nouvelles règles5.
Bon à savoir
En vertu de la Loi sur le secteur privé, toute personne qui omet de déclarer un incident qu’elle est tenue de dénoncer, risquera des sanctions administratives pécuniaires pouvant aller jusqu’à 10 000 000 $ (ou un montant correspondant à 2 % du chiffre d'affaires mondial de l'exercice financier précédent, si ce dernier montant est plus élevé). Par ailleurs, les sanctions pénales pour les mêmes gestes se situent entre 15 000 $ et 25 000 000 $ (ou un montant correspondant à 4 % du chiffre d'affaires mondial de l'exercice financier précédent si ce montant est plus élevé).
3 Articles 3.5 à 3.8 de la Loi sur le secteur privé.
4 Pour en savoir plus sur le contenu du registre des incidents et sur les avis de dénonciation des incidents, veuillez consulter le Règlement sur les incidents de confidentialité.
5 Articles 90.1 à 90.17 de la Loi sur le secteur privé, en vigueur le 22 septembre 2023.