Aller à la navigation principale Aller au contenu Aller au pied de page

La Loi 25 et la protection des données personnelles

Condoliaison

Guide de survie de l'administrateur

Le 22 septembre 2022, un an après la sanction du projet de loi no 64, de nouvelles règles d’utilisation et de diffusion des renseignements personnels entrent en vigueur pour les entreprises privées et les organismes publics.

En cette ère de virtualisation, de dématérialisation et de (in) sécurité informatique, les enjeux auxquels elles ré pondent sont réels. « Cette loi s’applique à l’égard des renseignements personnels qu’une entreprise recueille, détient, utilise ou communique à des tiers, et ce, quelle que soit la nature du support et la forme sous laquelle les renseignements personnels sont détenus, à savoir écrite, graphique, sonore, visuelle, informatisée ou autre. Cette loi a pour objectif d’offrir un cadre de protection des rensei gnements personnels détenus par les entreprises », peut-on lire sur le site Internet de la Commission d’accès à l’information du Québec (CAI).

Comme tous les pans de la société québécoise, le monde de la copropriété est aussi assujetti à la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. En raison des services qu’ils rendent, les syndicats de copropriétaires sont considérés comme des entreprises au sens de la loi.

Si vous craignez de vous perdre dans un labyrinthe kafkaïen, vous n’êtes pas seul. Les obligations réglementaires de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels entrées en vigueur en septembre dernier sont complexes – mais jeter un regard posé sur chacune d’entre elles permet d’en comprendre l’essence et le fonctionnement. Condoliaison vous aide à y voir clair.

 

Petites et grandes copropriétés: mêmes enjeux, écueils différents

La sécurité et la confidentialité des renseignements personnels sont aussi importantes dans les petites que dans les grandes copropriétés. Les écueils et les pièges que les administrateurs doivent éviter sont toutefois différents selon la taille de la copropriété.

Dans les petites copropriétés, les risques d’incidents sont très élevés en raison de la faible structuration de la gestion des données et des informations recueillies. « Lorsqu’il y a deux, cinq, dix unités, on constate que les renseignements personnels sont conservés dans l’ordinateur portable personnel d’un des administrateurs, qu’un autre a une pile de documents dans son bureau ou sur le comptoir de sa cuisine, etc. Dans ces petites communautés, le sentiment de responsabilité est moins grand
parce que moins lourd à porter », relate Me Yves Joli-Coeur, avocat émérite et président du conseil d’administration du RGCQ.

À l’inverse, dans les grandes copropriétés, l’ampleur des responsabilités engendre souvent un décalage de connaissances et de compétences. « Les administrateurs des grandes et très grandes copropriétés ont tendance à vouer une confiance presque aveugle à leurs fournisseurs et partenaires d’affaires. Pourtant, la responsabilité légale du respect des obligations du syndicat de copropriété incombe à ce dernier. Pour ce faire, le syndicat doit exiger des assurances contractuelles de confidentialité et de sécurité des données de la part de tous ses fournisseurs, particulièrement ceux qui utilisent des applications, comme les firmes de gestion, les systèmes d’alarme et les systèmes de détection de fuite d’eau avec fermeture de valve automatique, par exemple », poursuit l’avocat-conseil, un des pionniers du droit de la copropriété au Québec.

Lorsqu’une nouvelle réglementation entre en vigueur, il est important que les administrateurs prennent connaissance du fin détail de leurs obligations et des conséquences de ne pas les respecter. En effet, ces conséquences peuvent avoir des incidences sur certains ou l’ensemble des copropriétaires, sur le syndicat  de copropriétaires et sur eux-mêmes. Voici donc  un tour d’horizon de la question.

 

Qu'est-ce qu'un renseignements personnel ?

La première chose à faire est l’inventaire des renseignements personnels détenus par le syndicat de copropriétaires. Mais qu’estce qu’un renseignement personnel?

« Les renseignements personnels sont ceux qui portent sur une personne physique et permettent de l’identifier. Ils sont confidentiels. Sauf exception, ils ne peuvent être communiqués sans le consentement de la personne concernée », stipule le site Internet de la CAI, qui est à la fois un tribunal administratif et un organisme de surveillance qui veille à l’application de la Loi sur l’accès à l’information et de la Loi sur le privé.

Des obligations de respect de la vie privée s’appliquent à toutes les étapes du cycle de vie d’un renseignement personnel, de la collecte à la destruction, et ce, même si aucune communication à des tiers n’est effectuée.

 

Quels renseignements personnels sont recueillis par les syndicats de copropriétaires ?

À titre d’exemple, et de manière non exhaustive, voici quelques-uns des types de renseignements personnels que les syndicats de copropriétaires recueillent, utilisent, communiquent parfois à des tiers (comme les gestionnaires de copropriété, les institutions bancaires, les fournisseurs de services Internet, toutes les sociétés intermédiaires) et conservent :

  • Informations nominatives : nom complet, adresse de résidence principale, adresse de résidence secondaire, coordonnées personnelles complètes (incluant l’adresse courriel);
  • Informations bancaires : spécimen de chèque, prélèvements  automatiques;
  • Informations personnelles : numéro de plaque  d’immatriculation, images captées par les caméras de  surveillance, contact d’urgence, codes d’accès pour serrures  digitales ou système d’alarme, codes d’identification, cartes d’accès, clés, informations sur l’état de santé et les besoins particuliers;
  • Profil du copropriétaire : copies de pièces d’identité, adresses précédentes, numéro de dossier interne, références.

Les renseignements personnels peuvent être recueillis de diverses manières et à différents moments :

  • À l’achat ou à la location de l’unité (acte de vente ou bail);
  • Dans le registre des copropriétaires;
  • Par les formulaires d’abonnement à une infolettre du syndicat ou d’un comité;
  • Lors de la conception ou de la mise à jour des plans d’évacuation d’urgence;
  • Par les caméras de surveillance;
  • Lors des assemblées générales ou rencontres de copropriétaires virtuelles.

À cet effet, la personne qui recueille les informations personnelles est tenue d’aviser la personne qui fait l’objet de cette démarche des moyens de leur collecte, de leur utilité, de leur utilisation et de leur partage (le cas échéant). Elle doit aussi être informée de ses droits d’accès aux informations et de rectification et de son droit de retirer son consentement à l’utilisation ou à la communication des informations recueillies, lorsque cela est possible.

« Un syndicat de copropriété ne peut pas obtenir ou utiliser des renseignements personnels que s’ils sont utiles à la sauvegarde des droits afférents à l’immeuble ou à la copropriété, ou à la conduite des opérations d’intérêt commun. Par exemple : le numéro d’assurance sociale. L’inverse peut équivaloir à un manquement à la bonne foi et engager la responsabilité personnelle des adminis trateurs ou du gestionnaire en vertu du Code civil du Québec », rappelle Me Joli-Coeur, qui est aussi fondateur du site Internet de référence Condolegal où il documente l’aspect légal et juridique de pratiquement tous les sujets touchant à la copropriété depuis plus de vingt ans.

 

Quelles sont les (nouvelles) obligations des syndicats de copropriétaires en vigueur ?

En date du 22 septembre 2022, les syndicats de copropriétaires doivent se conformer à deux nouvelles obligations:

1. Désigner une personne responsable de la protection des renseignements personnels, et diffuser son titre et ses coordonnées (sur le site Internet et de manière visible et accessible sur les lieux de la copropriété) :

  • Cette personne est responsable de la politique de confidentialité et de respect de la vie privée de la copropriété. Elle va agir comme point de contact et point de chute, pour toutes les parties prenantes, et pour toutes les questions qui touchent de près ou de loin à la protection des renseignements personnels recueillis par le syndicat et les tiers avec qui il fait affaire. Elle devrait donc avoir les compétences requises et un pouvoir décisionnel important,
  • Il est recommandé de choisir une personne motivée et disponible pour s’occuper de ce dossier. Il n’est pas nécessaire que cette personne soit membre du conseil d’administration,
  • La personne est désignée par le conseil d’administration, c’est-à-dire nommée ou choisie par résolution du conseil d’administration. La responsabilité légale du conseil d’administration est engagée autant que celle de la personne choisie. Ainsi, il est important que le syndicat appuie la personne responsable de la protection des renseignements personnels avec les ressources nécessaires pour assurer la transition avec succès,
  • Il est recommandé de communiquer cette information aux copropriétaires une fois que la personne responsable aura été désignée;

2. En cas d’incident de confidentialité, tenir un registre de tous les incidents et prendre rapidement des mesures afin de diminuer le risque qu’un préjudice soit causé aux personnes concernées :

  • Informer les personnes concernées en cas d’incident de confidentialité qui pourrait leur causer un préjudice sérieux;
  • Le syndicat de copropriétaires doit aussi aviser la CAI de tout incident présentant un risque sérieux de préjudice. En cas de doute, il est recommandé de communiquer avec un avocat spécialisé en copropriété ou en protection de la vie privée avant de communiquer avec la CAI.

Attention! Si vous utilisez ou prévoyez utiliser une technique biométrique (comme une empreinte digitale, ou la reconnaissance faciale ou vocale), communiquez rapidement avec la CAI pour connaître (et surtout comprendre) vos obligations en matière de sécurité et de protection des renseignements personnels.

 

Et les prestataires de services externes?

La responsabilité du syndicat de faire respecter ses obligations l’appelle à exiger de demander que ses fournisseurs et les tiers avec qui il fait affaire, incluant les gestionnaires et les fournisseurs de services Internet et de téléphonie, soient dotés de politiques de confidentialité et de respect de la vie privée également conformes aux exigences de la loi 25.

Pour guider les syndicats, Me Joli-Coeur expose les exigences contractuelles : « Le contrat avec le prestataire de services doit prévoir, au minimum, ce qui suit : (i) les mesures qu’il doit prendre pour assurer la protection du caractère confidentiel des renseignements personnels communiqués; (ii) le prestataire ne peut utiliser les renseignements que dans l’exercice de son mandat; (iii) le prestataire ne peut pas conserver les données après l’expiration du contrat; (iv) le prestataire doit aviser sans délai le responsable de la protection des renseignements personnels du syndicat de toute violation ou tentative de violation, par toute personne, des obligations relatives a la confidentialité ̀des renseignements communiqués; (v) le syndicat peut effectuer toute vérification relative a cette confidentialité. »

En somme, comme l’explique l’avocat émérite Me Yves Joli-Coeur, les syndicats de copropriétaires ont une obligation d’action
et de moyens : « Le syndicat doit pouvoir démontrer qu’il a fait ses devoirs et qu’il fait tout en son possible pour protéger la vie privée et la confidentialité des renseignements personnels qu’il détient ou que des tiers recueillent et utilisent en son nom. Le syndicat ne peut toutefois pas être tenu responsable des incidents de confidentialité qui surviendraient du côté de ces tiers. »

 

Prochains jalons de mise en application

D’autres règles entreront aussi en vigueur dans les prochaines années pour une mise en application progressive jusqu’en 2024. Le prochain jalon sera le plus important : le 22 septembre 2023, la majorité des dispositions entreront alors en vigueur.

Selon la documentation du gouvernement, voici certaines des obligations des syndicats de copropriétaires au 22 septembre 2023 :

  • Disposer d’un cadre de gouvernance en matière de protection des renseignements personnels;
  • Détruire ou rendre anonymes les renseignements personnels dont la vie utile est terminée;
  • Évaluer les risques en matière de vie privée lors de certaines utilisations et communications de renseignements personnels;
  • Obtenir, au préalable, le consentement de la personne pour utiliser ses renseignements personnels à des fins de prospection commerciale.

Enfin, les obligations des syndicats de copropriétaires au 22 septembre 2023 :

  • Communiquer, à la demande de la personne concernée, ses renseignements personnels qu’elle a fournis à une entreprise. Cela inclut aussi les catégories de personnes qui ont accès à ces renseignements (au sein du syndicat et à l’extérieur de celui-ci), ainsi que l’utilité et la durée de conservation de ces renseignements.

 

Les grandes lignes d'une politique de respect de la vie privée

Si ce n’est pas déjà fait, la première chose à faire est de désigner la personne responsable de la protection des renseignements personnels et d’annoncer cette nomination.

Ensuite, de concert avec cette personne, le conseil d’administration et le gestionnaire de copropriété, s’il y a lieu, pourraient d’ores et déjà commencer à établir des listes de vérification des renseignements personnels recueillis, détenus et utilisés par le syndicat de copropriétaires :

  1. D’abord, dresser la liste des moyens de collecte des renseignements personnels permettra de préciser quels renseignements personnels sont recueillis à quelles occasions et de quelles manières par le syndicat de copropriétaires;
  2. À partir de cette liste, préparer une banque d’information des renseignements personnels : utilité, utilisation, communication, durée de vie utile ou moment de fin de vie utile, méthode de destruction. « Par exemple, les données finan cières d’un ex-copropriétaire doivent être détruites après la vente de sa fraction de copropriété », précise Me Yves Joli-Coeur;
  3. Établir quels renseignements sont conservés où et comment, de manière à y avoir accès aisément et à en vérifier régulièrement la sécurité et l’intégrité

« Les syndicats de copropriété gèrent des informations personnelles et sensibles au quotidien. On doit tout faire pour protéger leur confidentialité, et ce, bien avant l’arrivée de la loi 25. Non seulement c’est dans le Code civil du Québec, mais c’est aussi une responsabilité morale fondamentale et une marque de respect. Les prochaines étapes vont arriver vite et s’y préparer dès maintenant est la meilleure chose à faire », conclut Me Joli-Coeur.

Condoliaison 23-4 Hiver 2023