Des actions à prendre pour les criminologues en pratique privée en lien avec la Loi 25

Protection des renseignements personnels

La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25,) qui est entrée graduellement en vigueur depuis septembre 2022 impose aux organismes et entreprises du Québec de nouvelles responsabilités et obligations en matière de protection des renseignements personnels.

Les criminologues en pratique privée doivent se conformer à de nouvelles exigences pour la gestion des renseignements personnels qu’ils obtiennent. Au Québec, toute personne qui exploite une entreprise est responsable de la protection des renseignements personnels qu’elle détient. Au sein de l’entreprise, c’est la personne ayant la plus haute autorité qui veille à assurer le respect et la mise en œuvre de la loi.

Pour les criminologues exerçant dans le secteur public, au ministère de la Sécurité publique ou pour ceux qui ont un employeur, les changements organisationnels ont été gérés par les instances administratives, mais il demeure important de prendre connaissance des nouveautés apportées par la Loi 25 pour savoir comment s’y conformer. L’Ordre profite aussi de l’occasion pour rappeler aux criminologues leurs obligations en matière de consentement et de protection des renseignements personnels.

Tout d’abord, qu’est-ce qu’un renseignement personnel selon cette Loi?

Les renseignements personnels sont ceux qui portent sur une personne physique et permettent de l’identifier. Évidemment, les professionnels membres d’un ordre doivent, en plus de protéger les renseignements personnels de toute personne, assurer la protection du secret professionnel, c’est-à-dire le secret de tout renseignement de nature confidentielle qui vient à leur connaissance dans l’exercice de leur profession. Nous y reviendrons plus loin.

Nouvelles obligations pour les entreprises

Qu’est-ce qu’une entreprise?

La Loi 25 touche toute organisation, privée ou publique, qu’elle compte des centaines ou des milliers d’employés ou un seul, lorsqu’il s’agit d’une entreprise individuelle (travailleur autonome). Cela concerne donc les organismes communautaires, les OBNL, les cliniques privées qui offrent des services multidisciplinaires de santé et de services sociaux, les ministères et tout organisme public de santé et de services sociaux.

Le criminologue en pratique privée, par la nature de son travail, assure la gestion d’une entreprise dite individuelle. Cela implique qu’il doit prendre en charge plusieurs tâches accessoires à ses services-conseils en criminologie, par exemple la comptabilité, la location d’un bureau, l’archivage de ses dossiers, le choix de logiciels ou d’une plateforme informatique, ainsi que le marketing. Le criminologue qui a choisi de travailler de façon autonome doit, depuis 2022, assumer la mise en œuvre des nouvelles dispositions de la Loi 25. Il est important pour lui de bien se renseigner pour la mise en place de toutes les mesures; celles déjà en place et celles à venir en septembre 2024.

Voici ces nouvelles obligations, que nous reproduisons très sommairement ici :

• désigner une personne responsable de la protection des renseignements personnels et publier son titre et ses coordonnées sur le site Internet de l’entreprise ou par tout autre moyen approprié;
• en cas d’incident de confidentialité impliquant un renseignement personnel :
• prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé aux personnes concernées et éviter que de nouveaux incidents de même nature ne se produisent;
• aviser la Commission d’accès à l’information et la personne concernée si l’incident présente un risque de préjudice sérieux;
• tenir un registre des incidents dont une copie devra être transmise à la Commission à sa demande;
• respecter le nouvel encadrement de la communication de renseignements personnels sans le consentement de la personne concernée, à des fins d’étude, de recherche ou de production de statistiques et dans le cadre d’une transaction commerciale;
• procéder à une évaluation des facteurs relatifs à la vie privée (ÉFVP) avant de communiquer des renseignements personnels sans le consentement des personnes concernées, à des fins d’étude, de recherche ou de production de statistiques;
• divulguer préalablement à la Commission d’accès à l’information la vérification ou la confirmation d’identité faite au moyen de caractéristiques ou de mesures biométriques (p. ex. utilisation d’empreintes digitales, de rétine ou d’iris de l’œil pour confirmer l’identité d’une personne);
• établir des règles de gouvernance interne afin d’assurer la protection des renseignements personnels détenus et publier sur son site Internet une politique de confidentialité (en des termes simples et clairs);
• détruire les renseignements personnels lorsque le résultat visé par leur collecte est atteint, sinon les anonymiser;
• à compter du 22 septembre 2024, répondre aux demandes de portabilité des renseignements personnels. Le droit à la portabilité permet à toute personne d’obtenir la communication, dans un format technologique structuré et couramment utilisé, des renseignements personnels informatisés qu’elle a fournis à un organisme ou à une entreprise, par exemple lors d’une prestation électronique de services.

Il faut savoir que le non-respect de ces obligations peut mener à des amendes. Pour plus d’informations concernant ces nouvelles obligations à mettre en place, le criminologue en pratique privée peut consulter le site Internet évolutif de la Commission d’accès à l’information https://www.cai.gouv.qc.ca/espace-evolutif-modernisation-lois/ ou s’inscrire à la formation organisée par le Conseil interprofessionnel du Québec pour les membres d’ordres professionnels qui exercent en pratique privée : https://ciq-formation.miiro.ca/ciq/248-loi-25-les-membres-des-ordres-professionnels.

Consentement libre, manifeste et éclairé

Selon la Loi 25, toute entreprise ou tout organisme public doit obtenir le consentement valide des personnes pour recueillir, utiliser ou communiquer leurs renseignements personnels.

Évidemment, pour les criminologues, plusieurs dispositions auront peu d’impact sur les pratiques actuelles, puisque la profession est déjà encadrée par des règles qui protègent les renseignements personnels de leurs clients, que ce soit au moment de la collecte, de la détention, de la transmission à des tiers et même lors de la fermeture d’un dossier (règles de conservation et de destruction).

En effet, avant d’entreprendre toute prestation de services professionnels, le criminologue doit obtenir le consentement libre et éclairé de chacun de ses clients. Pour ce faire, il doit notamment informer son client et s’assurer de sa compréhension des éléments suivants :

1° le but, la nature, la pertinence des services professionnels, ainsi que leurs principales modalités de réalisation, leurs avantages et leurs inconvénients;

2° les solutions de rechange ainsi que les limites et les contraintes propres à la prestation de services professionnels;

3° l’utilisation des renseignements recueillis, eu égard au contexte de la prestation de services;

4° les implications d’un partage de renseignements avec des tiers ou la transmission d’un rapport à des tiers;

5° le montant des honoraires, la perception d’intérêts sur les comptes et les modalités de paiement, s’il y a lieu.

La communication de ces renseignements doit évidemment être adaptée au contexte dans lequel les services professionnels sont rendus.

À ces règles s’ajoute spécifiquement l’obligation d’obtenir le consentement manifeste, libre et éclairé à la collecte et au traitement des renseignements personnels que le criminologue obtient, ainsi qu’aux fins pour lesquelles ils ont été recueillis, et ce, en des termes simples et clairs. Il faut donc s’assurer d’avoir des formulaires de consentement qui sont rédigés de façon compréhensible et précise. Le client devrait, en outre, connaître la raison pour laquelle des renseignements personnels lui sont demandés.

Il est important de rappeler qu’un criminologue ne peut utiliser un renseignement personnel que pour les fins pour lesquelles il a été récolté et pour lesquelles un consentement a été obtenu.

• Critères de nécessité

Avant même d’obtenir un consentement valide, le criminologue, peu importe son lieu d’exercice (au sein d’un organisme public, d’une entreprise ou comme travailleur autonome) doit s’inspirer du critère de nécessité imposé par la Loi 25.

Avant de collecter, utiliser ou communiquer un renseignement personnel, le criminologue doit évaluer la nécessité et l’objectif de cette collecte ou le lien avec la prestation de ses services (son « mandat »). Même si ce n’est pas aussi explicitement précisé au Code de déontologie, le criminologue doit toujours s’interroger sur le bien-fondé d’une collecte de renseignements à caractère confidentiel, ainsi que de l’utilisation et de la transmission de ces renseignements.

• Validité du consentement

En plus des principes et des règles déjà imposés aux professionnels concernant le consentement libre et éclairé, la Loi 25 a ajouté, spécifiquement pour les organismes publics et les entreprises, des critères pour s’assurer que le consentement d’une personne soit valide. Le consentement d’une personne doit être :

• manifeste : évident et donné d’une façon qui démontre la volonté réelle de la personne concernée;
• libre : impliquant un réel choix et donné sans contraintes ou pression indue;
• éclairé : précis, donné en toute connaissance de cause et avec toutes les informations nécessaires pour comprendre sa portée;
• spécifique : donné pour un objectif précis et clairement circonscrit;
• temporaire : valide seulement pour la durée nécessaire à l’atteinte des fins auxquelles il a été demandé.

Il faut aussi savoir que de nouvelles règles s’appliquent pour les entreprises et les organismes publics quant au consentement des jeunes; les criminologues devront conséquemment les intégrer à leur pratique :

• si le mineur a moins de 14 ans, le consentement à l’utilisation ou à la communication de ses renseignements personnels doit être donné par le parent ou le titulaire de l’autorité parentale;
• si le mineur a 14 ans ou plus, le consentement peut être donné par le mineur lui-même, par le parent ou le titulaire de l’autorité parentale;

*Il faut noter que si cette collecte est manifestement au bénéfice du mineur, les organismes et les entreprises peuvent alors procéder à celle-ci sans consentement parental.

Processus de deuil

On trouve une autre nouveauté apportée par la Loi 25 : un organisme, une entreprise ou un professionnel peut maintenant communiquer les renseignements personnels (contenus au dossier professionnel) d’une personne décédée à son conjoint ou à un proche parent lorsque la connaissance de ce renseignement est susceptible d’aider cette personne dans son processus de deuil, si la personne décédée n’a pas consigné par écrit de refus d’accorder ce droit d’accès.

Le criminologue et la protection des renseignements de nature confidentielle

Bien que la Loi 25 précise et encadre mieux l’utilisation des renseignements personnels par les entreprises et les organismes québécois, elle ne modifie pas les obligations déontologiques des professionnels et leur devoir de protéger les renseignements de nature confidentielle qui viennent à leur connaissance dans l’exercice de leur profession.

Même si la présente communication ne porte pas sur les obligations du criminologue au respect du secret professionnel, il faut retenir que ce dernier doit, notamment et de façon non limitative, se conformer aux obligations suivantes :

– respecter le secret professionnel, à moins de disposer du consentement du client ou d’une exception (si la loi permet la communication ou si le tribunal relève le criminologue de son obligation);

– ne pas révéler qu’une personne a fait appel à ses services;

– s’assurer que son client est clairement informé des utilisations qui peuvent être faites des renseignements de nature confidentielle qu’il révèle;

– obtenir l’autorisation explicite de son client avant de transmettre un rapport à un tiers (après lui avoir exposé les renseignements qu’il contient);

– s’assurer que l’identité de son client est protégée lorsqu’il a recours aux technologies de l’information pour la prestation de services professionnels;

– assurer la protection et la confidentialité des renseignements personnels de ses clients lorsqu’il utilise les différents réseaux sociaux;

– respecter le droit de son client de prendre connaissance des documents qui le concernent dans tout dossier constitué à son sujet et d’obtenir copie de ces documents. Le criminologue peut toutefois refuser l’accès à des renseignements qui y sont contenus lorsque la loi l’y autorise;

– noter au dossier professionnel :

• le consentement du client ou de son représentant légal concernant la prestation de services professionnels, dont son droit de refus et son droit au retrait du consentement, ainsi que leurs conséquences, le cas échéant;
• les motifs de sa décision de communiquer un renseignement protégé par le secret professionnel (exception au secret professionnel), ainsi que la date et l’objet de la communication, le mode de communication utilisé et la personne à qui la communication a été faite;
• lorsque le client consent à la communication d’un renseignement protégé par le secret professionnel, le consentement écrit et daté du client autorisant cette communication à des tiers, y compris la durée d’un tel consentement;

– s’assurer de restreindre l’accès au dossier professionnel aux seules personnes autorisées;

– conserver le dossier pendant au moins cinq ans et le détruire ensuite de façon sécuritaire.

Conservation et destruction des renseignements personnels

La Loi 25 encadre également la conservation, la destruction et l’anonymisation des données personnelles détenues par les entreprises et les organismes publics au Québec.

Le Règlement sur les dossiers, les bureaux et la cessation d’exercice des criminologues prévoit par ailleurs que le criminologue doit conserver chaque dossier pendant au moins cinq ans après la date du dernier service professionnel rendu. À l’expiration de ce délai, il peut procéder à sa destruction en s’assurant de préserver la confidentialité des renseignements qui y sont contenus.

La Loi 25 prévoit qu’il est possible pour une entreprise ou un organisme public de conserver des renseignements pour des fins sérieuses et légitimes en les anonymisant. Un renseignement ou un document est « anonymisé » lorsqu’il n’est plus possible d’identifier directement ou indirectement la personne concernée, et ce, de façon irréversible. Il ne pourrait donc être possible d’identifier de nouveau la personne concernée, directement ou indirectement.

L’organisme doit détruire les renseignements personnels autres que ceux collectés et conservés dans les dossiers professionnels (dossiers clients) ou les anonymiser de façon sécuritaire après l’atteinte de la finalité pour laquelle ils ont été recueillis. Il pourrait s’agir par exemple du dossier d’un employé ou d’un consultant externe.