Protection des renseignements personnels en copropriété divise

Cohabiter avec d’autres personnes dans un immeuble en copropriété divise implique le droit au respect de la vie privée. Ce droit est garanti par l'article 3 du Code civil du Québec et la Charte des droits et libertés de la personne. Sa dimension informationnelle est juridiquement protégée par la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP). Avec la sanction du Projet de loi n° 64, le 22 septembre 2022, de nouvelles règles d’utilisation et de diffusion des renseignements personnels assujettissent déjà le monde de la copropriété. À noter que d’autres règles entrent aussi en vigueur, le 22 septembre 2023 et le 22 septembre 2024. 

Objet de la loi

Ces nouvelles règles complètent celles énoncées dans le Code civil en matière de protection des renseignements personnels, en accordant un droit d’accès des personnes physiques aux renseignements personnels qui les concernent et en responsabilisant les acteurs traitant ces données. La LPRPSP  a ainsi pour objet d’établir, pour l’exercice des droits conférés par les articles 35 à 40 du Code civil du Québec, des règles particulières à l’égard des renseignements personnels sur autrui qu’une personne recueille, détient, utilise ou communique à des tiers, à l’occasion de l’exploitation d’une entreprise au sens de l’article 1525 du Code civil du QuébecElles s’appliquent à toutes personnes exploitant une entreprise détenant et traitant des données à caractère personnel. Cela inclut les syndicats de copropriétaires, qui doivent être considérés comme une entreprise, en ce qu'ils assurent, notamment, des prestations de services et administrent les parties communes. Les représentants de ces entreprises (ce qui inclut les administrateurs et gestionnaires de syndicats de copropriétaires) doivent donc connaître ces règles et les respecter.

Obtention et traitement des renseignements personnels

Tout syndicat de copropriétaires doit constituer un registre comportant notamment une liste à jour de tous les copropriétaires. À cet égard, le premier alinéa de l’article 1070 du Code civil du Québec énonce ce qui suit :

« Parmi les registres de la copropriété, le syndicat tient à la disposition des copropriétaires un registre contenant le nom et l’adresse postale de chaque copropriétaire; ce registre peut aussi contenir d’autres renseignements personnels concernant un copropriétaire ou un autre occupant de l’immeuble, si celui-ci y consent expressément (...) »  

Les administrateurs et gestionnaires ont de ce fait accès aux renseignements personnels des copropriétaires et autres occupants de l’immeuble. Il en est ainsi, notamment pour les données comptables et financières des copropriétaires (p. ex :  numéro de compte en banque et de folio), le numéro de la plaque d'immatriculation du véhicule d'un locataire et les images recueillies par caméras de surveillance. Ces informations ne peuvent être communiquées à des tiers. À cet égard, l'article 1068.2 du Code civil du Québec rappelle que les documents ou renseignements concernant l’immeuble et le syndicat devant être communiqués par le syndicat à un promettant acheteur, ne doivent pas avoir pour conséquence d'affecter la vie privée de qui que ce soit. Cette règle de confidentialité se dégage aussi des principes de protection de la vie privée reconnus à l’article 5 de la Charte des droits et libertés de la personne et aux articles 35 et 36 du Code du civil du Québec. De plus, l’article 37 du Code civil du Québec, qui traite de la confidentialité des renseignements personnels, prévoit ce qui suit :

« Toute personne qui constitue un dossier sur une autre personne doit avoir un intérêt sérieux et légitime à le faire. Elle ne peut recueillir que les renseignements pertinents à l’objet déclaré du dossier et elle ne peut, sans le consentement de l’intéressé ou l’autorisation de la loi, les communiquer à des tiers ou les utiliser à des fins incompatibles avec celles de sa constitution; elle ne peut non plus, dans la constitution ou l’utilisation du dossier, porter autrement atteinte à la vie privée de l’intéressé ni à sa réputation. »

La règle de confidentialité cherche à limiter l’atteinte à la vie privée. Elle interdit ainsi l’obtention ou l’usage par un syndicat de copropriétaires de renseignements personnels (p. ex. : le numéro d’assurance sociale d’un copropriétaire) pour d’autres fins que la sauvegarde des droits afférents à l’immeuble ou à la copropriété, ainsi que toutes les opérations d’intérêt commun. De plus, l’usage d’informations et de documents obtenus par le syndicat à des fins étrangères à celles de la copropriété peut équivaloir à un manquement à la bonne foi codifiée aux articles 6 et 7 du Code civil du Québec et engager la responsabilité personnelle des administrateurs ou du gestionnaire.

Politiques de confidentialité et site internet

Les syndicats de copropriétaires sont responsables des renseignements personnels qu’ils traitent dans le cadre de leurs activités et opérations, et ce, même lorsque ces renseignements sont gérés ou conservés par un tiers (par exemple, un gestionnaire de copropriété).

Ainsi, depuis 22 septembre 2023, ils doivent adopter des règles sur le sujet et un protocole de communication des renseignements personnels. Les politiques à être mises en place doivent notamment prévoir l’encadrement applicable à la conservation et à la destruction des renseignements, prévoir les rôles et les responsabilités des membres de son personnel (s'il en est) tout au long du cycle de vie de ces renseignements, ainsi qu'un processus de traitement des plaintes. De telles politiques doivent également être créées pour les membres du conseil d’administration et le cas échéant, pour le gestionnaire.

La personne « ayant la plus haute autorité » au sein d’une entreprise doit veiller à assurer le respect et la mise en œuvre de la LPRPSP, à moins qu’elle n’ait délégué cette fonction. C'est ainsi que, depuis le 22 septembre 2022, les syndicats de copropriétaires doivent désigner, par résolution du conseil d'administration, une personne responsable de la protection des renseignements personnels (personne responsable) et publier le titre et les coordonnées du responsable sur le site internet de la copropriété. Dans la mesure où la copropriété n’a pas de tel site, les coordonnées doivent être rendues accessibles par tout autre moyen approprié. Il importe que la personne responsable ainsi désignée par le conseil d'administration connaisse son rôle et ses responsabilités, et la résolution devrait les décrire. 

Incident de confidentialité

Depuis le 22 septembre 2022, en cas d’incident de confidentialité impliquant un renseignement personnel, la personne responsable doit prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé aux personnes concernées, ainsi qu’éviter que de nouveaux incidents de même nature ne se produisent. Rappelons que la notion d’incident de confidentialité est définie par l'article 3.6 de la LPRPSP comme étant l’accès, l’utilisation, la communication non autorisée d’un renseignement personnel, ou sa perte. Par exemple, la transmission par erreur des informations bancaires d’un copropriétaire à un autre copropriétaire constituerait un incident de confidentialité.  

Après en avoir évalué les conséquences, la personne responsable devra aviser la Commission d’accès à l’information du Québec, de même que la personne concernée, si l’incident présente un risque de préjudice sérieux. Cette évaluation doit tenir compte de la sensibilité des renseignements, des conséquences appréhendées de leur utilisation et de la probabilité qu’ils soient utilisés à des fins préjudiciables. Il pourrait en être ainsi, par exemple, advenant que les renseignements compromis soient susceptibles d’être utilisés pour commettre une fraude ou un vol d’identité. À cet égard, le syndicat de copropriétaires doit tenir un registre des incidents et conserver certains renseignements sur l’incident pendant une période de 5 ans. D’ailleurs, une copie de ce registre doit être transmise à la Commission à sa demande. Celle-ci dispose de plusieurs pouvoirs d’ordonnance en lien avec les incidents de confidentialité. Elle peut notamment ordonner à toute personne d’appliquer les mesures jugées pertinentes afin de protéger les droits des personnes concernées.

Communication de renseignements personnels à un prestataire de services

À partir du 22 septembre 2023, les syndicats de copropriétaires qui confient à un tiers un mandat impliquant le traitement de renseignements personnels devront le faire par écrit. Par exemple, un syndicat de copropriétaires qui transmet des renseignements personnels des copropriétaires à un gestionnaire de copropriété sera assujetti à cette obligation. Il en est de même si le syndicat utilise les services d’un prestataire de services informatiques afin d’héberger une base de données comprenant les renseignements sur les copropriétaires.

Le contrat avec le prestataire de services doit prévoir, au minimum, ce qui suit: (i) les mesures qu’il doit prendre pour assurer la protection du caractère confidentiel des renseignements personnels communiqués, (ii) le prestataire ne peut utiliser les renseignements que dans l’exercice de son mandat, (iiI) le prestataire ne peut pas conserver les données après l’expiration du contrat, (iv) le prestataire doit aviser sans délai le responsable de la protection des renseignements personnels  du syndicat de toute violation ou tentative de violation, par toute personne, des obligations relatives à la confidentialité́ des renseignements communiqués, (v) le syndicat peut effectuer toute vérification relative à cette confidentialité́.

Destruction des données

Les syndicats de copropriétaires ont l'obligation de détruire les renseignements personnels, lorsque les fins pour lesquelles ils ont été recueillis ou utilisés sont accomplies, sous réserve des délais de conservation prévus par une loi. Ainsi, les données financières d'un ex-copropriétaire doivent être détruites après la vente de sa fraction de copropriété.

Sanctions

La LPRPSP prévoit des sanctions administratives pécuniaires (qui peuvent être imposées par la Commission) et des dispositions pénales applicables en cas de contravention à la loi, notamment des amendes. Il en est ainsi, notamment, lorsqu’il y a omission de déclarer un incident de confidentialité à la Commission ou aux personnes concernées, alors qu'il aurait été requis de le faire. Pour les personnes morales (comme les syndicats de copropriétaires), les sanctions administratives pénales maximales sont de 10 000 000$ et les amendes pénales maximales sont de 25 000 000$ . 

 

BON À SAVOIR ! Les politiques et pratiques encadrant sa gouvernance à l’égard des renseignements personnels doivent être proportionnées à la nature et à l’importance des activités du syndicat des copropriétaires et être approuvées par le responsable de la protection des renseignements personnels.

https://www.condolegal.com/images/Boutons_encadres/A_retenir.pngÀ RETENIR : La personne qui recueille pour le syndicat de copropriétaires des renseignements personnels auprès d’un copropriétaire, occupant ou locataire doit, lors de la collecte et par la suite sur demande, l’informer des fins auxquelles ces renseignements sont recueillis, des moyens par lesquels les renseignements sont recueillis, des droits d’accès et de rectification prévus par la loi, de son droit de retirer son consentement à la communication ou à l’utilisation des renseignements recueillis.

ATTENTION !​ La LPRPSP octroie des droits à une personne concernée par un renseignement personnel, dont celui d’exiger que cesse la diffusion d’un tel renseignement ou que soit désindexé ou réindexé un hyperlien rattaché à son nom permettant d’accéder à ce renseignement par un moyen technologique. Ce droit est usuellement appelé « droit à la portabilité ».

VÉRIFIEZ VOS CONNAISSANCES !​ Cliquez ici pour vérifier votre compréhension de ce sujet.

ÉCOUTEZ : Webradio: la protection des renseignements personnels en copropriété divise

 

Retour aux fiches pratiques