Cet article fait partie de notre série de blogues sur le projet de loi 64, qui vise à donner aux lecteurs une vue d’ensemble du projet de loi et des changements importants apportés à la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (la « Loi sur le secteur privé »). Pour consulter les autres billets de blogue de la série, veuillez visiter cette page.

Introduction

La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (le « projet de loi 64 » ou le « projet de loi » a reçu la sanction royale le 22 septembre 2021 et apportera des changements importants à la Loi sur la protection des renseignements personnels dans le secteur privé (la « Loi sur le secteur privé ») au Québec. Précédemment, nous avons discuté des changements qui auront le plus grand impact sur les entreprises opérant au Québec. Dans le cadre d’une nouvelle série de blogues concernant la façon dont les entreprises peuvent se préparer à l’introduction de ces nouvelles obligations, ce blogue traite des exigences relatives au transfert transfrontalier de renseignements personnels qui entreront en vigueur le 22 septembre 2023.

Suivant l’exemple du Règlement général sur la protection des données (« RGPD ») européen, le projet de loi 64 introduit de nouvelles exigences opérationnelles que les entreprises doivent respecter avant de communiquer des renseignements personnels à l’extérieur du Québec. Ces nouvelles exigences incluent :

• La réalisation d’une évaluation des facteurs relatifs à la vie privée (une « ÉFVP ») ;
• L’évaluation du caractère « adéquat » de la protection qui sera accordée aux renseignements communiqués dans la juridiction de destination ; et
• La conclusion d’ententes écrites qui tiennent compte des résultats des ÉFVP et qui, le cas échéant, comprennent des conditions visant à atténuer les risques identifiés.

Changements apportés au régime

Avant l’introduction du projet de loi 64, l’article 17 de la Loi sur le secteur privé comprenait des exigences pour les entreprises effectuant des transferts de renseignements personnels transfrontaliers ou les confiant à un tiers, hors du Québec. Les exigences contractuelles de base de la Loi sur le secteur privé ont été renforcées par les précisions apportées par la Commission d’accès à l’information (la « CAI ») dans le contexte des transferts à des tiers à des fins de traitement des renseignements personnels.[1] Les transferts doivent être encadrés par un contrat écrit qui comprend : (1) la portée du mandat ; (2) les fins pour lesquelles le tiers utiliserait les renseignements ; (3) les catégories de personnes qui y auraient accès ; et (4) l’obligation de maintenir la confidentialité de ces renseignements personnels.

De plus, les entreprises devaient prendre toutes les mesures raisonnables, avant ce transfert, pour s’assurer que : 1) les renseignements ne soient pas utilisés à des fins autres que celles convenues, ou communiquées à des tiers sans consentement préalable; et 2) dans le cas de listes nominatives, les personnes aient la possibilité de s’opposer à ce que leurs renseignements personnels soient utilisés à des fins commerciales ou philanthropiques.

Le projet de loi 64 révise les exigences existantes pour les transferts transfrontaliers de renseignements personnels hors Québec. En plus des exigences contractuelles de base, les entreprises devront désormais divulguer la possibilité que les renseignements personnels recueillis soient communiqués à l’extérieur du Québec au moment de la collecte des renseignements et sur demande.[2]

Les entreprises sont maintenant également chargées d’effectuer des ÉFVP avant la communication de renseignements personnels à l’extérieur du Québec. Ces ÉFVP doivent notamment tenir compte de ce qui suit :

(1) la sensibilité des renseignements ;

(2) les fins auxquelles les renseignements seront utilisés ;

(3) les mesures de protection, y compris les mesures contractuelles, qui s’appliqueraient à la communication ; et

(4) le régime juridique applicable dans l’État dans lequel les informations seraient communiquées, y compris les principes de protection des données applicables dans cet état.[3]

La Commission d’accès à l’information (la « CAI ») a publié quelques conseils sur ce que pourrait être le contenu d’une ÉFVP dans le contexte de l’établissement de nouveaux projets impliquant des renseignements personnels, qui peuvent se rapprocher de ceux attendus pour les ÉFVP de transfert transfrontalier des renseignements personnels. Ces facteurs incluent :

• Les objectifs du transfert et les procédures internes impliquées;
• Les parties impliquées, qu’elles soient internes ou tierces, ainsi que leurs rôles et leurs responsabilités;
• Une description générale de la localisation des renseignements personnels pendant ce transfert;
• Les risques liés au transfert des informations personnelles; et
• Un examen périodique des facteurs de risque, par exemple un audit.

Ce n’est que si une ÉFVP établit que les renseignements bénéficieront d’une « protection adéquate, notamment au regard des principes généralement reconnus de protection des renseignements personnels » que l’entreprise pourra communiquer les renseignements personnels à l’extérieur de la province.[4] Il convient de noter que ces exigences sont distinctes et s’ajoutent aux exigences de consentement ou aux autres obligations relatives à la divulgation de renseignements personnels à des tiers.

Enfin, si l’ÉFVP produit des résultats positifs, les entreprises doivent conclure un accord écrit qui tient compte des résultats de l’évaluation et qui comprend des conditions visant à atténuer les risques identifiés par cette évaluation[5] (un sujet que nous aborderons plus en détail dans un prochain article).

Comparaison avec les régimes existants

Les entreprises qui se conforment déjà aux exigences relatives aux transferts transfrontaliers de données spécifiées dans la LPRPDE et le GDPR, identifieront des différences notables avec le régime du projet de loi 64 qui pourraient avoir un impact sur leurs processus de transferts transfrontaliers de données actuels.

Les exigences actuelles de la LPRPDE en matière de transfert transfrontalier de données découlent du principe de responsabilité.[6] Les entreprises sont responsables des renseignements personnels en leur possession, et la LPRPDE exige la mise en œuvre de dispositions contractuelles pour accorder un « degré comparable de protection » à la LPRPDE aux renseignements traités à travers les frontières.[7] Ces exigences s’étendent aux fournisseurs de services tiers situés à l’étranger qui traitent des renseignements personnels. Bien que le régime de protection des renseignements personnels de la juridiction destinataire soit pertinent pour évaluer si les renseignements personnels bénéficient d’un « degré comparable de protection » à ceux protégés par la LPRPDE, les mesures contractuelles et les mesures de vérifications régulières sont également prises en compte dans l’évaluation.[8] En outre, la LPRPDE n’exige pas d’évaluation des facteurs relatifs à la protection de la vie privée dans le cadre des transferts transfrontaliers de données.

Les exigences du RGPD en matière de transferts transfrontaliers de renseignements personnels sont plus similaires à l’approche du projet de loi 64 et, comme mentionné ci-dessus, ont servi de source d’inspiration au législateur québécois. Le RGPD établit un certain nombre de mécanismes par lesquels les renseignements personnels peuvent être transférés à un pays tiers en dehors de l’Union européenne, notamment par l’utilisation de clauses contractuelles types ou de règles d’entreprise contraignantes ou avec le consentement explicite de la personne. Le RGPD autorise également les transferts de renseignements personnels vers des juridictions qui, selon la Commission européenne, « assurent un niveau de protection adéquat ».[9] Le RGPD attribue à la Commission européenne la tâche d’évaluer l’état du droit dans les juridictions du monde entier et de prendre ces « décisions d’adéquation ».

Les obligations de transfert transfrontalier du projet de loi 64 se situent entre les mesures de la LPRPDE et du RGPD. À l’origine, le projet de loi 64 ressemblait davantage au modèle du RGPD et prévoyait que le ministre responsable des institutions démocratiques, de la réforme électorale et de l’accès à l’information était tenu de publier une liste de juridictions jugées adéquates par rapport au régime de protection de la vie privée du Québec, qui était le seul point de référence utilisé. Les représentants de l’industrie ont soutenu que cela compliquerait la circulation interprovinciale des données, ce qui a entrainé l’adoption d’une norme plus proche de celle de la LPRPDE en exigeant que les entreprises évaluent l’adéquation par rapport aux « principes de protection des renseignements personnels généralement reconnus ».[10] Parallèlement, le législateur a supprimé la disposition qui énonçait la responsabilité du ministre de publier une liste des juridictions jugées adéquates. Par conséquent, contrairement au RGPD, la charge de déterminer si une juridiction est adéquate repose uniquement sur les épaules de l’organisation qui effectue le transfert transfrontalier de données.

Remarques et questions en suspens

Il y a un certain nombre de questions en suspens qui pourraient préoccuper les entreprises en ce qui concerne les exigences du projet de loi 64 pour les transferts transfrontaliers de données.

La première, et sans doute la plus conséquente pour les entreprises canadiennes, est que la disposition ne fait aucune distinction entre les transferts internationaux et interprovinciaux de renseignements personnels. Bien que le texte de loi n’énonce pas explicitement ce principe, les positions prises par les membres de l’Assemblée nationale lors de l’introduction du projet de loi 64 et la disposition lue dans son ensemble indiquent que l’intention est que la disposition s’applique à toutes les juridictions en dehors du Québec, donc aux autres provinces canadiennes, et pas seulement aux transferts internationaux de renseignements personnels.

Deuxièmement, le projet de loi 64 impose une obligation lourde pour les ÉFPV lorsque les données sont transférées à l’extérieur de nos frontières. Le projet de loi 64 n’est pas explicite quant à la fréquence à laquelle les entreprises doivent effectuer des ÉFVP, puisqu’il stipule simplement qu’une ÉFVP doit être effectuée avant de communiquer des renseignements personnels à l’extérieur du Québec. Pour les entreprises qui effectuent régulièrement des transferts de données vers les États-Unis, par exemple, le projet de loi ne précise pas si ces évaluations doivent avoir lieu avant chaque transfert individuel de données, ou si une seule ÉFVP, couvrant tous les transferts de données de l’entreprise vers les États-Unis, est suffisante.

La loi ne précise également pas à quel moment, une fois qu’une première ÉFVP a été réalisée, les développements législatifs ou jurisprudentiels justifieraient une nouvelle évaluation de l’impact sur la protection de la vie privée. Le guide d’accompagnement de la CAI suggère un examen périodique, mais la fréquence à laquelle cet examen devrait être effectué n’est pas encore précisée. L’exemple des États-Unis soulève également la question à savoir si des ÉFVP spécifiques sont nécessaires pour chaque état vers lequel des données seraient transférées, car les dispositions législatives sur la protection de la vie privée varient d’un état à l’autre. En outre, les quantités ou les catégories de données qui peuvent être effectivement regroupées dans le cadre de chaque évaluation restent également imprécises. Finalement, des considérations financières sont à envisager surtout pour les entreprises ayant moins de capacité budgétaire pour assumer les exigences fréquentes d’ÉFVP qui peuvent s’avérer couteuses.

Une troisième incertitude concerne la description à l’article 17 de la protection adéquate en conformité avec les principes de protection des données généralement acceptés. La norme du projet de loi 64 s’écarte de la norme du « degré de protection comparable » de la LPRPDE et de la norme de la « décision d’adéquation » du RGPD, qui sont ancrées dans des obligations législatives et règlementaires spécifiques. Par comparaison, le projet de loi 64 adopte une approche libérale en ce qui concerne les principes de protection des renseignements personnels. La nature de ces « principes généralement acceptés » aux fins de l’évaluation du niveau de protection dans les juridictions cibles reste à déterminer. Bien que l’évolution du projet de loi 64 discutée ci-dessus suggère que ces principes ne se limitent pas à ceux que l’on trouve au régime québécois, on peut se demander si, en pratique, la loi québécoise pourrait devenir, comme le prévoyait la version originale du projet de loi, la norme de référence en l’absence de précisions supplémentaires de la part du législateur ou de la CAI.

Mesures concrètes à prendre en compte pour être conformes

1. Faire l’inventaire des renseignements personnels recueillis, et des lieux de transfert fréquents

Comme première étape, pour déterminer les changements que les entreprises pourraient devoir apporter pour s’assurer de leur conformité, un inventaire des renseignements personnels recueillis et un inventaire des endroits où les renseignements personnels sont habituellement conservés et communiqués sont d’une importance primordiale. Le premier inventaire doit tenir compte de deux facteurs particuliers abordés dans le projet de loi 64 : 1) la sensibilité des renseignements personnels; et 2) les fins auxquelles les renseignements sont utilisés.

Une fois l’inventaire du type d’information effectué, une évaluation de l’endroit où l’information sera conservée et transférée est la prochaine étape essentielle. Les entreprises doivent obtenir des précisions sur la destination de toutes leurs exportations de renseignements personnels afin de procéder aux étapes suivantes.

2. Mettre à jour les politiques de protection de la vie privée et les termes des références

Afin de se conformer de manière efficace aux obligations informationnelles du projet de loi 64, les entreprises doivent divulguer la possibilité que les renseignements personnels soient transférés hors du Québec lors de leur collecte initiale.[11] Les entreprises devront mettre à jour leurs politiques de protection de la vie privée pour tenir compte des pratiques de transferts transfrontaliers de renseignements personnels qui sont essentielles à l’entreprise, et des futurs transferts transfrontaliers potentiels.

3. Préparer des modèles d’ÉFPV

Les obligations d’évaluation des incidences sur la vie privée du projet de loi 64 risquent d’imposer un fardeau important, mais les coûts de conformité peuvent être atténués par l’utilisation efficace de modèles d’évaluation des facteurs relatifs à la vie privée. Les entreprises devraient envisager de préparer des modèles d’évaluation des facteurs relatifs à la vie privée qui sont adaptés aux renseignements personnels couramment recueillis et aux juridictions spécifiques vers lesquelles les renseignements personnels peuvent être transférés. Les facteurs liés à la protection de la vie privée, y compris ceux spécifiés dans le projet de loi 64 comme la sensibilité et les objectifs des renseignements personnels, devraient servir de pilier central de cette évaluation.[12] En disposant d’un ensemble de documents types pour l’évaluation de ces facteurs et en mettant en place des processus pour suivre les changements dans leurs pratiques de transfert de données ainsi que les changements dans les lois sur la protection de la vie privée des juridictions cibles, les entreprises peuvent atténuer les coûts associés à la réalisation des ÉFPV. La CAI pourrait publier, dans le mois qui viennent, des documents d’orientation et de règlementation qui permettraient de résoudre certaines des ambigüités mentionnées ci-dessus, ce à quoi les entreprises devraient être attentives.

4. Préparer des clauses types pour fournir des protections adéquates

Enfin, les entreprises devraient élaborer des modèles d’accord écrit de transfert transfrontalier de données adaptés à leurs besoins. Pour un examen approfondi des mesures de protection contractuelles, restez à l’affut pour la publication d’un futur article de McCarthy Tétrault sur ce sujet.

Conclusion

Le projet de loi 64 impose de nouvelles obligations aux entreprises qui participent à des transferts transfrontaliers de renseignements personnels. Les entreprises du secteur privé devraient anticiper l’entrée en vigueur de ces obligations le 22 septembre 2023 en prenant des mesures concrètes pour s’assurer que leurs processus sont conformes, et demander l’avis d’un expert si nécessaire.

Pour en savoir plus sur la façon dont le groupe Cyber/Données peut vous aider à naviguer dans les exigences du projet de loi 64 et vous préparer efficacement à vous conformer aux nouvelles obligations en matière de transfert transfrontalier de renseignements personnels, veuillez contacter les co-responsables nationaux Charles Morgan et Daniel Glover pour plus d’informations.

[1]Loi sur la protection des renseignements personnels dans le secteur privé, CQLR c P-39.1 s 20 (1 août 2021).

[2]Loi sur la protection des renseignements personnels dans le secteur privé, CQLR c P-39.1 s 20 section 8 al 2, tel que modifiée par le projet de loi 64 [la « Loi sur le secteur privé amendé »].

[3] Loi sur le secteur privé amendé, section 17

[4] Loi sur le secteur privé amendée, section 17 al 2.

[5] Loi sur le secteur privé amendée, section 17 al 2.

[6]Loi sur la protection des renseignements personnels et les documents électroniques (L.C. 2000, ch. 5), Schedule 1, section 4.1 [la « LPRPDE »]

[7]LPRPDE, section 4.1.3.

[8] Résumé de conclusions d’enquête en vertu de la LPRPDE no 2007-365, « Responsabilité d’institutions financières canadiennes dans la communication de renseignements personnels par SWIFT aux autorités des États-Unis » < https://www.priv.gc.ca/fr/mesures-et-decisions-prises-par-le-commissariat/enquetes/enquetes-visant-les-entreprises/2007/lprpde-2007-365/>.

[9] Règlement (UE) 2016/679, règlement général sur la protection des données, Article 45(1) [le « RGPD »].

[10] Loi sur le secteur privé amendée, section 17 al 2.

[11] Loi sur le secteur privé amendée, section 8(2).

[12] Loi sur le secteur privé amendée, section 17(1-2).