La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (la « Loi amendée »), adoptée le 21 septembre 2021, introduit d’importantes modifications au régime applicable à la communication de renseignements personnels à l’extérieur du Québec (c’est-à-dire au partage ou à l’accès à distance, que nous regroupons sous le vocable « transfert »), que ce transfert soit destiné à un fournisseur de services ou à une autre catégorie de tiers. Cet article présente le nouveau régime québécois applicable aux transferts transfrontaliers de renseignements personnels et suggère des pistes de conformité aux entreprises.
Régime applicable au transfert de renseignements personnels
L’article 17 de la Loi sur la protection des renseignements personnels dans le secteur privé (la « LPRPSP »), avant l’adoption de la Loi amendée, exigeait en matière de communication hors Québec que les entreprises prennent « tous les moyens raisonnables » pour s’assurer que les renseignements communiqués ne soient pas utilisés à des fins autres que celles pour lesquelles le consentement a été préalablement obtenu, ou communiqués à des tiers sans le consentement des personnes concernées. Dans le cas de listes nominatives, la LPRPSP exigeait que les personnes concernées aient l’occasion de refuser que leurs renseignements soient utilisés à des fins de prospection commerciale ou philanthropique. Les entreprises devaient refuser la communication des renseignements si ces conditions n’étaient pas remplies.
À compter du 22 septembre 2023, une nouvelle obligation de transparence prévue au nouvel article 8 al. 2 imposera aux entreprises d’informer les personnes concernées, au moment de la collecte et sur demande, que les renseignements recueillis peuvent faire l’objet d’une communication hors du Québec.
En outre, le nouvel article 17 modifie le régime applicable aux transferts et dispose que :
« Avant de communiquer à l’extérieur du Québec un renseignement personnel, la personne qui exploite une entreprise doit procéder à une évaluation des facteurs relatifs à la vie privée. Elle doit notamment tenir compte des éléments suivants :
1° la sensibilité du renseignement;
2° la finalité de son utilisation;
3° les mesures de protection, y compris celles qui sont contractuelles, dont le renseignement bénéficierait;
4° le régime juridique applicable dans l’État où ce renseignement serait communiqué, notamment les principes de protection des renseignements personnels qui y sont applicables.
La communication peut s’effectuer si l’évaluation démontre que le renseignement bénéficierait d’une protection adéquate, notamment au regard des principes de protection des renseignements personnels généralement reconnus. Elle doit faire l’objet d’une entente écrite qui tient compte notamment des résultats de l’évaluation et, le cas échéant, des modalités convenues dans le but d’atténuer les risques identifiés dans le cadre de cette évaluation.
Il en est de même lorsque la personne qui exploite une entreprise confie à une personne ou à un organisme à l’extérieur du Québec la tâche de recueillir, d’utiliser, de communiquer ou de conserver pour son compte un tel renseignement. »
Ces nouvelles exigences visent à assurer un niveau de protection adéquat aux renseignements transférés en dehors de la province. La norme de l’adéquation a été adoptée, à l’étape de l’étude article par article, pour remplacer celle de l’équivalence, perçue comme plus stricte.
Ainsi, pour qu’un transfert soit autorisé par la Loi amendée, l’entreprise exportatrice devra procéder à une évaluation des facteurs relatifs à la vie privée propres au transfert envisagé. Elle devra ensuite s’assurer que les mesures de protection mises en place assurent un caractère adéquat à la protection conférée aux renseignements exportés. Ces mesures devront notamment comprendre la conclusion d’un contrat écrit avec le destinataire des renseignements.
Évaluation des facteurs relatifs à la vie privée
Une entreprise qui (1) souhaite communiquer des renseignements personnels à l’extérieur du Québec ou (2) confie à un tiers situé à l’extérieur du Québec la tâche de recueillir, d’utiliser, de communiquer ou de conserver pour son compte des renseignements personnels, sera tenue à compter de septembre 2023 de réaliser une évaluation des facteurs relatifs à la vie privée préalablement au transfert (« EFVP transfert »). Cette EFVP transfert devra tenir compte des facteurs suivants :
- la sensibilité des renseignements;
- les fins auxquelles les renseignements seront utilisés;
- les mesures de protection, y compris les mesures contractuelles, qui s’appliqueraient à la communication;
- le régime juridique applicable dans l’État vers lequel les informations seraient communiquées, notamment les principes de protection des données applicables dans cet État.
Ce dernier point suscite plusieurs interrogations en l’absence de directives émises par la Commission d’accès à l’information. L’analyse du régime juridique de la juridiction de réception a en effet fait couler beaucoup d’encre depuis la décision de la Cour de justice de l'Union européenne (CJUE) dans l’affaire Schrems II et plusieurs acteurs s’inquiètent de l’importation de telles restrictions en droit québécois, ainsi que de leur impact sur l’économie de la province. Au moment d’écrire cet article, selon nous les éléments suivants doivent être pris en compte :
- L’EFVP transfert doit évaluer le régime juridique étranger à la lumière des « principes de protection des renseignements personnels généralement reconnus ». Cet amendement, effectué lors de l’étude article par article de la Loi, réfère aux principes énoncés par l’Organisation de coopération et de développement économiques (OCDE) dans ses Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données à caractère personnel adoptées en 1980, puis mises à jour en 2013 (les « Principes de l’OCDE »). Ces principes sont reflétés dans la grille d’analyse du droit étranger émise par le Secrétariat à la réforme des institutions démocratiques, à l’accès à l’Information et à la laïcité pour aider les organismes publics à mettre en œuvre l’article 70.1 de la Loi sur l’accès amendée, dont le libellé est identique à celui de l’article 17 de la Loi amendée. Ces principes sont les suivants: (i) limitation en matière de collecte, (ii) qualité des renseignements, (iii) spécification des finalités, (iv) limitation de l'utilisation, (v) garanties de sécurité, (vi) transparence, (vii) participation individuelle, et (viii) responsabilité. En l’absence de directive réglementaire sur l’article 17, il apparaît raisonnable d’utiliser cette grille d’analyse dans le cadre d’une EFVP transfert en vertu de la Loi amendée.
- L’analyse du régime juridique de la juridiction de réception doit selon nous également permettre d’évaluer le caractère exécutoire des mesures contractuelles de protection (décrites ci-dessous). En effet, si les lois d’ordre public / lois de police de l’État de réception ne permettent pas de mettre en œuvre les mesures de protection contractuelles par l’entreprise (par exemple si le régime étranger en matière de surveillance revient à nier la protection requise par les Principes de l’OCDE) ou conduiraient à refuser l’exequatur à un jugement québécois enjoignant l’exécution du contrat, alors la protection offerte dans l’État de réception ne pourra vraisemblablement pas être qualifiée d’adéquate.
- La question de la fréquence des EFVP transfert demeure en suspens, la Loi amendée ne contenant pas d’exigence explicite à ce sujet. Compte tenu de l’influence du RGPD sur la Loi amendée, il est possible que le législateur anticipe que les entreprises procèdent à une veille législative régulière des juridictions vers lesquelles les renseignements seront transférés afin, le cas échéant, de mettre à jour leurs EFVP transfert à l’instar de ce que recommande le Comité européen sur la protection des données dans ses recommandations 01/2020.
Mise en place de mesures de protection, notamment contractuelles
L’article 17 requiert par ailleurs que l’EFVP transfert tienne compte des mesures de protection, y compris contractuelles, qui s’appliqueraient au transfert de renseignements personnels. La voie contractuelle est donc l’instrument privilégié par le législateur québécois pour assurer un niveau de protection adéquat aux renseignements personnels. Il convient à ce titre de distinguer entre les transferts effectués vers des fournisseurs de service (qui ne peuvent utiliser les renseignements qu’au bénéfice de l’entreprise cliente) de ceux destinés à d’autres tiers.
Fournisseurs de services
Lorsque le transfert est effectué vers un fournisseur de services, la Loi amendée prévoit à l’article 18.3 qu’un contrat écrit doit être conclu et prévoir :
- les mesures que le fournisseur de services doit prendre pour assurer la protection de la confidentialité, afin que les renseignements ne soient utilisés que pour les fins spécifiques ayant fait l’objet d’une identification préalable et que les renseignements ne soient pas conservés après l’expiration du contrat;
- que le fournisseur de services avisera sans délai le responsable de la protection des renseignements personnels de l’entreprise de toute violation ou tentative de violation des obligations de confidentialité;
- que le responsable de la protection des renseignements personnels de l’entreprise puisse effectuer toute vérification relative aux obligations de confidentialité du fournisseur.
Outre ces dispositions propres aux contrats de services, le contrat devra tenir compte des résultats de l’EFVP transfert. Si celle-ci permet de conclure que les renseignements traités à l’étranger par un fournisseur de services seront suffisamment protégés avec un contrat reprenant simplement les exigences de l’article 18.3, aucune autre mesure ne sera nécessaire pour procéder au transfert.
Si l’EFVP transfert conclut en revanche que le traitement à l’étranger crée un risque pour leur protection, les parties devront mettre en place et documenter dans leur contrat les mesures permettant de réduire ce risque à un niveau adéquat. Selon nous, des mesures techniques (par exemple le cryptage ou la dépersonnalisation des données) et organisationnelles (par exemple une politique de l’entreprise restreignant le partage des renseignements avec des autorités gouvernementales étrangères) devraient être envisagées, à l’instar des mesures supplémentaires indiquées par le Comité européen sur la protection des données dans ses recommandations 01/2020.
Autres destinataires
Bien que la Loi amendée n’impose pas de contenu spécifique aux contrats visant le partage à des tiers situés hors du Québec qui n’agissent pas comme fournisseurs de services (par exemple un acquéreur potentiel des actifs de l’entreprise, des affiliés utilisant les données pour leurs propres fins, etc.), les exigences de l’article 17 impliquent selon nous les obligations suivantes :
- un contrat écrit doit être conclu avec chacun de ces destinataires ;
- ce contrat devra refléter un niveau de protection adéquat aux renseignements transférés en intégrant notamment les obligations découlant des Principes de l’OCDE (limitation en matière de collecte, qualité des renseignements, spécification des finalités, limitation de l'utilisation, garanties de sécurité, transparence, participation individuelle et responsabilité) ;
- les parties devront prendre en compte les résultats de l’EFVP transfert et mettre en place, le cas échéant, les mesures permettant de réduire le risque associé au régime juridique étranger à un niveau adéquat. Cette analyse devrait suivre les mêmes critères que dans le cadre d’un transfert à un fournisseur de services.
Distinctions avec le régime fédéral
Le Commissariat à la protection de la vie privée du Canada (ci-après, « CPVP ») a publié en 2009 des lignes directrices traitant de la question des transferts internationaux de données dans le cadre de la Loi sur la protection des renseignements personnels et des documents électroniques (« LPRPDE »). Celles-ci requièrent que les organisations effectuant un transfert de renseignements personnels à des fins de traitement assurent, par voie contractuelle ou autre, « un degré comparable de protection aux renseignements qui sont en cours de traitement par une tierce partie ». Ces organisations sont également soumises à une obligation de transparence leur imposant d’informer les individus concernés du transfert de renseignements en dehors du Canada, ainsi que des risques d’accès par les autorités étrangères qui en résultent.
En matière d’impartition dans un pays étranger, les lignes directrices du CPVP indiquent que la LPRPDE « n’exige pas une comparaison exhaustive entre les lois canadiennes et les lois étrangères ». Les organisations sont toutefois tenues de « [prendre] en considération tous les éléments entourant la transaction ». Il est intéressant de souligner l’application récente par le CPVP de ces lignes directrices dans les Conclusions d’enquête en vertu de LPRPDE no 2020-0001, concernant un contrat d’impartition intervenu entre une institution financière et un fournisseur situé en Inde pour un service de lutte contre la fraude. Les éléments à retenir de cette affaire portent sur l’analyse de risques menée par l’institution financière et avalisée par le CPVP, qui conclut que les mesures de protection suivantes étaient appropriées dans les circonstances :
- réalisation d’une EFVP sur le projet d’impartition ;
- obtention de conseils juridiques sur le régime juridique indien en matière de vie privée et de sécurité de l’information ;
- intégration des résultats de ces évaluations dans le contrat liant l’institution financière au fournisseur de service, qui prévoyait notamment des mesures organisationnelles et techniques détaillées visant à protéger les renseignements traités.
Le projet de réforme la LPRPDE introduit par le gouvernement fédéral en juin 2022 (« C-27 ») n’impose quant à lui qu’une obligation de transparence en matière de transferts internationaux et interprovinciaux. La politique de vie privée externe de l’entreprise devra préciser si cette dernière effectue de tels transferts dans l’hypothèse où ceux-ci pourraient avoir des « répercussions raisonnablement prévisibles sur la vie privée » (C-27, art. 62(2)(d)). Cette exigence s’ajoute aux obligations en matière d’impartition, qui prévoient notamment l’obligation pour l’entreprise de veiller (contractuellement ou autrement) à ce que le fournisseur de services offre un niveau de protection équivalent à ce que l’organisation est tenue d’offrir pour ces renseignements personnels en vertu de C-27.
Pistes de conformité
Considérant l’entrée en vigueur imminente des exigences imposées par la Loi amendée en matière de transfert hors Québec, les organisations soumises à cette législation devraient dès à présent mettre en place les mesures suivantes :
- Cartographier les flux de renseignements personnels, les juridictions vers lesquelles ceux-ci sont exportés et la catégorie de destinataires.
- Développer un modèle d’EFVP transfert afin d’analyser le régime des juridictions de destination en fonction des principes adoptés par l’OCDE. La grille préparée par le gouvernement pour les organismes du secteur public pourrait servir de base à cet exercice.
- Identifier les juridictions vers lesquelles l’entreprise transfère des renseignements personnels et dont le régime juridique pourrait enfreindre les principes de l’OCDE. Pour chacune, évaluer si des mesures contractuelles, organisationnelles et techniques permettraient de réduire ce risque à un niveau acceptable, permettant d’assurer une protection adéquate aux renseignements transférés.
- Intégrer dans les contrats pertinents des clauses contractuelles relatives aux transferts de renseignements personnels conformes aux nouvelles exigences, tenant compte du contexte des transferts visés.
Communiquez avec nous
Le groupe Cybersécurité, respect de la vie privée et protection des renseignements personnels de BLG surveille de près les développements susceptibles d’éclairer les entreprises quant aux nouvelles exigences de la Loi amendée en matière de transferts transfrontaliers de renseignements personnels. Notre équipe aide les entreprises à mettre en place les mesures de conformité requises.
Les auteurs remercient Cassandre Legault, étudiante en droit, pour sa contribution à cet article.