Transferts de renseignements personnels hors du Québec : exigences pour les entreprises

Cet article est une version mise à jour d'un article paru en décembre 2022.

La Loi sur la protection des renseignements personnels dans le secteur privé du Québec (la « LPRPSP ») prévoit des obligations importantes en cas de communication de renseignements personnels à l’extérieur du Québec (c’est-à-dire en cas de partage ou d’accès à distance, que nous regroupons sous le vocable « transfert »), que ce transfert soit destiné à un fournisseur de services ou à une autre catégorie de tiers. Cet article présente le régime québécois applicable aux transferts transfrontaliers de renseignements personnels et suggère des pistes de conformité aux entreprises.

Régime applicable au transfert de renseignements personnels

Depuis le 22 septembre 2023, une obligation de transparence prévue à l’article 8 al. 2 de la LPRPSP impose aux organisations d’informer les personnes concernées, au moment de la collecte et sur demande, que les renseignements recueillis peuvent faire l’objet d’une communication hors du Québec.

Cette notification est généralement effectuée par l’organisation dans ses politiques de confidentialité destinées aux clients et aux employés.

En outre, l’article 17 modifie le régime applicable aux transferts et impose des obligations additionnelles aux organisations afin d’assurer un niveau de protection adéquat aux renseignements transférés à l’extérieur de la province.

Pour qu’un transfert soit autorisé par la LPRPSP, l’organisation exportatrice doit procéder à une évaluation des facteurs relatifs à la vie privée propres au transfert envisagé (une « EFVP transfert »). Elle devra ensuite s’assurer que les mesures de protection mises en place assurent un caractère adéquat à la protection conférée aux renseignements exportés. Ces mesures devront notamment comprendre la conclusion d’un contrat écrit avec le destinataire des renseignements.

Évaluation des facteurs relatifs à la vie privée

Une organisation qui (1) souhaite communiquer des renseignements personnels à l’extérieur du Québec ou (2) confie à un tiers situé à l’extérieur du Québec la tâche de recueillir, d’utiliser, de communiquer ou de conserver pour son compte des renseignements personnels est tenue de réaliser, préalablement au transfert, une EFVP transfert qui tient compte des facteurs suivants :

• la sensibilité des renseignements;
• les fins auxquelles les renseignements seront utilisés;
• les mesures de protection, y compris les mesures contractuelles, qui s’appliqueraient aux renseignements;
• le régime juridique applicable dans l’État où ce renseignement serait communiqué, notamment les principes de protection des renseignements personnels qui y sont applicables. 

Ce dernier point peut susciter plusieurs interrogations puisque la LPRPSP ne définit pas ce que sont les « principes de protection des renseignements personnels généralement reconnus ».

Toutefois, la Commission d’accès à l’information (« CAI »), a publié des indications sur ce point précis, qui figurent dans son Guide d’accompagnement sur la réalisation d’une évaluation des facteurs relatifs à la vie privée. La CAI est demeurée prudente et a indiqué que l’on peut supposer que ces « principes reconnus » sont des règles générales permettant d’assurer la protection des renseignements personnels, ainsi que le respect des droits et des intérêts des personnes concernées. La CAI a également fourni une liste non exhaustive et non définitive de ces principes inspirée (entre autres) des Lignes directrices de l’OCDE régissant la protection de la vie privée, des Fair Information Practice Principles (FIPPs) de la Federal Trade Commission américaine, de la Loi sur la protection des renseignements personnels et les documents électroniques du Canada et du Règlement général sur la protection des données de l’Union européenne.

Afin de mieux se conformer aux obligations d’évaluation énoncées à l’article 17 de la LPRPSP, nous recommandons aux organisations de s’assurer que leur modèle d’EFVP permette une évaluation des principes suivants : 

• Responsabilité : les organisations sont imputables quant à leur gestion des renseignements personnels.
• Détermination des fins : les fins pour lesquelles les organisations recueillent des renseignements personnels sont établies avant la collecte.
• Limitation de la collecte : les organisations recueillent uniquement les renseignements nécessaires aux fins déterminées. La collecte se fait par des moyens licites et équitables.
• Consentement : les personnes concernées sont adéquatement informées des fins déterminées et y consentent librement, à moins d’exception.
• Protection dès la conception et par défaut : les produits/services sont conçus dans le respect de la vie privée des personnes concernées. S’ils incluent des paramètres de confidentialité, ceux-ci protègent la vie privée par défaut.
• Limitation de l’utilisation, de la communication et de la conservation : les organisations utilisent et communiquent les renseignements personnels recueillis aux fins déterminées ou à des fins compatibles, sauf consentement ou exception légale.
• Exactitude : les organisations tiennent les renseignements personnels à jour et s’assurent qu’ils sont exacts et complets au moment où elles les utilisent ou les communiquent.
• Sécurité : les organisations prennent des mesures de sécurité appropriées pour protéger en tout temps les renseignements qu’elles détiennent contre la perte, le vol ou la modification, la communication ou la destruction non autorisée.
• Transparence : les organisations fournissent les informations pertinentes aux personnes concernées au moment de la collecte ou du consentement.
• Droits des personnes concernées : les personnes concernées peuvent accéder aux renseignements personnels qui les concernent et en demander la rectification ou, dans certains cas, la suppression.
• Recours : en cas d’insatisfaction, les personnes peuvent contester un refus d’exercice d’un droit ou porter plainte auprès de l’organisation ou d’une instance compétente.

Mise en place de mesures de protection, notamment contractuelles

L’article 17 de la LPRPSP requiert par ailleurs que l’EFVP transfert tienne compte des mesures de protection, y compris contractuelles, qui s’appliqueraient au transfert de renseignements personnels. Les garanties contractuelles constituent l’instrument privilégié par le législateur québécois pour assurer un niveau de protection adéquat des renseignements personnels. Il convient à ce titre de distinguer entre les transferts effectués vers des fournisseurs de service (qui ne peuvent utiliser les renseignements qu’au bénéfice de l’entreprise cliente) de ceux destinés à d’autres tiers.

Fournisseurs de services

Lorsque le transfert est effectué vers un fournisseur de services, l’article 18.3 de la LPRPSP prévoit qu’un contrat écrit doit être conclu et prévoir :

• les mesures que le fournisseur de services doit prendre pour protéger la confidentialité des renseignements transmis, afin que les renseignements ne soient utilisés que pour les fins spécifiques ayant fait l’objet d’une identification préalable et que les renseignements ne soient pas conservés après l’expiration du contrat;
• que le fournisseur de services avisera sans délai le responsable de la protection des renseignements personnels de l’entreprise de toute violation ou tentative de violation des obligations de confidentialité;
• que le responsable de la protection des renseignements personnels de l’entreprise puisse effectuer toute vérification relative aux obligations de confidentialité du fournisseur.

Outre ces dispositions propres aux contrats de service, le contrat devra tenir compte des résultats de l’EFVP transfert. Si celle-ci permet de conclure que les renseignements traités à l’étranger par un fournisseur de services seront suffisamment protégés avec un contrat reprenant simplement les exigences de l’article 18.3, aucune autre mesure ne sera nécessaire pour procéder au transfert.

Si l’EFVP transfert conclut en revanche que le traitement à l’étranger crée un risque pour leur protection, les parties devront mettre en place et documenter dans leur contrat les mesures permettant de réduire ce risque à un niveau adéquat. Selon nous, des mesures techniques (par exemple le cryptage ou la dépersonnalisation des données) et organisationnelles (par exemple une politique de l’entreprise restreignant le partage des renseignements avec des autorités gouvernementales étrangères) devraient être envisagées.

Autres destinataires

Bien que la LPRPSP n’impose pas de contenu spécifique aux contrats visant le partage à des tiers situés hors du Québec qui n’agissent pas comme fournisseurs de services, par exemple des affiliés utilisant les données pour leurs propres fins, etc.), les exigences de l’article 17 impliquent selon nous les obligations suivantes :

• un contrat écrit doit être conclu avec chacun de ces destinataires;
• ce contrat devra refléter un niveau de protection adéquat aux renseignements transférés en intégrant notamment les obligations découlant des Principes de l’OCDE (limitation en matière de collecte, qualité des renseignements, spécification des finalités, limitation de l’utilisation, garanties de sécurité, transparence, participation individuelle et responsabilité);
• les parties devront prendre en compte les résultats de l’EFVP transfert et mettre en place, le cas échéant, les mesures permettant de réduire le risque associé au régime juridique étranger à un niveau adéquat. Cette analyse devrait suivre les mêmes critères que dans le cadre d’un transfert à un fournisseur de services.

Distinctions avec le régime fédéral

Bien que la Loi sur la protection des renseignements personnels et des documents électroniques (« LPRPDE ») n’exige pas explicitement que les organisations informent les personnes concernées de la possibilité que leurs renseignements personnels soient transférés à l’extérieur du Canada, le Commissariat à la protection de la vie privée du Canada (« CPVP ») a publié en 2009 des lignes directrices traitant de la question des transferts internationaux de données dans le cadre de la LPRPDE. Celles-ci requièrent que les organisations effectuant un transfert de renseignements personnels à des fins de traitement assurent, par voie contractuelle ou autre, « un degré comparable de protection aux renseignements qui sont en cours de traitement par une tierce partie ». Ces organisations sont également soumises à une obligation de transparence leur imposant d’informer les individus concernés du transfert de renseignements en dehors du Canada, ainsi que des risques d’accès par les autorités étrangères qui en résultent.

Le projet de réforme de la LPRPDE introduit par le gouvernement fédéral en juin 2022 (« C-27 »), actuellement en examen par le Comité permanent de l’industrie et de la technologie, impose pour l’instant une obligation de transparence en matière de transferts internationaux et interprovinciaux. S’il est adopté tel quel, la politique de vie privée externe de l’organisation devra préciser si cette dernière effectue de tels transferts, dans l’hypothèse où ceux-ci pourraient avoir des « répercussions raisonnablement prévisibles sur la vie privée » (C-27, art. 62(2)(d)). Cette exigence s’ajoute aux obligations en matière d’impartition, qui prévoient notamment l’obligation pour l’entreprise de veiller (contractuellement ou autrement) à ce que le fournisseur de services offre un niveau de protection équivalent à ce que l’organisation est tenue d’offrir pour ces renseignements personnels en vertu de C-27.

Pistes de conformité

Les organisations devraient mettre en place les mesures suivantes pour se conformer aux exigences de la LPRPSP en matière de transferts de renseignements personnels hors du Québec :

• Cartographier les flux de renseignements personnels, les juridictions vers lesquelles ceux-ci sont exportés et la catégorie de destinataires.
• Développer un modèle d’EFVP transfert qui permet d’analyser le régime des juridictions de destination en fonction des principes généralement reconnus.
• Identifier les juridictions vers lesquelles l’entreprise transfère des renseignements personnels et dont le régime juridique pourrait enfreindre les principes généralement reconnus. Pour chacune, évaluer si des mesures contractuelles, organisationnelles et techniques permettraient de réduire ce risque à un niveau acceptable, permettant d’assurer une protection adéquate aux renseignements transférés.
• Intégrer dans les contrats pertinents des clauses contractuelles relatives aux transferts de renseignements personnels conformes aux exigences de la LPRPSP, tenant compte du contexte des transferts visés.

Communiquez avec nous

Le groupe Cybersécurité, respect de la vie privée et protection des renseignements personnels de BLG suit de près les développements susceptibles d’éclairer les entreprises quant aux exigences de la LPRPSP en matière de transferts transfrontaliers de renseignements personnels. Notre équipe aide les entreprises à mettre en place les mesures de conformité requises, incluant l’élaboration de modèles d’EFVP en conformité avec les lois applicables.