Cet article fait partie de notre série de blogues sur le projet de loi 64, qui vise à donner aux lecteurs une vue d’ensemble du projet de loi et des changements importants apportés à la Loi sur la protection des renseignements personnels dans le secteur privé au Québec (la « Loi sur le secteur privé »). Pour consulter les autres articles de blogue de la série, veuillez visiter cette page.

Cet article, fait suite à notre publication précédente, où nous avons discuté de la façon dont la Loi visant à moderniser les dispositions législatives en matière de protection des renseignements personnels (le « projet de loi 64 » ou le « projet de loi »), qui a reçu la sanction royale le 22 septembre 2021, apportera des changements substantiels aux exigences que les entreprises doivent respecter lorsqu’elles transfèrent des renseignements personnels à l’extérieur du Québec en vertu de la Loi sur la protection des renseignements personnels dans le secteur privé (la « Loi sur le secteur privé »).[1] L’article précédent portait sur les nouvelles évaluations des facteurs relatifs à la vie privée (« EFVP ») que les entreprises devront effectuer pour déterminer si les données transférées à l’extérieur du Québec bénéficieront d’un niveau de protection adéquat. Nous aborderons dans le présent article l’obligation supplémentaire de conclure des ententes écrites qui tiennent compte des résultats de ces ÉFVP.

Changements apportés au régime

Avant l’introduction du projet de loi 64, la Loi sur le secteur privé exigeait déjà que les transferts de renseignements personnels hors du Québec soient assujettis à une entente écrite. L’article 17 exigeait que « tous les moyens raisonnables » soient entrepris pour s’assurer que les renseignements transférés en vue d’être utilisés, recueillis ou détenus par une personne ou une entreprise à l’extérieur du Québec ne soient pas utilisés à d’autres fins que celles pour lesquelles le consentement avait été initialement obtenu.[2] Dans le contexte d’une entreprise qui transfère des renseignements personnels à un tiers à des fins de traitement, la Commission d’accès à l’information (la « CAI ») a élaboré des exigences strictes requérant qu’une entente écrite codifie : 1) la portée du mandat ; 2) les fins auxquelles le mandataire utilisera les renseignements ; 3) la catégorie de personnes qui auront accès aux renseignements ; et 4) l’obligation de maintenir la confidentialité.[3]

Le projet de loi 64 introduit aussi des exigences contractuelles plus strictes. D’abord, de nouvelles règles s’appliquent à la communication de renseignements personnels à tout tiers, et non seulement les tiers à l’extérieur du Québec. Les entreprises qui communiquent des renseignements personnels à un tiers aux fins de l’exécution d’un contrat de service doivent désormais : [4]

  • consigner le contrat par écrit ;
  • inclure dans les mesures contractuelles que le destinataire doit prendre des mesures pour protéger la confidentialité, identifier les objectifs spécifiques et détruire les renseignements communiqués promptement ;
  • obliger les tiers à notifier la personne responsable des renseignements personnels de l’entreprise concernant toute violation ou tentative de violation ; et
  • permettre à la personne responsable des renseignements personnels de l’entreprise d’effectuer toute vérification relative aux exigences de confidentialité.

De plus, des exigences supplémentaires sont ajoutées pour les transferts à l’extérieur du Québec. Au stade de l’étude en comité, le législateur a ajouté au projet de loi 64 que les évaluations des facteurs relatifs à la vie privée devraient tenir compte des mesures de protection contractuelles dont peuvent bénéficier les renseignements personnels dans le cadre de la norme de « protection adéquate notamment au regard des principes de protection des renseignements personnels généralement reconnus ».[5]

Comparaison avec les régimes existants

La LPRPDE et le RGPD comprennent des dispositions similaires qui exigent des clauses contractuelles particulières lors du transfert de renseignements personnels. Ces deux régimes reconnaissent que les transferts de renseignements personnels peuvent être assujettis à des défis uniques et variés en matière de protection de la vie privée, selon la nature des renseignements et le contexte du transfert.

La LPRPDE établit que les organisations sont responsables des renseignements personnels en leur possession et qui ont été transférés à une tierce partie aux fins de traitement. Dans le cadre du principe de responsabilité, les entreprises doivent prendre des mesures contractuelles ou autres pour assurer un « niveau de protection comparable ».[6] Bien que les mesures exactes permettant d’assurer la protection des renseignements personnels ne soient pas précisées dans la LPRPDE, le Commissariat à la protection de la vie privée du Canada (le « CPVP ») a publié un document d’orientation qui décrit des mesures appropriées à prendre en considération pour assurer la protection des renseignements personnels. Dans un rapport, le CPVP a aussi indiqué que les mesures contractuelles appropriées pour protéger les renseignements personnels incluent typiquement : la vérification et la surveillance des antécédents des employés, une formation efficace en matière de protection des renseignements, des contrôles d’accès et autres contrôles de cyber sécurité, et des activités de veille active des obligations contractuelles.[7]

Le RGPD adopte une approche plus structurée concernant les types de protections contractuelles considérées comme appropriées pour la conformité lors du transfert transfrontalier de données, incluant les renseignements personnels. Le RGPD précise qu’un transfert de données vers un pays tiers peut être entrepris si le responsable du traitement ou le sous-traitant fournit des « garanties appropriées », ce qui comprendre l’utilisation de clauses « types » de protection des données adoptées par la Commission européenne ou une autorité de contrôle.[8] Ces clauses contractuelles « types » sont approuvées à l’avance et disponibles sur le site web de la Commission européenne, ce qui permet de clarifier ce qui constitue « les protections contractuelles appropriées ».

Au départ, le projet de loi 64 s’alignait davantage avec le RGPD. La version initiale confiait à un ministre la tâche de fournir une liste des juridictions ayant des protections législatives concernant la protection des renseignements personnels équivalentes à celles applicables au Québec. Les intervenants de l’industrie ont soulevé des préoccupations quant au fait qu’en fixant le régime de protection des renseignements personnels du Québec comme point de référence, le régime de protection des renseignements personnels applicable s’éloignerait d’une approche pancanadienne de règlementation de la protection des renseignements personnels. Dans des préoccupations connexes, les acteurs de l’industrie ont noté l’absence de prise en compte des mesures contractuelles couramment utilisées pour établir des mesures de protections des renseignements personnels entre les entreprises. Les débats l’Assemblée nationale ont soulevé la même lacune, dans la mesure où ces mesures servent à atténuer les préoccupations en matière de sécurité dans les juridictions qui ne disposent pas de régimes législatifs rigoureux de protection des renseignements personnels.

À la suite d’amendements, la version finale du projet de loi 64 adopte une approche plus proche de celle de la LPRPDE en matière de protections contractuelles pour les transferts de données. Ainsi, le législateur a supprimé la notion de liste de juridictions équivalentes, et a ajouté que les mesures de protection « contractuelles » pour les transferts à des tiers devaient être prises en compte dans une ÉFVP pour les renseignements personnels transmis à un tiers. Ces amendements au projet de loi 64 offrent plus de souplesse aux entreprises en précisant les mesures contractuelles comme moyen d’atténuer les risques, mais en fixant la norme aux « principes de protection des données généralement acceptés ». Il reste cependant une incertitude quant aux clauses contractuelles qui seraient appropriées.

Questions en suspens

Un aspect qui bénéficierait de précisions est celui des dispositions contractuelles spécifiques nécessaires afin de fournir des protections adéquates. Les entreprises devraient être attentives à toute décision ou directive de la CAI concernant les clauses contractuelles spécifiques jugées acceptables aux fins de l’atténuation des risques.

Un autre aspect non résolu, est de savoir ce que les entreprises doivent faire dans le cas où les lois locales sont en conflit avec les principes de protection des renseignements personnels généralement reconnus. En pratique, les clauses contractuelles visent à imposer des mesures de protection à l’étranger, mais il y a des limites à ce qu’une entente contractuelle privée peut accomplir lorsqu’elle est confrontée, par exemple, à des exigences gouvernementales de divulgation obligatoire. Les documents d’orientation de la LPRPDE abordent brièvement ce conflit potentiel, et le CPVP adopte l’approche que les entreprises doivent tenir compte de tous les éléments entourant la transaction, y compris la possibilité que les lois locales entrent en conflit avec les lois canadiennes sur la protection des renseignements personnels.[9] Comme discuté dans un blogue précédent de TechLex, cette préoccupation a eu un impact majeur pour la conformité au RGPD, notamment à cause de la décision Schrems II qui a invalidé le EU-US Privacy Shield Framework de la Commission européenne sur la base des règlements de sécurité nationale des États-Unis. Dans le contexte du projet de loi 64, le législateur a brièvement discuté de l’impact de la législation en matière de sécurité nationale qui pourrait porter atteinte à la vie privée dans des contextes particuliers, mais n’a fait aucune déclaration définitive sur le sujet. Cela reste un autre point à surveiller.

Mesures concrètes à prendre en compte pour être conformes

  1. Identifier les risques potentiels lorsque les données sont fréquemment transférées

Comme nous l’avons indiqué dans notre publication précédente, les entreprises devraient avoir une idée claire des renseignements personnels qu’elles transfèrent, ainsi que de l’endroit et les fins auxquelles elles sont destinées. Dans le cas d’un traitement par des tiers, en particulier, la juridiction dans laquelle le traitement a lieu peut créer des défis particuliers qui nécessitent d’être résolus par des moyens contractuels. Ces défis varieront en fonction de la juridiction, mais les entreprises doivent tenter d’identifier les exigences supplémentaires aux dispositions de base qui seraient nécessaires en fonction de l’activité commerciale exercée.

  1. Établir des processus pour traduire les conclusions de l’ÉFVP en forme contractuelle

Les entreprises devraient avoir une idée des types de clauses contractuelles qui permettraient de réduire les risques auxquels elles sont fréquemment confrontées lorsqu’elles transfèrent des données à des tiers hors du Québec. En mettant en place un processus qui identifie le type et la sévérité du risque, et en l’associant à une clause préexistante, les entreprises peuvent réduire la charge opérationnelle que représente la rédaction de mesures de protection contractuelles individuelles pour les risques prévisibles.

  1. Suivre l’évolution de la CAI et de la jurisprudence

Les exigences relatives aux clauses de protection contractuelle seront introduites graduellement entre le 22 septembre 2022 et le 22 septembre 2023. Les entreprises devraient se tenir au courant de tout développement règlementaire ou jurisprudentiel publié par la CAI concernant les protections contractuelles. La CAI peut publier des documents d’orientation interprétatifs qui clarifieront les types de clauses contractuelles permettant de remédier aux risques courants de protection des renseignements personnels. Comme les changements apportés par le projet de loi 64 laisseront une marge d’interprétation quant aux types de clauses contractuelles qui peuvent être jugées appropriées, les entreprises et leurs avocats devraient surveiller activement tout développement pour assurer une gestion efficace de la conformité.

Conclusion

Le projet de loi 64 soulève de nouvelles préoccupations pour les entreprises sur le plan contractuel, et peut nécessiter que les opérations de routine soient impactées afin de se conformer aux nouvelles obligations. Comme les dispositions exigeant des contrats pour conclure des transactions commerciales entreront en vigueur le 22 septembre 2022 et que les exigences relatives aux contrats avec les tiers entreront en vigueur le 22 septembre 2023, les entreprises devraient commencer à évaluer si leurs processus existants répondent aux exigences du projet de loi 64 dès maintenant.