Dans les dernières décennies, l'analyse d'impact sur la vie privée a pris une place accrue dans le domaine de la protection des données. Inspirée de l'étude d'impact environnementale, elle fait maintenant partie intégrante des bonnes pratiques de planification pour les nouvelles utilisations de renseignements personnels. Comme l'émergence de nouvelles technologies s'accélère sans cesse et qu'ils peinent à suivre ce rythme, les gouvernements et les organismes de réglementation exigent de plus en plus souvent une telle analyse pour les nouvelles activités qui requièrent le traitement de renseignements personnels.

Avec l'adoption récente dans l'Union européenne du Règlement général sur la protection des données (« RGPD »), les analyses d'impact, appelées « analyses d'impact relatives à la protection des données » (« AIPD ») en Europe, ne sont plus seulement une bonne pratique : elles sont maintenant une obligation dans bien des cas. Les AIPD sont désormais obligatoires pour tout traitement de données effectué à l'aide de nouvelles technologies et « lorsque l'atteinte est susceptible d'engendrer un risque pour les droits et libertés » des personnes concernées[1]. Par conséquent, la responsabilité du respect de la vie privée ne repose plus uniquement sur les épaules des institutions ou des citoyens : elle incombe désormais à toutes les organisations.

Cette même approche est préconisée au Québec dans le Projet de loi 64[2].

Quelles sont les nouveautés?

Le Projet de loi 64 propose essentiellement d'obliger les entreprises privés et organismes publics du Québec à procéder à une évaluation des facteurs relatifs à la vie privée (« EFVP ») :

  • pour « tout projet de système d'information ou de prestation électronique de services impliquant la collecte, l'utilisation, la communication, la conservation ou la destruction de renseignements personnels »[3];
  • avant de communiquer des renseignements personnels sans le consentement des personnes concernées à une personne ou un organisme qui souhaite utiliser ces renseignements à des fins d'étude, de recherche ou de production de statistiques[4];
  • avant de communiquer des renseignements personnels à un organisme public d'un autre gouvernement si cela est nécessaire à l'exercice des droits et des pouvoirs de l'organisme destinataire ou à la mise en œuvre d'un programme sous sa direction, si cela est clairement fait au profit de la personne concernée, si des circonstances exceptionnelles le justifient ou si cela est nécessaire aux fins d'un service fourni à la personne concernée par un organisme public (concerne uniquement les organismes publics)[6];
  • avant de recueillir, d'utiliser ou de divulguer des renseignements personnels dans l'exercice de leurs fonctions (concerne uniquement les organismes publics ayant le statut de gestionnaire de renseignements personnels)[7].

Entreprises et projets de systèmes d'information

Le Québec devra désormais effectuer une EFVP pour « tout projet de système d'information ou de prestation électronique de services »[8]. Le projet de loi 64 va plus loin que le RGPD (où l'AIPD devient obligatoire en fonction du risque individuel[9]), car il requiert une évaluation pour tout nouveau projet, et non uniquement ceux qui semblent à haut risque.

La personne responsable de la protection des renseignements personnels au sein de l'entreprise doit être consultée aux fins de l'EFVP. Le Projet de loi 64 décrit ce que cette personne peut proposer, à toute étape du projet :

  • la nomination d'une personne chargée de la mise en œuvre des mesures de protection des renseignements personnels;
  • des mesures de protection des renseignements personnels dans tout document relatif au projet;
  • une description des responsabilités des participants au projet en matière de protection des renseignements personnels;
  • la tenue d'activités de formation sur la protection des renseignements personnels pour les participants au projet[10].

Le Projet de loi 64 ajoute que ces nouveaux projets de système d'information ou de prestation électronique de services doivent permettre d'assurer la portabilité des données, c'est-à-dire qu'un renseignement personnel informatisé puisse être communiqué à la personne concernée dans un « format technologique structuré et couramment utilisé »[11].

Qu'est-ce exactement qu'une évaluation des facteurs relatifs à la vie privée?

Le projet de loi 64 s'avère très restrictif, mais se garde d'énoncer des critères qui permettraient de déterminer si une EFVP est adéquate. Il ne dit rien au sujet du rôle du risque dans l'évaluation à effectuer. Il n'évoque pas non plus la mise en œuvre de l'évaluation dans le projet ni les éventuelles conséquences d'une évaluation incomplète ou d'une absence d'évaluation.

On y trouve à tout le moins un aperçu de la nature des facteurs à évaluer lors d'une EFVP préalable à la communication de renseignements à l'extérieur du Québec, alors qu'on y précise qu'une telle évaluation doit tenir compte a) de la sensibilité du renseignement, b) de la finalité de son utilisation, c) des mesures de protection dont le renseignement bénéficierait et d) du régime juridique applicable dans l'État où ce renseignement serait communiqué [12].

Heureusement, la Commission d'accès à l'information (la « Commission ») a produit un document de travail expliquant la marche à suivre pour procéder à une EFVP[13] (en français seulement). Toutefois, ce guide est paru avant le dépôt du Projet de loi 64; conséquemment, il présente l'EFVP comme un outil optionnel et pourrait donc être entièrement révisé suite à l'adoption du projet de loi.

Le guide indique les étapes du déroulement d'une EFVP.

1. Préparation: Cette étape consiste à définir le projet, le contexte organisationnel et les obligations de l'organisation en matière de protection de la vie privée et des renseignements personnels (recenser les renseignements personnels visés par le projet,évaluer leur degré de sensibilité et établir les interactions entre l'organisation et les renseignements personnels visés.

2. Réalisation: D'après le guide, les facteurs considérés comme « relatifs à la vie privée » et qui sont à évaluer sont les suivants :

  • La conformité du projet à la législation applicable à la protection des renseignements personnels et le respect des principes qui l'appuient, comme la détermination des fins, le consentement, la limitation de la collecte, de l'utilisation, de la divulgation et de la conservation, les mesures de sécurité et l'exactitude des renseignements recueillis.
  • L'identification des risques d'atteinte à la vie privée engendrés par le projet, par exemple la conservation de renseignements dont l'utilité n'est plus démontrée, le vol, la collecte excessive, la divulgation non autorisée ou la création excessive ou injustifiée de renseignements.
  • L'évaluation de l'impact des risques en matière de vie privée engendrés par le projet, qui peut être réalisée au moyen d'un système de notation. Dans tous les cas, il est important que les risques soient quantifiés et gérés et qu'un degré de risque acceptable soit établi en amont.
  • La mise en place de stratégies pour éviter ces risques ou les réduire efficacement : il peut s'agir d'un système de gestion des documents qui applique automatiquement un calendrier de conservation, d'un examen des procédures d'attribution et de gestion des accès informatiques, de l'embauche d'une firme de sécurité informatique pour examiner les paramètres de sécurité du produit ou du service, de la révision des clauses de confidentialité des contrats, etc.

3. Préparation du rapport: La dernière étape du processus vise à consolider les résultats de l'évaluation et à attester de vos réflexions et de vos actions en cas de vérification, d'inspection ou d'enquête de la part d'un organisme de réglementation.