L’application territoriale de la Loi sur la protection des renseignements personnels dans le secteur privé[1] (la « Loi ») du Québec n’a pas encore été clairement circonscrite par la loi ou par la jurisprudence. Bien que les tribunaux aient défini les critères servant à confirmer l’existence d’une « entreprise », ils n’ont toujours pas élaboré d’approche précise en ce qui concerne l’application de la Loi aux entreprises étrangères ayant des activités dans la province du Québec.
Comme nous l’exposerons ci-dessous, la Loi sur la protection des renseignements personnels et les documents électroniques[2] (la « LPRPDE ») et le Règlement général sur la protection des données (le « RGPD ») fournissent des modèles dont le Québec pourrait s’inspirer. Cependant, tant que la portée territoriale de la Loi n’aura pas été précisée, les organisations pourraient voir appliquer celle-ci à leurs activités de manière imprévisible, comme cela s’est produit dans un certain nombre de cas que nous examinerons ci-dessous dans lesquels les liens avec le Québec pouvaient sembler minimes.
1. Application de la Loi
L’article 1 de la Loi circonscrit son champ d’application[3] ainsi : « [l]a présente loi a pour objet d’établir […] des règles particulières à l’égard des renseignements personnels sur autrui qu’une personne recueille, détient, utilise ou communique à des tiers à l’occasion de l’exploitation d’une entreprise au sens de l’article 1525 du Code civil du Québec » (le « C.c.Q. »).
D’autres articles du C.c.Q. font référence à la notion d’« entreprise », mais les tribunaux ont explicitement refusé de les utiliser pour déterminer l’application de la Loi. Les seuls critères permettant de confirmer l’existence d’une entreprise à cette fin figurent à l’article 1525 du C.c.Q.[4] Ainsi, en vertu du paragraphe 3 de l’article 1525 du C.c.Q. :
Constitue l’exploitation d’une entreprise l’exercice, par une ou plusieurs personnes, d’une activité économique organisée, qu’elle soit ou non à caractère commercial, consistant dans la production ou la réalisation de biens, leur administration ou leur aliénation, ou dans la prestation de services[5].
La définition du terme « entreprise », telle qu’elle est formulée dans l’article 1525 du C.c.Q., a fait l’objet de nombreux débats[6]. Toutefois, avant d’être nommé à la Cour d’appel du Québec, Me Pierre Dalphond a décrit cinq éléments permettant de déterminer l’existence d’une entreprise[7]. Pour pouvoir appliquer la Loi, les tribunaux ont eu recours à ces éléments afin de conclure à l’existence d’une entreprise au sens de l’article 1525 du C.c.Q.[8].
Dans l’affaire Firquet c. Acti-Com datant d’octobre 2018, la Commission d’accès à l’information du Québec (la « CAI ») a ainsi énuméré les cinq éléments cumulatifs qui permettent d’établir l’existence d’une entreprise en droit civil québécois :
a) nécessité d’un plan précisant les objectifs économiques de l’entreprise et en fonction duquel l’activité est organisée (qui n’a pas besoin d’être complexe, ni même écrit);
b) nécessité d’actifs reliés à la poursuite des objectifs (qui peuvent varier de la gigantesque société avec son personnel, ses outillages et équipements et ses immeubles, au simple coffre d’outils de l’artisan);
c) nécessité d’une série d’actes juridiques habituels, usuels, impliquant l’entrepreneur et faits dans la poursuite des objectifs préétablis;
d) nécessité d’autres intervenants économiques réceptifs aux biens ou services offerts par l’entreprise, généralement définis comme la clientèle, l’achalandage ou le marché; et
e) présence d’une valeur économique ou d’un bénéfice directement attribuable aux efforts de l’entrepreneur.[9]
La CAI a utilisé ces éléments pour déterminer si la Loi s’appliquait aux activités de Gérard Camisa, qui a agi au nom de son mandant, la société française Pouey International. Selon la CAI, M. Camisa procédait selon un plan simple, mais bien défini, qui comprenait la réalisation d’environ deux missions par an. Pouey communiquait à M. Camisa les coordonnées d’acheteurs canadiens auprès de fournisseurs français. M. Camisa contactait ensuite leurs représentants dans le but de créer des occasions d’affaires. M. Camisa accomplissait ses mandats à son domicile personnel à l’aide de matériel informatique, lequel matériel a été considéré comme un bien utilisé en vue d’atteindre des objectifs économiques. Les objectifs, bien que sporadiques, donnaient lieu à des actes juridiques, soit la conclusion d’ententes de remboursement. En échange de ses services, M. Camisa recevait une somme d’argent de son client, Pouey. En conséquence, la CAI a conclu que M. Camisa exploitait une « entreprise » au sens de l’article 1525 C.c.Q. et que la Loi s’appliquait[10].
2. Entreprises étrangères
Pour que la Loi s’applique, l’entreprise doit être exploitée au Québec. À titre de remarque préliminaire, la CAI a souligné que « la loi vise uniquement les personnes qui “exploitent une entreprise au Québec” »[11].
Néanmoins, les tribunaux appliquent des facteurs généraux pour définir ce critère géographique. Dans l’affaire Institut d’assurance du Canada c. Guay, la CAI a considéré que la Loi s’appliquait à une entité située en Ontario qui vendait des biens et des services au Québec, même si l’entité n’avait qu’un bureau au Québec avec un nombre minimal d’employés qui n’étaient ni ses agents ni ses mandataires. De plus, l’entité ne conservait pas de documents contenant des renseignements personnels au Québec, mais la CAI a souligné que l’entité ne pouvait échapper à l’application de la Loi en transférant des renseignements personnels du Québec vers l’Ontario[12].
Les tribunaux ont également soutenu que les entreprises étrangères qui font affaire au Québec ou qui offrent des biens ou des services se retrouvant sur le marché québécois peuvent être des « entreprises » au sens de l’article 1525 du C.c.Q. Dans l’affaire Serres Floraplus inc. c. Norséco inc., la société américaine Jackson & Perkins Wholesale (« JPW ») était engagée dans l’élaboration et la commercialisation de produits horticoles en Amérique du Nord. La Cour supérieure du Québec a jugé que JPW était une entreprise au sens de l’article 1525 du C.c.Q. et ce, sans avoir recours aux cinq éléments décrits précédemment et sans donner d’explications exhaustives[13]. Dans l’affaire Jabre c. Middle East Airlines-AirLiban, le transporteur aérien du Moyen-Orient avait un siège social à Beyrouth et une succursale au Québec qui comptait huit employés non syndiqués, embauchés localement, mais supervisés par le siège social. Dans ce cas, la CAI a statué que ce transporteur était une « entreprise » et a donc appliqué la Loi[14].
3. Leçons à tirer de la LPRPDE
L’article 4 de la LPRPDE prévoit que la loi s’applique aux organisations qui recueillent, utilisent et communiquent des renseignements personnels dans le cadre d’activités commerciales et aux entreprises fédérales qui font de même à l’égard de leurs employés[15].
L’article 4 ne donne aucune indication quant à la portée territoriale de la Loi. Les tribunaux utilisent en revanche le critère du « lien réel et substantiel » pour déterminer si la LPRPDE s’applique aux organisations étrangères[16]. Ce critère a été utilisé pour la première fois en 1993 dans l’affaire Morguard Investments, et a été appliqué dans de nombreux cas et a évolué depuis[17]. Les tribunaux ont déterminé que la question permettant de savoir s’il y a lieu d’appliquer la LPRPDE à une organisation étrangère est « l’existence entre le Canada et l’[activité] en question d’un lien suffisant pour que le Canada applique ses dispositions conformément aux “principes d’ordre et d’équité” »[18].
Dans l’affaire A.T. c. Globe24h.com, la Cour fédérale a appliqué la LPRPDE à un Roumain qui exploitait un site Internet qui recueillait et publiait de la jurisprudence canadienne contenant des renseignements personnels. Même si le site Internet était exploité et hébergé en Roumanie, il contenait des décisions canadiennes, visait des Canadiens et avait des répercussions sur des Canadiens. La Cour fédérale a recouru à ces éléments pour établir un lien réel et substantiel avec le Canada[19].
De la même manière, dans la récente affaire abordée dans le Rapport de conclusions d’enquête en vertu de la LPRPDE no #2018-002, le Commissariat à la protection de la vie privée du Canada a appliqué la LPRPDE à une société de la Nouvelle-Zélande exploitant un site Internet qui affichait des profils d’un réseau social d’utilisateurs canadiens. Les éléments rapportés par le Commissariat étaient les suivants : le site Internet prétendait contenir des renseignements sur des profils de Canadiens accessibles au public, il avait besoin des renseignements personnels des utilisateurs canadiens pour être en mesure d’offrir des services, il fournissait de la publicité canadienne, il cherchait à attirer les utilisateurs canadiens et l’impact du site Internet était ressenti par la population canadienne[20].
Dans les deux cas, le fait que des autorités étrangères enquêtaient également sur des plaintes en matière de protection des renseignements personnels n’a pas empêché l’application de la LPRPDE[21].
4. Leçons à tirer du RGPD
Le RGPD prévoit pour sa part son application territoriale à son article 3. Par ailleurs, le Comité européen de la protection des données a également publié des lignes directrices détaillées sur le champ d’application territoriale du RGPD en novembre 2018, lesquelles sont accessibles en ligne[22].
En résumé, le RGPD s’applique au traitement de données à caractère personnel[23] qui a lieu dans le cadre d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’UE, que le traitement ait lieu ou non dans l’UE[24]. La notion d’« établissement » suppose l’exercice effectif et réel d’une activité au moyen d’un dispositif stable. Elle est interprétée de manière large et flexible, et peut s’entendre de toute ressource humaine ou technique disponible au sein de l’UE[25].
En outre, le RGPD s’applique au traitement de données à caractère personnel de personnes concernées qui se trouvent sur le territoire de l’UE, même s’il est effectué par un responsable du traitement ou un sous-traitant non établi dans l’UE. Dans cette situation, le RGPD s’applique si les activités de traitement concernent soit l’offre de biens ou de services à des personnes concernées sur le territoire de l’UE, soit le suivi du comportement de personnes concernées sur le territoire de l’UE[26].
5. Conclusion et questions
Les tribunaux du Québec ont délimité la portée de la Loi sur la protection des renseignements personnels dans le secteur privé en se fondant sur la notion d’« entreprise », mais il reste maintenant à en préciser le champ d’application territorial. Par conséquent, la question de l’application territoriale de la législation québécoise en matière de protection des renseignements personnels demeure incertaine.
En revanche, pour ce qui est de la LPRPDE, les juristes bénéficient d’une jurisprudence offrant une méthode bien établie, à savoir le critère du « lien réel et substantiel ». De la même manière, en vertu du RGPD, les avocats peuvent consulter des dispositions législatives et des documents d’orientation détaillés.
Plusieurs questions se posent alors à l’égard de la Loi sur la protection des renseignements personnels dans le secteur privé du Québec.
a) La Loi s’applique-t-elle tout de même à une société étrangère qui ne satisfait que de façon minimale ou nominale aux critères utilisés pour déterminer l’existence d’une entreprise? Le faible volume d’affaires n’était pas un obstacle à l’application de la Loi dans l’affaire Firquet, qui ne comportait que deux mandats par an. Toutefois, dans ce cas, la Loi s’appliquait à un mandataire d’une société française qui se trouvait au Québec. Le demandeur n’a pas tenté de l’appliquer à la société elle-même.
b) La jurisprudence concernant la portée territoriale interprovinciale de la Loi est-elle pertinente pour déterminer la portée internationale de la Loi ou pour la définition du terme « entreprise »? Comme nous l’avons mentionné précédemment, dans l’affaire Guay, la Cour a relevé des éléments pertinents à la question de l’application de la Loi à une entreprise de l’Ontario. L’affaire Jabre et celle de Serres concernent des entreprises internationales et ne mentionnent pas l’affaire Guay.
c) Si un gouvernement étranger enquête sur les activités d’une entreprise étrangère qui se rapportent à la protection de la vie privée et des renseignements personnels, la Loi du Québec peut-elle toujours s’appliquer à l’entreprise? Le fait qu’une entreprise étrangère fasse ou puisse faire l’objet d’une enquête par les autorités de son propre pays n’a pas fait obstacle à l’application de la LPRPDE dans les cas de Globe24h.com et du Rapport de conclusions d’enquête en vertu de la LPRPDE no #2018-002. Il n’est pas certain qu’il en soit de même pour la Loi du Québec.
À l’avenir, ces questions et d’autres enjeux relatifs à la portée territoriale de la Loi pourraient trouver réponse dans la jurisprudence ou peut-être même dans un document d’orientation de la CAI. Les réponses pourraient être inspirées des approches adoptées par la LPRPDE ou le RGPD. D’ici là, les entreprises étrangères devraient se soucier de l’application éventuelle de la Loi aux renseignements personnels au Québec.
[1] RLRQ, c. P-39.1.
[2] L.C. 2000, c. 5.
[3] Whitehouse c. Ordre des pharmaciens du Québec, AZ-95151055, A.I.E. 95AC-79, [1995] C.A.I. 252, page 12 [Whitehouse].
[4] Whitehouse, dont il est fait mention à la note 3, pages 27-29. Le terme « entreprise » figure aux arts. 2186, 2830 et 2862 du Livre Septième du C.c.Q. « Toutefois, la Loi sur le secteur privé s’applique spécifiquement aux entreprises tel que visé par l’article 1525 C.c.Q. et pas aux entreprises au sens du Livre Septième C.c.Q. »
[5] Code civil du Québec, RLRQ c. CCQ-1991, art. 1525.
[6] Grenier c. Collège des médecins du Québec, AZ-96151040, A.I.E. 96AC-40, [1996] C.A.I. 199, pages 7-11.
[7] Pierre J. Dalphond, « Entreprise et vente d’entreprise en droit civil québécois » (1994) 54 Revue du Barreau 45, p. 39.
[8] Whitehouse, dont il est fait mention à la note 3, page 16.
[9] Firquet c. Acti-Com, 2018 QCCAI 245, AZ-51543145, 2018EXP-3257, par. 14 [Firquet].
[10] Ibid., par. 15-18.
[11] Institut d’assurance du Canada c. Guay, AZ-98031022, J.E. 98-141, A.I.E. 98AC-2, [1998] C.A.I. 431 [Guay].
[12] Ibid.
[13] Serres Floraplus inc. c. Norséco inc., 2008 QCCS 1455, AZ-50485894, J.E. 2008-931, [2008] R.J.Q. 1075, par. 3 et 21 [Serres].
[14] Malgré certaines questions constitutionnelles qui dépassent la portée du présent bulletin. Se reporter à l’affaire Jabre c. Middle East Airlines-AirLiban S.A.L., AZ-98151346, A.I.E. 98AC-64, [1998] C.A.I. 404, pages 2 et 12 [Jabre].
[15] Ibid., article 4.
[16] Lawson c. Accusearch Inc., 2007 FC 125, par. 3 et 34.
[17] Se reporter, par exemple, aux nombreux cas cités dans l’affaire A.T. c.. Globe24h.com, 2017 FC 114, par. 51 [Globe24h].
[18] Ibid., par. 52.
[19] Ibid., par. 53-56.
[20] Rapport de conclusions d’enquête en vertu de la LPRPDE no #2018-002, Commissariat à la protection de la vie privée du Canada, 12 juin 2018, accessible à l’adresse suivante : https://www.priv.gc.ca/fr/mesures-et-decisions-prises-par-le-commissariat/enquetes/enquetes-visant-les-entreprises/2018/lprpde-2018-002/, par. 77-78 [Rapport LPRPDE 2018-002].
[21] Ibid., par 79. Globe24h, dont il est fait mention à la note 20, par. 56.
[22] Comité européen de la protection des données, Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) - Version for public consultation [Lignes directrices 3/2018 sur le champ d’application territorial du RGPD (article 3) - version pour consultation publique], 16 novembre 2018, accessible en anglais à l’adresse suivante : <https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_3_2018_territorial_scope_en.pdf>.
[23] Le terme « traitement » signifie « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ». Consulter le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) JO 2016 L 119/1 [RGPD], article 4.
[24] Ibid., article 3 (1).
[25] Google Spain SL et Google Inc. c. Agencia Española de Protección de Datos et Mario Costeja González, CJUE, 13 mai 2014, C 131/12, UE, par. 48.
[26] RGPD, dont il est fait mention à la note 23, article 3(2).
