Comment réaliser une Évaluation des facteurs relatifs à la vie privée (« ÉFVP »)? [1]
La Loi sur le secteur privé exige de réaliser une ÉFVP dans trois scénarios[2] :
- Lors de la transmission de renseignements personnels à l’extérieur du Québec[3];
- Pour tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels[4];
- Avant de communiquer des renseignements personnels à des fins d’étude, de recherche ou de production de statistiques sans le consentement des personnes concernées[5].
La Commission d'accès à l'information (« CAI ») offre d’ailleurs un guide général pour procéder aux ÉFVP sur son site internet, qui doit être « révisé ultérieurement » pour refléter les changements apportés par la Loi 25[6].
En matière d’ÉFVP, le défi demeure de détecter, à travers l’entreprise, les situations qui requièrent de procéder à une ÉFVP et de les rapporter au RPRP pour procéder aux analyses nécessaires.
Qu’est-ce qu’un délai de conservation?
Lorsque les fins pour lesquelles un renseignement personnel a été recueilli ou utilisé sont accomplies, l’entreprise doit le détruire ou l’anonymiser pour l’utiliser à des fins sérieuses et légitimes, sous réserve d’un délai de conservation prévu par la loi[7]. L’expression « délai de conservation » réfère au délai qu’une entreprise doit identifier et associer à chaque catégorie de renseignement personnel qu’elle détient avant de procéder à leur destruction ou, lorsque permis, à leur anonymisation.
L’ensemble des délais de conservation sont documentés dans un calendrier de conservation. La réalisation d’un tel calendrier de conservation est une étape fastidieuse, mais nécessaire pour toute entreprise visée par la Loi sur le secteur privé, surtout étant donné les sanctions salées qui y sont désormais associées (jusqu’à 25 millions $ ou 4 % du chiffre d’affaires mondial, selon le montant le plus élevé des deux)[8]. Pour ce faire, si elles n’en détiennent pas déjà un, les entreprises devraient commencer par dresser un inventaire des renseignements personnels dont elles ont le contrôle, que leur conservation soit assurée par l’entreprise ou par un tiers.
À quel moment doit-on considérer que les fins auxquelles un renseignement personnel a été recueilli ont été accomplies et à quel moment doit-il être détruit?
Les finalités visées à l’article 23 de la Loi sur le secteur privé sont celles identifiées avant d’avoir procédé à la collecte des renseignements personnels. En effet, avant de recueillir des renseignements personnels, une entreprise doit déterminer les finalités de la collecte pour, par exemple, en informer la personne concernée lors de la collecte[9].
Une fois ces finalités accomplies, l’entreprise doit examiner si des obligations de conservation requièrent qu’elle conserve les renseignements personnels pour une durée additionnelle. Par exemple, des délais fiscaux ou déontologiques pourraient s’appliquer. Il faut donc additionner les durées sous-jacentes aux finalités initialement déterminées et les délais de conservation obligatoires afin de déterminer le délai de destruction de chaque catégorie de renseignement personnel détenu par une entreprise.
Comment fait-on pour éviter des incidents de confidentialité?
Le risque 0 n’existe pas. Même avec d’excellentes mesures de sécurité et une gouvernance hors pair, l’erreur est humaine. De plus, certains incidents de confidentialité sont issus de menaces externes auxquelles il est difficile de se préparer, car en constante évolution.
Ceci étant dit, il importe de s’y préparer de façon diligente. Par exemple, les entreprises devraient mettre en place les mesures nécessaires pour détecter les activités irrégulières, les téléchargements ou les accès anormaux aux renseignements personnels de l’entreprise (surveillance active)[10]. La préparation de formations internes, ainsi que les mesures de protection des supports physiques représentent également des mesures qu’il est possible d’examiner pour rehausser le niveau de sécurité général d’une entreprise et ainsi minimiser les risques d’incidents de confidentialité.
Enfin, une entreprise devrait s’assurer de ne conserver que les renseignements personnels qui sont nécessaires aux finalités déterminées avant la collecte[11]. En effet, moins une entreprise détient de renseignements personnels, moins grande sera la probabilité qu’elle subisse un incident de confidentialité d’importance.
À l’heure actuelle, existe-t-il un droit à la suppression des renseignements personnels?
Il n’existe pas de droit absolu à la suppression des renseignements personnels dans la Loi sur le secteur privé. Cela dit, une personne pourrait demander la suppression d’un renseignement la concernant (i) s’il est inexact, incomplet, ou équivoque, (ii) si sa collecte, sa communication ou sa conservation ne sont pas autorisées par la loi, ou (iii) s’il est périmé ou non justifié par l’objet du dossier[12].
Consulter notre bulletin Dépersonnalisation, anonymisation et désindexation : nouveau jargon, nouvelles obligations! pour en savoir plus sur les nouveaux droits introduits par la Loi 25.
Est-ce que nos sites web ont l’obligation d’avoir un bannière pour l’acceptation des fichiers témoins (cookies)?
En plus de l’obligation d’information au moment de la collecte[13], la personne qui recueille des renseignements personnels auprès de la personne concernée au moyen d’une technologie comprenant des fonctions permettant de l’identifier, de la localiser, ou d’effectuer un profilage doit, au préalable, l’informer des éléments suivants :
- le recours à cette technologie
- les moyens offerts pour activer les fonctions permettant d’identifier, de localiser ou d’effectuer un profilage[14].
Lorsqu’un employeur utilise un prestataire de service pour recueillir des renseignements personnels pour son compte, qui doit obtenir le consentement du travailleur?
L’article 18.3 de la Loi sur le secteur privé prévoit expressément une exception à l’obligation d’obtenir le consentement des personnes concernées pour communiquer des renseignements personnels dans le cadre d’un mandat[15] ou d’un contrat de service ou d’entreprise[16], à certaines conditions. Par conséquent, si l’employeur communique certains renseignements personnels à son prestataire de service pour l’accomplissement de son mandat, il n’a généralement pas besoin d’obtenir le consentement des personnes concernées (ici, les travailleurs).
Au contraire, si le prestataire de service recueille des renseignements personnels pour le compte d’un tiers (ici, l’employeur), ce dernier est tenu à plusieurs obligations afin d’obtenir un consentement valide[17]. Néanmoins, l’employeur demeure responsable de s’assurer que les méthodes employées sont conformes à la loi, par contrat ou autrement. En effet, une entreprise demeure responsable des renseignements personnels sous son contrôle, même si ces derniers sont confiés à un tiers[18].
[1] Pour les fins de ce bulletin, toutes les références législatives doivent être lues comme intégrant les modifications introduites par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, L.Q. 2021, c. 25 (la « Loi 25 »), lesquelles entrent en vigueur en plusieurs phases. Pour un rappel des différentes dates d’entrée en vigueur, consulter la Loi sur le secteur privé annotée ou la Loi sur l’accès annotée.
[2] Dans le secteur public, il y a cinq scénarios, lesquels sont prévus aux articles 63.5, 64, 67.2.1, 68 et 70.1 de la Loi sur l’accès. Voir SRIDAIL, « Évaluation des facteurs relatifs à la vie privée », en ligne : https://www.quebec.ca/gouvernement/travailler-gouvernement/travailler-fonction-publique/services-employes-etat/conformite/protection-des-renseignements-personnels/evaluation-facteurs-relatifs-vie-privee à ce sujet.
[3] Loi sur le secteur privé, art. 17.
[4] Loi sur le secteur privé, art. 3.3.
[5] Loi sur le secteur privé, art. 21.
[6] Voir Commission d’accès à l’information, « Guide d’accompagnement », en ligne : https://www.cai.gouv.qc.ca/documents/CAI_Guide_EFVP_FR.pdf.
[7] Loi sur le secteur privé, art. 23.
[8] Loi sur le secteur privé, art. 91.
[9] Loi sur le secteur privé, art. 4 et 8.
[10] Sur la notion de surveillance active, voir Fédération des caisses Desjardins du Québec, 1020846-s, en ligne : https://www.cai.gouv.qc.ca/documents/Decision_1020846-11-décembre-2020_VF_diffusion.pdf
[11] Loi sur le secteur privé, art. 5.
[12] Selon une lecture des art. 28 et 35 de la Loi sur le secteur privé et de l’art. 40 du C.c.Q.; Notons que la Loi sur le secteur privé, telle que modifiée par la Loi 25, prévoit à son article 1.1 qu’« une personne qui recueille des renseignements personnels sur autrui en raison d’un intérêt sérieux et légitime est réputée constituer un dossier au sens du Code civil et les droits concernant ce dossier conférés par les articles 35 à 40 de ce code s’appliquent aux renseignements personnels recueillis. »
[13] Loi sur le secteur privé, art. 8.
[14] Comme l’indique l’article 8.1 de la Loi sur le secteur privé, en plus de l’information à fournir suivant l’art. 8.
[15] C.c.Q., art. 2130.
[16] C.c.Q., art. 2098.
[17] Voir, par exemple, Loi sur le secteur privé, art. 8 al. 2.
[18] Loi sur le secteur privé, art. 1 al. 2 et 3.1.
