Dans les dernières décennies, l'analyse d'impact sur la vie privée a pris une place accrue dans le domaine de la protection des données. Inspirée de l'étude d'impact environnementale, elle fait maintenant partie intégrante des bonnes pratiques de planification pour les nouvelles utilisations de renseignements personnels. Comme l'émergence de nouvelles technologies s'accélère sans cesse et qu'ils peinent à suivre ce rythme, les gouvernements et les organismes de réglementation exigent de plus en plus souvent une telle analyse pour les nouvelles activités qui requièrent le traitement de renseignements personnels.
Avec l'adoption récente dans l'Union européenne du Règlement général sur la protection des données (« RGPD »), les analyses d'impact, appelées « analyses d'impact relatives à la protection des données » (« AIPD ») en Europe, ne sont plus seulement une bonne pratique : elles sont maintenant une obligation dans bien des cas. Les AIPD sont désormais obligatoires pour tout traitement de données effectué à l'aide de nouvelles technologies et « lorsque l'atteinte est susceptible d'engendrer un risque pour les droits et libertés » des personnes concernées[1]. Par conséquent, la responsabilité du respect de la vie privée ne repose plus uniquement sur les épaules des institutions ou des citoyens : elle incombe désormais à toutes les organisations.
Cette même approche est préconisée au Québec dans le Projet de loi 64[2].
Quelles sont les nouveautés?
Le Projet de loi 64 propose essentiellement d'obliger les entreprises privés et organismes publics du Québec à procéder à une évaluation des facteurs relatifs à la vie privée (« EFVP ») :
- pour « tout projet de système d'information ou de prestation électronique de services impliquant la collecte, l'utilisation, la communication, la conservation ou la destruction de renseignements personnels »[3];
- avant de communiquer des renseignements personnels sans le consentement des personnes concernées à une personne ou un organisme qui souhaite utiliser ces renseignements à des fins d'étude, de recherche ou de production de statistiques[4];
- avant de communiquer un renseignement personnel à l'extérieur du Québec[5];
- avant de communiquer des renseignements personnels à un organisme public d'un autre gouvernement si cela est nécessaire à l'exercice des droits et des pouvoirs de l'organisme destinataire ou à la mise en œuvre d'un programme sous sa direction, si cela est clairement fait au profit de la personne concernée, si des circonstances exceptionnelles le justifient ou si cela est nécessaire aux fins d'un service fourni à la personne concernée par un organisme public (concerne uniquement les organismes publics)[6];
- avant de recueillir, d'utiliser ou de divulguer des renseignements personnels dans l'exercice de leurs fonctions (concerne uniquement les organismes publics ayant le statut de gestionnaire de renseignements personnels)[7].
Entreprises et projets de systèmes d'information
Le Québec devra désormais effectuer une EFVP pour « tout projet de système d'information ou de prestation électronique de services »[8]. Le projet de loi 64 va plus loin que le RGPD (où l'AIPD devient obligatoire en fonction du risque individuel[9]), car il requiert une évaluation pour tout nouveau projet, et non uniquement ceux qui semblent à haut risque.
La personne responsable de la protection des renseignements personnels au sein de l'entreprise doit être consultée aux fins de l'EFVP. Le Projet de loi 64 décrit ce que cette personne peut proposer, à toute étape du projet :
- la nomination d'une personne chargée de la mise en œuvre des mesures de protection des renseignements personnels;
- des mesures de protection des renseignements personnels dans tout document relatif au projet;
- une description des responsabilités des participants au projet en matière de protection des renseignements personnels;
- la tenue d'activités de formation sur la protection des renseignements personnels pour les participants au projet[10].
Le Projet de loi 64 ajoute que ces nouveaux projets de système d'information ou de prestation électronique de services doivent permettre d'assurer la portabilité des données, c'est-à-dire qu'un renseignement personnel informatisé puisse être communiqué à la personne concernée dans un « format technologique structuré et couramment utilisé »[11].
Qu'est-ce exactement qu'une évaluation des facteurs relatifs à la vie privée?
Le projet de loi 64 s'avère très restrictif, mais se garde d'énoncer des critères qui permettraient de déterminer si une EFVP est adéquate. Il ne dit rien au sujet du rôle du risque dans l'évaluation à effectuer. Il n'évoque pas non plus la mise en œuvre de l'évaluation dans le projet ni les éventuelles conséquences d'une évaluation incomplète ou d'une absence d'évaluation.
On y trouve à tout le moins un aperçu de la nature des facteurs à évaluer lors d'une EFVP préalable à la communication de renseignements à l'extérieur du Québec, alors qu'on y précise qu'une telle évaluation doit tenir compte a) de la sensibilité du renseignement, b) de la finalité de son utilisation, c) des mesures de protection dont le renseignement bénéficierait et d) du régime juridique applicable dans l'État où ce renseignement serait communiqué [12].
Heureusement, la Commission d'accès à l'information (la « Commission ») a produit un document de travail expliquant la marche à suivre pour procéder à une EFVP[13] (en français seulement). Toutefois, ce guide est paru avant le dépôt du Projet de loi 64; conséquemment, il présente l'EFVP comme un outil optionnel et pourrait donc être entièrement révisé suite à l'adoption du projet de loi.
Le guide indique les étapes du déroulement d'une EFVP.
1. Préparation: Cette étape consiste à définir le projet, le contexte organisationnel et les obligations de l'organisation en matière de protection de la vie privée et des renseignements personnels (recenser les renseignements personnels visés par le projet,évaluer leur degré de sensibilité et établir les interactions entre l'organisation et les renseignements personnels visés.
2. Réalisation: D'après le guide, les facteurs considérés comme « relatifs à la vie privée » et qui sont à évaluer sont les suivants :
- La conformité du projet à la législation applicable à la protection des renseignements personnels et le respect des principes qui l'appuient, comme la détermination des fins, le consentement, la limitation de la collecte, de l'utilisation, de la divulgation et de la conservation, les mesures de sécurité et l'exactitude des renseignements recueillis.
- L'identification des risques d'atteinte à la vie privée engendrés par le projet, par exemple la conservation de renseignements dont l'utilité n'est plus démontrée, le vol, la collecte excessive, la divulgation non autorisée ou la création excessive ou injustifiée de renseignements.
- L'évaluation de l'impact des risques en matière de vie privée engendrés par le projet, qui peut être réalisée au moyen d'un système de notation. Dans tous les cas, il est important que les risques soient quantifiés et gérés et qu'un degré de risque acceptable soit établi en amont.
- La mise en place de stratégies pour éviter ces risques ou les réduire efficacement : il peut s'agir d'un système de gestion des documents qui applique automatiquement un calendrier de conservation, d'un examen des procédures d'attribution et de gestion des accès informatiques, de l'embauche d'une firme de sécurité informatique pour examiner les paramètres de sécurité du produit ou du service, de la révision des clauses de confidentialité des contrats, etc.
3. Préparation du rapport: La dernière étape du processus vise à consolider les résultats de l'évaluation et à attester de vos réflexions et de vos actions en cas de vérification, d'inspection ou d'enquête de la part d'un organisme de réglementation.
Fasken Plus : un excellent outil pour les EFVP
Fasken sait que ses clients ont à composer avec un fardeau réglementaire en croissance constante et possède déjà une vaste expertise dans la réalisation de toutes sortes d'évaluations. Notre cabinet compte des avocats habilités à donner des conseils juridiques sur la conformité au RGPD et mènent des AIPD; certains de nos experts sont certifiés Lead Implementer ISO/IEC 27701:2019 et nous élargissons notre certification ISO/IEC 27001:2013 afin de déployer un système de gestion des renseignements personnels dans tous nos bureaux Fasken au Canada.
Fasken met la collaboration avec le client et la gestion de dossiers à l'avant-plan avec son portail Fasken Plus, qui aide sa clientèle à s'adapter de façon dynamique aux enjeux de conformité tout en réduisant ses frais juridiques.
Cette plateforme comporte plusieurs fonctionnalités utiles à des fins de conformité, dont la création et la gestion de répertoires de traitement des données, mais elle donne avant tout accès à un outil d'évaluation des risques fondé sur des contrôles qui permet aux clients de personnaliser leurs méthodes en fonction de leur degré de maturité et de risque. Cet outil intégré à Fasken Plus peut être utilisé pour générer des rapports, réaliser des évaluations des risques pour la vie privée, des analyses d'impact relatives à la protection des données, des évaluations des risques pour la sécurité et toute autre évaluation fondée sur des contrôles requise par le RGPD, les normes ISO et, bientôt, par les lois québécoises en matière de protection des renseignements personnels. Les rapports peuvent être liés à des documents du client stockés dans une salle de données et les clients peuvent créer un nombre illimité d'évaluations.
Grâce à l'outil novateur Fasken Plus, nos clients règlent toutes leurs questions de gouvernance, de conformité et de risque pour une fraction du prix de la plupart des autres logiciels spécialisés sur le marché. N'hésitez pas à communiquer avec nous si vous souhaitez en savoir plus sur Fasken Plus ou sur tout autre outil juridique novateur de Fasken.
|
CENTRE DE RESSOURCES PL64 - Découvrez notre INSTITUT FASKEN - Inscrivez-vous à notre formation qui fera la lumière sur les principales modifications à la loi 64 et les impacts à prévoir dans la gestion de vos affaires. LISTE DE DISTRIBUTION - Pour ne pas manquer nos prochains bulletins, notre webinaire de formation et toutes autres informations pertinentes à ce sujet, inscrivez-vous dès maintenant sur notre liste de distribution. |
[1] Règlement général sur la protection des données, 2016/679, attendus 89 à 95 et art. 35.
[2] Projet 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels.
[3] Projet de loi 64, art.14 et 95.
[4] Projet de loi 64, art. 23 et 110.
[5] Projet de loi 64, art. 70.1 et 103.
[6] Projet de loi 64, art. 25.
[7] Projet de loi 64, art. 27.
[8] Projet de loi 64, art. 95.
[9] RGPD, art. 35.
[10] Projet de loi 64, art. 95.
[11] Ibid.
[12] Projet de loi 64, art. 27 et 103.
[13] Commission d'accès à l'information, Guide d'accompagnement – Réaliser une évaluation des facteurs relatifs à la vie privée, mis à jour le 5 mai 2020, 20 p. (en français seulement).
