Dans de précédents bulletins, il a été question du projet de loi 64, qui introduit un nouveau cadre pour le transfert de renseignements personnels à l'extérieur du Québec. En effet, une évaluation des facteurs relatifs à la vie privée doit être réalisée pour démontrer que les informations seront protégées dans la même mesure que celle prévue par la Loi sur la protection des renseignements personnels dans le secteur privé du Québec[1]. Par ailleurs, comme le fait l'Union européenne, le ministre publiera une liste des États où les lois sur la protection de la vie privée sont équivalentes à celles applicables au Québec. Cette liste est comparable aux décisions d'adéquation de l'Union européenne qui permettent le transfert de renseignements personnels de l'UE vers des pays tiers (en particulier, voir RGDP, art. 45)[2].
Afin de déterminer ce qui pourrait être inclus dans l'évaluation des facteurs relatifs à la vie privée du projet de loi 64, nous pouvons nous référer aux nouveaux documents publiés par le Comité européen de la protection des données (le « CEPD »), lesquels expliquent les conditions fixées par la Cour de justice de l'Union européenne (la « CJUE »), dans l'arrêt Schrems 2[3].
Rappelons que, dans Schrems 2, la CJUE avait invalidé le Privacy Shield et précisé que le transfert de renseignements personnels à des pays tiers ne devait pas porter atteinte à la protection qui leur est accordée en Union européenne.
La Cour a également souligné qu'il incombe aux exportateurs de renseignements confidentiels de vérifier, au cas par cas et, au besoin, en collaboration avec l'importateur du pays tiers, si la loi ou les usages du pays tiers porte atteinte à l'efficacité des garanties appropriées mentionnées dans le RGPD, comme les clauses contractuelles types (les « CCT » ou « SCC » selon l'acronyme anglais) et les règles d'entreprise contraignantes (les « REC » ou « BCR » selon l'acronyme anglais). Dans une telle hypothèse, la Cour n'exclut pas la possibilité pour les exportateurs de mettre en œuvre des mesures supplémentaires qui combleraient ces lacunes dans la protection des données pour atteindre les niveaux requis par l'UE. Elle n'a toutefois pas précisé de quelles mesures il pourrait s'agir.
Dans ce contexte, le CEPD a adopté des recommandations[4] comprenant des informations et obligations à l'intention des exportateurs de renseignements personnels. Si l'évaluation des facteurs relatifs à la vie privée est la pierre angulaire du processus de transfert des renseignements personnels, elle est aussi accompagnée d'autres mécanismes. En effet, avant de transférer des renseignements personnels, l'exportateur doit suivre les étapes suivantes.
Étape 1 : Connaissance des transferts
Les exportateurs de renseignements personnels, qu'ils agissent comme responsable de traitement ou sous-traitant, doivent mettre en œuvre une cartographie des données afin de s'assurer que les données transférées sont adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont transférées et traitées dans le pays tiers. Pour ce faire, l'exportateur peut se fier au registre des activités de traitement et doit tenir compte des transferts ultérieurs.
Étape 2 : Détermination de l'outil sur lequel repose le transfert
Les exportateurs qui transfèrent des renseignements personnels doivent déterminer quel outil s'applique, à savoir une décision d'adéquation ou des garanties appropriées.
Jusqu'à présent, la Commission européenne[5] a reconnu qu'Andorre, l'Argentine, le Canada (sous le régime de la LPRPDE), les Îles Féroé, Guernesey, Israël, l'Île de Man, le Japon, Jersey, la Nouvelle-Zélande, la Suisse et l'Uruguay fournissent un niveau de protection équivalent à celui du RGPD. Des discussions sur l'adéquation ont actuellement lieu avec la Corée du Sud. Les exportateurs qui décident de transférer des renseignements confidentiels vers les pays mentionnés ci-dessus n'auront pas d'autres mesures à prendre.
En l'absence d'une décision d'adéquation, les exportateurs peuvent se prévaloir des outils juridiques de transfert prévus à l'article 46 du RGPD, comme les SCC et les BCR. Dans un tel cas, ils devront compléter ces outils et les garanties qu'ils fournissent avec des mesures supplémentaires permettant d'atteindre un niveau de protection essentiellement équivalent.
Outre les décisions d'adéquation et les outils de l'article 46, le RGPD offre dans certaines circonstances une troisième possibilité pour autoriser les transferts de renseignements personnels. Sous réserve de conditions bien précises, les exportateurs peuvent transférer des renseignements personnels en invoquant l'une des dérogations prévues à l'article 49, comme le consentement de la personne concernée. Cela dit, ces dérogations doivent être interprétées de manière restrictive et visent surtout les activités de traitement occasionnelles et non répétitives.
Si le transfert ne peut être justifié ni par une décision d'adéquation ni par une dérogation prévue à l'article 49, l'exportateur doit passer à l'étape 3.
Étape 3 : Évaluation du régime juridique du pays de destination
Voici enfin l'évaluation que nous avons mentionnée! Les exportateurs doivent vérifier si une loi ou une pratique quelconque du pays de destination est susceptible de nuire à l'efficacité des garanties appropriées fournies par l'outil juridique utilisé pour encadrer le transfert.
Les règles de droit applicables dépendront notamment des circonstances du transfert, plus particulièrement la raison pour laquelle les données sont transférées et traitées, des types d'entités qui participent au traitement, du secteur en cause et des catégories de renseignements personnels faisant l'objet du transfert.
Le CEPD a publié d'autres recommandations[6] pour la réalisation de cette évaluation, dans lesquelles elle indique que les exigences juridiques pouvant justifier la restriction de la protection des données et des droits à la protection de la vie privée reconnus par le Charte des droits fondamentaux de l'Union européenne peuvent être résumées en quatre « garanties européennes essentielles » :
- Le traitement doit être encadré par des règles claires, précises et accessibles;
- Le caractère nécessaire et proportionnel par rapport aux finalités légitimes doit être démontré;
- Il doit exister un organisme de surveillance indépendant;
- Des recours efficaces doivent être à la disposition de la personne.
Étape 4 : Identification et adoption de mesures supplémentaires
Cette étape est nécessaire seulement si l'évaluation précédente révèle que les lois du pays de destination nuisent à l'efficacité de l'outil de transfert de l'article 46 du RGPD.
Si l'exportateur choisit d'aller de l'avant avec le transfert malgré les résultats de l'évaluation, il doit en aviser l'autorité de contrôle compétente. Cette dernière suspendra ou interdira le transfert des données si elle estime qu'un niveau équivalent de protection ne peut pas être assuré.
Néanmoins, le CEPD donne des exemples de mesures supplémentaires pouvant être adoptées selon les circonstances du transfert :
- Chiffrement fort des renseignements personnels avant leur transmission;
- Pseudonomysation des renseignements personnels;
- Fractionnement des renseignements personnels pour que les données reçues par un même sous-traitant ne soient pas suffisantes pour reconstituer les renseignements personnels (que ce soit en totalité ou en partie);
- Mesures contractuelles supplémentaires, comme une obligation de transparence. Par exemple, l'importateur pourrait être tenu d'énumérer les lois et les règlements du pays de destination qui s'appliquent à lui ou à ses sous-traitants et qui permettraient aux autorités publiques de consulter les données transférées;
- Politiques internes de gestion des transferts;
- Techniques de minimisation des données.
Étape 5 : Respect de la procédure nécessaire
Comme cinquième étape, le CEPD demande de suivre toutes les étapes procédurales nécessaires pour que les mesures supplémentaires soient adoptées, étapes qui varient selon l'outil juridique prévu à l'article 46 du RGPD que l'exportateur a choisi pour encadrer le transfert (ex. : SCC, BCR, clauses contractuelles ad hoc).
Il est à noter que la Commission européenne a publié un projet de nouvelles SCC[7] qui tiennent compte du RGPD et de l'arrêt Schrems 2. Toutefois, si elles sont adoptées dans leur forme actuelle, les exportateurs de renseignements personnels demeureront tenus de suivre les six étapes. En effet, le projet prévoit notamment des dispositions obligeant les exportateurs de données de confirmer qu'ils ont déployé des efforts pour exécuter leurs obligations, comme celle de réaliser une évaluation des risques du transfert qui tient compte (i) des circonstances particulières du transfert; (ii) des lois du pays tiers et (iii) de toute garantie supplémentaire. Ces SCC prévoient également des obligations dans le cas des demandes d'accès gouvernementales.
Elles prévoient en outre des dispositions sur l'incidence des lois locales sur la conformité aux SCC. De plus, l'annexe II des SCC offre des indications sur le type de mesures de sécurité qui doivent être mises en œuvre (ex. : exigences de pseudonymisation et de chiffrement; protection des données pendant leur transmission; journalisation des événements; certification). Ces indications peuvent être vues comme des lignes directrices pour les mesures supplémentaires.
Étape 6 : Évaluation continue du transfert
La sixième et dernière étape consiste à réévaluer de manière régulière le niveau de protection des renseignements personnels qui est assuré dans les pays tiers et de vérifier si des changements récents ou à venir sont susceptibles de le détériorer. Le principe de la responsabilité exige une surveillance constante du niveau de protection des renseignements personnels.
Il sera dorénavant difficile de transférer des renseignements personnels en dehors de l'Union européenne et du Québec. Ces étapes, sauf peut-être la cinquième, qui est propre au RGPD, peuvent s'appliquer au Québec. Fasken est là pour vous aider.
[1] Stoddart, J. et G. Laliberté, Le projet de loi 64 et l'exportation de données personnelles du Québec : des complications en vue, Bulletin Fasken.
[2] Uzan-Naulin, J., Le PL 64: à la recherche du RGPD?, Bulletin Fasken.
[3] CJUE, 16 juillet 2020, aff. C-311/18, Data Protection Commissioner c. Maximillian Schrems et Facebook Ireland. Voir J. Uzan-Naulin, Safe Harbour - Privacy Shield, même combat?, Bulletin Fasken.
[4] CEPD, Recommendation 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data (en anglais seulement), 10 novembre 2020.
[5] Commission européenne (europa.eu), Adequacy decisions (en anglais seulement).
[6] Recommendations 02/2020 on the European Essential Guarantees for surveillance measures (en anglais seulement), 10 novembre 2020.
[7] Protection des données – Clauses contractuelles types pour les transferts de données à caractère personnel à des pays tiers (acte d'exécution) : https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countries.
