Le 22 septembre 2023, la CAI a publié un nouveau guide sur les évaluations des facteurs relatifs à la vie privée (« EFVP ») qui, à bien des égards, va au-delà des exigences de la Loi. Cela dit, d'entrée de jeu, on précise que son but n'est pas d'alourdir le fardeau des organisations, mais de les aider à réaliser des EFVP efficaces. La CAI prend soin de souligner qu'il n'est ainsi pas obligatoire de suivre le guide ou de l'appliquer à la lettre.

La version précédente du guide, rédigée en 2021, ne tenait pas compte des changements récents apportés par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (la « Loi 25 »), en vigueur depuis le 22 septembre 2023. De la même façon, la nouvelle version ne tient pas compte des projets de loi et des lois qui ne sont pas encore en vigueur, comme la Loi sur les renseignements de santé et de services sociaux et modifiant diverses dispositions législatives (la « Loi 5 », anciennement le projet de loi no 3).

Pour l’essentiel, le nouveau guide reprend l’ancien, à quelques changements près. Le texte principal concerne l’approche générale applicable à toutes les EFVP, et des annexes sont consacrées à des types particuliers d’EFVP (ex. : communication à l’extérieur du Québec, acquisition, développement ou refonte d’un système d’information ou de prestation électronique de services impliquant des renseignements personnels et impliquant leur communication sans le consentement des personnes concernées à une personne ou un organisme voulant les utiliser à des fins d’étude, de recherche ou de production de statistiques).

La lecture du nouveau guide de la CAI et la rédaction du présent bulletin ont été faites sous l’angle du secteur privé.

Nous répondons ci-dessous aux 10 questions les plus fréquentes dans le secteur privé au sujet des EFVP au Québec.

  1. Quand faut-il réaliser des EFVP ?

La Loi sur la protection des renseignements personnels dans le secteur privé, dans sa version modifiée par la Loi 25 (la « Loi sur le secteur privé »), prévoit trois situations nécessitant une EFVP : (1) au début de tout projet visant l’acquisition, le développement ou la refonte d’un système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels ; (2) avant de communiquer des renseignements personnels à l’extérieur du Québec ; (3) avant de communiquer, sans le consentement de la personne concernée, des renseignements personnels à un tiers qui souhaite les utiliser à des fins d’étude, de recherche ou de production de statistiques.

La CAI affirme que ces situations requièrent une EFVP, mais nous verrons plus loin qu’elle tente d’élargir la portée de cette exigence.

  1. Dois-je vraiment réaliser une EFVP ?

Contrairement à ce que prévoyait l’ancienne version du guide, selon laquelle la réalisation d’EFVP constituait une bonne pratique, l’entrée en vigueur de la Loi sur le secteur privé la rend obligatoire dans les trois situations mentionnées à la question précédente. Sans dire le contraire, la CAI semble recommander la réalisation d’une EFVP pour tout projet, de nature technologique ou non, pouvant impliquer la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels. Cette position va bien au-delà des trois situations prévues par la Loi sur le secteur privé.

La CAI a créé l’arbre décisionnel ci-dessous pour aider les organisations à déterminer si elles doivent réaliser une EFVP. Il faut garder en tête qu’à part les trois situations prévues par la Loi sur le secteur privé, la réalisation d’une EFVP relève du choix, et non de l’obligation.

  1. À qui revient la responsabilité de réaliser des EFVP ?

La Loi sur le secteur privé reste plutôt vague, prévoyant que « [t] oute personne qui exploite une entreprise doit procéder à une évaluation des facteurs relatifs à la vie privée ». Dans son guide, la CAI tente d’apporter des précisions en indiquant que « [c] » est l’organisation détentrice des renseignements personnels qui a la responsabilité de réaliser l’EFVP ». Cependant, un flou persiste : la CAI ne définit pas ce que signifie « détenir » des renseignements personnels, et la Loi sur le secteur privé ne reprend pas les notions de responsable de traitement et de sous-traitant que l’on retrouve dans le Règlement général sur la protection des données de l’Union européenne (« RGPD »). Quoi qu’il en soit, les organisations peuvent solliciter l’aide de tiers (ex. : des fournisseurs), au besoin, aux diverses étapes du processus.

  1. Faut-il réaliser des EFVP rétroactivement ?

La Loi sur le secteur privé est silencieuse sur ce point. De son côté, la CAI affirme que la Loi 25 n’exige pas la réalisation rétroactive d’EFVP, ce qui concorde avec les débats parlementaires. Autrement dit, si le projet était déjà « finalisé » (ex. : entente de communication conclue, système d’information implanté) au moment de l’entrée en vigueur de la loi, l’EFVP rétroactive n’est pas obligatoire.

Elle le sera toutefois (1) si le projet est modifié (ex. : des modifications sont apportées à l’entente, il y a une refonte du système) et (2) si le projet implique la communication de renseignements personnels à l’extérieur du Québec après le 22 septembre 2023, et ce, même si le transfert a été amorcé avant.

  1. Y a-t-il des modèles d’EFVP ?

La Loi sur le secteur privé ne précise pas s’il est nécessaire de documenter toutes les EFVP ni la forme qu’elles doivent prendre.

La CAI propose un modèle générique qui n’est pas adapté aux EFVP particulières, qui doivent tenir compte de facteurs supplémentaires (ex. : communication de renseignements personnels à l’extérieur du Québec ou à des fins de recherche). Cela dit, rien n’empêche les organisations d’adapter le modèle en fonction de leurs besoins. Une section a été prévue dans le modèle pour les « critères spécifiques dont l’EFVP doit évaluer le respect ».

La CAI semble faire une distinction entre l’EFVP et le rapport d’EFVP : « Bien qu’il soit possible de réaliser une EFVP sans la documenter formellement, vous devriez être en mesure d’expliquer et de justifier votre démarche d’EFVP. » En pratique, sans rapport d’EFVP, il est difficile de concevoir la manière dont une organisation pourra prouver qu’elle a mené une EFVP et respecté la Loi sur le secteur privé. La section sur le contenu du rapport comporte plus d’éléments que l’ancienne version du guide et que les exigences légales, comme : (1) un résumé des consultations, s’il y a lieu, (2) une évaluation des critères de sensibilité, de finalité, de quantité, de répartition et de support des renseignements personnels, et une justification de la profondeur de l’analyse (ampleur de l’EFVP), et (3) une catégorisation des risques identifiés pour les personnes concernées.

  1. Qui doit participer au processus d’EFVP ?

Selon la Loi sur le secteur privé, il faut consulter le responsable de la protection des renseignements personnels au début de tout projet visant l’acquisition, le développement ou la refonte d’un système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels. Même si la participation de ce responsable aux deux autres types d’EFVP obligatoires est implicite ou courante, la Loi n’est pas explicite à cet égard, au contraire de la CAI, selon laquelle il doit être consulté dans le cadre de toute EFVP. La Loi ne mentionne pas qui d’autre doit participer au processus.

Le guide de la CAI suggère de consulter d’autres catégories de personnes en fonction de l’ampleur du projet et de l’évaluation, comme les gestionnaires de projet, les affaires juridiques, les ressources humaines, le service à la clientèle, le conseil d’administration, les fournisseurs de services et les sous-traitants.

Il est aussi primordial de consulter des professionnels des TI et de la cybersécurité pour cerner les risques techniques du projet.

  1. Comment déterminer l’ampleur de mon EFVP ?

Selon la Loi sur le secteur privé, une EFVP « doit être proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support ». La CAI affirme que « l’ampleur de l’EFVP peut varier en fonction de l’envergure du projet, de ses objectifs, de la nature des renseignements personnels impliqués et de la manière dont ils sont utilisés et communiqués », mais elle ne dit pas dans quelles situations une EFVP sommaire suffit et quand elle doit être poussée, et n’explique pas les différences concrètes entre les deux.

De plus, la CAI recommande de dresser la cartographie et de faire l’inventaire des renseignements personnels dans une EFVP. Ces initiatives complexes et coûteuses ont leur utilité pour certains projets, mais la Loi sur le secteur privé ne les impose pas.

  1. Comment évaluer le niveau de risque et la proportionnalité d’un projet ?

La Loi sur le secteur privé ne dit pas comment mesurer le risque que présente un projet visant l’acquisition, le développement ou la refonte d’un système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels pour la vie privée des personnes concernées. Pour le transfert de données à l’extérieur du Québec, la seule indication semble être que les renseignements peuvent être communiqués si l’EFVP révèle qu’ils recevront une protection adéquate, notamment au regard des principes de protection des renseignements personnels généralement reconnus. Pour ce qui est de la communication de renseignements personnels aux fins d’étude, l’EFVP doit conclure que les éléments exigés dans la Loi sont présents avant que la communication ait lieu.

La CAI suggère aux organisations qui n’ont pas déjà un cadre d’évaluation des risques de les évaluer en fonction de la gravité potentielle des conséquences d’un événement et de la probabilité qu’il se concrétise.

Le modèle générique d’EFVP de la CAI comporte une section sur l’évaluation des risques d’atteinte à la vie privée engendrés par le projet et leurs conséquences pour les personnes concernées. Les risques sont divisés en plusieurs catégories : risques à la collecte, risques à l’utilisation, risques à la communication, risques à la conservation, à la destruction et/ou à l’anonymisation et autres risques. Comme nous l’avons mentionné plus haut, lorsque le niveau de chaque risque identifié est évalué c’est la « gravité potentielle des conséquences » d’un événement et la « probabilité qu’il se concrétise » qui sont considérées. Une fois ces deux paramètres estimés, un niveau de risque général leur est attribué. Pour l’exprimer sous forme de cote, la CAI suggère l’utilisation d’une grille où la cote de gravité est multipliée par la cote de probabilité.

Dans son modèle d’EFVP, la CAI suggère aussi aux organisations de présenter les stratégies d’atténuation mises en place pour ces risques, ainsi qu’une analyse de l’effet de ces stratégies sur le niveau résiduel de risque. Toujours selon le modèle, « [c] haque risque résiduel devrait avoir un responsable chargé d’appliquer les mesures déterminées et de gérer l’événement s’il devait se concrétiser ».

Si la Loi sur le secteur privé n’indique pas comment évaluer la proportionnalité d’un projet, la CAI donne des indications claires. Une organisation doit « évaluer la proportionnalité tout au long du processus d’EFVP et de la mise en œuvre de [son] projet ». Elle sera constatée si : (1) il existe un lien rationnel entre les objectifs et le projet (c.-à-d. qu’il s’agit d’un moyen efficace d’atteindre l’objectif) ; (2) l’atteinte à la vie privée est minimale, ou il n’y a pas d’autres solutions efficaces moins intrusives ; (3) les avantages concrets surpassent les conséquences ou les préjudices pour les personnes concernées. La CAI suggère aussi de revoir la proportionnalité du projet après l’exercice de gestion des risques, à l’aide des questions suivantes : « À la lumière de l’ensemble de votre EFVP, est-ce que la solution que vous proposez pour atteindre vos objectifs paraît toujours proportionnelle, compte tenu des risques résiduels ? En cas de plainte par une personne concernée ou de vérification par un organisme de contrôle, serez-vous prêt à répondre aux questions de la Commission sur le fait que votre solution est proportionnelle ? »

  1. Comment déterminer si les renseignements personnels transférés à l’extérieur du Québec recevront une « protection adéquate », et quels sont les « principes généralement reconnus » en la matière ?

La Loi sur le secteur privé prévoit que des renseignements personnels peuvent être communiqués à l’extérieur du Québec si l’EFVP démontre qu’ils bénéficieront « d’une protection adéquate, notamment au regard des principes de protection des renseignements personnels généralement reconnus ».

a. Protection adéquate

Selon la CAI, il s’agirait d’une protection offrant des garanties juridiques (protection prévue dans la législation de l’État de destination) et contractuelles (une entente a été conclue avec l’organisation destinataire) respectant l’ensemble des principes de protection généralement reconnus et appropriés eu égard à la sensibilité et à la finalité des renseignements visés, ce qui semble faire écho aux critères de la Loi sur le secteur privé.

b. Principes de protection des renseignements personnels généralement reconnus

La Loi sur le secteur privé ne définit pas ces termes, mais nombre de lois et autres textes importants sur la protection de la vie privée, comme les lignes directrices régissant la protection de la vie privée de l’Organisation de coopération et de développement économiques (« OCDE »), les Fair Information Practice Principles (« FIPPs ») de la Federal Trade Commission des États-Unis, et les principes qui sous-tendent des instruments comme la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE ») du Canada et le RGPD, prévoient des principes communs. La CAI présente une liste non exhaustive de principes : responsabilité, détermination des fins, limitation de la collecte, consentement, protection dès la conception et par défaut, limitation de l’utilisation, de la communication et de la conservation, exactitude, sécurité, transparence, droits de personnes concernées et recours.

  1. Que faire une fois l’EFVP terminée ?

Maintes fois dans son guide, la CAI réitère un point important qui ne semble pas provenir de la Loi sur le secteur privé, soit le fait qu’une EFVP, si la Loi exige sa réalisation, doit constamment être revue tout au long de la vie du projet. Selon la CAI : « Protéger les renseignements personnels n’est pas l’affaire d’une seule journée : l’EFVP n’est efficace que si elle évolue de façon continue et doit être revue au besoin, tout au long de la vie du projet. »

Enfin, la CAI encourage les organisations à publier une version abrégée des rapports d’EFVP sur leur site Web. Nous avons des réserves quant à cette pratique, que la Loi sur le secteur privé n’impose pas, car les répercussions potentielles sur l’organisation qui publie son rapport sont difficiles à cerner.

N’hésitez pas à communiquer avec nous si vous avez d’autres questions sur les EFVP ou sur les autres obligations découlant de la Loi 25. Vous trouverez nos coordonnées ci-dessous.