Les cinq principales mesures que vous n’appliquez probablement pas (mais que vous devriez) pour vous conformer aux lois canadiennes sur la protection de la vie privée – MESURE Nº 2 : évaluations des facteurs relatifs à la protection de la vie privée

Les cinq principales mesures que vous n’appliquez probablement pas (mais que vous devriez) pour vous conformer aux lois canadiennes sur la protection de la vie privée – MESURE Nº 2 : évaluations des facteurs relatifs à la protection de la vie privée

Les évaluations des facteurs relatifs à la protection de la vie privée (EFVP) constituent un outil essentiel de conformité et de gouvernance qui aide les organisations à s’assurer que les nouveaux projets et les activités de traitement des renseignements personnels respectent les exigences applicables au Canada en matière de protection de la vie privée et des données.

Dans certaines circonstances, une EFVP est prescrite par la loi. Plus particulièrement, la question de ce type d’évaluation a pris de l’importance dans le secteur privé l’an dernier lors de l’entrée en vigueur de trois exigences de la Loi sur la protection des renseignements personnels dans le secteur privé (Loi) :

1. Cessions transfrontalières. Une EFVP doit être effectuée avant la communication d’un renseignement personnel à l’extérieur du Québec ou lorsque la personne qui exploite une entreprise au Québec confie à une personne ou à un organisme à l’extérieur de la province la tâche de recueillir, d’utiliser, de communiquer ou de conserver pour son compte un tel renseignement.
2. Nouveaux systèmes. Une EFVP doit être effectuée pour tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels.
3. Recherche et statistiques. Une EFVP doit être effectuée avant la communication de renseignements personnels sans le consentement des personnes concernées à une personne ou à un organisme qui souhaite utiliser ces renseignements à des fins d’étude, de recherche ou de production de statistiques.

Il existe d’autres exigences relatives aux EFVP au Canada. Plusieurs lois sur la protection des données dans le secteur public et celui de la santé prescrivent aussi la réalisation de ces évaluations dans certaines circonstances. Par exemple, des EFVP sont parfois exigées en vertu de la Freedom of Information and Protection of Privacy Act, RSBC 1996, c 165, de la Colombie-Britannique, de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ, ch. A-2.1, du Québec ainsi que de la Health Information Act, RSA 2000, c H-5, de l’Alberta. En outre, les autorités réglementaires compétentes exigent ou recommandent parfois la réalisation de telles évaluations.

Même si les lois canadiennes sur la protection de la vie privée et des données ne les imposent pas toutes, elles devraient faire partie du programme de conformité en matière de protection de la vie privée de chaque organisation. Les problèmes de confidentialité et la violation des données entraînent souvent des enquêtes réglementaires, le dépôt de plaintes par les personnes concernées (p. ex. des employés, des clients ou des membres du public) et une couverture médiatique négative, voire des litiges. On peut réduire considérablement ces risques quand on évalue et atténue ceux liés à la protection de la vie privée, intègre des mesures de protection de la vie privée dès l’étape de conception, repère et corrige toute utilisation de modèles de conception trompeurs (p. ex. des modèles qui influencent, manipulent ou contraignent des personnes à prendre des décisions sur leur vie privée qui ne sont pas dans leur intérêt) et s’assure que les renseignements personnels sont traités de façon sécuritaire et conformément aux lois pertinentes. Il est possible d’atteindre tous ces objectifs grâce à une EFVP effectuée avant que des problèmes ne surviennent et, dans l’idéal, pendant l’étape de conception et de mise au point de toute nouvelle initiative impliquant des renseignements personnels.

La réalisation des EFVP n’a pas besoin d’être complexe. La Loi du Québec prévoit qu’elles doivent être proportionnées à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support. Une approche similaire peut être adoptée pour les évaluations qui ne sont pas strictement imposées par la législation. En général, des évaluations approfondies et formelles sont recommandées pour les activités à haut risque, notamment celles qui concernent :

•  des technologies nouvelles ou intrusives, comme l’intelligence artificielle, le repérage d’emplacements et d’autres outils de surveillance;
•  des renseignements sensibles, comme la biométrie, les renseignements génétiques, médicaux et financiers ainsi que l’information protégée par la législation sur les droits de la personne;
•  des personnes vulnérables, comme les enfants, les personnes âgées, les personnes ayant un handicap ou les personnes marginalisées.

Une évaluation informelle peut aussi aider une organisation à repérer et à atténuer les risques liés à la protection de la vie privée dans le cadre de ses activités à faible risque.

Mesures à adopter

Pour réaliser des EFVP conformes, votre organisation doit 1) vérifier si elle est assujettie à des lois et/ou à des modalités contractuelles qui imposent ces évaluations et, dans l’affirmative, s’assurer de comprendre le moment où elles sont requises; 2) élaborer une procédure qui favorise une réalisation efficace de ces évaluations; 3) documenter sa politique en matière d’EFVP, y compris les facteurs pertinents qui servent à déterminer le moment où une telle évaluation sera effectuée; 4) élaborer une liste de vérification que les unités opérationnelles et d’autres parties prenantes pourront utiliser pour informer l’agent ou le bureau de la protection de la vie privée des nouveaux projets et des activités prévues de traitement des données, qui à leur tour pourront décider si une EFVP est nécessaire ou recommandée dans les circonstances; 5) donner une formation aux chefs d’entreprise et aux parties prenantes pour s’assurer qu’ils comprennent l’importance des EFVP, obtenir leur adhésion et jeter les bases d’une collaboration dans le cadre du processus d’évaluation; 6) élaborer un ou plusieurs rapports types sur les EFVP en fonction du ou des types d’évaluation qu’elle devra réaliser; 7) mettre au point un processus pour s’assurer qu’elle donne suite aux résultats d’une EFVP, y compris l’établissement d’un système de responsabilisation quant aux mesures à prendre, de surveillance de leur application et de production de rapports à ce sujet; et 8) établir et mettre en œuvre des périodes et des processus appropriés de conservation des rapports achevés sur les EFVP.

L’équipe du groupe Protection de la vie privée et des données de McMillan peut aider votre organisation à adopter les mesures ci-dessus. Nous vous invitons à communiquer avec votre représentant.e chez McMillan pour obtenir le soutien dont votre organisation a besoin en vue de respecter ces exigences essentielles de la législation sur la protection de la vie privée.

Par Lyndsay Wasser et Kristen Pennington

Mise en garde

Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis.

© McMillan S.E.N.C.R.L., s.r.l. 2024