Les cinq principales mesures que vous n’appliquez probablement pas (mais que vous devriez) pour vous conformer aux lois canadiennes sur la protection de la vie privée – MESURE Nº 2 : évaluations des facteurs relatifs à la protection de la vie privée
Les cinq principales mesures que vous n’appliquez probablement pas (mais que vous devriez) pour vous conformer aux lois canadiennes sur la protection de la vie privée – MESURE Nº 2 : évaluations des facteurs relatifs à la protection de la vie privée
Les évaluations des facteurs relatifs à la protection de la vie privée (EFVP) constituent un outil essentiel de conformité et de gouvernance qui aide les organisations à s’assurer que les nouveaux projets et les activités de traitement des renseignements personnels respectent les exigences applicables au Canada en matière de protection de la vie privée et des données.
Dans certaines circonstances, une EFVP est prescrite par la loi. Plus particulièrement, la question de ce type d’évaluation a pris de l’importance dans le secteur privé l’an dernier lors de l’entrée en vigueur de trois exigences de la Loi sur la protection des renseignements personnels dans le secteur privé (Loi) :
- Cessions transfrontalières. Une EFVP doit être effectuée avant la communication d’un renseignement personnel à l’extérieur du Québec ou lorsque la personne qui exploite une entreprise au Québec confie à une personne ou à un organisme à l’extérieur de la province la tâche de recueillir, d’utiliser, de communiquer ou de conserver pour son compte un tel renseignement.
- Nouveaux systèmes. Une EFVP doit être effectuée pour tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels.
- Recherche et statistiques. Une EFVP doit être effectuée avant la communication de renseignements personnels sans le consentement des personnes concernées à une personne ou à un organisme qui souhaite utiliser ces renseignements à des fins d’étude, de recherche ou de production de statistiques.
Il existe d’autres exigences relatives aux EFVP au Canada. Plusieurs lois sur la protection des données dans le secteur public et celui de la santé prescrivent aussi la réalisation de ces évaluations dans certaines circonstances. Par exemple, des EFVP sont parfois exigées en vertu de la Freedom of Information and Protection of Privacy Act, RSBC 1996, c 165, de la Colombie-Britannique, de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ, ch. A-2.1, du Québec ainsi que de la Health Information Act, RSA 2000, c H-5, de l’Alberta. En outre, les autorités réglementaires compétentes exigent ou recommandent parfois la réalisation de telles évaluations.
Même si les lois canadiennes sur la protection de la vie privée et des données ne les imposent pas toutes, elles devraient faire partie du programme de conformité en matière de protection de la vie privée de chaque organisation. Les problèmes de confidentialité et la violation des données entraînent souvent des enquêtes réglementaires, le dépôt de plaintes par les personnes concernées (p. ex. des employés, des clients ou des membres du public) et une couverture médiatique négative, voire des litiges. On peut réduire considérablement ces risques quand on évalue et atténue ceux liés à la protection de la vie privée, intègre des mesures de protection de la vie privée dès l’étape de conception, repère et corrige toute utilisation de modèles de conception trompeurs (p. ex. des modèles qui influencent, manipulent ou contraignent des personnes à prendre des décisions sur leur vie privée qui ne sont pas dans leur intérêt) et s’assure que les renseignements personnels sont traités de façon sécuritaire et conformément aux lois pertinentes. Il est possible d’atteindre tous ces objectifs grâce à une EFVP effectuée avant que des problèmes ne surviennent et, dans l’idéal, pendant l’étape de conception et de mise au point de toute nouvelle initiative impliquant des renseignements personnels.
La réalisation des EFVP n’a pas besoin d’être complexe. La Loi du Québec prévoit qu’elles doivent être proportionnées à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support. Une approche similaire peut être adoptée pour les évaluations qui ne sont pas strictement imposées par la législation. En général, des évaluations approfondies et formelles sont recommandées pour les activités à haut risque, notamment celles qui concernent :
- des technologies nouvelles ou intrusives, comme l’intelligence artificielle, le repérage d’emplacements et d’autres outils de surveillance;
- des renseignements sensibles, comme la biométrie, les renseignements génétiques, médicaux et financiers ainsi que l’information protégée par la législation sur les droits de la personne;
- des personnes vulnérables, comme les enfants, les personnes âgées, les personnes ayant un handicap ou les personnes marginalisées.
Une évaluation informelle peut aussi aider une organisation à repérer et à atténuer les risques liés à la protection de la vie privée dans le cadre de ses activités à faible risque.
Mesures à adopter
Pour réaliser des EFVP conformes, votre organisation doit 1) vérifier si elle est assujettie à des lois et/ou à des modalités contractuelles qui imposent ces évaluations et, dans l’affirmative, s’assurer de comprendre le moment où elles sont requises; 2) élaborer une procédure qui favorise une réalisation efficace de ces évaluations; 3) documenter sa politique en matière d’EFVP, y compris les facteurs pertinents qui servent à déterminer le moment où une telle évaluation sera effectuée; 4) élaborer une liste de vérification que les unités opérationnelles et d’autres parties prenantes pourront utiliser pour informer l’agent ou le bureau de la protection de la vie privée des nouveaux projets et des activités prévues de traitement des données, qui à leur tour pourront décider si une EFVP est nécessaire ou recommandée dans les circonstances; 5) donner une formation aux chefs d’entreprise et aux parties prenantes pour s’assurer qu’ils comprennent l’importance des EFVP, obtenir leur adhésion et jeter les bases d’une collaboration dans le cadre du processus d’évaluation; 6) élaborer un ou plusieurs rapports types sur les EFVP en fonction du ou des types d’évaluation qu’elle devra réaliser; 7) mettre au point un processus pour s’assurer qu’elle donne suite aux résultats d’une EFVP, y compris l’établissement d’un système de responsabilisation quant aux mesures à prendre, de surveillance de leur application et de production de rapports à ce sujet; et 8) établir et mettre en œuvre des périodes et des processus appropriés de conservation des rapports achevés sur les EFVP.
L’équipe du groupe Protection de la vie privée et des données de McMillan peut aider votre organisation à adopter les mesures ci-dessus. Nous vous invitons à communiquer avec votre représentant.e chez McMillan pour obtenir le soutien dont votre organisation a besoin en vue de respecter ces exigences essentielles de la législation sur la protection de la vie privée.
Par Lyndsay Wasser et Kristen Pennington
Mise en garde
Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis.
© McMillan S.E.N.C.R.L., s.r.l. 2024
Perspectives (5 Posts)Voir Plus
Le Canada propose des exigences plus strictes en matière de chaîne d’approvisionnement pour lutter contre le travail forcé et le travail des enfants
Le gouvernement du Canada a lancé des consultations publiques sur l’élargissement de l’interdiction d’importation de marchandises produites par le travail forcé.
Une nouvelle éco-taxe à Mont-Tremblant vise la construction immobilière
Une municipalité québécoise vient d'adopter une écotaxe applicable à la construction de nouveaux bâtiments pour compenser l'impact sur le stockage de carbone
Webinaires de FPC pour les conseillers/conseillères juridiques d’entreprise 2024: La solidarité en action : promouvoir une culture inclusive en milieu de travail (traduction libre)
Au cours de ce webinaire, Sonia Kang, Ph. D., Rotman School of Management, s’appuiera sur son expertise dans l’étude du comportement organisationnel pour explorer des mesures et des stratégies pratiques qui permettront aux participant.e.s d’établir des liens solidaires significatifs et de créer une culture inclusive en milieu de travail.
Les mécanismes d’ajustement carbone aux frontières — l’avenir de la politique mondiale en matière de carbone ?
En ajoutant aux marchés des considérations relatives à l’intensité du carbone, les MACF introduisent des complications dans le secteur de l’énergie, ce qui a une incidence sur la conformité à l’échelle nationale et la compétitivité internationale.
Webinaires de FPC pour les conseillers/conseillères juridiques d’entreprise 2024: Améliorer le rendement des équipes multigénérationnelles grâce à des outils clés de communication et de rétroaction (traduction libre)
Participez à un webinaire animé par Adwoa K. Buahene, M.A., conseillère stratégique de premier plan et auteure à succès. Celle-ci conseille des centaines de sociétés figurant sur la liste Fortune 500, d’organismes gouvernementaux et d’organisations sans but lucratif sur la façon d’élaborer des stratégies efficaces de gestion, de motivation et d’engagement des différentes générations d’employés en milieu de travail.
Recevez des mises à jour directement dans votre boîte de réception. Vous pouvez vous désabonner en tout temps.