Le 7 décembre prochain, Me Anthony Hémond, conseiller principal en protection des renseignements personnels pour Air Canada, répondra à plusieurs des questions suscitées par le nouveau cadre législatif s’appliquant aux transferts de renseignements personnels à l’extérieur du Québec. Pour vous inscrire à ce Rendez-vous SOQUIJ, cliquez ici.

Anthony Hémond, avocat

Me Hémond, pourquoi est-il important de parler de l’article 17 de la Loi sur la protection des renseignements personnels dans le secteur privé ?

«L’article 17 a été modifié lors de l’entrée en vigueur de la loi 25 [Loi modernisant des dispositions législatives en matière de protection des renseignements personnels]. Dans sa nouvelle version, il introduit de nouvelles obligations pour les entreprises qui communiquent des renseignements personnels à l’extérieur du Québec. Dorénavant, il est nécessaire de procéder à une évaluation des facteurs relatifs à la vie privée (EFVP) avant de transférer des renseignements personnels hors du Québec à d’autres entreprises.

Parmi toutes les nouveautés apportées par la loi 25, cette disposition, en vigueur depuis le mois de septembre dernier, mérite que les entreprises s’y attardent. Avec la mondialisation, les organisations n’opèrent pas en vase clos: elles ont en effet beaucoup de fournisseurs de services, dont la plupart sont situés à l’extérieur du Québec. Pensons, par exemple, aux fournisseurs de technologies de l’information.

Par ailleurs, ce qui fait qu’il est encore plus important d’en parler, c’est que l’article 17 ne touche pas uniquement les relations avec des fournisseurs: la filiale québécoise d’une entreprise internationale, par exemple, sera amenée à communiquer des renseignements personnels à son siège social. Qu’advient-il, dans ce cas, de l’application de l’article 17? La question se pose et ma conférence donnera, entre autres, quelques éléments de réponse.»

«Avec la mondialisation, les organisations n’opèrent pas en vase clos.»

À quoi s’attendre de votre conférence?

«Il va être important, dans le cadre de cette conférence, de revenir sur le texte de la loi, les amendements qui ont modifié le projet de loi et l’inspiration de celui-ci, soit le Règlement général sur la protection des données, qui appartient à la législation européenne.

L’article 17 expose les éléments dont l’EFVP doit tenir compte, soit: la sensibilité du renseignement qui doit être communiqué, la finalité de son utilisation, les mesures de protection dont il bénéficiera, y compris celles qui sont contractuelles, et, enfin, le régime juridique applicable dans l’État où le renseignement sera communiqué. Le transfert ne peut s’effectuer que si l’évaluation a démontré que le renseignement bénéficiera d’une protection adéquate.

Lors de la conférence, nous regarderons ces éléments en détail pour voir les interprétations qu’on peut leur donner. Nous évoquerons aussi les limites du texte en abordant les questions suivantes: Qu’est-ce qu’un renseignement personnel sensible? Comment l’utilisation du renseignement influence-t-elle sa protection? Comment s’assurer que le prestataire de services respecte les mesures de protection prévues au contrat, alors qu’il est soumis à un autre système juridique que le nôtre? Et, surtout, quel régime juridique applicable est considéré comme offrant des garanties de protection adéquates et comment vérifier ces garanties?»

À qui s’adresse votre conférence?

«Plusieurs profils de professionnels peuvent avoir intérêt à suivre cette conférence.

On peut penser aux avocats qui offrent des services-conseils généraux et dont les clients auraient des questions concernant la loi 25, mais aussi plus particulièrement aux conseillers juridiques en entreprise, qui sont en première ligne quant à ce genre d’enjeu.

Au-delà des juristes, cette conférence intéressera certainement des dirigeants d’entreprise. La loi exige que soit désignée, au sein de chaque organisation, une personne responsable de la protection des renseignements personnels, faute de quoi le dirigeant assume lui-même cette responsabilité. Un auditeur interne pourrait également y obtenir des informations intéressantes pour ses activités.

Évidemment, avec cette présentation, je m’adresse à toutes les personnes désignées responsables de la protection des renseignements personnels en entreprise, quel que soit leur profil; il peut parfois s’agir d’un expert en technologies de l’information.»

«La réforme de la loi 25 s’inspire beaucoup de la législation européenne, et en particulier du Règlement général sur la protection des données

Pourquoi vous êtes-vous intéressé à ce sujet?

«La réforme de la loi 25 s’inspire beaucoup de la législation européenne, et en particulier du Règlement général sur la protection des données. Ce règlement impose, depuis 2020, une pratique qui se rapproche de l’EFVP prévue à l’article 17. Cette obligation a provoqué tout un choc pour les entreprises, y compris pour les compagnies menant leurs affaires au Canada et devant se conformer au règlement.

Les organisations ont dû se questionner sur les transferts de renseignements personnels, puis mettre en place des outils et des procédures pour effectuer ces analyses à la suite des recommandations faites par les autorités en matière de protection des données.

Cette expérience – emmagasinée depuis quelques années maintenant – est, je pense, profitable pour comprendre le nouvel article 17 de la Loi sur la protection des renseignements personnels dans le secteur privé