Évaluations des facteurs relatifs à la vie privée : ce qu’il faut savoir
La protection des renseignements personnels est une préoccupation de plus en plus présente dans le monde d’aujourd’hui. Les entreprises doivent avoir une bonne connaissance des lois relatives aux renseignements personnels afin de s’assurer qu’ils respectent les exigences légales en matière de confidentialité et de sécurité des données afin de bâtir des relations de confiance avec ses clients et partenaires, en plus d’éviter les sanctions qui pèsent telles une épée de Damoclès.
Le Québec a récemment mis à jour sa loi sur la protection de la vie privée et des renseignements personnels. Selon la nouvelle loi, les entreprises doivent désormais effectuer des évaluations d’impact sur la vie privée dans différentes situations. Le législateur a intégré au projet de loi 64 cette nouvelle obligation pour les entreprises afin de garantir la protection des renseignements de ses citoyens.
En effet, les évaluations des facteurs relatifs à la vie privée au Québec sont importantes pour assurer la protection des droits fondamentaux des citoyens. Les citoyens québécois sont en droit d’exiger et de s’attendre à une protection adéquate de leur vie privée et de leurs renseignements personnels. Cette protection découle de plusieurs lois et politiques, dont le Code civil du Québec, la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, la Loi sur la protection des renseignements personnels dans le secteur privé et la Charte des droits et libertés de la personne. Ces lois et politiques ont été mises en place pour assurer la protection des droits fondamentaux de la personne et pour assurer la confidentialité des renseignements personnels qu’une organisation peut recueillir, utiliser, communiquer et conserver. En découle diverses obligations pour les entreprises.
Quand réaliser une évaluations des facteurs relatifs à la vie privée ?
Il est important pour les responsables de la protection des renseignements personnels de chaque organisation de comprendre les moments où il est nécessaire pour l’organisation de faire une EFVP. Cela arrive dans trois situations distinctes:
- Pour tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant des renseignements personnels;
- Avant de communiquer un renseignement personnel à l’extérieur du Québec;
- Toute communication de renseignements personnels à des fins d’étude, de recherche et de statistiques sans le consentement des personnes concernées.
Objectif d’une évaluation des facteurs relatifs à la vie privée
La Commission d’accès à l’information considère l’évaluation des facteurs relatifs à la vie privée comme une méthode préventive imposée aux organisations pour mieux protéger les renseignements personnels et garantir le respect de la vie privée des personnes concernées. Cette procédure consiste à analyser tous les facteurs qui pourraient avoir des effets positifs et négatifs sur le respect de la vie privée. Ces facteurs sont :
- la conformité du projet à la législation en vigueur en matière de protection des données personnelles et des principes qui l’accompagnent;
- la détermination et l’évaluation des risques d’atteinte à la vie privée que le projet pourrait entraîner; et
- la mise en œuvre de stratégies pour éviter ou réduire ces risques de manière efficace.
À l’issue de l’EFVP, l’organisation qui la réalise doit pouvoir démontrer qu’elle a bien respecté toutes les obligations en matière de protection des renseignements personnels et que toutes les mesures ont été prises afin de protéger efficacement ces derniers.
Préparer l’évaluation des facteurs relatifs à la vie privée
La Commission d’accès à l’information donne différentes directives pour préparer une bonne EFVP. Bien que ces directives soient adressées aux organismes publics, elles s’appliquent également aux entreprises du secteur privé, à quelques adaptations prêts.
- Se poser les bonnes questions :
a) Dois-je obligatoirement réaliser une EFVP? Suis-je dans le bon cas de figure imposé par la loi?
b) À quel moment dois-je faire mon EFVP?
c) Que faut-il inclure dans l’EFVP?
d) Mon EFVP nécessite-t-elle d’être approfondie en raison d’un projet complexe ou comportant de nombreux renseignements personnels sensibles?
e) Qui dois-je impliquer au sein et à l’extérieur de mon organisation? - Définir le projet de l’organisation qui implique une EFVP
a) Présenter les grandes lignes du projet
b) Expliquer les objectifs légitimes qui soutiennent le projet - Établir un partage des rôles et responsabilités dans la réalisation de l’EFVP
- Connaître ses obligations en matière de protection des renseignements personnels. Ce qui commence par savoir quelles lois régissent les renseignements personnels traités par notre organisation (i.e. loi provinciale, loi fédérale, loi étrangère telle le Règlement général sur la protection des données en Union Européenne)
- Déterminer les renseignements personnels impliqués dans le projet voulu par l’organisation.
a) Inventaire des renseignements personnels traités dans le cadre du projet
b) Évaluation de la sensibilité de ces renseignements personnels - Identifier les points d’interactions entre votre organisation et les renseignements personnels du projet
a) Dégager une vue d’ensemble des flux de données impliquant des renseignements personnels dans le cadre du projet
b) Identifier les particularités de chaque phase du projet (il se peut que les traitement des renseignements personnels soient différents en fonction de différentes phases)
Une fois que cela aura été fait en amont, il sera alors le moment pour l’organisation d’effectuer son EFVP dans les meilleures conditions.
Personnes impliquées dans les évaluations des facteurs relatifs à la vie privée
La principale personne impliquée dans la réalisation et le suivi d’un EFVP va être la personne responsable de la protection des renseignements personnels. Toutefois tout au long du processus, d’autres personnes peuvent être impliquées.
Dans les petites et moyennes entreprises, peuvent être impliqués les chefs d’entreprise, la personne chargée de la RH, du marketing ou encore des travailleurs autonomes, des tiers sous-traitants ou l’avocat.
Dans les grandes entreprises peuvent être impliqués les responsables des affaires juridiques, de la gestion de risque, de la sécurité des systèmes d’information, du marketing et de la gestion documentaire.
Et enfin, dans les organisations du secteur public, peuvent être impliqués les responsables organisationnels de la sécurité de l’information, de la gestion documentaire, de l’éthique, du développement ou de l’acquisition des systèmes d’information, de l’architecture de sécurité de l’information, de la continuité des services, de la gestion des technologies de l’information, de la sécurité physique, de la gestion de risque, de la vérification interne, etc.
La démarche de réalisation d’une EFVP est un processus préventif qui vise à protéger les renseignements personnels et à respecter la vie privée des personnes physiques. Pour ce faire, elle évalue tous les facteurs qui pourraient avoir un impact positif ou négatif sur la protection des données, en tenant compte de la législation applicable et de ses principes. Elle vise à identifier et évaluer les risques d’atteinte à la vie privée et à mettre en place des mesures pour les éviter ou les atténuer. Ce processus permet d’éviter toute violation de la confidentialité et toutes les conséquences négatives qui y sont associées (plaintes, incidents de sécurité, poursuites judiciaires, etc.).
Six étapes pour la réalisation d’une évaluation des facteurs relatifs à la vie privée
Voici six éléments qui vont permettre à votre organisation de réaliser une évaluation des facteurs relatifs à la vie privée dans les meilleures conditions possibles:
Étape 1. Créer un inventaire complet de tous les éléments de données contenant des renseignements personnels, collectés et stockés par l’organisation. Cet inventaire doit comprendre à minima la finalité du traitement, le type de renseignements personnels, l’endroit où ils sont stockés, les personnes qui y ont accès et la manière dont elles sont utilisées.
Étape 2. Identifier à l’aide de votre avocat ou de votre juriste d’entreprise, toutes les lois et réglementations applicables régissant la confidentialité des données. Cela devrait inclure les lois nationales, les normes industrielles et toute autre loi ou réglementation applicable. Pour se poser les questions suivantes:
- Votre organisation respecte-t-elle les diverses obligations et principes de protection des renseignements personnels qui découlent des lois auxquelles elle est assujettie? Et ce pour chacune des catégories de renseignements personnels, à chacun des points d’interaction de l’organisation avec ces renseignements personnels, tout au long du cycle de vie des renseignements?
- Quelles sont les obligations que votre organisation ne respecte pas de prime abord?
Étape 3. Analyser les éléments de renseignements personnels, notamment sensibles, pour identifier tout risque potentiel d’atteinte à la vie privée. Il peut s’agir d’un accès non autorisé, de la divulgation d’informations confidentielles, de l’utilisation de renseignements personnels à d’autres fins que celles pour lesquels ils ont été collectés ou encore d’autres risques associés au type de renseignements personnels, à leur collecte ou à leur transfert. En général un risque est déterminé comme une situation ou un évènement à venir qui pourrait se réaliser ou non et qui causerait une perte ou un préjudice à la personne concernée quant à ses renseignements personnels.
Étape 4. Évaluer l’adéquation des mesures de protection techniques, physiques et administratives en place au sein de l’organisation pour diminuer le risque en protégeant les fichiers et les supports contenant des renseignements personnels. Les stratégies de mitigation du risque peuvent soit réduire l’impact d’un risque, soit les chances qu’il se produise, ou les deux. Par exemple, en limitant le nombre de renseignements personnels collectés, on limite l’impact qu’aura un vol de ces renseignements.
Étape 5. Élaborer des recommandations pour améliorer la protection de la vie privée et établir un plan de mise en œuvre de ces recommandations, prenant en compte leur coup, ainsi qu’un échéancier pour la mise en œuvre de ces recommandations.
Étape 6. Revoir périodiquement l’évaluation de l’impact sur la vie privée afin de s’assurer de la conformité continue avec les lois et règlements applicables, et d’identifier tout nouveau risque qui aurait pu survenir relatif à la protection des renseignements personnels dans le projet en question. En effet, malheureusement les risques ne sont pas statiques et les obligations qui pèsent sur les organisations changent au fur et à mesure de l’évolution technologique et règlementaire.
Encadrement et contrôle des évaluations des facteurs relatifs à la vie privée par la CAI
La CAI, ou Commission d’accès à l’information, est un organisme gouvernemental québécois responsable de la mise en œuvre des lois et règlements de protection des renseignements personnels dans la province du Québec. La CAI a été créée dans le but d’assurer une protection optimale des renseignements personnels des citoyens québécois et c’est à ce titre qu’elle est chargée de veiller à ce que les entreprises respectent bien leurs obligations liées aux EFVP.
Dans cette démarche, elle a publié un guide qui traite des évaluations des facteurs relatifs à la vie privée pour les organismes publics qui permet au lecteur de mieux comprendre les divers enjeux liés aux EFVP.
Comment Satoshi Legal peut vous aider dans votre démarche d’évaluation des facteurs relatifs à la vie privée?
Faire appel à un avocat pratiquant dans le domaine est un excellent moyen de s’assurer que les exigences légales qui pèsent sur votre organisation soient respectées. Ce dernier peut aider à naviguer dans le complexe régime législatif qui régit la collecte, le traitement et le transfert des renseignements personnels. Il peut aider à comprendre l’étendue de vos obligations. Il peut vous conseiller sur les meilleures pratiques à suivre lors de la réalisation d’une EFVP. Il peut aider à mitiger les risques, notamment par l’élaboration de procédures et de contrats pour s’assurer du respect de la protection des renseignements personnels dans le cadre du projet, que ce soit au sein de l’entreprise ou auprès de fournisseurs tiers.
Chez Satoshi, vous trouverez des avocats à la fine pointe de la technologie et des pratiques juridiques en protection des renseignements personnels, ainsi que des conseils de qualité pour vous aider à réaliser une bonne évaluation des facteurs relatifs à la vie privée lors du développement de nouveaux projets.
Nous offrons des services personnalisés et des tarifs compétitifs dans un secteur en demande. N’hésitez pas à nous contacter aujourd’hui pour en savoir plus sur la façon dont nous pouvons vous aider à protéger les renseignements personnels de vos clients et à garantir une bonne conformité avec les lois en vigueur au Québec et au Canada.
Montréal
154 av. Laurier O. bureau 210, Montréal, H2T 2N7, Québec
Paris
6 rue Pierre Haret,
Paris, 75009, France