1. Accueil  
  2. Gouvernement  
  3. Travailler au gouvernement  
  4. Travailler dans la fonction publique  
  5. Services aux employés de l'État  
  6. Assurer la conformité  
  7. Protection des renseignements personnels  
  8. Communication de renseignements personnels  
  9. Communication ou réalisation d’une tâche qui concerne des renseignements personnels à l’extérieur du Québec

Communication ou réalisation d’une tâche qui concerne des renseignements personnels à l’extérieur du Québec

Disposition législative entrant en vigueur en septembre 2023

L’article 70.1 de la Loi sur l’accès a été remplacé afin de mieux encadrer les communications de renseignements personnels ou la réalisation d’un mandat lié au cycle de gestion de la protection de renseignements personnels à l’extérieur du Québec, notamment par l’obligation d’effectuer une évaluation des facteurs relatifs à la vie privée. De plus, la notion d’équivalence a été retirée. Dorénavant, tout organisme public doit s’assurer que les renseignements personnels bénéficient d’une protection adéquate, notamment au regard des principes de protection des renseignements personnels généralement reconnus.

Enfin, cette communication ou la réalisation d’un mandat doit faire l’objet d’une entente écrite qui tient compte, notamment, des résultats de l’évaluation des facteurs relatifs à la vie privée et, le cas échéant, des modalités convenues dans le but d’atténuer les risques identifiés dans le cadre de cette évaluation.

Évaluation des facteurs relatifs à la vie privée

L’article 70.1 de la Loi sur l’accès édicte qu’une évaluation des facteurs relatifs à la vie privée doit être réalisée préalablement à la mise en œuvre d’une collaboration avec un autre État. Cette évaluation doit notamment tenir compte des éléments suivants :

  • la sensibilité des renseignements personnels;
  • la finalité de leur utilisation;
  • les mesures de protection, y compris celles qui sont contractuelles, dont les renseignements bénéficieraient;
  • le régime juridique applicable dans l’État où ces renseignements seraient communiqués, notamment les principes de protection des renseignements personnels qui y sont applicables.

Selon la Commission d’accès à l’information, l’évaluation des facteurs relatifs à la vie privée est une démarche préventive qui vise à mieux protéger les renseignements personnels et à respecter davantage la vie privée des personnes physiques. Elle consiste à considérer tous les facteurs qui auraient des conséquences positives ou négatives sur le respect de la vie privée des personnes concernées.

Adéquation des renseignements personnels sensibles

Le caractère adéquat de la protection dont bénéficie le renseignement personnel dépend notamment de la sensibilité de celui-ci. Un renseignement considéré comme sensible doit faire l’objet d’une protection accrue par rapport à un autre qui ne l’est pas, comme prévu à l’article 63.1 de la Loi sur l’accès.

L’évaluation des facteurs relatifs à la vie privée consiste donc à considérer les risques supplémentaires liés à la sensibilité des renseignements personnels et à envisager des mesures de protection ou des stratégies pour éviter ou limiter ces risques.

Finalité de l’utilisation des renseignements personnels

Lorsqu’un organisme public communique des renseignements personnels ou qu’il confie un mandat lié au cycle de gestion de la protection des renseignements personnels à l’extérieur du Québec, il le fait pour une finalité déterminée. Il peut s’agir, par exemple :

  • de l’utilisation d’un service de stockage,
  • de l’obtention d’une expertise en informatique,
  • d’un service de gestion et de traitement, tel qu’une solution infonuagique.

L’organisme public doit prendre en considération la finalité lors de l’évaluation des facteurs relatifs à la vie privée. Certaines utilisations plus passives, comme la conservation, peuvent être moins susceptibles de soulever des risques importants en matière de vie privée. À contrario, le traitement des renseignements personnels peut soulever des risques plus importants. On peut penser à un traitement :

  • qui implique la consultation et l’utilisation des renseignements personnels par plusieurs membres du personnel d’un prestataire de services;
  • qui entraine la création de nouveaux renseignements personnels, tel que le profilage.

Mesures de protection pour éviter ou atténuer les risques

Les renseignements peuvent bénéficier de diverses mesures de protection en fonction des constats et des risques qui résultent de l’évaluation des facteurs relatifs à la vie privée. Cette évaluation permet donc à un organisme public de clarifier les exigences complémentaires dont il doit tenir compte pour assurer la protection des renseignements personnels avec la personne ou l’organisation retenue.

Appel d’offres

Lors d’un processus d’appel d’offres, l’ensemble des exigences de l’organisme public doit être précisé dans les documents, de façon à ce que les soumissionnaires soient tenus de s’y conformer. De plus, les exigences doivent être incluses dans les clauses de protection à même le contrat de service ou d’entreprise.

Entente

Les clauses de protection doivent également se trouver dans une entente écrite, par exemple lorsque l’organisme public communique des renseignements personnels à un organisme d’un autre gouvernement. Elles peuvent notamment inclure :

  • l’interdiction d’utiliser à d’autres fins ou de communiquer les renseignements personnels;
  • des mesures de sécurité précises;
  • des règles relatives à l’accès aux renseignements personnels par les membres du personnel de l’organisme d’un autre gouvernement qui reçoit les renseignements personnels;
  • l’obligation d’aviser l’organisme public en cas d’incident de confidentialité ou de toute autre violation ou tentative de violation de l’une ou l’autre des obligations relatives à la confidentialité des renseignements personnels communiqués;
  • des règles relatives à la conservation et à la destruction des renseignements personnels au terme de l’entente ou en cas de résiliation.

D’autres mesures de protection peuvent avoir une répercussion sur l’évaluation des facteurs relatifs à la vie privée. L’adoption par le tiers d’une norme reconnue ou d’un programme de certification, comme une norme ISO, représente une mesure de protection supplémentaire. D’ailleurs, la conformité à de telles normes ou à un programme de certification peut être exigée dans un document d’appel d’offres ou un contrat.

Analyse du régime juridique

Les renseignements personnels sont susceptibles d’être assujettis à une ou des législations en vigueur dans un État. L’évaluation des facteurs relatifs à la vie privée doit contenir une analyse des législations en vigueur (PDF 536 Ko). Cette analyse permet notamment une détermination des principes de protection des renseignements personnels applicables. Elle déterminera également si les renseignements personnels bénéficieront d’une protection adéquate selon les principes généralement reconnus en ce domaine.

Principes de protection des renseignements personnels généralement reconnus

L’Organisation de coopération et de développement économiques a adopté des lignes directrices Cet hyperlien s'ouvrira dans une nouvelle fenêtre. qui régissent la protection de la vie privée et les flux transfrontières de données à caractère personnel. Ces dernières prévoient huit principes, qui sont pris en compte dans plusieurs législations en matière de protection des renseignements personnels à travers le monde, dont la législation québécoise. Ces principes sont reconnus au sens de l’article 70.1 de la Loi sur l’accès.

L’organisme public doit également prendre en considération si la législation de l’État reconnaît un droit à la vie privée et si elle contient des dispositions inconciliables avec le régime juridique québécois en matière de protection de la vie privée.

Décision

Un organisme public peut communiquer des renseignements personnels ou confier un mandat lié au cycle de gestion d’un renseignement personnel à l’extérieur du Québec s’il conclut :

  • que les renseignements personnels bénéficieront d’une protection adéquate;
  • que l’État adhère à un programme de certification ou à une norme ISO reconnue;
  • que l’ajout de clauses contractuelles comblerait le respect des principales exigences de la Loi sur l’accès afin de limiter les risques liés au fait que la législation de l’État ne se conforme pas à tous les principes de protection des renseignements personnels généralement reconnus.

Dernière mise à jour : 8 avril 2022

Évaluation de page

L’information sur cette page vous a-t-elle été utile?

Des questions ou besoin de renseignements?

Communiquez avec Services Québec