En collaboration avec Laurie Marcoux, stagiaire COOP chez Dunton Rainville.
Le paysage juridique en matière de protection des renseignements personnels a récemment fait l’objet d’une réforme majeure avec l’adoption du Projet de loi no 64 (L.Q. 2021, c. 25). Cette loi, intitulée Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, apporte notamment des changements significatifs aux obligations des municipalités relatives à la communication et à l’hébergement de renseignements personnels à l’extérieur du Québec.
En effet, le 22 septembre 2023, des changements majeurs sont entrés en vigueur concernant les articles 65 et 70.1 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (RLRQ, c. A-2.1) (la « LAI »).
Ces changements ont des impacts non négligeables sur les obligations de toute municipalité qui souhaiterait, par exemple, conclure un contrat pour la fourniture de solutions informatiques impliquant l’hébergement de données à l’extérieur du Québec.
Nouvelles obligations
Ainsi, comme le prévoit la nouvelle mouture de l’article 70.1 de la LAI, il n’est dorénavant plus exigé des municipalités qu’elles s’assurent que les renseignements personnels à communiquer ou héberger à l’extérieur de la province bénéficieront d’une protection équivalente à celle prévue à la LAI.
Au lieu de cela, les municipalités doivent réaliser une « évaluation des facteurs relatifs à la vie privée » avant de procéder à la communication de renseignements à l’extérieur du Québec ou de confier à des tiers la responsabilité de recueillir, d’utiliser, de communiquer ou de conserver de tels renseignements en leur nom hors du Québec. Cette évaluation doit prendre en compte plusieurs éléments, comme la sensibilité des renseignements, la finalité de leur utilisation, les mesures de protection dont ils bénéficieront, ainsi que le régime juridique applicable dans l’État destinataire.
Notons qu’initialement, la réforme de la LAI prévoyait l’obligation, pour le gouvernement, de fournir une liste des États offrant une protection équivalente à celle prévue au Québec. Cependant, cette obligation n’a pas été retenue dans la version finale du Projet de loi no 64, forçant les municipalités à évaluer la protection offerte par l’État destinataire.
La communication, ou l’hébergement de renseignements personnels, pourra être effectuée si l’évaluation démontre que les renseignements bénéficieront d’une protection adéquate, conforme aux principes de protection des renseignements personnels généralement reconnus. De plus, la communication ou l’hébergement devra faire l’objet d’une entente écrite, tenant compte des résultats de l’évaluation et des modalités convenues pour atténuer les risques identifiés, le cas échéant.
L’article 65 de la LAI, de son côté, a été modifié de sorte que les municipalités sont maintenant tenues d’informer les individus concernés de la possibilité que leurs renseignements personnels puissent être communiqués à l’extérieur du Québec. Cette disposition renforce le principe de transparence et permet de s’assurer que les citoyens soient pleinement informés de la destination potentielle de leurs données personnelles.
En complément, il est à noter qu’un Guide d’accompagnement[1] détaillé est disponible pour aider les municipalités dans la réalisation de leur évaluation des facteurs relatifs à la vie privée. Ce Guide, émis par la Commission d’accès à l’information du Québec, offre des directives et des conseils pour mener à bien cette démarche. En particulier, l’annexe 3 de ce Guide est spécifiquement dédiée aux communications de renseignements personnels à l’extérieur du Québec, fournissant ainsi un soutien pertinent dans l’application des nouvelles exigences législatives.
Il est intéressant de constater que le Guide, dans l’optique de pallier l’absence de définition des « principes de protection des renseignements personnels généralement reconnus » dans la LAI, présente une liste de principes approuvés par divers États et organisations[2]. En effectuant son évaluation des facteurs relatifs à la vie privée, il serait donc notamment utile pour la municipalité de déterminer si l’organisation hébergeant les renseignements personnels limite sa collecte à ce qui est nécessaire, s’assure du consentement des personnes visées, est transparente quant à ses pratiques de gestion des renseignements et adopte des mesures appropriées afin de protéger les renseignements détenus contre la perte, le vol ou encore la modification.
Ainsi, les municipalités doivent s’adapter à ces nouvelles obligations en matière de protection des renseignements personnels. Notamment, les procédures d’adjudication de contrats d’hébergement de données à l’étranger devront donc tenir compte de ces exigences.
Article publié dans le magazine Le Sablier, volume 31, numéro 1, édition de mai 2024, en partenariat avec l’ADGMQ.
Municipalités connectées – Coup d’œil sur les thèmes de l’heure
[1] Commission d’accès à l’information du Québec, Réaliser une évaluation des facteurs relatifs à la vie privée – Guide d’accompagnement, 22 septembre 2023.
[2] Id., p. 37-39.