Filtrer le contenu par :

Pratiques à adopter pour les entreprises québécoises recevant des données européennes

30 mai 2018

Par Danielle Miller Olofsson, chef, gestion du savoir et stratégies de marché.

Entré en vigueur le 25 mai dernier, le Règlement général sur la protection des données (RGPD) européen prévoit des mesures de contrôle strictes sur le transfert des données provenant de l’Union européenne (UE). Par exemple, si la personne concernée (par lesdites données) n’a pas expressément et explicitement consenti au transfert de ses données dans une autre juridiction, ces données ne peuvent être transmises sans que cette juridiction ait d’abord été déclarée adéquate par la Commission européenne (Commission), c’est-à-dire offrant un niveau de protection des données comparable à celui de l’UE. En l’absence d’une telle déclaration, une organisation doit mettre en place des mesures de protection appropriées, qui, selon la nature de l’organisation, pourraient inclure des règles d’entreprise contraignantes (REC), des clauses types de protection des données, un code de conduite approuvé ou un mécanisme de certification approuvé.

Attention à la zone grise

Les entreprises québécoises qui reçoivent des données de ressortissants européens, que ce soit directement ou par l’intermédiaire d’un sous-traitant d’une organisation européenne, doivent cependant être au fait de la problématique suivante :

À l’heure actuelle, au Canada, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui s’applique aux entreprises de compétence fédérale comme les banques et les bureaux de poste, ainsi qu’aux entreprises œuvrant dans des provinces qui ne sont pas dotées d’une législation comparable, a été déclarée adéquate. En revanche, la législation en matière de protection de la vie privée dans le secteur privé des trois provinces ayant adopté des lois comparables, soit le Québec, l’Alberta et la Colombie-Britannique, n’a pas reçu l’approbation d’adéquation de la Commission, probablement en raison d'une omission. Puisqu’il n’est pas permis aux entreprises de ces provinces de choisir la loi qui les gouverne et qu’elles sont automatiquement assujetties à leur loi provinciale, elles se retrouvent dans une zone grise relativement à la reconnaissance de leur adéquation.

Le moyen le plus simple pour les entreprises du Québec d’éviter les désagréables sanctions de l’UE, par exemple le blocage des données provenant de l’Europe, serait soit d’instaurer des REC (ces dernières étant plus appropriées pour les organisations comptant plusieurs membres) soit d’adopter des clauses types de protection des données dans le cadre de leurs ententes de transfert. Ces clauses constituent une série de dispositions qui ont été soit adoptées, soit approuvées par la Commission, et qui peuvent être facilement incluses dans la plupart des contrats comprenant des transferts de données. Les organisations pourraient aussi souhaiter inclure leurs propres dispositions, mais elles devront alors prouver que ces dernières offrent une protection comparable. Autrement, les organisations peuvent choisir de mettre en place un code de conduite ou des mécanismes de protection approuvés (mais il s’agit ici de solutions récentes et certains détails restent à clarifier).

Ainsi, même si l‘absence de certification d’adéquation est probablement attribuable à une omission de la part de la Commission plutôt qu’à une réserve quant aux mesures de protection qu’offrent les différentes lois provinciales sur la protection de la vie privée, il serait préférable pour les entreprises dont les activités se déroulent dans les provinces qui se sont dotées d’une telle législation, comme le Québec, d’adopter des clauses types de protection des données lorsqu’elles concluent des ententes de transfert de données avec des organisations européennes.

Pour de plus amples renseignements, nous vous invitons à communiquer avec les avocats de l’équipe Protection des données, sécurité et protection du droit à la vie privée, qui se feront un plaisir de vous aider.