Loi 64 : qu’en est-il de l’évaluation des facteurs relatifs à la vie privée?
Le 21 septembre 2021, l’Assemblée nationale a adopté le Projet de loi n°64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (ci-après, la « Loi 64 », également désignée comme étant la « Loi 25 »), qui a pour effet de modifier plusieurs lois en matière de protection des renseignements personnels, notamment la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (ci-après, la « Loi sur l’accès »)[1].
Tel qu’indiqué dans un billet précédent, différentes dispositions de la Loi 64 introduisent l’obligation pour les organismes publics et municipaux de procéder à une évaluation des facteurs relatifs à la vie privée (ci-après, une « EFVP ») dans certaines circonstances, avant de communiquer des renseignements personnels sans le consentement des personnes concernées.
Selon la Commission d’accès à l’information (ci-après, la « CAI »), l’EFVP est un processus qui sert à prévenir et protéger les renseignements personnels en analysant tous les facteurs qui sont susceptibles d’avoir des incidences, qu’elles soient positives ou négatives, sur le respect de la vie privée des personnes concernées[2]. Ces facteurs comprennent la conformité du projet au cadre législatif applicable à la protection des renseignements personnels, les risques d’atteinte à la vie privée engendrés par le projet et leurs conséquences, ainsi que les stratégies mises en place pour éviter ces risques ou les réduire efficacement. L’EFVP doit non seulement être effectuée en amont, au début du projet, mais elle doit également être revue et mise à jour au fur et à mesure de l’évolution du projet.
Ainsi, depuis le 22 septembre 2022, la réalisation d’une EFVP est nécessaire pour communiquer des renseignements personnels sans le consentement de la personne concernée à des fins d’étude, de recherche ou de production de statistiques (art. 67.2.1 de la Loi sur l’accès).
À compter du 22 septembre 2023, il en sera de même notamment pour tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant des renseignements personnels (art. 63.5 de la Loi sur l’accès) et avant de communiquer un renseignement personnel à l’extérieur du Québec (art. 70.1 de la Loi sur l’accès), par exemple dans le cadre de l’exécution d’un contrat de services.
Au sens de l’article 63.5 de la Loi sur l’accès, l’EFVP doit être proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support. Cela signifie que les projets de plus petite envergure pourront faire l’objet d’une évaluation un peu moins détaillée.
Rappelons enfin que la CAI doit réviser prochainement son Guide d’accompagnement : Réaliser une évaluation des facteurs relatifs à la vie privée à la lumière de la Loi 64.
[1] RLRQ, C. A-2.1.
[2] GOUVERNEMENT DU QUÉBEC, « Évaluation des facteurs relatifs à la vie privée », 2023, en ligne : <https://www.quebec.ca/gouvernement/travailler-gouvernement/travailler-fonction-publique/services-employes-etat/conformite/protection-des-renseignements-personnels/evaluation-facteurs-relatifs-vie-privee>.