Sommaires exécutifs 21 nov. 2023

Le contrat de traitement de renseignements personnels : un incontournable à implanter

L’entrée en vigueur du Règlement général sur la protection des données (« RGPD ») en Europe a modifié le paysage législatif mondial en matière de protection des renseignements personnels (« RP »), notamment en intégrant les concepts de responsable du traitement – Controller –, la personne qui a la responsabilité des RP, et le sous-traitant – Processor –, la personne qui traite des RP pour, au nom et selon les instructions du responsable du traitement. Le RGPD a ainsi prévu que la communication de renseignements personnels entre responsable du traitement et sous-traitant devait répondre à plusieurs exigences strictes, incluant la conclusion d’un contrat relatif au traitement des renseignements personnels, communément appelé Data Processing Agreement (« DPA  »).

Mise en contexte

Au Québec, depuis le 22 septembre 2023, les entreprises sont soumises à de nouvelles exigences en matière de protection des RP et certaines exceptions à ces exigences ont fait l’objet d’un encadrement plus rigoureux. L’une d’elles est l’exception à l’obtention du consentement de la personne concernée à la communication de ses RP si ceux-ci sont nécessaires pour les fins d’un mandat ou l’exécution d’un contrat de service ou d’entreprise. Il est dorénavant requis qu’un DPA prévoyant plusieurs paramètres déterminés par la loi soit mis en place. Le législateur québécois a ainsi prévu les différentes exigences que les DPA québécois doivent contenir.

En pratique, un DPA peut être un contrat distinct ou encore une annexe à un mandat ou un contrat de service ou d’entreprise qui requiert le traitement des RP. On parle alors d’une annexe relative au traitement des RP – Data Processing Addendum. Le DPA distinct serait par exemple utilisé lorsqu’une entreprise a déjà conclue un contrat avec son fournisseur de services de paie, ou de services infonuagiques d’hébergement de données, un contrat de service qui ne couvre pas complètement les règles applicables à la protection des RP alors qu’une annexe sera utilisée lors de la conclusion d’un contrat de service.

Les requis au Québec

La Loi sur la protection des renseignements personnels dans le secteur privé (la « LPRPSP ») exige que le mandat, le contrat de service ou d’entreprise soit écrit et qu’il contienne minimalement des dispositions :

  • 1. sur les mesures que le sous-traitant doit prendre pour assurer la confidentialité et la protection des RP;
  • 2. à l’effet que les RP doivent uniquement être utilisés pour l’exécution du mandat, du contrat de service ou d’entreprise et que le sous-traitant ne peut les conserver après la terminaison ou la résiliation du contrat;
  • 3. à l’effet que le sous-traitant doit aviser le RPRP suite à toute violation ou tentative de violation de la confidentialité des RP communiqués au sous-traitant; et
  • 4. à l’effet que le RPRP doit être en mesure de faire les vérifications nécessaires auprès du sous-traitant pour s’assurer de sa conformité aux dispositions du DPA et de la protection de la confidentialité des RP.

Il convient cependant de préciser qu’un tel DPA n’est pas requis lorsque le mandataire ou l’exécutant du contrat de service ou d’entreprise est un organisme public ou un membre d’un ordre professionnel. Par exemple, un DPA ne serait pas obligatoire lorsque vous communiquez des RP directement à votre avocat ou votre médecin pour qu’il exerce ses services professionnels ni lorsque vous donnez vos coordonnées à la Commission d’accès à l’information, organisme public, lorsque vous désirez intenter un recours en révision d’une demande de droit d’accès à vos RP.

À noter que le DPA est requis lorsqu’il est question de communication hors Québec de RP.

En effet, avant d’effectuer un tel transfert de RP, la LPRPSP oblige les entreprises à faire une évaluation des facteurs relatifs à la vie privée (les « EFVP »), prenant en compte les mesures de sécurité mises en place et exigées par le responsable du traitement en vertu du DPA. Un DPA encadrant adéquatement les droits et obligations du sous-traitant jouera en faveur d’une EFVP favorable au transfert.

Les meilleures pratiques

Bien que la loi québécoise n’oblige que les éléments susmentionnés, les meilleures pratiques, inspirées des exigences du RGPD, sont à l’effet de bonifier le contenu des DPA afin de bien délimiter les rôles et la responsabilité de chaque partie.

Voici quelques sujets additionnels que vous pourriez ajouter dans vos DPA :

  • Respect de la loi : chaque partie devrait être responsable envers l’autre de ses manquements aux lois sur la vie privée.
  • Accès aux RP : le DPA peut encadrer quelles personnes peuvent avoir accès aux RP et s’ils doivent être formés en matière de confidentialité et protection des RP.
  • Sub-processors : le sous-traitant pourra-t-il déléguer ou non le traitement des RP à des sous-sous-traitants – des sub-processors – et si c’est le cas, quelle sera la procédure pour le faire.
  • Droits des personnes concernées : prévoir la procédure que le sous-traitant devra suivre lorsqu’une personne concernée communique avec lui et souhaite faire valoir l’un de ses droits, tels que ses droits d’accès ou de rectification.
  • Lieux du traitement et transfert hors Québec : détailler la procédure applicable si le sous-traitant souhaite transférer les RP à l’extérieur du Québec et identifier où les RP seront traités.

En conclusion

Pour conclure cet article, il est important de se rappeler que les DPA sont requis pour bénéficier de l’exception à la règle : ils permettent la communication de RP sans avoir préalablement obtenu le consentement des personnes concernées, et ce, uniquement si les RP sont nécessaires à l’exécution d’un mandat, d’un contrat de service ou d’entreprise.

Pour pouvoir en bénéficier, un DPA écrit doit être en place entre le responsable du traitement (le client – celui qui a le contrôle et la responsabilité des RP) et le sous-traitant (le prestataire de service – celui qui procédera au traitement des RP) ainsi qu’entre le sous-traitant et ses propres sous-traitants. Le DPA devra minimalement contenir des clauses indiquant :

  • Les mesures que le sous-traitant doit prendre pour protéger la confidentialité des RP;
  • Que les RP soient uniquement utilisés afin de remplir le mandat ou le contrat de service ou d’entreprise; et
  • Que le sous-traitant avertisse le responsable du traitement en cas d’incident ou de tentative d’incident de confidentialité et permette au responsable du traitement d’effectuer des audits.

Bien que ce soit les seuls requis en vertu de la LPRPSP, il est à noter qu’un DPA des plus complet doit prendre en compte plusieurs autres aspects et est unique à chaque entreprise.

Pour toute question sur les DPA ou sur la protection de la vie privée et les renseignements personnels, n’hésitez pas à communiquer avec nos professionnels en protection des renseignements personnels et vie privée, qui se feront un plaisir de vous conseiller.

Restez à l’affût!

Inscrivez-vous à nos communications et bénéficiez de notre connaissance du marché pour déceler de nouvelles occasions d’affaires, vous renseigner sur les meilleures pratiques innovantes et recevoir les plus récents développements. Découvrez en primeur notre intelligence d’affaires et nos événements.

Inscrivez-vous

Vous aimeriez aussi

Projet de loi 82 : un pas de plus vers l’identité numérique nationale (et modifications à d’autres dispositions!)

Forum Repreneuriat

Forum Repreneuriat : Vision 2025

La protection de la vie privée dans le sport : N’attendez pas d’être mis en échec!

Obligation en matière de signalement des incidents de sécurité de l’information : l’Autorité des marchés financiers suit la vague et publie un nouveau règlement

Droit à la portabilité : votre organisation est-elle prête?

Forum Tech 360

Forum Tech 360 : croissance et points d’inflexion

Prospera – Baromètre économique du Québec

Sociétés les mieux gérées au Canada : BCF reconnue pour une 17e année consécutive

BCF renforce son expertise en intelligence artificielle

nouveaux-associes-2024-fr

BCF nomme trois nouveaux associés

Who’s Who Legal : 5 professionnels de BCF nommés dans le Guide

BCF poursuit son partenariat avec l’Association des avocats noirs du Canada pour une troisième année

Démystifier les Évaluations des facteurs relatifs à la vie privée (EFVP)

camera-on-a-wall

Le plan de réponse aux incidents : la base d’une gestion de crise efficace

forum-privacy

Forum stratégique sur la protection des données d’entreprise

Chambers Canada : cinq de nos avocats se démarquent

Photo de Julie Doré

Julie Doré prend la direction du cabinet BCF avocats d’affaires

Prospera – Baromètre économique du Québec

Julien Tricart, membre du « Meritas Sports Law Group »

Mois de la fierté : créons un futur inclusif

Sociétés les mieux gérées au Canada : BCF reconnue pour une 16e année consécutive

Nouvelles exigences applicables en matière de protection des renseignements personnels : votre entreprise est-elle conforme?

Chaque femme compte

Forum stratégique sur le rôle des entreprises dans la lutte aux changements climatiques

BCF s’associe avec l’Association des avocats noirs du Canada pour encourager la diversité dans les facultés de droit du Québec

Virage plus inclusif pour BCF : bonification du congé de parentalité

Shaun E. Finn nommé Juge à la Cour supérieure du Québec

Comment assurer une relève d’entreprise?

Cahiers noirs avec feuilles

Projet de loi 78 sur la transparence des entreprises : êtes-vous prêts?

Forum stratégique sur la consolidation de marché et la relève d’entreprise

BCF s’associe à la Clinique Juridique de Saint-Michel pour favoriser l’accès aux études en droit auprès des jeunes issus de la diversité

Quelles sont les pratiques à adopter pour bien gérer les incidents de confidentialité?

Shaun E. Finn, co-auteur de l’ouvrage In the Public Eye: Privacy, Personal Information, and High Stakes Litigation in the Canadian Public Sector

S’approprier des renseignements personnels sans consentement peut-il justifier l’autorisation d’une action collective?

Cinq de nos avocats s’illustrent dans l’édition 2023 du classement Chambers Canada

Projet de loi C-27 : une loi attendue en matière de cybersécurité et vie privée au Canada

La perte de renseignements personnels est-elle suffisante pour justifier le succès d'une action collective au fond?

Projet de loi C-26 : le gouvernement fédéral se penche sur la cybersécurité et la vie privée

Jocelyn Poirier, chef de la protection des renseignements personnels de BCF

43 professionnels de BCF se distinguent avec 78 nominations dans les éditions 2023 de Best Lawyers in Canada et Ones to Watch

Sept nouveaux avocats se joignent à BCF

Adoption du projet de loi no. 96 : soyez prêts

Mois de la fierté : la richesse de la diversité

BCF, 3e plus grand cabinet juridique au Québec

Sociétés les mieux gérées au Canada : BCF reconnue pour une 15e année consécutive

BCF est reconnue par le Globe and Mail comme l’un des meilleurs cabinets d’avocats au Canada

Chambers Canada 2022 : BCF s’est classée au premier rang au Québec en droit corporatif et commercial

Sept avocats de la relève se joignent à BCF

L’action collective en matière de protection de la vie privée et des données

Une action collective pour atteinte à la vie privée rejetée sur le fond : une première au pays

BCF accueille sept nouveaux avocats parmi ses rangs

Collaboration à l’ère de la COVID-19 : considérations juridiques pour des partenariats réussis entre l'IA et les soins de santé

Shaun E. Finn et Danielle Miller Olofsson publient un ouvrage de référence sur les actions collectives en matière de protection de la vie privée et des données

Quelles sont les implications de la décision invalidant le Bouclier de protection des données UE-États-Unis sur votre entreprise?

Enquête sur une application de Tim Hortons

Le projet de loi 64 du Québec modifiant la loi sur la protection des données : un projet de loi qui a du mordant?

L’utilisation de caméras thermiques dans les commerces est-elle conforme aux lois de protection de la vie privée?

COVID-19 : des solutions pour faire face à la situation

COVID-19 : enfin une boîte à outils pour les développeurs d’applications de géolocalisation

Traquer la pandémie de la COVID-19 grâce aux cellulaires

COVID-19: n'oubliez pas la protection des données dans votre stratégie de réponse face à la crise

BCF se classe de nouveau parmi les meilleurs employeurs à Montréal

BCF nomme 16 nouveaux associés pour son 25e anniversaire

Le contrôle conjoint et les risques liés à l’utilisation des modules de site Web

Êtes-vous précurseur ou suiveur?Résultats du sondage sur l’innovation

Chambers Canada 2020: BCF reconnue en droit corporatif et commercial

Forum stratégique sur l'innovation

Les différentes approches législatives face au 5G

Innover pour survivre: êtes-vous précurseur ou suiveur?

Vous implantez un nouveau système technologique en entreprise? Pensez à protéger vos données

La technologie 5G est à nos portes: à quoi faut-il s’attendre?

Les enjeux juridiques de la révolution industrielle 4.0

Qu’advient-il des actions collectives québécoises en matière de vie privée?

Faire la lumière sur le Cloud Act

Google et la CNIL, une affaire de consentements mal obtenus

Pratiques à adopter pour les entreprises québécoises recevant des données européennes

L’anonymisation ? En êtes-vous certains ?

Le Deep Web et le Dark Web démystifiés pour les entreprises

RGPD: comment vous y préparer

Nouvelles mesures de l'Union européenne en matière de protection des données

Votre entreprise collecte-t-elle trop de données et les protège-t-elle bien ?

Découvrez notre intelligence d'affaires