Le nouvel article 3.3 al. 1 de la Loi sur le secteur privé énonce la règle suivante :

Toute personne qui exploite une entreprise doit procéder à une évaluation des facteurs relatifs à la vie privée de tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels.

Un projet, selon le Dictionnaire de l’Académie française, est « [un] dessein, [une] intention qu’on a de réaliser quelque entreprise, et qui prend en compte les moyens utiles à sa mise en oeuvre[14] » ; c’est « ce que l’on se propose d’accomplir[15] ». La définition que donne le Dictionnaire de management de projet met davantage en exergue les principales caractéristiques des projets, soit la satisfaction d’une demande ou d’un besoin, la détermination d’objectifs spécifiques, des paramètres temporels, le caractère d’unicité de l’initiative, la novation, la mobilisation de ressources et la nécessité de structures organisationnelles affectées à l’initiative. Le projet est ainsi décrit comme un « [p]rocessus unique qui consiste en un ensemble d’activités coordonnées et maîtrisées comportant des dates de début et de fin, entrepris dans le but d’atteindre un objectif conforme à des exigences spécifiques, incluant les contraintes de délais, de coûts et de ressources (ISO 10006)[16] ». Selon l’article 3.3 précité, toute personne qui s’engage dans un tel processus dans le cadre d’une entreprise qu’elle exploite[17] est tenue de réaliser une EFVP au départ de ce processus, c’est-à-dire aussi tôt qu’elle a l’idée d’un projet, voire à compter de l’avant-projet[18]. Cette évaluation, au sens de la Loi, porte sur le projet et elle est requise lorsque celui-ci concerne l’acquisition, le développement ou la refonte d’un système d’information ou la prestation électronique de services impliquant le traitement[19] de renseignements personnels.

Le système d’information et la prestation électronique de services ne sont pas définis dans la Loi sur le secteur privé. On est ainsi porté à considérer le sens commun des concepts. Selon Le grand dictionnaire terminologique, de l’Office québécois de la langue française, un système d’information (SI) est l’« [e]nsemble structuré de tous les éléments qui contribuent à la gestion de l’information dans une entreprise, dont les ressources matérielles, techniques, financières, humaines, intellectuelles ou autres, que cet ensemble soit informatisé ou non, en totalité ou en partie[20] ». Comme en administration publique, la prestation électronique de services (PES) consiste, en l’occurrence pour une entreprise, à prester des services aux consommateurs par l’intermédiaire d’Internet[21]. Au sens de la Loi (nouvel article 3.3), tout projet d’acquisition, de développement ou de refonte de SI ou de PES doit[22] subir une EFVP par cela même que tel projet implique la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels[23]. L’acquisition s’entend normalement de l’action d’acquérir une chose, c’est-à-dire de l’obtenir pour soi par transfert de propriété, licence d’utilisation, etc. ; le développement est un processus comprenant généralement l’analyse des besoins, la spécification, la conception du système, la programmation, le déploiement et la maintenance[24] ; quant à la refonte, elle appelle un remaniement complet, une réingénierie ou une révision qui affectent la conception du système. S’agissant d’un logiciel par exemple, la refonte pourrait inclure la mise à niveau, mais probablement pas la mise à jour ordinaire[25].

La pertinence de certaines de ces définitions générales est discutable, du moins dans le contexte d’un renforcement de la protection des renseignements personnels. D’abord, il faut se demander si, suivant la réforme de la Loi sur le secteur privé, le SI peut ou doit être interprété comme incluant les ensembles non informatisés. La question est inévitable une fois que le législateur affiche un objectif de modernisation de la Loi, lequel suppose la promotion de règles adaptées aux besoins de l’époque actuelle (on sous-entend que les ensembles non informatisés appartiennent à une autre époque). D’un autre côté, la définition de la PES est imprécise, comparée à celle du « service » ou du « service de la société de l’information » dans le RGPD. Pour définir ce type de services, l’article 4 (25) du RGPD renvoie à l’article 1 (1) (b) de la directive (UE) 2015/1535 du Parlement européen et du Conseil. En l’espèce, il est question de « tout service presté normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d’un destinataire de services[26] ». Le mode « à distance » s’entend du service qui est fourni sans que les parties qui sont impliquées soient simultanément présentes[27]. La « voie électronique » suppose le recours à des équipements spécifiques, capables de traiter des données, de les stocker ou de les transmettre, les acheminer et les recevoir[28]. L’expression « à la demande individuelle d’un destinataire de services » signifie que le service est fourni par transmission de données sur demande individuelle[29]. Cette méticulosité du RGPD, qui a l’avantage de circonscrire la portée matérielle de la réglementation, a manqué à la nouvelle mouture de la Loi sur le secteur privé.

Mais surtout, l’objet de ce que le législateur européen appelle « analyse d’impact relative à la protection des données » (AIPD) n’est pas systématiquement tout projet d’acquisition, de développement ou de refonte relatif à un service de la société de l’information ou à un SI et comportant le traitement de données à caractère personnel[30]. Seuls certains types d’opérations de traitement sont visés. Pour celles-ci, l’AIPD doit être « lancée le plus tôt possible dans le cycle de conception du traitement[31] ». Le législateur a dans sa mire les opérations de traitement qui, en raison de leur nature, de leur portée, de leur contexte et de leur finalité, sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques[32]. La définition du risque est précise : il s’agit d’un « scénario qui décrit un événement et ses effets, estimés en termes de gravité et de probabilité[33] ». Sont notamment concernés les types d’opérations de traitement qui reposent sur de « nouvelles technologies » ou ceux « qui sont nouveaux et pour lesquels aucune analyse d’impact relative à la protection des données n’a été effectuée au préalable par le responsable du traitement, ou qui deviennent nécessaires compte tenu du temps écoulé depuis le traitement initial »[34]. La liste des types d’opérations de traitement pour lesquelles une AIPD est requise est établie et publiée par l’autorité de contrôle. Cette dernière peut indiquer, de la même façon, les types d’opérations pour lesquelles une AIPD n’est pas demandée[35].

En ciblant les types d’opérations de traitement en fonction des risques qu’ils présentent pour les droits et libertés des personnes physiques (principalement, les risques pour les droits à la protection des données et à la vie privée ; le cas échéant, les risques pour la liberté de parole, la liberté de pensée, la liberté de circulation, l’interdiction de toute discrimination, le droit à la liberté et la liberté de conscience et de religion)[36], le règlement européen rompt avec l’ancienne approche de la directive 95/46/CE[37], jugée peu efficace, qui imposait une obligation générale sans distinction de notifier tous les traitements aux autorités de contrôle. L’on réprouve, en particulier, la charge administrative et financière que cette obligation a générée sans systématiquement améliorer la protection des données à caractère personnel[38].

Au Québec, la Loi 25 a précipité les entreprises sur ce sentier (généraliste) abandonné (car peu efficace) en soumettant à une EFVP « tous » les projets d’acquisition, de développement et de refonte de SI ou de PES impliquant le traitement de renseignements personnels. La mise en oeuvre de cette obligation est en soi un défi, en l’occurrence pour les très petites entreprises (TPE) ainsi que les petites et moyennes entreprises (PME) ; l’approche généraliste de la Loi québécoise est d’autant plus contraignante qu’elle requiert une expertise pluridisciplinaire que les entreprises devront immanquablement développer ou s’adjoindre pour pouvoir évaluer chacun des projets visés et maintenir cette évaluation à jour (le fardeau financier est probablement à craindre). Le défi concerne d’ailleurs aussi les autorités de contrôle elles-mêmes, compte tenu de l’importance de la charge administrative et financière corrélative à l’obligation imposée aux entreprises.

Au demeurant, que l’on considère l’approche généraliste de la nouvelle version de la Loi sur le secteur privé ou la démarche spécialisée du RGPD, certaines initiatives, comme l’implantation d’un système bancaire ouvert, rendent inévitable l’EFVP ou l’AIPD. Le bien-fondé d’un tel système, au Canada, a fait l’objet d’un rapport sénatorial en 2019[39] duquel il est ressorti que les États, en adoptant un système bancaire ouvert, établissent notamment un cadre qui permet au consommateur d’avoir accès à ses données financières personnelles et de les contrôler. Il s’agit, de toute évidence, de retirer aux institutions financières individuelles la mainmise sur le flot de données que génère le consommateur dans ses opérations bancaires quotidiennes[40].

Cela suppose, d’une part, la portabilité de ces données ; autrement dit, le droit du consommateur de décider celles dont il veut autoriser la transmission de sa banque vers un tiers fournisseur (soit une entreprise de technologie financière ou une autre). D’autre part, le système bancaire ouvert favorise l’accès transparent à des services d’initiation de paiement[41]. Pour des raisons liées notamment à la sécurité des données, les interfaces de programmation d’application (application programming interface ou API)[42] sont le canal de communication privilégié au sein d’un tel système bancaire[43]. L’interface API Google Apigee[44], considérée comme une plateforme fédératrice, est une figure de proue de la gestion du cycle de vie des API[45]. Sa variante du secteur bancaire (Apigee Open Banking APIx) permet aux entreprises de créer des écosystèmes où elles peuvent regrouper et intégrer l’ensemble des interfaces API nécessaires au partage sécuritaire des données bancaires des consommateurs[46].

Imaginons un fournisseur de technologie financière participant à ce partage de données, par exemple le concepteur et l’opérateur d’une application mobile d’optimisation des finances personnelles. Ce fournisseur pourrait nourrir l’ambition d’offrir au consommateur des produits ou des services qui lui sont adaptés, incluant l’octroi de financement. Le raffinement des propositions, leur justesse, dépendra notamment de la puissance et de la sophistication des technologies sur lesquelles repose le traitement des données auxquelles ce fournisseur aura eu accès, surtout si ce traitement doit recouper des données provenant de sources secondaires (par exemple, d’infonuages privés ou publics, de l’Internet des objets, d’applications partenaires, etc.). À ce chapitre, les méthodes comme l’apprentissage automatique (supervisé, non supervisé, profond, etc.)[47] ou, plus généralement, les solutions d’intelligence artificielle (IA)[48] s’imposent, car elles peuvent permettre de profiler le consommateur, de connaître de façon rigoureuse ses besoins et la manière de les satisfaire, d’anticiper ou de prédire ses actions[49]. L’IA serait ainsi une adjuvante redoutable, si ce n’est une pièce maîtresse de l’analyse du comportement. Le projet Covid Global Confinement Emotion aNalysis (COVGEN), qui explore l’ensemble des gazouillis échangés sur la planète entre mars 2020 et mars 2021 pour comprendre les émotions des millions de personnes en confinement[50], rappelle de manière emphatique que l’IA s’embarrasse peu du volume des données à traiter et de la vélocité anticipée dans ce traitement.

Si nous considérons le scénario du fournisseur de technologie financière selon une perspective québécoise, le développement de l’application mobile citée abstractivement subirait une EFVP dès le début du projet[51], dans la mesure où cette application mobile concerne une prestation électronique de services impliquant le traitement de renseignements personnels. Or, la finalité de cette évaluation n’apparaît pas de manière évidente dans la Loi sur le secteur privé. Qu’entend-on par « vie privée » dans le contexte ? Veut-on davantage définir ou connaître autant les impacts négatifs du projet sur les phénomènes personnels que les réponses aux risques dont le projet peut ou doit bénéficier ? S’agit-il d’apprécier la conformité du projet de SI ou de PES aux règles concernant la vie privée ? En l’espèce, l’unique indication au sujet de la finalité de l’EFVP se trouve à l’article 3.4 (nouveau), qui prévoit que le responsable de la protection des renseignements personnels peut, à toute étape d’un projet de SI ou de PES (ce qui inclut normalement l’EFVP), « suggérer des mesures de protection des renseignements personnels applicables à ce projet ». À la suite de l’EFVP, l’entreprise est appelée à identifier et à choisir des réponses aux risques mis en évidence lors de l’exercice, en tenant compte de la Loi.

Concrètement, les entreprises trouveront un cadre d’analyse plus précis dans une pluralité d’instruments dont deux retiennent notre attention : d’une part, elles peuvent se référer aux Guidelines for Privacy Impact Assessment publiées par l’Organisation internationale de normalisation (norme ISO/IEC 29134)[52]. D’autre part, et peut-être de manière plus spécifique, elles voudront considérer le Guide d’accompagnement — Réaliser une évaluation des facteurs relatifs à la vie privée dont une version de travail datée du 10 mars 2021 a été rendue publique par la Commission d’accès à l’information (CAI)[53]. Cette version du guide est antérieure aux amendements apportés au projet de loi n^o 64 ; elle est conséquemment appelée à évoluer, et il n’est pas déraisonnable de souhaiter que cette évolution s’inscrive dans les standards internationaux.

Selon les lignes directrices ISO, l’impact à évaluer est relatif à tout ce qui a un effet sur la confidentialité des renseignements personnels, c’est-à-dire le secret des renseignements qui concernent une personne physique et qui permettent de l’identifier. Ainsi, la norme ISO/IEC 29134[54] définit l’évaluation d’impact comme un processus holistique, continuel, que le responsable du traitement des renseignements personnels amorce aux premières étapes du projet, plus exactement lorsqu’il est encore possible d’influencer l’issue du projet et de réaliser la « confidentialité programmée[55] ».

Quoique dans une forme préparatoire, le Guide d’accompagnement de l’EFVP éclaire également sur la nature et la finalité de l’EFVP en expliquant ceci : « L’EFVP est une démarche préventive visant à mieux protéger les renseignements personnels et à mieux respecter la vie privée des personnes physiques. Elle consiste à considérer tous les facteurs qui auront un impact positif ou négatif pour le respect de la vie privée des personnes concernées[56]. »

Cette interprétation de la Loi rejoint le RGPD. Qui plus est, par « facteurs relatifs à la vie privée », la CAI voit trois éléments, lesquels aussi définissent l’EFVP à la fois comme un outil de mise en conformité légale et un outil de gestion préventive des risques. Ces éléments sont les suivants : d’abord, l’EFVP permet de s’assurer que le projet de SI ou de PES respecte la législation sur la protection des renseignements personnels et les principes sous-jacents. L’approche ici est identique à celle du RGPD où la protection des données prend en compte, plus globalement, les droits et libertés des personnes physiques. Ensuite, l’EFVP sert à identifier les risques que le projet de SI ou de PES présente pour la vie privée, l’intimité, la vie personnelle, tout en proposant l’inventaire et une appréciation des impacts de ces risques, c’est-à-dire les conséquences, répercussions, incidences et implications du projet. Dans la version de travail du Guide d’accompagnement de l’EFVP, la notion de risque est décrite à la manière du RGPD[57]. Enfin, à travers l’EFVP, l’on doit pouvoir distinguer les stratégies et les mesures que les entreprises entendent déployer pour répondre aux risques identifiés.

Envisagé selon le RGPD, le scénario de l’application mobile d’optimisation des finances personnelles — ou plus exactement l’opération de traitement subjacente — serait également soumis à une AIPD dès sa conception. D’une part, en exigeant l’AIPD dès la conception, le législateur met l’accent sur le moment où il est encore possible de réaliser la confidentialité programmée[58] et la protection des données par défaut[59]. La confidentialité programmée permet au responsable du traitement de mettre en oeuvre, depuis le moment de la détermination des moyens du traitement jusqu’au traitement lui-même, un ensemble de mesures techniques et organisationnelles pour garantir le respect des principes relatifs à la protection des données[60]. Au sens du règlement européen, la protection des données par défaut s’appuie aussi sur des mesures techniques et organisationnelles définies en amont du traitement. En l’occurrence, ces mesures visent à donner l’assurance que par défaut, c’est-à-dire sans l’intervention de la personne physique concernée, seules sont traitées les données qui sont nécessaires au regard de chaque finalité spécifique poursuivie[61]. L’analyse d’impact doit se poursuivre au fur et à mesure du développement de l’opération de traitement et même après son lancement[62].

D’autre part, si le déclencheur de l’AIPD est le risque élevé qu’un type d’opérations de traitement peut engendrer pour les droits et libertés des personnes physiques, dans le RGPD, ce niveau élevé du risque est perçu du premier coup dans certaines opérations. C’est le cas, comme dans le scénario de l’application mobile d’optimisation des finances personnelles, de l’opération de traitement qui comprend (selon la lettre de l’article 35 (3) (a) du RGPD), « l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage[63], et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire[64] ». Pour illustration, le Groupe de travail « Article 29 » (G29) soumet l’exemple « d’une banque passant ses clients au crible d’une base de données de cote de crédit avant d’arrêter ses décisions d’octroi de prêt[65] ».

Plus généralement, le G29 a déterminé un ensemble de neuf critères à la lumière desquels le responsable du traitement peut décider si une AIPD doit être réalisée pour une opération de traitement du fait d’un risque élevé inhérent[66]. Dès qu’une opération de traitement satisfait à deux de ces neuf critères, le G29 estime que le responsable du traitement peut considérer que cette opération est susceptible de présenter un risque élevé pour les droits et libertés des personnes physiques et qu’il importe de réaliser une AIPD[67]. L’AIPD permet alors, d’une part, de s’assurer que l’opération de traitement envisagée est conforme à la Loi. D’autre part, elle permet de prouver ou de démontrer cette conformité. Pour cela, il faut précisément évaluer l’origine, la nature, la particularité et la gravité du risque[68], tout en identifiant des mesures pour y faire face[69].

Ce premier contexte de l’EFVP a mis en exergue deux éléments de notre thèse. Premièrement, en énonçant une obligation indiscriminée, systématique, à l’égard de tous les projets de SI ou de PES impliquant le traitement de renseignements personnels, le législateur impose aux entreprises un fardeau qui rappelle l’ancienne approche généraliste européenne jugée peu efficace et abandonnée. Deuxièmement, l’imprécision de la Loi au sujet de l’EFVP, lorsque cette évaluation est entreprise dans le cadre d’un projet de SI ou de PES, est d’autant plus surprenante que ce flou concerne à la fois la nature et la finalité de l’EFVP. Ils ne sont pas définis dans la Loi, ces aspects pourtant essentiels, qui contribuent à circonscrire l’obligation imposée aux entreprises et à indiquer au consommateur ce à quoi il peut s’attendre en termes de protection. Reflet quasi parfait du RGPD, la proposition de la CAI (dans son projet de guide d’accompagnement de l’EFVP) tente de redresser le vague, toute intervention décisive pour le choix d’une méthode de réalisation de l’EFVP.

Avant de se pencher sur la réalisation de l’EFVP, il importe de développer l’autre contexte virtuellement pertinent en technologie financière, soit l’exigence d’une EFVP précédant la communication d’un renseignement personnel à l’extérieur du Québec.

La CAI situe la « communication » à la troisième étape du cycle de vie du renseignement personnel. Elle indique que « [l]a communication est la période où le renseignement personnel est communiqué [c’est-à-dire transféré, transmis, on le fait savoir ou connaître], par exemple dans un système de prestation électronique de services, par courriel, au service à la clientèle, par le biais de sites Web ou à un tiers[70] ». La communication du renseignement personnel peut être effectuée au Québec ou à l’extérieur du Québec. Lorsqu’elle est effectuée à l’extérieur du Québec, la communication doit être précédée d’une EFVP. C’est l’alinéa 1 de l’article 17 (nouveau) de la Loi sur le secteur privé qui établit cette exigence.

Cette disposition s’applique notamment à l’infonuagique, une forme d’impartition qui prend le pas sur le modèle classique de développement et de gestion in situ des SI ou des PES. Le modèle classique suppose l’acquisition d’infrastructures matérielles et logicielles, la création des conditions de leur pérennité, leur déploiement dans les espaces dédiés, l’arrimage à l’existant, l’initiation des ressources humaines aux nouveaux processus technologiques, etc. L’infonuagique permet d’éviter nombre de ces opérations et les investissements sous-jacents en proposant aux organisations (privées comme publiques) un « [m]odèle informatique dans lequel le stockage des données et leur traitement sont externalisés sur des serveurs distants accessibles à la demande à partir de tout appareil bénéficiant d’une connexion Internet[71] ». La filiale d’Amazon (Amazon Web Services ou AWS) et Microsoft dominent le marché mondial des services d’infrastructure et de plateforme infonuagiques : ensemble, ils détenaient en 2021 plus de 90 p. 100 de ce marché[72]. L’infrastructure d’AWS est maillée en régions, celles-ci étant des emplacements physiques disséminés sur le globe, avec des zones de disponibilité où sont installés des centres de données[73]. Le fournisseur de technologie financière de notre scénario ou toute entreprise ou tout organisme public[74] qui fait affaire avec ce prestataire, par exemple, a l’obligation de réaliser une EFVP avant de pouvoir dupliquer, sauvegarder, stocker, faire transiter, transférer, etc., un renseignement personnel dans l’un de ces centres de données, si celui-ci est physiquement situé à l’extérieur des frontières de la province du Québec. L’exigence a un objectif pratique : veiller à ce que le renseignement bénéficie d’une protection adéquate lors même que, par leur situation géographique, les centres de données destinataires peuvent échapper à l’emprise des lois du Québec.

L’EFVP jugée favorable à la communication du renseignement est celle dont les résultats attestent ou confirment l’adéquation de la protection qui sera accordée à ce renseignement à l’extérieur du Québec. L’adéquation est envisagée « notamment au regard des principes de protection des renseignements personnels généralement reconnus[75] ». De plus, la communication doit être encadrée par des clauses contractuelles écrites, définies par les parties en tenant compte des résultats de l’EFVP. Ces clauses incluent, le cas échéant, des mesures d’atténuation des risques identifiés dans le cadre de l’évaluation[76]. Précisons que l’entreprise qui a recours à une personne ou à un organisme situé à l’extérieur du Québec pour recueillir, utiliser, communiquer ou conserver, pour son compte, un renseignement personnel est aussi soumise à l’ensemble de ces formalités[77].

Si le législateur européen renvoie au même concept d’adéquation (de la protection), il le traite différemment et non au chapitre de l’AIDP. Les dispositions pertinentes, c’est-à-dire les articles 45 et suivants du RGPD, sont énoncées au chapitre V intitulé « Transferts fondés sur une décision d’adéquation — Transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale ». L’article 45 prévoit que le transfert vers ce pays tiers, en l’occurrence un pays non membre de l’Espace économique européen (EEE), ou vers une organisation internationale, peut avoir lieu dans trois cas : premièrement, lorsque ce transfert a fait l’objet d’une décision d’adéquation, c’est-à-dire que la « Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l’organisation internationale en question assure un niveau de protection adéquat ». La décision de la Commission est prise sur la base d’éléments comme l’accès aux données par les autorités publiques du pays, la jurisprudence, les recours administratifs et judiciaires ouverts dans ce pays, l’existence et le fonctionnement effectif d’autorités de contrôle indépendantes ou encore les engagements internationaux pris par le pays tiers ou l’organisation. Le Canada, par exemple, bénéficie d’une décision d’adéquation, plus exactement les destinataires au Canada dont les activités relèvent de la Loi canadienne sur la protection des renseignements personnels et les documents électroniques[78].

Deuxièmement, à défaut d’une décision d’adéquation rendue par la Commission, le transfert des données peut avoir lieu moyennant des garanties appropriées fournies par le responsable du traitement ou par le sous-traitant, conformément à l’article 46 du RGPD[79]. Ces garanties sont normalement contenues dans des instruments de transfert, comme des règles d’entreprise contraignantes[80] ou des clauses contractuelles types (CCT)[81]. Troisièmement, le responsable du traitement ou le sous-traitant établi dans l’EEE peut se prévaloir de l’une des dérogations de l’article 49, s’il en remplit les conditions[82].

Dans l’interprétation de ces dispositions, il faut s’intéresser au récent arrêt de la Cour de justice de l’Union européenne (CJUE) dans l’affaire C-311/18 (Schrems II)[83] et les mesures qui en ont découlé, en particulier les Recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE[84] et les Recommandations 02/2020 sur les garanties essentielles européennes pour les mesures de surveillance[85]. L’élément suivant en ressort : l’existence d’une décision d’adéquation dans un contexte donné procède d’une évaluation du niveau de protection ; cette évaluation est réalisée par la Commission elle-même. Cela permet au responsable du traitement ou au sous-traitant (identifiés dans les Recommandations comme l’exportateur) de procéder immédiatement au transfert. L’absence de décision d’adéquation ou de dérogation suivant l’article 49 du RGPD remet le fardeau de l’évaluation sur les épaules de l’exportateur. En pareille situation, l’évaluation est typique et elle bénéficie d’un encadrement contrasté par rapport à l’AIPD : elle a pour objet de juger de l’efficacité de l’instrument de transfert que l’exportateur a sélectionné (par exemple les CCT) en confrontant cet instrument (et les garanties inhérentes) au droit et aux usages du pays tiers[86]. Selon les Recommandations 01/2020, « [o]n entend par “efficace” le fait que les données à caractère personnel transférées bénéficient dans le pays tiers d’un niveau de protection substantiellement équivalent à celui qui est garanti dans l’EEE[87] ». À moins de renoncer au transfert, des mesures supplémentaires (contractuelles, techniques ou organisationnelles) sont requises quand l’évaluation révèle que l’instrument de transfert et les garanties qu’il contient ne seraient pas efficaces si le transfert avait lieu[88].

Au Québec, une mouture initiale du projet de loi n^o 64 exigeait que l’EFVP démontre une « protection équivalant à celle prévue à la [Loi québécoise][89] » avant que l’on puisse communiquer un renseignement personnel à l’extérieur du Québec. Une autre disposition du projet de loi (l’article 103) prévoyait ceci : « Le ministre publie à la Gazette officielle du Québec une liste d’États dont le régime juridique encadrant les renseignements personnels équivaut aux principes de protection des renseignements personnels applicables au Québec[90]. » Lors des travaux parlementaires, la disposition a été amendée : on a retiré « équivalant à celle prévue à la [Loi québécoise] » au profit de « adéquate, notamment au regard des principes de protection des renseignements personnels généralement reconnus »[91]. Les parlementaires ont subséquemment éliminé l’obligation imposée au ministre de publier une liste des États dont le régime juridique est jugé équivalent à celui du Québec. L’amendement a ainsi été motivé :

Plusieurs intervenants ont exprimé des inquiétudes par rapport aux exigences énoncées dans le projet de loi concernant la communication de renseignements personnels à l’extérieur du Québec, en particulier en ce qui a trait à l’évaluation du degré d’équivalence du régime juridique applicable dans l’État où le renseignement serait communiqué. Ces intervenants ont mentionné que cette exigence entraînerait d’importants coûts de mise en conformité et limiterait l’accès, par les entreprises québécoises, à certains services en ligne. Qui plus est, ce processus aurait nécessité la réalisation d’une analyse comparative entre la loi québécoise et le régime juridique applicable dans l’État où le renseignement personnel serait communiqué, une démarche s’avérant d’une certaine complexité.

Il y a donc lieu d’amender le projet de loi afin de retirer la notion d’équivalence entre les lois québécoises et celles de l’État où la communication de renseignements est envisagée. La modification proposée aurait donc pour effet de permettre la communication hors Québec, dans la mesure où l’organisme public ou l’entreprise estime que le renseignement bénéficiera d’une protection adéquate à la suite d’une évaluation qui devra tenir compte de l’ensemble des mesures de protection applicables aux renseignements personnels, ce qui peut inclure le régime législatif certes, mais également des mesures contractuelles[92].

Cette explication est présumée rassurer les parties prenantes. Mais, selon notre thèse, elle convainc à grand-peine : c’est que, entre protection équivalente et protection adéquate, il nous semble demeurer un trait commun, soit l’évaluation qui doit confirmer ou infirmer l’équivalence ou l’adéquation. Dans un cas comme dans l’autre, il faut procéder à une analyse qui a la particularité d’être comparative, c’est-à-dire qu’elle doit établir ou exprimer des comparaisons. Relativement à l’équivalence, les comparaisons étaient envisagées par rapport à la Loi québécoise. Concernant l’adéquation, les comparaisons doivent être entreprises au regard « des principes de protection des renseignements personnels généralement reconnus ». Dans les deux cas, il s’agit de comparaisons multiformes, du droit, des usages, des processus administratifs, etc., toute chose semblant davantage du ressort de l’État (étant donné l’importance des ressources à mobiliser pour l’évaluation) que de celui de la très petite entreprise (TPE), de la PME ou encore de l’entreprise de taille intermédiaire (ETI). Les modalités et les critères du RGPD à propos des décisions d’adéquation sont une indication frappante que l’exercice n’est pas plus aisé lorsque l’évaluation vise à établir le caractère adéquat de la protection offerte dans un État tiers. Le fardeau des entreprises est d’autant plus astreignant qu’elles ont, seules, la responsabilité de cette évaluation, contrairement au contexte européen où les décisions d’adéquation autorisant le transfert des données vers un pays tiers ou à une organisation internationale sont rendues par la Commission à la suite d’une analyse qu’elle-même effectue. Et, comble de complexité, le législateur québécois définit l’évaluation à réaliser comme une EFVP (et non comme la seule appréciation de l’efficacité des instruments de transfert qui seront utilisés). Ce qui, aussi, positionne cette évaluation à la fois comme un outil de mise en conformité légale et un outil de gestion préventive de risques. Cette double qualification, on va le voir à partir de l’exemple européen, influence directement la réalisation de l’évaluation et, incidemment, le faix des entreprises.

Au total, à la lumière de ses caractéristiques, notre application fictive d’optimisation financière est de façon incontournable candidate à l’EFVP soit à titre de projet de SI ou de PES, soit parce qu’elle implique la communication de renseignements personnels à l’extérieur du Québec. La nature des renseignements collectés dans le cadre de ces applications et l’ampleur des opérations auxquelles ces renseignements sont soumis mettent en évidence l’intérêt de l’EFVP. Pour éviter la banalisation de l’EFVP, peut-être aurait-il fallu confiner celle-ci dans les situations qu’illustre notre application mobile (voire dans des opérations de traitement d’une certaine ampleur) ou, comme en Europe, dans des situations précises impliquant notamment des risques élevés pour la vie privée. Par ailleurs, la lettre du RGPD a offert des indications qui ont tracé les sillons dans lesquels les guides d’accompagnement et autres outils ont cheminé pour éclairer les acteurs. Au Québec, la quasi-généralisation du recours à l’EFVP contraste avec l’absence de telles indications dans la Loi, du moins concernant les projets de SI et de PES. Il faudra, pour les acteurs, espérer que la CAI fasse preuve de générosité à cet égard.

Au-delà du contexte de l’EFVP, sa réalisation met en évidence l’ampleur de cette nouvelle exigence de la Loi 25.

La réforme de la Loi sur le secteur privé est taciturne à propos des fondamentaux de la méthode de l’EFVP, du moins quand l’évaluation concerne un projet d’acquisition, de développement ou de refonte de SI ou de PES impliquant le traitement de renseignements personnels. La définition de la méthode de l’EFVP est un défi que le législateur semble avoir sciemment écarté, peut-être en regard de la variété des projets de SI et de PES soumis à l’EFVP. Le législateur s’en tient à des prescriptions ou à des orientations minimalistes, la plupart du temps à la périphérie de l’évaluation. Celles-ci sont énoncées aux articles 3.3 et 3.4 (nouveaux) de la Loi. Dans ces dispositions, la prescription de nature procédurale, c’est-à-dire l’obligation de consulter le responsable de la protection des renseignements personnels, et la recommandation concernant les mesures organisationnelles de protection des renseignements personnels n’appellent pas de commentaires particuliers[93]. En revanche, il importe de s’interroger sur la pertinence, à l’étape de l’EFVP, de l’obligation faite à la personne qui procède à l’évaluation de s’assurer que le projet de SI ou de PES permet qu’un renseignement personnel recueilli auprès de la personne concernée et soumis à un traitement informatique soit communiqué à cette dernière « dans un format technologique structuré et couramment utilisé[94] ». Dans l’exemple de l’application putative d’optimisation des finances personnelles, cela signifie que, en réalisant l’EFVP (dès le début du projet), le fournisseur de la technologie financière veille à ce que l’application qui sera distribuée permette au consommateur de jouir de la portabilité de ses renseignements à caractère personnel[95]. Le droit lié à la portabilité des données permet de réaffirmer et de garantir à la personne concernée le contrôle de ses données ou, comme l’explique mieux le G29, de « responsabiliser les personnes concernées au sujet de leurs données à caractère personnel, car [cela] facilite leur capacité à déplacer, à copier ou à transmettre facilement des données à caractère personnel d’un environnement informatique vers un autre[96] ». La matérialisation de ce droit influence la conception même des projets, et c’est peut-être pour cette raison que le législateur québécois l’introduit dans l’EFVP : ainsi, il force, à l’orée des projets, un certain paramétrage et des correctifs, le cas échéant, de façon à enchâsser ce droit dans lesdits projets. Mais alors, pourquoi ne pas aussi avoir expressément intégré à l’EFVP les autres droits, voire le principe de la protection des données par défaut[97] et celui de la confidentialité programmée dont la mise en oeuvre, comme en matière de portabilité, est liée à la conception des projets ou dépend de cette dernière ?

Le dernier alinéa de l’article 3.3 (nouveau) n’éclaire pas plus la méthode de l’EFVP. Il indique essentiellement que la réalisation de cette évaluation, quel que soit le contexte, doit être proportionnée, c’est-à-dire dosée, mesurée. L’EFVP peut ainsi être sommaire ou détaillée, compte tenu des cinq critères énoncés dans la Loi, à savoir « la sensibilité des renseignements concernés, […] la finalité de leur utilisation, […] leur quantité, […] leur répartition et […] leur support ». Or, malgré ces indications, il nous semble que le contexte précis de l’EFVP qui serait qualifiée de sommaire demeure incertain, tout comme le seuil de basculement vers une EFVP détaillée. Un mémoire du ministre responsable de l’Accès à l’information et de la Protection des renseignements personnels a fait valoir que « l’évaluation pourra être très sommaire si ces différents critères conduisent l’entreprise ou l’organisme public à conclure que le risque est faible de prime abord[98] ». Mais la disposition précitée n’indique nulle part que le risque constitue l’élément ou le critère qui doit orienter le choix entre une EFVP sommaire (ou « très sommaire ») et une EFVP détaillée. Même si elle l’avait indiqué, sommaire ou non, l’évaluation n’en demeurerait pas moins une analyse de risque, c’est-à-dire un « [p]rocessus d’identification, d’estimation et d’évaluation des risques d’un projet afin de décider du traitement des risques retenus[99] ». Un tel processus, pour être digne de confiance, ne peut être envisagé sans méthode, et il n’est pas indiqué d’en omettre des maillons, d’autant plus que des renseignements à caractère personnel sont en jeu. On se demande alors à quel point il peut être sommaire ou « très sommaire » ou être effectué prima facie. Par-dessus tout, l’EFVP n’étant pas qu’un outil de gestion de risques, il est attendu que ses autres aspects seront également pris en considération dans sa réalisation (sommaire, très sommaire ou détaillée).

Outre la question de la proportionnalité de l’évaluation, le constat est que la réforme de la Loi sur le secteur privé est peu bavarde quant à la façon dont les entreprises doivent réaliser l’EFVP, du moins pour leurs projets de SI ou de PES. L’approche minimaliste de la Loi procure une certaine flexibilité aux entreprises, mais tend aussi à alimenter l’incertitude en n’accordant pas assez d’attention à la méthode et aux critères de l’évaluation (concernant les conditions de conformité ou d’acceptabilité de l’EFVP, le contenu commun du rapport d’évaluation, sa durée de validité ou ses conditions de caducité, etc.). Une fois mis au point, le Guide d’accompagnement de l’EFVP ne devrait pas fondamentalement diverger des instruments européens[100] ni de la norme ISO/IEC 29134 qui, déjà, donnent un portrait détaillé des balises manquantes et documentent attentivement la manière dont il est possible de réaliser l’EFVP. Nos observations terminales insistent particulièrement sur ces instruments européens et sur la norme ISO/IEC 29134. À l’occasion, des décisions des autorités de contrôle viendront nourrir l’analyse.

En vertu du RGPD, les modalités de l’AIPD tiennent compte de sa triple vocation : d’une part, il s’agit de garantir la conformité des opérations de traitement aux exigences de la Loi ; d’autre part, l’analyse d’impact peut servir de preuve de cette conformité ; enfin, l’analyse d’impact doit être utilisée comme un moyen de gérer préventivement les risques que les opérations de traitement présentent pour les droits et libertés des personnes physiques. Il est convenu que l’AIPD pourra reposer sur diverses méthodes dont le choix sera laissé au responsable du traitement[101]. Néanmoins, le paragraphe 7 de l’article 35 du RGPD énonce trois critères impératifs, c’est-à-dire des étapes auxquels doit satisfaire toute méthode ou toute façon de procéder à l’analyse (ce sont les critères d’acceptabilité de l’AIPD) : 1) la description des opérations de traitement envisagées et leurs finalités ; 2) l’évaluation de la nécessité et de la proportionnalité de ces opérations de traitement ; 3) l’évaluation et la gestion des risques pour les droits et libertés des personnes concernées[102]. Il est aisé de remarquer que, malgré la disponibilité de lignes directrices et de guides d’accompagnement, le texte européen prend soin d’énoncer des éléments fondamentaux à la réalisation de l’AIPD, chose dont le texte québécois aurait pu s’inspirer en ce qui concerne les projets de SI et de PES. Les sections qui suivent visent à démontrer que ces précisions ne sont pas inutiles. En particulier, parce que ces éléments fondamentaux sont précieux dans la détermination de la méthode de réalisation de l’EFVP.

Les modalités de l’EFVP peuvent s’inspirer des trois critères d’acceptabilité de l’AIPD.