Résumés
Résumé
Le Québec a récemment adopté la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels qui, comme son titre l’indique, modernise la protection des renseignements personnels dans diverses lois, incluant la Loi sur la protection des renseignements personnels dans le secteur privé. Parmi les nouvelles obligations imposées aux entreprises figure l’obligation de réaliser une évaluation des facteurs relatifs à la vie privée (EFVP). Le présent texte explore l’EFVP en examinant, d’une part, les situations dans lesquelles une telle évaluation est requise et en esquissant, d’autre part, quelques éléments permettant d’en comprendre la méthode et la réalisation. L’étude des contours de cette nouvelle obligation, illustrée par le développement et l’exploitation d’une technologie financière, dévoile un fardeau imposant pour les entreprises. En même temps, l’étude permet de constater que la généralisation de l’EFVP contraste avec l’absence de balises législatives. Les auteurs plaident pour une obligation plus équilibrée et mieux éclairée.
Abstract
Québec recently passed Law 25, which modernizes the protection of personal information in various acts, including the Act respecting the protection of personal information in the private sector. Among the new obligations imposed upon businesses is the requirement to conduct a privacy impact assessment (PIA). This article explores the PIA by examining the situations in which such an assessment is required and by outlining some elements that will help us understand its method and implementation. The study of the contours of this new obligation, illustrated by the development and operation of financial technology, reveals an imposing burden for businesses. At the same time, the study shows that the widespread use of PIAs contrasts with the lack of legislative guidance. The authors argue for a more balanced and informed obligation.
Resumen
La provincia de Québec ha adoptado recientemente la ley número 25, la cual moderniza la protección de datos personales, vigente en distintas leyes, incluyendo la Loi sur la protection des renseignements personnels dans le secteur privé (Ley de Protección de Datos Personales en el Sector Privado). Entre las nuevas obligaciones que se le imponen a las empresas está la de realizar una Evaluación de Impacto en la Privacidad (PIA), que este texto examina. Se analizan, por una parte, las situaciones en las cuales se requiere de dicha evaluación y, por otra parte, se realiza un bosquejo de algunos elementos que permiten comprender el método y la ejecución. El estudio de la amplitud de esta nueva obligación, ilustrada por el desarrollo y la explotación de una tecnología financiera, ha revelado una carga imponente para las empresas. Al mismo tiempo, el estudio ha permitido constatar que la generalización de una Evaluación de la Protección de Datos Personales contrasta con la ausencia de lineamientos legales. En el texto, los autores abogan por una obligación más equilibrada y más clara.