Le 4 juin 2014, le Groupe de l’article 29 (G29) a rendu un avis 7/2014 sur le niveau de protection accordé par la Loi québécoise sur la protection des renseignements personnels dans le secteur privé au regard de la Directive 95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Même si les dispositions de la loi québécoise renferment les principes énoncés par la Directive 95/46/CE, le G29 est d'avis qu’avant de pouvoir se prononcer sur l’adéquation de cette loi il convient de clarifier la question inhérente au partage des compétences entre le gouvernement fédéral et le Québec.
"Firstly, the Working Party stresses that the territorial scope of the Quebec Act in relation to the PIPEDA should be clearly defined before any decision on its adequacy is taken by the European Commission".(Source: Avis 7/2014, p. 17, voir également p. 4-5)
Le G29 considère également que la loi québécoise devrait entre autres :
- préciser la notion de responsable de la protection des renseignements personnels.
Il est à noter que la Commission d'accès à l'information (CAI) du Québec, soit l'autorité chargée de surveiller l'application de cette loi, a fait une recommandation en ce sens dans son Rapport quinquennal de 2011 et qui se lit comme suit:
"La Commission recommande que la Loi sur la protection des renseignements personnels dans le secteur privé prévoit la création de la fonction de responsable de l'accès et de la protection des renseignements personnels"(Source: CAI, Rapport quinquennal 2011, p. 47)
- préciser la notion de renseignements sensibles afin que la sensibilité des données ne soit pas seulement considérée au regard des mesures de sécurité qu’une entreprise doit mettre en œuvre.
"Fourthly, the Working Party considers necessary any initiative, such as a legislation change or a Court ruling, offering a clear definition of the notion of “sensitive information”. In addition, the Working Party would welcome the systematic use of a highest level of protection when sensitive data is processed and encouraged the Quebec authorities and the CAI to work towards this goal. This higher level of protection should not be limited to security measures and could include adequate safeguards, such as the requirement of the explicit consent of the data subject for the processing".(Source: Avis 7/2014, p. 17, voir également p. 10)
- préciser les mécanismes permettant de s’assurer que la communication à l’extérieur du Québec des renseignements personnels répond aux exigences de la loi québécoise, en rendant par exemple obligatoire la conclusion d’un contrat entre les deux entités.
"Fifthly, the Working Party considers that the onward transfer principle needs to be clarified in Quebec’s law. In fact, any onward transfer should require the use of contractual or other binding provisions in order to provide a comparable level of protection with the protection awarded by EU law. A comparable level of protection refers to all data protection principles, and is not limited to the purposes of processing and the requirement of consent for further communication of the personal data. Consent should not be promoted as the general legal basis for onward transfers as the recipient then does not commit to take any action to ensure an adequate level of protection; this situation should thus remain an exception.Sixthly, the Working Party would welcome the addition of a transfers section on the CAI Website which could provide more details concerning rules and practices for transfers and onward transfers outside Quebec".(Source: Avis 7/2014, p. 17, voir également p. 9)
À suivre donc ...
Pour aller plus loin:
- ARTICLE 29 DATA PROTECTION WORKING PARTY, Opinion 7/2014 on the protection of personal data in Quebec, WP 219, June 4, 2014
- Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c. P-39.1.