Beaucoup d'outils utilisés dans une PME québécoise tournent en réalité hors du Québec : services infonuagiques hébergés ailleurs au Canada ou aux États-Unis, intelligence artificielle dont les modèles sont aux États-Unis ou en Europe, plateformes de paiement dont les serveurs sont distribués sur plusieurs continents. Ces réalités déclenchent l'article 17 de la loi.
L'article 17 ne bloque pas les transferts hors Québec. Il les encadre. Cette leçon clarifie comment l'ingénierie reconnaît un transfert, l'évalue et le contrôle.
Le cadre de l'article 17
L'article 17 prévoit qu'avant de communiquer un renseignement personnel à l'extérieur du Québec, l'entreprise doit procéder à une évaluation des facteurs relatifs à la vie privée (ÉFVP). Cette évaluation tient compte notamment :
- de la sensibilité des renseignements ;
- de la finalité de la communication ;
- des mesures de protection qui s'appliqueront au lieu de réception, y compris celles convenues par contrat ;
- du régime juridique applicable au lieu de réception, particulièrement les principes de protection des renseignements personnels qui y prévalent.
Si l'évaluation conclut que la protection ne sera pas équivalente à celle prévue par la loi, le transfert ne doit pas se faire, ou il doit être assorti de mesures complémentaires qui rétablissent un...