Au Québec, depuis le 22 septembre dernier, les entreprises ayant des activités de traitement de données sur le territoire, doivent désigner un Responsable de la Protection des Renseignements Personnels (RPRP) (e.g., l’équivalent d’un DPD ou DPO en droit québécois) et ce peu importe la nature de leurs activités ou qu’elles aient déjà nommé un DPO en Europe. En fait, par l’effet de la loi, les fonctions de RPRP ont été attribuées de facto à la plus haute autorité de l’entreprise (par exemple son PDG) sans considération de son expertise pour assurer le respect des obligations relatives à la gestion des données personnelles, ou de son emploi du temps probablement déjà bien chargé. Or, toutes les entreprises ont le pouvoir de déléguer par écrit, en tout ou en partie, les fonctions du RPRP à tout autre personne sur la base d’un contrat de services ou de travail, pour garantir une meilleure gestion de leur mise en conformité à la Loi 25 et ainsi éviter les amendes salées sanctionnant le non respect de cette même loi.
Le premier réflexe d’une filiale québécoise de multinationale soucieuse de respecter ses obligations quant à la protection des données personnelles est d’évaluer si elle possède l’expertise à l’interne pour désigner un RPRP apte à piloter la mise en conformité de la filiale ou d’étendre les missions du DPO de la société mère étrangère. Or, dans les 2 cas, il peut y avoir des avantages et des inconvénients. Dans ce présent article, nous vous proposons quelques pistes de réflexions pour vous aider à prendre la meilleure décision pour votre entreprise.
Un nouvel environnement
En premier lieu, il est clair que les filiales québécoises d’une multinationale ne possèdent souvent pas l’expertise adéquate pour désigner un RPRP apte à remplir l’entièreté des exigences relatives à la protection des données personnelles qui échoient sur la filiale québécoise, notamment en vertu du faible degré de maturité de l’industrie de la protection de la vie privée québécoise par rapport au marché mondial et du niveau d’expertise requis. Le marché québécois du droit à la vie privée est relativement précoce. Au cours des 2 dernières années, cette industrie a changé du tout au tout au Québec, comme partout dans le monde. Cette évolution du domaine technologique est en partie attribuable à la Covid-19 qui n’a fait qu’ accélérer un processus de numérisation du commerce que quelques pionniers prévoyaient depuis bien longtemps. Du jour au lendemain en 2020, l’industrie du numérique s’est développée et le domaine du droit s’est adapté aux nouvelles exigences du marché. Dans un délai également très court, une série d’experts en droit de la protection des données personnelles et de la cybersécurité ont commencé à se manifester. Les startups se sont vues contraintes d’adopter de nouvelles pratiques quant à la gestion de leurs données. Le paysage législatif et les industries se sont redéfinis au Québec, inspirés par l’effervescence du domaine numérique sur la sphère mondiale.
Avant la pandémie, les pratiques du numérique n’étaient pas aussi valorisées qu’elles le sont aujourd’hui. C’est du fait de cette montée soudaine en popularité, attribuable au télétravail, que beaucoup de québécois se sont intéressés au domaine du droit de la vie privée et de la cybersécurité qui faisait depuis plusieurs années couler beaucoup d’encre en Europe. C’est pour cette raison que les multinationales bien implantées en Europe rencontrent plus souvent que d’autres un écart de culture en matière de protection de la vie privée et de la cybersécurité entre leurs diverses filiales et que bien souvent les québécois ne sont pas à même de répondre aux hauts standards de performances et de compétences exigés par leurs filiales européennes.
Les attentes des filiales européennes d’une multinationale sont souvent beaucoup plus élevées que celle d’une filiale implantée au Québec, au regard de l’émergence récente de cette industrie qui est maintenant bien implantée au sein de l’Union européenne depuis plusieurs années, et qui ne cesse d’évoluer et de se complexifier au travers des années. En vertu des caractéristiques propres à une entreprise ayant des activités sur plusieurs juridictions, les enjeux liés à la vie privée et à la cybersécurité se matérialisent dans un paysage législatif complexe dans lequel interagissent diverses législations et normes en compétition. Le droit des technologies sur la sphère internationale est confronté à l’incompatibilité avec une multitude de normes légales pluri juridictionnelles et une multitude de normes technologiques.
Un domaine d’expertise nouveau au Québec
En d’autres termes, les lois québécoises, canadiennes ainsi que plusieurs autres lois de plusieurs autres pays, peuvent trouver application sur le territoire québécois, selon la nature des activités de l’entreprise, en vertu de la portée extraterritoriale des lois de plusieurs juridictions qui régissent le cyberespace. Ainsi, selon la nature des traitements de données et la sensibilité des données traitées sur la sphère internationale, une entreprise québécoise peut être régie par plusieurs législations concomitantes. En conséquence, toute personne qui pratique dans ce domaine au sein d’une multinationale doit maîtriser les notions de droit de son pays et de toutes autres juridictions applicables. En plus de comprendre les contraintes technologiques, notamment tributaire de l’architecture du logiciel et des limites des composantes qui le définissent. Cette expertise est malheureusement très rare en sol québécois en vertu de l’émergence récente de cette pratique. Il y a donc peu d’experts compétents d’une part pour comprendre la complexité des enjeux de multinationales et d’autre part pour répondre aux nombreuses exigences législatives et technologiques simultanées auxquelles une multinationale peut être confrontée .
Un environnement légal et réglementaire unique
Ensuite, à moins que le DPD/DPO ait une bonne connaissance du marché québécois et canadien, ainsi que de toutes les réglementations applicables au Canada, dont certaines au niveau provincial, notamment en Alberta et en Colombie Britannique, mais aussi au niveau fédéral, avec le projet de loi C27, sont en pleine phase de refonte, les tâches du RPRP pourraient difficilement être attribuées au DPD/DPO européen.
Tableau comparant les tâches du DPD/DPO à celles du RPRP
Un DPD/DPO européen souvent mal outillé
En théorie, rien n’empêche à une multinationale d’octroyer les responsabilités du RPRP au DPO pour assurer le pilotage de leur mise en conformité à la Loi 25. Sur le papier, le RPRP n’a pas l’obligation d’être situé au Québec et rien sur le plan légal n’empêche que la fonction de RPRP soit remplie depuis l’Europe via un DPD/DPO désigné en application du RGPD[4]. Or, sur le plan pratique, même si le droit québécois n’impose aucune exigence particulière au titre de RPRP[7], il est préférable que le RPRP ait des expériences et des compétences professionnelles cohérentes avec ses fonctions, ce qui inclut notamment une bonne connaissance du droit québécois et canadien, ainsi qu’une bonne maîtrise du français écrit et parlé en vertu des exigences liées à la réforme de la Charte de la langue française[8].
De fait, même si les DPD/DPO sont désignés sur la base de leurs qualités professionnelles et, en particulier, de leurs connaissances spécialisées du droit et des pratiques en matière de protection des données, ainsi que de leur capacité à accomplir leurs missions, ces obligations se limitent bien souvent au cadre de l’Union Européenne[6]. Pour peu que les sociétés au sein desquelles ils exercent aient des activités au Québec et au Canada, les DPO ne possèdent pas nécessairement la connaissance appropriée du marché légal québécois et canadien nécessaire, pour pouvoir remplir les nombreuses obligations qui leur incombent en droit québécois et canadien.
De surcroît, le droit québécois est très particulier, car il trouve application au sein du droit fédéral canadien avec lequel il partage une partie de ses compétences. Ce partage de pouvoir fait en sorte que le droit québécois se définit aussi bien par un régime de droit civil que de Common Law et que pour certains concepts autant le droit québécois que canadien peut trouver à s’appliquer dans les limites qui leurs sont propres. Ainsi, il peut s’avérer risqué d’octroyer les fonctions de RPRP au DPO, car elles exigent une bonne compréhension du domaine législatif québécois qui est plutôt unique.
En somme, pour pouvoir répondre aux exigences du droit de la vie privée et de la cybersécurité d’une multinationale implantée ou ayant des activités de traitement sur le territoire québécois, il faut des compétences informatiques, légales et entrepreneuriales, ainsi qu’une bonne compréhension du marché local et international. Or, très peu d’employés québécois ont ce profil et peu de DPD/DPO ont l’expertise légale propre au territoire québécois, ainsi qu’une bonne compréhension du marché local.
C’est là que nous intervenons. Du fait de notre expertise confirmée en droit québécois et canadien, mais aussi américain et européen, dans le domaine de la protection des données à caractère personnel, et de notre présence au Québec et aux Etats-Unis, nous sommes parfaitement outillés pour accompagner les sociétés européennes, ou dont la fonction de DPD/DPO Groupe est centralisée en Europe, dans leur conformité à la nouvelle Loi 25 comme à toutes les autres lois provinciales et fédérales canadiennes, mais aussi étatiques aux Etats-Unis. En tant que leader dans le secteur de la protection de la vie privée sur la sphère internationale, nous sommes en mesure de vous offrir un service complet pour accompagner votre mise en conformité à l’international adaptée à vos besoins avec une équipe d’avocats formés aussi bien au droit européen que canadien et américain.
[4] Art. 37 (1)(4) (6) RGPD et Art. 3.1 al. 2 LPRPSP, modifié par l’article 103 de la Loi 25
[6] Art. 37 (5) RGPD
[7] https://www.cai.gouv.qc.ca/entreprises/responsable-protection-renseignements-personnels/
[8] Loi sur la langue officielle et commune du Québec, le français (PL-96)