Transfert transfrontalier de données
Un transfert transfrontalier de données est tout déplacement de renseignements personnels hors de la juridiction où ils ont été recueillis; au Québec, il déclenche une évaluation obligatoire avant que les données ne quittent.
Envoyer des renseignements personnels à un fournisseur, à une société affiliée ou à un serveur situé dans une autre province ou un autre pays constitue un transfert transfrontalier. Sous la LPRPDE fédérale, les transferts à des fins de traitement sont permis, mais l’organisation demeure responsable et doit recourir à des moyens contractuels et autres pour assurer un niveau de protection comparable.
La Loi 25 du Québec est plus stricte : avant de communiquer des renseignements personnels à l’extérieur du Québec, vous devez réaliser une évaluation des facteurs relatifs à la vie privée (ÉFVP) qui soupèse la sensibilité des données, la finalité, les mesures de sécurité en place et le cadre juridique de la destination. Le transfert n’est permis que si l’évaluation démontre une protection adéquate, et il doit être encadré par une entente écrite.
En pratique : inventoriez vos transferts dans votre registre des activités de traitement, réalisez l’ÉFVP au besoin, verrouillez les garanties contractuelles et envisagez des options de résidence des données pour réduire le nombre de transferts à justifier.