Votre programme de gouvernance des renseignements personnels inclut vos sous-traitants

Avez-vous pensé à inclure vos relations avec les sous-traitants à qui vous confiez ces renseignements personnels dans ce programme? Sinon, vous vous mettez à risque. En effet, ce programme ne peut être complet sans une analyse rigoureuse des contrats avec les sous-traitants que vous aurez sélectionnés pour recevoir et traiter de tels renseignements personnels.

Vérification du positionnement du sous-traitant en matière de protection des renseignements personnels avant la signature du contrat

Avant de conclure un contrat avec un sous-traitant impliquant la communication, l’accès ou l’utilisation de renseignements personnels que votre organisation détient, cette dernière doit faire sa vérification diligente et s’assurer que le sous-traitant lui donne des garanties quant à la confidentialité, la sécurité et la protection de ces renseignements personnels.

Ce sous-traitant devrait déjà, entre autres :

• avoir mis en place son propre programme de gouvernance des renseignements personnels démontrant que la protection des renseignements personnels est au cœur de ses opérations;
• vous démontrer que ses employés ont été formés et savent comment agir pour respecter la confidentialité des renseignements et qu’ils ont signé une entente confidentialité ou un code de déontologie ou d’éthique incluant des clauses à cet égard;
• vous démontrer que l’entreprise est fiable, qu’elle n’a connu aucun ou très peu d’incidents de confidentialité par le passé et qu’elle a mis en place des mesures pour éviter de tels incidents et les gérer adéquatement s’ils devaient survenir;
• vous démontrer que les mesures de cybersécurité en place afin de garantir la protection des renseignements personnels sont d’un niveau approprié et répondent à vos exigences.

N’oubliez pas qu’à la signature du contrat, vous devrez aussi préciser que le sous-traitant ne pourra utiliser les renseignements personnels qu’aux seules fins du contrat et que le Responsable de la protection des renseignements personnels de votre organisation a le droit de s’assurer que les clauses du contrat sont respectées par le sous-traitant, et ce, en tout temps.

Clauses générales

Ce contrat comportera également des clauses plus détaillées dans lesquelles vous déterminez clairement les rôles et responsabilités de chacun. 

Précisez par exemple :

• les travaux que le sous-traitant doit effectuer;
• les employés qui auront accès aux renseignements personnels et à quelle fin;
• ce que devra faire le sous-traitant une fois les travaux effectués pour retourner ou détruire les renseignements personnels de façon sécuritaire;
• si le sous-traitant peut lui-même recourir aux services d’un sous-traitant et dans quelles conditions, comme à la suite de votre approbation seulement.

Clauses sur les incidents de confidentialité

En cas d’incident de confidentialité chez le sous-traitant, vous devez aussi préciser :

• les mesures que le sous-traitant doit prendre si un incident de confidentialité survient dans ses locaux ou dans ses systèmes, que cela soit par sa faute ou non;
• le délai pour vous aviser;
• son rôle et sa responsabilité dans la gestion de l’incident;
• la possibilité de mettre fin au contrat et le délai pour ce faire si vous avez perdu confiance.

Chaque organisme ou entreprise est responsable d’inclure les clauses requises par son secteur d’activité, ses obligations réglementaires ou contractuelles, ou ses engagements internes.

Transferts hors de la province de Québec

Si les renseignements personnels doivent être transmis à l’extérieur du Québec parce que le sous-traitant se trouve dans une autre province ou un autre pays, ou encore, parce que les renseignements de son réseau sont hébergés ailleurs que dans la province de Québec, une évaluation des facteurs relatifs à la vie privée, communément appelée ÉFVP, devra être réalisée. Cette évaluation tient compte de la sensibilité des renseignements personnels transférés, la finalité de l’utilisation, les mesures de protection prévues au contrat et le régime juridique du lieu où les renseignements personnels seront reçus. Il est donc essentiel de s’assurer que le niveau de risque en matière de protection de la vie privée est acceptable avant de procéder au transfert.

Conclusion

Afin de respecter vos obligations légales et de protéger les renseignements personnels que vous détenez, de nombreux aspects doivent être pris en compte. Des clauses bien précises doivent être présentes dans vos contrats avec les sous-traitants.

Notre équipe de Protection de la vie privée et de cybersécurité peut vous accompagner pour :

• établir les questions à poser à un sous-traitant envisagé;
• préciser votre processus de révision de contrats en cours;
• réviser votre processus d’allocation de nouveaux contrats à des sous-traitants;
• rédiger les clauses requises en lien avec la protection de la vie privée dans vos contrats avec vos sous-traitants;
• effectuer une ÉFVP;
• déterminer le positionnement stratégique technologique à adopter et mettre en place les contrôles connexes.