Le Commissariat persiste et signe avec sa consultation controversée sur la circulation transfrontalière des données et les transferts de données aux fins de traitement  

publication 

June 2019

Bulletin sur la protection de la vie privée

Le 11 juin 2019, le Commissariat à la protection de la vie privée du Canada (le « Commissariat ») a publié un document de discussion révisé (le « Document de discussion révisé ») dans le cadre de sa consultation controversée sur la circulation transfrontalière des données (la « Consultation »); le document initial avait été publié le 9 avril 2019. Le Document de discussion révisé fait suite à l’annonce par Daniel Therrien, commissaire à la protection de la vie privée du Canada, le 23 mai 2019, à l’occasion du Symposium canadien sur la protection de la vie privée d’IAPP Canada, de l’intention du Commissariat de suspendre la Consultation.

Contexte

Le Commissariat a initialement lancé la Consultation dans le cadre de son enquête récente sur l’atteinte à la protection des renseignements personnels d’Equifax. Plus particulièrement, dans son Rapport d’enquête sur Equifax, le Commissariat a conclu que le consentement était requis en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE ») pour le transfert de renseignements personnels d’Equifax Canada aux fins de traitement par Equifax Inc., une société affiliée américaine. Cette conclusion représente un changement de position important du Commissariat par rapport à celle qu’il avait prise antérieurement. En effet, le Commissariat a réitéré à plusieurs reprises le fait que les transferts aux fins de traitement constituaient une « utilisation » des renseignements personnels, et non une « communication » de ceux-ci, et que, par conséquent, le consentement n’était pas requis. Le point de vue contraire est exprimé dans la cadre de la Consultation et suggère que l’obtention du consentement est nécessaire pour la circulation transfrontalière des données, y compris à des fournisseurs de services, et, en fait, pour tous les transferts de renseignements personnels aux fins de traitement.

S’attendant de toute évidence à une réaction à la suite de la décision rendue dans son Rapport d’enquête sur Equifax, le Commissariat a expliqué sa nouvelle position dans le document relatif à la Consultation, et a invité les intervenants à faire part de leurs commentaires et de leurs préoccupations. La réaction des entreprises dans un large éventail de secteurs a été véhémente. L’une des principales préoccupations portait sur les conséquences pratiques de l’obligation d’obtenir le consentement pour chaque transfert de renseignements personnels à un fournisseur de service ou à une société affiliée, étant donné que le fait d’obtenir ce consentement serait cauchemardesque sur le plan de la logistique pour les organisations. À mi-chemin durant la Consultation, le Commissariat a publié un « document de discussion supplémentaire » et prolongé la période de soumission de commentaires.

Le Commissariat a alors suspendu la Consultation, en invoquant la possibilité de changements législatifs découlant de la Charte du numérique annoncée par le gouvernement fédéral le 21 mai 2019, et du livre blanc connexe intitulé Renforcer la protection de la vie privée dans l’ère numérique, qui comprenait des considérations liées à la modification de la LPRPDE. Voir le résumé sur la charte numérique de McMillan (en anglais seulement).

Bien que le Document de discussion révisé semble adoucir quelque peu le langage contenu dans le document relatif à la Consultation initiale, il en élargit également la portée. De plus, et il est important de le souligner, le Document de discussion révisé ne s’intéresse plus principalement à la circulation transfrontalière des données. En effet, il porte maintenant le titre de « Consultation sur les transferts aux fins de traitement », de toute évidence en reconnaissance du fait que les questions soulevées dans le cadre de la Consultation s’appliquent également aux transferts de données aux fins de traitement au Canada.

La portée du Document de discussion révisé a en outre été élargie, et le Commissariat sollicite maintenant également des commentaires à l’égard de la future loi canadienne sur la protection des renseignements personnels, comme il est expliqué plus amplement ci-après.

Commentaires sur la manière de protéger efficacement la vie privée à long terme (modifications à la LPRPDE)

Dans le Document de discussion révisé, le Commissariat mentionne que les lignes directrices qu’il pourrait publier ou son interprétation des dispositions actuelles de la LPRPDE relatives aux transferts aux fins de traitement pourraient être de courte durée si des changements législatifs étaient apportés à la LPRPDE; toutefois, tout dépendra des changements qui seront éventuellement mis en application (s’il y a lieu).

De plus, le Commissariat formule les recommandations et les commentaires suivants à l’égard des changements législatifs à venir :

  • Les modifications devraient exiger une responsabilité démontrable, y compris le pouvoir pour le Commissariat d’inspecter de façon proactive les pratiques des organisations pour s’assurer qu’elles agissent réellement de manière responsable.
  • Des clauses contractuelles types pourraient être appropriées pour la circulation transfrontalière des données. Bien que le Document de discussion révisé mentionne l’adoption possible d’un régime fondé sur l’adéquation (dans le cadre duquel les renseignements personnels des Canadiens ne pourraient être transférés à l’extérieur du pays que lorsque le pays destinataire dispose de lois qui offrent un niveau de protection adéquat), le Commissariat considère que ce changement pourrait être trop fondamental pour être envisagé; il fait également remarquer que l’efficacité d’un tel régime n’est d’ailleurs pas universellement reconnue.
  • Le consentement pourrait être requis pour les transferts de données dans les situations où ni les clauses contractuelles ni les autres moyens de protection ne sont efficaces. Le Commissariat mentionne que, pour être clair, il ne recommanderait pas que le consentement soit requis à long terme dans le contexte des transferts de données aux fins de traitement si d’autres moyens efficaces sont trouvés pour protéger le droit à la vie privée des personnes.

Le Commissariat a invité les intervenants à formuler des commentaires sur la position que le Commissariat devrait prendre dans le mémoire qu’il présentera au gouvernement fédéral sur les modifications possibles à venir à la LPRPDE, notamment en leur posant plusieurs questions sur les éléments que les intervenants aimeraient que la future loi couvre.

Commentaires sur les transferts aux fins de traitement dans le cadre de la loi actuelle

Le Commissariat a reconnu que son interprétation de la LPRPDE dans la décision qu’il a rendue dans l’affaire Equifax était différente de celle qu’il avait appliquée par le passé. De l’avis du Commissariat, sa nouvelle interprétation est plus conforme au langage clair de la LPRPDE. Plus particulièrement, le Commissariat a souligné le fait que sa position antérieure selon laquelle un « transfert » n’était pas une « communication » était à tout le moins discutable, et probablement incorrecte. En réponse aux commentaires des intervenants qui contestaient sa nouvelle interprétation, le Commissariat a suggéré que si le Parlement avait l’intention d’exempter les situations de traitement de données de l’exigence relative au consentement, il aurait inclus une exemption expresse à cet effet (comme c’est le cas dans certaines des lois provinciales).

Quoi qu’il en soit, le Commissariat a indiqué qu’il avait toujours été exigé des organisations qu’elles fassent preuve de transparence à l’égard des transferts transfrontaliers. Par conséquent, le Commissariat suggère que son changement de position n’obligerait pas les organisations qui sont assujetties et conformes à la LPRPDE à changer fondamentalement leurs pratiques. Toutefois, bon nombre d’entreprises ne seront vraisemblablement pas d’accord sur le fait que l’obligation d’obtenir désormais un consentement plutôt que de simplement faire preuve de transparence ne constitue pas un changement important.

Le Commissariat sollicite toujours des commentaires des intervenants sur son interprétation des dispositions de la LPRPDE, et a inclus dans le Document de discussion révisé les questions qui figuraient dans le document de discussion supplémentaire qu’il avait émis dans le cadre de la Consultation initiale.

Assurez-vous de faire entendre votre point de vue

Le Commissariat acceptera les commentaires sur la future LPRPDE et son interprétation de la loi actuelle jusqu’au 6 août 2019. Vous pouvez envoyer vos commentaires à l’adresse suivante : Commissariat-CPVPconsult2@priv.gc.ca.

par Lyndsay A. Wasser et Grace Shaw

mise en garde

Le contenu du présent document ne fournit qu'un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt consulter ses propres conseillers juridiques.

© McMillan S.E.N.C.R.L., s.r.l. 2019