La Section du droit de la vie privée et de l’accès à l’information de l’ABC a récemment présenté ses observations (en anglais seulement) dans le cadre d’une consultation menée par le Commissariat à la protection de la vie privée du Canada (« CPVP ») sur la question des transferts de renseignements personnels. À la suite de ce processus consultatif, le CPVP a décidé de ne pas aller de l’avant avec les modifications annoncées. Timothy Banks, vice-président de la Section, nous présente son analyse des conséquences de cette décision.
En quelques mots, quel était l’enjeu au cœur de ce dossier?
En avril dernier, le CPVP a annoncé qu’il amorçait un processus de révision de son approche à l’égard des transferts de données transfrontaliers et des transferts à des fins de traitement. Selon les lignes directrices applicables jusque-là, les transferts aux fins de traitement n’étaient pas considérés comme des communications, tant que le sous-traitant qui recevait les données n’utilisait ces dernières qu’aux fins auxquelles l’individu avait consenti au départ. Le fait que les données traversent les frontières ne modifiait en rien l’analyse, à condition que la partie qui externalise le processus veille à ce qu’un degré de protection équivalent soit accordé aux données, par voie contractuelle ou autre.
Toutefois, dans son Rapport de conclusions d’enquête en vertu de la LPRPDE no 2019-001 publié en avril, le CPVP a conclu qu’il était possible que cette position soit erronée sur le plan juridique. Le CPVP a conclu que les transferts entre Equifax Canada et les membres de son groupe aux États-Unis constituaient effectivement des communications de renseignements personnels. Puisque la Loi sur la protection des renseignements personnels et les documents électroniques est une loi fondée sur le consentement, cette conclusion a soulevé la possibilité que les organisations qui ont recours à l’impartition et qui transfèrent des données à l’extérieur du pays pourraient se trouver dans l’obligation d’obtenir le consentement des personnes touchées. Dans le cas d’Equifax, le CPVP a conclu qu’un consentement distinct exprès était effectivement requis.
Quelle était la demande de l’ABC?
La Section du droit de la vie privée et de l’accès à l’information a tablé sur sa vaste expérience dans l’analyse de la LPRPDE et la formulation de recommandations sur la réforme de celle-ci. L’ABC a fait valoir que l’interprétation initiale de la LPRPDE était la bonne. Il existe en effet une différence nette entre la communication entre organisations à des fins de traitement uniquement, dans le cadre de laquelle l’entité qui a recours à l’impartition conserve le contrôle sur les renseignements personnels, et la communication dans le cadre de laquelle l’organisme qui communique les renseignements personnels ne conserve pas le contrôle sur ces derniers.
En outre, l’ABC a remis en question la valeur ajoutée d’un modèle fondé sur le consentement dans une économie mondialisée où la circulation transfrontalière des données est bien implantée. Selon la position mise de l’avant par l’ABC, ce sont plutôt les principes de transparence et de responsabilisation qui doivent jouer un rôle prépondérant dans la protection des individus. En vertu du principe de responsabilisation, les entreprises sont tenues de prendre des mesures concrètes pour garantir la protection des renseignements personnels, ce qui peut comprendre des engagements contractuels et d’autres mesures, comme des vérifications.
Quelle a été la décision du CPVP?
Le CPVP a finalement convenu de ne pas revoir son approche relativement à l’impartition et aux transferts transfrontaliers. Après avoir entendu l’ABC et les autres intervenants, le commissaire Therrien, qui ne partage pas forcément l’opinion prédominante, a choisi d’adopter une approche pragmatique. Même s’il est d’avis que l’impartition et la circulation transfrontalière de données entraînent des risques inhérents, il a été convaincu de ne pas modifier les lignes directrices à ce stade-ci.
Quelles sont les répercussions de cette décision?
Les organisations ne devraient pas présumer que l’affaire est dans le sac. La LPRPDE exige toujours l’obtention d’un consentement éclairé pour pouvoir recueillir et utiliser des renseignements personnels. De toute évidence, le CPVP est d’avis qu’il existe des risques inhérents à l’impartition et aux transferts transfrontaliers des renseignements personnels. Il s’agit donc d’une question qui doit être portée à l’attention de l’individu, même s’il n’est pas nécessaire d’obtenir un consentement distinct.
Tout récemment, le CPVP a appliqué cette approche dans son Rapport de conclusions d’enquête en vertu de la LPRPDE no 2019-003 dans le cadre d’une enquête portant sur le programme de cartes-cadeaux de Loblaw. Dans cette enquête, l’une des plaintes portait sur le fait que Loblaw avait retenu les services d’un administrateur tiers aux États-Unis pour gérer son programme de cartes-cadeaux. Le CPVP a tranché en faveur de Loblaw. L’avis de confidentialité de Loblaw contenait de l’information précise et claire sur le fait que Loblaw faisait appel à des fournisseurs de services, y compris l’identité de ces derniers, le fait qu’ils étaient situés dans d’autres territoires et le fait que les renseignements personnels seraient par conséquent assujettis aux lois de ces autres territoires. Loblaw fournit d’ailleurs une quantité de détails qui va bien au-delà de ce que font la majorité des entreprises.
Qu’arrivera-t-il si le CPVP décide d’inscrire des modifications semblables dans la loi?
Il est évident que le commissaire continue d’être préoccupé par la question. Innovation, Sciences et Développement économique a présenté des suggestions de modifications de certains aspects de la LPRPDE. Nous pouvons donc nous attendre à ce que le CPVP se penche sur la question des transferts d’une façon ou d’une autre. Cela ne signifie toutefois pas nécessairement que le CPVP souhaite apporter des modifications législatives en vue de clarifier que ces transferts constituent des communications et requièrent l’obtention du consentement. La principale préoccupation du CPVP demeure la protection des individus. Si elle peut être garantie par d’autres moyens, comme des contrats types comportant des clauses de vérification ou d’inspection des entreprises qui permettent de démontrer le respect des principes de transparence et de responsabilisation, le CPVP pourrait en être satisfait. La question demeure donc en suspens et n’est pas complètement réglée.