La fuite de donnĂ©es d’Equifax fut riche d’enseignements, mais il semble que le Commissariat Ă la protection de la vie privĂ©e (CPVP) ait retenu la mauvaise leçon.
Dans la foulĂ©e de la rĂ©vision d’un document de consultation sur l’Ă©change transfrontalier de donnĂ©es Ă la suite d’un rapport sur l’affaire Equifax, le CPVP a redĂ©fini certains termes afin de rĂ©gler la situation.
Selon la Section du droit de la vie privĂ©e et de l’accès Ă l’information de l’ABC, on se concentre actuellement sur l’enquĂŞte concernant Equifax Canada et sa sociĂ©tĂ© affiliĂ©e amĂ©ricaine dans un dossier qui [TRADUCTION] « constitue un cas d’espèce dont les particularitĂ©s n’ont pas les traits caractĂ©ristiques des activitĂ©s habituelles de communication de renseignements personnels ».
Pour la Section, l’affaire Equifax n’est pas une question de transfert de donnĂ©es; le nĹ“ud du problème, c’est qu’on n’a pas rĂ©vĂ©lĂ© aux consommateurs qui administrait leurs renseignements. En effet, Equifax Canada et sa consĹ“ur amĂ©ricaine ont toutes deux fait preuve de la mĂŞme opacitĂ© quant Ă la circulation des renseignements personnels, qu’elles ont d’ailleurs recueillis sans jamais demander le consentement requis.
[TRADUCTION] « Cette affaire ne concerne pas le transfert transfrontalier ni l’externalisation des donnĂ©es, affirme la Section, mais bien le caractère Ă©quivoque du consentement valable (Ă qui ce consentement Ă©tait-il donnĂ©?) et l’absence de reddition de comptes. Par consĂ©quent, dans ce dossier, l’atteinte Ă la vie privĂ©e n’est pas principalement causĂ©e par le transfert de donnĂ©es, mais il s’agit plutĂ´t d’un problème de reddition de comptes, de transparence et de consentement. »
Les questions soulevĂ©es dans l’affaire Equifax ne touchent qu’une minoritĂ© des Ă©changes transfrontaliers de donnĂ©es, explique la Section, tout en ajoutant qu’il serait malavisĂ© de se fonder sur un cas atypique pour changer tout l’appareil de sĂ©curitĂ© du transfert de renseignements personnels.
Dans un document d’orientation de 2009, le CPVP dĂ©finit le transfert de donnĂ©es comme le fait pour un tiers d’utiliser les donnĂ©es au nom de l’auteur du transfert – par exemple, l’entreprise de traitement de la paie Ă qui votre employeur envoie vos donnĂ©es. Quant Ă la divulgation, elle surviendrait lorsqu’un tiers recueille vos renseignements personnels auprès de votre employeur pour les utiliser Ă ses propres fins (par exemple, aux fins de marketing ciblĂ©). Dans l’actuel exercice de consultation, le CPVP estime que cette interprĂ©tation de 2009 Ă©tait fautive : un transfert, c’est une divulgation.
[TRADUCTION] « Ă€ notre avis, la nouvelle interprĂ©tation proposĂ©e ne repose sur aucun des principes reconnus d’interprĂ©tation de la loi, surtout si on analyse le contexte d’utilisation des termes en cause dans la Loi sur la protection des renseignements personnels et les documents Ă©lectroniques (LPRPDE) et l’intention des dispositions lĂ©gales dans ce domaine, affirme la Section. De plus, cette interprĂ©tation s’Ă©carte des pratiques communĂ©ment admises de protection de la vie privĂ©e que reflètent la LPRPDE et d’autres lois canadiennes sur la protection des renseignements personnels dans le secteur privĂ©. »
La Section examine l’utilisation qui est faite de ces termes dans d’autres provinces et États, ainsi que la nĂ©cessitĂ© d’une cohĂ©rence entre les diffĂ©rents rĂ©gimes lĂ©gislatifs et d’une harmonie avec les normes internationales. L’analyse porte en grande partie sur le consentement : Qu’est-ce qu’un consentement tacite? Qu’est-ce qu’un consentement exprès? Dans quelles circonstances l’un ou l’autre est-il nĂ©cessaire?
Le CPVP devrait aussi tenir compte des consĂ©quences qu’un changement d’orientation majeur aurait sur les organisations qui ne sont pas directement rĂ©gies par le droit canadien de protection de la vie privĂ©e, notamment le secteur Ă but non lucratif.
[TRADUCTION] « Exiger un consentement exprès pour l’externalisation ou mĂŞme pour le transfert transfrontalier des donnĂ©es sera lourd de consĂ©quences pour les organismes de bienfaisance ou sans but lucratif qui sont rĂ©gis par la LPRPDE ou qui observent volontairement cette loi et le Code type du Groupe CSA. […] En rompant avec sa position traditionnelle voulant que le transfert pour traitement soit une “utilisation”, et non une “divulgation” d’information, et en exigeant pour ces transferts un consentement valable, voire un consentement exprès, le CPVP imposerait des coĂ»ts additionnels et d’onĂ©reuses exigences sur un secteur devant “faire plus avec moins” et forcĂ© de composer avec une constante diminution des dons de bienfaisance. »