La Section du droit de la vie privĂ©e et de l’accès Ă l’information de l’ABC a rĂ©cemment prĂ©sentĂ© ses observations (en anglais seulement) dans le cadre d’une consultation menĂ©e par le Commissariat Ă la protection de la vie privĂ©e du Canada (« CPVP ») sur la question des transferts de renseignements personnels. Ă€ la suite de ce processus consultatif, le CPVP a dĂ©cidĂ© de ne pas aller de l’avant avec les modifications annoncĂ©es. Timothy Banks, vice-prĂ©sident de la Section, nous prĂ©sente son analyse des consĂ©quences de cette dĂ©cision.
En quelques mots, quel Ă©tait l’enjeu au cĹ“ur de ce dossier?
En avril dernier, le CPVP a annoncĂ© qu’il amorçait un processus de rĂ©vision de son approche Ă l’Ă©gard des transferts de donnĂ©es transfrontaliers et des transferts Ă des fins de traitement. Selon les lignes directrices applicables jusque-lĂ , les transferts aux fins de traitement n’Ă©taient pas considĂ©rĂ©s comme des communications, tant que le sous-traitant qui recevait les donnĂ©es n’utilisait ces dernières qu’aux fins auxquelles l’individu avait consenti au dĂ©part. Le fait que les donnĂ©es traversent les frontières ne modifiait en rien l’analyse, Ă condition que la partie qui externalise le processus veille Ă ce qu’un degrĂ© de protection Ă©quivalent soit accordĂ© aux donnĂ©es, par voie contractuelle ou autre.
Toutefois, dans son Rapport de conclusions d’enquĂŞte en vertu de la LPRPDE no 2019-001 publiĂ© en avril, le CPVP a conclu qu’il Ă©tait possible que cette position soit erronĂ©e sur le plan juridique. Le CPVP a conclu que les transferts entre Equifax Canada et les membres de son groupe aux États-Unis constituaient effectivement des communications de renseignements personnels. Puisque la Loi sur la protection des renseignements personnels et les documents Ă©lectroniques est une loi fondĂ©e sur le consentement, cette conclusion a soulevĂ© la possibilitĂ© que les organisations qui ont recours Ă l’impartition et qui transfèrent des donnĂ©es Ă l’extĂ©rieur du pays pourraient se trouver dans l’obligation d’obtenir le consentement des personnes touchĂ©es. Dans le cas d’Equifax, le CPVP a conclu qu’un consentement distinct exprès Ă©tait effectivement requis.
Quelle Ă©tait la demande de l’ABC?
La Section du droit de la vie privĂ©e et de l’accès Ă l’information a tablĂ© sur sa vaste expĂ©rience dans l’analyse de la LPRPDE et la formulation de recommandations sur la rĂ©forme de celle-ci. L’ABC a fait valoir que l’interprĂ©tation initiale de la LPRPDE Ă©tait la bonne. Il existe en effet une diffĂ©rence nette entre la communication entre organisations Ă des fins de traitement uniquement, dans le cadre de laquelle l’entitĂ© qui a recours Ă l’impartition conserve le contrĂ´le sur les renseignements personnels, et la communication dans le cadre de laquelle l’organisme qui communique les renseignements personnels ne conserve pas le contrĂ´le sur ces derniers.
En outre, l’ABC a remis en question la valeur ajoutĂ©e d’un modèle fondĂ© sur le consentement dans une Ă©conomie mondialisĂ©e oĂą la circulation transfrontalière des donnĂ©es est bien implantĂ©e. Selon la position mise de l’avant par l’ABC, ce sont plutĂ´t les principes de transparence et de responsabilisation qui doivent jouer un rĂ´le prĂ©pondĂ©rant dans la protection des individus. En vertu du principe de responsabilisation, les entreprises sont tenues de prendre des mesures concrètes pour garantir la protection des renseignements personnels, ce qui peut comprendre des engagements contractuels et d’autres mesures, comme des vĂ©rifications.
Quelle a été la décision du CPVP?
Le CPVP a finalement convenu de ne pas revoir son approche relativement Ă l’impartition et aux transferts transfrontaliers. Après avoir entendu l’ABC et les autres intervenants, le commissaire Therrien, qui ne partage pas forcĂ©ment l’opinion prĂ©dominante, a choisi d’adopter une approche pragmatique. MĂŞme s’il est d’avis que l’impartition et la circulation transfrontalière de donnĂ©es entraĂ®nent des risques inhĂ©rents, il a Ă©tĂ© convaincu de ne pas modifier les lignes directrices Ă ce stade-ci.
Quelles sont les répercussions de cette décision?
Les organisations ne devraient pas prĂ©sumer que l’affaire est dans le sac. La LPRPDE exige toujours l’obtention d’un consentement Ă©clairĂ© pour pouvoir recueillir et utiliser des renseignements personnels. De toute Ă©vidence, le CPVP est d’avis qu’il existe des risques inhĂ©rents Ă l’impartition et aux transferts transfrontaliers des renseignements personnels. Il s’agit donc d’une question qui doit ĂŞtre portĂ©e Ă l’attention de l’individu, mĂŞme s’il n’est pas nĂ©cessaire d’obtenir un consentement distinct.
Tout rĂ©cemment, le CPVP a appliquĂ© cette approche dans son Rapport de conclusions d’enquĂŞte en vertu de la LPRPDE no 2019-003 dans le cadre d’une enquĂŞte portant sur le programme de cartes-cadeaux de Loblaw. Dans cette enquĂŞte, l’une des plaintes portait sur le fait que Loblaw avait retenu les services d’un administrateur tiers aux États-Unis pour gĂ©rer son programme de cartes-cadeaux. Le CPVP a tranchĂ© en faveur de Loblaw. L’avis de confidentialitĂ© de Loblaw contenait de l’information prĂ©cise et claire sur le fait que Loblaw faisait appel Ă des fournisseurs de services, y compris l’identitĂ© de ces derniers, le fait qu’ils Ă©taient situĂ©s dans d’autres territoires et le fait que les renseignements personnels seraient par consĂ©quent assujettis aux lois de ces autres territoires. Loblaw fournit d’ailleurs une quantitĂ© de dĂ©tails qui va bien au-delĂ de ce que font la majoritĂ© des entreprises.
Qu’arrivera-t-il si le CPVP dĂ©cide d’inscrire des modifications semblables dans la loi?
Il est Ă©vident que le commissaire continue d’ĂŞtre prĂ©occupĂ© par la question. Innovation, Sciences et DĂ©veloppement Ă©conomique a prĂ©sentĂ© des suggestions de modifications de certains aspects de la LPRPDE. Nous pouvons donc nous attendre Ă ce que le CPVP se penche sur la question des transferts d’une façon ou d’une autre. Cela ne signifie toutefois pas nĂ©cessairement que le CPVP souhaite apporter des modifications lĂ©gislatives en vue de clarifier que ces transferts constituent des communications et requièrent l’obtention du consentement. La principale prĂ©occupation du CPVP demeure la protection des individus. Si elle peut ĂŞtre garantie par d’autres moyens, comme des contrats types comportant des clauses de vĂ©rification ou d’inspection des entreprises qui permettent de dĂ©montrer le respect des principes de transparence et de responsabilisation, le CPVP pourrait en ĂŞtre satisfait. La question demeure donc en suspens et n’est pas complètement rĂ©glĂ©e.
Timothy M. Banks est vice-prĂ©sident de la Section du droit de la vie privĂ©e et de l’accès Ă l’information de l’ABC