Écrit par Ruth E. Promislow, J. Sébastien A. Gittens, and Katherine Rusk

Sollicitant les commentaires de tiers intéressés, le Commissariat à la protection de la vie privée du Canada (CPVP) a annoncé une révision de sa position de principe sur la circulation transfrontalière des données en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) du gouvernement fédéral par la publication récente d’un document de consultation consultation (le « Document de consultation ») et un document de discussion supplementary.

Les points clés du document de consultation sont les suivants :

• Les organisations au Canada qui communiquent des renseignements personnels de l’autre côté de la frontière, y compris aux fins de traitement, doivent obtenir le consentement pour ce transfert.
• Les transferts de renseignements aux fins de traitement nécessitent le consentement, car ils impliquent la divulgation de renseignements personnels d’une organisation à une autre.
• Pour que le consentement soit valide, les personnes doivent recevoir des renseignements clairs sur toute divulgation à un tiers, y compris lorsqu’elles sont situées dans un autre pays, et sur les risques connexes.
• Lorsqu’elles déterminent la forme de consentement (explicite ou implicite), les entreprises devront tenir compte de la sensibilité des renseignements et des attentes raisonnables de la personne.
• Les personnes doivent être informées des options qui s’offrent à elles si elles ne souhaitent pas que leurs renseignements personnels soient communiqués au-delà des frontières. Toutefois, lorsque le transfert de l’information aux fins de traitement fait partie intégrante de la prestation d’un service, les organisations ne sont pas tenues de fournir une solution de rechange.
• La nouvelle position de principe comprend non seulement les transferts transfrontaliers entre les contrôleurs et les sous-traitants, mais aussi d’autres divulgations transfrontalières de renseignements personnels entre les organisations.

Le document de consultation représente un changement d’approche par rapport à celui énoncé dans le document de 2009 du CPVP Guidelines for Processing Personal Data Across Borders, qui prévoyait, entre autres, qu'« un transfert pour traitement est une « utilisation » des renseignements; il ne s’agit pas d’une divulgation. Le changement en vertu duquel les transferts transfrontaliers de données seront considérés comme une « divulgation » et non comme une « utilisation » de renseignements personnels aiderait à rapprocher le droit à la vie privée du Canada du Règlement général sur la protection des données (RGPD) de l’Europe.

Dans le document de travail supplémentaire, le CPVP a indiqué que le changement de position est fondé en partie sur les conclusions de son enquête sur l’atteinte à la protection des données d’Equifax en 2017. Le CPVP a conclu qu'« un transfert de renseignements personnels entre une organisation et une autre correspond clairement à la définition généralement acceptée de « divulgation » ». Le document de travail supplémentaire indique également qu’avec le consentement, les principes de responsabilité et de transparence en vertu de la LPRPDE s’appliquent.

Cette position de principe proposée par le CPVP a des répercussions sur le consentement requis pour transférer les renseignements personnels d’une personne à la frontière. En vertu de cette nouvelle orientation stratégique, une divulgation supplémentaire et un consentement exprès peuvent être requis dans la mesure où des renseignements personnels sont communiqués à un tiers dans une autre administration. Comme il est indiqué dans le document de travail supplémentaire, le changement de position du CPVP « obligera les organisations à mettre en évidence les éléments qui faisaient auparavant partie de leurs obligations en matière de transparence et à s’assurer que les personnes en sont conscientes lorsqu’elles obtiennent le consentement pour les transferts transfrontaliers ».

Pour assurer la conformité en vertu de la LPRPDE, les organisations devraient : (i) identifier et cartographier la façon dont les renseignements personnels sont recueillis, utilisés/traités, stockés, transférés et communiqués, et (ii) évaluer si un consentement adéquat a été obtenu. Cela est particulièrement le cas compte tenu de la position de principe énoncée dans le document de consultation.

À cette étape, les organisations sont encouragées à fournir des commentaires au CPVP concernant le document de consultation d’ici le 4 juin 2019. L’équipe Cybersecurity and Data Privacy team chez Bennett Jones est disponible pour aider vos organisations à le faire et à répondre à toutes les questions que vous pourriez avoir sur les obligations de votre organisation en matière de confidentialité.