Écrit par Martin Kratz, Q.C. and Stephen Burns

Le rapport du Commissariat à la protection de la vie privée du Canada (CPVP), Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) Rapport de conclusions #2019-001, publié le 9 avril 2019 sur le piratage d’Equifax, a créé une controverse, car le rapport suggérait que la loi existante sur le niveau de consentement nécessaire pour que les organisations canadiennes s’engagent dans le traitement transfrontalier des données personnelles avait changé et que le CPVP affirmait maintenant qu’une nouvelle norme de consentement exprès était requise.

Au paragraphe 111 du rapport, le CPVP a déclaré : « Nous reconnaissons que, dans des directives antérieures, le Commissariat a qualifié les transferts aux fins de traitement d'«utilisation » de renseignements personnels plutôt que de divulgation de renseignements personnels. Nos lignes directrices ont également indiqué précédemment que de tels transferts n’exigeaient pas, en eux-mêmes et en eux-mêmes, le consentement.

Le CPVP a ajouté, au paragraphe 112 du rapport, que « Equifax Canada et Equifax Inc. [...] Demander le consentement valide et exprès de tous les clients actuels pour la divulgation future de leurs renseignements à Equifax Inc. ».

Les circonstances de cette affaire étaient que les activités des deux entités d’Equifax étaient hautement intégrées et que l’information circulait facilement d’Equifax Canada vers la société mère américaine, mais sans ententes officielles entre les parties et sans notification inadéquate des clients canadiens en vertu de la loi actuelle.

Dans le Guidelines for Processing Personal Data Across Borders (les « Lignes directrices de 2009 »), le CPVP a établi deux principes :

1. Les transferts transfrontaliers (ou transfrontaliers) aux fins de traitement sont assujettis au principe de responsabilité. « Le principe 1 place la responsabilité d’une organisation de protéger les renseignements personnels sous son contrôle. Le principe 4.1.3 de l’annexe 1 de la LPRPDE reconnaît expressément que les renseignements personnels peuvent être transférés à des tiers aux fins de traitement. Elle exige également que les organisations utilisent des moyens contractuels ou autres pour « fournir un niveau de protection comparable pendant que les informations sont traitées par le tiers ».
2. « Le « transfert » est une utilisation par l’organisation. Elle ne doit pas être confondue avec une divulgation. De plus, « [d]ans que les renseignements sont utilisés aux fins pour lesquelles ils ont été recueillis à l’origine, un consentement supplémentaire pour le transfert n’est pas requis ». ¹

Le rapport du CPVP dans la décision Equifax était un changement de position qui, selon le CPVP, « est basé en fin de compte sur notre obligation de veiller à ce que nos politiques reflètent une interprétation correcte de la loi actuelle. Au cours de l’enquête d’Equifax, il est devenu évident que la position selon laquelle un transfert (c.-à-d. lorsqu’une organisation responsable transfère des renseignements personnels à un tiers pour traitement) n’est pas une « divulgation » est discutable et probablement pas correcte en droit. À notre avis, un transfert de renseignements personnels entre une organisation et une autre correspond clairement à la définition généralement acceptée de « divulgation » : « faire connaître, révéler » (Canadian Oxford English Dictionary). ²

Étant donné que l’économie du Canada est fortement intégrée à celle d’autres pays, et en particulier des États-Unis, cette évolution a suscité des inquiétudes. Certaines préoccupations portaient sur le fait que ce n’était pas le rôle du CPVP d’apporter des changements radicaux à la loi. C’est le rôle du Parlement et le processus législatif a l’avantage d’examiner habituellement tous les aspects d’une question avant qu’un changement ne soit apporté.

En réponse aux préoccupations soulevées au sujet de cette nouvelle interprétation de la loi, le CPVP a lancé une consultation sur la circulation transfrontalière des données en vertu de la LPRPDE. Le CPVP a fait remarquer que « les intervenants ont indiqué qu’il serait utile de fournir des renseignements plus détaillés sur les raisons qui nous ont amenés à revoir notre position de principe sur cette question ». Le CPVP a présenté un document de travail supplémentaire le 11 juin 2019 pour expliquer davantage les raisons de la modification de la loi.

De nombreuses organisations de l’industrie et intervenants se sont engagés dans ce processus. La grande majorité des observations ont noté qu’il n’y avait pas d’exigence dans la loi pour le consentement pour les flux de données transfrontaliers³, ils ont noté que le régime juridique actuel sur la responsabilité était fonctionnel et que la nouvelle interprétation était coûteuse et complexe à mettre en œuvre. Bon nombre d’entre eux ont fait remarquer que la nouvelle interprétation irait à l’encontre de « l’objectif du Canada de développer une économie numérique axée sur les données ».

La participation à l’examen de la consultation sur la circulation transfrontalière des données en vertu de la LPRPDE a pris fin le 23 septembre 2019. Le CPVP « a conclu que ses lignes directrices pour le traitement transfrontalier des données personnelles resteront inchangées en vertu de la loi actuelle. Le CPVP concentrera maintenant ses efforts sur la façon dont une loi réformée peut mieux protéger le droit à la vie privée des Canadiennes et des Canadiens lorsque leurs renseignements sont transférés d’une organisation à l’autre.

Le CPVP a confirmé que « bien que la position du CPVP sur les transferts aux fins de traitement demeure inchangée, nous rappelons aux entreprises l’obligation légale d’être transparentes au sujet des pratiques de traitement des renseignements personnels. Les organisations devraient informer les clients que leurs renseignements personnels peuvent être envoyés à une autre juridiction pour traitement et que, bien que les informations soient dans une autre juridiction, elles peuvent être consultées par les tribunaux, les autorités chargées de l’application de la loi et de la sécurité nationale.

Le résultat final confirme que les Lignes directrices de 2009 demeurent la loi. Il est toutefois recommandé à toutes les organisations engagées dans la circulation transfrontalière des données de profiter de l’occasion pour examiner de près leurs pratiques de traitement de l’information et la pertinence des arrangements pour le traitement des renseignements personnels afin qu’ils soient conformes adéquatement à la loi.

¹ Voir le document de travail supplémentaire du CPVP « Consultation sur les flux de données transfrontaliers », 11 juin 2019.
² Voir le document de travail supplémentaire du CPVP « Consultation sur les flux de données transfrontaliers », 11 juin 2019.
³ Voir CPVP, « Le commissaire conclut la consultation sur les transferts aux fins de traitement », 23 septembre 2019.