Circulation transfrontalière des données : le Commissariat à la protection de la vie privée du Canada revient sur sa position

Contre toute attente, le Commissariat à la protection de la vie privée du Canada (le « Commissariat ») a annoncé le 9 avril 2019 le lancement d’une consultation sur la circulation transfrontalière des données. Cette consultation a pour but de réévaluer sa position de longue date selon laquelle les transferts de renseignements personnels à des fournisseurs de services à des fins de traitement ne nécessitent pas l’obtention du consentement de l’intéressé. Selon sa nouvelle position, de tels transferts à des fins de traitement impliquent une communication de renseignements personnels et, par conséquent, requièrent un consentement.

UN CHANGEMENT DE POSITION SURPRENANT

Les motifs du Commissariat sont les suivants. En vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE »), le consentement de l’intéressé doit être obtenu avant toute collecte, utilisation ou communication des renseignements personnels de celui-ci, sous réserve de certaines exceptions limitées prévues par la loi. Étant donné qu’il n’existe aucune exception prévue par la loi permettant la communication de renseignements personnels à un tiers à des fins de traitement sans le consentement de l’intéressé, le consentement de ce dernier doit donc être obtenu. Or, les motifs invoqués par le Commissariat ne tiennent pas compte du fait que le transfert des renseignements personnels à un fournisseur de services aux fins de traitement a toujours été considéré, avec raison, comme étant une « utilisation » des renseignements personnels par l’organisation effectuant ce transfert, et non comme une communication de renseignements au fournisseur de services. Il n’est donc pas nécessaire d’obtenir un consentement distinct pour un tel transfert puisqu’il s’agit d’une utilisation de renseignements personnels. L’organisation doit simplement s’assurer qu’elle dispose d’un consentement valable pour l’utilisation des renseignements personnels aux fins prévues. Si tel est le cas, l’organisation (ou un fournisseur de services agissant au nom de celle-ci) peut utiliser les renseignements personnels à ces fins.

POURQUOI CE CHANGEMENT DE POSITION?

Les raisons justifiant la réévaluation par le Commissariat de sa position ne sont pas claires, d’autant plus qu’aucune modification n’a été apportée à la législation.

Le Commissariat souhaite manifestement que de l’information valable soit fournie aux intéressés sur le moment auquel leurs renseignements personnels peuvent être traités à l’extérieur du Canada et les circonstances dans lesquelles un tel traitement peut avoir lieu. Cependant, les transferts transfrontaliers des données sont déjà assujettis au principe de la transparence prévu à la LPRPDE. Il y aurait lieu de croire que des lignes directrices sur les exigences en matière de transparence relativement à la circulation transfrontalière des données seraient un moyen plus approprié pour le Commissariat de traiter cette question.

Le document de consultation fait mention du Règlement général sur la protection des données (le « RGPD ») de l’Union européenne, ce qui laisse croire que cette consultation serait un moyen pour le Commissariat de s’assurer que la LPRPDE conserve son statut de régime « adéquat » aux termes du RGPD. De toute évidence, le fait que la LPRPDE ne prévoit aucune mesure de contrôle claire relativement aux transferts transfrontaliers de données constitue une lacune par rapport au RGPD. Le consentement figure au nombre des mécanismes permettant aux organisations de légitimer le transfert transfrontalier de données dans le cadre du RGPD. Or, pour qu’un consentement soit valide pour de telles fins, il doit être, selon le RGPD, une « manifestation de volonté, libre ». Dans son document de consultation, le Commissariat reconnaît que les organisations ont la liberté de concevoir leurs activités de manière à y intégrer la circulation transfrontalière des renseignements personnels et que les personnes ne peuvent obliger une organisation à traiter les renseignements personnels de ses clients au Canada. L’exigence d’un consentement pour la circulation transfrontalière de données pourrait difficilement être perçue comme étant une « manifestation de volonté, libre » si l’unique solution de rechange était de ne pas faire affaire avec l’organisation en question. Il y aurait alors lieu de se demander à quel point la Commission européenne jugerait « adéquate » cette exigence. Une approche plus pratique et plus efficace consisterait à établir des lignes directrices sur les modalités de protection des données devant être incluses dans les contrats avec les fournisseurs de services situés à l’extérieur du Canada.

QUELS SONT LES ENJEUX?

Il est regrettable que le Commissariat semble adopter une approche aussi déraisonnable sur le plan commercial à l’égard de cette question. Si cette position devait être adoptée, les organisations devraient complètement changer le libellé de leurs demandes de consentement et de leurs énoncés de confidentialité pour assurer leur conformité aux nouvelles exigences. Rappelons que nombre d’entre elles ont déjà consacré beaucoup de temps et d’argent à la refonte de leur libellé de consentement pour qu’il soit conforme aux nouvelles Lignes directrices pour l’obtention d’un consentement valable entrées en vigueur le 1er janvier 2019. D’autres problèmes pourraient survenir :

  • Comment les organisations devront-elles fournir, de façon compréhensible, des renseignements valables sur un grand nombre de fournisseurs de services, notamment dans des situations où l’attention du consommateur est en jeu et l’espace est limité?
  • Les organisations devront-elles obtenir de nouveaux consentements si elles changent de fournisseurs de services?
  • Les organisations devront-elles obtenir de nouveaux consentements auprès de leurs clients existants?
  • Les organisations devront-elles obtenir d’avance un consentement pour des fournisseurs de services non prévus, tels que des services d’analyse externes en cas d’atteinte à la protection des données?

Ce ne sont là que quelques-uns des défis évidents que cette nouvelle position du Commissariat poserait aux organisations. Il y en aura sûrement de nombreux autres.

QUE FAIRE?

Si le Commissariat va de l’avant avec ce changement de position de principe tel qu’il est prévu actuellement, toutes les entreprises exerçant des activités commerciales au Canada en subiront des conséquences importantes et indésirables. Le Commissariat acceptera les commentaires et la rétroaction sur sa nouvelle position de principe jusqu’au 4 juin 2019.

Pour en savoir davantage, communiquez avec :

Marie-Hélène Constantin      514-982-4031
Wendy Mee                           416-863-3161

ou un autre membre du groupe Protection de la vie privée.

Les communications de Blakes et de Classes affaires de Blakes sont publiées à titre informatif uniquement et ne constituent pas un avis juridique ni une opinion sur un quelconque sujet.

Nous serons heureux de vous fournir d’autres renseignements ou des conseils sur des situations particulières si vous le souhaitez.

Pour obtenir l’autorisation de reproduire les articles, veuillez communiquer avec le service Marketing et relations avec les clients de Blakes par courriel à l’adresse communications@blakes.com. © 2019 Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l.