Le 4 août 2020, le Commissariat à la protection de la vie privée du Canada (le « CPVP ») a publié ses Conclusions en vertu de la LPRPDE no 2020-001 (les « conclusions »), établissant qu’une institution financière canadienne (l’« institution financière ») s’était conformée à ses obligations aux termes de la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE ») en ce qui concerne la sous-traitance de certains aspects de ses activités de traitement des réclamations pour fraude à un tiers fournisseur de services situé en Inde. Fait important, le CPVP a conclu que l’institution financière n’était pas tenue d’obtenir le consentement de ses clients pour transférer des renseignements personnels à son fournisseur de services, réitérant ainsi ses lignes directrices initiales sur le transfert transfrontalier de renseignements personnels.
Contexte
La LPRPDE ne prévoit pas d’obligations particulières pour les transferts transfrontaliers de renseignements personnels et ne fait pas de distinction entre les transferts nationaux et internationaux de renseignements personnels. Le CPVP a plutôt établi des exigences relatives au transfert transfrontalier de renseignements personnels au moyen de documents d’orientation et d’enquêtes, notamment les lignes directrices du CPVP intitulées Transfert transfrontalier de renseignements personnels (les « lignes directrices de 2009 »). Comme ces dernières l’indiquent, le CPVP avait déjà adopté la position selon laquelle les organisations ne sont pas tenues d’obtenir le consentement des clients pour transférer leurs renseignements personnels à des fins de traitement, quel que soit le pays où se trouve le tiers, à condition que les renseignements personnels soient utilisés par le tiers fournisseur de services aux fins pour lesquelles ils ont été recueillis à l’origine.
En avril 2019, dans un renversement total de sa position de principe antérieure, le CPVP a soutenu dans le Rapport de conclusions d’enquête en vertu de la LPRPDE no 2019-001 qu’une organisation devait obtenir un consentement supplémentaire des clients avant de transférer leurs renseignements personnels au-delà des frontières provinciales ou nationales à un tiers fournisseur de services aux fins de traitement. La nouvelle position du CPVP, qui présente des problèmes de conformité potentiellement importants pour les organisations qui sous-traitent à des tiers fournisseurs de services, a été largement critiquée comme étant impossible à mettre en œuvre.
Après un long processus de consultation, en septembre 2019, le CPVP a conclu qu’elle maintenait ses exigences en matière de transfert de renseignements personnels et qu’il n’y avait donc pas de nouvelles obligations pour les organisations qui transfèrent des renseignements personnels dans un pays étranger à des fins de traitement. Pour plus de renseignements sur le changement de position du CPVP et son processus de consultation, veuillez consulter les bulletins de BLG intitulés « Conclusions de la consultation sur les transferts transfrontaliers de renseignements personnels : le CPVPC préserve le statu quo » et « Importante consultation lancée par le commissariat à la protection de la vie privée ayant des incidences sur la circulation transfrontalière des données et les activités d’impartition ».
Les conclusions
Les conclusions concernaient une plainte déposée par une ancienne employée de l’institution financière, qui alléguait que l’institution financière n’avait pas obtenu le consentement des clients pour le transfert de leurs renseignements personnels ou permis aux clients de refuser ce transfert dans le cadre de l’impartition par l’institution financière de certains aspects de ses activités de traitement des réclamations pour fraude à un tiers fournisseur de services situé en Inde. La plainte alléguait en outre que l’institution financière n’avait pas été suffisamment transparente par rapport à son recours à la sous-traitance.
Dans ses conclusions, le CPVP s’est penché sur la question de savoir si l’institution financière avait respecté les principes de consentement, de transparence et de responsabilité, soit trois des Principes relatifs à l’équité dans le traitement de l’information mondialement reconnus sur lesquels repose la LPRPDE.
Le CPVP s’est d’abord penché sur la question de savoir si l’institution financière était tenue d’obtenir un consentement supplémentaire pour transférer les renseignements personnels de ses clients au tiers fournisseur de services en Inde. Il s’est fondé sur ses lignes directrices de 2019, qui prévoient que lorsqu’une organisation transfère des renseignements personnels à un tiers fournisseur de services à des fins de traitement, ce fournisseur de services ne peut utiliser les renseignements personnels qu’aux fins pour lesquelles ils ont été initialement recueillis. Pour que le fournisseur de services puisse utiliser ces renseignements personnels à toute autre fin, l’organisation doit obtenir un consentement supplémentaire pour leur transfert au fournisseur de services. Le CPVP a examiné la convention d’ouverture de compte, la Convention sur la confidentialité des renseignements personnels et le Code de protection de la vie privée de l’institution financière et a constaté que chaque document prévoit que l’institution financière peut utiliser les renseignements personnels de ses clients notamment pour les protéger contre la fraude. Par conséquent, puisque le fournisseur de services utilisait les renseignements personnels des clients de l’institution financière aux fins prévues par l’institution financière lorsqu’elle a recueilli les renseignements personnels, il n’était pas nécessaire d’obtenir un consentement supplémentaire.
Le CPVP s’est ensuite demandé si l’institution financière avait fait preuve de transparence quant à son recours à un sous-traitant. Le CPVP a constaté que la Convention sur la confidentialité des renseignements personnels et le Code de protection de la vie privée de l’institution financière disposent tous deux que l’institution financière peut transférer des renseignements personnels à des tiers fournisseurs de services, et que la page Web « Confidentialité et sécurité – Points saillants » de l’institution financière indique que ces fournisseurs de services peuvent se trouver dans des pays étrangers. L’institution financière a fourni ces renseignements à chacun de ses clients en temps opportun, lorsqu’ils ont demandé l’obtention d’un produit de l’institution financière. Constatant que l’institution financière rendait « facilement disponibles et bien visibles des renseignements clairs et compréhensibles » concernant ses pratiques de recours à la sous-traitance, le CPVP a estimé qu’elle était suffisamment transparente à l’égard de ces pratiques.
Enfin, le CPVP a abordé la question de la responsabilité. Même si la plainte ne soulevait pas directement cette question, le CPVP a estimé qu’il était approprié de l’aborder puisqu’elle visait les activités de sous-traitance de l’institution financière. Le CPVP a réitéré que le principe de responsabilité impose à une organisation de fournir un « niveau de protection comparable » pour les renseignements personnels transférés à un fournisseur de services. En outre, les mesures appropriées pour assurer cette protection doivent être équivalentes à la sensibilité des renseignements personnels et dépendront des circonstances. Le CPVP a examiné l’entente de services de l’institution financière avec le tiers fournisseur de services ainsi que son recours à la sous-traitance et a constaté qu’elle a mis en œuvre un certain nombre de mesures, contractuelles et autres, visant à protéger les renseignements personnels transférés à ses tiers fournisseurs de services. Ces mesures comprennent l’évaluation des risques; l’obligation pour ses fournisseurs de services de mettre en place des mesures de surveillance et de formation des employés ainsi que des contrôles de l’environnement de travail et de l’accès et d’autres contrôles de cybersécurité; et le suivi et l’exigence de respect des obligations contractuelles des fournisseurs de services. Le CPVP a conclu que ces mesures, contractuelles et autres, étaient appropriées dans les circonstances et que l’institution financière demeurait responsable des renseignements personnels transférés au tiers fournisseur de services.
Pour ces motifs, le CPVP a conclu que la plainte n’était pas fondée.
À retenir
Les conclusions du CPVP constituent des orientations importantes pour les organisations qui impartissent des fonctions opérationnelles à des tiers et fournissent notamment des exemples concrets de la façon dont une organisation peut s’acquitter de ses obligations en matière de responsabilité aux termes de la LPRPDE dans les cas de transfert de renseignements personnels à un tiers fournisseur de services.
Ces conclusions sont également les premières publiées par le CPVP après une année marquée par de nombreux changements dans les exigences législatives relatives aux transferts transfrontaliers de renseignements personnels. Elles valident la position de principe antérieure du CPVP, selon laquelle un transfert de renseignements personnels à un fournisseur de services à des fins de traitement ne nécessite pas l’obtention d’un consentement supplémentaire, peu importe où se trouve ce tiers fournisseur de services, en plus de donner des conseils utiles aux organisations qui font appel à des fournisseurs de services transfrontaliers.
Les organisations doivent noter que d’autres lignes directrices du CPVP continuent de s’appliquer aux transferts de renseignements personnels aux fins de traitement, notamment les lignes directrices de 2009 et les lignes directrices pour l’obtention d’un consentement valable.
