À la suite d’une décision prise le 9 avril 2019 par le Commissariat à la protection de la vie privée du Canada (CPVP), les organisations doivent désormais obtenir un consentement avant d’effectuer des transferts de données dans le cadre d’activités d’impartition donnant lieu à la communication de renseignements personnels à des fournisseurs de services situés à l’extérieur du Canada, ce qui représente un virage important par rapport aux décisions et aux lignes directrices qu’il avait précédemment prises ou formulées en application de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Dans la foulée de cet important changement de position, le CPVP a lancé une consultation sur la circulation transfrontalière des données et publié un document de discussion supplémentaire comportant une liste de questions que les intervenants sont invités à commenter dans leurs réponses. Le CPVP invite les intervenants à présenter leurs réponses d’ici le 28 juin 2019.
Position de principe précédente
Selon la position que le CPVP avait articulée sur le transfert transfrontalier des données dans ses lignes directrices de 2009, ainsi que dans les résumés de conclusions d’enquête en vertu de la LPRPDE nos 2008-394, 2007-365 et 2005-313, les organisations n’étaient pas tenues d’obtenir le consentement de la personne visée avant de transférer des renseignements personnels aux fins de traitement (y compris le transfert à une société mère, à une filiale, à un tiers fournisseur de services ou à un fournisseur de services d’hébergement en nuage). Le transfert de données à ces fins n’était pas considéré comme une « communication », mais plutôt comme une « utilisation » des renseignements personnels par l’organisation, si les renseignements étaient utilisés aux fins auxquelles ils ont été recueillis. Aux termes des lignes directrices de 2009 du CPVP, les organisations étaient simplement tenues de faire preuve de transparence et d’informer les personnes concernées que leurs renseignements personnels seraient transférés à un tiers aux fins de traitement, ce qui pouvait être réalisé au moyen d’explications appropriées dans une politique sur la protection de la vie privée. Selon le principe de responsabilité énoncé à l’annexe 1 de la LPRPDE, les organisations sont responsables des renseignements personnels qui sont en cours de traitement par un fournisseur de services tiers et doivent exiger de lui qu’il fournisse un « degré comparable de protection » aux renseignements en question, généralement en concluant une entente de services qui comporte des dispositions appropriées sur la sécurité des données.
Mise à jour de la position de principe
Le CPVP a expliqué tout récemment qu’il estime que sa position antérieure est « probablement incorrecte d’un point de vue juridique »; à son avis, tout transfert de renseignements personnels aux fins de traitement constitue une communication pour laquelle le consentement de la personne visée est nécessaire. Selon cette nouvelle interprétation, le CPVP exigera le consentement pour toute impartition d’activités de traitement de données à des fournisseurs de services, même lorsque le traitement a lieu au Canada. Le consentement explicite serait exigé dans certaines circonstances, notamment lorsqu’il n’y a aucun motif raisonnable de s’attendre à ce que des renseignements personnels soient transférés à l’extérieur du Canada ou lorsque les renseignements concernés sont des renseignements sensibles, conformément aux Lignes directrices pour l’obtention d’un consentement valable qui sont entrées en vigueur en 2018.
Conséquences et consultation
L’introduction de l’obligation d’obtenir le consentement à l’égard des activités d’impartition pourrait soulever des difficultés importantes, sur les plans commercial, opérationnel et administratif, pour toutes les organisations qui ont recours à des fournisseurs de services tant au Canada qu’à l’extérieur du pays, par exemple, des fournisseurs de services de traitement de paiements, de services d’hébergement en nuage, de services de ressources humaines et de services de commercialisation. Les filiales canadiennes qui obtiennent des services par l’entremise d’une société mère étrangère seraient également touchées. L’obligation d’obtenir le consentement de la personne visée avant de transférer des renseignements personnels à des fournisseurs de services pourrait être très lourde, étant donné, surtout, que les organisations ont conçu leurs pratiques actuelles en fonction de la position précédente du CPVP selon laquelle il n’était pas nécessaire d’obtenir de consentement. Elle pourrait également toucher les pratiques d’approvisionnement et soulever des questions liées au respect des accords commerciaux du Canada.
Dans son document de discussion supplémentaire, le CPVP demande aux intervenants de répondre à différentes questions, dont les suivantes :
- Est-ce que le principe du consentement devrait s’appliquer aux transferts de renseignements personnels aux fins de traitement, y compris les transferts transfrontaliers?
- Dans quelles circonstances le consentement devrait-il être explicite ou implicite?
- Quel devrait être le niveau de détails des renseignements à être divulgués à la personne visée?
- Les exigences proposées en matière de consentement auraient-elles un impact significatif pour les organisations et, dans l’affirmative, comment?
- Le tiers fournisseur de services devrait-il être nommé dans l’avis concernant le transfert de données aux fins de traitement?
- La nouvelle position du CPVP est-elle conforme aux obligations du Canada découlant de ses ententes commerciales internationales (notamment en ce qui concerne la localisation des données)?
Les personnes physiques ou morales qui s’intéressent à ces questions devraient envisager la possibilité de préparer un mémoire. Les mémoires peuvent être envoyés avant le 28 juin 2019 à l’adresse suivante : [email protected]. BLG prépare actuellement un mémoire concernant les questions soulevées qui touchent ses clients qui sont des entreprises. Nous sommes conscients que le CPVP ne publiera pas les mémoires, mais il pourrait présenter un résumé des mémoires qu’il reçoit sur son site Web.
