Au début du mois d’avril dernier, le Commissariat à la protection de la vie privée du Canada (le « Commissariat » ou le « CPVP ») a lancé une consultation sur la circulation transfrontalière des données (l’“Avis de consultation” et la “Consultation”) en lien avec le Rapport de conclusions d’enquête en vertu de la LPRPDE n° 2019-001 (le “Rapport”). Le Commissariat a aussi récemment émis un document de discussion supplémentaire avec des information additionnelles sur la consultation.
Dans son rapport et dans son avis de consultation, le CPVP a opéré un revirement surprenant de sa position de longue date sur le transfert de renseignements personnels en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE »). Dans le passé, le Commissariat considérait le transfert d’un renseignement personnel à des fins de traitement comme une “ utilisation” du renseignement personnel par le cédant plutôt qu’une « communication » (ou « divulgation ») au sous-traitant, de sorte qu’un consentement additionnel n’était pas requis dès lors que le renseignement personnel était traité conformément aux finalités pour lesquelles il avait été initialement recueilli.
Le Commissariat déclare maintenant qu’il considère le transfert des renseignements personnels aux fins de traitement comme une communication nécessitant un consentement. La nouvelle position du Commissariat s’applique à tout transfert de renseignements personnels d’une organisation à une autre, y compris les transferts à l’intérieur du Canada, les transferts transfrontaliers et les transferts à des fournisseurs de services et à des affiliés. Dans son avis de consultation, le Commissariat sollicite des observations sur sa nouvelle position.
Dans le présent bulletin, nous discuterons de la position antérieure du Commissariat, de sa nouvelle position, de la portée de la Consultation ainsi que de la question de savoir si le consentement à une communication aux fins de traitement doit être un consentement explicite. Nous ferons quelques suggestions sur ce que les organisations devraient faire maintenant. Nous donnerons également quelques commentaires généraux supplémentaires.
1. Quelle était la précédente position du Commissariat?
La LPRPDE prévoit que le consentement des individus est généralement requis pour la collecte, l’utilisation et la communication des renseignements personnels. En revanche, quand le renseignement personnel est partagé avec un tiers dans le cadre du traitement, la LPRPDE considère que le partage est un transfert et non une communication.
Une organisation est responsable des renseignements personnels qu’elle a en sa possession ou sous sa garde, y compris les renseignements confiés à une tierce partie aux fins de traitement. L’organisation doit, par voie contractuelle ou autre, fournir un degré comparable de protection aux renseignements qui sont en cours de traitement par une tierce partie. (souligné par nos soins)
Dans ses lignes directrices de 2009 sur le traitement transfrontalier des données à caractère personnel (les “Lignes directrices de 2009”), le Commissariat a déclaré qu’un transfert d’un renseignement personnel dans le cadre du traitement, y compris un transfert transfrontalier, constitue une “utilisation” du renseignement personnel et non une “communication”. Le Commissariat était d’avis que, tant que les renseignements personnels étaient traités aux fins pour lesquelles ils avaient été recueillis à l’origine, il n’était pas nécessaire d’obtenir un consentement supplémentaire pour le transfert au sous-traitant. Le CPVP a recommandé qu’un avis soit donné à la personne concernée.
Bien qu’aucun rapport de conclusion ou de ligne directrice du Commissariat ne lie les organisations, les Lignes directrices de 2009 ont fourni aux entreprises une garantie quant aux attentes du CPVP, étaient conformes aux rapport de conclusions du Commissariat et ont fini par constituer, avec le temps, un pilier clé des pratiques actuelles de nombreuses organisations en matière de transferts de renseignements personnels dans le cadre de traitement, notamment les transferts transfrontaliers.
2. Quelle est la nouvelle position du Commissariat?
Dans son rapport, le Commissariat a exprimé sa nouvelle position selon laquelle les transferts de renseignements personnels par une entité canadienne à une entité apparentée aux États-Unis aux fins de traitement constituaient des « communications » de renseignements personnels en vertu de la LPRPDE et non une simple « utilisation » de renseignements personnels par l’entité canadienne, comme il est décrit dans les Lignes directrices 2009. Le CPVP a ouvertement reconnu son changement de position de la façon suivante : « ..., nous reconnaissons que, dans des directives antérieures, le Commissariat a qualifié les transferts aux fins de traitement d’« utilisation » de renseignements personnels plutôt que de communication de renseignements personnels. Nos directives ont également indiqué précédemment que de tels transferts n’exigeaient pas, en soi, le consentement... ».
En ce qui concerne la question du consentement à de telles communications aux fins de traitement, le CPVP a déclaré que lorsque les renseignements transférés sont de nature sensible ou lorsque les personnes ne s’attendent pas raisonnablement à ce que leurs renseignements personnels soient communiqués à un tiers, les organisations sont tenues d’obtenir un consentement explicite (plutôt que tacite) et de fournir aux personnes qui ne souhaitent pas que leurs renseignements soient communiqués ainsi et, aussi, des informations sur les options disponibles à cet égard.
De plus, dans le rapport, le Commissariat a conclu que, même si le transfert susmentionné doit être considéré comme une « communication » en vertu de la LPRPDE, l’entité canadienne demeure responsable et doit avoir des contrôles en place pour s’assurer que le renseignement personnel transféré reçoive un niveau comparable de protection pendant son traitement. Le Commissariat a déclaré que, compte tenu du volume et de la sensibilité du renseignement personnel, ces contrôles devaient inclure : (1) une entente écrite officielle, mise à jour périodiquement et, dans le cas de changements importants, traitant au moins de certains facteurs dont il est question dans le rapport ; et (2) un programme structuré de surveillance de la conformité aux obligations énoncées dans l’entente, traitant au moins de certains facteurs d’évaluation et de communication continue dont il est question dans le rapport.
3. Quel est le champ d’application de la Consultation?
Dans son Avis de consultation, le CPVP a annoncé qu’il souhaite revoir ses lignes directrices de 2009 sur la circulation des données transfrontalières en vertu de la LPRPDE. Le CPVP y indique son point de vue:
- En l’absence d’une exception applicable, les transferts aux fins de traitement, y compris les transferts transfrontaliers, nécessitent un consentement puisqu’ils impliquent la communication de renseignements personnels d’une organisation à une autre (contrairement à la position du CPVP dans ses Lignes directrices de 2009).
- Pour que le consentement soit valide, les personnes doivent être clairement informées de toute communication à un tiers, y compris lorsque le tiers est situé dans un autre pays, ainsi que des risques associés.
- Au moment de déterminer la forme du consentement (explicite ou implicite), les organisations devront tenir compte de la sensibilité des renseignements et des attentes raisonnables des individus. Le Commissariat est d’avis que les personnes s’attendent généralement à être avisées si, et où, leurs renseignements devaient être communiqués à une organisation l’extérieur du Canada.
- Les organisations sont libres de concevoir leurs activités de manière à inclure les flux transfrontaliers de renseignements personnels, mais elles doivent respecter le droit des individus de faire ce choix pour eux-mêmes dans le cadre du processus de consentement.
- Les personnes doivent être informées des options qui s’offrent à elles si elles ne souhaitent pas que leurs renseignements personnels soient divulgués à l’extérieur des frontières.
Le CPVP a l’intention de fournir des directives sur les communications à des fins de traitement et sur les exigences connexes en matière de consentement et de responsabilisation, et de solliciter les commentaires des parties intéressées. Les réponses doivent être soumises au CPVP au plus tard le 4 juin 2019.
4. Quand le consentement exprès est-il requis pour une communication aux fins de traitement?
Dans ses Lignes directrices pour l’obtention d’un consentement valable (les “Lignes directrices sur le consentement”), en vigueur au 1er janvier 2019, le CPVP affirme que les organisations doivent généralement obtenir le consentement exprès, plutôt qu’implicite, lorsque: (1) les renseignements recueillis, utilisés ou communiqués sont de nature sensible; (2) l’utilisation ou la communication dépasse les attentes raisonnables de l’individu; ou (3) la collecte, l’utilisation ou la communication crée un risque résiduel significatif de préjudice important.
En ce qui concerne les attentes raisonnables des particuliers, le CPVP déclare ce qui suit dans l’Avis de consultation:
En vertu de la LPRPDE, la nature du consentement requis dépend de la sensibilité des renseignements en question et des attentes raisonnables des personnes selon les circonstances. L’analyse contextuelle de la sensibilité et des attentes raisonnables repose entre autres sur le risque de préjudice auquel la personne est exposée. Lorsqu’il y a un risque important qu’un risque résiduel de préjudice se matérialisera et sera important, le consentement devrait être explicite et non implicite.
Le Commissariat est d’avis que les personnes s’attendent généralement à être avisées si leurs renseignements devaient être communiqués à l’extérieur du Canada et être assujettis au régime juridique d’un autre pays. La décision d’établir une relation d’affaires avec une organisation ou de renoncer à un produit ou à un service après avoir pris connaissance de cette information devrait être laissée au choix des personnes. (souligné par nos soins)
Le premier paragraphe est une reformulation des principes des Lignes directrices sur le consentement. Le deuxième paragraphe sous-entend fortement, mais n’énonce pas explicitement, que le CPVP est d’avis qu’un consentement exprès est requis pour tous les transferts transfrontaliers de renseignements personnels. Pourquoi le CPVP n’a-t-il pas explicitement déclaré qu’un consentement exprès est requis pour toutes les communications transfrontalières? Le CPVP laisse peut-être une certaine marge de manœuvre quant à la possibilité qu’un consentement implicite soit suffisant dans certaines circonstances, si la personne est avisée suffisamment à l’avance que son renseignement personnel sera communiqué à des fins de traitement transfrontalier. Les organisations voudront examiner les lignes directrices futures du CPVP pour savoir si le consentement explicite est requis pour toutes les communications transfrontalières de renseignements personnels aux fins de traitement.
5. Que devraient faire les organisations maintenant?
La nouvelle position du CPVP sur les transferts de renseignements personnels aura des conséquences importantes pour de nombreuses organisations. Les transferts nationaux et internationaux de renseignements personnels à des fournisseurs de services et à des sociétés affiliées sont courants au Canada et, dans bien des cas, ils n’auront pas été mis en œuvre conformément à la nouvelle position du CPVP.
Étant donné que les conclusions et les documents d’orientation du CPVP n’ont pas force de loi, les organisations devraient évaluer leur conformité à la nouvelle position du CPVP, examiner les répercussions sur leurs pratiques en matière de renseignements personnels, les avis de confidentialité et les documents de consentement, et planifier leurs prochaines étapes.
Les organisations peuvent également soumettre une réponse à la consultation, surveiller le processus de consultation du CPVP et examiner les modifications futures aux documents d’orientation du CPVP sur les transferts transfrontaliers et le consentement.
6. Commentaires sur la nouvelle position du CPVP
La nouvelle position du CPVP a fait l'objet de nombreuses critiques, notamment à l’égard des thèmes suivants:
- Reconnaissant l’étroite intégration des économies canadienne et américaine, et reconnaissant que les États-Unis n’adoptaient pas de loi générale sur la protection des renseignements personnels, le Parlement a choisi d’adopter une loi sur la protection de la vie privée mieux adaptée à la réalité commerciale canadienne que la Directive européenne sur la protection des données - une voie intermédiaire - et il a choisi de ne pas aborder expressément les transferts transfrontaliers dans la LPRPDE.
- Les critiques soutiennent que les changements fondamentaux à la réglementation en matière de protection de la vie privée devraient être apportés par des changements législatifs provenant de députés élus, et non par l’adoption par le CPVP de réinterprétations énergiques de la LPRPDE (même si les interprétations du CPVP ne sont pas exécutoires en droit).
- Dans la mesure où l’approche du CPVP pourrait être motivée par le Règlement général de l’Union européenne sur la protection des données (« RGPD »), elle ne tient pas compte des principales différences d’approche et de concepts entre la LPRPDE et le RGPD, notamment en ce qui concerne les concepts de « responsable de traitement » et de « sous-traitant ». De même, à la différence de la LPRPDE, le RGPD comprend plusieurs mécanismes qui sont largement utilisés pour permettre les transferts transfrontaliers sans consentement. Si l’on veut que le RGPD soit considéré comme un modèle qui devrait influencer l’approche des transferts transfrontaliers en vertu de la LPRPDE, il faut tenir compte de tous les facteurs pertinents.
- Ce n’est pas la première fois que le CPVP réinterprète de façon majeure la LPRPDE. La réinterprétation de la LPRPDE par le CPVP pour permettre une réglementation accrue des transferts transfrontaliers rappelle la récente réinterprétation de la LPRPDE par le CPVP, qui prétend reconnaître un droit à l’oubli, semblable à celui du RGPD, mais inexistant dans la LPRPDE.
- En l’absence de modifications législatives, le CPVP semble avoir voulu trouver une autre façon de réglementer les transferts transfrontaliers. Pour ce faire, le CPVP a malheureusement choisi de réinterpréter la LPRPDE afin d’imposer de nouvelles exigences à tous les transferts aux fins de traitement par un tiers, y compris les transferts au Canada et les transferts à des sociétés affiliées.
- Si la consultation confirme la nouvelle position du CPVP sans changement important, les organisations pourraient faire face à de nombreuses difficultés pratiques et à une augmentation des coûts de conformité. Il sera difficile d’obtenir un consentement valable. La communication détaillée de l’information sur les modalités de traitement sera coûteuse à fournir et à tenir à jour. La communication d’informations sur les sous-traitants pourrait être exigée. Une personne sera-t-elle autorisée à se retirer d’un contrat existant si un sous-traitant ou un sous-traitant de second rang change?
- Il y aura également d’importantes questions de transition. Il sera difficile d’obtenir de nouveaux consentements de la part des clients existants. Les consentements existants feront ils l’objet de droits acquis? Les contrats existants avec les sous-traitants peuvent ne pas être conformes aux nouvelles attentes du CPVP et les sous-traitants peuvent ne pas accepter de les modifier.
Nous continuerons de surveiller les développements liés à la consultation du CPVP et aux prochaines étapes.
