Protocole d’entente (Royaume-Uni)

ENTRE

LE COMMISSAIRE À LA PROTECTION DE LA VIE PRIVÉE DU CANADA ET LA COMMISSAIRE À L’INFORMATION DU ROYAUME-UNI

SUR

L’ENTRAIDE DANS LE CADRE DE L’EXÉCUTION ET DE L’APPLICATION DES LOIS SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS DANS LE SECTEUR PRIVÉ

Le commissaire à la protection de la vie privée du Canada (le commissaire canadien) et la commissaire à l’information du Royaume-Uni (la commissaire du Royaume-Uni) (c’est-à-dire les parties prenantes) :

RECONNAISSANT la nature de l’économie mondiale moderne, la circulation et la communication accrues des renseignements personnels d’un pays à l’autre, la complexité croissante des technologies de l’information et le besoin connexe de renforcer la coopération en matière d’application transfrontalière des lois;

RECONNAISSANT que la Recommandation de l’OCDE pour la coopération dans l’application transfrontalière des lois protégeant les renseignements personnels et le Cadre de protection de la vie privée de l’APEC exhortent les pays et les économies membres à élaborer des mécanismes d’échange des renseignements transfrontaliers et des ententes de coopération bilatérales ou multilatérales en matière d’application des lois;

RECONNAISSANT que l’article 23.1 de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), L.C. 2000, chap. 5, autorise le commissaire canadien à communiquer des renseignements à des autorités responsables de la protection des renseignements personnels dans le secteur privé d’autres pays;

RECONNAISSANT que la commissaire du Royaume-Uni est une personne morale nommée par Sa Majesté la Reine au titre de la Data Protection Act (loi sur la protection des données) de 2018 (la DPA) afin d’agir à titre de responsable indépendante de la réglementation du Royaume-Uni pour défendre les droits à l’information dans l’intérêt public et promouvoir la transparence des organismes publics et la confidentialité des données personnelles;

RECONNAISSANT que les parties prenantes ont chacune des attributions en matière de protection des renseignements personnels dans le secteur privé dans leurs pays respectifs;

RECONNAISSANT que rien dans ce protocole n’oblige les parties prenantes à offrir une quelconque assistance en matière d’application des lois liées à la protection des renseignements personnels dans le secteur privé si une telle assistance est interdite par leurs lois nationales ou leurs politiques d’application respectives.

SE SONT ENTENDUES SUR CE QUI SUIT :

1. Définitions

   Dans le cadre du présent protocole,

   1. « lois applicables sur la protection des renseignements personnels » : lois et règlements du pays participant dont l’application permet de protéger les renseignements personnels. Dans le cas du commissaire canadien, la « loi applicable sur la protection des renseignements personnels » est la partie 1 de la LPRPDE et, dans le cas de la commissaire du Royaume-Uni, la DPA, le Règlement général sur la protection des données et toutes les lois subséquentes sur la protection des renseignements personnels applicables au Royaume-Uni; ainsi que toute modification apportée aux lois applicables sur la protection des renseignements personnels des parties prenantes et d’autres lois et règlements que les parties prenantes peuvent décider conjointement, au fil du temps et par écrit, d’inclure dans la catégorie des lois applicables sur la protection des renseignements personnels du présent protocole d’entente.
   2. « personne » : personne physique ou morale, y compris les sociétés par actions, les associations sans personnalité morale et les sociétés de personnes.
   3. « demande » : demande d’aide aux termes du présent protocole d’entente.
   4. « partie prenante répondante » : partie prenante à qui une aide est demandée aux termes du présent protocole d’entente ou qui fournit une telle aide.
   5. « partie prenante demandante » : partie prenante qui demande l’aide aux termes du présent protocole d’entente ou qui la reçoit.
   6. « contravention visée en matière de protection des renseignements personnels » : tout comportement qui contreviendrait aux lois applicables sur la protection des renseignements personnels du pays de l’une des parties prenantes qui est identique ou essentiellement semblable à un comportement qui constituerait une contravention aux lois applicables sur la protection des renseignements personnels du pays de l’autre partie prenante.
2. Objectifs et portée
   1. Les parties prenantes reconnaissent qu’il est dans leur intérêt commun de collaborer conformément au présent protocole d’entente afin de :
      1. faire en sorte que les parties prenantes soient en mesure d’assurer la coopération en matière de réglementation nécessaire pour protéger les droits fondamentaux des citoyens du Royaume Uni et du Canada respectivement, conformément aux lois applicables sur la protection des renseignements personnels des pays respectifs des parties prenantes;
      2. coopérer en ce qui concerne l’application de leurs lois applicables sur la protection des renseignements personnels respectives;
      3. se tenir mutuellement informés des nouveaux événements dans leurs pays respectifs qui ont des répercussions sur le présent protocole d’entente;
      4. reconnaître les enquêtes ou les mesures d’application parallèles ou conjointes lancées par les parties prenantes comme des questions prioritaires de coopération.
   2. À cette fin, les parties prenantes peuvent identifier conjointement un ou plusieurs domaines ou initiatives de coopération. Cette coopération peut comprendre :
      1. le partage d’expériences et l’échange des pratiques exemplaires en matière de politiques de protection de la vie privée et des données, de programmes d’éducation et de formation;
      2. la mise en œuvre de projets de recherche communs;
      3. la communication de renseignements (à l’exclusion des renseignements personnels) dans le cadre d’enquêtes potentielles ou en cours relativement à une contravention visée en matière de protection des renseignements personnels;
      4. des enquêtes conjointes sur des questions transfrontalières concernant les deux pays (à l’exclusion de la communication de renseignements personnels);
      5. la convocation de réunions bilatérales chaque année ou selon ce qui est décidé d’un commun accord par les parties prenantes;
      6. tout autre domaine de coopération décidé d’un commun accord par les parties prenantes.
   3. Le présent protocole d’entente n’impose ni à la commissaire du Royaume-Uni ni au commissaire canadien l’obligation de coopérer entre eux ou de partager des renseignements. Lorsqu’une partie prenante décide d’exercer son pouvoir discrétionnaire de coopérer ou de partager des renseignements, elle peut limiter ou imposer des conditions à cette demande. Cela comprend dans les cas suivants : i) si la demande n’entre pas dans la portée du présent protocole ou ii) si la conformité à la demande constitue un manquement aux responsabilités légales de la partie prenante.
3. Procédures d’entraide
   1. Chaque partie prenante nommera une personne-ressource principale qui traitera les demandes d’aide et les autres communications entre les parties du protocole d’entente.
   2. Lorsqu’ils demandent de l’aide relativement à des procédures ou à des enquêtes ou pour d’autres motifs touchant l’application transfrontalière des lois applicables sur la protection des renseignements personnels, les parties prenantes s’assureront que :
      1. les demandes d’aide contiennent suffisamment de renseignements pour que la partie prenante répondante puisse déterminer si elles sont liées à une contravention visée en matière de protection des renseignements personnels et si elle doit intervenir dans les circonstances appropriées. De tels renseignements peuvent inclure une description des faits sous-jacents à la demande et le type d’aide demandé ainsi qu’une indication de toute précaution spéciale à prendre pour donner suite à la demande;
      2. les demandes d’aide précisent à quelle fin les renseignements demandés seront utilisés;
      3. avant de demander de l’aide, les parties prenantes réalisent une enquête préliminaire pour confirmer que la demande est conforme à la portée du présent protocole d’entente et ne constitue pas un fardeau excessif pour la partie prenante répondante.
   3. Les parties prenantes prévoient communiquer et collaborer entre elles, s’il y a lieu, quand cela peut contribuer aux enquêtes en cours.
   4. Les parties prenantes s’informeront mutuellement sans délai si elles constatent que certains renseignements communiqués dans le cadre du présent protocole d’entente sont inexacts, incomplets ou périmés.
   5. Sous réserve de la section IV, les parties prenantes peuvent, si cela est approprié et conforme à leurs lois applicables sur la protection des renseignements personnels, se renvoyer des plaintes ou s’informer de possibles contraventions visées en matière de protection des renseignements personnels par les lois applicables sur la protection des renseignements personnels du pays de l’autre partie prenante.
   6. Les parties prenantes feront de leur mieux pour régler tout désaccord concernant la coopération dans le cadre du présent protocole d’entente par le truchement des personnes-ressources désignées à la section III (A). Si celles-ci sont incapables de régler le problème après un délai raisonnable, les premiers dirigeants des parties prenantes en discuteront.
4. Limites liées à l’aide et à l’utilisation
   1. La partie prenante répondante peut exercer son pouvoir discrétionnaire et refuser de répondre à une demande d’aide, limiter sa coopération ou imposer des conditions connexes, particulièrement lorsque la demande n’est pas visée par le présent protocole d’entente ou, plus généralement, lorsque cela est contraire à ses lois ou à des intérêts et priorités importants. La partie prenante demandante peut demander les motifs pour lesquels la partie prenante répondante a refusé de l’aider ou a limité son aide.
   2. Le commissaire canadien ne communiquera pas de renseignements confidentiels sauf :
      1. aux fins établies à la section II (B.1);
      2. s’il est nécessaire de le faire pour présenter une demande d’aide à l’autre partie prenante concernant les renseignements pouvant être utiles dans le cadre d’une enquête ou d’une vérification en cours ou éventuelle aux termes de la partie 1 de la LPRPDE.
   3. Les parties prenantes n’utiliseront pas les renseignements fournis par la partie prenante répondante à d’autres fins que celles auxquelles ils ont été communiqués au départ.
5. Aucune communication de renseignements personnels
   1. Les parties prenantes n’ont pas l’intention que le présent protocole d’entente doive viser la communication de renseignements personnels par ces dernières.
   2. Si les parties prenantes souhaitent communiquer des renseignements personnels, par exemple dans le cadre de questions transfrontalières concernant les deux pays, chaque partie prenante doit examiner la conformité à ses propres lois applicables sur la protection des renseignements personnels, qui peuvent exiger des parties prenantes qu’elles concluent une entente ou un arrangement écrit concernant la communication de ces renseignements personnels.
6. Confidentialité
   1. Les renseignements communiqués dans le cadre du présent protocole d’entente seront traités de manière confidentielle et ne seront pas autrement communiqués sans le consentement de l’autre partie prenante.
   2. Si des documents confidentiels sont transmis entre les parties prenantes, ils porteront la cote de sécurité appropriée.
   3. Les parties prenantes feront tout en leur pouvoir, dans les limites des lois de leur pays, pour s’opposer à toute demande par une tierce partie de communication de renseignements ou de documents confidentiels fournis par la partie prenante répondante, sauf si celle-ci consent à la communication. Les parties prenantes qui recevront une telle demande en informeront rapidement la partie prenante qui a fourni les renseignements confidentiels.
7. Déclaration des atteintes à la sécurité et à la protection des données
   1. Des mesures de sécurité appropriées devront être convenues pour protéger les transferts de renseignements en fonction de leur nature délicate et de toute classification appliquée par l’expéditeur.
   2. Chaque partie prenante fera de son mieux pour protéger la sécurité des renseignements reçus en vertu du présent protocole d’entente et pour respecter toute mesure de protection convenue par les parties prenantes. En cas d’accès non autorisé ou de communication non autorisée de renseignements, les parties prenantes prendront toutes les mesures raisonnables pour empêcher que l’événement ne se reproduise et aviseront rapidement l’autre partie prenante de l’événement.
   3. Si des documents confidentiels obtenus de la partie prenante émettrice ou partagés par celle-ci sont communiqués ou utilisés à tort par la partie prenante destinataire, cette dernière portera sans délai ces renseignements à l’attention de la partie prenante émettrice.
8. Modification des lois applicables sur la protection des renseignements personnels

   En cas de modification aux lois applicables sur la protection des renseignements personnels du pays d’une partie prenante qui sont visées par le présent protocole d’entente, les parties prenantes feront de leur mieux pour se consulter rapidement et, si possible, avant l’entrée en vigueur desdites modifications, pour déterminer s’il faut modifier le présent protocole d’entente.

9. Conservation des renseignements

   Les renseignements reçus dans le cadre du présent protocole d’entente ne seront pas conservés plus longtemps que nécessaire pour la réalisation de l’objectif à l’origine de la communication ou plus longtemps que l’exigent les lois du pays de la partie prenante demandante.

   Les parties prenantes feront de leur mieux pour renvoyer tous les renseignements qui ne sont plus requis si la partie prenante répondante a demandé par écrit le renvoi des renseignements au moment de la communication. Si la partie prenante répondante ne demande pas le renvoi des renseignements, la partie prenante demandante en disposera à l’aide des méthodes définies par la partie prenante répondante ou, si cette dernière n’a pas précisé les méthodes, grâce à des méthodes sécuritaires, le plus rapidement possible une fois que les renseignements ne seront plus nécessaires.

10. Coûts

    Sauf si les parties prenantes en décident autrement, la partie prenante répondante engagera tous les coûts nécessaires pour répondre à la demande. Lorsque les coûts liés à la communication ou à l’obtention de renseignements dans le cadre du présent protocole d’entente sont importants, la partie prenante répondante peut demander à la partie prenante demandante de les payer en tant que condition au traitement de la demande. Dans une telle situation, les parties prenantes procéderont à des consultations sur la question à la demande d’une des parties prenantes

11. Durée de la coopération
    1. Le présent protocole d’entente remplace tous les autres protocoles d’entente signés entre les parties prenantes et entre en vigueur à la date de signature.
    2. L’aide prévue dans le présent protocole d’entente sera fournie relativement à des contraventions visées en matière de protection des renseignements personnels qui se sont produites avant et après la signature du protocole d’entente.
    3. Les parties prenantes peuvent mettre fin au présent protocole d’entente en envoyant un avis écrit de 30 jours à l’autre partie prenante. Cependant, avant de donner un tel avis, chaque partie prenante fera de son mieux pour consulter l’autre partie prenante.
    4. Ce protocole peut être modifié, ou complété, tel que convenu par écrit par les parties prenantes.
    5. Lorsque le protocole d’entente ne sera plus en vigueur, les parties prenantes continueront à assurer la confidentialité des renseignements communiqués par l’autre partie prenante dans le cadre du présent protocole d’entente conformément à la section VI, et renverront ou détruiront les renseignements fournis par l’autre partie prenante dans le cadre du présent protocole d’entente conformément aux dispositions de la section IX.
12. Conséquences juridiques

    Aucune disposition du présent protocole d’entente ne vise :

    1. à créer des obligations contraignantes ou à influer sur des obligations existantes aux termes du droit international, ou à créer des obligations aux termes des lois des pays des parties prenantes;
    2. à empêcher une partie prenante de demander l’aide de l’autre partie prenante ou de lui en fournir dans le cadre d’autres ententes, traités, arrangements ou pratiques;
    3. à avoir un impact sur le droit d’une partie prenante à tenter d’obtenir des renseignements de façon légale d’une personne située dans le pays de l’autre partie prenante ni à empêcher une telle personne de fournir volontairement des renseignements obtenus légalement à une partie prenante; ou
    4. à créer des obligations ou des attentes de coopération qui dépasseraient la compétence des parties prenantes.
13. Règlement des différends
    1. Les parties prenantes régleront à l’amiable tout différend ou désaccord concernant le présent protocole d’entente ou découlant de celui-ci par des consultations et des négociations de bonne foi, sans recourir à une cour, un tribunal ou une autre instance internationale.
    2. Les principales personnes-ressources désignées à la section III (A) maintiendront un dialogue ouvert entre elles afin de s’assurer que le protocole d’entente demeure efficace et adapté aux fins voulues. Elles s’efforceront également d’identifier les difficultés éventuelles dans les relations de travail et s’efforceront de les minimiser de manière proactive.

Signé en deux exemplaires, en français et en anglais, toutes les versions étant également valides.