Consultation sur les transferts aux fins de traitement - Document de discussion révisé

Objet

Le présent document vise à recadrer la consultation annoncée le 9 avril 2019 sur la question des transferts de données aux fins de traitement, incluant la circulation transfrontalière des données. Le Commissariat à la protection de la vie privée (Commissariat) invite maintenant les intervenants à lui faire part de leurs points de vue sur la façon dont la loi actuelle devrait être interprétée et appliquée dans ces contextes et sur la façon dont une future loi, qui pourrait faire suite à la publication par le gouvernement fédéral de sa Charte du numérique le 21 mai, devrait assurer une protection efficace de la vie privée dans le contexte des transferts de données aux fins de traitement.

Pour faciliter la lecture, nous avons maintenant consolidé nos documents et questions de discussions originaux dans ce nouveau document distinct. Les questions que nous avons précédemment posées concernant la loi actuelle demeurent les mêmes, et nous avons ajouté des questions concernant la façon dont une future loi pourrait assurer une protection efficace de la vie privée dans le contexte des transferts de données aux fins de traitement.

Contexte

Dans son Rapport d'enquête sur Equifax, publié le 9 avril 2019, le Commissariat a conclu, au vu des faits de l’espèce, que le consentement était requis en vertu de la loi actuelle pour le transfert de renseignements personnels d'Equifax Canada aux fins de traitement par Equifax Inc., une société affiliée américaine. L’enquête donnait suite aux plaintes déposées par des personnes qui recevaient des produits ou des services de la part d'Equifax Canada et qui étaient étonnées de constater que leurs renseignements personnels ayant fait l’objet d’atteinte se trouvaient aux États-Unis.

Conscients que cette interprétation n'était pas l'interprétation donnée précédemment par le Commissariat dans les circonstances et que l'application de cette interprétation aux organisations autres qu'Equifax aurait une incidence importante sur les pratiques commerciales, nous avons annoncé une consultation sur la façon dont la loi actuelle devrait être interprétée et appliquée aux organisations en général, en vue de modifier éventuellement les lignes directrices pertinentes. Nous avons également annoncé qu'au cours de cette période de réexamen et jusqu'à la fin de la consultation, nous ne nous attendions pas à ce que les organisations changent leurs pratiques (le contraire irait à l’encontre de l'esprit de la consultation). Nous reconnaissons que les organisations sont maintenant dans une période d'incertitude puisque le Commissariat a annoncé son intention de modifier ses lignes directrices, mais ces dernières n'ont pas changé et tout changement éventuel tiendra bien sûr pleinement compte des opinions exprimées au cours de la consultation.

Un nouveau facteur d'incertitude est apparu en mai lorsque le gouvernement a annoncé sa Charte du numérique et publié un livre blanc connexe intitulé Renforcer la protection de la vie privée dans l’ère numérique, qui comprend des considérations liées à la modification de la LPRPDE. Bien que ce document ne définisse pas de modifications précises concernant les transferts de données à des fins de traitement, y compris la circulation transfrontalière des données, il propose des options et des considérations, notamment « réduire le recours [au consentement] pour des pratiques communes ou dans des environnements de confiance » et l'obligation selon laquelle « les organisations doivent démontrer qu'elles agissent de manière responsable. » En tant qu’agent du Parlement, nous avons l'intention de formuler des recommandations sur la façon dont une nouvelle loi devrait protéger efficacement la vie privée dans le contexte des transferts de données aux fins de traitement. Nous élargissons donc la portée de notre consultation et sollicitons l’opinion des intervenants sur les recommandations qui seraient souhaitables.

Notre interprétation de la loi actuelle et les lignes directrices modifiées que nous pourrions publier pourraient être de courte durée si le gouvernement, comme il semble probable, décide de modifier la LPRPDE relativement à la circulation transfrontalière des données. Toutefois, comme les changements législatifs pourraient prendre des années, nous devons continuer à réexaminer la façon dont la loi actuelle devrait être appliquée. Des intervenants nous ont également dit qu'ils s'attendent à être entendus après avoir investi du temps et des ressources dans la préparation d’exposés sur les questions que nous avons posées en avril. Nous accueillons favorablement ces mémoires et nous les examinerons tant pour les fins de nouvelles directives éventuelles que dans le contexte de conclusions d'enquête que nous devrons compléter en vertu de la loi actuelle. En fin de compte, ces conclusions doivent bien entendu être fondées sur des faits propres aux plaintes individuelles et après examen des observations des parties.

Comment protéger de façon efficace la vie privée à long terme (modifications à la LPRPDE)

L'objectif à long terme du Commissariat est d'assurer une protection efficace de la vie privée dans le contexte de la circulation transfrontalière des données et de transferts de données aux fins de traitement, conscient du fait que la circulation transfrontalière fait l'objet d'accords commerciaux internationaux et que les transferts nationaux et internationaux apportent des avantages importants aux personnes et aux organisations.

Le principe de responsabilité est une importante mesure de protection de la vie privée dans le contexte des transferts. Le principe 4.1.3 de la LPRPDE prévoit actuellement que « l’organisation doit, par voie contractuelle ou autre, fournir un degré comparable de protection » lorsque des renseignements personnels sont traités par un tiers. Toutefois, comme nous l'avons vu dans le cas d’Equifax, la formulation actuelle du principe de responsabilité dans la LPRPDE n’assure pas toujours une protection efficace de la vie privée. Dans son récent livre blanc, le gouvernement semble suggérer que le renforcement du principe de responsabilité pourrait faire partie de la solution.

Dans le même ordre d'idées, nous avons proposé que la LPRPDE soit modifiée afin d'exiger une responsabilité démontrable, y compris le pouvoir pour le Commissariat d'inspecter de façon proactive les pratiques des organisations pour s'assurer qu'elles agissent réellement de manière responsable. D'autres autorités de protection des données dans le monde, y compris au Royaume-Uni, un pays régi par la common law, ont ce pouvoir. À l'heure actuelle, en vertu du modèle de la LPRPDE fondé sur les plaintes, le Commissariat dispose rarement de l’opportunité d’examiner les mesures contractuelles élaborées par les organisations en vue de se conformer aux exigences du principe 4.1.3. En cette ère où les technologies, les flux de données et les modèles commerciaux sont complexes, ce modèle essentiellement d'autoréglementation semble insuffisant pour donner aux personnes l'assurance et la confiance que leur vie privée continuera d'être protégée lorsque leurs renseignements personnels seront transférés aux fins de traitement. Un examen proactif par un organisme de réglementation indépendant pourrait aider à fournir cette assurance.

De façon plus générale, nous croyons fermement que le gouvernement a l'obligation de protéger la vie privée de ses citoyens en adoptant des lois efficaces en la matière. Dans le contexte de la circulation transfrontalière de données, cela a conduit plusieurs pays (y compris les membres de l'Union européenne, le Japon, la Malaisie, le Brésil, la Colombie, le Maroc, et la Tunisie) à adopter des régimes fondés sur le concept d'adéquation en vertu desquels, de manière générale, les renseignements personnels des citoyens protégés par les lois nationales ne peuvent être transférés à l'extérieur du pays que lorsque le pays destinataire dispose de lois qui offrent un niveau de protection adéquat. Les transferts vers des pays dont la législation n'a pas été jugée comme offrant une protection suffisante sont également possibles dans le cadre d'autres mesures, telles que les clauses contractuelles types approuvées par une autorité publique, comme des régulateurs nationaux. Au Canada, l'adoption d'un régime fondé sur le concept d’adéquation peut être un changement trop fondamental pour être envisagé; l’efficacité d’un tel régime n’est d’ailleurs pas universellement reconnue. À notre avis, l'adoption d'un régime de clauses contractuelles types, tel qu'il est décrit, devrait être sérieusement envisagée car elle ajouterait encore un niveau de protection offert par l'intervention d'une autorité publique indépendante.

Comme le Commissariat l'a indiqué dans ses lignes directrices de 2009, aucun contrat ne peut avoir préséance sur les lois d'une autre administration. Les ententes contractuelles établies en vertu du principe 4.1.3 de la LPRPDE n'offrent donc qu’une protection limitée contre une loi étrangère qui est incompatible avec leurs dispositions. Cela peut créer des risques importants pour la vie privée, par exemple le risque que des renseignements sur l'exercice d'activités légales par des personnes au Canada puissent être utilisés contre elles, en particulier lorsque ces activités ne sont pas légales ou ne bénéficient pas de la même protection qu'au Canada. L’achat et l’utilisation du cannabis en toute légalité vient évidemment à l'esprit, mais il peut y avoir d'autres scénarios pertinents, comme les dons à des causes religieuses ou politiques. Comment le gouvernement du Canada devrait-il s'acquitter de sa responsabilité de protéger ses citoyens dans ces circonstances? Une façon d'y parvenir pourrait être d'exiger des organisations qu'elles obtiennent un consentement valable lorsqu'un transfert de renseignements personnels comporte de tels risques. Nous serions intéressés d'entendre d'autres solutions efficaces à ce problème possiblement rare mais important pour l'exercice des droits.

Pour être clair, nous ne pensons pas recommander que le consentement soit requis à long terme, lors de modifications à la loi actuelle, dans le contexte des transferts de données à des fins de traitement, si d'autres moyens efficaces sont trouvés pour protéger le droit à la vie privée des personnes. Mais dans les situations où ni les clauses contractuelles ni les autres moyens ne sont efficaces, il se peut que la seule solution soit le consentement.

Transferts de données à des fins de traitement en vertu de la loi actuelle

Des considérations semblables habitent différents régimes juridiques et politiques régissant la circulation transfrontalière des données. Par exemple, le paragraphe 1 du système des règles transfrontalières en matière de protection de la vie privée de l’APEC dispose que le cadre de protection de la vie privée de l’APEC sur lequel les règles sont fondées est « conçu pour assurer la libre circulation transfrontalière continue des renseignements personnels tout en assurant une protection efficace de la vie privée et la sécurité de ces renseignements » [traduction].

Toutefois, l’interprétation du régime juridique fédéral existant doit bien entendu se fonder sur le texte adopté par le Parlement, lu dans son contexte global en suivant le sens ordinaire et grammatical qui s’harmonise avec l’esprit de la loi, l’objet de la loi et l’intention du législateur^{Note de bas de page 1}. Dans son enquête portant sur Equifax, le Commissariat a appliqué une interprétation différente de celle qui avait été donnée précédemment, au terme de ce qui est, selon la loi, un processus confidentiel auquel participent les plaignants et l’organisation mise en cause. Nous n’en sommes pas arrivés à ce résultat sans y avoir réfléchi sérieusement, mais nous avons finalement conclu que la nouvelle interprétation était plus conforme au texte de la LPRPDE. Avant de décider s’il faut maintenir cette interprétation pour toutes les organisations, nous voulons maintenant entendre tous les intervenants.

Comme nous l’avons expliqué dans notre document de discussion supplémentaire du 23 avril, notre changement éventuel de position repose finalement sur notre obligation de garantir que nos politiques reflètent une interprétation correcte de la législation actuelle.

Au cours de l’enquête sur Equifax, il nous est apparu que l’interprétation selon laquelle un transfert (soit le fait pour une organisation responsable de confier des renseignements personnels à une tierce partie aux fins de traitement) n’est pas une « communication » est discutable et probablement incorrecte d’un point de vue juridique. Selon nous, le transfert de renseignements personnels d’une organisation à une autre correspond clairement au sens normal et grammatical du mot « communication » : « action de communiquer avec quelqu’un, d’être en relation avec autrui » (Le Larousse); « Faire connaître quelque chose à quelqu’un. … confier » (Le Petit Robert)^{Note de bas de page 2}. C’est aussi le sens du mot « communication » dans la Loi sur la protection des renseignements personnels, l’autre loi principale du Parlement du Canada en matière de protection des renseignements personnels^{Note de bas de page 3}. De plus, un certain nombre de lois provinciales au Canada, considérées comme étant essentiellement similaires à la LPRPDE, définissent les transferts de données à des fins de traitement en tant que communication^{Note de bas de page 4} ou adoptent des règles qui s’appliquent précisément à ces activités et, notamment, elles exemptent explicitement ces activités d’une obligation de consentement^{Note de bas de page 5}. La LPRPDE ne prévoit aucune exception explicite de ce genre.

Nous avons lu des commentaires à l’effet que les « communications » doivent être distinguées des « transferts » dans l’application de la LPRPDE parce que lorsqu’une organisation communique de l’information, elle doit s’assurer qu’elle a le droit de la communiquer, et une fois que cette communication a été effectuée en toute sécurité, sa responsabilité est terminée^{Note de bas de page 6}. Le terme « communication » serait donc incompatible avec le maintien de la responsabilité. C’est une interprétation intéressante, mais elle ne ressort pas clairement des termes explicites de cette loi. Si le Parlement avait l’intention de ne pas exiger le consentement, n’exempterait-il pas, comme l’ont fait plusieurs assemblées législatives provinciales, les situations de traitement de données de l’exigence relative au consentement? Cela dit, nous aimerions lire les mémoires qui expliqueraient davantage cette interprétation et comment elle cadre avec le régime et l’objet de la LPRPDE.

Un obstacle à cette interprétation peut être la structure de la LPRPDE, notamment le fait que la responsabilité et le consentement sont des principes distincts, parmi d'autres principes, et qu’aucun principe n’exclut l’application des autres. Sur quel fondement juridique, tiré du texte de la LPRPDE, le Commissariat pourrait-il déterminer, d’une part, que la responsabilité s’applique à l’exclusion du consentement dans les situations de traitement, tout en maintenant l’interprétation évidemment souhaitable qu’aucun principe n’exclut l’application des autres?

Ceci étant dit, et tel que nous le rappelions dans notre document de consultation du 23 avril, la politique de 2009 conseille déjà aux organisations de faire preuve de transparence par rapport aux transferts transfrontaliers : « Les organisations doivent faire preuve de transparence au sujet de leurs pratiques de traitement des renseignements personnels. Elles doivent notamment informer les consommateurs que leurs renseignements personnels pourraient être envoyés dans un autre pays aux fins de traitement, et que les tribunaux, organismes d’application de la loi et agences de sécurité nationale de ce pays pourraient y accéder. » La politique de 2009 note que cet avis devrait être donné idéalement au moment de la collecte des renseignements.

Le changement dans la position du Commissariat obligerait les organisations à souligner les éléments qui faisaient auparavant partie de leurs obligations de transparence et à s’assurer que les personnes concernées soient avisées de ces éléments au moment d’obtenir leur consentement pour les transferts transfrontaliers. Nous sommes ouverts sur la façon (consentement implicite ou explicite, nature des informations pour laquelle le consentement serait obtenu) d’y parvenir. Voir la question 6 plus bas.

Questions aux intervenants (long terme : nouvelle loi)

De quelle manière une future loi devrait-elle protéger efficacement la vie privée dans le contexte de la circulation transfrontière de données et des transferts de données aux fins de traitement?
Est-il suffisant de recourir à des moyens contractuels ou à d’autres moyens, élaborés par les organisations et examinés uniquement lorsqu’une plainte est reçue par le Commissariat, pour offrir un niveau de protection comparable? Ou une future loi devrait-elle exiger une responsabilité démontrable et donner à une autorité publique, comme le Commissariat, des pouvoirs supplémentaires pour approuver les clauses contractuelles types avant leur adoption et, une fois qu’elles auront été adoptées, pour examiner de façon proactive leur application afin d’assurer un niveau comparable de protection?
De quelle manière une future loi devrait-elle protéger efficacement la vie privée lorsque les mesures contractuelles ne peuvent pas assurer cette protection?

Questions aux intervenants (court terme : loi actuelle)

À votre avis, est-ce que le principe du consentement s’applique aux transferts de renseignements personnels à une tierce partie aux fins de traitement, y compris les transferts transfrontaliers? Sinon, en quoi le raisonnement ci-dessus est-il incorrect?
Est-ce que le principe 4.1.3 a un effet sur l’interprétation ou la portée du principe du consentement? Si oui, quels sont les fondements ou motifs juridiques qui appuient cette interprétation?
Quelle devrait être la portée des exigences de la loi en matière de consentement, à la lumière, d’une part, de l’objectif de la Partie 1 de la LPRPDE tel qu’énoncé à l’article 3, d’autre part, du nouvel article 6.1 de la LPRPDE (et de son renvoi à la nature, aux fins et aux conséquences des communications), et enfin des lignes directrices du Commissariat pour l’obtention d’un consentement valable, en vigueur depuis le 1er janvier 2019? Plus particulièrement :
1. Dans quelles circonstances le consentement devrait-il être implicite ou explicite?
2. Quel devrait être le niveau de détails des renseignements à être divulgués à la personne visée? Êtes-vous d’accord que le consentement devrait comporter au moins les éléments suivants: i) les fins pour lesquelles l’organisation responsable désire utiliser les renseignements; ii) le fait qu’elle fait appel à des tierces parties aux fins de traitement mais qu’elle fournit un degré comparable de protection; iii) lorsque les tierces parties sont à l’extérieur du Canada, les pays où seront envoyés les renseignements personnels; iv) le risque que les tribunaux, organismes d’application de la loi et agences de sécurité nationale de ces pays pourraient accéder aux renseignements personnels?
3. Est-ce que l’avis à la personne visée devrait nommer les tierces parties?
4. L’avis devrait-il comporter d’autres éléments d’information?
Puisque la politique de 2009 exige déjà que les consommateurs soient avisés (idéalement au moment de la collecte des renseignements) d’un transfert transfrontalier de renseignements personnels, de même que du risque que les autorités locales aient accès aux renseignements, de façon pratique, le passage de ces éléments au niveau d’exigence juridique d’un consentement valable aurait-il des incidences significatives sur les organisations? Si oui, comment?
Si les éléments énoncés ci-haut dans la question 6(b) devaient être exigés comme conditions d’un consentement valable en vertu d’un nouvel énoncé de principe du Commissariat, quelles mesures devrait prendre le Commissariat pour tenir compte du besoin des organisations de recueillir, d’utiliser et de communiquer des renseignements personnels?
Quels éléments devraient être communiqués quand une organisation obtient le consentement pour un transfert aux fins de traitement qui n’est pas un transfert transfrontalier?
Est-ce que vous êtes d’avis que l’interprétation proposée de la LPRPDE est conforme aux obligations du Canada en vertu de ses ententes commerciales? Sinon, pourquoi le résultat serait-il différent de la situation actuelle, où les éléments d’information mentionnés à la question 6(b) doivent être communiqués en vertu du principe de la transparence?
Tout autre commentaire que vous jugerez pertinent.

Notez que pour référence, les documents suivants liés à la consultation demeurent sur le site du Commissariat. Ils ont toutefois été archivés pour éviter toute confusion.

Procédures et critères concernant les commentaires

Veuillez envoyer votre réponse à l’adresse OPC-CPVPconsult2@priv.gc.ca d’ici le 6 août 2019 (mis à jour).
Vos commentaires peuvent être envoyés sous forme de courriel, de document Word ou de document PDF.
Veuillez indiquer votre nom, vos coordonnées et la catégorie qui vous décrit le mieux (particulier, organisation, universitaire, groupe de défense des droits, spécialiste des technologies de l’information, éducateur, etc.).
Si un commentaire contrevient aux lois canadiennes ou à nos Politiques relatives aux commentaires, il ne sera pas considéré dans la portée de cet appel de commentaires. Il sera détruit ou traité conformément aux pouvoirs qui nous sont conférés par la Loi sur la protection des renseignements personnels.

Un courriel de confirmation sera envoyé si vous avez donné votre adresse de courriel conformément aux conditions susmentionnées.

Veuillez prendre note que le Commissariat n’offre pas de compensation financière pour les commentaires liés à cet appel de commentaires.

Vos commentaires et la protection de la vie privée

Vos commentaires ne seront pas publiés sur le site Web du Commissariat. Cependant, un sommaire général de tous les commentaires pourrait y être publié. Si vous publiez vos commentaires en ligne, veuillez nous avertir et nous fournir un lien. Si vous soumettez des travaux déjà publiés pour accompagner vos commentaires, veuillez inclure les références et les liens appropriés.

Le Commissariat à la protection de la vie privée du Canada est assujetti à la Loi sur l’accès à l’information et à la Loi sur la protection des renseignements personnels. La Loi sur l’accès à l’information accorde au public le droit d’accéder aux documents gouvernementaux. La Loi sur la protection des renseignements personnels donne aux personnes un droit d’accès aux renseignements personnels les concernant et protège ces renseignements d’une communication non autorisée. Certains des renseignements que vous fournissez dans le cadre de ce processus peuvent être accessibles en vertu de la Loi sur l’accès à l’information; cela ne comprend pas les renseignements personnels au sens de la Loi sur la protection des renseignements personnels.

Si vous décidez de participer à cette consultation, les renseignements personnels que vous fournissez directement au Commissariat seront versés dans le Fichier de renseignements personnels POU 938 (Activités de sensibilisation). Veuillez également consulter la Politique sur la protection des renseignements personnels du Commissariat, les modalités connexes ainsi que nos Politiques relatives aux commentaires pour savoir comment nous traitons vos renseignements. Les renseignements personnels fournis seront utilisés et pourraient être communiqués aux fins auxquelles ils ont été recueillis ou rassemblés par le Commissariat, ou pour un usage compatible avec ces fins.

Les commentaires ne seront pas traités comme une plainte relative à la protection de la vie privée aux termes de la Loi sur la protection des renseignements personnels ou de la LPRPDE. Pour obtenir plus de renseignements sur le dépôt d’une plainte en vertu de l’une ou l’autre de ces lois, veuillez consulter la page Déposer une plainte officielle concernant la protection de la vie privée.

Pour communiquer avec nous

Si vous avez des questions sur la consultation, n’hésitez pas à les envoyer à l’adresse OPC-CPVPconsult2@priv.gc.ca

Si vous avez une question qui ne concerne pas cette consultation, veuillez utiliser notre formulaire de demande d’information en ligne ou communiquer avec notre Centre d’information.

Note de bas de page 1

Rizzo & Rizzo Shoes Ltd. (Re), [1998] 1 S.C.R. 27, au para. 21, citant E. Driedger, Construction of Statutes (2nd ed. 1983), à la page p. 87.

Retour à la référence de la note de bas de page 1

Note de bas de page 2

Le mot « disclose » en anglais a une définition similaire : « make known, reveal » (Canadian Oxford Dictionary).

Retour à la référence de la note de bas de page 2

Note de bas de page 3

Voir Conseil du Trésor, Directive sur les pratiques relatives à la protection de la vie privée, 6.2.22 et Annexe A, « Définitions ».

Retour à la référence de la note de bas de page 3

Note de bas de page 4

Voir par exemple en Colombie-Britannique: Personal Information Protection Act, SBC 2003, c. 63 [BC PIPA]; au Nouveau-Brunswick: Personal Health Information Privacy and Access Act, SNB 2009, c. P-7.05 [NB PHIPAA].

Retour à la référence de la note de bas de page 4

Note de bas de page 5

Voir par exemple en Colombie-Britannique: Personal Information Protection Act, au Nouveau-Brunswick: Personal Health Information Privacy and Access Act; et au Québec : Loi sur la protection des renseignements personnels dans le secteur privé, CQLR, c P-39.1, bien que la législation québécoise impose des obligations additionnelles pour les renseignements communiqués à l’extérieur de la province.

Retour à la référence de la note de bas de page 5

Note de bas de page 6

Stephanie Perrin, Heather Black, David Flaherty and Murray Rankin. The Personal Information Protection and Electronic Documents Act: An Annotated Guide. 2001

Retour à la référence de la note de bas de page 6

Date de modification :: 2019-04-23

Sélection de la langue

Recherche et menus

Recherche