Le CPVP a fait paraître cette semaine des lignes directrices sur la circulation transfrontalière des données personnelles. Ces lignes directrices expliquent l’application de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) au transfert de renseignements personnels à une tierce partie à l’extérieur du Canada aux fins de traitement.
De nombreuses raisons motivent les entreprises canadiennes à faire affaire avec un tiers à l’extérieur du Canada pour le traitement de données : la possibilité d’offrir un meilleur service à la clientèle, l’impossibilité de traiter les données à l’interne, l’économie de coûts ou d’autres motifs.
Par exemple, une entreprise pourrait embaucher un agent contractuel établi à l’étranger pour traiter les données relatives à un programme de fidélisation de la clientèle ou pour offrir des services de soutien 24 heures par jour.
Certaines entreprises en ligne mènent leurs activités dans un environnement virtuel; elles achètent des services informatiques et des services de logistique auprès de fournisseurs de partout au monde. Naturellement, cela signifie que les données de l’entreprise sont transférées au-delà d’une ou de plusieurs frontières internationales.
Les marchés intégrés sont fort présents dans le monde actuel. Le transfert de données d’un pays à un autre est donc plus fréquent que jamais – et ces données risquent de contenir des renseignements personnels. C’est précisément pour cette raison que le Commissariat a décidé de publier des lignes directrices.
En quoi une organisation qui transfère des données outre-frontière est-elle responsable de vos renseignements personnels? Eh bien, tout d’abord, la LPRPDE prévoit que les organisations sont responsables de la protection des renseignements personnels qu’elles détiennent.
De plus, la loi exige que les organisations fournissent, par voie contractuelle ou autre, « un degré comparable de protection aux renseignements qui sont en cours de traitement par une tierce partie ».
Les organisations doivent aussi aviser clairement leurs clients de la possibilité que leurs renseignements personnels soient traités dans un autre pays. Par souci de transparence, ils doivent aviser les personnes que les autorités chargées de l’application des lois dans ces pays pourraient avoir accès à leurs renseignements et ce, en termes claires et intelligibles.
Au fond, même si une organisation canadienne transfère des renseignements personnels à une tierce partie aux fins de traitement, elle est responsable de la protection de ces renseignements.
Que ce soit en qualité de citoyenne ou de citoyen du Canada, de propriétaire de petite entreprise ou de dirigeant d’entreprise, il est toujours mieux d’examiner les pratiques d’une organisation afin de savoir ce qu’il advient des renseignements personnels.
En cas de doute, n’hésitez pas à le leur demander – nous avons tous le droit de savoir comment nos renseignements personnels sont utilisés.