Accord de conformité entre le commissaire à la protection de la vie privée du Canada et Equifax Canada Co.

ATTENDU QUE le commissaire à la protection de la vie privée du Canada (le « commissaire ») est responsable de l’administration et de l’application de la partie 1 de la Loi sur la protection des renseignements personnels et les documents électroniques (la « Loi »), qui régit la collecte, l’utilisation ou la communication de renseignements personnels par des organisations dans le cadre d’activités commerciales;

ATTENDU QU’Equifax Canada Co. (« Equifax Canada ») est une agence d’évaluation du crédit constituée en société au Canada;

ATTENDU QUE, le 8 septembre 2017, le commissaire a ouvert une enquête sur Equifax Canada et Equifax Inc. compte tenu de l’atteinte à la sécurité des données personnelles annoncée par Equifax Inc. le 7 septembre 2017, à la suite des plaintes déposées par des personnes relativement à cet incident;

ATTENDU QUE l’enquête a révélé qu’Equifax Canada a contrevenu à plusieurs dispositions de la section 1 de la Loi, comme en fait état le rapport de conclusions établi par le commissaire (« rapport de conclusions »);

ATTENDU QUE le commissaire a formulé plusieurs recommandations dans le rapport de conclusions à l’intention d’Equifax Canada afin que l’entreprise se conforme à la Loi;

ATTENDU QU’Equifax Canada a pris acte des conclusions formulées par le commissaire, sans aucun aveu de faute ou de responsabilité, ni d’admission en ce qui concerne la véracité des conclusions, des affirmations ou des arguments énoncés dans le rapport de conclusions;

ET ATTENDU QUE les parties reconnaissent que, même si le présent accord est conclu sur une base volontaire, elles sont liées par les obligations qui y sont prévues et que le paragraphe 17.2(2) de la Loi pourra s’appliquer en cas de défaut de conformité;

EN CONSÉQUENCE, en vertu des articles 17.1 et 17.2 de la Loi, le commissaire et Equifax Canada conviennent de ce qui suit :

I. INTERPRÉTATION

1. Les définitions suivantes s’appliquent pour les besoins du présent accord :
   1. « accord » désigne le présent accord de conformité conclu entre Equifax Canada et le commissaire en vertu de l’article 17.1 de la Loi;
   2. « commissaire » désigne le commissaire à la protection de la vie privée du Canada nommé en vertu du paragraphe 53(1) de la Loi sur la protection des renseignements personnels, L.R.C. 1985, ch. P 21, ainsi que ses représentants autorisés;
   3. « Loi » désigne la Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, ch. 5;
   4. « parties » désigne le commissaire et Equifax Canada.

II. MESURES CORRECTIVES

2. Pour donner suite aux recommandations formulées par le commissaire dans le rapport de conclusions, Equifax Canada doit (notamment au moyen des mesures qu’elle a déjà prises) :
   
   

   Consentement

   a. En ce qui concerne le caractère valable du consentement obtenu pour la collecte de renseignements personnels canadiens par Equifax Inc. et ses sociétés affiliées, et le transfert de renseignements personnels canadiens à Equifax Inc. et ses sociétés affiliées, veiller à ce que les communications aux personnes qui achètent des produits canadiens offertsdirectement aux consommateurs, ou y accèdent, soient révisées au plus tard le 30 juin 2019, pour énoncer clairement :

   1. La nature et l’objet des renseignements personnels recueillis par Equifax Inc. et ses sociétés affiliées aux États Unis, ainsi que la nature et l’objet des renseignements personnels transférés à Equifax Inc. et ses sociétés affiliées aux États Unis, tant en ce qui concerne l’information recueillie directement par Equifax Inc. et ses sociétés affiliées, qu’en ce qui concerne l’information transférée par Equifax Canada à Equifax Inc. et à ses sociétés affiliées. Ces communications devraient être mises en évidence sur les pages et les scripts de transaction pertinents. Dans la mesure où les personnes peuvent obtenir des services similaires d’Equifax Canada sans que de tels transferts ne soient nécessaires, Equifax Canada veille à ce qu’Equifax Inc. et ses sociétés affiliées informent les personnes de ces options au moyen de communications sur les pages et les scripts de transaction pertinents.

   b. Au plus tard le 31 décembre 2019, obtenir un consentement explicite supplémentaire (p. ex. une action concrète pour confirmer le consentement) de la part des clients actuels d’Equifax Inc. ou de ses sociétés affiliées, qui reçoivent des produits canadiens vendus directement aux consommateurs. Les communications concernant le consentement supplémentaire devraient être mises en évidence et informer autant que possible les clients actuels sur la nature et l’objet des renseignements personnels recueillis, utilisés et stockés aux États Unis, tant au regard i) des renseignements personnels recueillis directement par Equifax Inc. ou ses sociétés affiliées, auprès de Canadiens, qu’au regard ii) des renseignements personnels transférés par Equifax Canada à Equifax Inc. ou à ses sociétés affiliées.

   Mesures de sécurité et responsabilité

   c. Au plus tard le 15 mars 2019, présenter au Commissariat à la protection de la vie privée une entente provisoire exhaustive par écrit entre Equifax Consumer Services LLC et Equifax Canada, définissant les mesures de contrôle appropriées pour tous les renseignements personnels canadiens recueillis par Equifax Consumer Services LLC et communiqués par Equifax Canada à Equifax Consumer Services LLC, qui comprend un cadre structuré pour régler tout problème qui pourrait survenir en vertu de l’entente, et qui met en œuvre une procédure pour tenir à jour l’entente écrite. Le tout à finaliser d’ici le 31 mars 2019.

   d. Au plus tard le 31 mars 2019, élaborer un programme solide de conservation des données et de protection de la vie privée qui répond aux exigences énoncées à l’alinéa c) ci dessus, et qui comprend la surveillance et la participation du service d’Equifax Canada chargé de la protection des renseignements personnels.

   e. Au plus tard le 30 septembre 2019, i) s’assurer qu’un programme de recensement des données est mis en place; ii) réaliser un inventaire initial minutieux des données figurant dans les systèmes d’Equifax Inc. en vue de recenser les renseignements personnels canadiens; et iii) supprimer ou dépersonnaliser tous les renseignements personnels canadiens recensés à cette même date, qui ne devraient plus être conservés par Equifax Inc. selon son calendrier de conservation. Dans le cas où cet engagement ne peut être complètement mis en œuvre dans le délai prescrit ci-dessus, Equifax peut demander, sans tarder et par écrit, une prolongation du délai. Après avoir évalué la demande de prolongation, le commissaire peut accorder une prolongation s’il est convaincu que la demande de prolongation est justifiée dans les circonstances. Par souci de clarté, les parties conviennent que le programme d’exploration des données et de mesures correctives correspond à un processus permanent et courant.

   f. Sauf indication contraire ci-dessous, en commençant par une présentation faite au plus tard le 31 décembre 2019, et tous les deux (2) ans par la suite, pour une période de six (6) ans, fournir au Commissariat :

   1. un rapport d’Equifax Canada exposant en détail ses activités de surveillance de la conformité à l’entente pour les aspects de conservation des données et de protection de la vie privée, décrite à l’alinéa c. ci dessus;
   2. le rapport de vérification et l’attestation connexe, portant sur le programme de protection des renseignements personnels canadiens traités par Equifax Inc., de la conformité à une norme de sécurité acceptable, effectuées par un vérificateur externe agréé. Par souci de clarté, « norme de sécurité acceptable » s’entend de la norme ISO 27001, ou d’un cadre de référence comparable de l’industrie de la sécurité;
   3. une évaluation portant sur le programme de conservation de données d’Equifax Inc., notamment sur l’efficacité du programme de suppression de données, et, le cas échéant, sur les mesures de correction visant les lacunes cernées, relativement à tous les renseignements personnels canadiens traités par Equifax Inc., effectuée par un tiers externe compétent dès la mise en œuvre complète du programme, conformément à l’alinéa e. ci dessus.

   g. En ce qui concerne le caractère adéquat des mesures de sécurité relativement aux renseignements personnels canadiens qu’elle détient, Equifax Canada doit :

   1. i. Fournir au Commissariat le rapport de vérification et l’attestation connexe portant sur le programme de protection des renseignements personnels canadiens d’Equifax Canada, de la conformité à une norme de sécurité acceptable, effectuées par un vérificateur externe compétent tous les deux (2) ans, pour une période de six (6) ans, en commençant par un premier rapport présenté au plus tard le 31 mars 2019. Par souci de clarté, « norme de sécurité acceptable » s’entend de la norme ISO 27001, ou d’un cadre de référence comparable de l’industrie de la sécurité;
   2. ii. Offrir aux membres du groupe désigné de Canadiens dont les renseignements personnels ont été compromis à la suite de l’incident de cybersécurité survenu en 2017 (les « Canadiens touchés ») la possibilité de s’inscrire gratuitement au Plan complet supérieur EquifaxMC (Equifax Complete™ Premier) de surveillance du crédit, pour une période supplémentaire de deux ans ou pour une durée équivalente à celle proposée à d’autres personnes en Amérique du Nord, touchées par l’incident de cybersécurité de 2017, la période la plus longue ayant préséance. L’inscription sera acceptée pendant une période de six mois, du 30 juin 2019 au 31 décembre 2019. Par souci de clarté, il est reconnu que les offres concernant les services de surveillance du crédit en Amérique du Nord peuvent varier et que la présente exigence vise uniquement la période de l’offre proposée.

   h. Il est entendu que les rapports à la suite des vérifications et des évaluations externes visant les programmes de protection de l’information d’Equifax Inc. et d’Equifax Canada, effectuées dans le cadre des activités courantes ou conformément à d’autres exigences juridiques ou réglementaires ou à d’autres accords peuvent être présentés au commissaire et répondront aux obligations énoncées aux sous alinéas 2f.ii. et 2g.i., dans la mesure où ces rapports sont suffisamment détaillés et établis selon une norme de sécurité acceptable.

III. RAPPORTS SUR LA CONFORMITÉ, SUIVI ET APPLICATION

3. S’il y a lieu, le commissaire peut, à sa discrétion et à l’occasion, demander à Equifax Canada de l’information et des documents pour vérifier si elle se conforme au présent accord.
4. Le commissaire peut en tout temps visiter les locaux d’Equifax Canada et tout autre établissement d’affaires où sont traités des renseignements personnels canadiens pour le compte d’Equifax Canada, afin de vérifier si l’entreprise se conforme au présent accord, sous réserve d’un préavis de quatorze (14) jours donné à Equifax Canada.
5. Equifax Canada reconnaît que, s’il estime que le présent accord n’est pas respecté, le commissaire peut, après avoir donné par écrit un avis de défaut à Equifax Canada, demander à la Cour fédérale, soit une ordonnance enjoignant à Equifax Canada de se conformer aux conditions de l’accord, soit toute autre réparation prévue par la loi, conformément au paragraphe 17.2(2) de la Loi.

IV. GÉNÉRALITÉS

6. Equifax Canada prend en charge les coûts liés à la conformité au présent accord.
7. Les avis, rapports et autres communications prescrits ou autorisés en vertu des modalités du présent accord sont produits par écrit et réputés avoir été envoyés s’ils sont transmis, sur support papier ou électronique, aux adresses suivantes :
   1. Le commissaire
      
      Daniel Therrien, commissaire à la protection de la vie privée du Canada
      a/s Amanda Edmunds
      30, rue Victoria, 8^e étage
      Gatineau (Québec) K1A 1H3
   2. Equifax Canada
      
      Vice présidente, Services juridiques
      5700, rue Yonge, bureau 1600
      Toronto (Ontario) M2M 4K2
8. Aucune disposition du présent accord n’empêche le commissaire d’exercer ou ne limite sa capacité d’exercer les attributions que lui confère la Loi, y compris l’obligation d’examiner les plaintes en vertu du paragraphe 12(1), son pouvoir de prendre l’initiative d’une plainte en vertu du paragraphe 11(2) ou son pouvoir de procéder à la vérification des pratiques de l’organisation en matière de gestion des renseignements personnels en vertu du paragraphe 18(1) de la Loi.
9. Aucune disposition du présent accord ne porte atteinte aux droits et recours prévus dans la partie 1 de la Loi que toute autre personne peut exercer par suite de la conduite décrite dans le présent accord et dans le rapport de conclusions ou par suite d’une conduite future.
10. Equifax Canada reconnaît que les conditions du présent accord et du rapport de conclusions peuvent être communiquées ou rendues publiques, conformément aux pouvoirs conférés au commissaire en vertu du paragraphe 20(2) de la Loi ou aux exigences législatives.
11. Equifax Canada reconnaît qu’elle a eu la possibilité d’être représentée par un conseiller juridique et d’obtenir des avis juridiques concernant le présent accord.
12. Le présent accord entre en vigueur dès sa signature par les deux parties et prend fin lorsque le commissaire a confirmé par écrit que les mesures correctives prévues à la section II du présent accord ont été mises en œuvre. Le commissaire donnera cette confirmation à Equifax Canada dans les plus brefs délais après avoir déterminé que les exigences ont été respectées.

FAIT à Toronto, ce       jour de      2019.

FAIT à Gatineau, dans la province de Québec, ce      jour de      2019.