Sélection de la langue

Recherche

Appendice 3 : Les flux de données transfrontaliers et les transferts pour fins de traitement

Le 28 septembre 2020

1. Les flux de données transfrontaliers

En ce qui concerne les flux de données transfrontaliers, les questions à traiter sont multiples et comprennent les suivantes :

  • Quelles sont la nature et l’étendue des obligations et de la responsabilité juridique des organisations lorsqu’elles transfèrent des données au-delà des frontières?
  • Dans quelles circonstances et dans quelle mesure les facteurs suivants devraient-ils avoir une incidence sur la responsabilité des organisations canadiennes lorsque les données franchissent les frontières?
    • La relation commerciale avec l’organisation située dans l’autre pays
    • Les mesures prises par l’organisation canadienne pour protéger les renseignements entre les mains de l’entité étrangère
    • La nature du régime législatif en place dans le pays de l’organisation étrangère
  • Lorsqu’une évaluation du système juridique d’un autre pays s’impose, qui devrait s’en charger?
  • Quels sont les critères qui devraient guider les évaluations et quelles seraient les normes à appliquer?
  • Quel rôle joue l’accès aux données à caractère personnel par les forces de l’ordre/la sécurité nationale dans le pays étranger en ce qui concerne l’évaluation du caractère légitime des transferts?
  • Quels sont les mécanismes spéciaux de surveillance et d’application des lois qui pourraient être nécessaires?

La présente section examine la façon dont ces questions sont traitées dans le cadre du RGPD, des lois de l’Australie et de la Nouvelle-Zélande, du projet de loi 64 du Québec et de la Convention 108+.

i. RGPD

Les règles du RGPD régissant les flux de données transfrontaliers sont énoncées aux articles 44 à 50 de ce règlement. Plus précisément, l’article 44 prévoit que les données à caractère personnel « qui font ou sont destinées à faire l’objet d’un traitement après [l]e transfert » vers un pays tiers ne peuvent franchir les frontières que si les conditions énoncées dans le RGPD sont respectées par le responsable du traitement et le sous-traitant. Cela s’applique par ailleurs à tout transfert ultérieur de données à caractère personnel partant du pays tiers chargé du traitement. En vertu du RGPD, les responsables du traitement sont tenus de mettre en œuvre « des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlementNote de bas de page 1 ». La relation avec un sous-traitant doit être régie par des dispositions contractuelles exécutoiresNote de bas de page 2. Le traitement est défini de façon large comme suit :

[…] toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqués à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destructionNote de bas de page 3.

Les transferts transfrontaliers de données aux fins de traitement sont autorisés lorsque la Commission européenne a décidé que le pays (ou un territoire ou secteur déterminé dans ce pays) « assure un niveau de protection adéquatNote de bas de page 4 ». Le caractère adéquat du régime législatif dans le pays de destination fait l’objet de l’article 45. Une fois que le caractère adéquat est constaté, le transfert ne nécessite pas d’autorisation déterminée.

Sont également énoncés à l’article 45 les éléments dont il faut tenir compte dans le cadre de l’évaluation du caractère adéquat. Il s’agit des éléments suivants :

l’état de droit, le respect des droits de l’homme et des libertés fondamentales, la législation pertinente, tant générale que sectorielle, y compris en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal ainsi que l’accès des autorités publiques aux données à caractère personnel, de même que la mise en œuvre de ladite législation, les règles en matière de protection des données, les règles professionnelles et les mesures de sécurité, y compris les règles relatives au transfert ultérieur de données à caractère personnel vers un autre pays tiers ou à une autre organisation internationale qui sont respectées dans le pays tiers ou par l’organisation internationale en question, la jurisprudence, ainsi que les droits effectifs et opposables dont bénéficient les personnes concernées et les recours administratifs et judiciaires que peuvent effectivement introduire les personnes concernées dont les données à caractère personnel sont transféréesNote de bas de page 5.

Au nombre des aspects d’importance en ce qui concerne le caractère adéquat figurent aussi le fonctionnement effectif des autorités de contrôle, de surveillance et d’application des règles, leur accessibilité pour les personnes concernées et leur degré de coopération avec les autorités de contrôle dans le pays de l’auteur du transfertNote de bas de page 6. La Commission peut aussi prendre en considération les engagements internationaux pris par le pays de destination « en particulier en ce qui concerne la protection des données à caractère personnelNote de bas de page 7 ».

Une fois que la Commission a rendu, à l’égard d’un tiers, une décision favorable en ce qui concerne le caractère adéquat, l’évaluation fait l’objet d’un examen périodique « au moins tous les quatre ansNote de bas de page 8 », lequel prend en compte toutes les évolutions pertinentes de la législation s’appliquant au tiers. Étant donné que le champ d’application de la décision relative au caractère adéquat peut être régional ou sectoriel au sein du pays tiers, l’évaluation doit préciser ce à quoi elle s’applique. La Commission suit, de manière permanente, les évolutions dans les pays tiersNote de bas de page 9. Une décision concernant le caractère adéquat peut être abrogée ou modifiée si la Commission estime que le pays, la région ou le secteur « n’assure plus un niveau de protection adéquatNote de bas de page 10 ». Si le régime d’évaluation du caractère adéquat peut certes grandement faciliter les flux de données transfrontaliers dans le cadre du RGPD, il impose une charge réglementaire permanente.

Une décision favorable en ce qui concerne le caractère adéquat ne constitue pas le seul procédé permettant aux données de transiter de l’UE vers un pays, une région ou un secteur tiers. En l’absence d’une telle décision, les articles 46 à 49 du RGPD proposent d’autres optionsNote de bas de page 11. L’une d’elles consiste, pour une entité destinataire d’un transfert de données dans un pays tiers, à « [prévoir] des garanties appropriéesNote de bas de page 12 ».

Les garanties appropriées sont énumérées au paragraphe 46(2). Lorsque ces garanties sont fournies, les données peuvent être transférées sans avoir besoin d’obtenir une autorisation particulière de la part d’une autorité de contrôle de l’UE. Parmi les garanties envisageables figurent des règles d’entreprise contraignantesNote de bas de page 13, des clauses types de protection des données adoptées par la CommissionNote de bas de page 14, des clauses types de protection des données adoptées par une autorité de contrôle nationale et approuvées par la CommissionNote de bas de page 15, un code de conduite sectoriel approuvé, assorti de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant d’appliquer les garanties appropriéesNote de bas de page 16 ou un mécanisme de certification approuvé assorti de l’engagement contraignant et exécutoire du destinataire de mettre en œuvre les garanties appropriéesNote de bas de page 17. Toutes ces mesures requièrent l’autorisation de la Commission ou de l’autorité de contrôle. Dans tous les cas, l’existence de droits opposables par les personnes concernées joue un rôle de premier plan. Une autre option, énoncée au paragraphe 46(3), mais nécessitant l’autorisation de l’autorité de contrôle compétente, est la souscription conjointe de clauses contractuelles par l’auteur et le destinataire du transfertNote de bas de page 18.

En l’absence d’une décision favorable en ce qui concerne le caractère adéquat et de garanties appropriées prévues à l’article 46, une dernière série d’options s’offre à l’article 49 du RGPD pour autoriser la mise en œuvre de flux de données transfrontaliers. La première option repose sur l’obtention du consentement au transfert envisagé par la personne concernée. Dans un tel cas, le consentement doit être explicite et éclairé et viser exclusivement le transfert en question. Doivent par ailleurs être communiqués les risques que le transfert peut comporter, notamment le fait que le transfert a pour destinataire un pays « qui ne fournit pas une protection adéquate et qu’aucune garantie appropriée visant à protéger les données n’est mise en œuvreNote de bas de page 19 ». D’autres exceptions nécessitent qu’il soit démontré que le transfert est nécessaire pour l’atteinte de certains objectifs ou pour des motifs d’intérêt publicNote de bas de page 20.

La décision Schrems IINote de bas de page 21 permet de voir comment ces exigences trouvent une application pratique. Dans l’affaire Schrems II, la Cour européenne de justice a rejeté la prétention d’adéquation de la protection assurée par le bouclier de protection des données UE–États-Unis dans le contexte des transferts de données transfrontaliers. Le mécanisme du bouclier de protection a remplacé celui de la sphère de sécurité UE–États-Unis, déclaré invalide dans la décision Schrems INote de bas de page 22. Le bouclier de protection UE–États-Unis était un mécanisme par le truchement duquel les sociétés pouvaient s’autocertifier et s’engager publiquement à se conformer au cadre de protection mis en œuvre pour assurer un niveau de protection adéquat des données à caractère personnel (au sens du RGPD). Dans la décision qui a abouti à l’invalidation du bouclier de protection des données, la Cour européenne de justice a conclu que « certains programmes autorisant les organismes du secteur public d’accéder à des données à caractère personnel transférées de l’UE vers les États-Unis à des fins de sécurité nationale, entraînent des restrictions en matière de protection des données à caractère personnel qui ne sont pas circonscrites de manière à être conformes aux exigencesNote de bas de page 23 » équivalentes à celles que prévoit le droit de l’UE.

Deuxièmement, et ce qui est sans doute plus important du point de vue canadien, la Cour a tiré deux importantes conclusions en ce qui concerne le recours aux clauses contractuelles types (CCT), une autre option proposée par le RGPD comme alternative à une évaluation du caractère adéquat. La Cour européenne de justice a conclu que de telles clauses étaient valides même si elles étaient dépourvues de caractère contraignant à l’égard des autorités du pays de destination du transfert de données. Cependant, la Cour a établi que les transferts de données fondés sur des CCT devaient être suspendus ou interdits lorsque les CCT étaient compromises ou ne pouvaient pas être respectées. En ce qui concerne les États-Unis, la Cour a statué que les exigences de la législation américaine entourant la sécurité nationale qui avaient porté le coup fatal au bouclier de protection des données UE–États-Unis étaient celles qui faisaient également obstacle au respect des engagements pris au titre des CCT. Le recours aux CCT peut s’avérer possible, au cas par cas, dans la mesure où « le droit des États-Unis n’affecte pas le niveau de protection adéquat qu’elles garantissentNote de bas de page 24 ». Certaines autorités européennes de protection des données ont émis des avis préliminaires selon lesquels l’arrêt de la Cour signifie que les transferts de données vers les États-Unis ne sont plus possiblesNote de bas de page 25. D’autres ont déclaré que les transferts fondés sur des CCT pourraient toujours être possibles, en fonction des parties et des dispositions en causeNote de bas de page 26. D’autres encore ont laissé entendre que les transferts régis par des CCT sont pour l’instant discutablesNote de bas de page 27.

Un troisième aspect que la Cour a jugé problématique était l’impossibilité pour les résidents de l’UE de pouvoir former un recours en vertu du droit des États-Unis en cas d’accès aux données dans le cadre de l’application de la législation sur la sécurité nationaleNote de bas de page 28. Par exemple, dans la décision Schrems II, la Cour a souligné que les personnes concernées ne disposaient pas de « droits opposables aux autorités américaines devant les tribunauxNote de bas de page 29 ». Cela signifiait qu’il y avait un manquement à l’exigence selon laquelle, lorsque des données sont transférées en dehors de l’UE en vue de leur traitement, les personnes concernées disposent de « droits effectifs et opposablesNote de bas de page 30 ». Aux termes de l’article 45 du RGPD, l’existence de « droits effectifs et opposables dont bénéficient les personnes concernées et les recours administratifs et judiciaires que peuvent effectivement introduire les personnes concernées dont les données à caractère personnel sont transférées » sont essentiels à une décision favorable en ce qui concerne le caractère adéquat.

Le Comité européen de la protection des données a déclaré que, bien que la décision Schrems II ne traite pas des autres mécanismes destinés à faciliter les transferts de données transfrontaliers, les mesures telles que les règles d’entreprise contraignantes risquent aussi d’être touchées « puisque le droit des États-Unis primera également sur cet outilNote de bas de page 31 ». Les répercussions sur les autres outils restent à évaluer, mais le Comité souligne que la norme applicable sera celle de « l’équivalence substantielleNote de bas de page 32 ».

Alors que la décision Schrems II concerne le transfert de données aux États-Unis, les normes qu’elle pose sont applicables aux transferts de données à destination de tous les pays hors UENote de bas de page 33. La Cour de justice a affirmé qu’en l’absence d’une décision en ce qui concerne le caractère adéquat, il incombe aux parties au transfert de données d’établir si les garanties énoncées dans les CCT ou les règles d’entreprise contraignantes peuvent être respectées dans la pratique, s’il s’avère nécessaire de prévoir des mesures supplémentaires et, même en présence de telles mesures, si les renseignements personnels peuvent être adéquatement protégésNote de bas de page 34. Dans le cas contraire, le transfert ne peut pas avoir lieu.

La décision Schrems II montre clairement l’importance d’une évaluation quant au caractère adéquat lorsqu’il s’agit de traiter avec l’UE. Une telle évaluation facilite grandement les flux de données transfrontaliers. En l’absence d’une telle évaluation, les parties disposent d’autres options. Toutefois, il se peut qu’elles ne parviennent pas à surmonter les lacunes décelées dans le système national du pays tiers. Puissent-elles y arriver, cela peut se faire au prix d’efforts et de dépenses considérables de la part des parties contractantes.

Forte de son pouvoir économique collectif considérable, l’UE a conçu un système qui repose largement sur la restriction des flux de données vers des organisations situées dans des territoires où il n’existe pas un niveau comparable de protection des données. Ce niveau comparable de protection peut être assuré par différents moyens. Le plus simple pour les organisations est une décision favorable en ce qui concerne le caractère adéquat. Faute d’une telle décision, d’autres options sont disponibles, lesquelles nécessitent différents degrés d’effort et une intervention considérable de la Commission ou des autorités de contrôle nationales. Seulement, comme l’illustre clairement la décision Schrems II, même ces mesures peuvent être infirmées si les autorités nationales chargées de la sécurité ou de l’application de la loi dans le pays de destination autorisent un accès abusif aux données à caractère personnel sans que les personnes concernées de l’UE disposent de recours suffisants. Si un tel régime offre un niveau élevé de protection des données à caractère personnel des résidents de l’UE, il est tributaire d’un poids économique dont le Canada ne jouit pas. En outre, il s’agit d’un régime complexe, qui nécessite des ressources gouvernementales et réglementaires importantes.

ii. Australie

Un des objets explicites de la Privacy Act 1988 (APA) de l’AustralieNote de bas de page 35 est de [traduction] « faciliter la libre circulation des renseignements au-delà des frontières nationales tout en veillant à ce que le droit à la vie privée des personnes soit respectéNote de bas de page 36 ». L’APA traite des flux de données transfrontaliers à l’article 16C ainsi que conformément au Australian Privacy Principle (« Principe australien de protection de la vie privée » [APP]) 8 énoncé dans les Information Privacy Principles (« Principes de protection des renseignements à caractère privé »), lesquels sont intégrés à l’APANote de bas de page 37. À l’instar de la LPRPDE, l’APA s’articule autour de la collecte, de l’utilisation et de la communication des données à caractère personnel. Les transferts transfrontaliers sont considérés comme des « communications » de renseignements personnels.

La « communication » n’est pas un terme défini dans l’APA. Toutefois, l’Office of the Australian Information Commissioner (« Commissariat australien à l’information » [OAIC]) l’a interprétée comme désignant toute activité qui rend les renseignements personnels [traduction] « accessibles à des tiers extérieurs à l’entité et qui soustrait la manipulation ultérieure de ces renseignements à son contrôle effectif Note de bas de page 38. » L’OAIC est centrée sur l’acte de communication et non sur les intentions de la partie qui communique. Cela signifie que même les divulgations accidentelles ou non autorisées sont considérées comne étant des communicationsNote de bas de page 39. L’OAIC présente des exemples de communications de renseignements personnels à des destinataires à l’étranger, soit des situations où l’entité :

  • partage des renseignements personnels avec un destinataire à étranger;
  • révèle des renseignements personnels lors d’une conférence internationale ou d’une réunion à l’étranger;
  • transmet un document imprimé ou électronique contenant des renseignements personnels à propos d’une personne à un client situé à l’étranger;
  • affiche des renseignements personnels sur Internet, intentionnellement ou non, qui sont accessibles à un destinataire à l’étrangerNote de bas de page 40.

L’OAIC précise qu’une communication n’a pas lieu [traduction] « tant que les renseignements personnels n’ont pas atteint le destinataire à l’étrangerNote de bas de page 41 ». Autrement dit, l’acheminement de renseignements personnels par des serveurs situés à l’étranger constitue une utilisation, et non une communicationNote de bas de page 42. De surcroît, selon les directives de l’OAIC, le stockage dans le nuage à l’étranger de renseignements personnels ne constitue pas une communication pour autant qu’il existe des contrats contraignants qui limitent le fournisseur de services d’infonuagique et tout sous-traitant à la seule manipulation des renseignements personnels à des fins de stockage, et que l’entité australienne conserve un [traduction] « contrôle effectif » sur la manière dont les renseignements sont manipulés. S’entend notamment d’un tel contrôle effectif [traduction] « le droit ou le pouvoir d’accéder aux renseignements personnels, de les modifier ou de les récupérer », et de contrôler qui peut y accéder et à quelles finsNote de bas de page 43.

L’APP 6 s’applique à la fois aux utilisations et aux communications de renseignements personnels. Étant donné que les transferts transfrontaliers sont considérés comme des communications, ces transferts doivent également être conformes à l’APP 6. Plus précisément, la disposition 6.1 prévoit ce qui suit [traduction] : « Si une entité assujettie à l’APP détient des renseignements personnels sur une personne qui ont été recueillis à une fin particulière […], l’entité ne doit pas utiliser ou communiquer ces renseignements à une autre fin. » Ainsi, un transfert en vue d’un traitement doit être effectué à une fin pour laquelle les renseignements ont été initialement recueillis, sauf si l’une des exceptions légales à cette règle s’appliqueNote de bas de page 44.

Selon la disposition 8.1, un [traduction] « destinataire à l’étranger » doit se trouver en dehors de l’Australie ou d’un territoire extérieur. La disposition exclut explicitement l’entité qui communique les données à caractère personnel. Il en découle que les transferts effectués par une entité australienne vers l’un de ses bureaux à l’étranger ne sont pas subordonnés aux règles applicables aux transferts de données transfrontaliersNote de bas de page 45. En revanche, un transfert effectué par une entité australienne à une [traduction] « personne morale liée » est considéré comme un transfert à un destinataire à l’étrangerNote de bas de page 46.

La disposition 8.1 de l’APP 8 prévoit que, pour qu’un transfert de données puisse avoir lieu, l’auteur australien du transfert doit [traduction] « prendre les mesures qui sont raisonnables dans les circonstances » pour s’assurer que le destinataire à l’étranger n’agit pas d’une manière susceptible de donner lieu à une atteinte. Les [traduction] « mesures raisonnables » requises par la disposition 8.1 impliquent généralement des accords contractuels exécutoiresNote de bas de page 47. L’OAIC ne propose pas de clauses contractuelles types à inclure dans les accords de transfert. Il fournit toutefois des orientations sous la forme d’une liste de considérations pour les accords contractuelsNote de bas de page 48. En outre, l’OAIC a publié une liste de facteurs qu’il prendra en compte pour évaluer si des mesures raisonnables ont été prises dans le cadre d’un processus de contrôle de la conformité tel qu’un auditNote de bas de page 49. Ces facteurs comprennent le caractère sensible des renseignements personnels, le risque de préjudice pour les personnes et les garanties techniques mises en place par le destinataire à l’étrangerNote de bas de page 50. Bien qu’une entité puisse considérer la difficulté, le temps et le coût de la mise en place d’une protection adéquate, l’OAIC émet une mise en garde : [traduction] « une entité n’est pas dispensée de s’assurer qu’un destinataire à l’étranger ne contrevient pas aux APP pour la seule raison qu’il serait peu pratique, long ou coûteux de le faireNote de bas de page 51 ».

La disposition 8.2 prévoit que la disposition 8.1 ne s’applique pas aux transferts de données transfrontaliers lorsque l’entité australienne [traduction] « a des motifs raisonnables de croire » que certaines circonstances prévalentNote de bas de page 52. La première de ces circonstances est lorsque le destinataire est assujetti à une loi ou à un [traduction] « régime contraignant » dans son propre pays, qui offre au moins une protection [traduction] « essentiellement similaire » à ce que garantissent les APP, et qu’il existe des mécanismes accessibles aux personnes concernées pour faire appliquer cette loi ou ce régime contraignant. Quant à l’expression [traduction] « a des motifs raisonnables de croire », l’OAIC l’interprète comme signifiant [traduction] « avoir une justification raisonnable de sa croyance, par opposition à une simple croyance en son for intérieur ou une croyance subjectiveNote de bas de page 53 ». Cette interprétation implique qu’il incombe à une entité australienne de démontrer le caractère raisonnable de ses motifs de croire et laisse entendre qu’un avis juridique indépendant pourrait être un moyen d’y parvenirNote de bas de page 54.

La sous-disposition 8.2(a) comporte trois éléments fondamentaux. Premièrement, le destinataire à l’étranger doit être assujetti à une loi ou à un régime contraignant. Dans la plupart des cas, il s’agira d’une loi sur la protection des données, mais il est également possible qu’un autre type de loi impose des exigences en matière de manipulation des renseignements qui offrent une protection essentiellement similaireNote de bas de page 55. Le « régime contraignant » pourrait être [traduction] « un régime sectoriel ou un code de protection de la vie privée qui est exécutoire une fois adoptéNote de bas de page 56 » ou il pourrait s’agir d’un ensemble de règles d’entreprise contraignantesNote de bas de page 57. Sur ce point, l’OAIC fait référence aux règles d’entreprise contraignantes mises en place en vertu du RGPD de l’UE. Si, par exemple, une entité australienne faisait partie d’un groupe assujetti à des règles d’entreprise contraignantes établies en vertu de RGPD, elle pourrait transférer des données à d’autres entités dans d’autres pays qui sont assujetties aux mêmes règles d’entreprise contraignantes. Ainsi, les entreprises australiennes peuvent tirer parti d’un régime mis en œuvre sous l’ombrelle du RGPD et soumis aux exigences explicites et au contrôle réglementaire du RGPD.

Le deuxième élément de la sous-disposition 8.2(a) est que la loi ou le régime auquel le destinataire est contraint doit être [traduction] « essentiellement similaire » à ce que prévoient les APP australiens. Selon l’OAIC :

[traduction]

Une loi ou un régime contraignant essentiellement similaire offrirait un niveau de protection des renseignements personnels comparable, voire supérieur, à celui offert par les APP. Il n’est pas nécessaire que chaque disposition de la loi ou du régime corresponde directement à un APP équivalent. Ce qui importe d’abord et avant tout est l’effet global de la loi ou du régimeNote de bas de page 58.

Dans ses lignes directrices, l’OAIC fournit des exemples de facteurs pertinents à prendre en considération dans l’évaluation du caractère essentiellement similaire. Il s’agit notamment de la définition des renseignements personnels, des exigences de notification, des normes de qualité et de sécurité des données, des droits d’accès et de correction, et de la manière générale dont sont régies la collecte, l’utilisation et la communication des renseignements personnelsNote de bas de page 59.

Le troisième élément de la sous-disposition 8.2(a) est l’exigence qu’il existe des mécanismes permettant à la personne concernée de faire respecter les dispositions relatives à la protection de la vie privée. Il peut s’agir d’une procédure de plainte auprès d’une autorité de contrôle, ou encore d’un [traduction] « mécanisme accrédité de règlement des différends, d’un tribunal indépendant ou une cour investie de fonctions et de pouvoirs judiciairesNote de bas de page 60 ». Une combinaison de mécanismes peut également être acceptable.

Par ailleurs, la sous-disposition 8.2(b) permet de procéder à des transferts sans devoir se conformer à la disposition 8.1 lorsque les personnes concernées, après avoir été clairement avisées, ont donné leur consentement exprès à un transfert de données dépourvu de la protection garantie par le principe 8.1. Les orientations de l’OAIC exigent un avis et un consentement clairs et nets dans ces circonstances. Lorsqu’il s’agit d’expliquer les conséquences éventuelles d’un transfert effectué sans la protection des APP, l’OAIC exige que la personne soit avisée que, si elle y consent et que le destinataire à l’étranger fait un usage abusif des renseignements, l’entité australienne ne sera pas tenue responsable et la personne n’aura aucun recours en vertu de l’APANote de bas de page 61. Si l’entité à l’étranger n’est assujettie à aucune obligation en matière de protection des renseignements personnels ou s’il n’existe aucun recours à l’étranger, la personne doit également en être informée. Enfin, la personne doit être avisée si [traduction] « le destinataire à l’étranger est assujetti à une loi étrangère qui pourrait le contraindre à communiquer des renseignements personnels à un tiers, tel qu’une autorité étrangèreNote de bas de page 62 ».

La sous-disposition 8.2(c) autorise le transfert de données transfrontalier sans consentement lorsque le transfert est exigé ou autorisé par la législation australienne, lorsque certaines exceptions légales à la communication s’appliquentNote de bas de page 63 ou lorsque le transfert est exigé ou autorisé en vertu d’un accord international de partage de renseignementsNote de bas de page 64.

L’article 16C de l’APA établit la responsabilité des entités australiennes qui communiquent des renseignements personnels à des destinataires à l’étranger. Il prévoit qu’une entité australienne est réputée avoir enfreint les APP lorsqu’un destinataire à l’étranger [traduction] « pose un acte ou se livre à une pratique en rapport avec les renseignements qui constituerait une atteinte aux Principes australiens de protection de la vie privée […] si ces Principes australiens de protection de la vie privée s’appliquaient à cet acte ou à cette pratiqueNote de bas de page 65 ». La forme que revêt la responsabilité est explicitée par les APP 8.1 et 8.2. La disposition 8.1 exige essentiellement que l’entité australienne prenne des mesures raisonnables, généralement sous la forme d’accords contractuels, pour garantir qu’une entité à l’étranger traite les données à caractère personnel de manière appropriée. Une entité australienne faisant usage de la disposition 8.1 est tenue responsable de toute atteinte à l’APP commise par l’entité étrangère – que celle-ci soit délibérée ou involontaireNote de bas de page 66.

La situation est autre si le transfert de données a eu lieu suivant la disposition 8.2. L’entité australienne n’est alors pas tenue responsable si elle a transféré des données à l’étranger en ayant des [traduction] « motifs raisonnables de croire » que l’entité à l’étranger est assujettie à une loi ou à un régime contraignant qui offre au moins une protection essentiellement similaire à celle que garantissent les APP. La conformité à la disposition 8.2 exige qu’il existe des mécanismes permettant aux personnes concernées de faire valoir leurs droits. L’entité australienne ne sera pas non plus tenue responsable si les personnes concernées ont donné leur consentement explicite à un transfert de données dépourvu des protections prévues. Ainsi, dans le cadre du régime australien, le « caractère adéquat » ou ses équivalents permettent à l’entité australienne de faire porter la charge de la responsabilité à l’entité à l’étranger.

La législation australienne traite de l’accès à des fins d’application de la loi ou de sécurité nationale par des acteurs étrangers hors Australie différemment du RGPD. Essentiellement, le paragraphe 6A(4) de l’APA prévoit qu’un acte relatif à des renseignements personnels n’enfreint pas les APP s’il est accompli en dehors de l’Australie et s’il est [traduction] « exigé par une loi applicable d’un pays étranger ». Cela signifie que l’entité australienne n’est pas tenue responsable lorsqu’un accès de cette nature a lieu. Dans ses lignes directrices, l’OAIC évoque spécifiquement le Patriot Act des États-UnisNote de bas de page 67. En outre, il n’y a pas d’obligation légale d’aviser les personnes de la possibilité de telles communications, bien que les lignes directrices de l’OAIC laissent entendre qu’une entité [traduction] « pourrait envisager » de fournir un avis sur les risques qu’une telle communication de renseignements puisse être exigée en vertu d’un cadre législatif étranger.

Le régime australien ne définit pas explicitement le flux de données transfrontalier en termes d’« utilisation » ou de « communication » : le mot « disclosure » (traduit aux présentes par « communication ») est utilisé pour tous les transferts transfrontaliers. Le régime s’articule plutôt autour de la responsabilité. Lorsque des données sont destinées à être communiquées au-delà des frontières, la responsabilité incombe soit à l’entité australienne qui transfère les données, soit à la société à l’étranger, selon que la disposition 8.1 ou 8.2 s’applique. Lorsque seuls des accords contractuels exécutoires sont prévus pour protéger les données à caractère personnel, l’entité australienne reste responsable de toute atteinte. Lorsqu’il existe des [traduction] « motifs raisonnables de croire » qu’un niveau de protection essentiellement similaire est assuré pour les données à caractère personnel, ou lorsque l’entité a obtenu un consentement clair, net et précis à un transfert dépourvu des garanties habituelles, la responsabilité de toute atteinte incombera alors à l’organisation à l’étranger. Concrètement, cela correspondrait à une dualité utilisation–communication de type canadien, étant donné que l’« utilisation » s’inscrit dans la relation de mandataire, laquelle est généralement régie par des contrats. La « communication », qui implique une perte de contrôle sur les données par l’entité nationale parce que le destinataire prévoit d’utiliser les données à ses propres fins, nécessitera quant à elle quelque chose de différent. En l’occurrence, ce « quelque chose de différent » consiste en des garanties que l’organisation destinataire est liée par des obligations de protection des données essentiellement similaires que peuvent faire valoir les personnes concernées en Australie.

Le tableau I qui suit résume la façon dont le régime australien attribue la responsabilité.

Tableau I : Responsabilité en ce qui concerne les flux de données transfrontaliers en Australie

Tableau I : Responsabilité en ce qui concerne les flux de données transfrontaliers en Australie

Tableau I : Responsabilité en ce qui concerne les flux de données transfrontaliers en Australie

  • « Communication » de données à caractère personnel à l’extérieur du pays (définition très large pour inclure la plupart des cas de sous-traitance et de flux de données transfrontaliers [à l’exception du stockage infonuagique dans des circonstances particulières])
    • Prendre « les mesures qui sont raisonnables » pour s’assurer que le destinataire à l’étranger n’agit pas d’une manière susceptible de donner lieu à une atteinte aux principes de l'APP (généralement des accords contractuels exécutoires)
      • Une entité australienne est responsable de toutes les atteintes aux APP commises par une entité étrangère.
    • Lorsque l’entité australienne « a des motifs raisonnables de croire » que le destinataire à l’étranger est assujetti à une loi ou à un « régime contraignant » qui offrent un niveau de protection « essentiellement similaire » au niveau de protection offert par les APP.

      Quand l’entité australienne a obtenu un consentement explicite de communiquer des données personnelles au-delà des frontières, sans les protections prévues.
      • Si une entité australienne s’est acquittée de son fardeau d’établir un motif raisonnable, la charge de la responsabilité est portée par l’entité étrangère.
    • Accès par des acteurs étatiques étrangers à l’extérieur de l’Australie à des fins de sécurité nationale
      • Aucune responsabilisation. Il n’y a pas d’obligation légale d’aviser les individus de la possibilité de telles communications.

iii. Nouvelle-Zélande

Le 30 juin 2020, un projet de loi visant à modifier la Privacy Act (NZPA) de la Nouvelle-ZélandeNote de bas de page 68 a reçu la sanction royale, et certaines des modifications prendront effet le 1er décembre 2020. Au nombre des modifications apportées à la NZPA figurent de nouvelles dispositions qui renforceront la protection des flux de données transfrontaliers. Ces dispositions sont décrites dans un document du cabinet comme s’inscrivant dans une série de changements [traduction] « visant à refléter les besoins de l’ère numériqueNote de bas de page 69 ». Selon le même rapport, [traduction] « la confiance du public dans les flux de renseignements transfrontaliers est essentielle pour que la Nouvelle-Zélande puisse participer efficacement aux marchés mondiauxNote de bas de page 70 ».

Avant les modifications, la NZPA contenait des dispositions régissant les données reçues en Nouvelle-Zélande depuis l’étranger et ultérieurement transférées à l’étranger. Ces dispositions restent essentiellement les mêmes dans la version modifiée de la LoiNote de bas de page 71. En vertu de ces dispositions, le commissaire peut interdire le transfert ultérieur en dehors de la Nouvelle-Zélande, de renseignements personnels provenant de l’étranger lorsqu’il est convaincu, pour des motifs raisonnables, que les renseignements ne bénéficieront pas d’une protection comparable à celle fournie par la NZPA dans l’État de destination, et lorsque le transfert [traduction] « serait susceptible d’entraîner une contravention aux principes fondamentaux de la protection des données énoncés dans les Lignes directrices de l’OCDE pour la protection de la vie privée et les flux transfrontières de données de caractère personnelNote de bas de page 72 ». En plus des critères d’interdiction d’un transfert énoncés au paragraphe 114B(1)Note de bas de page 73, le paragraphe 114B(2)Note de bas de page 74 oblige le commissaire à prendre en compte d’autres considérations, notamment la question de savoir si le transfert pourrait avoir des répercussions sur une personne, [traduction] « l’opportunité de faciliter la libre circulation des renseignements entre la Nouvelle-Zélande et d’autres États », de même que toute ligne directrice internationale relative à la libre circulation des données. Ces dispositions ne s’appliquent pas lorsque les transferts de données sont exigés ou autorisés par la loi ou exigés par une convention internationale dont la Nouvelle-Zélande est signataire. Le commissaire est habilité à mener une enquête pour établir si un transfert de données doit être autorisé. Un avis d’interdiction de transfert délivré par le commissaire doit énoncer certains détails, prescrits à l’article 114DNote de bas de page 75, lesquels comprennent les renseignements personnels visés par l’interdiction, et préciser si l’interdiction est absolue ou si elle peut être levée si des mesures précises sont prises par l’auteur du transfert. Toute ordonnance de ce type est susceptible de faire l’objet d’un appel. L’article 114ENote de bas de page 76 permet au commissaire de modifier ou d’annuler une ordonnance d’interdiction de transfert si les circonstances le justifient. La NZPA prévoit des amendes contre toute société qui ne se conforme pas à un avis d’interdiction de transfert, bien que l’amende reste plafonnée à un modeste 10 000 $.

À l’instar de la LPRPDE et de l’APA, la NZPA s’articule autour des actes que sont la collecte, l’utilisation et la communication de renseignements personnelsNote de bas de page 77. Cependant, l’article 11 de la NZPA énonce les circonstances spéciales dans lesquelles les données sont transférées d’une organisation à une autre sans constituer une « communicationNote de bas de page 78 ». Plus précisément, si le destinataire détient des données en tant que mandataire de l’auteur du transfert (p. ex., aux fins de garde ou de traitement), les données sont alors considérées comme étant détenues par l’auteur du transfert et non par le destinataireNote de bas de page 79. Dans de telles circonstances, le transfert de données entre son auteur et le destinataire, ou dans le sens contraire, n’est pas considéré comme une utilisation ni comme une communicationNote de bas de page 80. Selon le commissaire à la protection de la vie privée de la Nouvelle-Zélande, cette disposition s’applique, par exemple, dans le cas d’un fournisseur de services de stockage dans le nuageNote de bas de page 81 ou dans les cas où les données sont transférées à une tierce partie aux fins de traitementNote de bas de page 82. Toutefois, si le destinataire utilise ou communique les renseignements personnels à ses propres fins, les données sont alors considérées comme ayant été communiquées par l’entité de la Nouvelle-Zélande. Ainsi qu’il est précisé dans un mémoire au cabinet, [traduction] « une fois communiqués à l’étranger, les renseignements débordent du champ d’application de la LoiNote de bas de page 83 ». En conséquence, un nouveau principe de protection de la vie privée a été instauré, qui impose à l’organisation de la Nouvelle-Zélande le fardeau de s’assurer que les données bénéficieront d’un niveau de protection acceptable dans le pays de destination du transfert. Selon le mémoire au cabinet, [traduction] « le nouveau principe de protection de la vie privée laissera aux organisations une latitude considérable quant aux mesures qu’elles prendront pour garantir l’acceptabilité des normes de protection des renseignements personnels dans les pays étrangers concernésNote de bas de page 84 ».

La NZPA modifiée contient un nouveau Information Privacy Principle (« Principe de protection des renseignements personnels » [IPP]) 12 intitulé Disclosure of personal information outside New Zealand (« Communication de renseignements personnels à l’extérieur de la Nouvelle-Zélande »), qui traite précisément des flux de données transfrontaliersNote de bas de page 85. Tel qu’il a été mentionné précédemment, l’IPP 12 s’appliquera aux communications de données à l’extérieur du pays. Il ne s’appliquera pas aux données qui sont transférées à un destinataire aux fins de traitement ou de stockage dans la mesure où le destinataire en question n’utilise pas ces données à ses propres fins. L’IPP 12 est rattaché à l’IPP 11, intitulé Limits on disclosure of personal information (« Limites concernant la communication de renseignements personnels »). L’IPP 11 fixe les exigences de base relatives à la communication de renseignements, lesquelles doivent également être respectées dans le cadre des communications transfrontalières. Par exemple, une communication doit toujours être compatible avec les fins pour lesquelles les renseignements ont été recueillis, et la personne concernée doit avoir consenti à la communication. Toutefois, l’IPP 12 permet de s’appuyer uniquement sur l’IPP 11 pour les communications destinées à une [traduction] « personne ou entité étrangère » moyennant certaines conditions. La première condition est que la personne concernée ait expressément consenti à une communication dans des circonstances où le destinataire [traduction] « peut ne pas être tenu de protéger les renseignements d’une manière qui, globalement, offre des garanties comparables à celles prévues par la présente loi ». Une deuxième possibilité est celle où le destinataire, bien qu’étant une société étrangère, exerce des activités en Nouvelle-Zélande, et où l’auteur du transfert a des motifs raisonnables de croire que le destinataire est assujetti à la NZPA.

Dans tous les autres cas, l’alinéa 12(1)c) de l’IPP 12 autorise une communication de données à l’étranger lorsque l’auteur du transfert [traduction] « a des motifs raisonnables de croire » que le destinataire est [traduction] « assujetti à des lois sur la protection des renseignements personnels qui, globalement, offrent des garanties comparables à celles prévues par la présente loiNote de bas de page 86 ». Comme c’est le cas en Australie, cette disposition impose à l’auteur du transfert la responsabilité de s’assurer du caractère adéquat de la législation d’un autre pays. Il n’est pas clair quel degré de diligence est requis par la notion de [traduction] « motifs raisonnables », ni comment les [traduction] « garanties comparables » doivent être évaluées. Il y a lieu de s’attendre à ce que le commissaire fournisse des orientations sur ces questionsNote de bas de page 87.

L’IPP 12 autorisera également les communications lorsque l’organisation néo-zélandaise a des [traduction] « motifs raisonnables » de croire que le destinataire est visé par un [traduction] « régime contraignant prescrit », c’est-à-dire un régime précisé par règlementNote de bas de page 88. Les règlements permettront au ministre responsable de recommander au gouverneur général qu’un régime contraignant soit prescrit, mais il ne pourra le faire que s’il est convaincu [traduction] « que les régimes contraignants obligent une personne ou une entité étrangère à protéger les renseignements personnels d’une manière qui, globalement, offre des garanties comparables » à celles de la LoiNote de bas de page 89. Les nouvelles dispositions laissent également place à la possibilité d’une évaluation du caractère adéquat faite sur mesure pour la Nouvelle-Zélande. L’alinéa 12(1)e) de l’IPP 12 prévoit que le transfert peut avoir lieu si son auteur a des [traduction] « motifs raisonnables » de croire que le destinataire [traduction] « est assujetti aux lois sur la protection des renseignements personnels d’un pays prescritNote de bas de page 90 ». Un pays prescrit est un pays précisé dans les règlements pris en vertu de l’article 214 de la Loi de 2020. Cette disposition exige que le ministre consulte le commissaire lors de l’élaboration des règlements visant à prescrire des pays. Un pays ne peut être prescrit que si le ministre est convaincu qu’il dispose de [traduction] « lois sur la protection des renseignements personnels qui, globalement, offrent des garanties comparables à celles prévues par la présente loiNote de bas de page 91 ». La prescription d’un pays peut également être limitée à un type particulier de personne ou d’entité étrangère à laquelle des renseignements peuvent être communiqués, ou au type de renseignements qui peuvent être communiqués à une personne ou à une entité dans ce paysNote de bas de page 92.

Une autre option consiste pour les parties à conclure un accord, dans la mesure où l’auteur du transfert a des [traduction] « motifs raisonnables » de croire que l’accord offre des [traduction] « garanties comparables » à celles prévues par la LoiNote de bas de page 93. Le commissaire à la protection de la vie privée de la Nouvelle-Zélande prévoit publier des clauses contractuelles types pouvant être utilisées pour les transferts de données transfrontaliersNote de bas de page 94. Ces clauses ne seront pas obligatoires, l’objectif étant plutôt de [traduction] « créer un référentiel pour les aspects pertinents qui devraient être abordés lorsqu’il s’agit de s’assurer qu’il existe des mesures de protection raisonnables de la vie privée quand des renseignements personnels sont communiqués à l’étrangerNote de bas de page 95 ».

À titre exceptionnel, en vertu de l’article 30 de la NZPA 2020, le commissaire peut autoriser un flux de données transfrontalier qui, par ailleurs, contreviendrait à l’IPP 12 dans des circonstances très précises, définies dans la Loi. L’autorisation est subordonnée à la conclusion par le commissaire qu’il existe un intérêt public manifeste à la communication ou que celle-ci présente un avantage manifeste pour la personne concernée, l’emportant sur tout préjudice ou dommage éventuel.

Le paragraphe 12(2) de l’IPP prévoit une exception générale à l’égard des communications transfrontalières de renseignements personnels aux fins d’application de la loi, de procédures judiciaires ou de santé ou sécurité publique dans des circonstances où il est pratiquement impossible pour l’auteur du transfert de se conformer aux exigences énoncées à l’IPP 12(1).

Ces dispositions n’ont pas encore pris effet, et le nouveau régime n’a fait l’objet ni d’une exécution ni d’une interprétation. Dans son rapport sur le projet de loi, le Comité du cabinet chargé de la politique sociale a fait remarquer que les dispositions ont été rédigées de manière à [traduction] « laisser aux organisations une latitude considérable quant aux mesures qu’elles prendront pour garantir l’acceptabilité des normes de protection de la vie privée dans les pays étrangers concernésNote de bas de page 96 ».

Conformément à ce régime, les organisations de la Nouvelle-Zélande qui impartissent le traitement des données à l’étranger restent responsables de ce qu’il advient de ces données (voir le tableau II ci-dessous). Les données seront généralement protégées par les clauses de l’accord d’impartition et l’organisation de la Nouvelle-Zélande peut être tenue responsable au titre de la NZPA. En revanche, lorsque des renseignements sont communiqués à l’extérieur du pays, l’organisation à laquelle les données sont communiquées est considérée comme hors du champ d’application de la NZPA. Par conséquent, l’organisation de la Nouvelle-Zélande a la responsabilité de s’assurer que des [traduction] « mesures de protection comparables » sont en place. Ceci peut inclure la nécessité pour elle d’établir que l’organisation à laquelle les données sont communiquées est assujettie à un régime juridique qui offre des mesures de protection comparables. Elle peut également s’en remettre à un régime contraignant prescrit ou à un accord conclu entre les parties. Si l’organisation de la Nouvelle-Zélande ne prend pas de mesures raisonnables pour protéger les renseignements, comme l’exige la NZPA, elle sera tenue responsable de toute atteinte commise par l’organisation à l’étranger. Toutefois, si des mesures raisonnables ont été prises, elle sera exonérée de toute responsabilitéNote de bas de page 97.

Bien qu’il soit à prévoir que le nouveau régime augmentera les coûts de la conformité pour les organisations de la Nouvelle-Zélande, le Comité du cabinet chargé de la politique sociale a fait remarquer que ces coûts [traduction] « sont allégés par les exceptions prévues au principe et par la capacité du commissaire à publier une liste des cadres acceptables à l’étrangerNote de bas de page 98 ». Par ailleurs, les coûts supplémentaires [traduction] « se justifient puisqu’il s’agit de renforcer les mesures de protection en faveur des individusNote de bas de page 99 ».

Tableau II : Attribution de la responsabilité – Nouvelle-Zélande

Tableau II : Attribution de la responsabilité – Nouvelle-Zélande

Tableau II : Attribution de la responsabilité – Nouvelle-Zélande

  • Ententes d’impartition, y compris le stockage dans le nuage
    • Relation de mandataire
    • Protections mises en place par des ententes contractuelles
    • L’entité néo-zélandaise est responsable
  • Communications (lorsque les données sont utilisées à des fins propres au destinataire)
    • L'organisation néo-zélandaise doit avoir des « motifs raisonnables » de croire que le destinataire est assujetti à des lois sur la protection des renseignements personnels qui offrent des « garanties comparables » ou un régime contraignant prescrit, ou est assujetti aux lois sur la protection des renseignements personnels d’un « pays prescrit ».
    • Ou les dispositions contractuelles dont l’entité néo-zélandaise a des « motifs raisonnables » de croire qu’elles offriront des « garanties comparables ».
    • Le pays de destination fait partie d’une liste de pays « prescrits » qui offrent des « garanties comparables ».
    • L’entité néo-zélandaise est responsable de mettre en place des garanties appropriées; une fois en place, la responsabilité est transférée à l’entité étrangère.
  • Données reçues d’un autre pays que l’entité néo-zélandaise souhaite transférer par la suite à un destinataire à l’étranger
    • Le commissaire peut interdire le transfert ultérieur lorsqu’il a des motifs raisonnables de croire que les renseignements ne bénéficieront pas d’une protection comparable à celle fournie par le NZPA dans l’État de destination.

iv. Québec

Le projet de loi 64Note de bas de page 100 du Québec propose des dispositions destinées en particulier à modifier la loi sur la protection des données dans le secteur privéNote de bas de page 101 de cette province en ce qui concerne les flux de données transfrontaliers. Dans le cas du projet de loi 64, les frontières en question sont celles de la province de Québec. Cela signifie que les nouvelles dispositions engloberont les flux de données partant du Québec vers les autres provinces du Canada (et aussi vers l’extérieur du pays).

Si le projet de loi 64 est adopté, la nouvelle mouture de l’article 17Note de bas de page 102 s’appliquera lorsqu’une entité québécoise « communique » un renseignement à l’extérieur des frontières provinciales. Bien que cette nouvelle disposition semble se concentrer sur les « communications » de données, l’article 17 prévoit également qu’elle s’appliquera lorsqu’une entité québécoise « confie à une personne ou à un organisme à l’extérieur du Québec la tâche de recueillir, d’utiliser, de communiquer ou de conserver pour son compte un tel renseignement ». Le champ d’application de cette disposition est potentiellement très vaste. Contrairement à la Nouvelle-Zélande, où les dispositions transfrontalières ne s’appliquent qu’en dehors de la relation de mandataire, l’article 17 semble inclure précisément la relation de mandataire lorsque le destinataire des données se trouve à l’extérieur du QuébecNote de bas de page 103. En outre, non seulement il semble inclure le stockage dans le nuage de données à l’étranger, mais il pourrait aussi englober d’autres utilisations de services numériques. Par exemple, si un service de police du Québec passe un contrat avec un fournisseur américain de services de reconnaissance faciale qui utilise la base de données d’images du fournisseur située aux États-Unis, le service de police confie-t-il à cette société la tâche de recueillir, d’utiliser et de communiquer des renseignements pour son compte? Si tel est le cas, l’organisation ne pourrait pas utiliser ce service à moins qu’il existe une entente qui satisfait aux exigences de l’article 17.

Au titre du projet de loi 64, un flux de données transfrontalier n’est conforme à la loi que si certains facteurs sont respectés, notamment la prise en compte du caractère sensible du renseignement personnel, la finalité de son utilisation, les mesures de protection dont le renseignement bénéficie et le régime juridique applicable dans l’État de destination du transfertNote de bas de page 104. La collecte, l’utilisation ou la communication ne peuvent avoir lieu que si l’évaluation de ces facteurs permet d’établir que le renseignement personnel bénéficierait « d’une protection équivalant à celle prévue à la présente loiNote de bas de page 105 ». Il doit de surcroît exister une entente écrite visant les activités liées aux données qui tient compte des résultats de l’évaluation et qui, le cas échéant, contient « des modalités convenues dans le but d’atténuer les risques identifiés dans le cadre de cette évaluationNote de bas de page 106 ». Le projet de loi ne laisse pas penser que les évaluations doivent être approuvées par la Commission d’accès à l’information ou par un autre organisme avant que les données ne puissent être transférées au-delà des frontières ni que les évaluations doivent être déposées auprès de la Commission.

Selon le paragraphe 17(4) proposé, une organisation est tenue d’évaluer « le régime juridique applicable dans l’État où ce renseignement serait communiqué, notamment son degré d’équivalence par rapport aux principes de protection des renseignements personnels applicables au Québec ». C’est là une tâche ambitieuse pour une organisation, qui pourrait avoir à demander des avis juridiques sur le droit étranger. L’article 17.1 proposé permet d’entrevoir la participation du gouvernement du Québec à l’évaluation du caractère adéquat des régimes étrangers. L’article en question prévoit que le ministre publie dans la Gazette officielle du Québec « une liste d’États dont le régime juridique encadrant les renseignements personnels équivaut aux principes de protection des renseignements personnels applicables au QuébecNote de bas de page 107 ».

Le système proposé par le projet de loi 64 (voir le tableau III ci-dessous) semble reposer sur une décision en ce qui concerne le caractère équivalent qui est soit rendue par le gouvernement, soit fondée sur des évaluations effectuées par les organisations qui souhaitent transférer des données au-delà des frontières. Contrairement à la Nouvelle-Zélande, aucune distinction n’est faite entre les activités de traitement où il existe une relation de mandataire et les activités qui sont assimilées à des communications. Contrairement aux régimes de l’UE, de l’Australie ou de la Nouvelle-Zélande, aucune autre option (comme, à titre d’exemple, des clauses contractuelles types, des règles d’entreprise contraignantes ou des contrats) n’est proposée en vue de garantir un niveau de protection équivalent, même là où une telle protection n’est pas garantie par l’État. Cela dit, l’article 17 semble offrir une certaine marge de manœuvre dans la mesure où les accords écrits peuvent contenir « des modalités convenues dans le but d’atténuer les risques identifiés dans le cadre de cette évaluation ».

Tableau III – Survol du cadre du Québec

Tableau III – Survol du cadre du Québec

Tableau III – Survol du cadre du Québec

  • Toute communication de renseignements personnels en dehors du Québec et chaque fois qu’une entité confie à une personne ou à un organisme à l'extérieur du Québec la tâche de recueillir, d'utiliser, de communiquer ou de conserver pour son compte un tel renseignement.
    • Les entités doivent entreprendre des évaluations :
      • du caractère sensible du RP
      • de la finalité de son utilisation
      • du régime juridique applicable dans la juridiction de destination du transfert.
      Le transfert ne peut avoir lieu que si le renseignement personnel bénéficie « d’une protection équivalant à celle prévue à la présente loi ».

      L’entité doit conclure un accord écrit régissant le transfert et, le cas échéant, dont les termes atténueront les risques identifiés dans l’évaluation.
      • Il n’est pas clair qui a la responsabilité
    • Le gouvernement du Québec peut évaluer le caractère adéquat des régimes étrangers et publier une liste d’États dont le régime juridique encadrant les renseignements personnels équivaut à celui offert au Québec.

v. Convention 108+

La Convention pour la protection des personnes à l’égard du traitement des données à caractère personnelNote de bas de page 108 (Convention 108) est un traité du Conseil de l’Europe qui a été ouvert à la signature en 1981. Il s’agit du premier instrument international juridique contraignant dans le domaine de la protection des données. Il traite de la protection des données dans les secteurs privé et public. Il est entré en vigueur en 1985, ayant été ratifié par cinq États. Depuis, 47 États européens ont signé et ratifié la Convention. À l’heure actuelle, huit pays hors Europe l’ont également ratifiéNote de bas de page 109. Le Canada a le statut d’observateur auprès du Conseil de l’Europe en ce qui concerne ce traitéNote de bas de page 110. La Convention 108+ a été qualifiée de « seul instrument multilatéral juridiquement contraignant sur la protection de la vie privée et des données à caractère personnel ouvert à tous les pays du mondeNote de bas de page 111 ».

En 2018, la Convention 108 a été modifiée et est devenue la Convention modernisée pour la protection des personnes à l’égard du traitement des données à caractère personnelNote de bas de page 112 (Convention 108+). À ce jour, la version actuelle de la Convention a été signée et ratifiée par sept pays membres du Conseil de l’Europe et signée par 35 autres, y compris trois pays hors Europe. La Convention 108+ a ceci de particulier qu’elle actualise les règles entourant les flux de données transfrontaliersNote de bas de page 113. Selon Graham Greenleaf, il était peu probable que les règles de la Convention 108 atteignent le seuil du caractère adéquat fixé par le RGPD, mais la Convention 108+ améliore les normes de protection des données, de manière à ce qu’elles soient plus en phase avec le RGPDNote de bas de page 114. Greenleaf souligne qu’il est mentionné dans le considérant 105 du RGPD que l’adhésion à la Convention 108 est un facteur à prendre en considération dans l’évaluation du caractère adéquatNote de bas de page 115, bien qu’il ne s’agisse pas là d’un facteur déterminant. Les exigences accrues de la Convention 108+ augmentent la probabilité que l’adhésion à cette convention puisse contribuer dans une large mesure à une décision favorable lors de l’évaluation du caractère adéquat au sens du RGPD. Selon lui, [traduction] « l’adhésion à la Convention 108+, conjuguée à une application correcte, devrait permettre de garantir que la plupart des exigences du RGPD sont rempliesNote de bas de page 116 ».

Le respect des exigences en matière de caractère adéquat du RGPD est un élément clé pour garantir la libre circulation des données entre le Canada et les pays de l’UE, car il s’agit de l’option la plus simple et la plus efficace pour faciliter les flux de données transfrontaliers. Fondamentalement, l’article 14 de la Convention 108+ prévoit que les données peuvent circuler librement entre deux pays qui sont parties à la Convention 108+ à moins qu’il « [n’]existe un risque réel et sérieux que le transfert à une autre Partie, ou de cette autre Partie à une non-Partie, conduise à contourner les dispositions de la ConventionNote de bas de page 117 ». Les transferts peuvent également être autorisés si une partie « est tenue de respecter des règles de protection harmonisées communes à des États appartenant à une organisation internationale régionaleNote de bas de page 118 ». De toute évidence, ceci engloberait les États assujettis au RGPD. Pour les pays hors de l’UE, une décision favorable en ce qui concerne le caractère adéquat au sens du RGPD s’avère avantageuse même s’ils adhèrent déjà à la Convention 108+, puisque la Convention 108+ ne garantit pas une décision favorable en ce qui concerne le caractère adéquat en vertu du RGPD et qu’elle prévoit des exceptions au principe de la libre circulation des données entre les parties si un « risque sérieuxNote de bas de page 119 » est évoqué. Toutefois, comme le souligne Greenleaf, une décision favorable en ce qui concerne le caractère adéquat sera considérablement facilitée par l’adhésion à la Convention 108+. Le cadre que propose la Convention 108+ permet aux pays qui y adhèrent de conclure au caractère adéquat des autres États qui sont parties au traité.

Lorsque le destinataire des données ne relève pas de la compétence d’un État partie à la Convention 108+, le paragraphe 14(2) prévoit alors que le transfert ne peut avoir lieu que si « un niveau approprié de protection fondée sur les dispositions de la présente Convention » est garanti. Ceci peut passer par une évaluation du caractère adéquat des règles de droit de l’État où le destinataire est situéNote de bas de page 120; par des dispositions contractuelles ad hoc ou par des « [garanties] standardisées agréées, établies par des instruments juridiquement contraignants et opposablesNote de bas de page 121 » (CCT) ou par le consentement de la personne concernée par le transfert qui aura préalablement été explicitement informée des risques et de l’absence de garanties appropriéesNote de bas de page 122. Selon le Conseil de l’Europe, les transferts de données doivent être évalués selon ce qui suit :

Plusieurs éléments du transfert doivent être examinés et en particulier : la nature des données, les finalités et la durée des traitements pour lesquels les données sont transférées, le respect de la prééminence du droit par le pays de destination finale, les règles de droit, générales et sectorielles applicables dans l’État ou l’organisation en question et les règles professionnelles et de sécurité qui y sont respectéesNote de bas de page 123.

Un transfert peut également avoir lieu en l’absence de garanties appropriées si des « intérêts spécifiques de la personne concernée le nécessitent dans un cas particulier » ou s’il existe d’importants intérêts prépondérants, notamment l’intérêt public, et que le transfert « constitue une mesure nécessaire et proportionnée dans une société démocratiqueNote de bas de page 124 ».

Il est précisé dans la Convention 108+ que l’autorité de contrôle compétente doit « [obtenir] toute information pertinente relative aux transferts de données » prévue par les dispositions contractuelles, qu’il s’agisse de garanties ad hoc ou de garanties standardisées agrééesNote de bas de page 125. L’autorité de contrôle devrait aussi pouvoir « exiger de la personne qui transfère les données qu’elle démontre l’effectivité des garanties prises ou l’existence d’intérêts légitimes prépondérantsNote de bas de page 126 ». Par ailleurs, l’autorité de contrôle devrait disposer du pouvoir d’interdire ou de suspendre des transferts ou d’assortir les transferts de conditions pour « protéger les droits et les libertés fondamentales des personnes concernéesNote de bas de page 127 ». Ces pouvoirs de surveillance sont importants, surtout si des modifications sont apportées à la LPRPDE en vue d’une adhésion, à terme, à la Convention 108+.

La Convention 108+ offre une option intéressante pour le développement d’un consensus international autour des normes de protection des données qui a du muscle (par opposition aux orientations plus générales telles que les principes de l’OCDE ou de l’APEC). Au Canada, Colin Bennett a fait observer que la Convention 108+ pourrait apporter une solution partielle aux défis que le Canada doit relever en matière de transferts de données transfrontaliers, puisqu’elle pourrait étayer une décision favorable en ce qui concerne le caractère adéquat auprès des pays visés par le RGPD ainsi qu’auprès des autres signatairesNote de bas de page 128. Greenleaf est également en faveur de l’adhésion à la Convention 108+ comme moyen d’établir un consensus mondial autour de la protection des données. Il la décrit comme [traduction] « la seule perspective réaliste à long terme d’un accord mondial sur la protection des donnéesNote de bas de page 129 ».

Toutefois, si l’adhésion à la Convention 108+ peut présenter certains avantages à long terme pour le Canada, elle ne constitue pas une solution à court terme. La LPRPDE et la Loi sur la protection des renseignements personnelsNote de bas de page 130 devraient être modifiées à la fois aux fins de conformité aux exigences en matière de caractère adéquat du RGPD et d’adhésion à la Convention 108+. Le ralliement des provinces serait également nécessaire, car des modifications aux lois provinciales sur la protection des données seraient très probablement aussi nécessaires. Un degré considérable de coopération et de coordination fédérale-provinciale pourrait être nécessaire, quoique la situation n’est pas si différente de ce qui sera nécessaire pour obtenir une décision favorable en ce qui concerne le caractère adéquat dans le cadre du RGPD. Dans cette optique, la préparation à une évaluation du caractère adéquat en vertu du RGPD pourrait se faire en parallèle avec la mise en place des mesures nécessaires à l’adhésion à la Convention 108+. Le fait d’être un État partie à cette convention faciliterait l’élaboration d’une liste de pays auxquels les entreprises canadiennes peuvent communiquer des données.

Date de modification :