Sélection de la langue

Consultation sur la circulation transfrontalière des données

Avis

Le 23 avril 2019, le Commissariat a émis un document de discussion supplémentaire sur sa consultation sur la circulation transfrontalière des données, annoncée ci-dessous le 9 avril 2019. La date limite de la période de soumission de commentaires a été prolongée jusqu'au 28 juin 2019.

Introduction

Le Commissariat à la protection de la vie privée du Canada (Commissariat) revoit sa position de principe relative à la circulation transfrontalière des données en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Cette circulation comprend non seulement les transferts transfrontaliers de données entre ceux qui en ont la gestion (les responsables) et ceux qui les traitent, mais aussi d’autres communications transfrontalières de renseignements personnels entre des organisations.

Le Commissariat s’engage à consulter les intervenants avant d’apporter des modifications à ses positions de principe. Le présent document vise à décrire l’évolution de l’approche du Commissariat à l’égard de la circulation transfrontalière des données, notamment les transferts transfrontaliers de données aux fins de traitement, et à solliciter la rétroaction des parties intéressées.

Survol

En vertu de la LPRPDE, il faut obtenir un consentement avant toute collecte, utilisation ou communication de renseignements personnels, sauf exception prévue expressément par la loi. Lorsqu’il n’y a pas d’exception, le Commissariat est d’avis qu’il faut obtenir un consentement avant d’effectuer les transferts de données aux fins de traitement, notamment les transferts transfrontaliers, car ils comprennent la communication de renseignements personnels d’une organisation à une autre. Bien évidemment, il faut aussi obtenir le consentement pour la communication de renseignements, y compris la communication transfrontalière, entre des organisations qui n’ont pas une relation de responsable des données/sous-traitant .

Pour que le consentement soit valable, les personnes doivent recevoir des renseignements clairs sur toute communication de leurs renseignements à un tiers, y compris lorsque ce tiers se trouve dans un autre pays, ainsi que sur les risques connexes. Au moment de déterminer la nature du consentement (explicite ou implicite), les entreprises devront tenir compte de la sensibilité des renseignements et des attentes raisonnables des personnes. Nous sommes d’avis que les personnes s’attendent généralement à savoir si et où leurs renseignements personnels peuvent être transférés ou autrement communiqués à une organisation à l’extérieur du Canada.

Les organisations qui ont obtenu le consentement pour effectuer un transfert transfrontalier des renseignements personnels d’une personne dans le contexte du traitement demeureront généralement responsables des renseignements après ce transfert. Comme l’indique le principe de responsabilité (4.1) de la LPRPDE, le responsable du traitement fournira par voie contractuelle ou autre, un degré comparable de protection aux renseignements qui sont en cours de traitement.  

Les lignes directrices publiées par le Commissariat en 2009 indiquent qu’il existe différentes approches en matière de protection des renseignements personnels transférés aux fins de traitement. De plus, selon ces lignes directrices, « en adoptant la LPRPDE, le Canada a opté pour une approche non fondée sur le concept de “protection suffisante” et il a choisi une approche adaptée à chaque organisation, plutôt qu’à chaque État (à la différence de l’Union européenne) ».

Bien qu’il est vrai que le Canada ne dispose pas d’un régime fondé sur le concept de protection suffisante et que la LPRPDE réglemente en partie le traitement transfrontalier des données en vertu du principe de responsabilité, aucune disposition de la LPRPDE n’exempte les transferts de données, au Canada ou à l’étranger, des exigences relatives au consentement. Par conséquent, conformément à la loi, le consentement est requis. Nous sommes donc d’avis que la circulation transfrontalière des données n’est pas seulement l’affaire des États (en vertu d’accords commerciaux et de lois) et des organisations (en vertu d’accords privés); il est normal que les personnes concernées aient aussi leur mot à dire quant à la communication de leurs renseignements personnels à l’extérieur du Canada et, en vertu de la LPRPDE, elles ont ce droit.

Les organisations ont la liberté de concevoir leurs activités de manière à y intégrer la circulation transfrontalière des renseignements personnels, mais elles doivent respecter le droit des personnes de faire ce choix pour elles-mêmes dans le cadre du processus d’obtention du consentement. En d’autres termes, les personnes ne peuvent obliger une organisation à traiter les renseignements personnels de ses clients au Canada (ce serait de la localisation des données), mais les organisations ne peuvent demander aux personnes d’accepter que leurs renseignements personnels franchissent les frontières sans que ces dernières y consentent de manière éclairée.  

Nous avons examiné les répercussions de notre position dans le contexte du commerce transfrontalier ainsi que le rôle important que la circulation de l’information joue en facilitant le commerce. À notre avis, cette position est conforme aux obligations commerciales internationales du Canada.

Points clés

Nous invitons les intervenants à examiner les points clés présentés ci-dessous qui décrivent davantage notre position.

Consentement

Une entreprise qui communique des renseignements personnels au-delà des frontières, y compris aux fins de traitement, doit obtenir le consentement. Les personnes doivent avoir la possibilité d’exercer leur droit légal de consentir à des communications transfrontalières, qu’il s’agisse de transferts aux fins de traitement ou d’autres types de communications. Lorsque des renseignements sont communiqués entre organisations, en l’absence d’une exception prévue par la LPRPDE, le consentement est requis. 

En vertu de la LPRPDE, la nature du consentement requis dépend de la sensibilité des renseignements en question et des attentes raisonnables des personnes selon les circonstances. L’analyse contextuelle de la sensibilité et des attentes raisonnables repose entre autres sur le risque de préjudice auquel la personne est exposée. Lorsqu’il y a un risque important qu’un risque résiduel de préjudice se matérialisera et sera important, le consentement devrait être explicite et non implicite.

Le Commissariat est d’avis que les personnes s’attendent généralement à être avisées si leurs renseignements devaient être communiqués à l’extérieur du Canada et être assujettis au régime juridique d’un autre pays. La décision d’établir une relation d’affaires avec une organisation ou de renoncer à un produit ou à un service après avoir pris connaissance de cette information devrait être laissée au choix des personnes.

Les personnes doivent être informées des options qui s’offrent à elles si elles ne souhaitent pas que leurs renseignements personnels soient communiqués au-delà des frontières. Comme nous l’indiquons dans nos lignes directrices sur le consentement, les organisations doivent offrir à l’intéressé un choix clair et facilement accessible en ce qui concerne la collecte, l’utilisation ou la communication qui n’est pas nécessaire pour fournir le produit ou le service. Selon les circonstances, un transfert pour traitement peut très bien faire partie intégrante de la prestation d’un service et, dans de tels cas, les organisations ne sont pas tenues d’offrir une solution de rechange. Néanmoins, en obtenant des renseignements clairs et adéquats sur la nature, l’objet et les conséquences de toute communication transfrontalière de leurs renseignements personnels, les personnes pourront prendre une décision éclairée quant à leur consentement à la communication et au choix de faire affaire ou non avec l’organisation.

Responsabilité

Lorsqu’une entreprise communique des renseignements personnels à un tiers aux fins de traitement, elle n’est pas libérée de ses responsabilités associées à la gestion de ces renseignements. Cela dit, les relations d’affaires peuvent être très complexes et il faut décider quelle organisation est responsable de la « gestion » des renseignements personnels au cas par cas, en tenant compte de facteurs tels que les ententes contractuelles pertinentes, les réalités commerciales, ainsi que l’évolution des modèles commerciaux et des rôles. Par exemple, si un sous-traitant utilise ou communique ces mêmes renseignements à d’autres fins, il ne traite plus simplement les renseignements personnels pour le compte d’une autre organisation et il agit alors comme une organisation « qui a la gestion » (qui est responsable) de ces renseignements.

Une organisation qui traite des renseignements personnels au nom d’une autre organisation peut encore avoir des obligations en vertu de la LPRPDE à l’égard des renseignements personnels en sa possession ou sous sa garde, à titre d’organisation qui recueille, utilise ou communique des renseignements personnels dans le cadre de ses activités commerciales.

Consultations

Le Commissariat veut modifier ses documents d’orientation portant sur les communications entre organisations à des fins de traitement. Nous invitons les parties intéressées à nous faire part de leurs commentaires sur la position prise dans le présent document, ainsi que sur les domaines précis pour lesquels des orientations connexes seraient utiles.

Plusieurs documents d’orientation publiés sur notre site Web devront être modifiés. Entre-temps, ces documents indiqueront que le contenu n’est pas actuellement à jour.

Document de discussion supplémentaire

Nous avons préparé un document de discussion supplémentaire pour expliquer les raisons qui motivent le réexamen de notre position à ce sujet. Nous posons aussi quelques questions supplémentaires pour lesquelles nous aimerions avoir une rétroaction.

Procédures et critères concernant les commentaires

  1. Veuillez envoyer votre réponse à l’adresse OPC-CPVPconsult2@priv.gc.ca d’ici le 28 juin 2019 (mis à jour).
  2. Vos commentaires peuvent être envoyés sous forme de courriel, de document Word ou de document PDF.
  3. Veuillez indiquer votre nom, vos coordonnées et la catégorie qui vous décrit le mieux (particulier, organisation, universitaire, groupe de défense des droits, spécialiste des technologies de l’information, éducateur, etc.).
  4. Si un commentaire contrevient aux lois canadiennes ou à nos Politiques relatives aux commentaires, il ne sera pas considéré dans la portée de cet appel de commentaires. Il sera détruit ou traité conformément aux pouvoirs qui nous sont conférés par la Loi sur la protection des renseignements personnels.

Un courriel de confirmation sera envoyé si vous avez donné votre adresse de courriel conformément aux conditions susmentionnées.

Veuillez prendre note que le Commissariat n’offre pas de compensation financière pour les commentaires liés à cet appel de commentaires.

Vos commentaires et la protection de la vie privée

Vos commentaires ne seront pas publiés sur le site Web du Commissariat. Cependant, un sommaire général de tous les commentaires pourrait y être publié. Si vous publiez vos commentaires en ligne, veuillez nous avertir et nous fournir un lien. Si vous soumettez des travaux déjà publiés pour accompagner vos commentaires, veuillez inclure les références et les liens appropriés.

Le Commissariat à la protection de la vie privée du Canada est assujetti à la Loi sur l’accès à l’information et à la Loi sur la protection des renseignements personnels. La Loi sur l’accès à l’information accorde au public le droit d’accéder aux documents gouvernementaux. La Loi sur la protection des renseignements personnels donne aux personnes un droit d’accès aux renseignements personnels les concernant et protège ces renseignements d’une communication non autorisée. Certains des renseignements que vous fournissez dans le cadre de ce processus peuvent être accessibles en vertu de la Loi sur l’accès à l’information; cela ne comprend pas les renseignements personnels au sens de la Loi sur la protection des renseignements personnels.

Si vous décidez de participer à cette consultation, les renseignements personnels que vous fournissez directement au Commissariat seront versés dans le Fichier de renseignements personnels POU 938 (Activités de sensibilisation). Veuillez également consulter la Politique sur la protection des renseignements personnels du Commissariat, les modalités connexes ainsi que nos Politiques relatives aux commentaires pour savoir comment nous traitons vos renseignements. Les renseignements personnels fournis seront utilisés et pourraient être communiqués aux fins auxquelles ils ont été recueillis ou rassemblés par le Commissariat, ou pour un usage compatible avec ces fins.

Les commentaires ne seront pas traités comme une plainte relative à la protection de la vie privée aux termes de la Loi sur la protection des renseignements personnels ou de la LPRPDE. Pour obtenir plus de renseignements sur le dépôt d’une plainte en vertu de l’une ou l’autre de ces lois, veuillez consulter la page Déposer une plainte officielle concernant la protection de la vie privée.

Pour communiquer avec nous

Si vous avez des questions sur la consultation, n’hésitez pas à les envoyer à l’adresse OPC-CPVPconsult2@priv.gc.ca

Si vous avez une question qui ne concerne pas cette consultation, veuillez utiliser notre formulaire de demande d’information en ligne ou communiquer avec notre Centre d’information.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :