Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Document de discussion supplémentaire - Consultation sur la circulation transfrontalière des données

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Archivée

Cette page Web a été archivée dans le Web.

Avis

Veuillez noter que ce document a été remplacé par Consultations sur les transferts aux fins de traitement - Document de discussion révisé. Le texte apparaissant sur cette page est fourni à titre de référence seulement et a été archivé pour éviter toute confusion.

Le 9 avril 2019, le Commissariat à la protection de la vie privée du Canada (Commissariat) a lancé une consultation sur la circulation transfrontalière des données en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Des intervenants nous ont indiqué qu’il serait utile d’obtenir plus d’information sur les raisons qui motivent le réexamen de notre position sur cette question. Afin de favoriser la consultation, nous avons préparé ce document de discussion supplémentaire pour expliquer les raisons de ce changement. Nous posons aussi quelques questions supplémentaires pour lesquelles nous aimerions avoir une rétroaction.

Le contexte de la consultation

Dans la politique de 2009 du Commissariat sur le transfert transfrontalier de renseignements personnels (« la politique de 2009 »), le Commissariat énonce notamment deux principes :

  1. Les transferts transfrontaliers pour les fins de traitement sont régis par le principe de responsabilité. « Le premier principe précise que la responsabilité de la protection des renseignements personnels incombe à l'organisation qui en a la gestion. Le principe 4.1.3 de l'annexe 1 de la LPRPDE reconnaît expressément que des renseignements personnels peuvent être transférés à une tierce partie aux fins de traitement. Il oblige aussi les organisations à fournir, par voie contractuelle ou autre, "un degré comparable de protection aux renseignements qui sont en cours de traitement par une tierce partie". »
  2. « Le "transfert" constitue une utilisation de l'information par l'organisation, à ne pas confondre avec une communication. » Puis : « Si les renseignements sont utilisés aux fins auxquelles ils ont été recueillis, aucun consentement supplémentaire n'est requis pour procéder au transfert. »

Notre changement de position repose ultimement sur l’obligation que nous avons d'appuyer notre politique sur une interprétation correcte de la loi actuelle. Or, dans le contexte de notre enquête concernant Equifax, il nous est apparu que l'interprétation selon laquelle un transfert (soit le fait pour une organisation responsable de confier des renseignements personnels à une tierce partie aux fins de traitement) n’est pas une « communication » est discutable et probablement incorrecte d’un point de vue juridique. Selon nous, le transfert de renseignements personnels d’une organisation à une autre correspond clairement à la définition généralement connue des mots communication et communiquer : « action de communiquer avec quelqu’un, d’être en relation avec autrui » (Le Larousse); « Faire connaître quelque chose à quelqu’un. … confier » (Le Petit Robert)Note de bas de page 1. C’est aussi le sens du mot “communication” dans la Loi sur la protection des renseignements personnels, l’autre loi principale du Parlement du Canada en matière de protection des donnéesNote de bas de page 2.

Donc, il nous semble que l’activité en question est à tout le moins une communication entre l'organisation responsable et la tierce partie (et possiblement aussi une utilisation pour l’organisation responsable). Conclure que l'activité n'est pas une communication nous apparaît, avec égards, comme une interprétation non conforme à la LPRPDE.

En conséquence, une organisation nous semble tenue, en vertu du principe 4.3, d’obtenir le consentement pour un transfert à une tierce partie aux fins de traitement, y compris les transferts transfrontaliers.

Par ailleurs, selon le texte de loi, il est clair que le principe de responsabilité constitue une mesure de protection importante des renseignements personnels qui font l'objet d'un transfert transfrontalier.  C'est l'un des principes applicables mais ce n'est pas le seul. Selon nous, le principe du consentement s'applique également, de même que le principe de la transparence, entre autres. Aucun principe n'écarte l'application des autres.

Ceci étant dit, la politique de 2009 conseille déjà aux organisations de faire preuve de transparence par rapport aux transferts transfrontaliers: « Les organisations doivent faire preuve de transparence au sujet de leurs pratiques de traitement des renseignements personnels. Elles doivent notamment informer les consommateurs que leurs renseignements personnels pourraient être envoyés dans un autre pays aux fins de traitement, et que les tribunaux, organismes d'application de la loi et agences de sécurité nationale de ce pays pourraient y accéder. » La politique de 2009 note que cet avis devrait être donné idéalement au moment de la collecte des renseignements

Le changement dans la position du Commissariat obligerait les organisations à souligner les éléments qui faisaient auparavant partie de leurs obligations de transparence et s’assurer que les personnes concernées soient avisées de ces éléments au moment d’obtenir leur consentement pour les transferts transfrontaliers.

Questions aux intervenants

  1. À votre avis, est-ce que le principe du consentement s'applique aux transferts de renseignements personnels aux fins de traitement, y compris les transferts transfrontaliers? Sinon, en quoi le raisonnement ci-dessus est-il incorrect?
  2. Est-ce que le principe 4.1.3 a un effet sur l'interprétation ou la portée du principe du consentement? Si oui, quels sont les motifs juridiques qui appuient cette interprétation?
  3. Quelle devrait être la portée des exigences de la loi en matière de consentement, à la lumière d’une part de l’objectif de la Partie 1 de la LPRPDE tel qu’énoncé à l’article 3, d’autre part du nouvel article 6.1 de la LPRPDE (et de son renvoi à la nature, aux fins et aux conséquences des communications), et enfin des lignes directrices du CPVP pour l’obtention d’un consentement valable, en vigueur depuis le 1er janvier 2019? Plus particulièrement:
    1. Dans quelles circonstances le consentement devrait-il être implicite ou explicite?
    2. Quel devrait être le niveau de détails des renseignements à être divulgués à la personne visée? Êtes-vous d’accord que le consentement devrait comporter au moins les éléments suivants: (i) les fins pour lesquelles l’organisation responsable désire utiliser les renseignements; (ii) le fait qu’elle fait appel à des tierces parties aux fins de traitement mais qu’elle fournit un degré comparable de protection; (iii) lorsque les tierces parties sont à l’extérieur du Canada, les pays où seront envoyés les renseignements personnels; (iv) le risque que les tribunaux, organismes d’application de la loi et agences de sécurité nationale de ces pays pourraient accéder aux renseignements personnels?
    3. Est-ce l’avis à la personne visée devrait nommer les tierces parties?
    4. L’avis devrait-il comporter d’autres éléments d’information?
  4. Puisque la politique de 2009 exige déjà qu’un transfert transfrontalier soit divulgué aux consommateurs, de même que le risque que les autorités locales aient accès aux renseignements, et ce idéalement au moment de la collecte, pourquoi, au niveau pratique, le passage de ces éléments au niveau d'exigence juridique d'un consentement valable aurait-il un impact significatif pour les organisations? Si oui, comment?
  5. Si les éléments énoncés ci-haut dans la question 3(b) devaient être exigés comme conditions d'un consentement valable en vertu d'un nouvel énoncé de principe du CPVP, quelles mesures devraient prendre le Commissariat pour prendre en compte le besoin des organisations de recueillir, d’utiliser et de communiquer des renseignements personnels?
  6. Quels éléments devraient être divulgués quand une organisation obtient le consentement pour un transfert aux fins de traitement qui n’est pas un transfert transfrontalier?
  7. Est-ce que vous êtes d'avis que l’interprétation proposée de la LPRPDE est conforme aux obligations du Canada en vertu de ses ententes commerciales? Si non, pourquoi le résultat serait-il différent de la situation actuelle, où les éléments d’information mentionnés à la question 3(b) doivent être divulgués en vertu du principe de la transparence?
  8. Tout autre commentaire que vous jugerez pertinent.
Date de modification :