Mémoire reçu dans le cadre de la consultation sur le consentement en vertu de la LPRPDE (TransUnion)

TransUnion

Octobre 2016

Remarque : Ce document a été présenté par les auteurs ou auteures au Commissariat à la protection de la vie privée du Canada dans le cadre de la consultation sur le consentement en vertu de la LPRPDE.

Avertissement : Les opinions exprimées dans ce document sont celles des auteurs ou auteures et ne reflètent pas nécessairement celles du Commissariat à la protection de la vie privée du Canada. Comme ce mémoire a été fourni par une entité non assujettie à la Loi sur les langues officielles, il a été traduit de sa langue d’origine par le Commissariat à titre indicatif. En cas de divergence, veuillez consulter la version anglaise. Pour plus d’information sur la politique du Commissariat sur l’offre de contenu dans les deux langues officielles, vous pouvez consulter la page Conditions d’utilisation.


Madame, Monsieur,

Nous vous prions d’accepter le présent document à titre de mémoire écrit présenté par Trans Union of Canada Inc. (« TransUnion ») au Commissariat à la protection de la vie privée du Canada (Commissariat) dans le cadre de son processus de consultation sur le consentement.

En guise d’introduction, TransUnion est un chef de file dans la prestation de services d’information sur le crédit au Canada depuis 1989. Nous avons pour mandat de protéger et de préserver des données exactes et récentes sur le crédit des Canadiens. Nous offrons également des services aux entreprises, notamment la vérification des demandes de crédit des clients afin que les entreprises puissent prendre des décisions éclairées et judicieuses concernant la solvabilité d’un demandeur et, ainsi, courir un risque financier moindre. Nous vérifions également l’identité de clients potentiels au nom des entreprises. Aux consommateurs, nous fournissons outils, ressources et information afin de les aider à demeurer dans une bonne situation financière et à atteindre leurs objectifs en ce sens. Les données de crédit sur les consommateurs que possède TransUnion lui proviennent de ses fournisseurs de données (majoritairement des institutions financières et des entités gouvernementales) de partout au Canada. Pour obtenir de plus amples renseignements sur TransUnion et ses activités, nous vous invitons à consulter notre site Web.

Le respect et la protection des renseignements personnels des consommateurs sont un élément essentiel des activités opérationnelles de TransUnion. Compte tenu de son modèle d’affaires, de ses processus et de sa clientèle, TransUnion est bien placée pour faire part au Commissariat de son avis concernant le consentement dans le cadre de ses activités commerciales.

TransUnion croit que la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est un texte de loi efficace qui appuie les efforts visant à s’assurer que les personnes concernées exercent un contrôle sur leurs renseignements personnels. Depuis la promulgation de la LPRPDE sous sa forme originale, l’évolution rapide de la technologie et l’arrivée de nouveaux modèles d’affaires et de moyens de communication ont suscité un débat, qui est tout à fait essentiel, sur le cadre actuel, afin de garantir que le consentement est donné de façon éclairée et obtenu dans les règles. Cela dit, TransUnion est d’avis que la LPRPDE offre l’adaptabilité voulue pour relever les défis que pose un paysage en mutation sans pour autant devoir changer complètement son modèle actuel, y compris le consentement. En gardant tous ces éléments à l’esprit, TransUnion aimerait faire part de ses commentaires concernant quelques‑unes des questions soulevées dans le document de discussion.

Parmi les solutions proposées dans le document de discussion, lesquelles présentent selon vous le plus d’avantages? Veuillez expliquer pourquoi

A. Amélioration du consentement

  1. Transparence accrue dans les politiques de confidentialité et les avis concernant la protection de la vie privée. En vertu du huitième principe de la LPRPDE, une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne. Ce principe est également appuyé par le premier principe (Responsabilité) et le neuvième principe (Accès aux renseignements personnels). Bien que la LPRPDE dicte une partie du contenu qui doit figurer dans ces politiques et ces pratiques, elle laisse une certaine marge de manœuvre à l’organisation pour choisir les moyens de communication qui lui conviennent le mieux en fonction « de la nature de ses activités et d’autres considérations ». TransUnion a publié, au bas de son site Web destiné aux consommateurs, une politique détaillée en matière de confidentialité. TransUnion doit sans cesse étoffer cette politique, car elle fait une grande utilisation des renseignements personnels et que ses clients lui posent beaucoup de questions sur ses pratiques. Nous avons toutefois pris acte, comme vous l’avez souligné dans votre document et ailleurs, que la longueur et la complexité du document peuvent nuire à l’utilité de l’information pour les consommateurs.

    En revanche, TransUnion lit attentivement les politiques en matière de confidentialité de clients potentiels dans le cadre de son processus d’accréditation. Une politique détaillée en matière de confidentialité nous donne une bonne idée des pratiques de protection des renseignements personnels de l’organisation candidate et du sérieux avec lequel elle gère l’information. Cet examen, auquel viennent se greffer plusieurs autres facteurs qui forment en partie notre processus d’accréditation, peut avoir une incidence sur la décision de TransUnion d’accorder l’accès à l’information sur le crédit. 

    Il est difficile de trouver un juste équilibre entre le besoin d’information et la nécessité de rendre l’information compréhensible pour l’utilisateur final. Nous approuvons la proposition pour une plus grande transparence des politiques et des avis en matière de protection de la vie privée grâce à une formulation épurée et à la ventilation des renseignements clés à la base du consentement. Nous aimerions cependant formuler une mise en garde contre l’adoption d’une exigence généralisée pour certains types de politiques et d’avis en la matière. En ce qui concerne la nature des activités de TransUnion, par exemple, il serait problématique de fournir des avis ponctuels puisque l’information se trouvant dans notre répertoire est en grande partie recueillie auprès de tierces parties qui obtiennent le consentement des consommateurs en notre nomNote de bas de page 1. À l’instar d’autres volets de la LPRPDE, la forme sous laquelle l’information est communiquée devrait être laissée à la discrétion de l’organisation, en fonction de la nature et de la portée de l’information qui lui est confiée. 

    Il pourrait également être utile pour le Commissariat de publier des lignes directrices supplémentaires sur le consentement. On pourrait en effet soutenir que si les politiques en matière de confidentialité sont aujourd’hui aussi complexes, c'est parce que les organisations s’efforcent de se conformer aux attentes qu'ont les organismes de réglementation selon elles. 

  2. Protection de la vie privée en tant que paramètre par défaut (protection de la vie privée à l’étape de la conception). Nous sommes également en faveur d’un rôle plus important pour la protection de la vie privée à l’étape de la conception au Canada. Puisque ce système s’intègre à la nouvelle technologie dès la phase de conception, il devient la norme que toutes les entreprises peuvent chercher à appliquer et à mettre en œuvre. Ce modèle pourrait également simplifier le processus d’obtention du consentement pour les entreprises de petite taille, un objectif que doit, selon nous, viser l’examen portant de l’approche en matière de consentement.

B. Solutions de remplacement du consentement

  1. Désidentification. Les données dépersonnalisées occupent dorénavant un rôle de premier plan dans la recherche et l’innovation. Elles aident les petites et les grandes entreprises à innover et à améliorer leurs offres de service. Toutefois, aussi utiles que puissent être les données dépersonnalisées pour les entreprises, certaines préoccupations au chapitre de la confidentialité ont été soulevées concernant le traitement de ces données, par exemple l’utilisation de renseignements secondaires et la combinaison de différentes sources de données dépersonnalisées afin de permettre un processus de réidentification. Cela dit, TransUnion croit que le modèle actuel, qui autorise l’utilisation de données dépersonnalisées sans consentement, est fonctionnel. Afin de relever les défis posés par un environnement de données en pleine mutation, nous croyons qu’une approche axée sur le risque est l’option la plus Les organisations devraient se demander si, dans les circonstances, il y a un risque raisonnable de réidentification. Si c’est le cas, elles devraient soit modifier les éléments de données, soit mettre en place des mécanismes de contrôle pour atténuer le risque inhérent. Un mécanisme de contrôle mentionné dans le document de discussion consiste à s’assurer que des modalités contractuelles précises sont en place lorsqu’une organisation utilise des données dépersonnalisées. Par exemple, les organisations pourraient utiliser des clauses contractuelles garantissant que les organisations qui reçoivent les données dépersonnalisées ne tenteraient pas de les réidentifier, ou encore des clauses qui limitent les fins auxquelles les données de ce genre sont obtenues et utilisées. Il faudrait peut-être envisager d’autres mécanismes de contrôle selon les circonstances et le caractère confidentiel des données. Tel qu’il a été mentionné précédemment, la LPRPDE tient déjà compte du principe du contexte, ce qui signifie que cette approche ne devrait pas nécessiter des modifications très importantes au cadre législatif.

Le cas échéant, quelles modifications devrait-on apporter à la législation?

TransUnion croit que la législation actuelle continue d’offrir un cadre fonctionnel et qu’elle offre la souplesse voulue pour relever les défis décrits dans le document de discussion. Par conséquent, nous ne croyons pas que des modifications législatives s’imposent pour le moment. Par souci de précision, nous ne croyons pas que le Commissariat devrait se voir conférer des pouvoirs additionnels pour superviser la conformité et appliquer des règles nouvelles ou améliorées en matière de consentement. De l’avis de TransUnion, le système actuel est très efficace et a favorisé une culture de conformité solide au Canada.

Autres considérations

Toute approche en matière de consentement, quelle qu’elle soit, doit tenir compte des besoins et des ressources propres aux petites et moyennes entreprises. TransUnion compte parmi ses clients certaines des plus grandes entreprises du Canada et plusieurs petites et moyennes entreprises et organisations. Les petites entreprises et organisations ne disposent pas des mêmes outils pour gérer les questions de confidentialité et garantir la conformité que bien des entités plus imposantes. Nombre de grandes organisations ont des effectifs qui se consacrent entièrement à la protection des renseignements personnels, ce qui n’est pas le cas des petites entreprises qui ne disposent pas nécessairement des mêmes outils et de la même capacité. C’est pourquoi le fardeau de la conformité est souvent plus lourd pour les petites entreprises. Si plusieurs des nouveaux problèmes relatifs à la protection de la vie privée relevés dans le document de discussion illustrent bien souvent la réalité des grandes entreprises, toute solution ou tout changement proposé par le Commissariat doit également tenir compte des réalités et des besoins des petites entreprises du Canada. Le fait de disposer d’un cadre somme toute souple permet aux petites entreprises d’avoir accès aux produits et services de TransUnion pour favoriser leur croissance. De même, toute solution privilégiant des cadres « éthiques » ne serait fort probablement pas envisageable ou réalisable pour les petites organisations. 

Merci beaucoup d’avoir pris le temps de lire le mémoire de TransUnion. N’hésitez pas à communiquer avec nous si vous avez des questions.

Veuillez agréer, Madame, Monsieur, nos salutations distinguées.

TRANS UNION OF CANADA INC.

Noelle Paraskevopulos
Conseillère juridique principale et chef de la protection des renseignements personnels

Date de modification :