Mémoire du Commissariat à la protection de la vie privée du Canada sur la mise en œuvre des certifications du Forum mondial sur les règles relatives aux transferts transfrontaliers de données au Canada

PAR COURRIEL

Le 20 juin 2025

Madame la Sous-ministre adjointe principale,

1. Le Commissariat à la protection de la vie privée du Canada accueille favorablement la consultation menée par Innovation, Sciences et Développement économique Canada (ISDE) sur la mise en œuvre des certifications du Forum mondial sur les règles relatives aux transferts transfrontaliers de données (le forum Global CBPR) au Canada.
2. Nous saluons l’examen opportun de cette question et les efforts déployés par le gouvernement du Canada en vue de trouver des mesures qui pourraient favoriser l’économie numérique du Canada grâce au renforcement des partenariats commerciaux existants et à la création de nouveaux partenariats, ainsi qu’à l’élimination des obstacles qui empêchent les petites et moyennes entreprises (PME) canadiennes d’innover et de réussir sur le marché numérique. Le Commissariat estime que la participation du Canada au forum Global CBPR peut être utile à cet égard, compte tenu des avantages évidents que cela comporte pour les organisations, les individus, le Commissariat et le Canada.

Soutenir les partenariats commerciaux du Canada

3. Le Commissariat est d’avis que la mise en place de mécanismes de certification qui favorisent la protection de la vie privée peut soutenir le commerce international. La libre circulation transfrontalière des renseignements personnels est fondamentale pour les activités de nombreuses entreprises et constitue un objectif important pour le commerce international, comme en témoigne l’inclusion de dispositions relatives à la protection des renseignements personnels dans les accords commerciaux modernes, notamment l’Accord Canada–États-Unis–Mexique (ACEUM) et l’Accord économique et commercial global (AECG) entre le Canada et l’Union européenne. Ces accords commerciaux soulignent la nécessité de protéger les renseignements personnels dans le cadre du commerce électronique^{Note de bas de page 1}. Plus précisément, l’article 19.8 de l’ACEUM reconnaît en outre la certification comme un mécanisme valable pour faciliter les transferts transfrontières de renseignements tout en protégeant les renseignements personnels et en accordant aux pays la souplesse nécessaire pour élaborer leurs propres lois en matière de protection de la vie privée.

Accroître la compréhension et le contrôle des Canadiennes et des Canadiens sur la manière dont leurs renseignements personnels sont traités

4. Le Commissariat appuie les mécanismes qui peuvent aider les individus à prendre des décisions éclairées au sujet de la communication de leurs renseignements personnels. Étant donné que les flux de données transfrontaliers peuvent créer des risques inhérents à la protection de la vie privée et potentiellement exposer les renseignements personnels à des règles juridiques et à des niveaux de protection différents, le forum Global CBPR peut offrir aux individus l’assurance que les entreprises certifiées respectent une norme minimale en matière de protection de la vie privée. Dans le cadre de sa consultation sur le consentement, le Commissariat a examiné dans quelle mesure des mécanismes de certification, comme les marques de confiance, pourraient améliorer les mécanismes de consentement existants au titre de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et permettre aux organisations de démontrer de façon proactive leur responsabilité^{Note de bas de page 2}. Au moment de la consultation, les parties prenantes ont fait part de leur méfiance générale à l’égard des programmes de marques de confiance élaborés et gérés par l’industrie pour l’industrie, invoquant le manque d’indépendance comme préoccupation majeure. Le Commissariat a toutefois reçu des commentaires de certaines parties qui ont indiqué qu’elles étaient favorables à un tel mécanisme s’il était supervisé par une organisation indépendante crédible ^{Note de bas de page 3}. 

Fournir au secteur privé une certitude et une clarté en matière de réglementation

5. Le Commissariat est d’avis qu’il y a un avantage à mettre en œuvre au Canada le système mondial sur les règles relatives aux transferts transfrontaliers de données (Cross-Border Privacy Rules [CBPR]) et le système mondial de reconnaissance de protection de la vie privée pour les sous-traitants (PRP) (ensemble, les « systèmes Global »). La mise en œuvre de ces systèmes peut offrir aux entreprises une certitude réglementaire lorsqu’elles doivent s’acquitter de leurs obligations en matière de protection de la vie privée dans différentes juridictions. Alors que plus de 150 pays ont adopté des lois sur la protection des données ou de la vie privée, il est impératif que les juridictions mettent en place des mesures de protection de base pour les transferts internationaux^{Note de bas de page 4}. L’adoption des systèmes Global pourrait permettre d’établir cette base de référence en matière de protection de la vie privée afin de faciliter les interactions commerciales à l’extérieur du Canada. Cette démarche permettrait aussi de créer un environnement réglementaire plus prévisible qui contribuerait à réduire les coûts de conformité des organisations.
6. Bien que les exigences des systèmes Global ne remplacent pas les lois nationales ni les responsabilités des organismes de réglementation nationaux, les exigences du système mondial PRP pourraient servir à clarifier la relation entre les contrôleurs et les sous-traitants qui exercent leurs activités dans le système. Plus précisément, les exigences sont généralement conformes à celles prévues par la LPRPDE ^{Note de bas de page 5}. Selon le principe 4.1.3 de la LPRPDE, une organisation est responsable des renseignements personnels qu’elle a en sa possession ou sous sa garde, y compris les renseignements confiés à une tierce partie aux fins de traitement, et doit, par voie contractuelle ou autre, fournir un degré comparable de protection aux renseignements qui sont en cours de traitement par une tierce partie. Malgré cela, des enquêtes récentes menées par le Commissariat ont révélé un manque de clarté quant aux obligations des fournisseurs de services ^{Note de bas de page 6}.

Favoriser la libre circulation des données dans la confiance

7. Les mécanismes de certification, y compris les certifications du forum Global CBPR, peuvent constituer un outil efficace à prendre en considération pour établir la confiance lorsque des renseignements personnels sont transférés au-delà des frontières. Depuis l’introduction du concept de libre circulation des données en toute confiance en 2019, le Commissariat a collaboré avec ses homologues internationaux afin de cerner les points communs et les éléments de convergence entre les approches réglementaires existantes pour aider à établir la confiance. Nous notons que la Déclaration des ministres du numérique et des technologies du G7 de 2023 comprend une vision pour la mise en œuvre de la libre circulation des données en toute confiance et définit les priorités de cette dernière. La Déclaration reconnaît que la confiance doit être instaurée et réalisée au moyen de divers cadres juridiques et volontaires, de lignes directrices, de normes, de technologies et d’autres mesures transparentes et qui protègent les données^{Note de bas de page 7}.
8. Le Commissariat a reconnu l’importance de cette question en coparrainant des résolutions de l’Assemblée mondiale pour la protection de la vie privée (AMVP) visant à promouvoir des outils de transfert de données qui garantissent la libre circulation des données dans la confiance^{Note de bas de page 8}. Nous nous sommes notamment engagés à soutenir les efforts visant à harmoniser les systèmes réglementaires et à promouvoir et développer des outils de certification capables de garantir des transferts fiables, le cas échéant.
9. Le Commissariat a également coparrainé une résolution de l’AMVP visant à approuver et à encourager les mécanismes de certification comme moyen permettant aux organisations de prouver qu’elles respectent véritablement les lois et règlements en matière de protection de la vie privée et des données, et de procéder au transfert transfrontalier de renseignements personnels de manière fiable et responsable^{Note de bas de page 9}.
10. En outre, le Commissariat est l’un des membres de la Table ronde des autorités de protection des données et de la vie privée du G7, dont il est actuellement l’hôte, qui considère la libre circulation des données en toute confiance comme l’un des piliers de son travail. En 2024, le Groupe de travail sur la libre circulation des données dans la confiance des autorités de protection des données et de la vie privée du G7 a achevé une analyse comparative entre le forum Global CBPR et les mécanismes de certification dans le cadre du Règlement général sur la protection des données (RGPD)^{Note de bas de page 10}. Cette analyse comparative a permis d’établir que, bien que ces deux systèmes reposent sur des fondements juridiques et des structures différents et contiennent certaines dispositions divergentes, ils partagent de nombreux principes clés similaires en matière de protection des données, ainsi que des éléments communs concernant la légalité, la limitation des fins, la sécurité du traitement des données et la transparence.

Protéger et promouvoir le droit à la vie privée de manière à optimiser les efforts déployés

11. Le Commissariat s’est engagé, dans ses priorités stratégiques pour 2024-2027, à optimiser l’incidence des efforts du Commissariat pour protéger et promouvoir pleinement et efficacement le droit fondamental à la vie privée. La mise en œuvre du forum Global CBPR peut optimiser les résultats en aidant le Commissariat à traiter les plaintes et à alléger le fardeau lié à l’application de la loi, ainsi qu’en établissant un autre mécanisme de règlement des différends. Ces gains d’efficience profiteraient à la population canadienne en réduisant les délais de traitement et en offrant d’autres voies de recours.
12. La participation à des mécanismes de certification semblables au forum Global CBPR s’est avérée avantageuse pour le Commissariat dans le passé et nous sera sans aucun doute utile à l’avenir, car les atteintes à la vie privée s’étendent souvent au-delà des frontières canadiennes.
13. Selon l’article 23.1 de la LPRPDE, le Commissariat est autorisé à communiquer des renseignements, dans des circonstances précises, à des homologues étrangers qui ont des attributions semblables aux siennes en matière de protection des renseignements personnels. Cette disposition a permis au Commissariat de participer à l’entente mondiale de coopération en matière d’application de la loi pour protéger la vie privée (Global Cooperation Arrangement for Privacy Enforcement – CAPE), condition préalable à la participation du Canada au forum Global CBPR. De même, il s’agit de la disposition sur laquelle s’appuie la participation à l’Accord de coopération sur la protection transfrontière des données du Forum de coopération économique Asie-Pacifique. La participation du Commissariat à cet accord lui a permis de mener une enquête sur Ashley Madison en collaboration avec le Commissariat à l’information de l’Australie en 2016^{Note de bas de page 11}.
14. Dans les systèmes Global, les agents chargés de la responsabilisation certifient les organisations requérantes en fonction des exigences du programme des systèmes Global et ne peuvent le faire que dans la juridiction pour laquelle ils ont été accrédités. Les agents chargés de la responsabilisation surveillent la conformité des entreprises certifiées et proposent un mécanisme de règlement des différends afin d’aider les individus à résoudre les conflits avec les organisations certifiées. Les individus ont le choix de déposer une plainte contre une organisation certifiée, soit au moyen du mécanisme de règlement des différends d’un agent de vérification de la conformité, soit auprès du Commissariat, en tant qu’autorité chargée de l’application des lois portant sur la protection des renseignements personnels. Le Commissariat pourrait invoquer l’alinéa 12(1)a) de la LPRPDE, selon lequel le plaignant devrait d’abord épuiser les recours qui lui sont ouverts. Cette disposition s’appliquerait aux plaintes déposées contre des entreprises qui sont certifiées selon le système mondial CBPR et qui utilisent leur mécanisme de règlement des différends, ce qui aurait une incidence positive sur les ressources du Commissariat, car il serait possible de régler les conflits en matière de protection de la vie privée avec ces entreprises certifiées sans qu’il soit nécessaire de mener une enquête.
15. En ce qui concerne les différents modèles d’agent de vérification de la conformité et la question de savoir si ces entités devraient être en mesure de fournir une certification conformément à la LPRPDE, le Commissariat note que l’ancien projet de loi C-27, Loi de 2022 sur la mise en œuvre de la Charte du numérique, comprenait un cadre prévoyant des codes de pratique et des mécanismes de certification approuvés par le Commissariat ^{Note de bas de page 12}. Le Commissariat serait dans l’ensemble favorable à l’adoption d’une approche similaire pour appuyer la mise en œuvre du forum Global CBPR.

Mesures supplémentaires visant à garantir des normes élevées quant à la protection de la vie privée

16. En ce qui concerne les mesures qui permettraient d’optimiser les avantages des certifications des systèmes mondiaux CBPR et PRP, le Commissariat recommande d’envisager les mécanismes de certification, et la mise en œuvre par le Canada des certifications du forum Global CBPR, à titre de mécanisme parmi d’autres pouvant servir à établir des mesures de protection de la vie privée lorsque des renseignements personnels sont transférés au-delà des frontières. 
17. Présentement, la LPRPDE ne prévoit aucune règle distincte et explicite concernant la circulation transfrontalière des données. Le Commissariat a déjà recommandé que la LPRPDE prévoie des dispositions qui traitent expressément de la circulation transfrontalière des données afin que les renseignements personnels des Canadiennes et des Canadiens soient adéquatement protégés quand ils sont communiqués à l’extérieur du pays. La loi fédérale sur la protection des renseignements personnels dans le secteur privé au Canada devrait prévoir des outils pour faire en sorte que les organisations assurent un degré comparable de protection lorsque des renseignements personnels traversent les frontières, comme des clauses contractuelles types, des codes de pratique et des règles d’entreprise contraignantes, en plus des programmes de certification.
18. Bien que la participation du Canada au forum Global CBPR offre certaines garanties en matière de protection des renseignements personnels dans ces contextes, il est important de noter que la plupart des lois actuelles sur la protection des renseignements personnels prévoient toute une gamme de solutions législatives pour régir la circulation transfrontalière des données.
19. Nous nous réjouissons de la possibilité de collaborer ainsi avec les entreprises afin de veiller à ce que leurs activités soient conformes à la LPRPDE et nous encourageons le gouvernement du Canada à continuer d’explorer les mécanismes qui peuvent renforcer la confiance lorsque des renseignements personnels traversent les frontières.

Je vous prie d’agréer, Madame la Sous-ministre adjointe principale, l’assurance de ma considération distinguée.

Le Commissaire,