Sélection de la langue

Recherche

Les transferts transfrontaliers de renseignements personnels en vertu du projet de loi C-11

Teresa Scassa, titulaire de la Chaire de recherche du Canada en droit et politiques de l’information, Université d’Ottawa

Mai 2021

Introduction

Dans notre économie numérique et axée sur les données, les données personnelles traversent de plus en plus les frontières nationales. La libre circulation des données est devenue un objectif important du commerce internationalNote de bas de page 1; en même temps, la protection des données personnelles qui circulent vers d’autres pays est une préoccupation croissante dans les lois nationales sur la protection des données. Cela est certainement le cas dans l’Union européenne (UE), où le Règlement général sur la protection des donnéesNote de bas de page 2 a mis en place une série de mesures rigoureuses pour protéger les données personnelles des résidents de l’UE, qu’elles soient situées dans un pays de l’UE ou envoyées à l’étranger. Selon le RGPD, les données personnelles des résidents de l’UE ne peuvent circuler au-delà des frontières à moins que des mesures ne soient en place pour garantir qu’elles bénéficient d’un « niveau de protection adéquat » par rapport à celui offert dans l’UENote de bas de page 3. Cela comprend un niveau adéquat de protection en ce qui concerne l’accès aux données personnelles par les organismes d’application de la loi et de sécurité nationale. L’été dernier, la Cour européenne de justice a statué que, étant donné le niveau d’accès des responsables américains de la sécurité nationale aux données des résidents de l’UE qui entraient aux États-Unis et l’absence de recours efficace pour les résidents de l’UE, les transferts de données ne pouvaient plus être pris en charge dans le cadre des mesures liées au bouclier de protection des données UE-États-Unis mises en œuvre pour faciliter la libre circulation des donnéesNote de bas de page 4.

L’UE n’est pas la seule administration à s’occuper des flux de données transfrontaliers, bien qu’elle ait peut-être été la plus déterminée à le faire. Des pays comme l’Australie et la Nouvelle-Zélande, par exemple, prévoient expressément la protection des données personnelles de leurs résidents lorsqu’elles sortent du paysNote de bas de page 5. En fait, la Nouvelle-Zélande vient de remanier soigneusement son régime dans le cadre d’une nouvelle loi qui est entrée en vigueur en décembre 2020Note de bas de page 6. Le gouvernement du Québec, dans son récent projet de loi visant à modifier ses lois sur la protection des données des secteurs public et privé, impose également des obligations précises aux organisations en vue de protéger les données personnelles des résidents du Québec lorsqu’elles sont acheminées à l’extérieur de la provinceNote de bas de page 7. Bien que chacune de ces administrations adopte sa propre approche, ce qui est commun à tous, c’est la reconnaissance explicite de l’importance de la question et l’articulation de règles propres au contexte transfrontalier.

Le 17 novembre 2020, le projet de loi C-11, intitulé Loi sur la mise en œuvre de la Charte du numériqueNote de bas de page 8, a été déposé au Parlement. Ce projet de loi constitue une importante réforme de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)Note de bas de page 9. Il crée deux nouvelles lois : la Loi sur la protection de la vie privée des consommateurs (LPVPC) et la Loi sur le Tribunal de la protection des renseignements personnels et des données. Le présent document mettra l’accent sur la façon dont le projet de loi C-11 aborde, dans la partie du projet de loi portant sur la LPVPC, la protection des données personnelles des Canadiens lorsqu’elles traversent les frontières internationales dans le contexte du secteur privé. Ce document décrira les principales dispositions de la LPVPC qui ont trait aux transferts de données transfrontaliersNote de bas de page 10. Il fournira une analyse critique de la mesure dans laquelle ces dispositions protègent la vie privée dans le contexte des flux internationaux de renseignements personnels. Il permettra de cerner les lacunes potentielles du cadre proposé et d’indiquer là où la vie privée des personnes pourrait être menacée. Le cas échéant, l’analyse tient compte de mesures comparables dans des juridictions comme l’Europe, l’Australie, la Nouvelle-Zélande et le Québec, ainsi que dans la Convention modernisée pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (Convention 108+)Note de bas de page 11. À partir de cette analyse comparative, ce document présente des recommandations sur la façon dont le projet de loi C-11 pourrait être amélioré pour mieux protéger la vie privée dans le contexte des transferts internationaux.

Cadre

Le présent document adopte un cadre basé sur quatre éléments clés qui doivent être abordés par tout dispositif de protection des données personnelles dans les flux de données transfrontaliers.

En premier lieu, il faut définir à qui s’appliqueront les obligations et dans quelles circonstances. Les flux de données transfrontaliers ne seront pas tous nécessairement saisis. Certains dispositifs pourraient ne traiter que des transferts de données à des fins précises. La LPRPDE, par exemple, ne fait référence qu’aux transferts réalisés aux fins de traitement. Cela reflète le modèle plus conventionnel des flux de données transfrontaliers – l’externalisation des données pour le traitement. Cependant, dans l’environnement de données contemporain, les données personnelles peuvent circuler au-delà des frontières pour un large éventail d’objectifs et de façons très différentes. Par exemple, une organisation peut entreposer les données au moyen de l’infonuagique. Elle peut recourir à des centres de service à la clientèle à l’étranger. Elle peut utiliser des services logiciels infonuagiques dans le cadre de ses opérations, de sorte que certaines données personnelles sont traitées dans le nuage. Les organisations peuvent compter sur des fournisseurs de services à l’étranger pour la collecte de renseignements personnels. Les organisations établies au Canada et leurs filiales à l’étranger peuvent également avoir une diversité de relations qui ont une incidence sur la façon dont les services sont fournis aux clients. Une loi sur la protection des données doit donc indiquer clairement les activités et les acteurs auxquels elle s’appliquera.

Deuxièmement, la loi doit déterminer qui est responsable des données personnelles qui traversent les frontières et dans quelles circonstances. La responsabilité peut incomber à l’organisation principale ou au fournisseur de services. Dans certains cas, il pourrait être approprié d’attribuer la responsabilité à l’un plutôt qu’à l’autre. La responsabilisation – et une indication claire de l’attribution de cette responsabilité – est importante en cas de problèmes en matière de protection des données, car les personnes doivent être en mesure de déterminer qui elles peuvent tenir responsable, et en vertu de quel régime législatif.

Une troisième considération est la détermination des conditions à remplir avant que les données personnelles puissent circuler au-delà des frontières. Il peut s’agir de l’avis à fournir aux personnes concernées, du niveau de protection requis, ainsi que des mesures de protection et des autres mesures à mettre en place avant que les données puissent circuler. Certaines administrations, comme l’UE, offrent un large éventail d’options pour permettre aux organisations de respecter ces obligations. Par exemple, il peut s’agir de clauses contractuelles types, de clauses contractuelles modèles ou de règles d’entreprise contraignantesNote de bas de page 12.

Un quatrième facteur à considérer est la façon de déterminer si le régime de protection de la vie privée de l’État de destination est adéquat. L’adéquation est essentiellement la détermination du fait que le pays de destination a mis en place un régime de protection des données qui offre un niveau de protection des données personnelles conforme à la norme établie par la loi dans le pays à partir duquel les données sont transférées. Des évaluations de l’adéquation peuvent être effectuées selon différentes normes (p. ex., « substantiellement similaire » ou « équivalent »). Le caractère adéquat peut être important même si une entente contractuelle est en place, et même si l’organisation nationale demeure responsable des données. Le caractère adéquat est important pour deux raisons. Premièrement, il peut y avoir des circonstances dans lesquelles le fournisseur de services à l’étranger est considéré comme responsableNote de bas de page 13. Dans de tels cas, leur responsabilité peut relever de leurs lois nationales. Deuxièmement, de nombreux États autorisent l’accès aux données personnelles des non-résidents par les autorités chargées de l’application de la loi ou de la sécurité nationale. L’adéquation n’exige pas nécessairement qu’un tel accès soit interdit, mais il pourrait fort bien exiger qu’il y ait un recours pour les résidents canadiens s’ils choisissent de l’exercer. C’est un problème que même le contrat le mieux rédigé ne peut régler. La législation peut prévoir qu’une évaluation du caractère adéquat du système juridique en place dans le pays vers lequel les données circulent doit être effectuée par l’organisation responsableNote de bas de page 14, ou à l’échelle interétatiqueNote de bas de page 15.

Ces quatre considérations constituent le cadre de l’analyse qui suit des dispositions du projet de loi C-11 qui traitent des flux transfrontaliers de données personnelles.

Contexte

Avant d’entreprendre l’analyse des dispositions du projet de loi C-11, il est important de résumer brièvement la façon dont la LPRPDE traite actuellement des flux de données transfrontaliers.

La LPRPDE ne contient aucune disposition particulière concernant les flux de données transfrontaliers, même si l’externalisation du traitement des données était une pratique connue à l’époque.

Bien que la LPRPDE ne mentionne pas explicitement les flux de données transfrontaliers, elle contient une disposition à l’appendice 1 qui traite en termes généraux des transferts de données « à une tierce partie aux fins de traitement ». La clause 4.1.3, sous la rubrique « Responsabilité », se lit comme suit :

Une organisation est responsable des renseignements personnels qu’elle a en sa possession ou sous sa garde, y compris les renseignements confiés à une tierce partie aux fins de traitement. L’organisation doit, par voie contractuelle ou autre, fournir un degré comparable de protection aux renseignements qui sont en cours de traitement par une tierce partie.

La clause précise clairement que les transferts sont permis et que l’organisation qui effectue le transfert est responsable des données personnelles qui sont entre les mains de l’entité à laquelle elles sont transférées. Elle impose également à l’auteur du transfert l’obligation de veiller à ce que les renseignements bénéficient d’un niveau comparable de protection de la part de la tierce partie, par le biais de contrats, par exemple. Toutefois, cette disposition ne traite que des transferts aux fins de traitement et non des nombreux autres types de flux de données. De plus, rien dans la loi ne traite expressément des contextes transfrontaliers; pas plus que de la vulnérabilité des données à l’accès par les responsables de l’application de la loi ou de la sécurité nationale des gouvernements à l’étranger; et rien ne permet d’évaluer le caractère adéquat des régimes de protection des données dans les pays vers lesquels les données sont transférées.

La nature rudimentaire de la clause 4.1.3, combinée à la fréquence et à l’importance croissantes des flux de données transfrontaliers, a mené le Commissariat à la protection de la vie privée du Canada (Commissariat) à publier en 2009 des lignes directrices sur le transfert transfrontalier de renseignements personnelsNote de bas de page 16, lesquelles expliquent comment le Commissariat interpréterait et appliquerait cette clause. Ce sont, par exemple, ces lignes directrices (et non la clause 4.1.3) qui précisent que la clause est interprétée comme s’appliquant aux transferts de données nationaux et transfrontaliersNote de bas de page 17. Les lignes directrices précisent également que le Canada a adopté une approche « d’organisation à organisation » plutôt qu’une approche axée sur le caractère adéquat du régime juridique dans le pays de transfertNote de bas de page 18. En vertu de l’approche organisationnelle, l’entreprise qui transfère les données demeure responsable de celles-ci si elles sont mal utilisées ou traitées de façon inappropriée par le cessionnaireNote de bas de page 19. Bien que les lignes directrices aident à clarifier les règles en place, la clause 4.1.3 est restée ancrée dans le temps. Elle s’articule autour du concept des transferts de données à traiter d’une manière qui ne saisit plus toute la gamme des raisons ou des façons dont les données circulent maintenant au-delà des frontières.

Le projet de loi C-11 offrait au gouvernement un certain nombre d’options en ce qui concerne le transfert transfrontalier de données. Non seulement l’UE a-t-elle abordé la question de façon exhaustive dans le cadre du RGPD, mais des pays comparables comme l’Australie et la Nouvelle-Zélande se sont déjà attaqués à cette question complexe et ont mis au point leurs propres dispositifs pour protéger les données personnelles des résidents lorsqu’elles sortent du pays. Le gouvernement du Québec a également présenté des dispositions dans son projet de loi 64Note de bas de page 20 – loi modifiant les lois sur la protection des données dans les secteurs public et privé au Québec – qui traitent des flux de données transfrontaliers.

L'appendice 3 du présent document donne un aperçu détaillé de la manière dont ces régimes de protection de la vie privée protègent les données personnelles des individus dans le contexte des flux de données transfrontaliers.

Le gouvernement fédéral est clairement conscient de l’importance des flux de données transfrontaliers. Le libellé révisé de l’article 5 du projet de loi C-11, qui énonce l’objet de la loi, reprend l’énoncé de l’objet de la LPRPDE, mais ajoute un libellé qui définit le contexte actuel comme suit : « dans une ère où les données circulent constamment au-delà des frontières et des limites géographiques et une part importante de l’activité économique repose sur l’analyse, la circulation et l’échange de renseignements personnels ». Le paragraphe 6(2) du projet de loi C-11, qui établit la portée de l’application du projet de loi, précise également qu’il s’appliquera « relativement à la collecte, à l’utilisation et à la communication de renseignements personnels, par une organisation, à l’échelle interprovinciale [ou] internationale ».

L’analyse qui suit porte sur la façon dont le projet de loi C-11 traite des flux de données transfrontaliers, en utilisant les quatre questions susmentionnées pour encadrer l’analyse.

Analyse

1. À qui s’appliqueront les obligations et dans quelles circonstances?

La question de savoir à qui s’appliqueront les obligations relatives aux flux transfrontaliers de données – et dans quelles circonstances elles s’appliqueront – est vraiment au cœur de toute législation conçue pour traiter de cette question. Comme il a été mentionné précédemment, la LPRPDE adopte une approche relativement rudimentaire, qui ne s’applique qu’aux transferts aux fins de traitement et qui prévoit la responsabilisation de l’organisation qui effectue le transfert. La LPVPC reconnaît de façon quelque peu indirecte un contexte plus complexe pour les transferts transfrontaliers et va au-delà de ce qui est prévu dans la LPRPDE. Toutefois, elle ne traite pas des flux de données transfrontaliers dans une partie précise de la législation. Rien ne distingue les flux de données transfrontaliers de ceux qui ont lieu dans le contexte national. Cela est problématique. Tout d’abord, le contexte transfrontalier soulève des questions distinctes sur des choses comme l’adéquation et la responsabilité. Deuxièmement, dans l’état actuel de la LPVPC, les personnes qui se livrent à des activités transfrontalières doivent suivre une piste tortueuse des transferts traditionnels pour traitement. Les services infonuagiques, par exemple, ont changé cette dynamique, et il y a des façons dont la prestation de ces services peut mener à une nouvelle collecte et utilisation de renseignements personnels par les fournisseurs de services. Par exemple, une entreprise qui fournit des services à la clientèle à l’étranger peut recueillir des données sur la façon dont ces services sont fournis. Cela peut comprendre les données personnelles des clients de ses clients, et ces données peuvent être utilisées par l’organisation à l’étranger pour ses propres analyses ou à des fins internes.

Dans l’UE, le RGPD établit un ensemble de règles sur le transfert transfrontalier de données « qui font ou sont destinées à faire l’objet d’un traitement après [l]e transfert »Note de bas de page 21. Les dispositions relatives au flux transfrontalier de données sont basées sur la relation entre le responsable du traitement et le sous-traitant qui est définie dans la législation. Un « responsable du traitement » est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement »Note de bas de page 22. Le concept équivalent en vertu de la LPRPDE et du projet de loi C-11 est une « organisation », qui est définie dans les deux lois comme incluant « des associations, sociétés de personnes, personnes et organisations syndicales»Note de bas de page 23. Veuillez noter que la définition de la LPVPC est générale et ne précise pas le rôle de l’organisation à l’égard des données de la même façon que le fait « responsable du traitement »Note de bas de page 24. Dans un régime qui place la responsabilité principalement sur les épaules de l’organisation qui contrôle les données et qui reconnaît les rôles principaux et subordonnés, il est malheureux que la LPVPC ne relie pas plus clairement les organisations à leurs rôles en ce qui a trait aux données.

Le RGPD définit un « sous-traitant » comme « une personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement »Note de bas de page 25. Le traitement y est défini largement comme suit :

[…] toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqués à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destructionNote de bas de page 26.

En vertu de la LPVPC, les organisations sont responsables de leurs relations, non pas avec les « sous-traitants », mais avec les « fournisseurs de services ». La version canadienne de la relation entre le responsable du traitement et le sous-traitant est donc la relation « organisation-fournisseur de services »Note de bas de page 27. Bien que les relations aient une certaine équivalence approximative, il y a des différences qui peuvent être importantes.

Un fournisseur de services est défini dans l’article 2 :

fournisseur de services [signifie] toute organisation, notamment une société mère, une filiale, une société affiliée, un entrepreneur ou un sous-traitant, qui fournit un service au nom ou pour le compte d’une autre organisation pour lui permettre de réaliser ses fins.

La définition d’un fournisseur de services désigne celui-ci comme une « organisation »Note de bas de page 28 qui, comme il a été mentionné précédemment, est définie séparément dans la LPVPC comme incluant « des associations, sociétés de personnes, personnes et organisations syndicales »Note de bas de page 29. Selon la définition de « fournisseur de services », une organisation considérée comme fournisseur de services comprend une « organisation, notamment une société mère, une filiale, une société affiliée, un entrepreneur ou un sous-traitant ».

La définition de « fournisseur de services » dans le projet de loi C-11 est particulièrement différente de la définition d’un « sous-traitant » dans le RGPD en ce sens que la définition du RGPD lie précisément le sous-traitant aux actions « appliqué[es] à des données ou des ensembles de données à caractère personnel ». Ainsi, bien que la définition d’un sous-traitant dans le RGPD soit large et inclusive, elle est expressément liée au rôle du sous-traitant par rapport aux données personnelles. La définition de « fournisseur de services » dans la LPVPC ne l’est pas. Un fournisseur de services est une entité « qui fournit un service au nom ou pour le compte d’une autre organisation pour lui permettre de réaliser ses fins ». Il n’y a pas de raison évidente pour que la définition soit aussi générale. Bien que la LPVPC soit évidemment une loi sur la protection des données, la définition de « fournisseur de services » devrait néanmoins s’appliquer aux fournisseurs de services qui fournissent des services liés aux renseignements personnels ou aux ensembles de données contenant des renseignements personnels. Fait peut-être plus important : une description claire du rôle de l’entité à l’égard des données (par opposition à une autre organisation) pourrait clarifier comment un fournisseur de services (sous-traitant) peut, à l’égard de certaines fonctions, être assujetti aux obligations d’une organisation (responsable du traitement).

La loi ne dit rien sur l’emplacement géographique des fournisseurs de services, et on peut donc supposer qu’ils peuvent se trouver au Canada ou dans un autre paysNote de bas de page 30. Par conséquent, à moins d’avis contraire, toute obligation ou responsabilité incombant aux fournisseurs de services dans la LPVPC s’appliquera à ceux qui se trouvent au Canada ou à l’étranger. Néanmoins, le fait que les fournisseurs de services puissent être situés au Canada ou à l’extérieur du Canada devrait être expressément énoncé quelque part dans la loi – et la définition serait probablement un endroit pour le faireNote de bas de page 31. Dans certains cas, la LPVPC impose des obligations directes aux fournisseurs de servicesNote de bas de page 32, et l’intention d’avoir une application extraterritoriale devrait être manifeste.

La définition de « fournisseur de services » est vaste. Un fournisseur de services « fournit un service au nom ou pour le compte d’une autre organisation pour lui permettre de réaliser ses fins ». Essentiellement, lorsqu’une entité aide une organisation à atteindre ses objectifs, cette deuxième entité est un « fournisseur de services ». Ces services pourraient comprendre le traitement des données ou leur stockage. On peut donc supposer que les fournisseurs de solutions de stockage en nuage sont des fournisseurs de services, tout comme les fournisseurs de services commerciaux en nuage.

Le terme « fournisseur de services » comprend les entités qui recueillent des données personnelles pour le compte d’organisationsNote de bas de page 33. Cela va bien au-delà du paradigme plus étroit de la LPRPDE en matière de transferts aux fins de traitement. Par exemple, une organisation au Canada pourrait faire appel aux services d’une société à l’étranger pour recueillir des données sur des Canadiens à partir de sites de médias sociaux, ou pourrait encore utiliser les services de courtiers en données à l’étranger. Elle pourrait simplement utiliser les services d’une société à l’étranger pour faciliter certaines de ses opérations, comme faire des réservations dans un restaurant qui impliquent la collecte de renseignements personnels, par exemple. Dans ces cas-là, les sociétés à l’étranger semblent être des fournisseurs de services en ce sens qu’elles aident l’organisation à remplir ses objectifs, en supposant que ses objectifs comprennent la collecte de ce genre de données.

La référence dans la définition de « fournisseur de services » à « un entrepreneur ou un sous traitant » soulève certaines questions. Une organisation (responsable du traitement) aurait clairement une relation contractuelle avec un entrepreneur (fournisseur de services). Toutefois, si le fournisseur de services sous-traite l’une ou l’autre des tâches liées aux données, la relation entre l’organisation/le responsable du traitement et le sous-traitant n’est pas claire. Une approche consisterait à interpréter l’inclusion du terme « sous-traitant » dans la définition de « fournisseur de services » comme créant une relation en droit – autrement dit, cela rend l’organisation/le responsable du traitement responsable de ce qui arrive aux données personnelles entre les mains du sous-traitant. Si tel est le cas, le fournisseur de services ne devrait pas être en mesure, de façon indépendante, de sous-traiter des fonctions de traitement sans le consentement de l’organisation/du responsable du traitement. Par exemple, le paragraphe 28(2) du RGPD établit clairement qu’un « sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement ». L’article 29 précise clairement que dans une relation de sous-traitance, le responsable du traitement reste en dernier ressort en contrôle et responsable des données. Ces relations devraient être clarifiées dans la LPVPC.

Dans l’ensemble, il semblerait que la définition de « fournisseur de services » dans le projet de loi C-11 vise une portée semblable à celle de la définition de « traitement » du RGPD (et donc une portée semblable à celle du terme « sous-traitant »). Ceci est soutenu par le paragraphe 7(2) qui réfère à la collecte, l’utilisation ou la communication de données personnelles par un fournisseur de services au nom d’une organisation. Toutefois, il convient de noter qu’il y a des changements subtils dans le vocabulaire des dispositions disparates qui peuvent être appliquées aux flux transfrontaliers de données et qui peuvent créer une certaine confusion. L’alinéa 62(2)d) mentionne des « transferts ou communications » internationaux en vue de l’établissement d’une exigence de transparence, mais ne mentionne pas la collecte. Le paragraphe 11(1) exige que les organisations protègent les renseignements personnels par des contrats avec des fournisseurs de services lorsque des données leur sont transférées, mais ne mentionne pas les situations où ces renseignements sont recueillis par des fournisseurs de services en leur nom. Le paragraphe 11(2) fait référence à « l’utilisation ou la communication » par les fournisseurs de services de renseignements transférés, mais pas aux renseignements recueillis au nom de l’organisation. Chacune de ces formulations est plus étroite que la collecte, l’utilisation ou la communication de données personnelles par un fournisseur de services au nom d’une organisation décrite au paragraphe 7(2).

L’approche de la LPVPC à l’égard des flux de données transfrontaliers – et en particulier l’élargissement de son champ d’application pour inclure non seulement les transferts, mais aussi d’autres services liés aux données, y compris la collecte de données, dans l’environnement de données contemporain – signifie que ces dispositions auront un impact plus large. Plus précisément, bien que le paradigme du « transfert aux fins de traitement » de la LPRPDE ait eu tendance à toucher principalement les grandes entreprises, de nombreuses petites et moyennes entreprises utilisent actuellement des services à l’étranger pour traiter les données des clients sous une forme ou une autre. Ces flux transfrontaliers peuvent comprendre l’utilisation de logiciels et d’applications en nuage, le stockage de données en nuage, ainsi que la collecte et le traitement de données à des fins de marketing ou autres. Il est donc plus important que jamais que les dispositions relatives aux données transfrontalières soient claires, accessibles et suffisamment détaillées pour protéger les données personnelles tout en facilitant la conformité et en réduisant l’incertitude. Par conséquent, il est recommandé de les aborder dans une partie précise de la loi et de clarifier les ambiguïtés.

2. Qui est responsable?

La question de la responsabilité est intimement liée à la façon dont les principaux acteurs sont définis. En vertu de la LPRPDE, les organisations sont responsables des renseignements personnels qu’elles transfèrent à une autre organisation à des fins de traitement. Cette approche générale est maintenue dans la LPVPC, bien que la définition de « fournisseur de services » élargisse l’application du projet de loi au-delà des transferts aux fins de traitement.

Comme premier principe, en vertu de la LPVPC, une organisation (le responsable du traitement) est responsable des renseignements dont elle a la gestionNote de bas de page 34. Le paragraphe 7(2) indique que les renseignements personnels relèvent de l’organisation quand elle « décide de les recueillir » et « établit les fins pour lesquelles ils sont recueillis, utilisés ou communiqués ». Ce sera le cas « qu’elle les recueille, utilise ou communique elle-même ou qu’un fournisseur de services le fasse pour elle »Note de bas de page 35. Ainsi, la responsabilité repose carrément sur les épaules de l’organisation qui lance le processus de collecte, d’utilisation ou de communication de données personnelles. La nature de la responsabilité – du moins dans le contexte de transferts de donnéesNote de bas de page 36 – est expliquée en détail au paragraphe 11(1) qui exige que l’organisation veille, « contractuellement ou autrement », à ce que le fournisseur de services à qui les données ont été transférées « offre à leur égard une protection équivalente à celle qu’elle est tenue d’offrir sous le régime de la présente loi ».

Dans ce contexte, le fournisseur de services est exempté de la responsabilité directe en vertu de la LPVPC pour les renseignements personnels qu’il traite au nom de l’organisation. Le fournisseur de services est toutefois directement responsable en vertu du paragraphe 11(2) s’il « recueille, utilise ou communique les renseignements à toutes autres fins que celles pour lesquelles ils lui ont été transférés »Note de bas de page 37. Cela comprend vraisemblablement la responsabilité liée à toute activité inappropriée du fournisseur de services à l’égard des données, même s’il y aurait probablement une responsabilité conjointe dans de telles circonstances. Cela inclurait probablement aussi les circonstances dans lesquelles le fournisseur de services utilise les données à ses propres fins. Par exemple, un fournisseur de services pourrait offrir des services à la clientèle infonuagiques aux clients d’une organisation. Ce faisant, il peut recueillir des données sur les interactions avec les clients à ses propres fins commerciales. On peut supposer qu’il serait directement responsable, en vertu de la LPVPC, de cette deuxième catégorie de données. Cependant, il n’est pas indiqué clairement quelles règles régiraient ses obligations de donner avis de sa collecte ou de son utilisation. Un fournisseur de services pourrait fort bien décider de se prévaloir de l’exception prévue à l’alinéa 18(2)e), qui permet à une organisation de se soustraire à l’obligation de donner un avis et d’obtenir un consentement lorsqu’il n’y a pas de lien direct avec l’individu. Cela affaiblit la transparence dans cette relation et complique beaucoup la tâche des individus qui veulent invoquer la responsabilité des fournisseurs de services à l’étranger. Pour ce qui est de la façon dont ils pourraient être tenus responsables, théoriquement, les individus pourraient déposer des plaintes (même si leur capacité à le faire serait entravée par l’absence d’un lien direct et l’absence possible d’avis et de consentement), et il faudrait vraisemblablement établir un lien réel et substantiel avec le Canada dans les circonstancesNote de bas de page 38.

Toutefois, cette interprétation du paragraphe 11(2), selon laquelle un fournisseur de services serait responsable des renseignements qu’il recueille, utilise ou communique directement dans le cadre de ses relations avec les clients de l’organisation/du responsable du traitement, est quelque peu mis en doute étant donné la façon dont il est formulé. Le paragraphe 11(2) indique que le fournisseur de services sera responsable « s’il les recueille, les utilise ou les communique à toutes autres fins que celles pour lesquelles ils lui ont été transférés »Note de bas de page 39. La disposition semble faire référence aux renseignements qui ont été transférés au fournisseur de services par l’organisation, mais le paragraphe 7(2) précise que les renseignements peuvent être recueillis, utilisés ou communiqués par un fournisseur de services au nom d’une organisation. Les données recueillies par un fournisseur de services au nom d’une organisation ne lui sont pas « transférées » au sens ordinaire du terme. Les données recueillies par le fournisseur de services à ses propres fins ne le sont pas non plus. Par conséquent, compte tenu du contexte des données contemporaines et du libellé du paragraphe 7(2), le paragraphe 11(2) devrait clairement faire référence aux données personnelles qu’un fournisseur de services recueille, utilise ou communique en raison de sa relation avec les clients de l’organisation/du responsable du traitement. Dans sa formulation actuelle, par exemple, le paragraphe 11(2) pourrait ne pas tenir compte des circonstances de l’affaire Equifax Canada, où Equifax Canada a dirigé ses clients vers une relation avec Equifax Inc. basée aux États-Unis, ce qui a entraîné la collecte de leurs données personnelles par la société américaineNote de bas de page 40.

Il se peut que le paragraphe 11(2), tel qu’il est libellé, ne reflète tout simplement pas ce qu’il était censé viser. Par exemple, un fournisseur de services à l’étranger comme un centre d’appels peut avoir accès aux données personnelles détenues par l’organisation; il peut également recueillir des données personnelles supplémentaires à ses propres fins (p. ex., enregistrements vocaux à des fins de vérification, d’examen ou d’évaluation des employés). Cette collecte distincte ne semble pas être visée par le paragraphe 11(2). Le paragraphe 11(2) ne traite pas non plus du cas d’un fournisseur de services à l’étranger dont les services sont retenus pour recueillir des données au nom d’une organisation. Dans ces circonstances, le fournisseur à l’étranger semble être traité comme une « organisation » et non comme un fournisseur de services, mais le paragraphe 11(2) ne responsabilise explicitement les fournisseurs de services que pour les transferts de données et leur utilisation indépendante des données transférées. Cela signifie que les fournisseurs de services qui recueillent des données pour leur propre compte seraient très probablement responsables de ces données sur la base du critère de « lien réel et substantiel ». La LPVPC devrait énoncer clairement la responsabilité des fournisseurs de services à l’égard des données qu’ils recueillent et utilisent de leur propre initiative et à leurs propres fins, afin de soulager les personnes touchées du fardeau d’établir un lien réel et substantiel avant qu’un tribunal n’assume sa compétence.

Dans la mesure où le paragraphe 11(2) rend les fournisseurs de services à l’étranger directement responsables de l’information qu’ils recueillent et utilisent indépendamment de leur entente avec l’organisation/le responsable du traitement, cela peut être loin d’être idéal pour la protection des individusNote de bas de page 41. Une solution de rechange consiste à exiger que toute collecte ou utilisation de données effectuée par le fournisseur de services à ses propres fins soit régie par ses ententes contractuelles avec l’organisation/le responsable du traitement, la responsabilité revenant toujours à l’organisation/au responsable du traitement. Par ailleurs, comme il en sera question plus loin, une autre option consiste à faire en sorte que le fournisseur de services soit assujetti à un régime de protection des données essentiellement similaire.

L’approche de responsabilisation soulève des questions intéressantes en ce qui concerne les fournisseurs de services qui recueillent des renseignements personnels au nom d’une organisation. Dans de telles circonstances, la responsabilité semble exiger que l’organisation veille à ce que la collecte se fasse d’une manière conforme à la loi canadienneNote de bas de page 42. Il n’est pas clair s’il y a une distinction entre un fournisseur de services qui est expressément mandaté pour recueillir des renseignements au nom d’une organisation, et un fournisseur de services qui recueille des renseignements en général et qui les fournira à une organisation à la demande de celle-ci (par exemple, un courtier en données ou un fournisseur de services de reconnaissance faciale). Dans ce dernier cas, l’approche de responsabilisation semble rendre l’organisation responsable de la façon dont le fournisseur de services recueille l’information, même si cette information peut être recueillie avant que la relation entre l’organisation et le fournisseur de services ne soit établie. Cette collecte devrait être conforme aux lois canadiennes, même si le fournisseur de services se conforme aux exigences de ses propres lois nationales. Cela pourrait signifier qu’une organisation canadienne aurait à déterminer si les pratiques d’un fournisseur de services à l’étranger sont conformes à la loi canadienne avant de conclure un contrat avec lui pour la collecte de données personnelles. C’est un autre domaine où une exigence de caractère essentiellement similaire visant le régime de protection des données dans le pays du fournisseur de services assurerait une meilleure protection aux Canadiens.

Le transfert de données par une organisation à un fournisseur de services est exempté des exigences de connaissance ou de consentement en vertu de l’article 19 de la LPVPC. Cela signifie qu’une organisation n’est pas tenue d’informer ses clients que des données personnelles sont externalisées pour être traitées, et que le consentement de ces clients n’est pas requis pour de telles activités. L’organisation demeure responsable de ce qui arrive aux données personnelles (sauf, vraisemblablement, lorsque le fournisseur de services utilise l’information à ses propres fins). Il est toutefois important de noter que l’exception à l’exigence de connaissance ou de consentement ne s’applique qu’aux transferts de données aux fournisseurs de services. On peut supposer qu’une organisation qui retient les services d’un fournisseur de services pour recueillir des données en son nom et pour faire quoi que ce soit avec les données recueillies serait quand même tenue de donner un avis et d’obtenir le consentement pour cette collecte (à moins d’une exception à la connaissance et au consentement)Note de bas de page 43. Cela devrait être explicité. À l’heure actuelle, il n’est pas clair si cette distinction était voulue ou si elle découle indirectement du choix du vocabulaire.

Lorsqu’un transfert a eu lieu, il y a aussi une nouvelle obligation dans la LPVPC qui obligerait une organisation à communiquer au fournisseur de services toute demande d’effacement de ses données personnelles présentée par un individuNote de bas de page 44. Dans de telles circonstances, il incombe également à l’organisation d’obtenir la confirmation que le fournisseur de services a « éliminé » les données.

Bien que les organisations demeurent principalement responsables de l’information qu’elles recueillent ou utilisent par l’intermédiaire de fournisseurs de services, certaines obligations sont imposées directement et explicitement aux fournisseurs de services aux termes de la loi. En vertu de l’article 61, les fournisseurs de services – qu’ils soient des cessionnaires ou des acteurs plus directement engagés – ont l’obligation de signaler toute atteinte aux mesures de sécurité touchant les renseignements personnels à « l’organisation de laquelle ils relèvent »Note de bas de page 45. L’obligation consiste à aviser l’organisation « dès que possible »Note de bas de page 46. Cela soulève des questions d’extraterritorialité intéressantes dans les cas où le fournisseur de services se trouve dans un autre pays. Il n’est pas clair que la prestation de services à une organisation au Canada qui demeure responsable des données personnelles aurait autrement pour effet d’assujettir un fournisseur de services à la LPVPC. Il a été établi que la LPRPDE s’applique aux organisations étrangères lorsqu’un « lien réel et substantiel » avec le Canada existe – en général, cela s’est produit dans les cas où il y a une interaction directe avec des Canadiens (collecte de leurs données ou prestation de services à leur intention)Note de bas de page 47. Il n’a pas encore été établi que celui-ci existe lorsqu’un fournisseur de services a fourni des services à une organisation au Canada qui demeure elle-même directement responsable des données en vertu de la LPRPDE. Les obligations particulières en vertu de la LPVPC, comme la remise d’un avis en cas d’atteinte à la sécurité, sont différentes en ce sens que la loi impose directement des obligations de déclaration aux fournisseurs de services à l’étranger. Si l’on suppose que les fournisseurs de services peuvent être des entités étrangères (ce qui n’est jamais explicite dans la LPVPC), alors l’article 61 semblerait avoir un effet extraterritorial explicite. On peut présumer que l’organisation, dans son contrat avec le fournisseur de services, inclura l’obligation de l’aviser de toute atteinte aux mesures de sécurité – en particulier parce que les organisations sont tenues de fournir un avis d’atteinte à la sécurité en ce qui concerne les renseignements qui relèvent d’elles – et que les renseignements sont considérés comme demeurant sous leur contrôle dans les relations avec les fournisseurs de services. Ce qui n’est pas clair, c’est la mesure dans laquelle un fournisseur de services à l’étranger sera véritablement assujetti à une responsabilité distincte en vertu de la LPVPC en cas de manquement à son obligation particulière en vertu de l’article 61.

3. Quelles conditions doivent être remplies avant que les données puissent traverser les frontières?

Bien que la portée des obligations juridiques relatives aux flux de données transfrontaliers ait peut-être changé, comme il a été mentionné ci-dessus, les organisations demeurent principalement responsables. Leur conformité aux obligations de la LPVPC dépendra en grande partie de la mise en place d’ententes contractuelles qui garantissent que les fournisseurs de services offrent « une protection des renseignements personnels essentiellement équivalente à celle [que l’organisation] est tenue d’offrir sous le régime de la présente loi ». En vertu de la LPRPDE, la disposition 4.1.3 identifie un niveau de protection « comparable ». L’expression « équivalente » semble, du moins à première vue, être une norme plus rigoureuse que l’expression « comparable »Note de bas de page 48. La norme la plus rigoureuse suggère qu’il faudrait fournir des orientations sur les éléments qui doivent être abordés et la façon de le faire dans les ententes contractuelles. Le RGPD énonce un certain nombre d’options à cet égard, y compris des clauses contractuelles types et des règles d’entreprise contraignantesNote de bas de page 49. Le projet de loi 64 du Québec fournit une liste de facteurs dont les organisations doivent tenir compte pour déterminer si un niveau de protection équivalent est offert dans le pays du fournisseur de servicesNote de bas de page 50. En Australie, le Bureau du commissaire à l’information fournit une liste de facteurs à prendre en considération pour les ententes contractuelles, ainsi qu’une liste des facteurs dont il tiendra compte pour déterminer si des mesures raisonnables ont été prises pour assurer un niveau approprié de protection pour les renseignements personnels entre les mains d’un fournisseur de services à l’étrangerNote de bas de page 51.

Lorsque les données sont transférées à un fournisseur de services, le paragraphe 11(1) stipule que l’organisation doit veiller « contractuellement ou autrement » au respect de ce niveau de protection requis. En vertu de la LPRPDE, les contrats étaient le principal moyen par lequel les transferts de données transfrontaliers étaient régis, et il semble que la LPVPC vise à en faire le principal moyen également. On ne sait pas exactement ce que « ou autrement » pourrait inclure.

Il est possible que « ou autrement » soit une référence indirecte aux dispositions concernant les codes de pratique et les programmes de certification, qui pourraient être censés avoir une certaine application dans ce contexte. Ces dispositions (article 76 à 81 du projet de loi C-11) font référence à une « entité » définie comme « une organisation, que la présente loi s’applique à elle ou non, ou d’une institution gouvernementale ». Il n’est pas clair si cela comprend des entités à l’extérieur du Canada (c.-à-d. une organisation à laquelle la Loi ne s’applique pas). Il est certain que les entités extraterritoriales ne sont pas expressément exclues par le libellé du texte de la loi.

La LPVPC permet à une telle entité de « demander au commissaire d’approuver un code prévoyant des pratiques qui permettent de mettre en place une protection des renseignements personnels essentiellement équivalente ou supérieure à tout ou partie de celle prévue sous le régime de la présente loi »Note de bas de page 52. Une entité peut également demander au commissaire d’approuver un programme de certification fondé sur un code de pratique qui prévoit une surveillance et des mesures disciplinairesNote de bas de page 53. Les exigences des programmes de certification doivent être précisées dans des règlementsNote de bas de page 54. Ces règlements devraient fournir des orientations claires et précises sur ce qui doit être inclus. Il est donc concevable qu’une entité canadienne ou étrangère puisse créer un code de pratique et un programme de certification pour les « fournisseurs de services » admissibles, et que le commissaire approuve le code et le programme de certification. Si cela se produisait, une organisation assujettie à la LPVPC pourrait vraisemblablement transférer des données à l’extérieur du pays à un fournisseur de services certifié en vertu d’un tel régime. Ce faisant, on assurerait essentiellement le même niveau de protection « contractuellement ou autrement ».

Si, en fait, le code de pratique et les dispositions relatives à la certification peuvent être utilisés de cette façon, cela crée une deuxième option pour le respect des obligations imposées aux organisations qui transfèrent des données à des fins de traitement. La première option consiste à assurer une conformité substantielle par contrat, et la deuxième consiste à faire appel à un fournisseur de services certifié conformément à l’article 77.

Il conviendrait de noter que d’autres régimes prévoient un éventail de mécanismes pour aider les organisations à respecter leurs obligations en matière de protection des données lorsque des renseignements personnels traversent les frontières. Il peut s’agir de clauses contractuelles types (RGPDNote de bas de page 55), de clauses contractuelles modèles (Nouvelle-ZélandeNote de bas de page 56), d’une liste de considérations pour les clauses contractuelles (AustralieNote de bas de page 57), de règles d’entreprise contraignantes (RGPDNote de bas de page 58, AustralieNote de bas de page 59), de régimes contraignants prescrits (AustralieNote de bas de page 60, Nouvelle-ZélandeNote de bas de page 61), ou d’une liste de facteurs législatifs pour l’évaluation (QuébecNote de bas de page 62). D’autres pays exigent également que les organisations aient des motifs raisonnables de croireNote de bas de page 63 que le régime étranger satisfait aux exigences reliées au caractère adéquat. Le projet de loi 64 du Québec exige que les organisations procèdent à une évaluation selon les facteurs prescrits, et l’évaluation doit établir que le renseignement « bénéficierait d’une protection équivalant à celle prévue à la présente loi »Note de bas de page 64.

La Convention 108+ est une convention internationale intéressante et importante sur la protection des données à laquelle le Canada devrait songer à adhérerNote de bas de page 65. Entre autres, la Convention108+ traite des transferts de données transfrontaliers. Une disposition de la Convention 108+ à ce sujet n’est pas abordée de quelque façon que ce soit dans la LPVPC. Il s’agit des exigences en matière de responsabilité démontrable et de recours précis. Le paragraphe 14(6) est libellé ainsi :

Chaque Partie prévoit également que l’autorité de contrôle peut aussi exiger de la personne qui transfère les données qu’elle démontre l’effectivité des garanties prises ou l’existence d’intérêts légitimes prépondérants et qu’elle peut, pour protéger les droits et les libertés fondamentales des personnes concernées, interdire ou suspendre les transferts ou soumettre à condition de tels transferts de données.Note de bas de page 66

Compte tenu des vulnérabilités importantes auxquelles les personnes peuvent être exposées lorsque leurs données traversent les frontières nationales, ces mesures de protection supplémentaires devraient être ajoutées à la LPVPC.

4. Savoir s’il convient d’aborder, et de quelle manière, le caractère adéquat du régime de protection des renseignements personnels du pays de destination

Lorsque des renseignements personnels sont transférés à un fournisseur de services à l’étranger, cela peut entraîner de nouveaux risques. Comme il a été mentionné précédemment, les nouvelles réalités des flux de données transfrontaliers signifient également que les fournisseurs de services peuvent fort bien recueillir et utiliser des renseignements personnels à leurs propres fins. Dans l’UE, les dispositions relatives au traitement à l’étranger des données personnelles sont fondées sur l’offre d’un niveau de protection adéquat pour les données. Parce que la LPVPC reconnaît que les fournisseurs de services peuvent recueillir et utiliser des renseignements personnels de façon indépendante, et parce qu’ils sembleraient être directement responsables de cette collecte et de cette utilisation, le caractère adéquat du régime juridique dans le pays du fournisseur de services revêt une importance directe. En vertu du RGPD, les exigences concernant le caractère adéquat peuvent être satisfaites de plusieurs façons, à commencer par une évaluation au niveau européen de l’adéquation du régime de protection des données dans le pays de destination. Le Canada a clairement choisi de ne pas emprunter cette voie. Au lieu de cela, l’obligation première que la LPVPC impose aux organisations consiste à veiller à ce que le fournisseur de services puisse assurer un niveau de protection des données personnelles qui est essentiellement le même. Cela devra se faire au moyen de contrats, puisqu’aucun autre mécanisme n’est prévu dans la LPVPC. Cependant, un contrat prévoyant la protection de données transférées est différent de la protection des données recueillies et utilisées de manière indépendante par le fournisseur de services. Comme il a été mentionné précédemment, les codes de pratiques et les programmes de certification prévus aux articles 76 à 81 de la LPVPC peuvent offrir une option semblable aux codes sectoriels et aux mécanismes de certification approuvés que l’on retrouve dans le RGPD. Toutefois, la LPVPC n’exige pas clairement que ce niveau de protection soit présent lorsque le fournisseur de services recueille et utilise des données à ses propres fins. La nouvelle Privacy Act 2020Note de bas de page 67de la Nouvelle-Zélande offre un bon exemple de la façon dont cela peut se faire. Lorsque des renseignements personnels sont utilisés par un fournisseur de services à ses propres fins, le responsable du traitement doit avoir des « motifs raisonnables » de croire que le fournisseur de services est assujetti à des lois sur la protection des renseignements personnels qui offrent des « mesures de protection comparables » à celles de la Nouvelle-ZélandeNote de bas de page 68. Subsidiairement, le fournisseur de services doit faire partie d’un régime exécutoire prescrit, ou être dans un pays qui s’est avéré fournir des mesures de protection comparablesNote de bas de page 69. Une autre solution consiste à mettre en place une entente contractuelle qui prévoit des mesures de protection comparablesNote de bas de page 70.

Comme il a été mentionné précédemment, la règle générale en ce qui concerne les transferts de données aux fournisseurs de services en vertu de la LPVPC prévoit que l’organisation n’est pas tenue de donner un avis ou d’obtenir un consentement à l’égard de ces pratiques. Le paragraphe 62(1) et l’alinéa 62(2)d) laissent entendre que l’obligation est légèrement différente lorsque les données sont transférées à un fournisseur de services à l’extérieur de la province ou du pays. Ces dispositions se lisent comme suit :

62(1) L’organisation rend facilement accessible, dans un langage clair, des renseignements sur les politiques et les pratiques qu’elle a mises en place afin de respecter les obligations qui lui incombent sous le régime de la présente loi.

(2) À cet égard, l’organisation rend accessibles les renseignements suivants :

d) le fait qu’elle effectue ou non des transferts ou des communications de renseignements personnels interprovinciaux ou internationaux pouvant avoir des répercussions raisonnablement prévisibles sur la vie privée;

L’organisation est obligée de fournir dans un langage clair l’information relative à ses politiques et à ses pratiques au sujet du « fait qu’elle effectue ou non des transferts ou des communications de renseignements personnels interprovinciaux ou internationaux pouvant avoir des répercussions raisonnablement prévisibles sur la vie privée »Note de bas de page 71. Cela pourrait être interprété comme une exigence de fournir un avis de tout transfert ou de toute communication ayant des répercussions raisonnablement prévisibles sur la vie privée. Cependant, l’expression « qu’elle effectue ou non » (« whether or not » dans la version anglaise) laisse entendre que l’intention pourrait être d’exiger des organisations qu’elles fassent aussi une sorte de déclaration affirmative selon laquelle elles croient que leurs transferts de données transfrontaliers ou leurs communications de renseignements personnels n’ont aucune incidence raisonnablement prévisible sur la vie privée. Néanmoins, il n’est pas clair si l’expression « qu’elle effectue ou non » est utilisée de façon redondante et, donc, si elle signifie vraiment « qu’elle effectue », ou s’il s’agit d’une obligation de traiter expressément des transferts transfrontaliers et d’énoncer leur incidence présumée. Ce point doit être clarifié.

Une autre question est celle de savoir ce que signifie « répercussions raisonnablement prévisibles sur la vie privée ». On peut supposer que toutes les mesures mises en place par une organisation visent à s’assurer qu’il n’y aura pas de répercussions sur la vie privée lorsque les données sont transférées à un fournisseur de services. Les « répercussions raisonnablement prévisibles sur la vie privée » doivent donc être un euphémisme pour les risques supplémentaires qui découlent des lois du pays de traitement. Ces effets peuvent être que ces lois s’appliqueront à toute collecte, utilisation et communication indépendantes de renseignements personnels par l’organisation à l’étranger, et que les Canadiens devront exercer un recours en vertu de ces lois, qui n’offriront peut-être pas le même niveau de protection. Il se peut aussi que les renseignements personnels des Canadiens puissent être consultés par les autorités de l’État dans le pays du fournisseur de services sans que les Canadiens aient des recours adéquats. À l’heure actuelle, le commissaire exige par le biais de documents d’orientation que les organisations donnent un avis précis des risques liés aux transferts transfrontaliers en ce qui concerne l’accès aux données par des autorités étatiquesNote de bas de page 72. Il est à noter que le libellé de l’alinéa 62(2)d) reflète le choix explicite de ne pas exiger des organisations qu’elles assurent un niveau adéquat de protection – y compris en ce qui concerne l’accès des États aux données – dans le pays de destination. Cela rend les Canadiens vulnérables. Même si la LPVPC ne contient pas de régime d’adéquation au niveau de l’État, les organisations qui font appel à des fournisseurs de services à l’étranger pour la collecte, l’utilisation ou la communication des données personnelles de Canadiens devraient assumer une certaine responsabilité dans l’évaluation du caractère adéquat du régime de protection des données dans le pays de destination.

Enfin, l’obligation énoncée à l’alinéa 62(2)d) semble simplement viser à rendre disponibles des renseignements indiquant si l’organisation « effectue ou non » des transferts transfrontaliers et s’il y a ou non des répercussions raisonnablement prévisibles sur la vie privée. S’il y a des répercussions raisonnablement prévisibles sur la vie privée, une véritable transparence exigerait que l’on fournisse beaucoup plus de renseignements, y compris le ou les pays où se trouvent les fournisseurs de services. De plus, si les fournisseurs de services doivent participer directement à la collecte et à l’utilisation de données personnelles, l’identité de ces fournisseurs de services devrait être divulguée, ainsi que des renseignements sur la possibilité que le fournisseur de services se livre à ces activités et sur le fait que le fournisseur de services, et non l’organisation, est considéré comme responsable des données dans ces circonstances.

L’inclusion du mot « interprovinciaux » à l’alinéa 62(2)d) est étrange, puisque ces dispositions semblent clairement porter sur les régimes de protection des données des pays étrangers. Une autre province sera liée par la LPVPC ou par une loi sur la protection des données du secteur privé qui a été jugée essentiellement similaire à la LPVPC. Tout accès par des organismes d’application de la loi ou de sécurité nationale aux données sera vraisemblablement le même que celui qui peut se produire en vertu de la LPRPDE. À moins qu’il n’y ait une raison d’inclure le terme « interprovinciaux » à l’alinéa 62(2)d) – et toute raison de ce genre devrait être claire – ce mot embrouille les choses et devrait être supprimé.

Recommandations

Recommandation 1 :

L’importance et la complexité des flux de données transfrontaliers et la participation croissante des petites et moyennes entreprises sont telles qu’elles doivent être abordées dans un article distinct de la loi, afin que les droits et les obligations soient clairs et accessibles. Cela permettra également d’exprimer le fait que la loi s’applique aux flux de données transfrontaliers. Une telle section devrait contenir une version de l’article 11 de la LPVPC remaniée pour traiter expressément du contexte des transferts transfrontaliers.

Recommandation 2 :

La nature changeante des flux de données transfrontaliers exige un libellé qui reflète clairement ces changements. Il est donc recommandé que les termes utilisés pour décrire les acteurs participant aux flux de données transfrontaliers soient clairs et distincts, et qu’ils soient directement liés aux rôles et aux responsabilités à l’égard des données personnelles. Cette approche reconnaîtra de façon inhérente que, par exemple, une organisation peut être un sous-traitant pour certaines fonctions et un responsable du traitement pour d’autres.

Recommandation 3 :

La LPVPC s’applique à un large éventail d’actions (collecte, utilisation et communication) menées relatives aux données par les organisations et les fournisseurs de services. Toutefois, certaines dispositions utilisent les termes « transfert » et « données transférées » qui ne reflètent pas adéquatement cette vaste portée. Il y a donc une incertitude quant à l’application de ces dispositions dans certaines circonstances. Ces dispositions devraient être revues et reformulées. Voir en particulier les paragraphes 7(2), 11(1) et 11(2), l’article 19 et l’alinéa 62(2)d).

Recommandation 4 :

La définition de « fournisseur de services » prévoit expressément la sous-traitance. La loi devrait indiquer clairement que, dans une situation de sous-traitance, l’organisation/le responsable du traitement demeure responsable en dernier ressort des données personnelles.

Si les organisations sont censées être responsables de ce qui arrive aux données personnelles qui sont entre les mains d’un sous-traitant, la LPVPC devrait prévoir qu’un entrepreneur ne peut pas sous-traiter des services de données personnelles sans le consentement de l’organisation/du responsable du traitement.

Recommandation 5 :

Les fournisseurs de services à l’étranger ne devraient pas pouvoir se prévaloir de l’exception relative aux « activités d’affaires » pour l’avis et le consentement prévue à l’alinéa 18(2)e) lorsqu’ils recueillent et utilisent des données pour leur propre compte.

Recommandation 6 :

À l’heure actuelle, le paragraphe 11(1) de la LPVPC impose aux organisations qui transfèrent des données à des fournisseurs de services la responsabilité d’assurer une protection appropriée « contractuellement ou autrement ». Des mécanismes précis devraient être énumérés dans la loi pour permettre aux organisations de s’assurer qu’une « protection essentiellement équivalente des renseignements personnels » est prévue dans les contrats de transfert transfrontalier de données. Ceux-ci devraient comprendre des clauses contractuelles types prescrites par règlement ou des clauses contractuelles non obligatoires élaborées par le Commissariat en consultation avec les parties intéressées. Une autre option est une liste de considérations dont il faut tenir compte dans la rédaction des clauses contractuelles.

Rien dans la LPVPC ne précise ce que « ou autrement » pourrait signifier dans le paragraphe 11(1). La LPVPC devrait être modifiée de façon à indiquer clairement que des dispositions sur les codes de pratique et les programmes de certification peuvent être utilisées pour établir une « protection essentiellement équivalente des renseignements personnels » dans le contexte des flux de données transfrontaliers. De plus, la loi devrait inclure des options qui correspondent à l’expression « ou autrement », comme des règles ou des régimes d’entreprise contraignants.

Recommandation 7 :

À l’heure actuelle, le paragraphe 11(2) prévoit que les fournisseurs de services sont directement responsables en vertu de la LPVPC de tout renseignement personnel transféré qu’ils recueillent, utilisent ou communiquent à leurs propres fins. Cette responsabilité ne devrait pas se limiter à l’information qui leur est transférée, mais devrait également comprendre l’information que le fournisseur de services recueille, utilise et communique pour son propre compte relativement aux clients de l’organisation.

L’article 11 devrait être modifié pour indiquer clairement que les fournisseurs de services doivent offrir une protection essentiellement équivalente à celle que l’organisation est tenue de fournir pour tous les renseignements personnels sous sa garde, qu’ils soient transférés au fournisseur de services par l’organisation ou qu’ils soient recueillis, utilisés ou communiqués par le fournisseur de services au nom de l’organisation.

Recommandation 8 :

La LPVPC prévoit qu’un fournisseur de services peut recueillir des renseignements personnels au nom d’une organisation. Elle devrait être modifiée pour préciser que lorsque les fournisseurs de services fournissent des renseignements à des organisations qui auraient pu être recueillis par le fournisseur de services avant la relation particulière, l’organisation doit s’assurer que les renseignements ont été recueillis conformément aux lois canadiennes sur la protection des données.

Recommandation 9 :

L’article 61 impose aux fournisseurs de services l’obligation de signaler les atteintes à la protection des données aux organisations/responsables du traitement. Dans le cas des fournisseurs de services à l’étranger, la façon dont cette obligation est exécutoire n’est pas claire. La LPVPC devrait être modifiée pour prévoir que, dans le cas des fournisseurs à l’étranger, l’obligation de donner un avis à l’organisation/au responsable du traitement doit faire partie de leurs ententes contractuelles.

Recommandation 10 :

L’exigence de « transparence » à l’alinéa 62(2)d) est actuellement inadéquate. Elle devrait être modifiée pour atteindre les objectifs suivants :

  1. L’ambiguïté entourant l’expression « qu’elle effectue ou non » devrait être corrigée, ainsi que l’incertitude entourant les actes qui ont « des répercussions raisonnablement prévisibles sur la vie privée ».
  2. Les organisations devraient être tenues de fournir des renseignements indiquant si elles effectuent un transfert ou une communication de renseignements personnels à l’étranger, et fournir suffisamment de détails sur ces activités pour permettre aux personnes de comprendre les répercussions sur leurs droits et de demander des comptes aux organisations ou aux fournisseurs de services. Cela devrait inclure le ou les pays dans lesquels les fournisseurs de services sont situés.
  3. Les organisations devraient être tenues de donner un avis précis de tout risque lié à l’accès aux données personnelles par les autorités du pays du fournisseur de services.
  4. Lorsque les fournisseurs de services recueillent et utilisent des données à leurs propres fins, les organisations devraient être tenues de divulguer l’identité du fournisseur de services ainsi que le fait que le fournisseur de services, et non l’organisation, est responsable de ces données personnelles.

Recommandation 11:

Le projet de loi C-11 devrait inclure une disposition exigeant que les organisations examinent si un contrat conclu avec un fournisseur de services accordera substantiellement la même protection que celle offerte par la LPVPC, en tenant compte du régime juridique de protection des données en place dans le pays d’un fournisseur de services qui recueillera, utilisera ou communiquera des données personnelles en son nom.

Recommandation 12 :

Pour renforcer la protection des droits des Canadiens dans le contexte des flux de données transfrontaliers, pour veiller à ce que le Canada satisfait aux normes établies dans la Convention 108+, et pour permettre au Canada d’adhérer à la Convention 108+, la LPVPC devrait être modifiée pour prévoir que :

  1. Le commissaire peut demander à une organisation de démontrer l’efficacité de toute mesure de protection mise en place pour régir les transferts de données;
  2. Le commissaire est expressément habilité à interdire, suspendre ou assortir de conditions les transferts de données à l’étranger dans les cas où une protection essentiellement similaire n’est pas en place.
Date de modification :