« Traduire » les REC pour les appliquer au contexte canadien

Commentaires dans le cadre du Sommet mondial 2013 de l’International Association of Privacy Professionals (IAPP)

Le 7 mars 2013
Washington (DC)

Allocution prononcée par Chantal Bernier
Commissaire adjointe à la protection de la vie privée du Canada

(La version prononcée fait foi)


Introduction

Je vous remercie de vous joindre à nous ce matin pour cette discussion entre experts au sujet de l’utilisation des règles d’entreprise contraignantes (REC) à l’extérieur de l’Europe.

Puisque le Canada ne possède pas un système de REC, je commencerai par expliquer pourquoi j’ai été heureuse d’accepter l’invitation d’Eduardo à participer à une discussion entre experts à ce sujet.

Il y a deux raisons : premièrement, le Commissariat met l’accent sur la responsabilité à titre de principale condition préalable à la protection des données et les REC constituent un important instrument de responsabilité.  

Deuxièmement, le Commissariat canadien et le Commissariat à l’information du Royaume-Uni sont à la tête d’une initiative visant à encourager et à promouvoir la coopération des forces de l’ordre afin de garantir la protection des renseignements personnels à l’échelle mondiale, ce qui est aussi précisément le but visé par les REC

L’enjeu consiste dès lors à déterminer comment divers régimes de responsabilité, soit les REC dans les pays de l’Union européenne et les principes relatifs à l’équité dans le traitement de l’information ailleurs dans le monde, se comparent et interagissent afin de mettre au point un régime efficace pour la protection des données à l’échelle mondiale.

Les principaux messages que je souhaite vous communiquer aujourd’hui sont les suivants :

  • Notre but doit être de faire la preuve de la responsabilité.
  • Aucun régime, qu’il s’agisse d’un régime plus encadré comme les REC ou d’un système plus souple comme celui du Canada, n’est meilleur ou pire qu’un autre au moment de faire la preuve de la responsabilité. Chaque régime est le produit d’une orientation de politique juridique et commerciale découlant, dans chaque pays, d’un examen des avantages et des inconvénients dictés par les traditions juridiques et les priorités nationales.

Je me pencherai aujourd’hui sur le sujet en :

  • Commençant par vous situer dans le contexte afin de clarifier l’utilisation que je fais du mot « traduire »;
  • Dégageant ce que je vois comme étant l’essence même des REC;
  • Traduisant cette essence de façon à l’appliquer au régime canadien en matière de responsabilité et de protection de la vie privée à l’échelle mondiale;
  • Terminant par une comparaison des avantages et des inconvénients des REC et des instruments utilisés par le Canada pour assurer la responsabilité.

« Traduire »

Un bon traducteur vous dira que son travail ne consiste pas à traduire des mots, mais bien des idées.

C’est ce qui m’amène à dégager, à des fins de comparaison, les mots qui sont utilisés dans la description des REC et les idées qu’ils ont pour but de communiquer.

L'essence des REC

Une règle d’entreprise contraignante, ou REC, est décrite comme une politique interne en matière de protection de la vie privée par l’entremise de laquelle une entreprise s’engage à protéger les transferts de données au-delà des frontières entre ses propres entités commerciales, et qui a obtenu l’approbation d’une autorité de protection des données de l’Union européenne.

Le Groupe de travail Article 29 a récemment approuvé l’utilisation de REC pour les tierces parties chargées du traitement des données embauchées par une telle entreprise.

Ce régime a pour but de tenir les entreprises qui se livrent à des activités commerciales sur le territoire de l’Union européenne responsables du respect des normes de protection des données adoptées par l’Union européenne dans l’univers plein de risque des transferts transfrontaliers de données, y compris dans les cas où une entreprise a recours aux services d’une tierce partie chargée du traitement des données. Elle permet aux pays de l’Union européenne d’élargir la portée de leurs activités au-delà de leurs frontières.

J’aimerais mettre l’accent sur la façon dont ces aspects centraux de responsabilité et de portée transfrontière sont reproduits à l’intérieur du régime canadien.

Le régime canadien

Mais commençons par définir les piliers du régime canadien.

Le Canada est reconnu pour son approche modérée, qui représente un croisement entre la tradition juridique européenne et les politiques commerciales nord-américaines.

Même si cette approche douce et médiane nous attire parfois des moqueries, je crois que cela vaut la peine de fournir quelques précisions – pas pour défendre notre approche, mais bien pour l’expliquer.

Voici : le Canada a hérité à la fois du common law britannique et du droit civil français, et la législation qui régit son secteur privé est appliquée principalement dans un contexte nord-américain.

En ce qui a trait à la protection des données dans le secteur privé, nous avons intégré les deux traditions juridiques à nos propres choix législatifs, tout en tenant compte des réalités des échanges commerciaux dans un contexte nord-américain.

Le résultat n’est pas le même qu’en Europe, dans le sens où nous avons deux régimes de protection de la vie privée; un pour le secteur public et un pour le secteur privé. Nous nous distinguons également des États-Unis parce que nous avons une seule loi applicable au secteur privé pour tous les secteurs d’activité et un commissaire à la protection de la vie privée dont le mandat porte essentiellement sur la protection des données et qui ne relève pas d’un organisme de protection des consommateurs.

Notre objectif consiste à maintenir un régime de protection des données solide assorti d’une approche souple et qui favorise les échanges commerciaux. Cet objectif est énoncé à l’article 3 de la loi applicable au secteur privé, dont le but est décrit comme suit :

régissant la collecte, l’utilisation et la communication de renseignements personnels d’une manière qui tient compte du droit des individus à la vie privée à l’égard des renseignements personnels qui les concernent et du besoin des organisations de recueillir, d’utiliser ou de communiquer des renseignements personnels à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances.

Le fruit de nos efforts est un régime susceptible de jeter un pont entre les régimes de protection des données européen et américain. Ce régime comporte les caractéristiques suivantes :

  1. Nous avons un rôle d’ombudsman. Malheureusement, le Commissariat n’a aucun pouvoir en matière d’application de la loi, contrairement à la Federal Trade Commission ou à d’autres de ses homologues étrangers. Cela dit, nous tirons le meilleur parti possible des pouvoirs qui nous ont été accordés :
    1. Nous avons le pouvoir de nommer les entreprises fautives lorsque cela est dans l’intérêt du public. C’est d’ailleurs ce pouvoir qui nous a amenés à dénoncer publiquement les lacunes que nous avons décelées dans les réglages liés à la vie privée de Facebook ou dans les mécanismes de gouvernance de la protection de la vie privée de Google dans l'affaire Wi-Fi;
    2. Si le mis en cause n’accepte pas nos recommandations, nous avons le pouvoir de saisir les tribunaux de l’affaire, avec l’accord du plaignant, comme nous l’avons fait pour Nexopia, un site Web à l’intention des jeunes, ou seuls, lorsque nous sommes les auteurs de la plainte.
  2. Contrairement au régime mis en place par l’Union européenne, qui s’applique à tous les types de responsables du traitement des données, le nôtre ne s’applique qu’aux activités commerciales.
  3. Nous n’obligeons pas non plus les organisations ou les responsables du traitement des données à s’enregistrer auprès de nous, mais notre législation rend obligatoire le respect des principes relatifs à l’équité dans le traitement de l’information.
  4. Enfin, notre régime ne comporte pas d’interdiction de transférer les données aux fins de leur traitement et nous n’utilisons pas le concept de caractère approprié de la législation étrangère — toutefois, en vertu des principes relatifs à l’équité dans le traitement de l’information, une entreprise « doit, par voie contractuelle ou autre, fournir un degré comparable de protection aux renseignements qui sont en cours de traitement par une tierce partie. » J’y reviendrai plus tard.
  5. Même avec des pouvoirs restreints, et sans régime de REC, le Commissariat fait respecter son autorité à l’étranger, comme nous l’avons démontré lors de nos enquêtes sur des entreprises étrangères. Deux principaux critères régissent l’exercice de notre autorité sur des entreprises étrangères.
    1. Le premier critère est la collecte, l’utilisation ou la communication de renseignements personnels appartenant à des Canadiens dans le cadre d’activités commerciales internationales.
    2. Le deuxième critère est la présence d’un lien réel et substantiel avec le Canada. Nous utilisons un éventail de facteurs pour établir ce lien, dont les suivants :
      • l’endroit où l’activité visée par la plainte a eu lieu;
      • la destination de l’information et des profits;
      • l’endroit où ont lieu les activités préparatoires;
      • le lieu de résidence ou l’emplacement des intervenants, comme les utilisateurs finaux, les intermédiaires, les fournisseurs de contenu ou les serveurs hôtes;
      • l’emplacement du contrat;
      • l’emplacement où a lieu toute procédure connexe;
      • le lieu principalement visé par les efforts de promotion.
    3. Nous avons tout récemment exercé notre autorité sur l’entreprise américaine WhatsApp dans le cadre d’une enquête coordonnée avec l’autorité néerlandaise de protection des données. J’y reviendrai également plus tard.

  6. Enfin, même si le Commissariat ne possède pas les pouvoirs d’exécution de la loi de la FTC ou de certains de ses homologues étrangers, comme je l’ai indiqué plus tôt, d’autres instances de réglementation canadiennes possèdent une autorité qui recoupe celle du Commissariat, et certaines d’entre elles possèdent des pouvoirs en matière d’exécution de la loi. Prenons par exemple la décision rendue en 2012 par le Conseil de la radiodiffusion et des télécommunications canadiennes, le CRTC, qui a collaboré avec la FTC et l’Australian Commission and Media Authority afin d’imposer une amende à une entreprise indienne pour utilisation inappropriée de renseignements personnels appartenant à des Canadiens après qu’il ait été déterminé que l’entreprise en question offrait aux Canadiens une protection contre les virus informatiques qui lui permettait de prendre les commandes des ordinateurs de ses victimes. En 2011, le CRTC a également exercé son autorité à l’extérieur des frontières du Canada pour empêcher une entreprise mexicaine de téléphoner à des Canadiens qui s’étaient inscrits sur une liste de numéros de téléphone exclus.

Permettez-moi maintenant de délaisser le contexte législatif étendu pour aborder le sujet de la responsabilité, qui est le premier élément essentiel des REC, et pour indiquer ce que cela signifie pour le Canada.

Le concept fondamental de la responsabilité, dans le contexte de la législation canadienne, prévoit :

  • qu’une organisation est responsable des renseignements personnels qu’elle détient;
  • qu’une organisation est aussi responsable des renseignements personnels qu’elle a recueillis et transférés à des fins de traitement.

L’infonuagique est un exemple évident des pratiques visées par une telle disposition, mais cette dernière s’applique toutefois également aux fournisseurs de services externes comme les services d’assurance-maladie pour les employés d’une entreprise, les responsables du traitement des données en ce qui a trait à l’élimination de ces dernières, etc.

L’approche souple et axée sur des principes que nous avons adoptée correspond aux choix stratégiques que nous avons faits en vue de faciliter les échanges commerciaux. Plus précisément :

  • Nous cherchons à favoriser l’interopérabilité à l’échelle mondiale en ne mettant pas seulement l’accent sur les moyens permettant de protéger les données, mais sur la fin visée. Nous avons postulé qu’il suffit que la fin visée soit assujettie au principe de la protection du droit à la vie privée des individus en ce qui a trait à leurs renseignements personnels — il n’est pas nécessaire de la définir plus en détail. Cela permet aux entreprises qui se conforment aux lois d’autres pays de respecter également les nôtres dans la mesure où la fin visée est la même. Certains pourraient penser que nous sommes moins exigeants, mais nous dirions au contraire que nous le sommes davantage : en nous concentrant sur la fin plutôt que sur les moyens, nous obligeons les entreprises à déterminer les moyens par elles-mêmes.
  • Cela étant dit, nous n’avons pas totalement cédé les rênes aux entreprises. L’année dernière, en collaboration avec les commissaires de la Colombie-Britannique et de l’Alberta – qui sont, avec le commissaire du Québec, les seuls commissaires provinciaux du Canada à avoir autorité sur le secteur privé — nous avons élaboré un document d’orientation intitulé Un programme de gestion de la protection de la vie privée : la clé de la responsabilité. Le lien entre ce document d’orientation et les REC est le suivant : les conseils pas à pas prodigués aux entreprises canadiennes et aux entreprises qui brassent des affaires au Canada afin de leur permettre d’élaborer des politiques et des pratiques en matière de protection des données appropriées et de faire la preuve de leur application devrait renforcer la fiabilité de ces politiques et de ces pratiques d’une façon qui devrait aussi accroître leur fiabilité aux yeux des autorités de protection des données américaines, facilitant ainsi leur approbation dans le cadre du processus relatif aux REC.
  • Ce document d’orientation, qui est fondé sur l’objectif énoncé dans la législation qui consiste à concilier le droit à la vie privée et le besoin, pour les organisations, d’utiliser des renseignements personnels, s’inscrit dans la même lignée que le règlement européen proposé qui met si explicitement l’accent sur la protection des données comme condition pour l’établissement d’une relation de confiance, elle-même nécessaire à la compétitivité économique. Les consommateurs préfèrent cesser de faire affaire avec une entreprise qui ne respecte pas comme il se doit leurs renseignements personnels.
  • Enfin, ce document fournit des éclaircissements sur l’élargissement du devoir de responsabilité des tiers ayant signé un contrat, qui est un enjeu particulièrement d’actualité à l’ère de l’infonuagique et l’un des éléments centraux des REC.

Tout comme les REC ont pour but de régir la protection des données sortant du pays, la législation canadienne prévoit qu’une entreprise qui transfère des données doit faire preuve de diligence raisonnable sur plusieurs points :

  • Les données doivent être protégées au moyen de clauses contractuelles afin de garantir un « niveau de protection des données comparable »;
  • Le niveau de protection doit être proportionnel au niveau de sensibilité des données;
  • L’entreprise doit tenir compte des exigences du régime étranger.

Cela m’amène à aborder plus précisément le deuxième élément essentiel des REC, soit le flux transfrontières des données et la façon dont cet enjeu est traité par le régime canadien.

Je me dois, une fois de plus, de vous fournir quelques éclaircissements au sujet du régime canadien :

  1. Notre régime juridique n’établit aucune distinction entre les transferts de données à l’échelle nationale et internationale — dans les deux cas, la responsabilité incombe à l’organisation qui transfère les données et celle-ci doit veiller à ce que le niveau de protection des données soit maintenu.
  2. Notre régime juridique ne fait pas non plus de distinction entre l’acheminement de données à l’interne ou à un tiers — tandis que les REC ne s’appliquent qu’au flux transfrontières de données au sein d’une entreprise, notre régime juridique comprend une exigence qui s’applique à tous les flux transfrontières de données, que ce soit à l’intérieur d’une entreprise ou à un tiers. La condition suivante doit être respectée : l’entreprise qui transfère les données doit veiller à ce que le niveau de protection demeure comparable, et elle demeure responsable d’y veiller.
  3. Cette obligation sera respectée au moyen des mesures suivantes :
    1. Dispositions contractuelles ou autres moyens s’appuyant sur les normes relatives à la protection des données;
    2. Vérifications régulières par l’entreprise effectuant le transfert;
    3. Inspections, au besoin, par l’entreprise effectuant le transfert. 

L’élément déterminant est que les « transferts » ne constituent pas une divulgation, mais une utilisation – il en résulte une continuité du régime légal applicable au moment de la collecte, qui est assujetti à la législation étrangère, après le transfert.

Ainsi, même s’il ne possède pas de REC, il est évident que le Canada s’est doté d’un régime visant la continuité de la protection des données au-delà des frontières. Mais ce n’est pas tout.

Laissez-moi maintenant vous parler de notre approche en matière de protection des données à l’échelle internationale.

L’une des priorités du Commissariat consiste à contribuer aux efforts déployés en vue d’une conformité mondiale en matière de protection de la vie privée : puisque les données ne peuvent plus être contenues à l’intérieur des frontières, la protection doit s’étendre au-delà de celles-ci.

C’est avec cette vision en tête que nous contribuons au renouvellement, par l’OCDE, des Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel, et nous avons récemment lancé de nouvelles initiatives en matière d’exécution de la législation mondiale en matière de protection des données.

Mentionnons deux grandes initiatives à cet égard :

  • Tout d’abord, le Commissariat dirige, avec son homologue du Royaume-Uni, un groupe de travail sur l’exécution de la législation mondiale formé d’autorités de la protection des données – nous envisageons de collaborer en vue de tenir les multinationales responsables de la protection des renseignements personnels, d’adopter des positions conjointes au sujet des initiatives des entreprises à l’échelle mondiale, d’unir nos forces en nous ralliant aux efforts déployés par une autorité au lieu de les reproduire en ce qui a trait à la réalisation d’analyses ou d’enquêtes sur les politiques ou les pratiques en matière de protection de la vie privée de multinationales. Afin d’opérationnaliser cette orientation, le Commissariat a conclu quatre protocoles d’entente bilatéraux en vue de la mise en commun de l’information nécessaire à l’accomplissement des fonctions de façon coordonnée.
  • Ensuite, comme je l’ai mentionné plus tôt, nous venons de mener à bien, en collaboration avec l’autorité néerlandaise de protection des données, la toute première enquête coordonnée à l’échelle internationale. Nous avons, comme nos homologues de l’autorité néerlandaise, pris connaissance de certaines des pratiques d’une entreprise américaine nommée WhatsApp, un service de messagerie par Internet. Ces pratiques nous ont semblé préoccupantes sur certains points, nommément en ce qui a trait aux mesures de protection (les messages n’étaient pas chiffrés), à la transparence (l’ampleur de la divulgation de l’endroit n’était pas suffisamment claire) et à la collecte (l’entreprise recueillait des renseignements au sujet des non-utilisateurs afin de les distinguer des utilisateurs).
  • WhatsApp s’est montrée très disposée à collaborer à la résolution des problèmes soulevés et a déjà mis en place des mesures visant à soulager certaines de nos préoccupations. Nous estimons que la collaboration avec l’autorité néerlandaise de protection des données a enrichi notre enquête de plusieurs façons :
    • WhatsApp a probablement été encore plus encline à collaborer en voyant que deux autorités de protection des données, et non une seule, faisaient enquête.
    • Nous avons conclu l’enquête beaucoup plus rapidement qu’à l’habitude pour quelques raisons, dont les suivantes : (i) la collaboration susmentionnée de WhatsApp découlant de l’intervention conjointe de nos organismes; (ii) la division de certaines responsabilités liées à l’enquête entre le Commissariat et l’autorité néerlandaise de protection des données. Les Néerlandais ont pris en charge une grande partie de l’analyse technologie alors que le Commissariat, en plus d’évaluer les constatations d’ordre technologique avec les Néerlandais, a assumé le rôle d’interlocuteur et de négociateur principal auprès de WhatsApp.
    • Nous avons utilisé nos ressources beaucoup plus efficacement en les regroupant. Nous croyons que cette enquête ne sera pas la seule que nous mènerons en collaboration.

Avantages et inconvénients

Permettez-moi de conclure en comparant les mécanismes de reddition de comptes relatifs aux transferts de données transfrontières en vertu des REC, qui sont fondés sur des règles, et du régime canadien, qui est fondé sur des principes, en fonction des éléments qui pourraient disparaître, ou se voir ajoutés, dans le cadre du processus de traduction :

  1. Les REC, nous le reconnaissons volontiers, permettent d’exercer un plus grand contrôle sur les détenteurs de données en ce qui a trait aux modalités de la protection des données, cela dit, notre régime permet une plus grande latitude pour ce qui est de favoriser la conformité en se fondant sur des principes plutôt que sur des règles;
  2. Les REC permettent aussi une meilleure prévention : le fait qu’une autorité de protection des données de l’Union européenne approuve les modalités avant que le transfert ait lieu garantit que toutes les règles applicables sont en place. Le régime canadien, pour sa part, favorise la confiance; nous ne croyons certainement pas dans un régime fondé sur l’autoréglementation, mais nous estimons que l’avantage concurrentiel lié à la protection de la vie privée, combiné aux principes relatifs à l’équité dans le traitement de l’information clairs qui sont énoncés dans nos lois et auxquels les organisations sont tenues de se conformer, placent la responsabilité de la protection des données entre les mains des intervenants qui devraient l’assumer, c’est-à-dire les entreprises.
  3. Les REC mettent de l’avant des règles claires et qui font état de conditions précises. En choisissant de préconiser des principes plutôt que des règles, notre régime cherche à donner aux entreprises la latitude voulue pour se conformer aux lois en tenant compte de leur taille, de la nature de leurs activités ou d’autres faits importants sans pour autant compromettre l’objectif fondamental lié à la protection de la vie privée.
  4. Enfin, les REC sont fondées sur les règles en vigueur au sein de l’Union européenne et obligent par conséquent les entreprises étrangères qui font des affaires dans des pays de l’Union européenne à se conformer à la fois au régime de chacun de ces pays et au régime de l’Union européenne. Le régime canadien favorise quant à lui l’interopérabilité puisqu’il permet aux entreprises de se conformer à des ensembles de règles différents tant et aussi longtemps que ces derniers respectent les principes relatifs à l’équité dans le traitement de l’information.

Les deux approches comportent également des avantages communs : 1) l’harmonisation des pratiques en matière de vie privée au sein d’un groupe d’organisations; 2) la garantie du maintien des mesures de protection et d’atténuation des risques lors des transferts de renseignements à des pays tiers; 3) la création d’un registre public pour la communication à l’externe de la politique d’une entreprise; 4) la création d’un registre interne servant à guider les employés dans la prise de décisions; 5) l’intégration de la protection des données aux activités de l’entreprise, et ce, peu importe leur nature.

Je ne crois pas que l’un de ses régimes soit supérieur à l’autre, mais j’aimerais terminer en vous posant cette question : dans un contexte de mondialisation, où il existe divers ensembles de règles, mais un objectif qui est le même pour tous, comment chaque régime doit-il s’adapter afin de demeurer efficace?

Il me fera plaisir de poursuivre cette conversation avec vous.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :