Le 9 avril 2019, le Commissariat à la protection de la vie privée du Canada (Commissariat) a annoncé la mise en œuvre de changements fondamentaux à sa position de principe relativement à la circulation transfrontalière de données aux termes de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Une consultation publique est en cours jusqu'au 4 juin 2019.

Nouvelle exigence de consentement préalable pour les transferts de données

La position de principe du Commissariat, telle qu'elle a été établie dans ses Lignes directrices sur le traitement transfrontalier de données personnelles de 2009, était que la LPRPDE ne requiert pas de consentement additionnel pour le transfert de données personnelles par une organisation à un fournisseur de services, qu'elle soit située au Canada ou dans un autre pays. Les lignes directrices stipulaient plutôt que la LPRPDE requiert le consentement en fonction des fins auxquelles a lieu le traitement de l'information. Conformément au principe de responsabilité sur lequel repose la LPRPDE, l'organisation qui effectuait le transfert était responsable de l'information transmise à une autre organisation. Un transfert de données pour traitement par une tierce partie était considéré comme une « utilisation » de cette information, plutôt qu'une « communication ». Par conséquent, si l'information était bel et bien utilisée aux fins pour lesquelles elle avait été recueillie à l'origine, il n'était pas nécessaire d'obtenir un consentement additionnel pour son transfert, contrairement à celui requis pour le traitement d'information.

Contraste frappant avec sa position précédente, voilà que le Commissariat suggère que le consentement préalable est requis pour toutes les « communications » d'information entre organisations, y compris les transferts entre les organisations et leurs fournisseurs de services, et que de tels transferts sont maintenant considérés comme des « communications » d'information plutôt qu'une « utilisation » de cette dernière. La proposition s'appliquerait apparemment à tous les transferts, qu'ils aient été effectués entre des organisations au sein du Canada ou qu'ils s'agissent de transferts transfrontaliers, mais les transferts transfrontaliers semblent bien faire l'objet d'une concentration particulière dans le cadre de la consultation. Par exemple, la proposition semble suggérer que dans le cas de transferts transfrontaliers, l'organisation doit informer le particulier des options qui s'offrent à lui s'il ne souhaite pas que ses données personnelles fassent l'objet d'une communication transfrontalière, et des options doivent être mises à sa disposition également concernant « toute collecte, utilisation ou communication non nécessaire pour fournir le produit ou service ». 

La raison pour cette réorientation n'est pas claire et semble du moins partiellement influencée par le régime européen aux termes du Règlement général sur la protection des données (RGPD), sans toutefois tenir compte des différences majeures entre le RGPD et la LPRPDE en matière de transferts transfrontaliers. En particulier, une distinction clé entre la proposition du Commissariat et du RGPD est qu'en vertu de ce dernier, le consentement pour les transferts de données ne sera pas toujours requis, y compris lorsque le transfert de données est nécessaire pour la réalisation d'un contrat entre l'organisation et le particulier à la demande de ce dernier.  

Réorientation majeure par rapport aux lois canadiennes sur la protection de la confidentialité

Les changements proposés font fi de l'approche établie en ce qui a trait aux transferts de données en vertu des autres lois canadiennes touchant la protection de la confidentialité. Par exemple, la plupart des lois de protections des données personnelles de santé (y compris celles réputées « similaires en substance » à la LPRPDE, telle que la LPRPS de l'Ontario) considère explicitement le partage d'information avec un agent ou un fournisseur de services comme une « utilisation » de l'information par le dépositaire et non comme une « communication » à une tierce partie, ce qui exigerait l'obtention d'un consentement additionnel. Si le Commissariat en venait à adopter l'interprétation opposée à l'égard de la LPRPDE, les organisations pourraient se retrouver assujetties à des obligations et des règlements conflictuels. De plus, les particuliers pourraient se retrouver aux prises avec des libellés de consentement très longs, alors que l'information communiquée depuis longtemps au moyen de politiques de confidentialité ouvertes et écrites clairement figure dans des communications sommaires auxquelles on ajoute les fins de traitement de l'information pour lequel le particulier doit donner son consentement.

Conséquences pour les organisations

Le changement de position du Commissariat semble ne pas tenir compte d'une multitude de difficultés pratiques potentielles pour les organisations ayant trait à ce qui suit, mais sans s'y limiter :

  • la difficulté de s'orienter parmi les exigences conflictuelles de régimes de protection de la confidentialité très divergents dans divers secteurs et compétences à l'échelle du pays, surtout en ce qui a trait au traitement de données personnelles sur la santé;
  • la création de politiques et procédures réalisables en vue d'obtenir le consentement individuel valable relativement à des transferts transfrontaliers de données pour chacun des nouveaux fournisseurs de services; et
  • la révision de politiques de confidentialité et procédures récemment mises à jour conformément aux nouvelles Lignes directrices pour obtenir un consentement valable pour tenir compte d'un grand nombre de situations dans le cadre desquelles le consentement informé de clients et de partenaires commerciaux actuels devra être obtenu pour le transfert d'information en vue de traitement ─ même dans des cas où le consentement individuel quant au traitement lui-même a déjà été obtenu.

Consultation

Il est impératif que les parties prenantes participent à la consultation d'ici le 4 juin 2019 afin d'aborder toutes les préoccupations pratiques qui ne manqueront pas d'être soulevées en réponse à la nouvelle position du Commissariat.