Le CPVP révise son approche en matière de transferts transfrontaliers de données dans le cadre de la décision Equifax

Dans une décision importante rendue récemment, le Commissariat à la protection de la vie privée du Canada (CPVP) a modifié le cadre réglementaire relatif au transfert de renseignements personnels entre sociétés membres du même groupe et à l’extérieur du Canada à des fins de traitement et de conservation des données.

Toute organisation régie par la loi fédérale intitulée Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) devra réévaluer et probablement adapter son approche en ce qui concerne de tels transferts transfrontaliers de données, ce qui aura possiblement une incidence sur ses relations avec les fournisseurs et autres sociétés qui fournissent des services d’impartition et d’informatique en nuage. Le CPVP a également entamé une période de consultation d’une durée de deux mois avec les intervenants au sujet de cet important changement de principe.

En septembre 2017, Equifax Inc., la société mère d’Equifax Canada aux États-Unis, a annoncé qu’un pirate informatique avait accédé aux renseignements personnels de plus de 143 millions de personnes, dont environ 19 000 Canadiens. Parmi les renseignements personnels compromis, l’on comptait les numéros d’assurance sociale et autres renseignements sensibles permettant d'identifier une personne. En mai 2017, les pirates ont exploité une vulnérabilité connue qu’Equifax Inc. avait omis de corriger et ils ont pu manœuvrer les systèmes d’Equifax Inc. sans être détectés pendant quatre mois.

Une enquête du CPVP a conclu que les renseignements personnels des Canadiens visés avaient été recueillis par Equifax Inc. par l’intermédiaire de produits offerts directement aux consommateurs ou d’alertes à la fraude d’Equifax Canada. Il a été conclu que les infrastructures de sécurité des deux sociétés membres du même groupe étaient largement intégrées. Plusieurs des plaignants qui se sont adressés au CPVP et ayant subi la perte de leurs renseignements personnels se sont dits surpris que leurs renseignements personnels se trouvent aux États-Unis. Il a été conclu qu’Equifax Inc. avait fourni les produits sous-jacents et les alertes et que, pour ce faire, elle avait recueilli ces renseignements personnels elle-même, directement ou auprès d’Equifax Canada.

Conclusions du CPVP

Le CPVP a entrepris une vaste enquête pour aborder six questions connexes. Il a fourni des lignes directrices utiles sur les pratiques appropriées relativement aux mesures de sécurité appliquées aux renseignements sensibles (y compris la gestion de la vulnérabilité des systèmes, la surveillance, la séparation des réseaux et la mise en œuvre de pratiques de base de protection des renseignements), la conservation et la destruction des renseignements personnels et les mesures d’atténuation offertes aux personnes touchées après la perte des renseignements personnels. Plus important encore, le CPVP a vérifié si Equifax Canada et Equifax Inc. avaient respecté les obligations en matière de responsabilité et de consentement prévues dans la LPRPDE.

Responsabilité

Le premier et le plus important principe de la LPRPDE sur la « Responsabilité » indique qu’une organisation est responsable des renseignements personnels dont elle a la gestion. L’alinéa 4.1.3 de la LPRPDE précise à ce sujet que les renseignements personnels qu’une organisation a en sa possession ou sous sa garde comprennent ceux qui ont été confiés à une tierce partie aux fins de traitement. L’organisation doit, par voie contractuelle ou autre, fournir un degré comparable de protection aux renseignements qui sont en cours de traitement par une tierce partie.

Le CPVP a d’abord établi que bien qu’Equifax Inc. soit un membre du groupe d’Equifax Canada, elle constitue une tierce partie traitant les renseignements pour Equifax Canada. Celle ci avait la responsabilité de prendre les mesures appropriées pour protéger les renseignements personnels des Canadiens. Le CPVP a conclu qu’Equifax Canada avait failli à son obligation pour diverses raisons, notamment du fait qu’elle n’avait pas conclu d’entente interentreprises avec Equifax Inc. relativement aux produits offerts et qu’elle avait plutôt fait mention, dans la politique relative à la protection de la vie privée et les conditions d’utilisation mises à la disposition de ses clients, de la possibilité que les données soient en partie traitées par le membre du même groupe qu’elle.

En conséquence, du moins en ce qui concerne les renseignements personnels qui traversent la frontière canadienne, le CPVP énonce les processus et les ententes écrites qui devraient exister entre les organisations membres du même groupe relativement au transfert de renseignements personnels entre elles, et les organisations ne doivent pas s’attendre à ce que ces obligations soient remplies du seul fait de l’existence de relations intersociétés ou d’une mention de ces relations dans des alertes ou des ententes en ligne avec les utilisateurs.

Consentement

L’aspect du rapport du CPVP qui comporte le plus de conséquences constitue son évaluation du respect par Equifax Canada du troisième principe clé sur le « Consentement », selon lequel toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, sauf dans certains cas limités. L’article 6.1 de la LPRPDE dispose que le consentement n’est valable que s’il est raisonnable de s’attendre à ce que l’individu comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles il a consenti.

Conformément aux décisions et aux pratiques antérieures du CPVP, les organisations régies par la LPRPDE avisent généralement les personnes, par l’intermédiaire de déclarations de principe ou de conditions d’utilisation, lorsque le traitement a été, ou pourrait être, imparti à une tierce partie à l’extérieur du Canada.

Le CPVP a résumé cette directive dans son document intitulé « Traitement transfrontalier des données personnelles - Lignes directrices », et a confirmé que le « transfert » de renseignements personnels d’une organisation à une autre à des fins de traitement constitue une « utilisation » plutôt qu’une « communication » et qu’aucun consentement supplémentaire n’était requis dans le cadre du transfert outre le consentement obtenu lors de la première « collecte », pourvu que les renseignements soient utilisés aux fins auxquelles ils ont été recueillis. Cette approche a facilité l’impartition transfrontalière et les services d’informatique en nuage pour les organisations. De fait, il s’agit de l’approche qui avait été adoptée par Equifax Canada.

Cependant, pour diverses raisons, le CPVP a conclu que le consentement obtenu par Equifax Canada n’était pas valable dans cette situation et que seulement un consentement exprès à l’égard du transfert et du traitement des données par une entité membre du groupe aux États-Unis serait satisfaisant.

Fait important, le CPVP a reconnu que ses lignes directrices précédentes qui sont citées ci-dessus seraient révisées et qu’il pourrait être préférable de considérer le transfert de données à des fins de traitement comme une « communication » qui n’est pas nécessairement visée par le consentement initial plutôt que comme une « utilisation » des renseignements personnels ne nécessitant pas un nouveau consentement. En adoptant cette approche, le CPVP semble indiquer qu’une organisation doit obtenir un nouveau consentement exprès avant de transférer des renseignements personnels à des fins de traitement à une autre organisation à l’extérieur du Canada, même s’il s’agit d’un membre du même groupe qu’elle. L’application du principe du consentement dans ce contexte est l’objet de la consultation du CPVP en cours compte tenu de son importance pour les organisations et leurs sous-traitants dans notre économie numérique extrêmement fluide et intégrée.

Conclusion

Avant de conclure une entente qui comporte le transfert transfrontalier de renseignements personnels à des fins de traitement, même à une entité membre de son groupe, toutes les organisations assujetties à la LPRPDE devraient :

• envisager d’obtenir un consentement exprès des personnes visées avant le transfert, conformément aux lignes directrices du CPVP qui figurent dans la décision Equifax;
• conclure une entente écrite avec le sous-traitant et adopter les nombreuses mesures de sécurité et autres pratiques et processus décrits dans la décision Equifax et autres documents publiés par le CPVP;
• surveiller l’évolution du processus de consultation du CPVP pour déterminer si d’autres lignes directrices plus précises sont élaborées au sujet des exigences en matière de transfert des données et de consentement individuel.