Consentement pour les transferts aux fins de traitement : Le Commissariat à la protection de la vie privée maintient le statu quo

Le 23 septembre, le Commissariat à la protection de la vie privée du Canada (Commissariat) a annoncé, après avoir consulté les intervenants, qu’il maintenait la position énoncée dans les lignes directrices de 2009 voulant que le transfert de renseignements personnels à un tiers aux fins de traitement, y compris un transfert transfrontalier, constitue une « utilisation » de ces renseignements personnels et non une « communication » entraînant l’obligation d’obtenir un consentement distinct.

Cette annonce clarifie, du moins temporairement, une question ayant causé des maux de tête aux organisations et même au Commissariat, l’été dernier, alors que tous s’interrogeaient sur les conséquences éventuelles de l’annonce de juin 2019, dans laquelle le Commissariat proposait un changement de politique visant à traiter les transferts aux fins de traitement comme une « communication » plutôt que comme une « utilisation » de renseignements personnels en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

Un pas de recul

En janvier 2009, le Commissariat a publié les lignes directrices sur le transfert transfrontalier de renseignements personnels expliquant que le « transfert » de renseignements personnels par une organisation aux fins de traitement constitue une « utilisation » et non une « communication » de ces renseignements personnels. La limite était que les renseignements transférés ne pouvaient être utilisés qu’aux fins pour lesquelles ils avaient été recueillis. Par conséquent, lorsqu’une organisation transférait des renseignements personnels à un tiers aux fins de traitement, aucun consentement supplémentaire n’était nécessaire. Le traitement était largement interprété de façon à englober toute utilisation de l’information par la tierce partie afin que ceux-ci soient utilisés aux fins auxquelles l’organisation qui les transfère pouvait les utiliser.

Le Commissariat a expressément énoncé dans ses lignes directrices que les organisations devaient aviser les consommateurs de façon claire et compréhensible, idéalement au moment de la collecte, que leurs renseignements personnels pouvaient être envoyés dans un autre pays et que les organismes d’application de la loi et agences de sécurité nationale de ce pays pourraient y accéder. Les lignes directrices précisaient notamment qu’une fois que des consommateurs avertis décidaient de faire affaire avec une entreprise, ils ne pouvaient pas s’opposer à ce que leurs renseignements personnels soient transférés.

Les organisations ont dûment structuré leurs pratiques et procédures en matière de consentement afin de tenir compte de cette interprétation de la LPRPDE. Par conséquent, la grande majorité des organisations ne demandaient pas de consentement supplémentaire pour les transferts aux fins de traitement.

Toutefois, en avril 2019, le Commissariat a revu cette position. Le Commissariat a expressément exprimé son avis selon lequel les transferts de renseignements personnels aux fins de traitement, notamment les transferts transfrontaliers, constituaient des communications devant faire l’objet d’un consentement distinct. Ce changement d’opinion s’inscrivait dans la foulée des résultats d'enquête d’avril 2019 sur la conformité d’Equifax Inc. et d’Equifax Canada Co. à la LPRPDE à la suite de l’atteinte à la sécurité des renseignements personnels en 2017. Le Commissariat s’est alors fondé sur le principe que les personnes s’attendent à savoir si et où leurs renseignements personnels peuvent être transférés ou communiqués à une organisation à l’extérieur du Canada.

Selon l’interprétation révisée du Commissariat, les organisations devraient informer les personnes des options qui s’offrent à elles si elles ne souhaitent pas que leurs renseignements personnels soient communiqués au-delà des frontières. Ainsi, les personnes seraient en mesure de prendre une décision éclairée quant à leur consentement à la communication et au choix de faire affaire ou non avec l’organisation.

Le Commissariat, qui avait d’abord prévu consulter les intervenants sur cette révision de position, a plutôt pris un pas de recul en mai 2019 lorsque le ministère de l’Innovation, des Sciences et du Développement économique (ISDE) a publié sa charte canadienne du numérique, qui envisage la modernisation de la LPRPDE. Ce fut un bref recul, le Commissariat réitérant sa demande de consultation en juin.

Après avoir reçu et étudié 87 mémoires d’intervenants, la plupart préoccupés par le changement de position proposé, le Commissariat est revenu à sa position initiale, c’est-à-dire qu’un « transfert » de renseignements personnels par une organisation aux fins de transfert correspondait de nouveau à une « utilisation » et non à une « communication » de ces renseignements. Le Commissariat, reconnaissant que plus d’une interprétation de la loi était possible au sujet de l’obligation de consentement, s’est fondé sur une approche pragmatique pour conclure qu’il maintenait sa position antérieure jusqu’à ce que la LPRPDE soit modifiée.

Le Commissariat se concentrera maintenant sur ses représentations auprès d’ISDE visant la modernisation de la LPRPDE, y compris sur la façon de protéger le plus efficacement possible la vie privée dans le cadre de transferts de données aux fins de traitement. Bien que le débat ne soit pas clos, il appert que le Parlement sera celui qui tranchera la question.

Les défis associés aux changements de position du Commissariat

Les lignes directrices du Commissariat, bien qu’elles représentent un outil important et utile pour interpréter la LPRPDE, ne constituent pas un précédent jurisprudentiel et peuvent être modifiées plus librement.

D’autre part, les organisations définissent leurs processus organisationnels en fonction de ces lignes directrices, qui permettent aux organisations et aux consommateurs d’être assurés de la conformité de ces processus aux obligations prévues par la loi concernant la protection des renseignements personnels. Après tout, la LPRPDE vise « à faciliter et à promouvoir le commerce électronique en protégeant les renseignements personnels recueillis, utilisés ou communiqués dans certaines circonstances ».

Par conséquent, en maintenant le statu quo dans un effort visant à maintenir la confiance des organisations envers leurs propres processus, tout en faisant comprendre clairement qu’il juge ces processus déficients, le Commissariat a bel et bien apporté temporairement une certaine clarté, atténuée par un sentiment persistant d’incertitude entourant ses attentes de fait et ses intentions futures au sujet des transferts de renseignements personnels aux fins de traitement.

Par ailleurs, ce qui ressort clairement de la plus récente annonce du Commissariat est que les organisations devraient à tout le moins être transparentes avec les personnes et les informer que leurs renseignements personnels pourraient être traités dans un pays étranger et que les organismes d’application de la loi et agences de sécurité nationale de ce territoire pourraient y accéder. La pratique exemplaire serait d’aviser les personnes des détails du transfert au moment de l’obtention du consentement.

Enfin, avec l’annonce de la perte ou de l’utilisation abusive de renseignements par les organisations dans les médias, les consommateurs sont davantage conscients du traitement de leurs renseignements personnels. Lorsque les consommateurs ne croient pas que les organisations répondent à leurs attentes en matière de transparence et de sécurité, cela peut entraîner un risque d’atteinte à la réputation et un risque d’ordre juridique. Les organisations devraient prendre connaissance des attentes de leurs clients et des risques associés au transfert de leurs renseignements personnels dans un autre territoire lorsqu’elles élaborent leurs modes de consentement et de transfert, particulièrement lorsque le transfert de renseignements personnels transfrontaliers comporte des risques importants de communication de renseignements personnels, comme le transfert d’information sur l’exercice d’activités légales au Canada lorsque ces activités ne sont pas légales dans d’autres territoires (utilisation du cannabis (en anglais seulement), par exemple).