Photo by NASA on Unsplash

Le Canada songe à contraindre l’exportation de renseignements personnels vers l’étranger

Le Commissariat à la protection de la vie privée du Canada (le « Commissariat ») lançait il y quelques jours une consultation sur la circulation transfrontalière des données. L’idée derrière cette initiative implique la mesure dans laquelle les entreprises devraient pouvoir exporter des données incluant des renseignements personnels au-delà des frontières canadiennes, sans nécessairement obtenir de consentement des individus touchés.

Ce qu’il faut savoir à ce sujet, c’est que le Commissariat avait statué sur la question en 2009, en énonçant dans des lignes directrices que la Loi sur la protection des renseignements personnels et les documents électroniques (la «LPRPDE») ne s’opposait pas à ce genre de pratique. Selon le Commissariat alors, le transfert transfrontalier de renseignements personnels s’avérait acceptable. En somme, ces lignes statuaient alors que:

«La LPRPDE n’interdit pas aux organisations du Canada de transférer des renseignements personnels à une organisation dans un pays étranger aux fins de traitement. Toutefois, en vertu de la LPRPDE, les organisations sont tenues responsables de la protection des transferts de renseignements personnels en vertu de chaque accord d’impartition individuel. Le Commissariat à la protection de la vie privée du Canada peut enquêter sur des plaintes et mener des vérifications concernant les pratiques de traitement des renseignements personnels des organisations. (…) Le « transfert » constitue une utilisation de l’information par l’organisation, à ne pas confondre avec une communication. »

Ce faisant, pendant les derniers dix ans (et encore actuellement), la position du Commissaire était à l’effet constant qu’une entreprise peut transférer des renseignements vers l’étranger, pourvu que l’individu visé ait consentit à l’utilisation pour laquelle c’est fait fasse l’objet d’un consentement. À part cela, les entreprises ont la liberté d’exporter comme bon leur semble. C’est l’effet.

Dix ans plus tard, notre société évolue et commence à comprendre le prix à payer pour les citoyens de permettre autant de transferts de données vers l’étranger, incluant une perte résultante inévitable de contrôle par les individus de leurs renseignements. Le Commissaire amorce donc une réflexion à ce sujet, questionnant le compromis qui avait été fait entre la protection des renseignements personnels des Canadiens et la nécessité pour les entreprises (souvent à des fins d’efficacité ou d’économie) d’exporter des données, dont vers des fournisseurs de services américains. Semblerait qu’en pratique, malgré le premier principe qui veut que l’entreprise demeure responsable de ce qu’elle transmet ne s’avère pas suffisant.

Le Commissaire est donc à se demander si on ne devrait pas plutôt décréter à l’avenir que toute divulgation à un tiers, incluant les fournisseurs de services, requiert un consentement des individus visés. Un tel changement viendrait renverser la position actuelle à l’effet qu’une exportation vers un simple fournisseur de service ne se qualifie pas d’une réelle divulgation. Ce changement viendrait d’ailleurs modifier le cadre pour couvrir non-seulement les transferts vers l’étranger mais aussi toute divulgation à un tiers à l’intérieur du Canada.