Photo by NASA on Unsplash

Le Canada songe à contraindre l’exportation de renseignements personnels vers l’étranger

Le Commissariat à la protection de la vie privée du Canada (le « Commissariat ») lançait il y quelques jours une consultation sur la circulation transfrontalière des données. L’idée derrière cette initiative concerne la mesure dans laquelle les entreprises devraient pouvoir exporter des données, notamment des renseignements personnels, au-delà des frontières canadiennes, sans nécessairement obtenir de consentement des individus touchés.

Ce qu’il faut savoir à ce sujet, c’est que le Commissariat avait statué sur la question en 2009, en énonçant dans des lignes directrices que la Loi sur la protection des renseignements personnels et les documents électroniques (la «LPRPDE») ne s’opposait pas à ce genre de pratique. Selon le Commissariat alors, le transfert transfrontalier de renseignements personnels s’avérait acceptable. En somme, il concluait alors que:

«La LPRPDE n’interdit pas aux organisations du Canada de transférer des renseignements personnels à une organisation dans un pays étranger aux fins de traitement. Toutefois, en vertu de la LPRPDE, les organisations sont tenues responsables de la protection des transferts de renseignements personnels en vertu de chaque accord d’impartition individuel. Le Commissariat à la protection de la vie privée du Canada peut enquêter sur des plaintes et mener des vérifications concernant les pratiques de traitement des renseignements personnels des organisations. (…) Le « transfert » constitue une utilisation de l’information par l’organisation, à ne pas confondre avec une communication. »

Ce faisant, pendant les 10 dernières années (et encore actuellement), la position du Commissaire a toujours été qu’une entreprise peut transférer des renseignements vers l’étranger, pourvu que l’individu visé ait consenti à l’utilisation pour laquelle c’est fait. À part cela, les entreprises sont libres d’exporter comme bon leur semble. C’est l’effet.

Dix ans plus tard, notre société évolue et commence à comprendre le prix à payer pour les citoyens de permettre autant de transferts de données vers l’étranger, notamment une perte inévitable de contrôle par les individus sur leurs renseignements. Le Commissaire amorce donc une réflexion à ce sujet, remettant en question le compromis qui avait été fait entre la protection des renseignements personnels des Canadiens et la nécessité pour les entreprises (souvent à des fins d’efficacité ou d’économie) d’exporter des données, notamment vers des fournisseurs de services américains. Il semblerait qu’en pratique, le principe qui veut que l’entreprise demeure responsable de ce qu’elle transmet ne s’avère pas suffisant.

Le Commissaire en est donc à se demander si on ne devrait pas plutôt décréter à l’avenir que toute divulgation à un tiers, incluant les fournisseurs de services, requiert un consentement des individus visés. Un tel changement viendrait renverser la position actuelle voulant qu’une exportation vers un simple fournisseur de services ne se qualifie pas comme réelle divulgation. Ce changement viendrait d’ailleurs modifier le cadre pour couvrir non seulement les transferts vers l’étranger, mais aussi toute divulgation à un tiers à l’intérieur du Canada.