Photo by John Matychuk on Unsplash

Le Canada s’interroge quant à ses règles en matière de transferts transfrontaliers de données

Après l’annonce récente relative à sa consultation au sujet de changements aux règles en matière de circulation transfrontalière des données, le Commissariat à la protection de la vie privée du Canada (le «Commissariat») publiait hier un document précisant ce qu’il espérait entendre de la collectivité.

Ce Document de discussion supplémentaire – Consultation sur la circulation transfrontalière des données vient préciser la nature de la démarche du Commissariat. On commence par y préciser la nature du changement qu’il propose, à savoir qu’il s’avère peut-être approprié d’interpréter dorénavant les transferts transfrontaliers de données vers des fournisseurs de services (c.-à-d. pour traitement) comme une « communication » au sens de la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE »).

En effet, le Commissariat nous avisait récemment qu’il envisage d’adopter une interprétation révisée de la LPRPDE, après avoir erré (selon lui) dans le passé. Selon lui, « le transfert de renseignements personnels d’une organisation à une autre correspond clairement à la définition généralement connue des mots communication et communiquer ». Ce faisant, on devrait, toujours selon lui, dorénavant présumer que tout transfert à un tiers pour traitement de données présuppose qu’on détienne le consentement des individus visés. Ce serait, pour tout dire, un changement majeur à la façon dont on a interprété la LPRPDE depuis 10 ans. Ce n’est pas la façon dont nos entreprises font généralement actuellement les choses.

C’est là le changement qu’on envisage d’apporter aux règles canadiennes en matière de renseignements personnels, comme nous le mentionnions récemment.

Question d’aligner la conversation que tente de générer le Commissariat à ce sujet, le document qu’il publiait hier vient poser une dizaine de questions précises à la communauté. Ces questions comprennent notamment (je paraphrase) :

  • Le consentement devrait-il s’appliquer aux transferts de renseignements personnels aux fins de traitement?
  • Quelle devrait être la portée des exigences de la loi en matière de consentement valable pour un transfert, notamment s’il doit être implicite ou explicite, le niveau de détails, etc.?
  • Pourquoi, en pratique, la nouvelle exigence juridique d’un consentement valable aurait-elle un impact important pour les organisations, particulièrement compte tenu du fait qu’on doit déjà, en principe, informer les individus en cas de transfert potentiel?
  • S’il en est, quels éléments devraient être divulgués quand une organisation obtient le consentement pour un transfert aux fins de traitement à l’intérieur du Canada?
  • Le changement proposé pose-t-il un problème relativement aux obligations internationales du Canada?

Le Commissariat nous donne jusqu’au 4 juin 2019 pour lui fournir nos observations à ce sujet.