NPC Alertes de sécurité

English

Le Commissariat à la protection de la vie privée du Canada exige l'obtention d'un consentement pour les transferts transfrontaliers de données

May 6, 2019


Remarque à l'intention des clients canadiens de NPC : notre système de stockage de données pour NPC DataGuard et Office 365 est situé au Canada. Cette alerte vous concerne seulement si vous utilisez d'autres applications ou processus qui comprennent le transfert transfrontalier de données.


Quelle est la problématique?

Dans le cadre d'une décision prise le 9 avril à la suite de l'atteinte à la protection des données chez Equifax, le Commissariat à la protection de la vie privée du Canada (CPVP) a revu sa position de principe concernant le stockage et le traitement des renseignements personnels canadiens à l'extérieur du pays. Cette activité est régie par la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). La LPRPDE s'applique à presque toutes les organisations canadiennes et à tous les particuliers qui agissent à titre d'organisation. L'Alberta, la Colombie-Britannique et le Québec ont adopté des lois provinciales très semblables à celles de la LPRPDE, qui sont appliquées à l'échelle provinciale.

La position antérieure du CPVP sur les transferts transfrontaliers de données était que le consentement n'était pas requis pour le transfert des renseignements personnels. Les transferts transfrontaliers de données aux fins de traitement ou de stockage, que ce soit vers un service infonuagique ou une société affiliée, n'étaient pas considérés comme de la divulgation de données à la partie responsable du stockage ou du traitement, mais plutôt comme une utilisation des renseignements personnels par l'organisation qui les a recueillis. La responsabilité des données incombait à l'entité qui les avait recueillies, mais le CPVP accordait peu d'importance à l'endroit où elles étaient stockées ou traitées. Le CPVP maintient que les principes de la LPRPDE s'appliquent toujours. Ils comprennent, entre autres, la responsabilité des données recueillies et la transparence quant à l'utilisation et au traitement. La transparence envers les particuliers quant au traitement des données recueillies se résumait souvent à des politiques affichées sur un site Web ou à du texte inclus dans le document des modalités. C'est ce qu'on appelle généralement le consentement tacite.

Le CPVP a maintenant déclaré que sa position précédente était probablement inexacte en vertu de la loi et prétend que tous les transferts transfrontaliers de renseignements personnels nécessitent l'obtention d'un consentement valable, également appelé consentement exprès.

Ce niveau de consentement est décrit dans la LPRPDE et exige qu'une entité s'assure que le niveau de consentement est proportionnel au risque de préjudice envers la personne dans l'éventualité d'une atteinte à la protection des données. Dans la plupart des cas, le consentement exprès n'est pas facile à obtenir, car il y aura de nombreux échanges entre la personne et l'organisation qui recueille les renseignements. Cela exige que la personne soit informée en détail des nombreux faits liés aux renseignements recueillis et aux processus mis en œuvre, y compris les raisons pour lesquelles ils ont été recueillis, la nature de l'utilisation, les personnes qui les consulteront, les degrés de protection, la capacité de l'utilisateur de les manipuler et de les récupérer. LE CPVP considère que les personnes ont le droit de savoir où sont leurs renseignements personnels et comment ils sont protégés ainsi que s'ils sont assujettis au régime juridique d'un autre pays.

Ce problème découle en partie du fait que certains Canadiens se sont plaints auprès du CPVP parce qu'ils ont appris que les renseignements personnels qu'ils ont soumis à Equifax Canada ont été envoyés aux états-Unis aux fins de traitement et de stockage seulement lors de l'annonce de l'atteinte à la protection des données.

Bien que le CPVP ait indiqué qu'il s'agit de sa nouvelle position, il mène actuellement une consultation sur la circulation transfrontalière des données où il invite les parties intéressées à poser des questions et à formuler des commentaires. La consultation se terminera le 4 juin 2019. En nous basant sur les expériences passées, nous croyons que le CPVP pourrait modifier légèrement sa position à la suite de la consultation, mais il est fort probable que cette nouvelle procédure plus stricte pour le traitement des données pour les organisations qui recueillent des renseignements personnels demeure en place.

Nous croyons que ce changement dans l'application de la LPRPDE aura des répercussions importantes sur les divers services infonuagiques, de stockage de données et d'application utilisés par les organisations canadiennes dans le cadre de leurs activités. Par exemple, une entreprise de services financiers qui utilise un système de sauvegarde de données ou un logiciel de gestion des relations avec la clientèle d'un fournisseur des états-Unis qui ne dispose pas de serveurs au Canada devra obtenir un consentement valable et signé chaque année pour chacun de ses clients. Cette gestion continue dépasse largement les exigences actuelles.


Que dois-je faire?

Nous surveillerons cette situation et enverrons des mises à jour si d'autres nouvelles sont annoncées avant ou après la consultation. Les entreprises et les professionnels du Canada qui recueillent des renseignements personnels sur leurs clients ou qui les reçoivent dans le cadre d'un processus opérationnel devraient commencer à vérifier où sont situés les serveurs de leurs divers fournissent de services. Ils devraient également vérifier si le niveau de consentement dont ils disposent est suffisant pour satisfaire à la nouvelle interprétation des transferts transfrontaliers de renseignements personnels.


Pour en savoir plus :

Commissariat à la protection de la vie privée du Canada - Lignes directrices pour l'obtention d'un consentement valable

Commissariat à la protection de la vie privée du Canada - Consultation sur la circulation transfrontalière des données

Commissariat à la protection de la vie privée du Canada - Document de discussion supplémentaire - Consultation sur la circulation transfrontalière des données