Une question de consentement et non pas de transfert de données

Dans la foulée de la révision d’un document de consultation sur l’échange transfrontalier de données à la suite d’un rapport sur l’affaire Equifax, le CPVP a redéfini certains termes afin de régler la situation.

Selon la Section du droit de la vie privée et de l’accès à l’information de l’ABC, on se concentre actuellement sur l’enquête concernant Equifax Canada et sa société affiliée américaine dans un dossier qui « constitue un cas d’espèce dont les particularités n’ont pas les traits caractéristiques des activités habituelles de communication de renseignements personnels ».

Pour la Section, l’affaire Equifax n’est pas une question de transfert de données; le nœud du problème, c’est qu’on n’a pas révélé aux consommateurs qui administrait leurs renseignements. En effet, Equifax Canada et sa consœur américaine ont toutes deux fait preuve de la même opacité quant à la circulation des renseignements personnels, qu’elles ont d’ailleurs recueillis sans jamais demander le consentement requis.

« Cette affaire ne concerne pas le transfert transfrontalier ni l’externalisation des données, affirme la Section, mais bien le caractère équivoque du consentement valable (à qui ce consentement était-il donné?) et l’absence de reddition de comptes. Par conséquent, dans ce dossier, l’atteinte à la vie privée n’est pas principalement causée par le transfert de données, mais il s’agit plutôt d’un problème de reddition de comptes, de transparence et de consentement. »

Les questions soulevées dans l’affaire Equifax ne touchent qu’une minorité des échanges transfrontaliers de données, explique la Section, tout en ajoutant qu’il serait malavisé de se fonder sur un cas atypique pour changer tout l’appareil de sécurité du transfert de renseignements personnels.

Dans un document d’orientation de 2009, le CPVP définit le transfert de données comme le fait pour un tiers d’utiliser les données au nom de l’auteur du transfert – par exemple, l’entreprise de traitement de la paie à qui votre employeur envoie vos données. Quant à la divulgation, elle surviendrait lorsqu’un tiers recueille vos renseignements personnels auprès de votre employeur pour les utiliser à ses propres fins (par exemple, aux fins de marketing ciblé). Dans l’actuel exercice de consultation, le CPVP estime que cette interprétation de 2009 était fautive : un transfert, c’est une divulgation.

« À notre avis, la nouvelle interprétation proposée ne repose sur aucun des principes reconnus d’interprétation de la loi, surtout si on analyse le contexte d’utilisation des termes en cause dans la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et l’intention des dispositions légales dans ce domaine, affirme la Section. De plus, cette interprétation s’écarte des pratiques communément admises de protection de la vie privée que reflètent la LPRPDE et d’autres lois canadiennes sur la protection des renseignements personnels dans le secteur privé. »

La Section examine l’utilisation qui est faite de ces termes dans d’autres provinces et États, ainsi que la nécessité d’une cohérence entre les différents régimes législatifs et d’une harmonie avec les normes internationales. L’analyse porte en grande partie sur le consentement : Qu’est-ce qu’un consentement tacite? Qu’est-ce qu’un consentement exprès? Dans quelles circonstances l’un ou l’autre est-il nécessaire?

Le CPVP devrait aussi tenir compte des conséquences qu’un changement d’orientation majeur aurait sur les organisations qui ne sont pas directement régies par le droit canadien de protection de la vie privée, notamment le secteur à but non lucratif.

« Exiger un consentement exprès pour l’externalisation ou même pour le transfert transfrontalier des données sera lourd de conséquences pour les organismes de bienfaisance ou sans but lucratif qui sont régis par la LPRPDE ou qui observent volontairement cette loi et le Code type du Groupe CSA. […] En rompant avec sa position traditionnelle voulant que le transfert pour traitement soit une “utilisation”, et non une “divulgation” d’information, et en exigeant pour ces transferts un consentement valable, voire un consentement exprès, le CPVP imposerait des coûts additionnels et d’onéreuses exigences sur un secteur devant “faire plus avec moins” et forcé de composer avec une constante diminution des dons de bienfaisance. »