Le Commissariat à la protection de la vie privée du Canada (le « Commissariat ») lançait il y quelques jours une consultation sur la circulation transfrontalière des données. L’idée derrière cette initiative implique la mesure dans laquelle les entreprises devraient pouvoir exporter des données incluant des renseignements personnels au-delà des frontières canadiennes, sans nécessairement obtenir de consentement des individus touchés.
Ce qu’il faut savoir à ce sujet, c’est que le Commissariat avait statué sur la question en 2009, en énonçant dans des lignes directrices que la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE ») ne s’opposait pas à ce genre de pratique. Selon le Commissariat alors, le transfert transfrontalier de renseignements personnels s’avérait acceptable. En somme, ces lignes statuaient alors que :
La LPRPDE n'interdit pas aux organisations du Canada de transférer des renseignements personnels à une organisation dans un pays étranger aux fins de traitement. Toutefois, en vertu de la LPRPDE, les organisations sont tenues responsables de la protection des transferts de renseignements personnels en vertu de chaque accord d'impartition individuel. Le Commissariat à la protection de la vie privée du Canada peut enquêter sur des plaintes et mener des vérifications concernant les pratiques de traitement des renseignements personnels des organisations. […] Le « transfert » constitue une utilisation de l'information par l'organisation, à ne pas confondre avec une communication.
Ce faisant, pendant les dix dernières années (et encore actuellement), la position du Commissaire était d’une façon constante qu’une entreprise peut transférer des renseignements vers l’étranger, pourvu que l’individu visé ait consenti à l’utilisation pour laquelle elle a fait l’objet d’un consentement. À part cela, les entreprises ont la liberté d’exporter comme bon leur semble. C’est l’effet.
Dix ans plus tard, notre société évolue et commence à comprendre le prix à payer pour les citoyens de permettre autant de transferts de données vers l’étranger, incluant une perte résultante inévitable de contrôle par les individus de leurs renseignements. Le Commissaire amorce donc une réflexion à ce sujet, remettant en question le compromis qui avait été fait entre la protection des renseignements personnels des Canadiens et la nécessité pour les entreprises (souvent à des fins d'efficacité ou d'économie) d’exporter des données, notamment vers des fournisseurs de services américains. Il semblerait qu’en pratique, le premier principe qui veut que l’entreprise demeure responsable de ce qu’elle transmet ne s’avère pas suffisant.
Le Commissaire en est donc à se demander si on ne devrait pas plutôt décréter à l’avenir que toute divulgation à un tiers, incluant les fournisseurs de services, requiert un consentement des individus visés. Un tel changement viendrait renverser la position actuelle voulant qu’une exportation vers un simple fournisseur de service ne se qualifie pas de réelle divulgation. Ce changement viendrait d’ailleurs modifier le cadre pour couvrir non seulement les transferts vers l’étranger, mais aussi toute divulgation à un tiers à l’intérieur du Canada.