Le 24 novembre 2019, le Commissariat à la protection de la vie privée du Canada (CPVPC) et le Commissariat à la protection de la vie privée de la Colombie-Britannique (CPVP de la C.-B.) ont publié le rapport de conclusions (le rapport) de leur enquête conjointe sur AggregateIQ Data Services Ltd (AIQ). Avant l’enquête, AIQ avait traité des renseignements personnels en qualité de fournisseur de services pour plusieurs organisations participant à des campagnes politiques dans des pays étrangers, dont SCL Elections Ltd, la société mère de Cambridge Analytica.
Selon le rapport, dans son rôle fournisseur de services pour des organisations situées dans des pays étrangers, AIQ a enfreint les lois canadiennes sur la protection des renseignements personnels en manquant à son obligation de s’assurer qu’elle disposait d’un consentement valable des personnes dont elle recueillait, utilisait ou communiquait les renseignements personnels. Le rapport indique également qu’AIQ a omis de protéger adéquatement les renseignements personnels qu’elle détenait, et que cette omission constitue une violation des lois canadiennes1.
Le raisonnement qui sous-tend les conclusions soulève deux questions :
- Dans quelle mesure le droit canadien sur la protection des renseignements personnels s’applique-t-il à un fournisseur de services qui traite des données pour le compte d’un client dans un pays étranger?
- Un tel fournisseur de services est-il tenu de surveiller les pratiques de son client en matière de consentement et de collecte de données?
Nous examinerons ces questions à tour de rôle.
Application des lois canadiennes sur la protection des renseignements personnels
Le rapport souligne qu’en ce qui concerne ses pratiques de traitement des renseignements personnels, AIQ est tenue de se conformer aux exigences liées au consentement prescrites par les lois du Canada et de la Colombie-Britannique sur la protection des renseignements personnels, et ce, même si ses clients sont situés dans un autre pays.2 En s’appuyant sur cette prémisse, le rapport conclut qu’AIQ aurait dû s’assurer de l’existence d’un consentement adéquat (au sens des lois canadiennes) à la collecte, l’utilisation ou la communication de renseignements personnels pour le compte de ses clients étrangers, tout comme un fournisseur de services doit le faire pour ses clients canadiens3.
Cette prémisse nécessite toutefois une lecture du droit que le libellé des lois et son interprétation par les tribunaux canadiens sont loin de corroborer clairement. À certains égards, les arguments du rapport évoquent une interprétation de « l’égalité » conduisant à une égalité formelle plutôt que réelle, soit une application superficielle des règles qui ne permet pas d’atteindre un équilibre dans les effets ou les résultats.
Bien entendu, les lois canadiennes sur la protection des renseignements personnels s’appliquent à AIQ. Cela ne signifie toutefois pas que les fournisseurs de services qui travaillent pour des clients régis par les lois d’un autre pays sont assujettis aux exigences des lois canadiennes en matière de consentement. Comme la Cour d’appel fédérale l’a rappelé dans l’affaire Englander c. Telus, la LPRPDE tente d’assurer un équilibre entre les deux intérêts divergents que constituent la protection de la vie privée et les besoins organisationnels4 :
[...] même si la partie 1 et l’annexe 1 de la Loi ont pour but de protéger le droit à la vie privée, elles visent aussi à faciliter la collecte, l’utilisation et la communication des renseignements personnels par le secteur privé. La Cour doit interpréter cette législation en trouvant le juste milieu entre deux intérêts concurrents. Qui plus est, étant donné le caractère non législatif de sa rédaction, l’annexe 1 ne se prête pas à l’interprétation rigoureuse habituellement possible. Cela étant, la meilleure solution pour la Cour est de se confier aux critères de la souplesse, du sens commun et du pragmatisme5.
Le contexte du rôle d’AIQ en tant que fournisseur de services pour des organisations étrangères semble être précisément le genre de circonstances dans lesquelles il serait souhaitable d’adopter une approche souple, de sens commun et pragmatique.
Étant donné que tout le cadre législatif canadien de protection des renseignements personnels repose sur le principe du consentement, les organisations doivent soit obtenir un consentement valable, soit se prévaloir de l’une des exceptions prévues par la loi. Dans d’autres pays, le cadre juridique relatif à la protection de la vie privée repose sur d’autres fondements conceptuels. Il n’y a rien de surprenant à ce que les efforts de réglementation de gouvernements différents relativement à un même enjeu produisent de telles divergences. Dans le Règlement général sur la protection des données (RGPD) de l’UE, par exemple, le consentement ne représente que l’un des fondements juridiques légitimes du traitement avec, entre autres, l’intérêt public, le respect d’une obligation légale ou un intérêt légitime. Certains d’entre eux cadrent parfaitement avec les exceptions canadiennes en matière de consentement; d’autres non.
Devrions-nous nous attendre à ce que les fournisseurs assujettis aux lois canadiennes sur la protection des renseignements personnels n’offrent leurs services qu’aux clients de pays qui, par le fait du hasard, ont un régime de protection semblable à celui du Canada? Et qu’ils se tiennent en retrait du marché international lorsqu’un pays étranger a adopté une approche différente? Tel serait l’effet concret du raisonnement exposé dans le rapport, puisqu’il y a peu de chances qu’un client accepte de modifier ses pratiques de protection des renseignements personnels pour se conformer aux exigences du droit canadien à la demande d’un fournisseur de services.
Cette approche des commissaires entraînerait des conséquences particulièrement importantes pour les fournisseurs de services canadiens dont les organisations clientes se trouvent dans l’Union européenne. Le cadre juridique de l’UE en matière de protection des renseignements personnels est généralement reconnu comme étant le plus complet et le plus rigoureux au monde. L’idée qu’un fournisseur de services canadien doive éviter tout contrat avec un client de l’UE au motif que celui-ci a recueilli des renseignements personnels en vertu d’un fondement juridique qui ne correspond pas au cadre canadien est difficile à avaler.
La réponse évidente serait que, bien qu’une certaine souplesse puisse (nos commissaires insisteraient probablement sur le « puisse ») être nécessaire lorsqu’un fournisseur de services traite des renseignements personnels recueillis pour une organisation cliente étrangère en vertu d’un fondement juridique qui n’est pas bien établi en droit canadien, dans le cas d’AIQ, le fondement juridique de la collecte était bel et bien le consentement. Par conséquent, on pourrait invoquer l’argument qu’obliger les fournisseurs de services qui se trouvent dans la même situation qu’AIQ à respecter les exigences du droit canadien en matière de consentement respecte les critères de souplesse, de sens commun et de pragmatisme établis par la Cour.
On pourrait cependant faire valoir en contrepartie que, même en matière de consentement, il peut y avoir une disparité entre les cadres juridiques étrangers et canadiens. De fait, il faut bien reconnaître qu’il existe une telle disparité en l’espèce. Aux termes du RGPD, la notion de « consentement » est plus ou moins équivalente à la notion de consentement explicite en droit canadien sur la protection des renseignements personnels. Contrairement au droit canadien, le RGPD ne prévoit toutefois pas de consentement implicite. S’il n’est pas facile d’éliminer l’ambiguïté qui découle de cette quasi-équivalence, la disparité pourrait être importante, auquel cas il serait de nouveau nécessaire de faire preuve de pragmatisme en présence de cadres juridiques différents.
Quoi qu’il en soit, à notre avis, la réponse à la première question est claire : une application équitable des lois canadiennes sur la protection des renseignements personnels exige que la situation de chaque fournisseur de services soit examinée en fonction du contexte. Lorsqu’un fournisseur de services traite des renseignements personnels pour un client étranger, il importe particulièrement de tenir compte des différents cadres juridiques applicables, au lieu de simplement imposer les obligations auxquelles serait soumis un fournisseur de services qui traite des renseignements pour un client canadien.
Surveillance du consentement et de la collecte de données
Un deuxième argument en contrepartie nous amène à la deuxième question posée ci-dessus. Même si l’on admet que dans une situation comme celle d’AIQ, les exigences en matière de consentement prévues par les lois canadiennes sur la protection des renseignements personnels doivent s’appliquer à un fournisseur de services, ces exigences l’obligent-elles aussi à surveiller les pratiques de son client en matière de consentement et de collecte de données?
Sur cette question, le CPVPC a déjà jugé raisonnable qu’une organisation invoque les ententes contractuelles intervenues entre elle-même et son client, dans lesquelles ce dernier s’engage à respecter les lois applicables et, plus particulièrement, à obtenir tous les consentements requis des personnes concernées, surtout lorsqu’il ne serait pas raisonnable de solliciter un consentement direct6.
Le rapport semble toutefois recommander que les organisations prennent des mesures qui dépassent largement les limites du recours aux ententes contractuelles. Il contient l’expression « mesures raisonnables », qui fait écho à celle utilisée dans les conclusions antérieures, mais précise ensuite que « [c]es mesures raisonnables devraient comprendre des mesures contractuelles, ainsi que d’autres mesures, comme l’examen du libellé du consentement utilisé par le client, pour vérifier que le consentement obtenu par le tiers et invoqué par AIQ expliquerait en effet de façon précise son utilisation et ses communications prévues7 ».
À notre avis, il est irréaliste d’imposer cette obligation aux fournisseurs de services. De plus, non seulement le rapport rompt avec les conclusions antérieures en ajoutant de telles vérifications aux mesures raisonnables à prendre, il s’écarte du cadre général de répartition des responsabilités entre les fournisseurs de services et leurs clients que le CPVPC a défini dans des décisions antérieures. Selon ce cadre, le CPVPC estime que même en cas d’irrégularité dans l’obtention du consentement par une organisation cliente, le fournisseur de services ne contrevient pas nécessairement aux obligations en matière de consentement des lois canadiennes sur la protection des renseignements personnels.
Par exemple, dans le résumé de conclusions d’enquête en vertu de la LPRPDE no 2003-1888, le CPVPC a conclu qu’il est raisonnable pour une agence d’évaluation de crédit d’obtenir le consentement du consommateur par l’entremise de ses entreprises clientes plutôt que directement, compte tenu du grand nombre de demandes de renseignements qu’elle reçoit quotidiennement et de la quantité considérable de travail que ce type de procédure pourrait entraîner. Dans cette affaire, l’agence d’évaluation de crédit avait conclu une entente de service avec une entreprise de télécommunications selon laquelle l’entreprise devait obtenir le consentement du consommateur avant qu’une demande de renseignements puisse être présentée à l’agence. Cette décision a confirmé que même dans les cas où une personne s’oppose à la transmission de ses renseignements personnels ou à leur utilisation par un tiers, le fournisseur de services ne contrevient pas nécessairement à l’obligation de consentement, à condition qu’il ne soit pas au courant de l’objection de la personne et qu’il se fonde sur une entente indiquant que le client doit obtenir le consentement des personnes concernées avant de transmettre des renseignements personnels au fournisseur de services.
Dans la mesure où le CPVPC et le CPVP de la C.-B. ont revu leur position sur la répartition des responsabilités entre les fournisseurs de services et leurs clients, nous formulerons deux observations. Premièrement, il serait utile que les commissaires reconnaissent et expriment clairement cette position dans leurs conclusions ou, à tout le moins, qu’ils expliquent comment les faits et les circonstances des nouvelles conclusions se distinguent des précédentes. Deuxièmement, conformément à notre exposé ci-dessus concernant la prise en compte des différents cadres juridiques, les commissaires pourraient se demander si une telle répartition modifiée des responsabilités devrait s’appliquer sans restriction lorsque les fournisseurs de services traitent des demandes au nom de clients étrangers.
Conclusion
Nous reconnaissons que les nombreux progrès technologiques réalisés depuis l’adoption des premières lois canadiennes sur la protection des renseignements personnels ont des répercussions sur les personnes et les organisations et rendent nécessaire la modernisation de notre cadre juridique. Nous reconnaissons également que les récentes conclusions du CPVPC et du CPVP de la C.-B. ont été en partie motivées par les développements juridiques observés dans d’autres pays, et que certains commissaires aspirent à ce que des développements similaires soient apportés en droit canadien de la protection des renseignements personnels9. La fortune a beau sourire aux ambitieux, nous nous interrogeons sur la pertinence d’entériner pareilles ambitions dans des conclusions officielles.
1 Le rapport, « Conclusion ».
2 Le rapport, par. 69.
3 Le rapport, par. 70.
4 Un raisonnement analogue s’applique à l’interprétation des lois provinciales canadiennes qui sont assez similaires.
5 Englander c. Telus Communications Inc., 2004 CAF 387, par. 46
6 Voir, p. ex., Résumé de conclusions d’enquête en vertu de la LPRPDE no2010-002, « Un plaignant s’oppose à la base de données d’une compagnie d’assurances »; Résumé de conclusions d’enquête en vertu de la LPRPDE no 2009-013, « Un éditeur recueillait et utilisait des adresses de courriel à des fins de marketing sans consentement »; Résumé de conclusions d’enquête en vertu de la LPRPDE no 2009-17, « Une organisation tierce de locateurs a recueilli, utilisé et communiqué des renseignements personnels de locataires sans leur consentement ».
7 Le rapport, par. 94.
8 Résumé de conclusions d’enquête en vertu de la LPRPDE no 2003-188, «Une agence d’évaluation de crédit accusée de communiquer des renseignements personnels à une compagnie sans consentement ».
9 Voir, p. ex., CPVPC, « Rapport annuel au Parlement 2018-2019 concernant la Loi sur la protection des renseignements personnels et les documents électroniques et la Loi sur la protection des renseignements personnels ».