PROTECTION DES DONNÉES: CANADA ET EUROPE PARTAGENT LES MÊMES VALEURS

 

Dans un contexte sensiblement différent

#Canada #UE #PIPEDA #LPRPDE #RGPD #GDPR #Partenariat trans-pacifique #AECG #CETA #ALÉNA #TAFTA #Niveau de protection adéquat #Clauses contractuelles types #Règles d’entreprise contraignantes

Vincent Bureau Juillet 2018

Alors que le Commissaire fédéral à la protection de la vie privée souligne devant la Chambre des communes et dans les communications du Commissariat (https://www.priv.gc.ca/fr) l’urgence de la situation face à des risques à l’égard de la confiance dans l’économie numérique, quel est le contexte canadien pour le transfert des données personnelles du secteur privé?

CANADA

Le régime canadien de protection des données personnelles repose sur la Loi sur la Protection des Renseignements Personnels et les Documents Électroniques LPRPDE adoptée en réponse à la Directive U.E 95/46/CE.

Les provinces de Québec, d’Alberta et de Colombie‑Britannique, ont adopté des lois « essentiellement similaires » à la LPRPDE, qui régissent la collecte, l’utilisation et la communication des données personnelles sur leur territoire.

Les organisations canadiennes qui font affaire à l’international doivent prendre en compte les lois nationales sur la protection des données et les lois étrangères qui sont susceptibles de s’appliquer à leurs employés, clients et fournisseurs. Toutes les entreprises qui mènent des activités au Canada et qui traitent des renseignements personnels qui vont au-delà des frontières provinciales ou nationales sont assujetties à la LPRPDE, quel que soit le territoire ou la province où elles se situent.

La LPRPDE et sa disposition prévoyant la reconnaissance d’une loi provinciale essentiellement similaire satisfait au critère d’adéquation de l’Union Européenne. Depuis 2001 et à condition de conformité avec la Directive sur leur protection, les transferts de données personnelles de l’U.E vers le Canada sont donc jugés acceptables sans autre approbation des autorités européennes.

Le rapport de la Chambre des communes. Vers la protection de la vie privée dès la conception’’ (2018/02) décrit le contexte et des conditions de la modernisation de la LRPDE en reprenant le concept développé par la Pr Ann Cavoukian avec le RGPD en ligne de mire. Une première modification dans ce sens rentre en vigueur le 1er novmbre 2018 avec l’obligation de tenir un registre de toute «atteinte aux mesures de sécurité» (i.e atteinte à la protection des données) pendant vingt-quatre mois et de communiquer «en cas de risque réel de préjudice grave».

UNION EUROPÉENNE

Dans le cadre de la Directive les États membres de l’U.E limitent le transfert des données personnelles aux pays non-membres sauf si ces pays fournissent un « niveau de protection adéquat » (pays dont le régime juridique selon la Commission européenne offre un niveau de protection adapté quant aux données personnelles) ou si les organisations concernées mettent en œuvre des mesures offrant le même niveau de protection avec des clauses contractuelles. Seules des personnes situées dans des pays tiers adéquat ou des organisations autorisées et intégrées dans un système juridique compatible peuvent recevoir des données à caractère personnel de personnes concernées de l’U.E.

Lorsque la Commission européenne confère ou retire cette décision d’adéquation, sa décision lie tous les États membres de l’UE. Ce qui pourrait concerner le Canada comme nous le verrons ultérieurement.

Le règlement 2016/679 dit Règlement Général sur la Protection des Données étend la portée des décisions d’adéquation en permettant les transferts à des pays tiers approuvés, à des territoires approuvés, à des secteurs déterminés et à une organisation internationale. Les mesures légitimant le transfert en dehors de l’UE et hors niveau de protection adéquat sont également largement étendues avec par exemple les règles d’entreprise contraignantes ou les mécanismes de certification.

Depuis le 25 mai 2018 les entreprises canadiennes impliquées dans la collecte et le traitement de données personnelles de résidants de l’Union doivent donc ajuster leurs processus et procédures aux nouvelles protections du RGPD qui vont au-delà de la Directive de 1995 et s’accompagnent de lourdes amendes.

U.S.A, U.E & CANADA

Les États-Unis n’ont pas de loi transverse de protection des données personnelles. Le FTC (Federal Trade Commission) joue le rôle d’autorité de contrôle sauf si une loi sectorielle (télécom., banque, santé) couvre le domaine.

Les informations sur les violations de données personnelles et l’ampleur des pratiques de surveillance états-uniennes sur les données canadiennes remettent en question le statut des États-Unis en matière de protection de la vie privée.

Les transferts de données personnelles de l’U.E vers les États‑Unis étaient adéquat lorsque l’organisation destinataire se conformait aux principes de la « sphère de sécurité » de la Communauté européenne et des États‑Unis publiés par le Ministère du commerce américain le 21 juillet 2000. La décision que la Cour de justice de l’Union européenne rendue le 6 octobre 2015 dans l’affaire Schrems a invalidé ces principes et la décision d’adéquation de la Commission. La sphère ne constituait plus un fondement aux transferts.

En août 2016 le programme « Bouclier de protection des données UE-États‑Unis » est adopté et rapidement critiqué par le groupe de travail de l’Article 29 regroupant les organismes européens de réglementation des données. Sans évolution eds États‑Unis d’ici le 1er septembre 2018 le Parlement européen demande à la Commission l’application de l’article 45.5 du RGPD, l’abrogation du statut adéquat du « Bouclier ».

Les lois fédérales des États-Unis Foreign Intelligence Surveillance Act et CLOUD Act renforcent les craintes pour les droits des personnes. Le Clarifying Lawful Overseas Use of Data Act, modifiant le Stored Communications Act de 1986, sur la surveillance des données personnelles permet aux forces de l’ordre fédérales et locales de contraindre les fournisseurs de services états-uniens à fournir les données personnelles stockées sur serveurs y compris à l’étranger.

Le vote dans la précipitation le 28 juin d’une loi californienne applicable le 1er janvier 2020 pour la protection des données personnelles des consommateurs illustre les forces contradictoires en mouvement. Les parlementaires californiens répondent ainsi au risque d’un vote irrévocable basé sur une initiative populaire menée par Alastair Mactaggart. Le mouvement animé par Mr Mactaggart est parti d’une simple réflexion : « Si les gens comprenaient tout ce qu’on sait d’eux, ils seraient vraiment inquiets. » Avec ce vote et dans les 18 mois à venir les représentant de l’industrie internet officiellement attendent des corrections.

Malgrè ses limitations et les menaces sur son évolution la loi californienne est la plus contraignante aux USA pour la protection des données. C’est aussi un modèle de fait pour les autres états américains et l’état fédéral. Peut-être également une incitation au leadership pour le Québec qui a déjà démontré ses capacités avec la Californie dans un autre domaine (marché du carbone).

Dans un contexte de menaces sur la sécurité des données, le RGPD et la localisation des données sont des choix pertinents pour des pays comme le Canada. Cependant des contradictions apparaissent, en particulier avec le partenariat transpacifique.

LE DÉFI DES ACCORDS INTERNATIONAUX

L’intérêt récemment renouvelé du gouvernement américain pour l’Accord de partenariat transpacifique, impliquant le Canada, pose la question de l’interdiction de restreindre le transfert des données personnelles lié aux échanges commerciaux dans le cadre de cet accord.

L’accord de partenariat transpacifique est un traité multilatéral de libre-échange signé le 4 février 2016 dont l’objectif est d’intégrer les marchés d’Asie-Pacifique et d’Amériques. Le 23 janvier 2017 les États-Unis se désengageant du traité.

Au-delà de l’autorisation des flux de données transfrontaliers le TPP interdit les exigences en matière de localisation de données. Les pays membre du TPP ont obligation d’autoriser « le transfert transfrontière de renseignements par voie électronique, y compris les renseignements personnels, lorsque cette activité s’inscrit dans le cadre d’activités commerciales exercées par une personne visée ».

Le nouvel Accord Partenariat transpacifique global et progressiste (CPTPP) sans les États-Unis est officialisée en mars 2018. Les onze parties « reconnaissent les avantages économiques et sociaux de la protection des renseignements personnels des utilisateurs du commerce électronique et la contribution que cela représente pour renforcer la confiance des consommateurs dans le commerce électronique ». Sur le plan du respect de la vie privée, le CPTPP implique que les parties adoptent ou maintiennent un cadre juridique prévoyant la protection des renseignements personnels au moins dans le contexte des utilisateurs du commerce électronique ce qui est une nouvelle obligation pour la région. Le Système de règles de confidentialité transfrontalières (CBPR) du forum Coopération économique pour l’Asie-Pacifique (APEC) est une piste pour l’avenir.

Cependant le CPTPP reste problématique sur la question de la protection de données privée sur deux points majeurs. D’une part le chapitre sur le commerce électronique préserve les dispositions conçues pour répondre aux normes américaines sur les données personnelles impactant ainsi le cadre canadien sur le transfert de données et la localisation des données. D’autre part, les règles d’implantation des mesures commune de protection aux différents systèmes légaux sont à ce point flexible qu’elles se limitent à ce que « chaque partie devrait encourager le développement de mécanismes visant à promouvoir la compatibilité entre ces différents régimes. »

La renégociation en cours de l’Accord de libre-échange nord-américain (NAFTA) à l’origine de la considérable zone de libre-échange entre les États-Unis, le Canada et le Mexique, est une autre zone d’attention et de risques potentiels pour la perspective d’une adéquation du Canada dans le cadre du RGPD.

L’accord économique et commercial global (AECG) ou Comprehensive Economic and Trade Agreement (CETA) entre le Canada et l’U.E est dans une phase d’application provisoire depuis le 21 septembre 2017 avant ratification complète par les États membres. L’accord ne concerne pas directement les données personnelles. Cependant les mécanismes d’harmonisation règlementaire prévus par l’accord sont des outils qui pourraient être utilisés pour une mise à niveau équivalente des droits à la protection de la vie privée.

Entre une approche états-unienne de laisser-faire et la volonté de protection des données personnelles de l’U.E, le Canada est dans une position qui mérite une considération particulière dans la perspective du renouvellement d’ici le 25 mai 2020 de son statut adéquat avec l’U.E.

CONCLUSIONS

Les organisations canadiennes ont tout intérêt à développer un programme global et consistant de conformité à la protection des données personnelles conçu comme un facteur de réduction des risques et d’avantage compétitif.

Pour les données européennes elles devront se conformer à la nouvelle approche et aux obligations du RGPD, par exemple avec la nomination d’un Délégué à la protection des données (DPO). Ce niveau d’exigence représente un nouveau standard international de référence pour la protection des données personnelles. Selon l’avis de Daniel Therrien, Commissaire fédéral à la protection de la vie privée, il réduit le risque des activités économiques canadiennes (1) avant l’adoption de mesures équivalentes. Il couvre également l’essentiel des obligations canadiennes et provinciales actuelles et prévisibles en apportant un avantage compétitif comme le souligne The Office of the Information and Privacy Commissioner (OIPC) de British Columbia (2).

La convergence constatée autour de la Directive 95/46/EC (3) est en mouvement pour le Règlement 2016/679. 127 états ont maintenant adoptés leur(s) loi(s) de protection des données personnelles. Par exemple en République de Maurice où The Mauritius Data Protection Act de 2017 s’aligne sur le RGPD dans l’objectif d’obtenir une décision d’adéquation. Pour les autres pays la Convention 108 de 1981, en cours de modernisation et d’harmonisation avec le RGPD, reste le cadre des échanges de données des secteurs public et privé. Il semble essentiel que le Canada préserve cette adéquation différenciatrice seulement partagée par quatre pays non européens. Comme le montre les travaux puis la validation de l’adéquation Japon-Europe, le programme de réforme à venir est de grande ampleur.

Les entreprises pourront mitiger ces risques selon leur situation propre par la mise en place d’un panel de mesures élargies par le RGPD : clauses contractuelles types de protection des données adoptée par la Commission, clauses contractuelles types adoptées par une autorité de protection et approuvées par la Commission, règles d’entreprise contraignantes approuvées, clauses contractuelles autorisées par une autorité de protection compétente suivant le mécanisme de contrôle de la cohérence, code de conduite approuvé, mécanisme de certification approuvé, dérogations comme le consentement ou l’exécution d’un contrat.

Enfin, le choix du partenaire dans l’accompagnement à la conformité organisationnelle et opérationnelle est dans ce cadre évolutif une décision d’importance revenant au plus haut niveau de l’organisation concernée.

Une approche holistique permettra aux entreprises canadiennes de maintenir des flux d’échange de données indispensables à leur processus d’affaire.

(1)   Daniel Therrien, Avis du Commissaire à la protection de la vie privée, 2018/04.

(2)   The Office of the Information and Privacy Commissioner (OIPC) from British Columbia, Competitive advantage: compliance with PIPA and the GDPR, 2018/03.

(3)     Graham Greenleaf, Global Data Privacy Laws, 2017/01.

ATTEINTES À LA VIE PRIVÉE AU CANADA : DES OBLIGATIONS LE 1ER NOVEMBRE

Règlement concernant les atteintes aux mesures de sécurité

 

Vincent Bureau, 2018

La loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) pour le secteur privé évolue avec des exigences de tenu de registre et de déclaration des atteintes à la protection des données qui seront en vigueur au Québec et au Canada le 1er novembre prochain (réf.1).

En Alberta depuis 8 ans, pour la santé en Ontario, au Nouveau-Brunswick et à Terre-Neuve-et-Labrador, aux États-Unis, en Europe avec l’avènement du RGPD, des obligations sur la notification des atteintes à la vie privée sont déjà en place.

Quelles en sont les implications pour les organisations québécoises?

QUE DEVEZ-VOUS FAIRE ?

Une agence travaille sur la performance du ciblage pour le lancement d’un produit pharmaceutique avec des données personnelles en provenance de divers secteurs économiques. Le fournisseur de services professionnels TI de l’agence l’informe d’une activité inhabituelle dans les derniers 24/h sur les bases RH et clients (cas fictif). 

Le registre des atteintes

Toutes les atteintes à la protection des renseignements personnels doivent être documentées dans le registre, risque réel de préjudice grave ou non.

Sans être obligatoire, l’analyse conduisant à une conclusion d’absence de risque réel pourrait être avantageusement incluse dans le registre, en prenant en compte toutefois la possibilité de publication par le commissaire à la protection de la vie privée.

Le registre est tenu par l’organisation qui a la gestion des données personnelles. Cette organisation responsable devrait s’assurer contractuellement d’avoir accès à l’information nécessaire au registre auprès de ses fournisseurs de service afin de tenir ses obligations.

L’évaluation du risque réel

Les avis et déclarations doivent être communiqués seulement en cas de « risque réel de préjudice grave à l’endroit d’un individu ». La définition de préjudice grave comprend l’humiliation, le dommage à la réputation ou aux relations, le vol d’identité.

La détermination d’un risque réel tient compte du degré de sensibilité des renseignements personnels et de la probabilité de mauvaise utilisation. Soit la définition classique du niveau de Risque = Impact x

Probabilité. Les directives complémentaires à venir du commissaire à la protection de la vie privée seront bienvenues et essentielles pour le maintien de la conformité opérationnelle.

L’avis aux intéressés, direct ou indirect

L’avis contient :

  •  Les circonstances de l’atteinte,
  •  La période de l’atteinte,
  •  Les renseignements personnels impliqués,
  •  Les mesures prises pour atténuer le risque ou le préjudice,
  •  Les mesures que les personnes touchées peuvent prendre afin de réduire le risque de préjudice,
  •  Les coordonnées d’une personne pour obtenir plus de renseignements sur l’atteinte.

L’avis est communiqué directement aux intéressés par un moyen de communication au choix de l’organisation responsable des traitements de données personnelles.

Un avis pourrait être diffusé indirectement par une communication publique si l’avis direct causait un préjudice supplémentaire à l’intéressé, si l’avis direct causait des difficultés excessives à l’organisation, si l’organisation n’avait pas les coordonnées des personnes.

La déclaration au commissaire

La déclaration au commissaire à la protection de la vie privée est faite par écrit et contient :

  • Les circonstances de l’atteinte,
  • La période de l’atteinte,
  • Les renseignements personnels impliqués,
  • Le nombre de personnes touchées,
  • Les mesures prises pour atténuer le risque ou le préjudice,
  • Les mesures de communication auprès des intéressés,
  • Les coordonnées d’une personne qui peut répondre aux questions pour l’organisation.

L’avis aux organisations pour atténuer les préjudices

En cas d’analyse de risque élevé, l’entreprise responsable du traitement des données avisera les organisations ou institutions gouvernementales qui pourraient réduire le risque ou le préjudice éventuellement sans le consentement des personnes concernées.

Les délais de déclaration et de conservation

La notification doit être communiquée « dès que possible » après la violation de données. Les enregistrements du registre sont conservés deux ans obligatoirement.

SOMMES-NOUS CONCERNÉS AU QUÉBEC?

Oui, nos organisations québécoises sont concernées :

  • Pour toute opération interprovinciale,
  • Pour toute opération internationale,
  • Pour les entreprises fédérales, banques, télécommunication, transport,
  • Pour vous préparer à l’évolution globale de la loi fédérale,
  • Pour vous préparer à l’évolution de la loi québécoise.

QUELS BÉNÉFICES POUR LE QUÉBEC?

Les objectifs visés par le règlement sont :

  •  La réduction des risques pour les personnes concernées, La réduction des risques organisationnels lors des attaques cybernétiques,
  • Le renforcement de la confiance pour la croissance du commerce électronique,
  • L’alignement avec le Règlement général sur la protection des données (RGPD) de l’Union européenne.
  • Le Résumé de l’étude d’impact de la réglementation (REIR, réf.2) pourrait être consulté pour mieux comprendre l’orientation gouvernementale et interpréter le règlement.

QUEL POUVOIR POUR L’AUTORITÉ DE CONTRÔLE?

Le Commissaire à la protection de la vie privée du Canada peut :

  • Demander la consultation du registre relatif aux atteintes,
  • Communiquer les renseignements du registre dans l’intérêt public,
  • Lancer une enquête sur la base du registre.

COMMENT VOUS PRÉPARER?

The Office of the Australia Information Commissioner communique des leçons apprises intéressantes pour les organisations canadiennes sur les mesures de déclaration des atteintes rentrées en vigueur récemment : « Le risque d’atteinte à la protection des données peut être grandement réduit par la mise en œuvre de pratiques telles que les évaluations d’impact sur la protection des données, les évaluations des risques en matière de sécurité de l’information et la formation de tout le personnel chargé de traiter les renseignements personnels. » (réf.3)

Le plan et les procédures de communication devraient être particulièrement travaillés dans le cadre des nouvelles obligations de la LPRPDE.

 

ÉCARTS AVEC LE RGPD

  • Délais de déclaration : selon la LPRPDE la déclaration doit être réalisée dès que possible. Un point de différenciation important avec le RGPD qui impose une notification à l’autorité de contrôle en maximum 72h après que le responsable du traitement ai pris connaissance d’une violation à risque ou à risque élevé de données à caractère personnel.
  •  Renseignements sur les droits de la personne concernée : l’information du droit à déposer une plainte auprès du commissaire n’est pas imposée par la LPRPDE, contrairement au RGPD.
  • Documents électroniques vs papiers : C’est la Loi sur la protection des renseignements personnels numériques de 2015 modifiant la LPRPDE qui apporte les mesures relatives à la déclaration obligatoire des atteintes à la protection des données et à la tenue d’un registre en s’appliquant au 1er novembre. Le RGPD ne fait pas de distinction entre supports de l’information personnelle.

OBSERVATIONS

Le règlement concernant les atteintes aux mesures de sécurité est une évolution significative du cadre de la protection des données personnelles au Canada. Les changements organisationnels et opérationnels que doivent entreprendre les organisations sont également significatifs.

Cette modification du régime de la protection de la vie privée préfigure un changement plus fondamental de la LPRPDE en 2020 qui permettra au Canada de préserver le rare statut d’adéquation avec l’Union européenne.

Les mesures d’enregistrement et de déclaration des atteintes sont une triple opportunité pour les organisations québécoises :

1. Implanter une gouvernance intégrant la protection des données,

2. Développer une culture de la protection des données personnelles dans une perspective

d’alignement Loi québécoise – LPRPDE – RGPD,

3. Profiter de la mise en conformité pour améliorer la performance organisation

 

RÉFÉRENCES

1. Règlement sur les atteintes aux mesures de sécurité : DORS/2018-64. Canada. http://gazette.gc.ca/rp- pr/p2/2018/2018-04-18/html/sor-dors64-fra.html.
2. Résumé de l’étude d’impact de la réglementation. Canada. http://gazette.gc.ca/rp-pr/p2/2018/2018- 04-18/html/sor-dors64-fra.html
3. Notifiable Data Breaches Quarterly Statistics Report: January 2018 – March 2018. Office of the Australian Information Commissioner. https://www.oaic.gov.au/resources/privacy-law/privacy- act/notifiable-data-breaches-scheme/quarterly- statistics/Notifiable_Data_Breaches_Quarterly_Statistics_Report_January_2018 March_.pdf