La vie privée en suspens : le Canada maintient le statut d’adéquation au RGPD malgré la suspension des réformes de la loi sur la protection des renseignements personnels

La vie privée en suspens : le Canada maintient le statut d’adéquation au RGPD malgré la suspension des réformes de la loi sur la protection des renseignements personnels

La Commission européenne a constaté que le Canada (parmi 10 autres pays) continue d’assurer un niveau adéquat de protection des renseignements personnels transférés de l’UE aux destinataires assujettis à la Loi fédérale sur la protection des renseignements personnels et les documents électroniques (« LPRPDE »). Les conclusions de la Commission européenne sont énoncées dans un rapport du 15 janvier 2024 qui examine ses décisions antérieures en matière d’adéquation.

Ces conclusions sont une très bonne nouvelle pour les organisations qui traitent des renseignements personnels au Canada qui appartiennent à des sujets de données de l’Espace économique européen. Les conclusions de la Commission européenne permettent l’entrée libre de données au Canada sans qu’il soit nécessaire de prendre des mesures d’observation contraignantes qui s’appliqueraient autrement. Cependant, les organisations devraient être averties que la conclusion sur le caractère adéquat ne s’applique pas (ou peut s’appliquer uniquement à titre limité) aux organisations canadiennes qui ne sont pas assujetties à la LPRPDE ou qui exercent certaines activités de traitement de données qui ne relèvent pas de la compétence de la LPRPDE.

Par ailleurs, les conclusions pourraient également atténuer les pressions exercées sur le gouvernement fédéral pour qu’il précipite l’adoption de la réforme législative sur la protection des renseignements personnels, qui est actuellement à l’étude au Comité permanent de l’industrie et de la technologie. Plus particulièrement, le projet de loi C-27 remplacerait les dispositions de la LPRPDE relatives à la protection des renseignements personnels par une Loi sur la protection de la vie privée des consommateurs modernisée (la « Loi sur la protection de la vie privée des consommateurs proposée ») qui serait appliquée par un tribunal nouvellement créé et doté d’un important pouvoir pénal. Lorsqu’elle a présenté sa conclusion sur le caractère adéquat de la réforme au Canada, la Commission européenne a fait référence à la réforme proposée en approuvant la réforme, mais n’a pas expressément assujetti la conclusion sur le caractère adéquat à son adoption.

Explication du statut d’adéquation de la Commission européenne

Le règlement général sur la protection des données (communément connu sous le nom de « RGPD ») interdit aux organisations de transférer des renseignements personnels vers un pays situé en dehors de l’Espace économique européen, sauf si l’une des deux conditions suivantes est remplie : 1) la Commission européenne a décidé que la juridiction gouvernant le destinataire assure un niveau de protection adéquat pour ces renseignements; ou 2) l’organisation qui transfère les renseignements peut démontrer qu’elle a mis en place des mécanismes appropriés pour la protection de ces renseignements.

Il existe un avantage significatif pour les organisations qui exercent leurs activités dans des pays où l’on trouve des niveaux adéquats de protection. En l’absence d’une conclusion favorable quant au caractère adéquat de la protection, le processus de démonstration des mesures de protection appropriées est onéreux et comprend habituellement l’établissement de règles générales strictes et contraignantes pour le traitement des renseignements personnels ou la conclusion d’un accord comportant des clauses contractuelles normalisées prescrites. Par conséquent, le processus visant à démontrer l’existence de mesures appropriées mène presque systématiquement à la conclusion que l’entité non européenne devra se conformer à des normes beaucoup plus élevées en matière de protection des renseignements personnels que celles qui sont autrement exigées dans le cours normal des activités de l’organisation.

Le Canada a bénéficié d’une décision d’adéquation adoptée par la Commission européenne en vertu de la directive européenne de 1995 sur la protection des données. Outre le Canada, la Commission européenne a également établi précédemment qu’Andorre, l’Argentine, les îles Féroé, Guernesey, l’île de Man, Israël, Jersey, la Nouvelle-Zélande, la Suisse et l’Uruguay assurent un niveau de protection adéquat pour les informations personnelles transférées depuis l’UE (les « Décisions d’adéquation initiales »)[1]

Les Décisions d’adéquation initiales sont demeurées en vigueur après l’adoption du RGPD en 2018. Toutefois, le RGPD exige que les décisions d’adéquation soient révisées aux quatre ans. Le récent rapport de la Commission européenne est l’aboutissement de son premier examen des Décisions d’adéquation initiales.[2]

Aperçu du processus de réexamen et des conclusions de la Commission européenne

La Commission européenne a conclu que tous les pays qui ont fait l’objet des Décisions d’adéquation initiales, y compris le Canada (en ce qui concerne les opérateurs commerciaux), continuent d’assurer un niveau adéquat de protection des renseignements personnels transférés depuis l’Espace économique européen.

Dans son examen, la Commission européenne a souligné le développement exponentiel des technologies numériques et l’importance croissante des décisions d’adéquation pour faciliter des flux de données commerciales stables, sûrs et concurrentiels. En évaluant l’adéquation continue des protections offertes par le Canada et les autres pays susmentionnés, la Commission européenne a pris en compte l’évolution des cadres juridiques respectifs de chaque pays régissant le traitement des renseignements personnels par les organisations et la capacité du gouvernement à accéder aux renseignements personnels détenus par ces organisations et à les utiliser.

En ce qui concerne le Canada, la Commission européenne a constaté que depuis la publication de la décision initiale relative au Canada en 2001, la LPRPDE a été renforcée par des amendements (portant principalement sur le consentement valide et la notification obligatoire des violations de données) et par la jurisprudence et les orientations du Commissariat à la protection de la vie privée du Canada. Notamment, si la Commission européenne a reconnu avec satisfaction que le Canada procède actuellement à une réforme législative de la LPRPDE (y compris dans les domaines qu’elle considère comme pertinents pour la décision d’adéquation), elle n’a pas conditionné la décision d’adéquation à la mise en œuvre d’une telle réforme par le Canada. Bien qu’elle ait noté qu’elle suit de près l’évolution future de la situation au Canada et, de façon plus générale, par rapport à tous les pays évalués, elle a prévenu qu’elle se réserve le droit de suspendre, de modifier ou de retirer une décision sur le caractère adéquat lorsque des faits nouveaux survenus dans un pays adéquat auraient une incidence négative sur le niveau de protection des données.

La Commission européenne a également conclu que les autorités publiques au Canada sont assujetties aux limites et aux garanties appropriées en vertu de la Charte canadienne des droits et libertés, de la jurisprudence, des lois et des règles relatives à la protection des données du secteur public, et que le système juridique canadien offre des mécanismes efficaces de surveillance et de recours accessibles aux ressortissants ou aux résidents non canadiens.

Incidence potentielle sur le projet de loi C-27

En dépit des commentaires de la Commission européenne concernant la réforme législative favorable à la protection des renseignements personnels au Canada et du fait qu’elle surveille l’évolution de la situation à cet égard, le moment choisi pour rendre la décision sur le caractère adéquat pourrait nuire à l’adoption à court terme de cette réforme en raison des obstacles accessoires qui ralentissent le cheminement législatif du projet de loi C-27.

La réforme de la protection de la vie privée actuellement à l’étude a pris naissance dans une mesure législative précédente qui a été proposée pour la première fois en novembre 2020 en vertu du projet de loi C-11, qui est Mort au Feuilleton en 2021 à la dissolution de l’ancien gouvernement. Le projet de loi C-11 a été présenté de nouveau par le gouvernement suivant en juin 2022, au moyen du projet de loi C-27. Toutefois, en plus de présenter la Loi sur la protection de la vie privée des consommateurs et la loi sur le tribunal proposées, le projet de loi C-27 a également présenté une nouvelle Loi sur l’intelligence artificielle et les données (LIAD) (la « LIAD proposée »), qui a fait l’objet d’une vive contestation et qui établirait des exigences concernant la conception et l’utilisation des systèmes d’intelligence artificielle. Au fur et à mesure que le projet de loi C-27 a franchi les étapes du processus législatif, son avancement a été entravé par des débats et des désaccords concernant la LIAD proposée.

Alors, pourquoi est-ce important? Il était largement entendu que l’une des motivations principales de la réforme législative canadienne de la protection des renseignements personnels était d’éviter le risque maintenant désuet de perdre le statut d’« adéquat ». Il se peut qu’une décision imminente sur le caractère adéquat de la décision ait imposé des pressions nécessaires pour résoudre les désaccords avec la LIAD proposée afin de faciliter l’adoption de la Loi sur la protection de la vie privée des consommateurs proposée. Toutefois, la dynamique législative a probablement changé avec la décision favorable de la Commission européenne sur l’adéquation, malgré le vide juridique actuel. Si le projet de loi C-27 n’est pas adopté avant les prochaines élections fédérales, qui auront lieu en octobre 2025 ou plus tôt, la réforme proposée subira le même sort que le projet de loi C-11, contraignant le prochain gouvernement à recommencer à zéro (encore une fois).

La récente conclusion sur le caractère adéquat de la protection des renseignements personnels n’élimine pas la nécessité d’une réforme, compte tenu des commentaires de la Commission européenne et d’autres pressions intérieures visant à moderniser le cadre de protection des renseignements personnels du Canada. Toutefois, la conclusion quant au caractère adéquat pourrait atténuer les pressions exercées sur le gouvernement fédéral pour qu’il précipite l’adoption du projet de loi C-27 au fur et à mesure que le débat sur la LIAD proposée aura lieu.

[1] Le Canada est le seul pays où le statut d’adéquation était limité aux « exploitants commerciaux ».
[2] Le premier réexamen a été retardé de deux ans pour tenir compte du commentaire judiciaire de la Cour de justice de l’Union européenne sur les éléments clés de la norme d’adéquation et d’autres développements connexes liés à l’affaire Schrems II.

par Mitch Koczerginski

Mise en garde

Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis. Il est préférable d’obtenir un avis juridique spécifique.

© McMillan S.E.N.C.R.L., s. r. l. 2024