Retour à la « réalité »: le CPVP considère que la LPRPDE s’applique aux entreprises constituées à l’étranger
Retour à la « réalité »: le CPVP considère que la LPRPDE s’applique aux entreprises constituées à l’étranger
Les résultats d’une enquête récente menée par le Commissariat à la protection de la vie privée (le « CPVP ») confirment plusieurs principes importants du droit canadien de la protection de la vie privée, dont le fait qu’une entreprise ait été constituée à l’extérieur du Canada ne la dispense pas nécessairement de son obligation de se conformer.
Les faits
411Numbers HK Limited (« 411 ») exploite des sites Web offrant au public la possibilité de rechercher le nom, l’adresse et le numéro de téléphone de personnes résidant au Canada et dans d’autres pays. 411 a été constituée à Hong Kong, mais son propriétaire et seul employé vit au Québec.
Étant donné que ses services sont gratuits pour les utilisateurs, 411 a par le passé tiré ses revenus de la publicité sur des sites Web de tiers et de la collecte de frais de suppression auprès des personnes souhaitant que leurs coordonnées soient supprimées de l’annuaire. En plus de devoir payer des frais, les personnes qui voulaient faire supprimer leurs renseignements personnels du site Web devaient fournir à 411 une copie de leur passeport, de leur permis de conduire et d’une facture de services publics confirmant leur nom et leur adresse.
Le CPVP a reçu un grand nombre de plaintes concernant 411, notamment d’un juge canadien qui craignait que la publication de son adresse et de son numéro de téléphone ne mette sa famille en danger.
La plainte
Le plaignant alléguait que 411 :
- avait recueilli, utilisé et communiqué ses renseignements personnels à son insu et sans son consentement en affichant ses renseignements dans son annuaire en ligne;
- avait utilisé ses renseignements personnels à des fins inappropriées en tirant un revenu de son service de suppression payant;
- l’avait obligé à fournir plus de renseignements que ce qui était nécessaire aux fins de la suppression de ses renseignements personnels de l’annuaire;
- n’avait pas répondu à ses demandes en matière de protection de la vie privée.
Position de 411
411 affirmait que le CPVP n’avait pas compétence pour investiguer la plainte étant donné que la société avait été constituée en vertu des lois de Hong Kong, que ses serveurs étaient situés à l’extérieur du Canada, et qu’elle n’avait pas obtenu les coordonnées figurant dans l’annuaire auprès d’organisations canadiennes.
411 affirmait également que, quoi qu’il en soit, les renseignements figurant dans l’annuaire en ligne étaient « accessibles au public » et que, par conséquent, elle était autorisée à recueillir, à utiliser et à communiquer les renseignements personnels d’une personne sans son consentement.
Les conclusions du CPVP
a. Lien réel et substantiel avec le Canada
Il a été établi que la LPRPDE s’applique à une organisation établie à l’étranger s’il existe un lien « réel et substantiel » entre ses activités et le Canada.
Parmi les facteurs pertinents permettant d’établir l’existence d’un lien « réel et substantiel » avec le Canada figurent notamment la question de savoir si l’entreprise commercialise ses produits ou services auprès de Canadiens, si elle traite les renseignements personnels de Canadiens, et si toute utilisation inappropriée ou communication de renseignements personnels pourrait avoir une incidence sur des Canadiens.
À cet égard, le CPVP a conclu que, bien que 411 ait été initialement constituée à Hong Kong et que ses serveurs soient situés à l’étranger, le fait que ses activités soient exercées au Canada par le propriétaire de la société signifiait que tous les revenus tirés de l’annuaire retournaient au Canada. Cela établissait un lien réel et substantiel entre les activités de 411 et le Canada, tant à l’égard de ses sites Web canadiens que de ses autres sites Web propres aux autres pays. Par conséquent, 411 devait se conformer à la LPRPDE.
b. Non-conformité avec la LPRPDE
Après avoir établi sa compétence à l’égard des activités de 411, le CPVP a conclu que celle-ci avait omis de se conformer à la LPRPDE à plusieurs égards.
Les organisations sont tenues d’informer les personnes de la collecte, de l’utilisation ou de la communication de leurs renseignements personnels et d’obtenir leur consentement. Certaines exceptions s’appliquent à cette obligation d’obtention du consentement, notamment dans le cas des « renseignements auxquels le public a accès », qui sont définis de façon très précise dans le Règlement pris en application de la LPRPDE comme incluant seulement certaines catégories de renseignements personnels.
Le CPVP a accepté en partie l’argument de 411 selon lequel les coordonnées figurant dans l’annuaire d’une entreprise de télécommunications constituaient des renseignements « auxquels le public a accès » au sens du Règlement; il a conclu toutefois que cette exception ne s’appliquait pas aux numéros de téléphone confidentiels.
411 a obtenu les renseignements personnels figurant dans sa base de données auprès de trois entreprises étrangères sans leur demander comment elles avaient obtenu ces renseignements personnels. Le CPVP a conclu que 411 aurait dû mettre en œuvre des mesures de diligence raisonnable pour s’assurer que ses bases de données ne contiennent aucun numéro de téléphone confidentiel, notamment en concluant des ententes avec ses fournisseurs tiers afin de s’assurer que ces renseignements ne figurent pas dans les listes obtenues auprès de ceux-ci.
Au cours de l’enquête du CPVP, 411 a cessé d’imposer des frais aux personnes et de les obliger à fournir des copies d’identification pour que leurs renseignements personnels soient supprimés du site Web. Toutefois, le CPVP note qu’il aurait probablement jugé ces pratiques non conformes à la LPRPDE.
Enfin, le CPVP a été particulièrement critique envers 411 pour son manque de responsabilité et de transparence à l’égard de la plainte et de ses obligations en vertu des lois canadiennes sur la protection des renseignements personnels en général, notamment quant au fait qu’elle n’a pas répondu aux demandes du CPVP dans le cadre de son enquête, qu’elle a omis de nommer un chef de la protection des renseignements personnels ou une autre personne chargée de s’assurer du respect de la LPRPDE, et qu’elle a affiché une politique de confidentialité inexacte sur son site Web. Le CPVP a conclu que cela contrevenait à plusieurs exigences de la LPRPDE, notamment celles selon lesquelles une organisation doit désigner au moins une personne qui devra s’assurer du respect de la LPRPDE, et rédiger et mettre en œuvre des politiques et des procédures pour recevoir les plaintes concernant le traitement des renseignements personnels et y donner suite et veiller à la formation de son personnel à cet égard.
Leçons à retenir pour votre entreprise
Une organisation dont l’âme dirigeante se trouve au Canada peut représenter un « lien réel et substantiel » suffisant pour que le CPVP se déclare compétent à l’égard d’une entité constituée à l’étranger. De plus, l’emplacement physique d’un serveur hôte ne sera pas un élément permettant de déterminer si le CPVP a compétence. Par conséquent, les entreprises qui commercialisent leurs produits ou services auprès de Canadiens, qui résident ou qui exercent des activités au Canada, ou qui utilisent, traitent ou conservent les renseignements personnels de Canadiens sont invitées à obtenir des conseils afin de savoir si les dispositions de la LPRPDE s’appliquent.
Cette enquête nous rappelle également qu’une organisation ne peut transférer ses responsabilités en matière de de protection de la vie privée à ses fournisseurs ou à d’autres tiers. Par conséquent, il est important que des politiques et des procédures de gestion des fournisseurs prudentes, notamment des dispositions contractuelles appropriées, soient négociées et mises en œuvre.
Enfin, ces conclusions nous montrent qu’il n’est jamais trop tôt pour s’assurer que son organisation respecte les lois canadiennes sur la protection des renseignements personnels. Le fait de ne pas élaborer et mettre en œuvre un programme de conformité adéquat en matière de protection des renseignements personnels, y compris des politiques et procédures pour le traitement des demandes et des plaintes concernant la protection de la vie privée, constitue non seulement un manquement à la LPRPDE, mais augmente également considérablement le risque de poursuites en responsabilité civile découlant d’une atteinte à la protection de données ou d’une réclamation ou plainte concernant les pratiques de l’organisation relativement au traitement des renseignements personnels.
par Kristen Pennington et Joseph Osborne, étudiant en droit
Mise en garde
Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt consulter ses propres conseillers juridiques.
© McMillan S.E.N.C.R.L., s.r.l. 2020
Perspectives (5 Posts)Voir Plus
Les cinq principales mesures que vous n’appliquez probablement pas (mais que vous devriez) pour vous conformer aux Lois canadiennes sur la protection de la vie privée – MESURE Nº 5 : formation des employés
La formation des employés constitue une mesure à prendre essentielle pour assurer l’efficacité d’un programme canadien de conformité en matière de protection de la vie privée.
Les dates limites approchent : le gouvernement du Canada lance une série de consultations sur l’avenir commercial du Canada
Le gouvernement a lancé une série de consultations publiques sans précédent sur la politique commerciale, qui visent notamment la sécurité économique, certains produits en provenance de la Chine et l’ACEUM.
Les États-Unis contestent la taxe sur les services numériques du Canada
On August 30, 2024, the United States challenged Canada’s Digital Services Tax under CUSMA. The dispute implicates billions of dollars in Canada-US trade.
La nouvelle disposition québécoise relative à la portabilité des données : les principales caractéristiques que vous devez connaître
Dans ce bulletin, nous vous présentons un aperçu de la nouvelle disposition québécoise relative à la portabilité des données.
Conférence – Expropriation 2.0 : Naviguer dans les nouvelles règles
Plongez dans la récente réforme des règles d'expropriation au Québec sous un angle pratique.
Recevez des mises à jour directement dans votre boîte de réception. Vous pouvez vous désabonner en tout temps.