La femme faisant le cadre autour du soleil avec ses mains au lever du soleil
La femme faisant le cadre autour du soleil avec ses mains au lever du soleil
La femme faisant le cadre autour du soleil avec ses mains au lever du soleil

Retour à la « réalité »: le CPVP considère que la LPRPDE s’applique aux entreprises constituées à l’étranger

Janvier 2020 Bulletin sur la protection de la vie privée Lecture de 5 min

Les résultats d’une enquête récente menée par le Commissariat à la protection de la vie privée (le « CPVP ») confirment plusieurs principes importants du droit canadien de la protection de la vie privée, dont le fait qu’une entreprise ait été constituée à l’extérieur du Canada ne la dispense pas nécessairement de son obligation de se conformer.

Les faits

411Numbers HK Limited (« 411 ») exploite des sites Web offrant au public la possibilité de rechercher le nom, l’adresse et le numéro de téléphone de personnes résidant au Canada et dans d’autres pays. 411 a été constituée à Hong Kong, mais son propriétaire et seul employé vit au Québec.

Étant donné que ses services sont gratuits pour les utilisateurs, 411 a par le passé tiré ses revenus de la publicité sur des sites Web de tiers et de la collecte de frais de suppression auprès des personnes souhaitant que leurs coordonnées soient supprimées de l’annuaire. En plus de devoir payer des frais, les personnes qui voulaient faire supprimer leurs renseignements personnels du site Web devaient fournir à 411 une copie de leur passeport, de leur permis de conduire et d’une facture de services publics confirmant leur nom et leur adresse.

Le CPVP a reçu un grand nombre de plaintes concernant 411, notamment d’un juge canadien qui craignait que la publication de son adresse et de son numéro de téléphone ne mette sa famille en danger.

La plainte

Le plaignant alléguait que 411 :

  • avait recueilli, utilisé et communiqué ses renseignements personnels à son insu et sans son consentement en affichant ses renseignements dans son annuaire en ligne;
  • avait utilisé ses renseignements personnels à des fins inappropriées en tirant un revenu de son service de suppression payant;
  • l’avait obligé à fournir plus de renseignements que ce qui était nécessaire aux fins de la suppression de ses renseignements personnels de l’annuaire;
  • n’avait pas répondu à ses demandes en matière de protection de la vie privée.

Position de 411

411 affirmait que le CPVP n’avait pas compétence pour investiguer la plainte étant donné que la société avait été constituée en vertu des lois de Hong Kong, que ses serveurs étaient situés à l’extérieur du Canada, et qu’elle n’avait pas obtenu les coordonnées figurant dans l’annuaire auprès d’organisations canadiennes.

411 affirmait également que, quoi qu’il en soit, les renseignements figurant dans l’annuaire en ligne étaient « accessibles au public » et que, par conséquent, elle était autorisée à recueillir, à utiliser et à communiquer les renseignements personnels d’une personne sans son consentement.

Les conclusions du CPVP

a. Lien réel et substantiel avec le Canada

Il a été établi que la LPRPDE s’applique à une organisation établie à l’étranger s’il existe un lien « réel et substantiel » entre ses activités et le Canada.

Parmi les facteurs pertinents permettant d’établir l’existence d’un lien « réel et substantiel » avec le Canada figurent notamment la question de savoir si l’entreprise commercialise ses produits ou services auprès de Canadiens, si elle traite les renseignements personnels de Canadiens, et si toute utilisation inappropriée ou communication de renseignements personnels pourrait avoir une incidence sur des Canadiens.

À cet égard, le CPVP a conclu que, bien que 411 ait été initialement constituée à Hong Kong et que ses serveurs soient situés à l’étranger, le fait que ses activités soient exercées au Canada par le propriétaire de la société signifiait que tous les revenus tirés de l’annuaire retournaient au Canada. Cela établissait un lien réel et substantiel entre les activités de 411 et le Canada, tant à l’égard de ses sites Web canadiens que de ses autres sites Web propres aux autres pays. Par conséquent, 411 devait se conformer à la LPRPDE.

b.  Non-conformité avec la LPRPDE

Après avoir établi sa compétence à l’égard des activités de 411, le CPVP a conclu que celle-ci avait omis de se conformer à la LPRPDE à plusieurs égards.

Les organisations sont tenues d’informer les personnes de la collecte, de l’utilisation ou de la communication de leurs renseignements personnels et d’obtenir leur consentement. Certaines exceptions s’appliquent à cette obligation d’obtention du consentement, notamment dans le cas des « renseignements auxquels le public a accès », qui sont définis de façon très précise dans le Règlement pris en application de la LPRPDE comme incluant seulement certaines catégories de renseignements personnels.

Le CPVP a accepté en partie l’argument de 411 selon lequel les coordonnées figurant dans l’annuaire d’une entreprise de télécommunications constituaient des renseignements « auxquels le public a accès » au sens du Règlement; il a conclu toutefois que cette exception ne s’appliquait pas aux numéros de téléphone confidentiels.

411 a obtenu les renseignements personnels figurant dans sa base de données auprès de trois entreprises étrangères sans leur demander comment elles avaient obtenu ces renseignements personnels. Le CPVP a conclu que 411 aurait dû mettre en œuvre des mesures de diligence raisonnable pour s’assurer que ses bases de données ne contiennent aucun numéro de téléphone confidentiel, notamment en concluant des ententes avec ses fournisseurs tiers afin de s’assurer que ces renseignements ne figurent pas dans les listes obtenues auprès de ceux-ci.

Au cours de l’enquête du CPVP, 411 a cessé d’imposer des frais aux personnes et de les obliger à fournir des copies d’identification pour que leurs renseignements personnels soient supprimés du site Web. Toutefois, le CPVP note qu’il aurait probablement jugé ces pratiques non conformes à la LPRPDE.

Enfin, le CPVP a été particulièrement critique envers 411 pour son manque de responsabilité et de transparence à l’égard de la plainte et de ses obligations en vertu des lois canadiennes sur la protection des renseignements personnels en général, notamment quant au fait qu’elle n’a pas répondu aux demandes du CPVP dans le cadre de son enquête, qu’elle a omis de nommer un chef de la protection des renseignements personnels ou une autre personne chargée de s’assurer du respect de la LPRPDE, et qu’elle a affiché une politique de confidentialité inexacte sur son site Web. Le CPVP a conclu que cela contrevenait à plusieurs exigences de la LPRPDE, notamment celles selon lesquelles une organisation doit désigner au moins une personne qui devra s’assurer du respect de la LPRPDE, et rédiger et mettre en œuvre des politiques et des procédures pour recevoir les plaintes concernant le traitement des renseignements personnels et y donner suite et veiller à la formation de son personnel à cet égard.

Leçons à retenir pour votre entreprise

Une organisation dont l’âme dirigeante se trouve au Canada peut représenter un « lien réel et substantiel » suffisant pour que le CPVP se déclare compétent à l’égard d’une entité constituée à l’étranger. De plus, l’emplacement physique d’un serveur hôte ne sera pas un élément permettant de déterminer si le CPVP a compétence. Par conséquent, les entreprises qui commercialisent leurs produits ou services auprès de Canadiens, qui résident ou qui exercent des activités au Canada, ou qui utilisent, traitent ou conservent les renseignements personnels de Canadiens sont invitées à obtenir des conseils afin de savoir si les dispositions de la LPRPDE s’appliquent.

Cette enquête nous rappelle également qu’une organisation ne peut transférer ses responsabilités en matière de de protection de la vie privée à ses fournisseurs ou à d’autres tiers. Par conséquent, il est important que des politiques et des procédures de gestion des fournisseurs prudentes, notamment des dispositions contractuelles appropriées, soient négociées et mises en œuvre.

Enfin, ces conclusions nous montrent qu’il n’est jamais trop tôt pour s’assurer que son organisation respecte les lois canadiennes sur la protection des renseignements personnels. Le fait de ne pas élaborer et mettre en œuvre un programme de conformité adéquat en matière de protection des renseignements personnels, y compris des politiques et procédures pour le traitement des demandes et des plaintes concernant la protection de la vie privée, constitue non seulement un manquement à la LPRPDE, mais augmente également considérablement le risque de poursuites en responsabilité civile découlant d’une atteinte à la protection de données ou d’une réclamation ou plainte concernant les pratiques de l’organisation relativement au traitement des renseignements personnels.

par Kristen Pennington et Joseph Osborne, étudiant en droit

Mise en garde

Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt consulter ses propres conseillers juridiques.

© McMillan S.E.N.C.R.L., s.r.l. 2020

Publications connexes

Publication

Le BSIF annonce ses propositions de modification du régime des actifs placés en fiducie des succursales de sociétés d’assurance étrangères

8 Avr, 2021

Le BSIF annonce 3 propositions de modification du régime des actifs placés en fiducie des succursales de sociétés d’assurance étrangères au Canada

post
Publication

La Cour suprême du Canada le confirme : l’exigence du préavis d’exercice d’un droit hypothécaire dans le cadre de la nomination d’un séquestre au québec est là pour rester

8 Avr, 2021

La CSC le confirme : l’exigence d’un préavis d’exercice d’un droit hypothécaire dans le cadre de la nomination d’un séquestre au québec est là pour rester

post
Publication

La Cour suprême du Canada maintient le régime fédéral de tarification du carbone

7 Avr, 2021

Dans sa décision du 25 mars 2021, la CSC juge que la Loi sur la tarification de la pollution causée par les gaz à effet de serre est constitutionnelle.