Retour à la « réalité »: le CPVP considère que la LPRPDE s’applique aux entreprises constituées à l’étranger
Retour à la « réalité »: le CPVP considère que la LPRPDE s’applique aux entreprises constituées à l’étranger
Les résultats d’une enquête récente menée par le Commissariat à la protection de la vie privée (le « CPVP ») confirment plusieurs principes importants du droit canadien de la protection de la vie privée, dont le fait qu’une entreprise ait été constituée à l’extérieur du Canada ne la dispense pas nécessairement de son obligation de se conformer.
Les faits
411Numbers HK Limited (« 411 ») exploite des sites Web offrant au public la possibilité de rechercher le nom, l’adresse et le numéro de téléphone de personnes résidant au Canada et dans d’autres pays. 411 a été constituée à Hong Kong, mais son propriétaire et seul employé vit au Québec.
Étant donné que ses services sont gratuits pour les utilisateurs, 411 a par le passé tiré ses revenus de la publicité sur des sites Web de tiers et de la collecte de frais de suppression auprès des personnes souhaitant que leurs coordonnées soient supprimées de l’annuaire. En plus de devoir payer des frais, les personnes qui voulaient faire supprimer leurs renseignements personnels du site Web devaient fournir à 411 une copie de leur passeport, de leur permis de conduire et d’une facture de services publics confirmant leur nom et leur adresse.
Le CPVP a reçu un grand nombre de plaintes concernant 411, notamment d’un juge canadien qui craignait que la publication de son adresse et de son numéro de téléphone ne mette sa famille en danger.
La plainte
Le plaignant alléguait que 411 :
- avait recueilli, utilisé et communiqué ses renseignements personnels à son insu et sans son consentement en affichant ses renseignements dans son annuaire en ligne;
- avait utilisé ses renseignements personnels à des fins inappropriées en tirant un revenu de son service de suppression payant;
- l’avait obligé à fournir plus de renseignements que ce qui était nécessaire aux fins de la suppression de ses renseignements personnels de l’annuaire;
- n’avait pas répondu à ses demandes en matière de protection de la vie privée.
Position de 411
411 affirmait que le CPVP n’avait pas compétence pour investiguer la plainte étant donné que la société avait été constituée en vertu des lois de Hong Kong, que ses serveurs étaient situés à l’extérieur du Canada, et qu’elle n’avait pas obtenu les coordonnées figurant dans l’annuaire auprès d’organisations canadiennes.
411 affirmait également que, quoi qu’il en soit, les renseignements figurant dans l’annuaire en ligne étaient « accessibles au public » et que, par conséquent, elle était autorisée à recueillir, à utiliser et à communiquer les renseignements personnels d’une personne sans son consentement.
Les conclusions du CPVP
a. Lien réel et substantiel avec le Canada
Il a été établi que la LPRPDE s’applique à une organisation établie à l’étranger s’il existe un lien « réel et substantiel » entre ses activités et le Canada.
Parmi les facteurs pertinents permettant d’établir l’existence d’un lien « réel et substantiel » avec le Canada figurent notamment la question de savoir si l’entreprise commercialise ses produits ou services auprès de Canadiens, si elle traite les renseignements personnels de Canadiens, et si toute utilisation inappropriée ou communication de renseignements personnels pourrait avoir une incidence sur des Canadiens.
À cet égard, le CPVP a conclu que, bien que 411 ait été initialement constituée à Hong Kong et que ses serveurs soient situés à l’étranger, le fait que ses activités soient exercées au Canada par le propriétaire de la société signifiait que tous les revenus tirés de l’annuaire retournaient au Canada. Cela établissait un lien réel et substantiel entre les activités de 411 et le Canada, tant à l’égard de ses sites Web canadiens que de ses autres sites Web propres aux autres pays. Par conséquent, 411 devait se conformer à la LPRPDE.
b. Non-conformité avec la LPRPDE
Après avoir établi sa compétence à l’égard des activités de 411, le CPVP a conclu que celle-ci avait omis de se conformer à la LPRPDE à plusieurs égards.
Les organisations sont tenues d’informer les personnes de la collecte, de l’utilisation ou de la communication de leurs renseignements personnels et d’obtenir leur consentement. Certaines exceptions s’appliquent à cette obligation d’obtention du consentement, notamment dans le cas des « renseignements auxquels le public a accès », qui sont définis de façon très précise dans le Règlement pris en application de la LPRPDE comme incluant seulement certaines catégories de renseignements personnels.
Le CPVP a accepté en partie l’argument de 411 selon lequel les coordonnées figurant dans l’annuaire d’une entreprise de télécommunications constituaient des renseignements « auxquels le public a accès » au sens du Règlement; il a conclu toutefois que cette exception ne s’appliquait pas aux numéros de téléphone confidentiels.
411 a obtenu les renseignements personnels figurant dans sa base de données auprès de trois entreprises étrangères sans leur demander comment elles avaient obtenu ces renseignements personnels. Le CPVP a conclu que 411 aurait dû mettre en œuvre des mesures de diligence raisonnable pour s’assurer que ses bases de données ne contiennent aucun numéro de téléphone confidentiel, notamment en concluant des ententes avec ses fournisseurs tiers afin de s’assurer que ces renseignements ne figurent pas dans les listes obtenues auprès de ceux-ci.
Au cours de l’enquête du CPVP, 411 a cessé d’imposer des frais aux personnes et de les obliger à fournir des copies d’identification pour que leurs renseignements personnels soient supprimés du site Web. Toutefois, le CPVP note qu’il aurait probablement jugé ces pratiques non conformes à la LPRPDE.
Enfin, le CPVP a été particulièrement critique envers 411 pour son manque de responsabilité et de transparence à l’égard de la plainte et de ses obligations en vertu des lois canadiennes sur la protection des renseignements personnels en général, notamment quant au fait qu’elle n’a pas répondu aux demandes du CPVP dans le cadre de son enquête, qu’elle a omis de nommer un chef de la protection des renseignements personnels ou une autre personne chargée de s’assurer du respect de la LPRPDE, et qu’elle a affiché une politique de confidentialité inexacte sur son site Web. Le CPVP a conclu que cela contrevenait à plusieurs exigences de la LPRPDE, notamment celles selon lesquelles une organisation doit désigner au moins une personne qui devra s’assurer du respect de la LPRPDE, et rédiger et mettre en œuvre des politiques et des procédures pour recevoir les plaintes concernant le traitement des renseignements personnels et y donner suite et veiller à la formation de son personnel à cet égard.
Leçons à retenir pour votre entreprise
Une organisation dont l’âme dirigeante se trouve au Canada peut représenter un « lien réel et substantiel » suffisant pour que le CPVP se déclare compétent à l’égard d’une entité constituée à l’étranger. De plus, l’emplacement physique d’un serveur hôte ne sera pas un élément permettant de déterminer si le CPVP a compétence. Par conséquent, les entreprises qui commercialisent leurs produits ou services auprès de Canadiens, qui résident ou qui exercent des activités au Canada, ou qui utilisent, traitent ou conservent les renseignements personnels de Canadiens sont invitées à obtenir des conseils afin de savoir si les dispositions de la LPRPDE s’appliquent.
Cette enquête nous rappelle également qu’une organisation ne peut transférer ses responsabilités en matière de de protection de la vie privée à ses fournisseurs ou à d’autres tiers. Par conséquent, il est important que des politiques et des procédures de gestion des fournisseurs prudentes, notamment des dispositions contractuelles appropriées, soient négociées et mises en œuvre.
Enfin, ces conclusions nous montrent qu’il n’est jamais trop tôt pour s’assurer que son organisation respecte les lois canadiennes sur la protection des renseignements personnels. Le fait de ne pas élaborer et mettre en œuvre un programme de conformité adéquat en matière de protection des renseignements personnels, y compris des politiques et procédures pour le traitement des demandes et des plaintes concernant la protection de la vie privée, constitue non seulement un manquement à la LPRPDE, mais augmente également considérablement le risque de poursuites en responsabilité civile découlant d’une atteinte à la protection de données ou d’une réclamation ou plainte concernant les pratiques de l’organisation relativement au traitement des renseignements personnels.
par Kristen Pennington et Joseph Osborne, étudiant en droit
Mise en garde
Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt consulter ses propres conseillers juridiques.
© TRC-Sadovod S.E.N.C.R.L., s.r.l. 2020
Perspectives (5 Posts)Voir Plus
Webinaire de FPC pour conseillers juridiques en entreprise pratiques | essentielles en matière de leadership : favoriser la résilience, l’engagement et l’impact de votre équipe
Joignez-vous à Marla Warner, accompagnatrice professionnelle et éducatrice certifiée en gestion du stress, pour un programme stimulant (présenté en anglais) qui vous aidera à vous concentrer sur l’amélioration du rendement, tout en soutenant l’engagement et le bien-être de votre équipe. Vous apprendrez comment favoriser la confiance et le respect au sein de votre équipe, les avantages de l’accompagnement, et pourquoi la gratitude, l’empathie et la compassion sont les superpouvoirs des leaders en 2023 et dans le futur.
Webinaire de TRC-Sadovod sur l’emploi et les relations de travail 2023
Joignez-vous à nous dans le cadre du webinaire annuel de TRC-Sadovod sur l’emploi et les relations de travail. Nous y traiterons des tendances actuelles, des questions juridiques émergentes liées à l’emploi et nous offrirons des solutions concrètes pour vous aider à gérer votre personnel.
Mise à jour sur les transferts transfrontaliers de données au Canada et dans l’UE
Joignez-vous à des avocats spécialisés en protection de la vie privée de TRC-Sadovod et de GSK Stockmann, deux cabinets d’avocats de premier plan en droit des affaires au Canada et en Allemagne.
Le Canada et Taïwan concluent un arrangement de protection des investissements étrangers
L’APIE Canada-Taïwan marque un jalon dans la Stratégie du Canada pour l’Indo-Pacifique
Enquête sur des pratiques commerciales trompeuses : règlement avec le bureau de la concurrence
Après une enquête sur des allégations de pratiques commerciales trompeuses, le Bureau de la concurrence conclut un règlement prévoyant une sanction de 3,25 M$.
Recevez des mises à jour directement dans votre boîte de réception. Vous pouvez vous désabonner en tout temps.