Au cours des derniers mois, j’ai été appelé à passer en revue plusieurs clauses contractuelles auxquelles les organisations doivent s’assurer de répondre en vertu des lois canadiennes de protection des renseignements personnels. Une recherche que j’ai conduite afin de vérifier s’il était envisageable d’utiliser les services de tiers pour le traitement de données. La question soulevée : pouvons-nous envoyer les bases de données des contacts en dehors du Canada ?
Je ne veux surtout pas donner un avis juridique mais simplement exposer des règles directrices qui nous ont servi pour établir si nous pouvions utiliser les serveurs de tiers localisés en dehors du Canada. Je vous invite à consulter votre conseiller juridique pour un avis qui s’applique à votre organisation et son territoire; mais soyez tout de suite rassurés, nous conservons les données de nos clients au Canada.
Pour répondre à la question, j’ai fait quelques recherches sur le sujet.
Les conclusions générales que je retiens de mes recherches se retrouvent sur le site du Commissariat à la protection de la vie privée du Canada. On y donne les principales recommandations qui s’appliquent à toute organisation au Canada :
« L’organisation qui procède au transfert est responsable des renseignements qui sont remis à l’organisation qui les reçoit.
Les organisations sont tenues de protéger les renseignements personnels qui se trouvent entre les mains des tiers qui les traitent. Le moyen principal d’assurer cette protection est par voie contractuelle.
Aucun contrat ne peut avoir préséance sur les lois en matière de criminalité, de sécurité nationale et autres du pays vers lequel les renseignements ont été transférés.
Il est important que les organisations évaluent les risques que l’intégrité, la sécurité et la confidentialité des renseignements personnels de leurs clients soient compromises au moment ou à la suite du transfert à un tiers fournisseur de services exerçant des activités à l’extérieur du Canada.
Les organisations doivent faire preuve de transparence au sujet de leurs pratiques de traitement des renseignements personnels. Elles doivent notamment informer les consommateurs que leurs renseignements personnels pourraient être envoyés dans un autre pays aux fins de traitement, et que les tribunaux, organismes d’application de la loi et agences de sécurité nationale de ce pays pourraient y accéder. »
Puisque nous ne sommes en mesure ni de s’assurer des procédures de sécurité et d’accès aux données, ni de discuter des clauses contractuelles avec les fournisseurs américains, nous avons ainsi rejeté cette solutions d’infonuagique (Cloud Computing) américaine pour préférer une utilisation de données au Canada. Par ailleurs, même si la Loi n’est pas formelle à ce sujet, nous ne prendrons pas le risque inutile de nous exposer à des pratiques d’utilisation de données jugées acceptables ailleurs mais qui ne le sont pas du tout ici au Canada, comme le partage des listes de contacts.
Finalement, pour éviter toutes difficultés et respecter les plus hauts standards de sécurité, nous préférons n’envoyer aucune donnée client sur des serveurs à l’extérieur du Canada. Avec toute la controverse de l’utilisation des données américaines avec l’affaire Snowden, je crois qu’il s’agit d’une sage décision. Qu’en pensez-vous?