Dans son mémoire (en anglais) adressé au Commissariat à la protection de la vie privée du Canada (Commissariat), l’ACCVM exprime des réserves sur les propositions qui prévoient l’obligation d’obtenir le consentement express du client lorsque, dans le cadre d’une prestation de services (comme des services de paiement, des services infonuagiques, des services de ressources humaines, des services de marketing), des renseignements personnels sont traités à l’extérieur du Canada ou sont transférés à des tiers au Canada ou à l’étranger pour être traités.
Le recours à des tiers pour traiter des données à l’extérieur du Canada est une pratique bien établie, étant entendu que les sociétés assument l’entière responsabilité de la sécurité et de l’intégrité des données du client. L’ACCVM est persuadée que les propositions du Commissariat constitueront un fardeau important pour les sociétés et leurs clients, et ce, sans protéger davantage les investisseurs. De plus, les exigences plus strictes en matière de consentement sont contraires à l’objectif de la LPRPDE qui est de « faciliter et promouvoir le commerce électronique », car leur mise en œuvre imposera un fardeau réglementaire coûteux et compliqué de nature à décourager les innovations qui améliorent les services à la clientèle.
L’ACCVM est d’opinion qu’il est approprié de recourir au premier des 10 principes relatifs à l’équité énoncés dans l’outil d’autoévaluation de la LPRPDE intitulé « Responsabilité », plutôt qu’à l’obligation d’obtenir le consentement express, lorsque la circulation transfrontalière des données et les transferts de données aux fins de traitement ont lieu dans le cadre de pratiques commerciales standards en matière de prestation de services auxquels les clients ont consenti contractuellement. Il s’agit d’une protection des données du client qui est conforme aux attentes raisonnables des clients.
Pour plus d’information, communiquez avec Susan Copland.