Protocole d’entente entre la Commissaire à l’information du Royaume-Uni de Grande-Bretagne et d’Irlande du Nord et le Conseil de la radiodiffusion et des télécommunications canadiennes sur la collaboration dans le cadre de l’application des lois sur la protection des données personnelles

1. Introduction

1. 1.1 Le présent protocole d’entente (« PE ») définit le cadre de coopération entre
   1. la Commissaire à l’information (la « Commissaire ») et
   2. le Conseil de la radiodiffusion et des télécommunications canadiennes (le « CRTC »)

   collectivement appelés les « participants ».

2. 1.2 Les participants reconnaissent la nature de l’économie mondiale moderne, notamment la dépendance accrue aux moyens électroniques pour l’exercice des activités commerciales, la circulation et la communication accrues des données à caractère personnel d’un pays à l’autre, la complexité croissante des technologies de l’information et le besoin connexe de renforcer la coopération en matière d’application transfrontalière des lois.
3. 1.3 Les participants reconnaissent qu’ils ont des obligations et devoirs similaires en matière de protection et traitement des renseignements personnels dans leurs pays respectifs.
4. 1.4 Le présent PE reconnaît que la loi généralement connue sous le nom de Loi canadienne anti-pourriel (LCAP) autorise le CRTC à divulguer des renseignements à une institution du gouvernement d’un État étranger dans des circonstances déterminées et dans certaines conditions, et confirme l’intention des participants d’approfondir leurs relations existantes et de favoriser les échanges pour s’entraider dans l’application de leurs lois respectives.
5. 1.5 Le présent PE énonce les principes généraux de collaboration entre les participants et le cadre juridique régissant l’échange d’informations et de renseignements pertinents entre eux.
6. 1.6 Les participants confirment que rien dans le présent PE ne doit être interprété comme imposant aux participants une obligation de coopérer mutuellement. En particulier, rien n’oblige les participants à coopérer dans des circonstances qui violeraient leurs responsabilités légales, notamment :
   1. dans le cas de la Commissaire : le General Data Protection Regulation (le « GDPR »);
   2. dans le cas du CRTC : la LCAP.
7. 1.7 Le PE établit le cadre juridique de l’échange de renseignements, cependant il appartient à chaque participant de déterminer lui-même que toute communication proposée des renseignements est conforme à la loi à laquelle il est assujetti.

2. Le rôle et la fonction de la Commissaire à l’information

1. 2.1 La Commissaire est une personne morale nommée par Sa Majesté la Reine en vertu de la Loi sur la protection des données de 2018 (la « DPA »), afin d’agir à titre d’organisme de réglementation indépendant du Royaume-Uni responsable de défendre les droits à l’information dans l’intérêt public, de promouvoir la transparence des organismes publics et de protéger les données à caractère personnel.
2. 2.2 La Commissaire est habilitée à prendre une série de mesures réglementaires en cas de violations d’une loi ou d’un règlement mentionné ci-dessous (y incluant leurs modifications successives) :
   1. la Data Protection Act de 2018 (« DPA »);
   2. le General Data Protection Regulation (« GDPR »);
   3. le Privacy and Electronic Communications (EC Directive) Regulations de 2003 (« PECR ») (le Règlement sur la vie privée et les communications électroniques);
   4. la Freedom of Information Act de 2000 (« FOIA ») (la Loi sur la liberté des informations);
   5. le Environmental Information Regulations de 2004 (« EIR ») (le Règlement sur les informations environnementales);
   6. le Environmental Protection Public Sector Information Regulations de 2009 (« INSPIRE Regulations ») (le Règlement sur la protection de l’environnement dans le secteur public);
   7. la Investigatory Powers Act de 2016 (la Loi régissant les pouvoirs d’enquête);
   8. le Re-use of Public Sector Information Regulations de 2015 (le Règlement sur la réutilisation des informations publiques);
   9. la Enterprise Act de 2002 (la Loi sur les entreprises);
   10. la Security of Network and Information Systems Directive (« la directive NIS ») (la Loi sur la sécurité des réseaux et systèmes d’information);
   11. l’Electronic Identification, Authentication and Trust Services Regulation (« eIDAS ») (le Règlement sur l’identification électronique et les services de confiance pour les transactions électroniques).
3. 2.3 La Commissaire assume une vaste gamme de responsabilités statutaires, notamment la surveillance et la mise en application des lois sur la protection des données, la promotion des bonnes pratiques et le respect des obligations en matière de protection des données par ceux qui traitent des données à caractère personnel. Ces obligations s’inscrivent au même titre que celles relatives aux autres régimes d’exécution de la loi.
4. 2.4 Les pouvoirs de réglementation et d’exécution de la Commissaire comprennent ce qui suit :
   1. faire une vérification approfondie de la conformité à la DPA, au GDPR, au PECR, au eIDAS, à la directive NIS, à la FOIA et au EIR;
   2. donner des avis d’information obligeant les particuliers, les contrôleurs ou les processeurs à fournir des renseignements relatifs à une enquête;
   3. donner des avis d’exécution, des avertissements, des réprimandes, des recommandations en matière de pratiques et autres ordonnances exigeant des actions concrètes de la part d’une personne ou d’un organisme afin de résoudre les violations (y compris les éventuelles violations) aux lois relatives à la protection des données et d’autres obligations en matière d’accès à l’information;
   4. imposer des amendes par le biais d’avis de violation dans les circonstances énumérées à l’article 152 de la DPA;
   5. imposer des pénalités fixes pour le de non-respect d’obligations particulières (telles que le défaut de payer les droits réglementaires prescrits à la Commissaire);
   6. envoyer des avis de décision faisant état de l’issue d’une enquête en vertu de la FOIA ou du EIR;
   7. attester de l’outrage au tribunal si une autorité ne se conforme pas à un avis d’information, à une décision ou à un avis d’exécution en vertu de la FOIA ou du EIR;
   8. poursuivre les auteurs d’actes criminels devant les tribunaux.
5. 2.5 Le Règlement 31 du PECR, qui a été modifié par le Privacy and Electronic Communications (EC Directive) Regulations de 2011, confère également à la Commissaire le pouvoir de signifier des avis d’exécution et d’envoyer des avis de sanctions pécuniaires, comme il est indiqué ci-dessus, aux organismes qui enfreignent le PECR. Cela inclut, sans toutefois s’y limiter, les violations en raison de l’envoi de communications non sollicitées aux fins de marketing relevant du PECR, y compris les appels téléphoniques automatisés effectués sans consentement, les appels téléphoniques de vive voix qui n’ont pas été filtrés par le service « Telephone Preference Service » et les messages électroniques non sollicités (règlements 19, 21 et 22 du PECR respectivement).

3. Rôle et fonctions du CRTC

1. 3.1 Le CRTC est un organisme gouvernemental canadien indépendant agissant à titre d’organisme national de réglementation de la radiodiffusion et des télécommunications au Canada.
2. 3.2 Dans le cadre de son mandat, le CRTC est chargé de promouvoir et d’assurer la conformité aux dispositions de la LCAP, y compris celles qui traitent de la réglementation des messages électroniques commerciaux non sollicités (comme par exemple les pourriels), de la modification des données de transmission et de l’installation de programmes informatiques sans consentement.
3. 3.3 Le CRTC est également responsable de la réglementation des télécommunications non sollicitées en vertu de l'article 41 de la Loi sur les télécommunications et de faire respecter les Règles sur les télécommunications non sollicitées et la Liste nationale de numéros de télécommunication exclus. Le CRTC peut nommer des membres de son personnel pour exercer un large éventail de pouvoirs d’enquête et d’exécution, notamment :
   1. envoyer un avis de communication exigeant la production de données, de renseignements ou de documents en la possession ou sous le contrôle d’une personne en vertu de l’article 17 de la LCAP;
   2. envoyer des demandes de préservation de données exigeant à un fournisseur de services de télécommunication de préserver les données de transmission en sa possession ou sous son contrôle en vertu de l’article 15 de la LCAP;
   3. effectuer des inspections dans le but de vérifier la conformité ou d'empêcher la non-conformité en vertu des paragraphes 71 (1) et 71 (4) de la Loi sur les télécommunications;
   4. effectuer une perquisition dans un lieu (entreprise ou maison d’habitation) pour examiner, copier ou emporter des documents ou des objets en vertu de l’article 19 de la LCAP et 71(6) de la Loi sur les télécommunications;
   5. envoyer des lettres d’avertissement et conclure des ententes contenant des engagements;
   6. délivrer un procès-verbal d’infraction pouvant inclure l’imposition d’une sanction administrative pécuniaire en vertu de l’article 22 de la LCAP ainsi que des articles 72.01 et 72.04 de la Loi sur les télécommunications

4. Portée de la coopération

1. 4.1 Les participants reconnaissent qu’il est dans leur intérêt commun de collaborer conformément au présent PE, afin de :
   1. s’assurer qu’ils sont en mesure d’apporter la coopération réglementaire nécessaire pour soutenir leurs économies fondées sur des données et protéger les droits fondamentaux des citoyens du Royaume-Uni et du Canada, respectivement, conformément aux lois applicables de leurs pays respectifs;
   2. coopérer en ce qui concerne l’application de leurs lois respectives en matière de messages électroniques commerciaux, de télémarketing, de protection des données et de confidentialité;
   3. se tenir informés des nouveaux événements dans leurs pays respectifs qui ont des répercussions sur le présent PE;
   4. reconnaître à titre d’enjeu prioritaire exigeant une coopération toute enquête ou toute mesure d’application parallèle ou conjointe des participants.
2. 4.2 À cette fin, les participants peuvent déterminer conjointement un ou plusieurs domaines ou initiatives de coopération. Une telle coopération peut inclure :
   1. le partage et l’échange d’expériences et de bonnes pratiques en matière de politiques de protection des données, de programmes d’éducation et de formation;
   2. la mise en œuvre de projets de recherche communs;
   3. la communication de renseignements (à l’exclusion des d’informations personnelles) liés à une enquête ou à une procédure en cours ou potentielle des organisations dans leurs juridictions respectives;
   4. les enquêtes communes sur des incidents transfrontaliers de données à caractère personnel impliquant des organismes des deux pays (à l’exclusion de l’échange de d’informations personnelles);
   5. la convocation de réunions bilatérales annuellement ou tel que convenu mutuellement par les participants;
   6. tout autre domaine de coopération convenu mutuellement par les participants.
3. 4.3 Le présent PE n’impose ni à la Commissaire ni au CRTC l’obligation de coopérer mutuellement ou de communiquer des renseignements. Lorsqu’un participant choisit d’exercer son pouvoir discrétionnaire de coopérer ou de communiquer des renseignements, une telle mesure peut limiter sa coopération ou imposer des conditions à sa demande. Cela s’applique lorsque (i) la demande n’est pas visée par le présent PE, ou (ii) l’exécution de la demande constituerait une violation des responsabilités légales du participant.

5. Aucune communication d’informations personnelles

1. 5.1 Les participants n’ont pas l’intention que le présent PE inclut toute la communication d’informations personnelles ou de renseignements confidentiels, ce qui inclut tous renseignements permettant aux participants d’identifier une personne.
2. 5.2 Si les participants souhaitent communiquer des informations personnelles ou d’autres renseignements confidentiels comprenant des renseignements permettant d’identifier une personne, par exemple en relation avec une enquête transfrontalière ou un incident lié aux données à caractère personnel, chaque participant envisagera alors de se conformer à ses propres lois applicables en matière de protection de la vie privée et de protection des données, qui peuvent exiger des participants qu’ils concluent une entente ou un accord écrit concernant la communication de ces informations personnelles ou renseignements permettant d’identifier une personne. Cela peut comprendre l’adoption de mesures supplémentaires appropriées pour transmettre les documents contenant des informations personnelles ou des renseignements permettant d’identifier une personne de manière sécuritaire et pour les protéger. Les mesures suivantes ou des mesures raisonnables équivalentes sont des exemples des mesures de protection pouvant être prises séparément ou de manière combinée, selon les circonstances :
   1. transmettre les documents en format crypté;
   2. expédier les documents directement au participant en ayant recours à une entreprise de messagerie capable de faire le suivi de l’envoi;
   3. conserver les documents dans des endroits sûrs dont l’accès est limité (p. ex., protection par mot de passe pour les fichiers électroniques, rangement sous clé pour les documents papier);
   4. si les renseignements sont utilisés dans le cadre d’une procédure qui pourrait entraîner une divulgation publique, caviarder les renseignements permettant d’identifier une personne ou les mettre sous scellé.

6. Renseignements communiqués par la Commissaire

1. 6.1 Le paragraphe 132(1) de la DPA de 2018 stipule que la Commissaire ne peut communiquer certains renseignements que si elle est légalement habilitée à le faire, si ces renseignements ont été obtenus par la Commissaire, ou lui ont été fournis, dans le cadre ou aux fins de l’exercice des fonctions de la Commissaire, concerne une personne ou une entreprise identifiable, et ne sont pas autrement accessibles au public auprès d’autres sources.
2. 6.2 Le paragraphe 132(2) de la DPA de 2018 énonce les circonstances dans lesquelles la Commissaire aura le pouvoir légal de communiquer ces renseignements. Lorsque la Commissaire communique des renseignements au CRTC, les circonstances suivantes sont particulièrement pertinentes :
   1. la communication des renseignements s’avère nécessaire afin de permettre à la Commissaire de s’acquitter des fonctions dont elle est chargée (alinéa 132(2)c));
   2. la communication des renseignements s’avère nécessaire dans l’intérêt public, compte tenu des droits, des libertés et des intérêts légitimes de toute personne (alinéa 132(2)f)).
3. 6.3 Avant que la Commissaire ne communique ces renseignements au CRTC, elle peut établir à quelle fonction du CRTC ces renseignements peuvent être utiles et déterminer si cette fonction du CRTC pourrait raisonnablement être remplie sans accès aux renseignements en question.
4. 6.4 La Commissaire peut choisir de communiquer certains renseignements au CRTC uniquement si le CRTC est d’accord avec certaines limites liées à la manière dont il peut utiliser ces renseignements.

7. Renseignements communiqués par le CRTC

1. 7.1 L’article 60 de la LCAP énonce les circonstances dans lesquelles le CRTC aura le pouvoir légal de communiquer ces renseignements à la Commissaire. Plus précisément, les renseignements peuvent être communiqués :
   1. lorsque l’on croit que les renseignements pourraient être utiles à une enquête, instance ou poursuite relative à une contravention à une loi qui est essentiellement semblable à la LCAP ou à la Loi sur les télécommunications;
   2. lorsque la communication est nécessaire afin d’obtenir des renseignements qui pourraient être utiles à une enquête ou à une instance menée par le CRTC.
2. 7.2 Les renseignements ne peuvent être communiqués que dans le cadre d’enquêtes ou d’instances concernant des contraventions aux lois dont la sanction ne serait pas considérée comme pénale sous le régime du droit canadien.
3. 7.3 Sous réserve d’autres lois applicables aux participants (y compris dans le cas de la Commissaire, de la FOIA et du CRTC, de la Loi sur l’accès à l’information), les participants reconnaissent que chaque demande de renseignements, l’existence de toute enquête liée à la demande, les documents associés à la demande et l’ensemble des renseignements et documents fournis en réponse à chaque demande, peuvent contenir les renseignements confidentiels de l’autre participant (à moins d’entente contraire entre les participants) et traitent ces renseignements en conséquence.

8. Sécurité et rapports d’atteinte à la protection des renseignements personnels

1. 8.1 Des mesures de sécurité appropriées doivent être établies pour protéger les transferts de renseignements selon la nature délicate des renseignements et de toute classification appliquée par l’expéditeur.
2. 8.2 Lorsque des documents confidentiels sont échangés entre les participants, ils porteront la classification de sécurité appropriée.
3. 8.3 Lorsqu’un participant a reçu des renseignements de l’autre, il en informera l’autre avant de transmettre les renseignements à un tiers ou de les utiliser dans le cadre d’une procédure de mise à exécution ou d’une affaire judiciaire.
4. 8.4 Lorsqu’un document confidentiel obtenu du participant expéditeur ou communiqué par celui-ci est communiqué ou utilisé à mauvais escient par le participant recevant l’information, celui-ci en avisera sans délai le participant expéditeur.

9. Examen du protocole d’entente

1. 9.1 La Commissaire et le CRTC surveilleront le fonctionnement de ce PE et en effectueront un examen tous les deux ans, ou plus tôt si l’un des participants le demande.
2. 9.2 Toute question liée à ce PE sera communiquée au point de contact désigné pour chaque participant.
3. 9.3 Le présent PE ne peut être modifié que par accord écrit entre les participants et signé par chaque participant.

10. Inapplicabilité de ce protocole d’entente et règlement de différends

1. 10.1 Le présent PE est une déclaration d’intention qui ne donne naissance à aucune obligation juridiquement contraignante de la part de la Commissaire ou du CRTC.
2. 10.2 Les participants régleront à l’amiable tout différend ou désaccord relatif au présent PE ou découlant de celui-ci au moyen de consultations et de négociations de bonne foi, sans renvoi à aucun tribunal, aucune cour ou autre instance internationale.

11. Points de contact désignés

1. 11.1 Les personnes suivantes sont les points de contact désignés par les participants en ce qui a trait aux questions relevant du présent PE :

   Bureau de la commissaire à l’information

   Nom : Adam Stevens

   Titre : Chef des services de renseignements

   CRTC

   Nom : Steven Harroun

   Titre : Cadre en chef de la conformité et des enquêtes

2. 11.2 Les personnes susmentionnées maintiendront un dialogue ouvert entre elles afin de garantir que le PE reste efficace et adapté à ses objectifs. Elles s’efforceront également de recenser les difficultés éventuelles constatées dans la relation de travail et s’efforceront activement de les minimiser.
3. 11.3 Chaque participant peut changer son point de contact désigné aux fins du présent PE en donnant un avis écrit à l’autre participant.

Signataires :

Date de modification :

2019-12-12