Le Commissariat à la protection de la vie privée du Canada interprète les obligations énoncées dans la LPRPDE concernant le consentement et l’externalisation d’une manière qui pourrait « nuire gravement à l’économie canadienne », dit la Section du droit de la vie privée et de l'accès à l'information de l’ABC.
Dans une lettre (disponible uniquement en anglais, toutes les citations contenues dans le présent article sont des traductions) adressée à Innovation, Sciences et Développement économique Canada, la section fait remarquer que selon l’interprétation courante de la LPRPDE, il incombe à l’organisation qui contrôle les renseignements de veiller à ce que toute tierce entité qui les traite « agisse de manière à ce que l’organisation responsable puisse s’acquitter des obligations que lui impose la Loi ».
La section appuie son argument sur l’arrêt rendu par la Cour fédérale dans l’affaire State Farm Mutual Automobile Insurance Company c. Commissaire à la protection de la vie privée du Canada qui affirme que si l’activité principale n’est pas régie par la LPRPDE, elle demeure hors de sa portée même si un tiers est engagé pour la réaliser.
L’interprétation faite par le Commissariat à la protection de la vie privée du Canada dans son rapport conjoint avec le Commissaire à la vie privée de Colombie-Britannique concernant AggregateIQ Data Services (AIQ) semble contredire l’arrêt State Farm. Elle affirme qu’AIQ devait obtenir le consentement pour traiter des données personnelles dans le cadre d’une campagne électorale municipale soustraite à l’application de toute législation sur la protection des renseignements personnels advenant que la campagne traite elle-même les renseignements.
Cette interprétation, qui « n’est pas ancrée dans la réalité commerciale des relations d’externalisation », pourrait menacer le commerce international en poussant les sociétés internationales à circonvenir les sociétés canadiennes de traitement des données. Cela pourrait conduire à des résultats bizarres pour le secteur public en suggérant que les obligations de consentement énoncées dans la LPRPDE s’appliquent lorsqu’un entrepreneur privé effectue des travaux pour le gouvernement même lorsque le consentement n’est pas exigé en vertu des lois visant la protection des renseignements personnels dans le secteur public.
En fait, l’interprétation faite par le Commissariat à la protection de la vie privée pourrait même excéder le pouvoir législatif du Parlement et interférer avec la capacité des gouvernements à d’autres paliers d’externaliser sans satisfaire aux exigences de la LPRPDE.
« Qui plus est, l’interprétation faite par le Commissariat à la protection de la vie privée conférerait à la LPRPDE des effets extraterritoriaux pour le traitement des renseignements personnels de personnes et d’organisations qui ont pour seul lien avec le Canada leur utilisation de fournisseurs de services de ce pays. »
La section recommande que toute modification de la LPRPDE énonce que les organisations canadiennes peuvent traiter les renseignements personnels au nom de tiers régis par le même régime juridique (ou son absence) que l’entité à laquelle ils ont été confiés en premier lieu.
« Si ces dispositions sont rédigées correctement, cela refermera certaines des brèches connexes au bien-fondé qui ont été constatées en vertu du RGPD à l’égard des transferts internationaux en vue du traitement. »