Le 10 juin 2022, le Centre for Information Policy Leadership de Hunton Andrews Kurth a publié un livre blanc intitulé » Local Law Assessments and Online Services-Refining the Approach to Beneficial and Privacy-Protective Cross-Border Data Flows A: Étude de cas de la Colombie-Britannique.” Le document traite des récents développements en Colombie-Britannique qui ont démontré la reconnaissance par les législateurs et les décideurs de l’importance des flux de données transfrontaliers pour un secteur public efficient et efficace.
Plus précisément, la loi sur la protection de la vie privée dans le secteur public de la Colombie-Britannique, la Loi sur l’accès à l’information et la protection de la vie privée, a récemment été modifiée pour supprimer les exigences de localisation des données et les limites importantes sur les transferts de données. Toutefois, cela a été suivi par des directives du Commissariat à l’information et à la protection de la vie privée qui semblaient exiger des organismes publics qu’ils effectuent des évaluations des lois locales (ou des évaluations des risques de transfert) lorsqu’ils utilisent des services infonuagiques qui impliquent le traitement ou le stockage de données personnelles à l’extérieur du Canada.
Le document soutient que pour éviter les pièges potentiels des évaluations du droit local et pour sauvegarder l’objectif législatif de permettre aux organismes publics d’utiliser des outils numériques modernes qui reposent sur des flux de données transfrontaliers, toute exigence d’évaluation du droit local devrait être clarifiée pour permettre son application basée sur les risques. Une approche des évaluations des lois locales fondée sur les risques évite toute interdiction catégorique des transferts chaque fois qu’un risque ne peut être complètement éliminé par des contrôles de sécurité et de confidentialité appropriés, mais permettrait également de prendre en compte d’autres facteurs, tels que les avantages du transfert par rapport aux risques. De plus, l’approche fondée sur les risques reconnaîtrait que des évaluations complètes des lois locales peuvent ne pas être nécessaires dans toutes les circonstances, par exemple lorsque les données transférées présentent historiquement peu d’intérêt pour les gouvernements étrangers. Une approche des exigences de transfert fondée sur les risques permettrait aux entités du secteur public de tirer parti des technologies innovantes basées sur le cloud, tout en les encourageant à adopter de solides pratiques de confidentialité et de sécurité qui protégeront les données personnelles où qu’elles se trouvent.
