Un autre bond en avant pour les lois canadiennes sur la protection de la vie privée

Un autre bond en avant pour les lois canadiennes sur la protection de la vie privée

Le 17 novembre 2020, le ministre Navdeep Bains a présenté en première lecture à la Chambre des communes le projet de loi C-11, Loi édictant la Loi sur la protection de la vie privée des consommateurs et la Loi sur le Tribunal de la protection des renseignements personnels et des données et apportant des modifications corrélatives et connexes à d’autres lois, dont le titre abrégé est Loi de 2020 sur la mise en œuvre de la Charte numérique (la « Loi »). Si elle est adoptée, la Loi apportera des changements radicaux à la législation fédérale canadienne sur la protection des données dans le secteur privé.

Les défenseurs de la protection de la vie privée vont probablement saluer cette nouvelle. Ces dernières années, les médias ont dénoncé à maintes reprises les graves problèmes de protection de la vie privée associés à la collecte, à l’utilisation, à la protection et à la divulgation de renseignements confidentiels relatifs à un grand nombre de particuliers. Les changements qu’on propose d’apporter à la législation vont (entre autres choses) permettre d’imposer de lourdes pénalités aux organisations qui ne traiteront pas les renseignements personnels conformément aux lois modifiées.

La Loi entraîne une refonte de la Loi sur la protection des renseignements personnels et des documents électroniques (« LPRPDE »), en la divisant en fait en deux parties. La LPRPDE s’appellera Loi sur les documents électroniques et ses dispositions relatives à la protection de la vie privée des consommateurs seront transférées dans la Loi sur la protection de la vie privée des consommateurs (« LPVPC »). Les règles juridiques de fond constituant la majeure partie de la LPVPC demeurent très similaires à bon nombre des exigences figurant dans l’actuelle LPRPDE, en particulier en ce qui concerne les principes suivants : responsabilité; transparence; limitation de la collecte, de l’utilisation, de la communication et de la conservation; exactitude; accès aux renseignements personnels.

Toutefois, la Loi imposera un certain nombre de changements majeurs au traitement des renseignements personnels par les organisations canadiennes; nous indiquons ci-après les principales différences.

1. Programmes de gestion de la protection des renseignements personnels

La LPRPDE exige des organisations qu’elles adoptent des politiques et des pratiques permettant d’appliquer les principes énoncés à l’annexe 1 (ce qui inclut certaines exigences en matière des procédures et de formation). De son côté, la LPVPC impose une obligation bien précise à chaque organisation, qui doit mettre en œuvre un « programme de gestion de la protection des renseignements personnels » comprenant les politiques, les pratiques et les procédures qu’elle a mises en place afin de se conformer à la LPVPC, et qui définissent notamment la façon dont l’organisation protège les renseignements personnels, traite les demandes de renseignements et les plaintes, forme son personnel et élabore un contenu expliquant ses politiques et procédures[1]. Sur demande du Commissariat à la protection de la vie privée du Canada (« CPVP »), l’organisation doit lui donner accès auxdites politiques, pratiques et procédures[2].

2. Le principe des fins acceptables est élargi

En vertu de la LPRPDE, une organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances[3]. La LPVPC, qui s’inspire de rapports antérieurs du CPVP, énonce cinq éléments à prendre en compte pour cette analyse : a) la mesure dans laquelle les renseignements personnels sont de nature délicate; b) le fait que les fins visées correspondent à des besoins commerciaux légitimes de l’organisation; c) le degré d’efficacité de la collecte, de l’utilisation ou de la communication pour répondre aux besoins commerciaux légitimes de l’organisation; d) l’existence ou non de moyens portant une atteinte moindre à la vie privée de l’individu et permettant d’atteindre les fins visées à un coût et avec des avantages comparables; e) la proportionnalité entre l’atteinte à la vie privée de l’individu et les avantages pour l’organisation, au regard des moyens, techniques ou autres, mis en place par l’organisation afin d’atténuer les effets de l’atteinte pour l’individu[4].

3. Nouvelles conditions de validité du consentement

La LPRPDE stipule que le consentement de l’intéressé n’est valable que s’il est raisonnable de s’attendre à ce qu’un individu visé par les activités de l’organisation comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication de ses renseignements personnels[5]. La LPVPC va un peu plus loin, en précisant quels renseignements doivent être fournis à l’individu concerné « dans un langage clair » avant l’obtention de son consentement[6]. Là encore, la Loi semble s’inspirer de directives et de rapports antérieurs du CPVP, dont les « Lignes directrices pour l’obtention d’un consentement valable »[7], publiées en 2018.

4. Exceptions au consentement

La LPRPDE est une loi basée sur le principe du consentement, qui ne contient que de rares exceptions aux exigences strictes en la matière. Par contre, la LPVPC stipule que l’organisation peut recueillir ou utiliser les renseignements personnels d’un individu à son insu ou sans son consentement si elle le fait en vue d’une « activité d’affaires », et si : une personne raisonnable s’attendrait à une telle collecte ou à une telle utilisation; les renseignements personnels ne sont pas recueillis ou utilisés en vue d’influencer le comportement ou les décisions de l’individu. Au chapitre des activités visées, on compte celles qui sont nécessaires à la fourniture ou à la livraison d’un produit ou à la prestation d’un service demandé par l’individu à l’organisation[8].

5. Fins socialement bénéfiques

Comme la LPRPDE, la LPVPC prévoit certaines autres exceptions à l’imposition d’un consentement, notamment lorsque la communication des renseignements est faite en vue d’une enquête[9], est destinée à une institution gouvernementale aux fins du contrôle d’application du droit ou de la défense du Canada[10] ou est exigée par la loi[11]. La nouvelle loi prévoit également des exceptions à l’imposition d’un consentement dans l’intérêt du Canada, lorsque la communication de renseignements se fait à des « fins socialement bénéfiques » (toute fin relative à la santé, à la fourniture ou à l’amélioration des services et infrastructures publics et à la protection de l’environnement ou de toute autre fin réglementaire). Plus particulièrement, une organisation peut communiquer les renseignements personnels d’un individu sans son consentement aux conditions suivantes : a) les renseignements personnels sont dépersonnalisés avant la communication; b) la communication est faite à une institution gouvernementale (ou à une subdivision d’une telle institution), comme un établissement de soins de santé, un établissement d’enseignement postsecondaire ou une bibliothèque publique situés au Canada; c) la communication est faite pour une fin socialement bénéfique[12].

6. Transparence, transferts interprovinciaux ou internationaux et décisions automatisées

En vertu de la LPVPC, une organisation doit communiquer les renseignements relatifs à la façon dont elle s’acquitte des obligations qui lui incombent au régime de cette même loi[13]. Elle indique notamment si elle effectue ou non des transferts de renseignements personnels interprovinciaux ou internationaux; une fois encore, cette disposition semble inspirée de directives antérieures du CPVP. Par ailleurs, la LPVPC traite directement de la transparence de la prise de décisions automatisée. Aux termes de la nouvelle Loi, une organisation est tenue de rendre compte de l’utilisation de certains systèmes décisionnels automatisés. Si elle utilise un tel système pour faire une prédiction, formuler une recommandation ou prendre une décision concernant un individu, elle doit fournir, sur demande, une explication de la prédiction, de la recommandation ou de la décision (et indiquer la provenance des renseignements personnels utilisés).

7. Droit au retrait des données

La LPVPC institue un nouveau mécanisme permettant à un individu de demander le retrait de ses renseignements personnels. Comme le stipule également la LPRPDE, l’organisation doit détruire les renseignements dont elle n’a plus besoin[14]. Aux termes de la LPVPC, elle doit en outre procéder au retrait des renseignements à la demande de l’individu (sous réserve de certaines exceptions). L’organisation doit aussi informer tout fournisseur de services de la demande de retrait, et confirmer avec celui-ci qu’il a procédé à leur retrait[15].

8. Responsabilité des fournisseurs de services

En ce qui concerne les fournisseurs de services, la LPVPC impute la responsabilité première à l’organisation qui décide de recueillir les renseignements pertinents. Même si cette organisation peut transférer des renseignements personnels à un fournisseur de services sans obtenir d’autre consentement[16], elle demeure responsable de ces renseignements qui « relèvent d’elle »[17]. L’organisation qui transfère des renseignements personnels en sa possession doit veiller (contractuellement ou autrement) à ce que le fournisseur de services offre à leur égard une protection équivalente à celle qu’elle est tenue d’offrir[18].

9. Limites imposées aux obligations des fournisseurs de services

Contrairement à la LPRPDE, la LPVPC limite clairement les obligations des fournisseurs de services. En vertu de la LPVPC, ceux-ci sont avant tout assujettis aux obligations suivantes : i) protéger les renseignements personnels au moyen de mesures de sécurité correspondant à leur degré de sensibilité; ii) aviser le plus tôt possible l’organisation contrôlant ces renseignements s’ils sont victimes d’une atteinte aux mesures de sécurité[19]. Néanmoins, si le fournisseur de services recueille, utilise ou communique les renseignements à toutes autres fins que celles pour lesquelles ils lui ont été transférés par l’organisation, il est assujetti à l’ensemble de ces obligations[20].

10. Un nouveau tribunal

La Loi édicte la Loi sur le Tribunal de la protection des renseignements personnels et des données (« LTPRPD »), laquelle crée le Tribunal de la protection des renseignements personnels et des données (le « Tribunal »). Ce tribunal, qui entendra les appels interjetés au titre de la LPVPC, pourrait infliger des pénalités relatives à certaines contraventions, comme le recommande le CPVP[21].

11. Pouvoir en matière d’application

Aux termes de la LPRPDE, le CPVP peut uniquement faire des recommandations non exécutoires, et seules certaines infractions peuvent donner lieu à des amendes (d’un maximum de 100 000 $). La LPVPC prévoit désormais d’importantes pénalités pouvant atteindre 10 000 000 $ ou 3 % des recettes globales brutes de l’organisation au cours de son exercice précédent (si ce montant est plus élevé)[22], ou, pour certaines infractions, 25 000 000 $ ou 5 % des recettes globales brutes de l’organisation (si ce montant est plus élevé).

12. Droit privé d’action

La LPVPC octroie par ailleurs un droit privé d’action aux personnes touchées par la contravention d’une organisation à la loi, après que le CPVP a constaté une telle contravention. En vertu de la LPRPDE, ce droit de réclamer des dommages-intérêts n’est accordé qu’à un plaignant[23], mais la LPVPC stipule que tout individu touché par une contravention à la LPVPC a une cause d’action en dommages-intérêts contre cette organisation pour la perte ou le préjudice résultant de la contravention[24].

13. Mobilité des données

On exigera des organisations qu’elles transfèrent les renseignements personnels qu’elles ont recueillis auprès d’un individu à une autre organisation, à la demande de ce dernier et dans certaines circonstances[25]. La LPVPC prévoit qu’un règlement définira ce cadre de mobilité des données.

La LPVPC apporte certains changements potentiellement avantageux aux lois fédérales sur la protection des données dans le secteur privé. En particulier, les exceptions à l’obtention d’un consentement pour certaines activités d’affaires et l’application limitée des exigences aux fournisseurs de services vont sans doute aider les entreprises canadiennes. Il faut mentionner cependant que c’est la LPVPC qui imposerait les amendes les plus lourdes parmi les lois sur la protection de la vie privée des pays membres du G7[26], et que le nouveau droit privé d’action pourrait générer une augmentation des recours collectifs invoquant la protection de la vie privée. C’est pourquoi chaque organisation susceptible d’être assujettie à la LPVPC devrait commencer à revoir dès maintenant son programme de conformité aux lois en question, afin d’être prête à se conformer à la nouvelle loi quand elle entrera en vigueur.

TRC-Sadovod aVantage, qui est le cabinet-conseil en affaires publiques de TRC-Sadovod S.E.N.C.R.L., s.r.l., peut également aider les organisations qui souhaitent recommander au gouvernement fédéral des changements à apporter au projet de loi, ou faciliter la communication au sein des organisations des dispositions du texte en question.

par Lyndsay Wasser et Robbie Grant 

[1] LPVPC, Paragraphe 9 (1)

[2] LPVPC, Article 10

[3] LPRPDE, Paragraphe 5 (3)

[4] LPVPC, Paragraphe 12 (2)

[5] LPRPDE, Article 6.1

[6] LPVPC, Paragraphe 15 (3)

[7] Voir : Lignes directrices pour l’obtention d’un consentement valable

[8] LPVPC, Article 18

[9] LPVPC, articles 40 à 42

[10] LPVPC, articles 43 à 48

[11] LPVPC, articles 49 et 50

[12] LPVPC, Article 39

[13] LPVPC, Article 62

[14] LPRPDE, Annexe 1, Article 4.5.3; LPVPC, Article 53

[15] LPVPC, Article 55

[16] LPVPC, Article 19

[17] LPVPC, Article 7

[18] LPVPC, Article 11

[19] LPVPC, Article 61

[20] LPVPC, Article 11 (2)

[21] LTPRPD, Article 5

[22] LPVPC, Article 94

[23] LPRPDE, Alinéa 16 (d)

[24] LPVPC, Article 106

[25] LPVPC, Article 72

[26] Nouveau projet de loi pour protéger la vie privée des Canadiens et accroître leur contrôle sur leurs données et leurs renseignements personnels

Mise en garde

Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder entièrement sur ce document pour prendre une décision, mais devrait plutôt consulter ses propres conseillers juridiques.

© TRC-Sadovod S.E.N.C.R.L. s.r.l. 2020