Le gouvernement fédéral introduit un projet de loi qui apporte des changements radicaux à la Loi sur la protection des renseignements personnels
La législation canadienne sur la protection de la vie privée est sur le point de subir des changements majeurs. Plus tôt aujourd’hui, le ministre de l’Innovation, des Sciences et de l’Industrie, Navdeep Bains, a présenté un projet de loi visant à remplacer la législation fédérale sur la protection des renseignements personnels du secteur privé (la Loi sur la protection des renseignements personnels et les documents électroniques ou «LPRPDE») par la Loi sur la protection de la vie privée des consommateurs ( «LPVPC») et la Loi sur le Tribunal de la protection des renseignements personnels et des données («LTPRPD»). Le nouveau régime s’inspire de la LPRDE, y compris le Code type sur la protection des renseignements personnels, des avis du Commissaire à la protection de la vie privée du Canada (le « Commissaire ») et du Règlement général sur la protection des données de l’Union européenne («RGPD»).
Les principaux changements apportés par la LPVPC et la LTPRPD comprennent:
- Un nouveau tribunal ayant le pouvoir d’imposer des pénalités et des amendes sévères – Les entreprises qui contreviennent aux dispositions de la LPVPV sont sujettes à des sanctions administratives pécuniaires allant jusqu’à 10 000 000 $ ou 3% des revenus mondiaux bruts de l’organisation si ce montant est plus élevé. Les organisations qui enfreignent sciemment les dispositions de la loi peuvent faire face à des amendes allant jusqu’à 25 000 000 $ ou 5% du revenu mondial brut de l’organisation si ce montant est plus élevé. Cependant, aucune sanction ne sera émise par le Commissaire. Celui-ci recommandera des sanctions au Tribunal des renseignements personnels et de la protection des données (le « Tribunal »), qui aura le pouvoir de les ordonner. Les ordonnances du Commissaire peuvent faire l’objet d’un appel devant le Tribunal.
- Un droit d’action privé – La LPVPC prévoit un droit d’action privé pour les particuliers touchés par les actes ou les omissions d’une organisation, et ce, dans certaines circonstances. Avant qu’une personne puisse présenter une réclamation, l’organisation visée doit avoir été avoir été reconnue coupable d’une infraction à la LPVPC ou il doit y avoir une décision définitive du Commissaire ou du Tribunal selon laquelle l’organisation a enfreint la LPVPC. L’individu peut réclamer des dommages-intérêts pour la perte ou le préjudice subis en raison des actes ou des omissions de l’organisation. Il apparaît également qu’une organisation pourrait être passible d’une sanction administrative pécuniaire maximale et faire tout de même face à des réclamations fondées sur un droit d’action privé.
- Des conditions renforcées quant à la validité du consentement – Pour obtenir un consentement valide, une organisation doit fournir certaines informations à l’individu au moment de la collecte ou avant (ou avant l’utilisation ou la communication lorsqu’elle demande le consentement concernant des renseignements personnels déjà sous sa garde). Les informations que les organisations doivent fournir incluent les fins de la collecte, de l’utilisation et de la communication des renseignements personnels, les « conséquences raisonnablement prévisibles » de la collecte, de l’utilisation ou de la communication », les types de renseignements personnels concernés et le « nom des tiers ou les catégories de tiers auxquels les renseignements personnels pourraient être communiqués ». Un consentement implicite sera acceptable dans certaines circonstances, tenant compte des attentes raisonnables de l’individu et de la sensibilité des renseignements personnels.
- Des nouveaux motifs justifiant des exceptions à l’exigence du consentement – Comme le RGPD, la LPVPC permet aux organisations de recueillir ou d’utiliser des informations personnelles sans le consentement de la personne concernée pour des raisons jugées valables, soit des activités d’affaires nécessaires pour fournir un produit ou un service demandé par les individus, des activités menées à des fins de diligence raisonnable pour prévenir ou réduire les risques commerciaux de l’organisation, des activités nécessaires à la sécurité de l’information et lorsque l’obtention du consentement serait impossible en raison de l’absence de relation directe avec l’individu. Cependant, les organisations ne doivent le faire que lorsqu’une personne raisonnable s’y attend et ne peuvent le faire dans le but d’influencer le comportement ou les décisions des individus.
- Des droits accrus pour les individus – Les individus auront le droit à la portabilité des données (le droit d’obtenir leurs informations personnelles dans un format utilisable), le droit d’effacement (le droit limité de faire supprimer leurs informations personnelles) et d’autres nouveaux droits de confidentialité, tous sous réserve de certaines limitations prescrites. Dans le cas de la portabilité des données, le droit sera soumis à l’applicabilité d’un cadre de mobilité des données en vertu d’un règlement qui n’est pas encore publié.
- Des règles de transparence concernant les transferts transfrontaliers – La LPVPC permet aux organisations de stocker des renseignements personnels à l’extérieur du Canada et d’y accéder, mais elle exige que les organisations rendent accessibles les renseignements disponibles sur « le fait qu’elle effectue ou non des transferts ou des communications de renseignements personnels interprovinciaux ou internationaux pouvant avoir des répercussions raisonnablement prévisibles sur la vie privée ».
L’introduction du concept de systèmes décisionnels automatisés– La LPVPC introduit le concept de « systèmes décisionnels automatisés », qui est défini comme une« technologie qui appuie ou remplace le jugement des décideurs humains au moyen de techniques telles que l’usage de systèmes basés sur des règles, l’analyse de régression, l’analytique prédictive, l’apprentissage automatique, l’apprentissage profond et l’usage des réseaux neuronaux ». Dans le cadre des nouvelles exigences d’ouverture et de transparence, les organisations doivent fournir une « explication générale » de leur utilisation « des systèmes décisionnels automatisés pour faire des prédictions, des recommandations ou prendre des décisions qui pourraient savoir une incidence importante sur les individus concernés ». Les individus ont également le droit à une « explication de la prédiction, de la recommandation ou de la décision » et sur « la provenance des renseignements personnels qui ont été utilisés pour faire la prédiction, formuler la recommandation ou prendre la décision ».
- Un droit de dépersonnalisation des renseignements personnels: La LPVPC prévoit un droit explicite d’utiliser des renseignements personnels à l’insu de la personne ou sans son consentement pour dépersonnaliser les renseignements. Bien que des exigences spécifiques ne soient pas stipulées, la LPVPC dispose que l’organisation doit veiller « à ce que les procédés techniques et administratifs utilisés soient proportionnels aux fins auxquelles ces renseignements sont dépersonnalisés et à la nature délicate des renseignements personnels ». En outre, la loi proposée comprend une interdiction d’utiliser des renseignements dépersonnalisés, seuls ou en combinaison avec d’autres renseignements, pour identifier une personne.
Le projet de loi édictant la LPVPC et la LTPRPD et apportant des modifications corrélatives et connexes à d’autres lois est à l’étape de la première lecture. Il fera probablement l’objet d’une deuxième lecture puis sera renvoyé à un comité pour une étude détaillée et pour y apporter des amendements.
Source d’inspiration
Ce nouveau régime doit être analysé à travers un long prisme d’historique législatif, y compris l’introduction par le gouvernement fédéral d’une charte numérique visant à promouvoir l’économie numérique tout en abordant les défis liés à la confidentialité et à l’IA, le rapport du comité parlementaire Vers la protection de la vie privée dès la conception axé sur le RGPD, et la consultation Renforcer la protection de la vie privée dans l’ère numérique, qui expliquent l’esprit qui anime la LPVPC et la LTPRPD. Les principaux mémoires et les témoignages oraux sont disponibles ici. Font également partie du contexte dont il faut tenir compte, les recommandations du Commissaire tel que l’exposé de principe du 12 novembre 2020, Un cadre réglementaire pour l’IA (visant explicitement à fournir des recommandations pour la réforme de la LPRPDE), ainsi que les Consultations sur les transferts aux fins de traitement et les Lignes directrices pour l’obtention d’un consentement valable.
Il reste également à voir comment la nouvelle loi interagira avec la législation provinciale. Alors que le Québec est le plus avancé dans la réforme de sa législation, la consultation en vue de la promulgation d’une loi ontarienne a pris fin récemment. Dernièrement, l’Alberta a proposé des modifications à sa Health Information Act et, en Colombie-Britannique, un comité spécial chargé d’examiner des modifications à la Personal Information Protection Act a été dissous en raison du déclenchement des élections. L’harmonisation de ces différents projets de loi sera certes une tâche complexe, mais importante dans les temps à venir.
Ce que les organisations devraient faire dorénavant
- Demeurer à l’affût des changements – Dans les jours et les semaines à venir, les membres de notre groupe Cyber/Données publieront des articles explorant en profondeur la loi proposée. Nous aborderons les sujets ci-dessus, ainsi que d’autres sujets qui sont pertinents pour les organisations qui opèrent au Canada ou qui traitent autrement les renseignements personnels des résidents canadiens. Nous fournirons également des mises à jour au fur et à mesure que le projet de loi franchira les différentes étapes du processus législatif.
- Se préparer aux changements – Bien que le ministre a suggéré qu’il y ait une période de transition, la durée de celle-ci demeure incertaine. Il existe une panoplie de nouvelles obligations, notamment en ce qui concerne les avis de confidentialité, les politiques et procédures, la conservation des dossiers et les mesures pour le respect des droits individuels.
- Se préparer aux consultations – Les organisations devraient évaluer l’impact que la législation aura sur elles et, le cas échéant, la pertinence de recommander des améliorations et des clarifications au projet de loi .
Pour suivre les mises à jour, abonnez-vous à TechLex (ci-dessous) ou contactez notre groupe Cyber/Données qui pourra vous aider à naviguer à travers ce nouveau régime complexe.