Le mardi 8 avril 2014, le gouvernement fédéral a présenté d’importantes modifications à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Le projet de loi S-4, la « Loi sur la protection des renseignements personnels numériques », a été déposé par le leader du gouvernement au sénat. Le projet de loi fait partie de « Canada numérique 150 », un plan concerté du gouvernement qui vise à permettre aux Canadiens et aux entreprises canadiennes de profiter des opportunités créées par l’économie numérique, et à les encourager à le faire. Le gouvernement indique que la Loi sur la protection des renseignements personnels numériques fera en sorte que les Canadiens soient plus en sécurité et mieux protégés lorsqu’ils naviguent sur Internet ou magasinent en ligne. Du point de vue du gouvernement, les modifications que l’on se propose d’apporter à la LPRPDE assureront une meilleure protection aux consommateurs, simplifieront les règles pour les entreprises et accroîtront la conformité à la LPRPDE.

Projet de loi S-4

  • Les principales dispositions du projet de loi sont résumées ci-après : 

Déclaration obligatoire d’une atteinte aux mesures de sécurité

  • Création de l’obligation de déclarer certaines atteintes aux mesures de sécurité.
  • Obligation de déclarer en cas d’accès non autorisé à des renseignements personnels ou de communication non autorisée de ceux-ci par suite d’une atteinte aux mesures de sécurité.
  • Obligation de faire la déclaration à la fois à la commissaire à la protection de la vie privée (CPV) et aux individus affectés, à condition qu’il soit raisonnable dans les circonstances de croire que l’atteinte crée un risque réel de préjudice grave.
  • Établissement des éléments qui servent à déterminer si une atteinte aux mesures de sécurité présente un risque réel de préjudice.
  • Exigences relatives au contenu de l’avis et au délai prévu pour le donner.
  • Peut également être prévue l’obligation d’aviser d’autres organisations ou institutions gouvernementales lorsque celles-ci sont en mesure de réduire le risque qui pourrait résulter pour les individus affectés.

Nouvelles exigences relatives à la tenue des registres

  • Obligation, pour une organisation, de tenir un registre de chaque atteinte aux mesures de sécurité, qu’elle soit ou non obligée de la déclarer, et de le fournir à la CPV sur demande.

Facilitation pour les entreprises

  • Dispenses de l’exigence d’obtenir le consentement pour ce qui suit : la communication de renseignements personnels dans le contexte de transactions commerciales, dont les fusions et acquisitions; la cueillette, l’utilisation et la divulgation du produit du travail; et la cueillette, l’utilisation et la divulgation de renseignements figurant dans des déclarations de témoins lorsqu’il est nécessaire d’évaluer, de traiter ou de régler une déclaration de sinistre.
  • Seuil plus élevé pour un consentement valide – obligation pour l’individu de comprendre les conséquences de la cueillette, de l’utilisation ou de la divulgation de ses renseignements personnels.

Autres pouvoirs de la CPV

  • La CPV est investie du pouvoir additionnel de conclure avec une organisation un « accord de conformité » qu’elle peut demander à la cour de faire exécuter.

Nouvelles pénalités

  • Constituera une infraction le fait d’omettre de déclarer à la CPV et aux individus affectés les atteintes aux mesures de sécurité et d’omettre de tenir un registre de chaque atteinte (que la déclaration soit ou non exigée).
  • Les pénalités comprennent des amendes allant jusqu’à 100 000 $.

Prochaines étapes

BLG suivra la progression de ce projet de loi et publiera des bulletins au fur et à mesure que l’information deviendra disponible, notamment des bulletins portant sur les répercussions du projet de loi sur des secteurs d’activité précis, dont celui des services financiers. Les détails de l’examen du comité (y compris les audiences publiques) sur le projet de loi au Sénat et à la Chambre des communes n’ont pas encore été rendus publics. Les sociétés et autres entités qui ont besoin d’aide pour interpréter les répercussions du projet de loi sur leur propre organisation ou qui pourraient souhaiter communiquer leurs observations sur le projet de loi, dans le cadre d’un processus public futur ou autrement, sont invitées à consulter leurs principaux contacts chez BLG afin de s’assurer que la vaste expérience du cabinet en matière d’élaboration, de mise en application et de respect des politiques sur la vie privée leur est accessible.

Auteure

Bonnie Freedman 
BoFreedman@blg.com
416.367.6239

Autre auteur

Priscilla Platt

Compétences

Respect de la vie privée et protection des données