Le Projet de loi S‑4 (ou Loi sur la protection des renseignements numériques) (le « projet de loi »), dernière tentative de réforme de la LPRPDE par le gouvernement fédéral, a été adopté le 18 juin 2015. La loi est désormais en vigueur. Cependant, les règlements connexes n’ayant pas encore été publiés, les dispositions relatives à la déclaration des atteintes à la sécurité prendront effet ultérieurement.

Le gouvernement a modernisé et élargi les pouvoirs de réglementation dévolus à l’exécutif, qui pourra ainsi édicter avec davantage de souplesse les règlements nécessaires pour clarifier, au fur et à mesure, les questions que la LPRPDE peut soulever. L’article 24 du projet de loi modifie l’article 28 de la LPRPDE pour prévoir que toute organisation qui contrevient sciemment aux nouvelles dispositions de cette loi obligeant les organisations à déclarer les atteintes aux mesures de sécurité et à tenir un registre de ces dernières ou qui entrave l’action du commissaire dans le cadre d’une vérification ou de l’examen d’une plainte commet une infraction et encourt une amende d’au plus 100 000 $ en cas de déclaration de culpabilité par mise en accusation ou d’au plus 10 000 $ en cas de déclaration de culpabilité par procédure sommaire.

 Le gouvernement accorde également au commissaire à la protection de la vie privée de nouveaux pouvoirs en vue de conclure des accords de conformité avec des organisations. De tels accords de conformité sont assortis de conditions que le commissaire estime nécessaires pour faire respecter la LPRPDE. S’il juge qu’une organisation ne respecte pas les modalités d’un accord de conformité, le commissaire peut demander à la Cour fédérale de rendre une ordonnance enjoignant à cette organisation de se conformer aux conditions de l’accord de conformité. Il faut par ailleurs savoir que l’accord de conformité ne confère à l’organisation, contre laquelle peuvent toujours être intentées des actions en dommages-intérêts ou des procédures pour infraction, aucune immunité à cet égard.

Les principaux changements introduits par le Projet de loi S‑4 peuvent se résumer comme suit :

Obligation de déclarer les atteintes à la sécurité

Le projet de loi crée, aux termes des nouveaux articles 10.1 à 10.3 de la LPRPDE, l’obligation expresse de signaler aux personnes intéressées toute atteinte à la sécurité et de la déclarer au Commissariat à la protection de la vie privée du Canada (« CPVP ») « s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un risque réel de préjudice grave à l’endroit d’un individu ». Ces dispositions pourront être précisées au moyen de règlements (échéances, formulaires et modalités, renseignements requis, etc.) et de lignes directrices, le cas échéant. Le « préjudice grave » a reçu une définition ouverte qui vise notamment la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte, et la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles (nouveau par. 10.1(7) de la LPRPDE).

Les facteurs énoncés dans le projet de loi qui servent à établir s’il y a risque réel de préjudice grave sont « le degré de sensibilité des renseignements personnels en cause » et « la probabilité que les renseignements aient été mal utilisés ou soient en train ou sur le point de l’être », de même que « tout autre élément prévu par règlement » (nouveau par. 10.1(8) de la LPRPDE). La teneur, la forme et le délai de production d’un avis sont les suivants :

  • L’avis doit contenir « suffisamment d’information » pour permettre à l’intéressé de comprendre l’importance, pour lui, de l’atteinte en question et de prendre, si cela est possible, des mesures pour réduire le risque de préjudice qui pourrait en résulter ou pour atténuer un tel préjudice. Il doit en outre contenir tout autre « renseignement réglementaire » susceptible d’être demandé à l’avenir (nouveau par. 10.1(4) de la LPRPDE).
  • L’avis doit être « manifeste » et donné à l’intéressé directement, dans la mesure du possible (nouveau par. 10.1(5) de la LPRPDE).
  • L’avis doit être donné « le plus tôt possible » suivant l’atteinte aux mesures de sécurité. Cependant, si une institution gouvernementale demande à l’organisation un délai afin de mener une enquête en matière criminelle relative à l’atteinte aux mesures de sécurité, l’avis n’est donné que lorsque l’institution l’autorise (nouveau par. 10.1(6) de la LPRPDE).

Selon le nouvel article 10.2 de la LPRPDE, une organisation qui informe une personne d’une atteinte aux mesures de sécurité doit aussi aviser toute autre organisation ou institution gouvernementale capable de réduire le risque de préjudice pouvant résulter de l’atteinte ou d’atténuer ce préjudice. L’organisation peut aussi leur communiquer, en respectant certaines limites, des renseignements personnels à l’insu de la personne intéressée ou sans son consentement si la communication n’est faite que pour réduire le risque de préjudice qui pourrait résulter de l’atteinte ou atténuer ce préjudice.

Obligation de tenir un registre des atteintes à la sécurité

Le nouvel article 10.3 de la LPRPDE oblige les organisations à tenir et à conserver un registre de toutes les atteintes aux mesures de sécurité qui ont trait à des renseignements personnels dont elles ont la gestion. Ces dossiers sont communiqués au commissaire à la protection de la vie privée sur demande. Les modifications proposées n’apportent aucune précision sur la période de rétention de ces dossiers, la manière de les constituer et de les tenir, ou le degré de précision des renseignements qu’ils doivent renfermer. Enfin, aucun seuil de gravité n’est mentionné, ce qui porte à croire que tous les cas d’atteintes (même minimes ou sans conséquence) doivent être consignés au registre.

Communication sans le consentement de la personne intéressée

Les nouveaux alinéas 7(3)d.1) et 7(3)d.2) de la LPRPDE, énoncés au paragraphe 6(10) du projet de loi, permettent la communication, par une organisation, de renseignements personnels sur son client à une autre organisation (p. ex. d’une entreprise à une autre), à l’insu de l’intéressé et sans son consentement, aux fins d’enquête sur la violation d’un accord ou sur une contravention au droit fédéral ou provincial qui a été commise ou est en train ou sur le point de l’être, s’il est raisonnable de s’attendre à ce que l’obtention du consentement de l’intéressé compromettrait l’enquête (nouvel al. 7(3)d.1)). Ces dispositions sont liées au retrait du concept d’« organismes d’enquête » de la LPRPDE (sous le régime des organismes d’enquête, le gouverneur en conseil pouvait approuver, par voie de règlement, des organismes ou des catégories d’organismes auxquels les organisations avaient le droit, dans certaines circonstances précises, de divulguer des renseignements personnels).

En outre, une disposition semblable est ajoutée pour ce qui concerne la communication de renseignements personnels en vue de la détection d’une fraude ou de sa suppression (nouvel al. 7(3)d.2)). Dans le même ordre d’idée, le nouvel alinéa 7(3)d.3) autorise la communication de renseignements personnels sans le consentement de l’intéressé à une institution gouvernementale, au plus proche parent de l’intéressé ou à son représentant autorisé, si l’organisation a des motifs raisonnables de croire que l’intéressé a été victime d’« exploitation financière » et s’il est raisonnable de s’attendre à ce que la communication à laquelle l’intéressé a consenti compromettrait la capacité de prévenir l’exploitation ou d’enquêter sur celle-ci.

Communication de renseignements dans le cadre d’une transaction commerciale

L’article 7 du projet de loi autorise les organisations à communiquer des renseignements personnels sans le consentement de l’intéressé si elles sont engagées avec la diligence voulue dans un processus menant à une « éventuelle transaction commerciale » lorsque de tels renseignements sont nécessaires pour décider si la transaction aura lieu et, le cas échéant, pour l’effectuer. L’organisation qui obtient les renseignements personnels doit : (i) ne les utiliser et ne les communiquer qu’aux fins liées à la transaction; (ii) les protéger au moyen de mesures de sécurité appropriées; et (iii) les remettre à l’organisation qui les lui a communiqués ou les détruire dans un délai raisonnable, si la transaction n’a pas lieu (nouveau par. 7.2(1) de la LPRPDE). Une fois la transaction commerciale réalisée, le nouveau paragraphe 7.2(2) de la LPRPDE permet aux parties à la transaction d’utiliser et de divulguer les renseignements personnels communiqués en vertu du paragraphe 7.2(1) à l’insu de la personne intéressée et sans son consentement, à condition de suivre certaines étapes précises.

 Lorsque la transaction commerciale est effectuée, les organisations qui ont échangé des renseignements personnels peuvent les utiliser et les communiquer à l’insu de l’intéressé ou sans son consentement s’ils sont nécessaires à la poursuite de l’entreprise ou des activités faisant l’objet de la transaction, pourvu qu’elles aient conclu un accord aux termes duquel elles se sont engagées à n’utiliser et à ne communiquer les renseignements qu’aux fins auxquelles ils ont été recueillis. L’accord doit aussi prévoir la prise de mesures de sécurité appropriées et stipuler que les organisations doivent donner effet à tout retrait du consentement des intéressés. Selon le nouvel alinéa 7.2(2)c) de la LPRPDE, qui s’apparente à l’alinéa 20(3)c) de la Personal Information Protection Act (la « PIPA ») de la Colombie-Britannique, la personne intéressée doit être avisée de la transaction et de la communication de ses renseignements personnels.

Coordonnées d’affaires

Le gouvernement a dispensé les organisations de l’obligation d’obtenir le consentement à la collecte, à l’utilisation ou à la communication des coordonnées d’affaires d’une personne si elles le font uniquement pour entrer en contact – ou pour faciliter la prise de contact – avec celle‑ci dans le cadre de son emploi, de son entreprise ou de sa profession. Le gouvernement a toutefois modifié la définition de « coordonnées d’affaires » de manière à ce qu’elle englobe « [t]out renseignement permettant d’entrer en contact – ou de faciliter la prise de contact – avec un individu dans le cadre de son emploi, de son entreprise ou de sa profession […] ».

Renseignements personnels des employés

L’article 7 du projet de loi modifie aussi les obligations en matière de consentement pour la collecte, l’utilisation et la communication de renseignements personnels d’employés d’entreprises fédérales. Les employeurs pourront maintenant recueillir, utiliser ou communiquer des renseignements personnels sans le consentement de l’intéressé si cela est nécessaire pour « établir ou gérer » la relation d’emploi entre eux et lui, ou « pour y mettre fin », et s’ils ont au préalable informé l’intéressé que ses renseignements personnels seront ou pourraient être recueillis, utilisés ou communiqués à ces fins (nouvel art. 7.3 de la LPRPDE). Le projet de loi prévoit également des exceptions qui visent la collecte, l’utilisation et la communication de renseignements produits dans le cadre du travail.

Modifications relatives au consentement

L’article 5 du projet de loi (par. 6.1 de la LPRPDE) comprend une nouvelle disposition sur la « validité du consentement » révisée, qui introduit à cet égard des critères davantage objectifs que subjectifs. L’actuel article 4.3.2 de l’annexe 1 de la LPRPDE prévoit que les organisations doivent faire un effort raisonnable pour s’assurer que la personne intéressée est informée des fins auxquelles ses renseignements seront utilisés.

Le nouvel article 6.1 de la LPRPDE précise que le consentement de l’intéressé à la collecte, à l’utilisation ou à la communication de ses renseignements personnels n’est valide que « s’il est raisonnable de s’attendre à ce qu’un individu visé par les activités de l’organisation comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles il a consenti ».

Le but de cet article est de faire en sorte que les politiques concernant la protection des renseignements personnels et les pratiques de communication des organisations régies par la LPRPDE informent clairement et directement les intéressés des ramifications du partage de renseignements personnels avec ces organisations. Les organisations devraient donc réviser leurs politiques sur la confidentialité et la protection des renseignements personnels ainsi que leurs pratiques de communication et de notification pour se conformer à cette exigence. De fait, l’objet d’un tel article est d’éviter que les politiques et pratiques forcent les intéressés à communiquer des renseignements personnels aux organisations ou les y amènent de manière trompeuse.

Auteure

Éloïse Gratton Ad. E.
EGratton@blg.com
514.954.3106 (Montréal) / 416.367.6225 (Toronto)

Compétences

Respect de la vie privée et protection des données
Technologies de l'information