Au cours des deux prochaines années, il est probable que, partout au Canada, les organisations soient soumises à des lois en matière de protection de la vie privée plus détaillées et plus strictes. Lorsque les règles se resserreront, bon nombre d’entreprises – qui auront jusque-là bénéficié d’une certaine permissivité – seront prises de court. Le secteur public, lui aussi, est pour l’essentiel régi par des lois qui ont été élaborées au siècle dernier.
Dans le présent article, nous expliquons les raisons pour lesquelles nous sommes convaincus de l’imminence de ces changements, donnons un aperçu probable de la nouvelle législation et proposons des mesures que devraient prendre dès maintenant les organisations qui n’ont pas encore adopté de programmes de gestion en matière de protection de la vie privée. La mise sur pied d’un programme adapté prendra du temps et, pour maintes entités, il ne faut plus tarder à s’y atteler.
Pourquoi savons-nous que le changement est imminent?
Le Canada fait l’objet d’importantes pressions pour adopter des normes de protection de la vie privée inspirées de celles qui font partie intégrante du droit européen afin de renforcer sa position et sa compétitivité dans le commerce numérique mondial.
À l’heure actuelle, la participation du Canada au commerce numérique mondial est encadrée par un texte fédéral anachronique sur la protection de la vie privée dans le domaine commercial – la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Le gouvernement fédéral a promis une refonte majeure de la LPRPDE, mais le Québec l’a devancé en déposant un projet de loi qui devrait déboucher sur la première loi de style européen au Canada portant sur la protection de la vie privée. Le Québec donnera le ton en ce qui concerne les changements qui seront apportés au niveau fédéral et en Colombie-Britannique, et c’est maintenant au tour de l’Ontario d’annoncer son intention de se doter d’une nouvelle loi solide en matière de protection de la vie privée dans le domaine commercial.
Tout a commencé en Europe
L’Europe est depuis le milieu des années 1990 le chef de file mondial en matière de protection de la vie privée, rang qu’elle peut aujourd’hui revendiquer grâce à l’adoption du Règlement général sur la protection des données (RGPD), entré en vigueur en 2018. Le RGPD est un texte détaillé et rigoureux, assorti de très lourdes pénalités en cas de non-respect – amendes maximales de 20 millions d’euros ou, si cette valeur est plus élevée, de quatre pour cent du chiffre d’affaires mondial annuel.
Le RGPD est un texte de l’UE, mais l’UE en a fait depuis longtemps le fer de lance de sa politique visant à protéger les droits des particuliers à la protection de leur vie privée à l’intérieur de l’UE, y compris dans certains cas où leurs données sont traitées hors de l’UE. L’UE s’est en quelque sorte fixé pour objectif de faire du RGPD une norme mondiale. Le RGPD s’applique aux organisations établies hors de l’UE lorsqu’elles effectuent certaines activités de traitement concernant des personnes qui se trouvent dans l’UE. Il impose aussi des règles spéciales pour le transfert de données à caractère personnel hors de l’Espace économique européen (EEE) vers des pays qui n’offrent pas un niveau adéquat de protection.
Le Canada jouit jusqu’à un certain point d’un statut spécial conféré par une « décision d’adéquation » rendue par la Commission européenne en 2001, qui ne vaut que pour les données transférées à des destinataires assujettis à la LPRPDE. Le statut de la LPRPDE n’a pas été réexaminé depuis, encore que le Groupe de travail « Article 29 » sur la protection des données ait recommandé, après évaluation de la législation québécoise sur la protection des données à caractère personnel en 2014, que certaines améliorations y soient apportées.
Le RGPD oblige la Commission européenne à réexaminer le statut spécial du Canada tous les quatre ans, et il est à craindre que les apparentes fragilités de la LPRPDE ne survivent pas à un examen approfondi. Cette crainte est renforcée par deux arrêts de la Cour de justice de l’Union européenne, appelés « Schrems I » et « Schrems II », qui ont invalidé des mécanismes de transfert de données personnelles depuis l’EEE vers les États-Unis, au motif que ces mécanismes n’assuraient pas un niveau de protection adéquat contre l’ingérence des autorités publiques. Les arrêts Schrems donnent à penser que, le moment venu, le Canada devra se soumettre à un nouvel examen, qui sera plus étendu que ceux de 2001 et 2014.
Voir notre article pour une discussion approfondie du plus récent arrêt Schrems.
La réforme de la LPRPDE est complexe
Le gouvernement fédéral n’a apporté qu’une seule véritable modification à la LPRPDE depuis son entrée en vigueur au début des années 2000. La LPRPDE demeure, en matière de protection de la vie privée, une réglementation fondée sur les principes fondamentaux du consentement et de la limitation de la quantité de données. L’application de la LPRPDE incombe au Commissariat à la protection de la vie privée du Canada, qui est un ombudsman dépourvu de tout pouvoir de contrainte ou de sanction.
En février 2018, le Comité permanent de la Chambre des communes de l’accès à l’information, de la protection des renseignements personnels et de l’éthique a publié un document intitulé Vers la protection de la vie privée dès la conception : Examen de la Loi sur la protection des renseignements personnels et les documents électroniques. Dans son rapport, fruit d’une consultation réalisée sur un an, le Comité faisait au gouvernement 19 recommandations sur la manière dont il devait engager la réforme de la LPRPDE.
La réponse du gouvernement au Comité comprenait deux volets. D’abord, en juin 2018, le gouvernement a répondu officiellement au rapport. Il s’engageait à étudier la réforme, et s’exprimait ainsi :
le gouvernement du Canada partage le point de vue du Comité qu’il faut apporter des changements à notre régime de protection de la vie privée pour veiller à ce que les règles d’utilisation des renseignements personnels dans un contexte commercial soient claires et applicables et permettent d’assurer le niveau de protection de la vie privée auquel les Canadiens s’attendent.
Puis, en mai 2019, le gouvernement fédéral a rendu public un document de discussion intitulé Renforcer la protection de la vie privée dans l’ère numérique. Le document proposait une orientation générale assortie de mécanismes renforcés d’exécution, mais ne contenait pas d’engagements.
Le Québec prend les devants
Un an après que le gouvernement fédéral eut rendu public son document de discussion et souligné la complexité d’une réforme du droit relatif à la protection de la vie privée, le Québec déposait le projet de loi 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. Voir ici notre compte rendu détaillé du projet de loi, lequel, s’il est adopté, transposerait de nombreux aspects du RGPD dans la législation du Québec sur la protection de la vie privée, à savoir :
- obligation de signalement des atteintes à la protection de la vie privée;
- exigences en matière d’impartition et de transferts hors Québec, notamment un système d’équivalence;
- nouveaux droits individuels : droit à la portabilité des données, droit à l’oubli et droit de s’opposer au traitement automatique;
- un cadre solide de responsabilisation comprenant la création d’un rôle clairement défini de responsable de la protection de la vie privée, l’obligation d’établir, de mettre en œuvre et de publier des politiques et pratiques en matière de gouvernance, l’obligation de faire des évaluations des facteurs relatifs à la vie privée (EFRVP) et l’obligation de suivre une approche de « protection de la vie privée dès la conception ».
Outre ces changements de fond, le Québec a aussi proposé un changement majeur en matière d’application. S’il est adopté, le projet de loi donnera à la Commission d’accès à l’information (CAI) le pouvoir d’imposer des sanctions administratives pécuniaires pouvant atteindre 10 millions de dollars canadiens ou, si elle est supérieure, une somme correspondant à deux pour cent du chiffre d’affaires mondial de l’exercice précédent. Le projet de loi habilitera aussi le Procureur général à requérir l’imposition d’amendes, l’amende maximale étant fixée à 25 millions de dollars canadiens ou, si elle est supérieure, à une somme correspondant à quatre pour cent du chiffre d’affaires mondial de l’exercice précédent. Enfin, s’il est adopté, le projet de loi offrira aux particuliers le droit d’engager une action en justice.
L’Ontario et la Colombie-Britannique devraient emboîter le pas
Dès que le Québec a déposé son projet de loi 64, l’Ontario a annoncé qu’il allait lui-même entreprendre une réforme d’envergure : « nous sommes déterminés à créer une solution à l’échelle de l’Ontario pour répondre aux défis actuels liés à la protection de la vie privée ». L’Ontario consulte actuellement le public au moyen d’un document d’orientation qui soulève des questions sur des considérations juridiques communes au RGDP et au projet de loi 64. Par exemple :
- la reconnaissance possible des droits d’effacement et de portabilité des données, nouveaux droits étroitement associés à la fourniture de services en ligne et autres services numériques;
- outils perfectionnés permettant une utilisation des données qui soutient la protection de la vie privée (dispositions de dépersonnalisation et « fiducies de données »);
- le pouvoir d’imposer de « lourdes » amendes en cas de non-respect.
Pour en savoir davantage sur l’initiative de l’Ontario, voir notre résumé détaillé (en anglais).
La Colombie-Britannique est elle aussi sur le point de procéder à une importante réforme de sa législation sur la protection de la vie privée. L’examen législatif, tous les six ans, de la Personal Information Protection Act de la Colombie-Britannique est actuellement en cours. En juin, le commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique a déposé un document préparatoire (en anglais seulement) appelant à une réforme d’envergure. Sans surprise, le commissaire considère le RGPD comme le modèle à retenir pour la réforme engagée en Colombie-Britannique :
[traduction] Le nouveau Règlement général sur la protection des données (RGPD) adopté par l’UE ne saurait être passé sous silence, non plus que sa portée au niveau mondial. Il est devenu la référence absolue et un modèle pour maints pays de par le monde. Plus particulièrement, le RGPD confère certains droits touchant la protection de la vie privée, comme le droit à l’effacement (droit à l’oubli), le droit à la portabilité des données, et le droit de s’opposer à des activités de traitement des données. Les points se rapportant aux droits des particuliers à la vie privée devront être examinés par le Comité.
Le commissaire milite pour de nouvelles spécificités législatives, comme le signalement des atteintes à la vie privée, le renforcement des pouvoirs de vérification et le pouvoir d’imposer de « substantielles » sanctions administratives pécuniaires.
Le secteur public est-il le prochain?
Les projets de réforme susmentionnés mettent l’accent sur la vie privée des particuliers, mais les changements apportés aux lois sur la protection de la vie privée des particuliers produiront probablement des effets en cascade. Outre la pression induite par l’imminente décision d’adéquation de l’UE, les gouvernements provinciaux peineront à maintenir, pour les organismes publics, une norme de protection de la vie privée qui, de toute évidence, n’est pas à la hauteur d’une norme nouvelle visant le secteur privé.
Sans surprise donc, les commissaires fédéral, provinciaux et territoriaux à l’information et à la protection de la vie privée ont pris, à l’automne 2019, une résolution conjointe (en anglais seulement) appelant à une réforme de la protection de la vie privée dans les secteurs privé et public. Le gouvernement fédéral s’est engagé à réformer sa législation sur la protection de la vie privée dans le secteur public fédéral, à savoir la Loi sur la protection des renseignements personnels.
À quoi ressemblera vraisemblablement la nouvelle loi?
Le Canada n’adoptera pas nécessairement toutes les spécificités du RGPD, mais celui-ci servira manifestement de modèle pour la réforme. Il importe en effet de préserver le statut spécial conféré par la décision d’adéquation, mais les décideurs voudront aussi favoriser une uniformité législative de bon aloi susceptible d’alléger l’obligation de conformité pesant sur les entreprises qui exercent leurs activités dans plusieurs pays.
Toutefois, les organisations qui n’ont pas encore adopté de programmes de gestion de la protection de la vie privée devraient commencer à se préparer, sans attendre la réforme à venir ni s’attarder sur les détails de celle-ci. La législation canadienne sur la protection de la vie privée continuera d’imposer des obligations redditionnelles, d’exiger une autorisation pour la collecte, l’utilisation et la divulgation des renseignements personnels et d’imposer une obligation de protection. Il y aura de nouveaux droits et de nouvelles obligations ainsi que de nouveaux éclaircissements, mais il est peu probable que les nouveautés modifient d’une manière fondamentale le corpus de règles.
Ce qui changera – et même radicalement – concerne l’application des règles. Le respect des nouvelles règles, comme des anciennes, sera vraisemblablement assuré par de nouveaux régimes d’application stricts – des régimes qui engloberont le signalement obligatoire des atteintes à la vie privée, le pouvoir de rendre des ordonnances et la possibilité d’imposer de fortes amendes en cas de non-respect. Les gouvernements établiront ces nouveaux mécanismes d’application pour inciter les organisations à aborder différemment et de façon plus sérieuse la protection de la vie privée. Ce mouvement vers une application musclée des règles de protection de la vie privée est inéluctable, et c’est la raison pour laquelle il faut commencer à s’y préparer dès maintenant.
Que doivent faire les organisations?
Le temps est venu pour toutes les organisations de voir si elles disposent de programmes adéquats de gestion de la protection de la vie privée. Ces programmes sont un moyen pour elles d’adopter une démarche coordonnée en matière de protection de la vie privée et de protection des données. Ils établissent des responsabilités et des contrôles par l’entremise de politiques et de procédures. Ils constituent à la fois un cadre d’établissement de mesures de diligence raisonnable et un moyen sûr de démontrer leur prise en compte devant les organismes de contrôle, les tribunaux et le public.
Les lois canadiennes sur la protection de la vie privée requièrent des organisations qu’elles disposent d’un programme de gestion de la protection de la vie privée, bien que les exigences légales ne soient pas déterminées et que l’efficacité du programme puisse varier considérablement.
Un programme efficace a le soutien de la haute direction, favorise une large responsabilisation pour la protection de la vie privée et encourage une approche disciplinée et dynamique en matière de gestion de la protection de la vie privée dans toute l’organisation. Un programme inefficace fonctionne sans véritable soutien et n’a que peu d’effet. Quand un programme présente des lacunes, les pratiques de l’organisation en matière de protection de la vie privée sont souvent fragmentées et peu réactives.
Voici les six mesures essentielles que les organisations doivent prendre dès maintenant :
- Nommer un responsable. Nommer une personne possédant une bonne connaissance des questions de protection de la vie privée et une autorité suffisante pour « parrainer » le projet.
- Élaborer un mandat. Travailler avec la haute direction à l’élaboration d’un mandat et à la mobilisation de ressources. Aborder cette tâche d’une manière holistique : considérer les objectifs opérationnels, les objectifs de conformité et les objectifs liés au risque d’entreprise.
- Évaluer la situation actuelle.
- Dresser un état des lieux en ce qui concerne les renseignements personnels détenus par l’organisation : Que détient-elle? Où? Comment et quand l’information est-elle communiquée? Quelles sont les conséquences d’une mauvaise utilisation, d’une perte ou d’un vol?
- Dresser la liste des politiques et pratiques. Qu’est-ce qui fonctionne? Qu’est-ce qui ne fonctionne pas? Y a-t-il des chevauchements?
- Recenser les lacunes au regard des exigences légales et des objectifs du projet. Classer les lacunes par ordre d’importance.
- Élaborer des politiques et pratiques. S’efforcer d’établir des politiques et orientations concises et constructives, axées sur des exigences de conformité et des risques prévisibles. Les politiques clés dans un programme de gestion de la protection de la vie privée devraient porter sur des aspects tels que les demandes d’accès et de rectification, la rétention et la destruction sécurisée, la gestion de la sous-traitance et des fournisseurs, les suites données aux atteintes à la vie privée et la résolution des plaintes en la matière.
- Mettre en œuvre. Mettre en œuvre le programme en vue de gérer le changement organisationnel. Communiquer, former et employer d’autres tactiques propres à stimuler une prise de conscience et à produire de nouveaux comportements.
- Planifier le changement. Prévoir une surveillance régulière et une révision périodique. Fixer, pour le prochain examen formel du programme, une date qui soit en accord avec le rythme de l’évolution probable des activités commerciales.
Les organisations ont à leur disposition de nombreuses sources faisant autorité qui faciliteront leur parcours. Nous joignons ci-dessous une liste énumérant quelques-unes d’entre elles.
Conclusion
Les lois canadiennes sur la protection de la vie privée et les attentes du public en la matière évoluent rapidement. Les organisations peuvent y voir un risque à anticiper et à gérer ou une occasion stratégique à saisir. Il y a de nombreux arguments en faveur de la deuxième option, mais les deux sont valides; dans tous les cas, il faut agir maintenant.
Communiquez avec notre groupe Cybersécurité, respect de la vie privée et protection des renseignements personnels ou avec l’une des entités ci-dessous pour apprendre comment votre organisation peut se préparer à cette évolution des lois canadiennes sur la protection de la vie privée.
Ressources à consulter pour établir un programme de gestion de la protection de la vie privée
- Accountable Privacy Management in BC’s Public Sector (Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique, juin 2013)
- Un programme de gestion de la protection de la vie privée : la clé de la responsabilité (Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique, Commissariat à l’information et à la protection de la vie privée de l’Alberta et Commissariat à la protection de la vie privée du Canada, avril 2012)
- NIST Privacy Framework: A tool to help organizations improve individuals’ privacy through enterprise risk management, Version 1.0 (The National Institute of Standards and Technology, janvier 2020).
- Privacy Risk Management Building privacy protection into a Risk Management Framework to ensure that privacy risks are managed, by default (Commissaire à l’information et à la protection de la vie privée de l’Ontario, avril 2010).
- Step-By-Step Guidance for Public Bodies and Custodians on How to Implement an Effective and Accountable Privacy Management Program (Commissariat à l’information et à la protection de la vie privée de Terre-Neuve-et-Labrador, mars 2018)
- Ten Steps to Implement PIPA (Service Alberta, mai 2010)