Le 17 novembre 2020, le ministre de l’Innovation, des Sciences et de l’Industrie Navdeep Bains a présenté le projet de loi C-11, intitulé Loi édictant la Loi sur la protection de la vie privée des consommateurs et la Loi sur le Tribunal de la protection des renseignements personnels et des données et apportant des modifications corrélatives et connexes à d’autres lois ou, de son titre abrégé, Loi de 2020 sur la mise en œuvre de la Charte du numérique. Ce projet de loi a pour objectif de moderniser et, à certains égards, de renforcer la législation canadienne relative à la protection des renseignements personnels dans le secteur privé. Pour arriver à ces fins, le projet de loi accroît les exigences de transparence et de contrôle des renseignements personnels détenus par les entreprises et impose de nouvelles pénalités, potentiellement onéreuses, en cas de non-respect des dispositions qu’il contient. Le présent article se concentre sur les principales différences entre le cadre actuel de protection des renseignements personnels du palier fédéral, la Loi sur la protection des renseignements personnels et les documents électroniques, et la loi destinée à la remplacer, à savoir la Loi sur la protection de la vie privée des consommateurs (la « LPVPC »).
Ce que vous devez savoir
- Le présent article dresse un aperçu des éléments clés de la LPVPC ainsi que de leur incidence sur les entreprises canadiennes. Tel qu’il est plus amplement décrit ci-après, ce nouveau régime de protection des renseignements personnels introduirait les changements suivants :
- Nouveaux mécanismes de pénalités :
- Attribution au Tribunal de la protection des renseignements personnels et des données nouvellement constitué du pouvoir d’imposer, sur recommandation du Commissariat à la protection de la vie privée du Canada (le « Commissaire »), des sanctions administratives pécuniaires d’un montant pouvant aller jusqu’à 10 000 000 $ CA ou 3 % des recettes globales brutes de l’organisation au cours de son exercice précédent, selon le plus élevé des deux montants.
- Augmentation des amendes susceptibles d’être imposées dans le cadre de poursuites pénales jusqu’à un montant maximum de 25 000 000 $ CA, ou, s’il est supérieur, à un montant correspondant à 5 % des recettes globales brutes de l’organisation au cours de son exercice précédent.
- Nouveau recours civil, le « droit privé d’action », pour les particuliers.
- Nouvelles dispositions permettant la création de « codes de pratique » et de « programmes de certification ».
- Nouveaux droits individuels inspirés du droit européen : droit d’être informé des décisions automatisées, droit de retrait et droit à la mobilité.
- Règles de responsabilité renforcées :
- Nouvelle définition de la notion de « relève ».
- Nouvelle obligation d’établir, de mettre en œuvre et de rendre disponible un programme de gestion de la protection des renseignements personnels.
- Clarification du rôle et des responsabilités des fournisseurs de services.
- Exigences renforcées en matière de consentement, notamment une clarification de la notion de consentement valide.
- Certaines règles moins strictes : nouvelles exceptions au consentement concernant les renseignements dépersonnalisés, les fins socialement bénéfiques et les pratiques commerciales légitimes.
Table des matières
- Introduction
- Mise en œuvre
- Responsabilité
- Consentement
- Évaluation du caractère raisonnable (fins acceptables)
- Droits individuels
- Recherche et analyse de données
- Impartition et transferts transfrontaliers
- Mesures de sécurité et gestion des incidents
Introduction
La proposition du gouvernement fédéral de moderniser la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE ») – une loi adoptée il y a près de vingt ans – est tout aussi ambitieuse que prudente dans sa tentative d’améliorer de manière significative la protection des renseignements personnels des individus. La proposition, qui remplacerait les dispositions de la LPRPDE relatives à la protection des renseignements personnels par la Loi sur la protection de la vie privée des consommateurs (la « LPVPC »), vise à rendre opérationnelle la Charte canadienne du numérique de même que les propositions antérieures visant à renforcer la protection de la vie privée dans l’ère numérique afin de relever les défis posés par l’économie numérique et les nouvelles technologies. En outre, la proposition promulguerait la Loi sur le Tribunal de la protection des renseignements personnels et des données, établissant un nouveau Tribunal de la protection des renseignements personnels et des données (le « Tribunal »), qui aurait la capacité d’imposer des pénalités importantes. De plus, les violations les plus graves de la LPVPC pourraient donner lieu, en cas de poursuites, à des amendes ayant été décrites parmi les plus sévères des lois sur la protection des renseignements personnels du G7, y compris le Règlement général sur la protection des données (le « RGPD ») de l’Union européenne et le California Consumer Privacy Act of 2018 (la « CCPA »).
Bien qu’elle s’inspire clairement d’initiatives similaires dans d’autres pays, à savoir le RGDP de l’UE et la CCPA de Californie, la proposition canadienne est unique dans son approche en ce qu’elle offre aux entreprises, dans de nombreux cas, une souplesse et une clarté accrues par rapport aux exigences de l’actuel régime de protection des renseignements personnels. Plus particulièrement, elle se fonde directement sur les directives et les décisions antérieures du Commissariat à la protection de la vie privée du Canada (le « Commissaire ») et offre aux individus de nouveaux droits plus étroitement encadrés que ceux qui sont actuellement prévus par le RGPD. En ce sens, il convient de noter que le projet de loi 64 du Québec, intitulé Loi modernisant des dispositions législatives en matière de protection des renseignements personnels – une proposition récente qui vise à modifier le régime provincial de protection des renseignements personnels du Québec, y compris la Loi sur la protection des renseignements personnels dans le secteur privé – est considérablement plus contraignant que la LPVPC, ce qui soulève un certain nombre de défis du point de vue de l’interopérabilité pour les entreprises qui exercent leurs activités à l’échelle nationale. Pour une analyse plus détaillée des modifications proposées par le projet de loi 64 du Québec, veuillez consulter l’article intitulé « Amendements proposés à la loi québécoise sur la protection des renseignements personnels : Conséquences sur les entreprises ».
Bien que ces propositions soient susceptibles de subir un certain nombre de modifications avant de se concrétiser sous forme de loi, ces discussions soulignent l’importance de renforcer la cohérence entre les différents régimes de protection des renseignements personnels, d’autant plus que le statut d’adéquation du Canada dans le cadre du RGPD, qui confère un avantage concurrentiel aux entreprises canadiennes traitant des données personnelles assujetties au RGPD, doit être renouvelé. En outre, on peut s’attendre à des discussions similaires sur la réforme de la loi albertaine sur la protection des renseignements personnels (Personal Information Protection Act) (la « PIPA de l’Alberta ») et de la loi équivalente en Colombie-Britannique (Personal Information Protection Act) (la « PIPA de Colombie-Britannique ») qui, avec la Loi sur la protection des renseignements personnels dans le secteur privé du Québec, sont toutes trois considérées comme « essentiellement similaires » à la LPRPDE et s’appliquent donc en lieu et place de celle-ci pour les questions intraprovinciales relatives à la protection des renseignements personnels.
Mise en œuvre
La LPVPC apportera des changements majeurs au régime fédéral des lois sur la protection des renseignements personnels et créera d’importants risques de non-conformité pour les entreprises. Plus particulièrement, la LPVPC conférera de nouveaux pouvoirs d’ordonnance au Commissaire et permettra à ce dernier de faire des recommandations au Tribunal pour l’imposition de pénalités pouvant atteindre 10 000 000 $ CA ou 3 % des recettes globales brutes de l’organisation, selon le montant le plus élevé. Soulignons que les amendes équivalentes sont plafonnées à 2 % en vertu du RGPD et du projet de loi 64 du Québec. En outre, les infractions les plus graves à la LPVPC constitueraient des infractions punissables, sur poursuite, d’une amende pouvant atteindre 25 000 000 $ CA ou 5 % des recettes globales brutes de l’organisation. Il s’agit d’une limite supérieure à celle actuellement prévue par le RGPD et le projet de loi 64 du Québec, dans lesquels le plafond est fixé à 4 % (notons que le projet de loi 64 du Québec prévoit le doublement des amendes en cas de récidive).
Pouvoirs du Commissaire
Maintien des pouvoirs actuels – enquêtes, accords de conformité et audits. Comme dans le régime actuel, la LPVPC prévoit que les particuliers peuvent déposer des plaintes ou que le Commissaire peut lui-même prendre l’initiative d’une plainte (l’article 82 de la LPVPC remplaçant l’article 11 de la LPRPDE). Le Commissaire conserve les pouvoirs suivants :
- examiner toute plainte (art. 83 de la LPVPC remplaçant l’art. 12 de la LPRPDE);
- conclure des accords de conformité avec les organisations ayant contrevenu à la loi (art. 86 de la LPVPC remplaçant l’art. 17.1 de la LPRPDE);
- effectuer des vérifications concernant le respect de la loi par les organisations (art. 96 de la LPVPC remplaçant l’art. 18 de la LPRPDE).
Nouveaux pouvoirs – ordonnances de conformité et recommandations de pénalité. La LPVPC accordera au Commissaire de nouveaux pouvoirs lui permettant de mener une investigation après avoir examiné une plainte (art. 88) ou en cas de non-respect d’un accord de conformité (art. 89). Au terme d’une investigation, le Commissaire devra rendre une décision et, s’il constate que l’organisation a enfreint la LPVPC, il pourra émettre une ordonnance de conformité ou une recommandation de pénalité (art. 92).
- Ordonnances de conformité. La LPVPC conférerait au Commissaire d’importants nouveaux pouvoirs, dont celui d’ordonner aux organisations de faire ce qui suit :
- prendre des mesures pour se conformer à la loi;
- cesser de faire quelque chose qui contrevient à la loi;
- se conformer à une entente de conformité;
- rendre publiques toutes les mesures visant à corriger ses politiques, pratiques ou procédures (art. 92(2)).
Une organisation pourra interjeter appel d’une ordonnance de conformité auprès du Tribunal, tel qu’il est discuté ci-dessous. Si celle-ci ne fait pas l’objet d’un appel, elle sera exécutoire de la même manière qu’une ordonnance de la Cour fédérale (art. 103).
Recommandation de pénalité. Contrairement aux organismes de réglementation de la protection de la vie privée relevant d’autres régimes (par exemple, du RGPD et du projet de loi 64 du Québec), le Commissaire n’aura pas le pouvoir d’imposer directement des pénalités en cas de violation de la LPVPC. Toutefois, il aura le pouvoir de recommander au Tribunal d’imposer une pénalité à l’organisation pour avoir enfreint les principales dispositions de la LPVPC (art. 93).
Pénalités monétaires imposées par le Tribunal
La LPVPC conférera au Tribunal le pouvoir d’imposer une pénalité à une organisation après avoir laissé à celle-ci et au Commissaire la possibilité de présenter des observations (art. 94(1)). Fait important à noter, les organisations pourront invoquer une défense de diligence raisonnable (art. 94(3)). Il s’agit d’une distinction importante par rapport au régime actuellement proposé par le projet de loi 64 du Québec, qui ne prévoit pas de défense équivalente.
La pénalité maximale pour l’ensemble des contraventions visées par une recommandation correspondra à la plus élevée des deux sommes suivantes : 10 000 000 $ CA ou 3 % des recettes globales brutes de l’organisation au cours de son exercice précédent celui pendant lequel la pénalité est infligée (article 94(4)). La loi énonce les facteurs dont le Tribunal doit tenir compte pour établir le montant de la pénalité (art. 95(5)).
Appels devant le Tribunal
La LPVPC accordera également aux plaignants et aux organisations un droit d’appel devant le Tribunal (art. 100) de toute décision rendue par le Commissaire dans laquelle il estime que l’organisation a contrevenu ou non à la LPVPC. Ce droit s’étendra également à toute ordonnance de conformité émise par le Commissaire contre l’organisation et à toute décision émise par le Commissaire dans laquelle il décide de ne pas recommander l’imposition d’une sanction.
Infractions et peines
Certains comportements plus graves pourraient constituer une infraction entraînant une pénalité maximale de 25 000 000 $ CA ou de 5 % des recettes globales brutes de l’organisation au cours de son exercice précédent celui pendant lequel la pénalité est infligée (art. 125). Comme dans le cas des infractions prévues à l’article 28 de la LPRPDE, les poursuites seront intentées par le procureur général du Canada.
Les actes suivants constitueront des infractions en vertu de l’article 125 de la LPVPC :
- contrevenir sciemment aux exigences de déclaration et d’avis en cas d’atteinte aux mesures de sécurité en lien avec des renseignements personnels (art. 58) ou encore aux exigences de tenue de registre à la suite d’une telle atteinte (art. 60(1));
- contrevenir sciemment à l’obligation de conserver les renseignements personnels faisant l’objet d’une demande d’accès (art. 69);
- utiliser sciemment des renseignements dépersonnalisés pour identifier une personne (art. 75);
- contrevenir sciemment à une ordonnance de conformité rendue par le Commissaire;
- entraver l’action du Commissaire dans le cadre d’une vérification, d’une investigation ou de l’examen d’une plainte.
Recours privés
La LPVPC introduira un nouveau droit d’action civile par lequel une personne affectée par une contravention à la LPVPC pourra intenter une action contre l’organisation en vue d’obtenir des dommages-intérêts pour la perte ou le préjudice subi du fait de la contravention, à condition:
- que le Commissaire conclue que l’organisation a enfreint la LPVPC et cette conclusion ne puisse plus faire l’objet d’un appel, soit parce que le délai d’appel a expiré, soit parce que le Tribunal a rejeté un appel antérieur; ou
- que le Tribunal estime que l’organisation a enfreint la LPVPC.
- Une personne touchée par une infraction aux dispositions de la LPVPC (par exemple, le défaut de faire les déclarations requises au Commissaire, le défaut de tenir des dossiers ou de conserver certains renseignements, le fait de pénaliser un employé pour avoir signalé une infraction à la LPVPC ou l’utilisation de renseignements dépersonnalisés pour identifier une personne) peut également porter plainte contre l’organisation. Dans chaque cas, un délai de prescription de deux ans après la date de la conclusion du Commissaire, la décision du Tribunal ou la condamnation pour une infraction à la LPVPC (selon le cas) s’appliquera.
À titre de comparaison, le droit privé d’action prévu au projet de loi 64 du Québec est plus large que celui proposé par la LPVPC, car il n’exige pas une conclusion préalable de contravention à la LPVPC ou une condamnation pour une infraction avant d’intenter une action en dommages-intérêts. Une autre distinction importante qu’il convient de souligner est le fait que le projet de loi 64 accorde aux demandeurs des dommages punitifs d’au moins 1 000 $ CA pour une faute intentionnelle ou une faute lourde, ce qui signifie qu’un demandeur n’aurait pas besoin d’établir l’existence d’un préjudice indemnisable pour se prévaloir du droit d’action en vertu du projet de loi 64.
Dispositions relatives à la dénonciation et à la protection contre les représailles
La LPVPC comprendra une disposition relative à la dénonciation qui est la même que celle qui figure actuellement dans la LPRPDE (l’art. 123 de la LPVPC remplaçant l’art. 27 de la LPRPDE). Le Commissaire a d’ailleurs utilisé des renseignements reçus en vertu de cette disposition pour déposer une plainte à au moins une occasion (Résumé de conclusions d’enquête en vertu de la LPRPDE no 2005-310). De même, la LPVPC comprendra une disposition anti-représailles qui est la même que la disposition actuellement incluse dans la LPRPDE (l’art. 124 de la LPVPC, remplaçant l’art. 27.1 de la LPRPDE).
Codes de pratique et programmes de certification
Les articles 76 et 77 de la LPVPC introduiront de nouvelles dispositions permettant la création de « codes de pratique » et de « programmes de certification », un moyen d’encourager les pratiques volontaires et sectorielles qui favorisent la protection des renseignements personnels. Des dispositions similaires sont incluses dans les articles 40 à 43 du RGPD et peuvent apporter une plus grande certitude dans l’application de la LPVPC.
La LPVPC permettra à toute organisation et autres « entités » (soumises ou non à la LPVPC, y compris les institutions gouvernementales) de demander l’approbation du Commissaire concernant les codes de pratique et les programmes de certification. Les organisations peuvent choisir de se conformer volontairement et de maintenir la certification en tant que mesure commerciale. Cela ne constituera pas nécessairement une preuve de conformité à la LPVPC, bien que le Commissaire ait le pouvoir discrétionnaire de refuser d’enquêter sur les organisations certifiées (art. 83(1)(d)) et qu’il lui soit interdit de recommander qu’une sanction soit imposée à une organisation « si le Commissaire est d’avis qu’au moment de la contravention de la disposition en cause l’organisation se conformait aux exigences d’un programme de certification qu’il a approuvé (art. 93(3) LPVPC) ».
Responsabilité
Aux articles 7 à 11, la LPVPC codifie et développe le principe de responsabilité actuellement énoncé à l’annexe 1 de la LPRPDE. Bien que les changements apportés aux exigences actuelles semblent relativement limités, certains ajouts notables à la LPVPC amélioreront sans doute la clarté de ces exigences pour les entreprises.
À la lumière du projet de loi 64 du Québec, il convient de noter que la LPVPC est silencieuse quant à l’obligation de procéder à une évaluation des facteurs relatifs à la vie privée dans certaines circonstances et quant à l’exigence du « respect de la vie privée dès la conception », deux éléments qui semblent jouer un rôle important dans le cadre du régime de protection des renseignements personnels proposé par le Québec.
Renseignements personnels qui relèvent d’une organisation
Comme dans le cas de la LPRPDE, la LPVPC continue de prévoir qu’une organisation est responsable des renseignements personnels qui relèvent d’elle (l’art. 7(1) LPVPC remplaçant le principe 4.1 LPRPDE). Toutefois, la LPVPC va plus loin en définissant la notion de « relève », en précisant que les renseignements personnels « relèvent de l’organisation qui décide de les recueillir et établit les fins pour lesquelles ils sont recueillis, utilisés ou communiqués » (art. 7(2) LPVPC). Tout comme la LPRPDE, la LPVPC réitère que les renseignements personnels relèvent de l’organisation même lorsqu’ils ont été transférés à un fournisseur de services (l’art. 7(2) LPVPC, remplaçant le principe 4.1.3 LPRPDE). Tout comme le RGPD, la LPVPC distingue les obligations applicables aux organisations dont relèvent les renseignements personnels et celles applicables aux prestataires de services, ces derniers n’étant pas soumis à la partie I du projet de loi, à l’exception de l’article 57 (mesures de sécurité) et de l’article 61 (avis au client en cas d’atteinte).
Rôle du responsable de la protection de la vie privée
La LPVPC fait également écho à l’exigence de la LPRPDE selon laquelle une organisation doit désigner une personne « chargée des questions relatives aux obligations qui lui incombent » en vertu de la LPVPC (l’art. 8 LPVPC, remplaçant le principe 4.1.1 LPRPDE) et fournir les coordonnées professionnelles de la personne désignée à toute personne qui en fait la demande (l’art. 8 LPVPC remplaçant le principe 4.1.2 LPRPDE). Contrairement au projet de loi 64 du Québec, qui attribue par défaut ce rôle à « la personne ayant la plus haute autorité » au sein de l’organisation (par exemple, le PDG), la LPVPC ne précise pas qui, au sein de l’organisation, doit remplir ce rôle.
Programme de gestion de la protection des renseignements personnels
La LPVPC exigera de chaque organisation qu’elle mette en œuvre un « programme de gestion de la protection des renseignements personnels » qui comprend (mais sans doute sans s’y limiter) les politiques, pratiques et procédures que l’organisation met en œuvre pour remplir ses obligations au titre de la LPVPC. L’objet de ces politiques est généralement le même qu’en vertu de la LPRPDE : elles doivent porter sur la protection des renseignements personnels, le traitement des demandes de renseignements et des plaintes, la formation du personnel sur les politiques et les procédures, et l’élaboration de matériel pour expliquer les politiques et les procédures (l’art. 9 de la LPVPC remplaçant le principe 4.1.4 de la LPRPDE). Notamment, la LPVPC introduira une nouvelle exigence selon laquelle une organisation, lorsqu’elle élabore son programme de gestion de la protection des renseignements personnels, doit tenir compte du volume et de la nature délicate des renseignements personnels dont elle a la charge (art. 9(2) LPVPC). Cette mesure vise probablement à codifier la position actuelle du Commissaire selon laquelle les politiques et les mesures de protection des organisations doivent être raisonnables compte tenu des types de renseignements qu’elles traitent.
La LPVPC exigera également qu’une organisation donne au Commissaire l’accès à ses politiques et procédures sur demande (art. 10 LPVPC). Bien que la LPRPDE ne contienne pas d’exigence équivalente, les organisations ont généralement fourni de tels documents au Commissaire dans tous les cas et par conséquent, cette disposition ne changera probablement pas grand-chose en pratique.
Contrairement au projet de loi 64 du Québec, qui oblige une organisation à publier des politiques et procédures internes équivalentes sur son site Web ou, si l’organisation n’a pas de site Web, par tout autre moyen approprié, la LPVPC ne semble pas imposer une exigence similaire en ce qui concerne son programme de gestion des renseignements personnels.
Consignation des fins
En outre, l’article 12(3) de la LPVPC exigera qu’une organisation établisse et consigne chacune des fins pour lesquelles elle recueille, utilise ou communique des renseignements personnels, et qu’elle le fasse au moment de la collecte ou avant. À cet égard, la LPVPC semble aller plus loin que la LPRPDE, qui exige que les organisations documentent uniquement les fins de la collecte (principe 4.2.1 de la LPRPDE).
Consentement
Bien que la notion de consentement n’ait été que légèrement mise à jour dans la LPVPC, le projet de loi du gouvernement fédéral promet d’introduire une nouvelle exception au consentement pour la collecte ou l’utilisation de renseignements personnels pour divers types d’activités commerciales (voir la section « Activité commerciale légitime » ci-dessous pour plus de détails). L’intention derrière cette nouvelle exception au consentement semble être de renforcer la signification de la notion de consentement en réduisant le nombre de situations dans lesquelles il doit être demandé, ce qui atténue ainsi le risque de fatigue du consentement (« consent fatigue »).
Il convient de noter que, contrairement au projet de loi 64 du Québec, la LPVPC ne traite pas directement des exigences liées au traitement des données relatives aux enfants.
Cette section résume les exigences de la LPRPDE en matière de consentement qui demeurent inchangées ou qui ont été légèrement mises à jour en vertu de la LPVPC, et aborde les nouvelles exceptions au consentement introduites par la LPVPC.
Mise à jour des exigences de la LPRPDE en matière de consentement
Le principe 4.3 de l’annexe 1 de la LPRPDE est remplacé par l’article 15 de la LPVPC qui prévoit, similairement à la LPRPDE, qu’une organisation doit obtenir le consentement valable d’une personne pour la collecte, l’utilisation ou la communication de ses renseignements personnels, sauf disposition contraire de la loi (art. 15(1) LPVPC). Elle prévoit également que le consentement de l’individu doit être obtenu au plus tard au moment de la collecte des renseignements personnels ou, si les renseignements doivent être utilisés ou communiqués à une nouvelle fin, avant que les renseignements ne soient utilisés ou communiqués à cette nouvelle fin (art. 15(2) LPVPC).
Forme du consentement. La forme du consentement demeure inchangée en vertu de la LPVPC, puisqu’il doit être expressément obtenu, à moins que l’organisation n’établisse qu’il est approprié de se fier au consentement implicite d’une personne, compte tenu des attentes raisonnables de celle-ci et de la nature délicate des renseignements personnels (l’art. 15(4) LPVPC remplaçant les principes 4.3.4, 4.3.5 et 4.3.6 de la LPRPDE).
Consentement valable. Pour que le consentement soit valable, la LPVPC, inspirée des Lignes directrices pour l’obtention d’un consentement valable publiées récemment, exige qu’une organisation fournisse à la personne certains renseignements dans un « langage clair ». Les renseignements à fournir semblent correspondre à ceux qui figurent généralement dans un avis de confidentialité :
- le type précis de renseignements personnels que l’organisation recueillera, utilisera ou communiquera;
- les fins de la collecte, de l’utilisation ou de la communication;
- la façon dont les renseignements personnels seront recueillis, utilisés ou communiqués;
- les conséquences raisonnablement prévisibles de la collecte, de l’utilisation ou de la communication;
- le nom des tiers ou les catégories de tiers auxquels les renseignements personnels pourraient être communiqués (s. 15 (3) LPVPC remplaçant le principe 4.3.2 et l’art. 6.1 LPRPDE).
Il convient de noter que cette dernière exigence (c’est-à-dire la divulgation du nom des tiers) ne s’applique pas aux prestataires de services puisque la LPVPC prévoit qu’un transfert vers un prestataire de services peut avoir lieu à l’insu des personnes concernées ou sans leur consentement (art. 19 LPVPC).
Limitation de la collecte et retrait du consentement. Les autres exigences de la LPRPDE en matière de consentement restent inchangées. Cela comprend l’obligation de ne recueillir que les renseignements nécessaires à la fourniture du bien ou du service (l’art. 15(5) de la LPVPC remplaçant le principe 4.3.3 de la LPRPDE); l’obligation de ne pas recourir à des pratiques trompeuses ou mensongères pour obtenir le consentement (l’art. 16 de la LPVPC remplaçant le principe 4.4.2 de la LPRPDE); et les exigences relatives au retrait du consentement (l’art. 17(1) et (2) de la LPVPC remplaçant le principe 4.3.8 de la LPRPDE).
Nouvelles exceptions au consentement
Plusieurs des exceptions au consentement prévues par la LPRPDE sont maintenues dans la LPVPC. Il s’agit notamment de l’exception relative au consentement dans le cadre d’une relation d’emploi (l’art. 24 de la LPVPC remplaçant l’art. 7.3 de la LPRPDE), de l’exception relative au consentement concernant le produit du travail (l’art. 23 de la LPVPC remplaçant l’art. 7(1)(b.2) de la LPRPDE) et de l’exception relative au consentement dans le cadre d’une transaction commerciale (l’art. 22(1) de la LPVPC remplaçant l’art. 7.2(1) de la LPRPDE), bien qu’il existe une nouvelle exigence selon laquelle les renseignements doivent être dépersonnalisés avant d’être utilisés ou communiqués jusqu’à ce que la transaction soit terminée (art. 22(1)(a) LPVPC). Il n’est pas certain que cette dernière exigence soit réaliste dans toutes les circonstances (par exemple, dans certaines situations, l’acheteur peut souhaiter valider l’identité de certains employés clés avant de décider de conclure la transaction). On ne sait pas non plus comment l’exception relative aux transactions commerciales interagira avec la nouvelle exception relative au consentement prévue par la LPVPC lorsqu’une organisation procède à un exercice de diligence raisonnable pour prévenir ou réduire son risque commercial (art. 18(2)(b) LPVPC).
La LPVPC prévoit les nouvelles exceptions suivantes en matière de consentement :
Activité commerciale légitime. La LPVPC prévoit une nouvelle exception au consentement pour la collecte ou l’utilisation de renseignements personnels si :
- elle s’inscrit dans la liste des activités d’affaires détaillée ci-dessous;
- une personne raisonnable s’attendrait à une telle collecte ou utilisation pour l’activité commerciale;
- les renseignements personnels ne sont pas recueillis ou utilisés en vue d’influencer le comportement ou les décisions de l’individu (art. 18(1) LPVPC).
La liste des activités d’affaires visées par cette exception de consentement sont les activités :
- nécessaires à la fourniture ou à la livraison d’un produit ou à la prestation d’un service demandé par l’individu à l’organisation;
- menées à des fins de diligence raisonnable pour réduire ou prévenir les risques commerciaux de l’organisation;
- nécessaires à la sécurité de l’information, des systèmes ou des réseaux de l’organisation;
- nécessaires pour assurer la sécurité d’un produit ou d’un service que l’organisation fournit ou livre;
- dans le cadre desquelles il est pratiquement impossible pour l’organisation d’obtenir le consentement de l’individu, en raison de l’absence de lien direct avec celui-ci;
- toute autre activité réglementaire (art. 18(2) LPVPC).
Fins socialement bénéfiques. La LPVPC introduit une nouvelle exception pour la communication de renseignements personnels dépersonnalisés sans consentement dans un but socialement bénéfique à une institution gouvernementale (ou à une subdivision d’une telle institution au Canada), un établissement de soins de santé, un établissement d’enseignement postsecondaire ou une bibliothèque publique au Canada ou à toute organisation mandatée, en vertu d’une loi fédérale ou provinciale ou par contrat avec une institution gouvernementale ou une partie d’une institution gouvernementale au Canada (art. 39(1) LPVPC). La notion de « fin socialement bénéfique » est définie dans la LPVPC comme étant toute fin relative à la santé, à la fourniture ou à l’amélioration des services et infrastructures publics, à la protection de l’environnement ou toute autre fin réglementaire (art. 39(2) LPVPC).
Recherches et statistiques. La LPVPC prévoit également de nouvelles exceptions au consentement pour l’utilisation de renseignements personnels dépersonnalisés (art. 20 LPVPC) ainsi qu’aux fins de recherche et de développement internes de l’organisation lorsque les renseignements sont dépersonnalisés avant leur utilisation (art. 21), comme il est expliqué plus en détail dans la section ci-dessous intitulée « Recherche et analyse de données ».
Évaluation du caractère raisonnable (fins acceptables)
La LPRPDE comprend une évaluation du caractère raisonnable (c’est-à-dire le test de la « personne raisonnable »), qui dicte les limites de son application et qui peut s’appliquer même si le consentement a été obtenu d’individus. La LPVPC comprend cette même exigence selon laquelle une organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances (l’art. 12(1) de la LPVPC remplaçant l’art. 5(3) de la LPRPDE).
La LPVPC prévoit les facteurs qui doivent être pris en compte pour déterminer si les objectifs sont appropriés. Ces facteurs sont en grande partie les mêmes que ceux élaborés dans la décision Turner c. Telus Communications Inc. de la Cour fédérale – décision ultérieurement confirmée par la Cour d’appel fédérale –, dans laquelle étaient énoncés les facteurs permettant d’évaluer si les fins d’une organisation étaient conformes à l’article 5(3) LPRPDE. Ces facteurs sont les suivants :
- le caractère sensible des renseignements personnels en question;
- la question de savoir si les fins en question représentent des besoins ou intérêts commerciaux légitimes de l’organisation;
- l’efficacité de la collecte, de l’utilisation ou de la divulgation pour répondre aux besoins commerciaux légitimes de l’organisation;
- la question de savoir s’il existe des moyens moins intrusifs d’atteindre ces objectifs à un coût et avec des avantages comparables;
- la question de savoir si la perte de vie privée de l’individu est proportionnelle aux avantages compte tenu des mesures, techniques ou autres, mises en œuvre par l’organisation pour atténuer les effets de la perte de vie privée sur l’individu (art. 12(2) LPVPC).
Comme le libellé de la nouvelle disposition est similaire à celui utilisé dans la LPRPDE, le Document d’orientation sur les pratiques inacceptables du traitement des données : Interprétation et application du paragraphe 5(3), publié par la Commissaire en mai 2018, demeure pertinent.
Droits individuels
De même que la LPRPDE, la LPVPC accordera aux individus le droit d’accéder à leurs renseignements personnels et de les rectifier (corriger). Il créera également un nouveau droit de retrait (supprimer) des renseignements personnels et de les faire transférer d’une organisation à l’autre dans des circonstances limitées.
Droit d’accès et de rectification
Les droits d’accès et de rectification des renseignements confidentiels sont détaillés aux articles 63 à 71 de la LPVPC.
Somme toute, la LPVPC ne modifiera pas le régime précédent (articles 8 et 9 et principe 4.9 de la LPRPDE).
Communication aux tiers. De la même façon que sous la LPRPDE, sur demande écrite d’un individu, une organisation sera tenue de lui indiquer si elle détient des renseignements personnels à son sujet, comment elle les a utilisés et, lorsqu’elle a communiqué ces renseignements, de lui fournir le nom des tiers ou des types de tiers auxquels la communication a été faite (y compris lorsque cette communication a été faite sans l’obtention de consentement). Nous notons que la LPVPC ne prévoit pas d’exception à cette dernière exigence, alors qu’en vertu de la LPRPDE, une organisation peut, lorsqu’il n’est pas possible de fournir une liste précise des tiers, fournir une liste des organisations auxquelles elle peut avoir communiqué ces renseignements personnels (l’art. 63(1) et (2) de la LPVPC remplaçant le principe 4.9.3 de la LPRPDE).
Amendement et consignation du désaccord. Une fois qu’un individu se voit accorder l’accès à ses renseignements personnels, s’il démontre que ses renseignements personnels sont inexacts, désuets ou incomplets, la LPVPC maintient l’exigence de la LPRPDE de rectifier ces renseignements et d’informer tout tiers qui y a accès de la rectification. Si l’organisation est en désaccord avec les rectifications demandées, elle doit consigner ce désaccord et en informer les tiers (l’art. 71 et 71(3) de la LPVPC remplaçant les principes 4.9.5 et 4.9.6 de la LPRPDE).
Conservation des renseignements utilisés pour prendre une décision. Comme le prévoit la LPRPDE, la LPVPC exigera que l’organisation conserve les renseignements pendant une période suffisante pour permettre à l’individu de faire une demande d’accès ou de rectification de ses renseignements personnels (l’art. 69 LPVPC remplaçant l’art. 8(8) LPRPDE) ou pour être informé de la prise de décision automatisée (voir ci-dessous). Cette période de conservation sera fixée à six mois à compter de la date du refus d’acquiescer à la demande (ou du défaut de répondre à cette demande), mais le Commissaire peut décider de prolonger ce délai (art. 54 et 82(3) LPVPC).
Droit d’être informé des systèmes décisionnels automatisés
La LPVPC accordera aux individus, à l’article 63(3), un nouveau droit de recevoir une explication sur l’utilisation de système décisionnel automatisé pour faire une prédiction, une recommandation ou une décision à leur sujet et sur la manière dont les renseignements personnels ont été utilisés à cet effet. Contrairement au projet de loi 64 du Québec et au RGPD, la LPVPC n’accordera pas aux individus le droit de s’opposer à une telle utilisation ou de faire réviser la décision par un employé de l’organisation (pour plus d’information sur les dispositions de la LPVPC concernant les systèmes décisionnels automatisés, voir la section intitulée « Recherche et analyse de données » ci-dessous).
Droit au retrait
L’article 55 de la LPVPC créera un droit précis pour les individus de demander le retrait de leurs renseignements personnels (c’est-à-dire, leur suppression permanente et irréversible) par une organisation de qui relèvent ces renseignements. Ce droit s’applique à tout renseignement personnel recueilli auprès de l’individu (et non de tiers). Les motifs de refus d’un tel retrait, qui devront être détaillés par l’organisation dans sa réponse écrite à l’individu qui en fait la demande, seront limités aux situations où il en résulterait un retrait des renseignements personnels concernant une autre personne ou lorsque des exigences fédérales, provinciales ou contractuelles empêcheraient l’organisation d’y procéder. Dans les situations où l’organisation a transféré les renseignements à un fournisseur de services, elle sera tenue de l’informer de la demande de retrait et d’obtenir une confirmation écrite de ce fournisseur quant au fait qu’elle a également procédé au retrait des renseignements.
Il est intéressant de noter que ce droit de retrait ne semble pas englober un droit de désindexation ou un droit à l’oubli, contrairement au projet de loi 64 du Québec et au RGPD.
Droit à la mobilité des renseignements personnels
La LPVPC innove à l’article 72 en créant un droit limité à la portabilité des données, qui permettra aux individus de demander à une organisation que leurs renseignements personnels soient communiqués à une ou plusieurs autres organisations qu’ils désignent si les deux organisations sont soumises à un « cadre de mobilité des données » prévu par règlement. Ce droit s’appliquera uniquement aux renseignements personnels recueillis auprès des individus (c’est-à-dire, pas auprès de tiers). Les cadres de mobilité des données qui seront créés par voie réglementaire devront comporter des garanties pour la divulgation sécurisée des renseignements et des paramètres pour les moyens techniques permettant d’assurer l’interopérabilité (art. 120). Ils devront également préciser les organisations soumises au cadre, qui appartiendront probablement à des secteurs industriels spécifiques tels que les systèmes bancaires ouverts ou les télécommunications. Là encore, la portée de la LPVPC sera plus limitée que celle du projet de loi 64 du Québec et du RGDP, car elle s’abstient d’ouvrir la porte à des demandes générales de portabilité visant des organisations qui ne participent pas à un programme d’interopérabilité ou qui ne sont pas soumis à des exigences particulières en matière de concurrence.
Recherche et analyse de données
La LPVPC introduira une définition des renseignements « dépersonnalisés », qui, bien que n’étant pas expressément exclue du champ d’application des « renseignements personnels » (et seront donc soumis aux exigences de la loi), permettra aux organisations de bénéficier d’une plus grande souplesse quant au traitement de ces renseignements dépersonnalisés, y compris à des fins de recherche et de développement internes. En outre, la LPVPC comprendra également des dispositions concernant l’utilisation de « systèmes décisionnels automatisés », qui visent à renforcer la transparence.
Renseignements dépersonnalisés
La LPVPC adoptera une approche de l’anonymisation et de la dépersonnalisation qui diffère à la fois de son prédécesseur, la LPRPDE (qui ne fait pas mention de la dépersonnalisation et fait seulement référence à l’anonymisation comme alternative à la destruction), et du nouveau projet de loi 64 du Québec, qui introduit une séparation claire entre les renseignements dépersonnalisés et les renseignements anonymisés. En vertu de la LPVPC, « dépersonnaliser » signifie « modifier des renseignements personnels – ou créer des renseignements à partir de renseignements personnels – au moyen de procédés techniques afin que ces renseignements ne permettent pas d’identifier un individu ni ne puissent, dans des circonstances raisonnablement prévisibles, être utilisés, seuls ou en combinaison avec d’autres renseignements, pour identifier un individu » (art. 2). L’anonymisation relèvera de cette définition, en créant des renseignements qui ne permettent pas d’identifier un individu à partir de renseignements personnels. Cependant, il semble que la définition permettra également des formes moins rigoureuses de dépersonnalisation, qui pourraient inclure des techniques telles que la pseudonymisation, la tokenisation ou le hachage cryptographique, à condition que ces variantes moins rigoureuses de dépersonnalisation ne puissent pas être utilisées pour réidentifier un individu dans des circonstances raisonnablement prévisibles.
D’autres preuves que la LPVPC reconnaîtra des formes de dépersonnalisation moins rigoureuses que l’anonymisation se trouvent aux articles 74 et 75 de la LPVPC. L’article 74 stipule qu’une organisation qui dépersonnalise des renseignements personnels doit s’assurer que toutes les mesures techniques et administratives appliquées aux renseignements sont proportionnelles aux fins pour lesquelles les renseignements sont dépersonnalisés et à la sensibilité des renseignements personnels; l’article 75 stipule qu’une organisation ne doit pas utiliser les renseignements dépersonnalisés seuls ou en combinaison avec d’autres renseignements pour identifier un individu, sauf pour effectuer des tests de l’efficacité des mesures de sécurité que l’organisation a mises en place pour protéger les renseignements. De plus, les organisations qui contreviennent sciemment à l’article 75 sont passibles d’une amende pouvant atteindre 25 000 000 $ ou’ à 5 % de leurs recettes globales brutes, selon le plus élevés des deux montants (article 125(a)). Ces articles reconnaissent implicitement le risque inhérent de réidentification associé aux formes de données dépersonnalisées qui ne sont pas vraiment anonymes.
Il reste à voir comment la disposition « ne peut être utilisée pour réidentifier un individu dans des circonstances raisonnablement prévisibles » doit être interprétée. Compte tenu des autres dispositions de la LPVPC, elle pourrait être considérée comme offrant un degré de souplesse favorable aux organisations. Par exemple, dans le nouvel article traitant des transactions commerciales potentielles (art. 22), les parties peuvent utiliser et communiquer les renseignements personnels d’un individu à son insu ou sans son consentement s’ils sont dépersonnalisés avant d’être utilisés ou communiqués. Généralement, lors de transactions prospectives, le vendeur fournira à l’acheteur des renseignements sur ses employés dans le cadre du processus de diligence raisonnable. Bien que les identifiants directs et certains identifiants indirects puissent être expurgés dans de telles circonstances, il existe des limites et l’agrégation n’est pas pratique.
Il est important de noter que la LPVPC prévoit que l’acte de dépersonnaliser les renseignements personnels est une utilisation des renseignements personnels qui n’exige pas la connaissance ou le consentement des individus, ce qui résout une ambiguïté de longue date en vertu de la LPRPDE.
Enfin, comme il ressort des dispositions susmentionnées, les renseignements dépersonnalisés seront soumis à la LPVPC. On peut soutenir que, tels qu’ils sont définis, même les renseignements véritablement anonymisés (c’est-à-dire les renseignements créés à partir de renseignements personnels qui n’identifient pas un individu) seront assujettis à la LPVPC, bien que le risque de se soustraire à des obligations telles que celles énoncées aux articles 74 et 75 lors de l’utilisation de renseignements véritablement anonymisés sera probablement faible.
Recherche
La LPVPC introduira une nouvelle exception de consentement qui permettra l’utilisation de renseignements personnels à des fins de recherche et de développement internes à une organisation, si les renseignements sont dépersonnalisés avant d’être utilisés (art. 21). De façon semblable au projet de loi 64 du Québec, la LPVPC permettra ainsi aux organisations de réutiliser les renseignements recueillis pour une fin donnée à des fins de recherche secondaire, comme l’analytique d’entreprise ou d’affaires. L’utilisation de ces renseignements pour former des systèmes d’apprentissage automatique relèvera sans doute aussi de la « recherche et [du] développement » visés par cette exception.
Systèmes décisionnels automatisés
La LPVPC introduira plusieurs dispositions qui font référence à l’utilisation de systèmes décisionnels automatisés, qui sont définis comme une « technologie qui appuie ou remplace le jugement de décideurs humains au moyen de techniques telles que l’usage de système basé sur des règles, l’analyse de régression, l’analytique prédictive, l’apprentissage automatique, l’apprentissage profond et l’usage de réseaux neuronaux ». La LPVPC invoquera le terme défini dans deux contextes, « Ouverture et transparence » (art. 62 LPVPC) et « Accès et rectification » (art. 63-71 LPVPC).
Aux termes de la section ’ « Ouverture et transparence », une organisation qui utilise un système décisionnel automatisé sera tenue de mettre à disposition, dans un langage simple, une explication générale de l’usage qu’elle fait de ce système pour faire des prédictions, des recommandations ou des décisions concernant des individus qui pourraient avoir une incidence importante sur eux (art. 62(2)(c)). Bien que le terme « incidence importante » ne soit pas défini ni précisé, une interprétation naturelle pourrait inclure certaines des circonstances qui risquent de donner lieu à un préjudice important tel que ce terme est défini à l’article 58(7), comme les circonstances impliquant la réputation, l’emploi, les finances ou le crédit.
En vertu de la section « Accès et rectification des renseignements personnels », si une organisation a utilisé un système décisionnel automatisé pour faire une prédiction, une recommandation ou une décision concernant l’individu, l’organisation sera tenue, sur demande de l’individu, de lui fournir une explication de la prédiction, de la recommandation ou de la décision et de la façon dont les renseignements personnels qui ont été utilisés pour faire la prédiction, la recommandation ou la décision ont été obtenus (art. 63(1)(3)).
Cette obligation d’explication peut être rendue particulièrement exigeante par l’exigence supplémentaire énoncée à l’article 66(1), qui oblige l’organisation à fournir ces informations à la personne dans un langage simple. Alors que l’exigence de langage simple énoncée dans les dispositions régissant l’ouverture et la transparence sera satisfaite en donnant « une explication générale », il n’est pas clair si une explication en langage simple d’une prédiction, recommandation ou décision donnée peut être donnée lorsque le système utilisé est basé sur l’apprentissage automatique, l’apprentissage profond ou les réseaux neuronaux. La LPVPC ne confère aux individus aucun autre droit que le droit à une explication. Contrairement au projet de loi 64 du Québec, les individus ne peuvent pas soumettre d’observations à un membre du personnel en mesure de réviser une décision. De plus, les dispositions de la LPVPC qui permettront aux individus de faire rectifier des renseignements s’ils peuvent démontrer que les renseignements ne sont pas exacts, à jour ou complets (art. 71(1)) ne fournissent pas de fondement clair pour contester les conclusions tirées par un système décisionnel automatisé.
Impartition et transferts transfrontaliers
La LPVPC ne modifiera pas de manière notable l’impartition ou les exigences transfrontalières. Elle intégrera plutôt formellement les exigences et les meilleures pratiques existantes, et établira une distinction formelle entre le rôle et les obligations du fournisseur de services et de l’organisation dont relèvent les renseignements personnels. Pour les entreprises, ces changements seront probablement les bienvenus puisqu’ils apporteront plus de clarté et de cohérence.
Impartition
La LPVPC apportera des précisions opportunes en ce qui concerne le transfert de renseignements personnels à un fournisseur de services, que la LPVPC définit comme « toute organisation, notamment une société mère, une filiale, une société affiliée, un entrepreneur ou un sous-traitant, qui fournit un service au nom ou pour le compte d’une autre organisation pour lui permettre de réaliser ses fins » (art. 2).
Soulignons que l’article 19 de la LPVPC permettra expressément aux organisations de transférer des renseignements personnels à un tiers fournisseur de services à l’insu de l’intéressé et sans requérir son consentement, ce qui met un terme définitif à plusieurs années tumultueuses au cours desquelles le Commissaire a adopté, puis renversé, sa position selon laquelle le transfert de renseignements personnels à des fins de traitement nécessitait un consentement explicite supplémentaire.
La LPVPC précisera les principes supplémentaires suivants qui seront applicables à l’impartition :
- La LPVPC prévoit que les renseignements personnels recueillis, utilisés ou divulgués au nom d’une organisation par un fournisseur de services relèvent de l’organisation (et non du fournisseur de services) si l’organisation établit les fins de la collecte, de l’utilisation ou de la communication (art. 7(2)).
- Comme pour la LPRPDE, la LPVPC impose à une organisation qui transfère des renseignements personnels à un tiers fournisseur de services la responsabilité de veiller (contractuellement ou autrement) à ce que le fournisseur de services offre une protection équivalente pour ces renseignements personnels (art. 11(1)).
- La LPVPC précise que les obligations énoncées dans celle-ci ne s’appliquent pas à un prestataire de services dans la mesure où une organisation lui transfère des renseignements personnels aux fins de traitement. Si le fournisseur de services recueille, utilise ou communique des renseignements personnels à toute autre fin, la partie 1 de la LPPC s’applique (art. 11(2)).
- Si une organisation procède au retrait de renseignements personnels à la demande d’un individu, la LPVPC exige que l’organisation en informe ses fournisseurs de services et s’assure qu’ils ont procédé à ce retrait (art. 55(3)); et
- La LPVPC impose des obligations de notification à un fournisseur de services qui subit une fuite de données (art. 61; voir la section « Mesures de sécurité et réponse aux incidents » pour plus d’information).
Il convient également de mentionner, à titre comparatif, que le projet de loi 64 du Québec comporte des exigences similaires en matière d’impartition, bien que ses exigences relatives au contenu des contrats d’impartition soient plus normatives que celles de la LPVPC.
Transferts transfrontaliers et coopération
Contrairement au projet de loi 64 du Québec et au RGPD, qui prévoient une évaluation du niveau d’équivalence du régime étranger de protection des renseignements personnels, mais conformément à la LPRPDE et aux directives antérieures du Commissaire, la LPVPC ne contient aucune restriction quant au transfert de renseignements personnels à l’extérieur du Canada.
Transparence. La seule exigence prévue à la LPVPC au paragraphe 62(2)(d) est celle de la transparence : la politique de protection de la vie privée que les organisations doivent mettre à disposition devra inclure des détails sur le fait que l’organisation effectue ou non un transfert ou une communication internationale ou interprovinciale de renseignements personnels, mais seulement dans la mesure où ce transfert ou cette communication peut avoir des conséquences raisonnablement prévisibles sur la vie privée. La dernière portion de cette exigence n’est pas claire et semble sous-entendre que ces informations doivent être incluses uniquement lorsque des renseignements personnels sont partagés avec une organisation ou une entité qui pourrait ne pas les protéger adéquatement ou qui pourrait être assujettie à des lois qui ne sont pas substantiellement similaires à la LPVPC. Cela devrait être clarifié.
Coopération avec les autorités étrangères. Reconnaissant la nature internationale inhérente aux efforts de protection des données, l’article 117 de la LPVPC donnera au Commissaire de nouveaux pouvoirs concernant la divulgation de certains renseignements aux législateurs étrangers en matière de protection des renseignements personnels. Il est intéressant de noter que ces pouvoirs incluront la capacité de conclure des accords de coopération avec les autorités étrangères, ce qui peut impliquer une coopération pour l’application des lois étrangères sur la protection des données, l’élaboration de directives, la conduite et la publication de recherches, le partage d’expertise et ’la détermination de questions d’intérêt commun.
Mesures de sécurité et réponse aux incidents
La LPVPC comprendra une obligation de sécurité très semblable à celle qui est actuellement en vigueur en vertu de la LPRPDE, soit celle de protéger les renseignements personnels au moyen de mesures de sécurité physiques, organisationnelles et technologiques « proportionnelles » (art. 57(1)). La sensibilité deviendra le nouveau facteur principal régissant le caractère adéquat des mesures de sécurité, bien que « la quantité, […] la répartition, [le] format et […] la méthode de stockage des renseignements » continueront d’être pertinents (art. 57(2)).
La LPVPC conservera les exigences de notification et de déclaration qui s’appliquent aux mesures de sécurité en cas d’ « atteinte à la sécurité » telles qu’elles existent aujourd’hui. Notamment :
- La définition d’« atteinte aux mesures de sécurité » reste inchangée.
- La LPVPC continuera d’exiger une déclaration au Commissaire et une notification à l’individu concerné.
- La règle concernant les déclarations et les notifications continuera à être celle du « risque réel de préjudice grave ».
- Le délai pour la déclaration et la notification continuera d’être « dès que possible ».
- L’obligation de notifier les autres organisations dont on estime qu’elles sont en mesure de réduire le risque de préjudice ou d’atténuer le préjudice sera maintenue.
La seule nouvelle exigence est que les fournisseurs de services seront obligés, en vertu de la LPVPC, de notifier leurs clients dès que possible après avoir « déterminé qu’une atteinte aux mesures de sécurité s’est produite » (art. 61). Ce changement établira un seuil légal minimum pour la notification des prestataires de services, question généralement régie par les modalités des contrats des fournisseurs de services. Le critère de déclenchement choisi pour la notification – une « détermination » – donnera aux fournisseurs le temps d’enquêter sur les incidents de sécurité avant de notifier.
Prochaines étapes
Il est à noter que le gouvernement fédéral n’a fourni aucune indication quant au calendrier d’adoption de sa proposition ni quant à la période de transition qui sera accordée aux entreprises une fois le projet de loi C-11 adopté, afin qu’elles adaptent leurs pratiques avant d’être exposées à de nouveaux mécanismes d’application potentiellement contraignants. Toutefois, comme la proposition prévoit une augmentation considérable des pénalités, il est probable que le gouvernement tiendra des consultations et des audiences afin de recueillir les commentaires des intervenants, comme ce fut le cas récemment au Québec à l’égard du projet de loi 64 (voir « Summary of special consultations and public hearings on Québec’s Bill 64 » pour plus de détails (en anglais seulement).