Rendu d'image des profils de données

Perspectives

Loi sur la protection de la vie privée des consommateurs (projet de loi C-27) : Rétroaction des acteurs de l’industrie au Canada

Le projet de loi C-27 – deuxième mouture du projet de loi C-11, mort au feuilleton en 2021 – est en deuxième lecture à la Chambre des communes. La Loi de 2022 sur la mise en œuvre de la Charte du numérique prévoit l’édiction de deux lois apportant d’importantes modifications à la législation fédérale en matière de protection des données, la Loi sur la protection de la vie privée des consommateurs (LPRPDE). Premièrement, la Loi sur la protection de la vie privée des consommateurs (LPVPC) viendrait remplacer la partie 1 de la LPRPDE, qui porte sur la protection des renseignements personnels. Deuxièmement, la Loi sur le Tribunal de la protection des renseignements personnels et des données (LTPRPD) viendrait créer le Tribunal de protection des renseignements personnels et des données.

Le projet de loi C-27 prévoit également l’adoption de la Loi sur l’intelligence artificielle et les données (LIAD), qui créerait un cadre juridique général pour l’intelligence artificielle (IA). En deuxième lecture, il a été proposé que la LIAD fasse l’objet d’un vote distinct de celui qui portera sur les aspects du projet de loi liés à la protection de la vie privée, soit la LPVPC et la LTPRPD. Avec ce projet de loi, le législateur cherche à mettre en œuvre la Charte du numérique du gouvernement canadien, de même que certaines mesures proposées par le passé pour mieux protéger la vie privée à l’ère du numérique, afin de relever les défis posés par l’économie numérique et les nouvelles technologies.

Les contraventions les plus graves à la LPVPC seraient passibles d’amendes ayant été décrites comme les plus salées parmi les lois du G7 sur la protection de la vie privée, ce qui comprend le Règlement général sur la protection des données (RGPD) de l’Union européenne et la Consumer Privacy Act of 2018 de la Californie (CCPA). Bien que manifestement inspirée d’initiatives étrangères, dont le RGPD et le CCPA, la proposition canadienne suit une approche unique en ce qu’à plusieurs égards, ses exigences à l’égard des entreprises sont plus flexibles et claires que celles du régime actuel de protection de la vie privée. Soulignons notamment qu’elle puise directement dans les orientations et décisions passées du Commissariat à la protection de la vie privée du Canada (le « Commissariat »), et qu’elle octroie aux individus de nouveaux droits plus circonscrits que ceux actuellement prévus par le RGPD.

Mentionnons par ailleurs que le régime québécois de la protection des données dans le secteur privé, la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (la « LPRPSP »), dans sa version modifiée par le projet de loi 64 (désormais la « Loi 64 »), est plus sévère que la LPVPC sur plusieurs points, ce qui suscite les contestations de nombreuses entreprises d’envergure nationale, soucieuses d’interopérabilité. Pour un survol des principales différences entre les droits et obligations prévus par le projet de loi C-27 et la Loi 64, consultez l’annexe A de cet article. Pour une analyse détaillée des changements apportés par la Loi 64, consultez notre Guide de conformité pour la réforme de la Loi sur la protection des renseignements personnels dans le secteur privé.

Le Parlement sollicite la rétroaction des différents acteurs de l’industrie sur le projet de loi C-27. Dernièrement, diverses organisations et parties prenantes de l’industrie ont témoigné de préoccupations de nature juridique et opérationnelle relatives à certaines dispositions projetées, en particulier celles qui pourraient être porteuses d’effets imprévus ou préjudiciables. Le présent bulletin offre un survol de certaines de ces préoccupations, particulièrement en regard de la LPVPC, ainsi que de points saillants que les acteurs de l’industrie pourraient vouloir soulever dans leurs commentaires sur le projet de loi C-27, sans toutefois prétendre couvrir l’ensemble des commentaires formulés ou dresser un portrait complet des préoccupations signalées.

Application de la loi

La LPVPC apporte d’importants changements à la LPRPDE, notamment en ajoutant au régime actuel d’application de la loi le pouvoir de rendre des ordonnances. Elle crée également un nouveau tribunal administratif capable d’imposer de lourdes sanctions ainsi qu’un droit privé d’action de vaste portée. 

i. Réduction des peines maximales

La LPVPC permettra au Commissariat de rendre des ordonnances. Ce dernier pourra en outre recommander au Tribunal de protection des renseignements personnels et des données (le « Tribunal ») l’imposition d’amendes pour la violation de certaines dispositions de l’art. 94 de la LPVPC, allant jusqu’à la valeur la plus élevée entre 10 000 000 $ CA et 3 % du revenu mondial brut de l’organisation visée. Ces sanctions maximales seraient parmi les plus sévères au monde. En effet, par exemple, les amendes administratives du RGPD (par. 83(4)) et les sanctions administratives pécuniaires du Loi 64 sont parfois plafonnées à 2 % pour des contraventions semblables.

De plus, les pires manquements à la LPVPC constitueraient des infractions passibles d’amendes allant jusqu’à 25 000 000 $ CA ou 5 % du revenu mondial brut de l’organisation visée, selon la plus élevée de ces valeurs. Ce plafond dépasse ceux que prévoient actuellement le RGPD (par. 83(5)) et la Loi 64, à savoir 4 % pour certains manquements (bien que la Loi 64 prévoie une amende doublée en cas de récidive).

En général, il y aurait lieu d’harmoniser les sanctions et amendes maximales de la LPVPC avec les plafonds de la LPRPSP amendée – 2 % pour les sanctions administratives pécuniaires et 4 % pour les amendes – et elles ne devraient pas dépasser, selon la nature du manquement, les amendes administratives maximales analogues du RGPD. 

ii. Période de transition raisonnable

Malgré l’envergure des changements apportés à la LPRPDE par la LPVPC, le projet de loi C-27 n’accorde pas clairement de délai aux organisations pour se préparer. Avant de créer et mettre en œuvre un programme de conformité en matière de protection de la vie privée, une organisation doit normalement se pencher sur ses pratiques et en évaluer les lacunes, ce qui peut impliquer la tenue d’exercices de cartographie des données, la création d’inventaires de données et la révision et la mise à jour des ententes avec des fournisseurs. Il se peut aussi qu’elle doive réviser ses politiques et procédures sur la protection de la vie privée et adapter ses processus et ses systèmes en réponse aux nouveaux droits individuels, comme le droit à la portabilité des données, au retrait ou à l’explication de certaines prédictions, recommandations ou décisions d’un système décisionnel automatisé. Selon son envergure et l’état de ses programmes de protection de la vie privée, une organisation pourrait avoir besoin, au bas mot, de 24 à 36 mois pour se préparer aux changements.

Les autres lois du genre, comme la Loi 64 du Québec et le RGPD, prévoyaient généralement une période de transition d’au moins deux ans. Vu le temps qu’il faut aux organisations pour bien se préparer aux changements et le précédent établi par d’autres lois en la matière, il est recommandé que la LPVPC prévoie une période de transition raisonnable eu égard aux précédents facteurs. Cela laisserait le temps aux organisations de se préparer, au Commissariat de donner des directives et des orientations, et au gouvernement de prendre des règlements connexes.

Conservation des renseignements personnels

La LPVPC introduit des exigences de conservation des renseignements personnels qui pourraient poser des défis d’ordre pratique aux organisations (voir également la section Droit au retrait de cet article).

i. Exigences de transparence limitées pendant la conservation

En vertu de l’art. 62(2)e) de la LPVPC, une organisation doit rendre facilement accessible des renseignements expliquant ses politiques et ses pratiques de gestion des renseignements personnels, y compris les « périodes de conservation établies pour les renseignements personnels de nature sensible ». Or, il se peut qu’une organisation soit réticente à l’idée de publier ou diffuser ce type de renseignements, qui est propre à attirer l’attention de cybercriminels sur des entrepôts de données de grande valeur. Elle pourrait également ne pas être en mesure d’indiquer avec précision la période de conservation de renseignements personnels de nature sensible, celle-ci pouvant dépendre d’un certain nombre de critères comme la survenance d’un événement futur et incertain.

Plus généralement, il se peut qu’une organisation ait du mal à définir toutes les catégories de renseignements personnels « de nature sensible », l’expression n’étant pas définie dans la LPVPC et dépendant de divers facteurs contextuels. Par exemple, alors que certaines catégories de renseignements personnels seront presque toujours considérées comme de nature sensible (les renseignements sur la santé, les finances, les origines ethniques et raciales, les opinions politiques, la vie sexuelle ou l’orientation sexuelle et les croyances religieuses ou philosophiques, ainsi que les données génétiques et biométriques) ou fréquemment reconnues comme telles (renseignements personnels de mineurs), d’autres pourraient ne l’être que dans certaines situations. Il est donc raisonnable de s’attendre à ce que les mesures prises par chaque organisation pour respecter cette exigence varient considérablement, car il n’est pas toujours évident de savoir si un renseignement donné est de nature sensible au sens de la LPVPC.

Pour ces raisons, il pourrait être plus à propos d’exiger des organisations qu’elles fournissent une « explication générale » de leurs pratiques de conservation des données sans égard au degré de sensibilité des renseignements. Ceci serait cohérent avec les al. 62(2)b) et c), chacun desquels exigent qu’une organisation rende accessible une « explication générale » de son utilisation de renseignements personnels. De plus, une telle exigence refléterait certaines décisions du Commissariat en vertu de la LPRPDE à l’effet qu’un individu devrait être en mesure d’obtenir de l’information sur la politique générale de conservation d’une organisation sans avoir à déployer d’efforts déraisonnables.

Consentement

La LPVPC apporte d’importants changements aux règles entourant le consentement à la collecte, à l’utilisation et à la communication de renseignements personnels. Elle introduit une exception au consentement pour des « activités d’affaires » déterminées, de même qu’une autre, plus flexible, pour certaines activités de traitement effectuées pour laquelle l’organisation a un « intérêt légitime ». En outre, la LPVPC considère les renseignements personnels de mineurs comme étant de nature sensible sans égard à leur nature ou au contexte de leur traitement. Par conséquent, un consentement explicite pourrait être requis pour tout traitement de renseignements personnels de mineurs, à moins qu’une exception au consentement ne s’applique.

Les entreprises se réjouissent que la LPVPC cherche à mieux équilibrer les intérêts commerciaux légitimes des organisations et le droit des Canadiens au respect de leur vie privée en matière de traitement de renseignements personnels. Cependant, en pratique, certains aspects de ces nouvelles dispositions risquent de donner du fil à retordre aux organisations.

i. Nouvelles exceptions au consentement pour la communication de renseignements personnels

La LPVPC introduit des exceptions au consentement conçues pour faciliter la collecte et l’utilisation de renseignements personnels en vue d’une « activité d’affaires » énoncée au par. 18(2), ou encore d’une « activité dans laquelle [l’organisation] a un intérêt légitime qui l’emporte sur tout effet négatif que la collecte ou l’utilisation peut avoir sur l’individu », aux termes du par. 18(3). Bien qu’on retrouve une formulation semblable dans le RGPD, qui soumet le traitement des renseignements personnels à un régime distinct fondé sur l’intérêt légitime (voir le par. 6(1)f); considérant 47), notons que la LPVPC se distingue de celui-ci sur deux aspects clés.

Premièrement, les exceptions qu’elle prévoit pour les activités d’affaires et l’existence d’un intérêt légitime ne sont que des exceptions à l’exigence générale d’obrenir un consentement. Elles ne constituent pas un régime distinct de traitement des renseignements personnels sur un pied d’égalité avec le consentement. Cette distinction est importante en ce que les tribunaux tendent à interpréter les exceptions au consentement de façon restrictive, ce qui, vraisemblablement, serait le cas de celles prévues dans la LPVPC.

Deuxièmement, ces exceptions se limitent à la collecte et à l’utilisation de renseignements personnels. Autrement dit, la communication de renseignements personnels à un tiers dans le cadre d’une « activité d’affaires » ou d’une « activité dans laquelle l’organisation a un intérêt légitime » ne serait pas permise, malgré les mesures appropriées pouvant être prises pour atténuer le risque de préjudice qu’elle suppose. Par exemple, une organisation pourrait devoir communiquer des renseignements personnels à certains tiers pour « la fourniture d’un produit » ou « la prestation d’un service » demandée par un individu (par.  18(2)a)); pensons aux entreprises de traitement de paiements, aux livreurs de colis, aux institutions financières et aux autres intermédiaires qui facilitent les transactions commerciales. Si certains de ces tiers peuvent se qualifier de fournisseurs de services (et profitent à ce titre d’une autre exception relative au consentement), d’autres pourraient se rapprocher davantage du contrôleur indépendant.

De même, il se peut que dans certains cas, l’exception visant les activités dans lesquelles une organisation a un intérêt légitime donne lieu à une distinction arbitraire entre, d’une part, la collecte et l’utilisation de renseignements personnels, et d’autre part, leur communication. Prenons l’exemple de l’organisation qui recueille et utilise des renseignements personnels pour mesurer l’utilisation de ses services et améliorer l’expérience de ses clients. Cette situation pourrait bien tomber sous le coup de l’exception relative à l’intérêt légitime, pourvu que l’organisation ait un intérêt clair à améliorer ses services qui l’emporte sur tout effet négatif pour les individus visés et qu’elle prenne des mesures appropriées pour évaluer et limiter ces effets (par. 18(4)). Cependant, si cette même organisation communiquait, aux mêmes fins, ces renseignements personnels à un fournisseur tiers qui fournit les services visés en son nom (et possiblement pour d’autres clients commerciaux), cela pourrait ne pas être couvert par l’exception.

Voilà pourquoi il pourrait y avoir lieu de revoir les exceptions au consentement pour les activités d’affaires et celles justifiées par un intérêt légitime pour qu’elles visent également certaines communications de renseignements à des tiers. Ce n’est pas dire, toutefois, que ces communications ne devraient pas faire l’objet de mécanismes de responsabilisation appropriés, par exemple la limitation par contrat de l’utilisation que pourra faire le tiers des renseignements communiqués ou une évaluation préliminaire de l’incidence de la communication sur les intérêts des individus concernés.

ii. Chevauchement entre le consentement implicite et les nouvelles exceptions au consentement

Tel qu’il a été mentionné précédemment, la LPVPC permet aux organisations de recueillir et d’utiliser les renseignements personnels d’un individu, à son insu et sans son consentement, aux fins d’une « activité d’affaires » (au sens des par. 18(1) et (2)) ou lorsqu’elles ont un « intérêt légitime » qui l’emporte sur les effets négatifs potentiels sur l’individu. Toutefois, pour invoquer cette exception, l’organisation doit évaluer et documenter son intérêt légitime (par. 18(3)).

De plus, le par. 15(6) de la LPVPC empêche les organisations de présumer le consentement implicite d’individus pour recueillir et utiliser des renseignements personnels dans ces situations (c.-à-d. lorsqu’on invoque l’exception relative au consentement liée à une « activité d’affaires » ou un « intérêt légitime »). Cette interdiction pourrait être difficile à mettre en pratique pour les organisations, car il pourrait souvent y avoir un chevauchement entre les situations où elles peuvent actuellement recueillir et utiliser des renseignements personnels sur la foi du consentement implicite des individus visés et celles où elles pourraient également avoir un intérêt légitime.

En cas de chevauchement, une organisation devrait pouvoir se fier au consentement implicite, quitte à devoir donner un avis supplémentaire aux individus visés, sans avoir à évaluer leur intérêt légitime.

iii. Les activités de commercialisation sont exclues de l’exception fondée sur l’« intérêt légitime »

À son par. 18(3), la LPVPC soustrait à l’exception fondée sur l’« intérêt légitime » toute situation où les renseignements personnels sont recueillis ou utilisés en vue d’influencer le comportement ou les décisions de l’individu. Bien qu’il ne soit pas facile de savoir quelles activités viseraient à influencer le comportement ou les décisions de quelqu’un, une application stricte de ce critère pourrait mener à l’exclusion d’une vaste gamme d’activités de commercialisation, sans égard au caractère sensible des renseignements ou aux attentes raisonnables des individus.

Il y a lieu de noter que même le RGPD considère la commercialisation directe comme un « intérêt légitime » dans certains cas. Le par. 18(3) pourrait être revu pour préciser que les mots « influencer le comportement ou les décisions de l’individu » font référence soit à des types de pratiques définis (ex., des activités ou des décisions de publicité comportementale qui pourraient avoir un effet considérable sur les individus visés), soit à des pratiques pouvant aller à l’encontre des attentes raisonnables des individus.

iv. Portée limitée de l’exception au consentement fondée sur les « fins socialement bénéfiques »

L’art. 39 de la LPVPC introduit une exception au consentement pour la communication de renseignements personnels dépersonnalisés à des entités publiques déterminées, par exemple une institution gouvernementale, un établissement de soins de santé, un établissement d’enseignement postsecondaire ou une bibliothèque publique située au Canada.

Le fait que cette exception ne s’applique qu’aux communications ayant pour destinataire une entité publique en limite grandement l’utilité. Il pourrait y avoir lieu de revoir l’art. 39 pour autoriser et faciliter la communication légitime de renseignements entre un plus vaste éventail d’acteurs (notamment des organisations du secteur privé) pouvant avoir à portée de main le talent et les ressources nécessaires à la poursuite de fins socialement bénéfiques. Cette révision devrait comprendre l’introduction d’exigences de contrôle et de pratiques de protection des données supplémentaires, par exemple par l’obligation de prévoir des mesures contractuelles particulières et de mener une évaluation des facteurs relatifs à la vie privée avant d’invoquer cette exception au consentement.

v. Renseignements personnels de mineurs et sensibilité des renseignements personnels

Le par. 2(2) de la LPVPC reconnaît les renseignements personnels de mineurs comme sensibles, et le par. 15(5) contraint les organisations à tenir compte de la sensibilité des renseignements pour établir la forme appropriée du consentement. Ces deux dispositions peuvent se lire comme obligeant les organisations à obtenir un consentement exprès du simple fait qu’elles traitent les renseignements personnels de mineurs, ce qui peut être irréaliste dans certains cas et créer des problèmes en pratique. Pensons par exemple à l’organisation qui ne sait pas ou n’a aucun moyen de savoir que les renseignements qu’elle détient concernent des mineurs. Celle-ci pourrait être tenue de recueillir davantage de renseignements personnels de nature sensible afin d’éclaircir la question.

Il serait plus pratique de ne considérer les renseignements personnels de mineurs comme sensibles que lorsqu’une organisation sait ou devrait savoir qu’elle traite avec des mineurs, auquel cas elle aurait à traiter ces renseignements en conséquence.

Droit au retrait

Comme la LPRPDE, la LPVPC donne aux individus le droit d’accéder et de rectifier les renseignements personnels qu’une organisation détient à leur sujet à leur sujet. Elle reconnaît également de nouveaux droits aux individus, notamment le droit au retrait prévu à l’art. 55 qui n’est pas sans soulever certaines inquiétudes.

i. Exception au droit au retrait de renseignements personnels et renseignements de mineurs

Le par. 55(2) de la LPVPC prévoit des exceptions au droit au retrait, dont certaines ne s’appliquent toutefois pas aux renseignements personnels de mineurs. Par exemple, une organisation pourrait devoir faire droit à une demande visant le retrait de renseignements personnels d’un mineur même si cela porte indûment préjudice à l’exactitude ou à l’intégrité de renseignements nécessaires à la fourniture continue d’un produit ou d’un service demandé par l’individu.

Cette exclusion ne devrait s’appliquer que dans certains cas, notamment lorsque la conservation de renseignements pourrait engendrer un risque résiduel pour un mineur (ex., un risque d’atteinte à sa réputation si les renseignements étaient publiés).

ii. Droit au retrait et exceptions supplémentaires pour la gestion des fraudes et les enquêtes sur les fraudes

Le droit au retrait créé à l’art. 55 de la LPVPC devrait également faire l’objet d’une exception pour les renseignements personnels qu’une organisation peut recueillir à l’insu d’un individu et sans son consentement, par exemple à des fins de gestion et d’enquête sur les fraudes. Cela permettrait aux organisations de refuser d’effacer des renseignements personnels qui seraient par ailleurs nécessaires à des besoins commerciaux légitimes, comme la gestion des fraudes ou la tenue d’enquêtes.

Dépersonnalisation, recherche et analyses

La LPVPC vient définir les termes « anonymiser » et « dépersonnaliser », et elle donne plus de latitude quant au traitement de ces catégories de renseignements, notamment à des fins de recherche et d’analyse internes. Toutefois, ces définitions pourraient poser problème aux organisations en pratique. Veuillez noter que le Canadian Anonymization Network a publié une analyse approfondie de ces difficultés dans la publication Proposed amendments to the de-identification and Anonymization provisions in the Digital Charger Implementation Act, 2022 (Bill C-27), qui devrait être lue en parallèle avec la présente section.

i. Une norme absolue pour l’anonymisation pourrait ne pas convenir

Au sens du par. 2(1) de la LPVPC, pour être « anonymisée », une donnée doit être « modifi[ée] définitivement et irréversiblement, conformément aux meilleures pratiques généralement reconnues [...], afin qu’[elle] ne permet[te] pas d’identifier un individu, directement ou indirectement, par quelque moyen que ce soit. » La norme proposée semble être plus sévère que celles d’autres lois sur la protection de la vie privée, notamment la Loi 64. Par exemple, en vertu de la LPRPSP telle qu’amendée, un renseignement personnel est anonymisé « lorsqu’il est en tout temps raisonnable de prévoir dans les circonstances qu’il ne permet plus, de façon irréversible, d’identifier directement ou indirectement cette personne ». La LPVPC devrait prévoir une norme de raisonnabilité qui s’apparente à celle-ci, plutôt que de tenir les organisations à une norme absolue potentiellement impossible à atteindre en pratique.

ii. Les règles sur la réidentification devraient être plus permissives

Bien qu’il importe de préserver la protection accrue de la vie privée que procure la dépersonnalisation, la liste des cas où une organisation est autorisée à réidentifier les renseignements d’individus, prévue à l’art. 75 de la LPVPC, pourrait être trop limitative. En effet, plusieurs situations anodines pourraient contraindre une organisation à réidentifier des données après les avoir dépersonnalisées. Elle pourrait vouloir le faire, par exemple, afin de lutter contre la fraude ou d’enquêter sur une fraude Il y aurait donc lieu de revoir cet article pour permettre la réidentification, avec le consentement de l’individu concerné, ou encore dans les situations où la LPVPC autorise le traitement de renseignements personnels sans consentement.

iii. Utilisation de renseignements dépersonnalisés à des fins de recherche, d’analyse et de développement internes

L’art. 21 de la LPVPC introduit une exception permettant l’utilisation de renseignements dépersonnalisés « à des fins de recherche, d’analyse et de développement internes. » Il permettrait ainsi à une organisation d’utiliser des renseignements personnels pour toute une gamme de fins innovantes, pourvu qu’elle les dépersonnalise d’abord. Limiter l’utilisation des données dépersonnalisées à l’usage interne des organisations pourrait entraver la collaboration et le maintien de relations de recherche. Or, ces dernières sont essentielles : elles permettent aux différents acteurs de se communiquer des jeux de données afin de générer des banques de données suffisamment volumineuses pour permettre d’en extraire des connaissances utiles et pratiques.

Il serait possible de réviser cet article afin d’autoriser l’utilisation et la communication entre organisations de renseignements dépersonnalisés suivant les pratiques exemplaires du secteur en matière de confidentialité, de sécurité des données et sous réserve de restrictions supplémentaires pour protéger adéquatement les individus (comme des mesures contractuelles particulières, ou encore l’exigence de mener une évaluation des facteurs relatifs à la vie privée).

Prise de décision automatisée et intelligence artificielle

En vertu de l’al. 62(2)c) de la LPVPC, l’organisation qui utilise un système décisionnel automatisé devra rendre facilement accessible, dans un langage clair, une explication générale de l’usage qu’elle en fait pour faire des prédictions, formuler des recommandations ou prendre des décisions qui pourraient avoir une incidence importante sur les individus concernés.

i. Définition large de système décisionnel automatisé

Le par. 2(1) de la LPVPC définit le terme « système décisionnel automatisé » comme signifiant « une technologie utilisant des systèmes... afin d’appuyer ou de remplacer le jugement de décideurs humains. » Contrairement au RGPD et à la LPRPSP, pour lesquelles un système décisionnel automatisé est entièrement automatisé, la LPVPC va très loin en englobant dans sa définition le système qui ne fait qu’appuyer le jugement d’un décideur humain. Cela pourrait faire en sorte qu’une organisation doive fournir des renseignements et répondre à des demandes d’individus au sujet d’un bassin potentiellement considérable de décisions quotidiennes prises par des humains avec l’aide de moyens technologiques largement disponibles (systèmes de preuve électronique, logiciels de comptabilité, etc.), dans la mesure où ces décisions ont une incidence importante sur les individus visés. Il y aurait lieu de revoir la définition de système décisionnel automatisé de la LPVPC et de l’harmoniser avec celles d’autres lois sur la protection de la vie privée en en réduisant la portée aux seuls systèmes qui prennent des décisions de façon entièrement automatisée.

ii. Refus de demandes faites de mauvaise foi

Le par. 63(3) de la LPVPC permet à l’individu visé par une décision, une prédiction ou une recommandation d’un système décisionnel automatisé qui a une incidence importante d’obtenir une explication de celle-ci. Or, l’al. 55(2)e) de la LPVPC permet aux organisations de refuser une demande de retrait vexatoire ou entachée de mauvaise foi, droit qui ne s’étend toutefois pas à d’autres types de demandes, notamment les demandes d’explications des décisions automatisées. Il est à noter que le RGPD permet aux organisations de refuser tous les types de demandes qui sont soit manifestement infondées ou excessives, par exemple en raison de leur nature répétitive (voir l’art. 12 du RGPD). Étant donné la quantité de demandes d’accès qu’ont dû traiter les organisations ces dernières années (dont un certain nombre étaient répétitives ou de mauvaise foi) et la possibilité qu’elles reçoivent également de nombreuses demandes d’explications par rapport à leurs systèmes décisionnels automatisés, il y a lieu d’envisager la prévision d’une exception similaire pour ces dernières.

Prochaines étapes

Le projet de loi C-27 étant toujours en deuxième lecture à la Chambre des communes, nous pouvons nous attendre à d’autres développements dans les prochains mois, alors qu’il franchira les étapes du processus législatif. Les organisations peuvent transmettre leurs observations au gouvernement, et les chefs de file de l’industrie seront invités à discuter du projet de loi et à témoigner à son sujet en comité parlementaire.

L’équipe Respect de la vie privée et protection des données de BLG commentera davantage ce projet de loi au fil des prochains mois. Nous tiendrons également des webinaires, préparerons des ressources et publierons des textes portant sur des aspects particuliers de cette réforme.

Nous vous invitons à communiquer avec nous pour discuter des points soulevés dans cet article, ainsi qu’à consulter notre guide détaillé pour un résumé complet des changements envisagés par le projet de loi C-27.

Annexe A

Tableau comparatif de la Loi 64 (Québec) et du projet de loi C-27 (fédéral)

 

Loi 64 (Québec)

Projet de loi C-27 (fédéral)

Prise de décision automatisée

Une organisation devra informer un individu que ses renseignements personnels sont utilisés pour prendre une décision fondée exclusivement sur leur traitement automatisé, au plus tard au moment où elle informe l’individu de cette décision. De plus, l’individu concerné aura le droit d’être informé, à sa demande, des renseignements personnels utilisés pour prendre la décision, de même que des raisons et des principaux facteurs y ayant mené. Il aura également le droit de présenter des observations à un membre du personnel en mesure de réviser la décision (art. 12.1 de la LPRPSP).

Une organisation devra inclure à sa politique sur la protection de la vie privée externe « une explication générale de l’usage qu’elle fait des systèmes décisionnels automatisés pour faire des prédictions, formuler des recommandations ou prendre des décisions qui pourraient avoir une incidence importante sur les individus concernés » (al. 62(2)c) de la LPVPC). De plus, l’individu a droit à des explications sur une la prédiction, la recommandation ou la décision. Ces explications peuvent comprendre de l’information sur les renseignements personnels utilisés pour prendre la décision, la source de cette information et les raisons et facteurs principaux ayant mené à la prédiction, à la recommandation ou à la décision. Il est à noter qu’un « système décisionnel automatisé » est défini comme étant une « [t]echnologie utilisant des systèmes... afin d’appuyer ou de remplacer le jugement de décideurs humains » au moyen de diverses techniques comme l’apprentissage machine et les réseaux neuronaux (par. 2(1) de la LPVPC). Ainsi, cette définition n’est pas forcément limitée aux décisions fondées uniquement sur un traitement automatisé.1

Évaluation des facteurs relatifs à la vie privée (EFVP)

Une organisation devra procéder à une EFVP dans toute une gamme de situations, en particulier lorsqu’un projet comprend l’acquisition, le développement ou la refonte d’un « système d’information ou de prestation électronique de services » impliquant le traitement de renseignements personnels. Notons que l’EFVP doit être proportionnée au risque posé par le projet, compte tenu de la sensibilité des renseignements concernés et de la finalité de leur utilisation, entre autres facteurs (art. 3.3.)

Rien n’impose l’EFVP, cette pratique étant toutefois normalement recommandée par le Commissariat, en particulier lorsque des activités de traitement sont considérées comme portant atteinte à la vie privée. Notons toutefois que l’organisation qui souhaite recueillir ou utiliser des renseignements personnels sans consentement pour une activité menée dans son intérêt légitime devra évaluer cet intérêt (par. 18(3), (4) et (5) de la LPVPC). L’évaluation de l’intérêt légitime porte entre autres sur les risques que pose l’activité et les mesures en place pour les atténuer.

Transferts transfrontaliers et évaluation des incidences d’un transfert

Si des renseignements personnels sont « communiqués » à l’extérieur du Québec à un fournisseur de services ou un autre tiers, l’organisation doit procéder à une évaluation des facteurs relatifs à la vie privée du transfert (également appelée « évaluation des facteurs relatifs au transfert » ou « EFT ») et contracter avec le tiers. L’EFT tient compte de plusieurs facteurs prescrits, comme le régime juridique applicable dans l’État où le renseignement serait communiqué, et vise à établir si le renseignement bénéficierait « d’une protection adéquate, notamment au regard des principes de protection des renseignements personnels généralement reconnus ». Des renseignements ne peuvent être communiqués à l’extérieur du Québec que si l’évaluation indique qu’ils seraient protégés adéquatement et que les parties ont convenu par écrit de dispositions adéquates de protection des données (art. 17 de la LPRPSP). De plus, la personne qui recueille des renseignements personnels doit informer l’individu concerné, au moment de la collecte, que ceux-ci pourraient être communiqués à l’extérieur du Québec (art. 8 de la LPRPSP).

L’EFT n’est pas obligatoire, mais la politique sur la protection de la vie privée externe de l’organisation doit indiquer « le fait qu’elle effectue ou non des transferts ou des communications de renseignements personnels interprovinciaux ou internationaux pouvant avoir des répercussions raisonnablement prévisibles sur la vie privée » (art. 62(2)d) de la LPVPC).

Droit à la portabilité ou à la mobilité des données

Un individu aura le droit d’obtenir communication des renseignements personnels qu’il aura fournis à une organisation « dans un format technologique structuré et couramment utilisé », ainsi que de faire communiquer ceux-ci à toute personne ou à tout organisme autorisé par la loi à recueillir un tel renseignement, à certaines exceptions.1 Ce droit ne s’applique qu’à l’égard de renseignements personnels numériques recueillis de l’individu, et exclut donc l’information créée à partir de ces renseignements ou qui en est déduite (art. 27 de la LPRPSP).

Un individu aura le droit à la mobilité des données. Ce droit est toutefois plus restreint que le droit équivalent dans la législation québécoise. En effet, il ne donne aux individus que le droit de faire transférer les renseignements personnels qu’ils ont fournis à une organisation à une autre organisation dans la mesure où les deux organisations sont assujetties à un « cadre de mobilité des données » (art. 72 de la LPVPC). En d’autres termes, il ne comporte pas le droit de demander une copie des renseignements dans un format particulier. Les règles, paramètres, mesures de sécurité et exceptions entourant ces cadres de mobilité des données seront établis par règlement (art. 123 de la LPVPC).

Droit à l’oubli

Un individu pourra demander que soit désindexé tout hyperlien rattaché à son nom permettant d’accéder à ses renseignements personnels ou qu’une organisation cesse de diffuser ces derniers dans certaines situations, notamment lorsque la diffusion de ces renseignements contrevient à la loi ou à une ordonnance judiciaire ou qu’elle porte gravement atteinte à sa réputation ou à sa vie privée. Dans ce dernier cas, l’organisation devra établir s’il faut ou non faire droit à la demande sur la foi d’un ensemble de conditions et de facteurs (art. 28.1 de la LPRPSP).

On ne prévoit pas de droit particulier de demander le retrait d’hyperliens ou de faire cesser la diffusion de renseignements personnels, mais il y a un droit de demander le retrait de renseignements personnels dans certaines situations (voir ci-dessous).

Droit au retrait

On ne prévoit pas de droit particulier au retrait de renseignements, mais un individu pourra être admis à demander la suppression de renseignements dans une situation lui permettant de demander une rectification, en particulier lorsque le renseignement a été recueilli, communiqué ou conservé de façon illicite (art. 28 de la LPRPSP).

Un individu pourra demander le retrait de renseignements personnels le concernant qui relèvent d’une organisation dans certaines situations, par exemple lorsque ceux-ci ont été recueillis, utilisés ou communiqués de façon illicite, lorsqu’il a retiré son consentement et lorsque les renseignements ne sont plus nécessaires à la fourniture continue du bien ou du service demandé par l’individu. Notons que ce droit fait l’objet d’exceptions (p. ex., lorsque des renseignements doivent être conservés afin de satisfaire à des obligations légales ou contractuelles) (art. 55 de la LPVPC).

Anonymisation

Lorsqu’ils sont anonymisés comme il se doit, les renseignements ne sont plus considérés comme des « renseignements personnels » au sens de la LPRPSP. Cependant, un renseignement n’est anonymisé que lorsqu’il est en tout temps raisonnable de prévoir dans les circonstances qu’il ne permet plus, de façon irréversible, d’identifier directement ou indirectement un individu. L’organisation doit également veiller à anonymiser les renseignements selon les meilleures pratiques généralement reconnues et selon les critères et modalités qui seront déterminés par règlement. De plus, les renseignements qui ne sont plus nécessaires aux fins auxquelles ils ont été recueillis et utilisés ne peuvent être anonymisés qu’à des « fins sérieuses et légitimes » (art. 23 de la LPRPSP).

Lorsqu’ils sont anonymisés comme il se doit, les renseignements ne sont plus considérés comme des « renseignements personnels » au sens de la LPVPC. Cependant, un renseignement n’est anonymisé que s’il est modifié définitivement et irréversiblement, conformément aux meilleures pratiques généralement reconnues, afin de ne pas permettre d’identifier un individu, directement ou indirectement, par quelque moyen que ce soit (par. 2(1) de la LPVPC). Notons qu’à certains égards, cette norme d’anonymisation peut être un peu plus sévère que celle de la LPRPSP.

Nouvelles exceptions en matière de consentement

De nouvelles exceptions au consentement seront prévues pour les activités de traitement suivantes :

  • L’utilisation de renseignements personnels à des fins (autres que philanthropiques ou de prospection commerciale) qui sont compatibles avec celles pour lesquelles ils ont été recueillis (art. 12 par. 2(1) de la LPRPSP);
  • L’utilisation de renseignements personnels pour la fourniture d’un produit ou d’un service demandé par la personne concernée (art. 12 par. 2(4) de la LPRPSP);
  • L’utilisation de renseignements personnels à des fins de prévention et de détection de la fraude ou d’évaluation et d’amélioration de mesures de protection et de sécurité (art. 12 par. 2(3) de la LPRPSP);
  • L’utilisation de renseignements personnels dépersonnalisés à des fins d’étude, de recherche ou de production de statistiques (art. 12 par. 2(5) de la LPRPSP);
  • La communication de renseignements personnels à toute personne ou tout organisme qui souhaite les utiliser à des fins d’étude, de recherche ou de production de statistiques, sous réserve de la réalisation d’une EFVP tenant compte des facteurs prescrits et de la conclusion, avec cette personne ou cet organisme, d’une entente prévoyant des dispositions de protection des données pertinentes (art. 21 à 21.0.2 de la LPRPSP).

De nouvelles exceptions au consentement seront prévues pour les activités de traitement suivantes :

  • La collecte et l’utilisation de renseignements personnels pour des activités d’affaires légitimes, comme la fourniture d’un produit ou d’un service demandé, ou à des fins de sécurité, à certaines conditions (par. 18(1) et (2) de la LPVPC);
  • La collecte et l’utilisation de renseignements personnels pour des activités dans lesquelles l’organisation a un intérêt légitime, à certaines conditions (par. 18(3), (4) et (5) de la LPVPC);
  • L’utilisation de renseignements dépersonnalisés à des fins de recherche, d’analyse et de développement internes (art. 21 de la LPVPC);
  • La communication de renseignements dépersonnalisés à une institution gouvernementale ou à un autre tiers prescrit à des fins socialement bénéfiques (c’est-à-dire liées à la santé, à la fourniture ou l’amélioration de services ou d’infrastructures publics, à la protection de l’environnement ou à toute autre fin réglementaire) (art. 39 de la LPVPC).

Profilage et géolocalisation

L’organisation qui recueille des renseignements personnels en ayant recours à une technologie comprenant des fonctions permettant d’effectuer le profilage d’une personne, de la localiser ou de l’identifier doit informer cette dernière, au moment de la collecte, du recours à cette technologie et des moyens offerts pour activer ces fonctions par elle-même. Elle doit par ailleurs veiller à ce que ces fonctions soient désactivées par défaut, ce qui signifie que l’utilisateur doit signifier positivement son consentement à l’activation de certaines fonctions, par exemple une fonction de profilage ou de localisation (art. 8.1 de la LPRPSP).

Aucune exigence particulière n’est prévue à l’égard de technologies permettant d’effectuer le profilage d’un individu, de le localiser ou de l’identifier. Ces fonctions tombent plutôt sous le coup des règles générales d’avis et de consentement. Autrement dit, le consentement peut être explicite ou implicite selon la sensibilité des renseignements recueillis et les attentes raisonnables de l’individu. Il est à noter que les données de localisation précises (voir p. ex. le Commissariat à la protection de la vie privée du Canada, Conclusions en vertu de la LPRPDE no 2022-001, 1er juin 2022) et les profils multidimensionnels hautement riches et détaillés sont généralement considérés comme des renseignements de nature sensible (voir p. ex. le Commissariat à la protection de la vie privée du Canada, Conclusions en vertu de la LPRPDE no 2015-001, 7 avril 2015, au par. 73), ce qui signifie que le consentement exprès (c’est-à-dire positif) est normalement exigé pour les collectes s’y rapportant.

Paramètres de confidentialité par défaut

L’organisation qui recueille des renseignements personnels au moyen d’un produit ou d’un service technologique offert au public (autrement que par témoin de connexion) et doté de paramètres de confidentialité doit s’assurer que « par défaut, ces paramètres assurent le plus haut niveau de confidentialité » (art. 9.1 de la LPRPSP). On ne sait pas tout à fait quel niveau de confidentialité sera considéré comme le plus élevé par défaut dans une situation donnée, ce terme n’étant pas défini par la loi.

On ne prévoit pas d’exigence particulière quant aux paramètres de confidentialité par défaut. Notons que le Commissariat a déclaré que les paramètres de confidentialité devraient être réglés selon les attentes raisonnables des individus. Voir p. ex. Commissariat à la protection de la vie privée du Canada, Conclusions en vertu de la LPRPDE no 2018-004, 20 juin 2018, au par. 56 : « Le Commissariat a déjà déclaré que lorsqu’une organisation sélectionne à l’avance des paramètres par défaut, ces paramètres doivent correspondre aux attentes raisonnables des utilisateurs, et ces derniers doivent être informés adéquatement des paramètres et des conséquences du choix d’un paramètre plutôt que d’un autre. »

 


1 C’est là l’une des grandes distinctions entre la LPVPC et la LPRPSP. Soulignons que la LPRPSP, contrairement à la LPVPC, prévoit un droit distinct de présenter des observations à un membre du personnel en mesure de réviser la décision.

2 Par exemple, une organisation peut refuser une demande de portabilité des données si celle-ci soulèverait « des difficultés pratiques sérieuses » ou « révélerait vraisemblablement un renseignement personnel sur un tiers ou l’existence d’un tel renseignement et que cette divulgation serait susceptible de nuire sérieusement à ce tiers. » Voir les art. 27, 39 et 40 de la LPRPSP.

Principaux contacts