Parmi les trois nouvelles lois sur la protection des renseignements personnels proposées en vertu du projet de loi (« PL ») C-27, celle qui aura la plus grande incidence sur les organisations qui recueillent et traitent des renseignements personnels est, sans doute, la Loi sur la protection de la vie privée des consommateurs (« LPVPC »). Mais qu'est-ce que cela signifie exactement?

Le présent article est le premier d'une nouvelle série explorant les aspects pratiques de la LPVPC. Dans les prochains articles, nous examinerons les effets potentiels de cette loi et les mesures préparatoires pouvant, dès à présent, être prises par les organisations. Nous traiterons également des sujets controversés risquant d'entraîner des modifications à la LPVPC à mesure que le PL C-27 sera étudié au Parlement.

Contexte

S'il est adopté, le PL C-27, Loi sur la mise en œuvre de la Charte du numérique, pourrait grandement moderniser la loi canadienne en matière de protection de la vie privée. Cette modernisation passerait notamment par l'abrogation de certaines parties de la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE »), lesquelles seraient remplacées par un nouveau cadre juridique reposant sur trois nouvelles lois :

  • La Loi sur la protection de la vie privée des consommateurs (« LPVPC »)
  • La Loi sur le Tribunal de la protection des renseignements personnels et des données (« LTPRPD ») et;
  • La Loi sur l'intelligence artificielle et les données (« LIAD »).

La LPVPC vise à remplacer la partie de la LPRPDE intitulée « Protection des renseignements personnels dans le secteur privé ». La LTPRPD pour sa part, établirait un tribunal administratif chargé d'entendre les appels interjetés à l'encontre de certaines décisions rendues par le Commissaire à la protection de la vie privée du Canada au titre de la LPVPC. La LPVPC imposerait en outre des pénalités aux organisations qui contreviennent à cette loi.

Soulignons que la LIAD contient un nouveau régime de réglementation visant l'utilisation et les échanges en matière de systèmes d'intelligence artificielle. Lisez notre article (en anglais) d'octobre 2022 pour un examen approfondi de ce sujet.

Éléments clés de la Loi sur la protection de la vie privée des consommateurs

La LPVPC propose diverses mises à jour importantes en matière de protection de la vie privée des consommateurs au Canada. Chacune de ces mises à jour est résumée ci-dessous et sera présentée plus en détail dans un prochain article.

  1. Programmes de gestion de la protection de la vie privée

Aux termes de la LPVPC, les organisations seraient tenues de mettre en œuvre et de tenir à jour un programme de gestion de la protection de la vie privée. Un tel programme doit énoncer les politiques, pratiques et procédures qu'emploient les organisations en vue de satisfaire à leurs obligations de conformité en matière de protection de la vie privée.

Les organisations qui adoptent une approche stratégique en ce qui a trait au programme de gestion de la protection de la vie privée seront mieux outillées pour anticiper les risques et plus à même de minimiser leur responsabilité potentielle.

  1. Applications d'exigences en matière de « finalité »

À l'instar de la LPRPDE, la LPVPC exigerait que les organisations recueillent, utilisent et communiquent des renseignements personnels uniquement à des fins acceptables. Toutefois contrairement à la LPRPDE, elle imposerait un ensemble de critères à utiliser afin de déterminer si une finalité est acceptable.

Il sera donc important que les organisations tiennent bien compte de ces critères afin de déterminer ce qui est « acceptable » dans leur contexte spécifique.

  1. Exigences et exceptions relatives au consentement

Poursuivant sur la même lancée que la LPRPDE, la LPVPC impose une série de nouvelles exigences en matière de consentement, prévoyant également des exceptions quant aux exigences de consentement pour des activités commerciales précises.

Rappelons que les organisations doivent en tout temps tenir compte des exigences relatives à l'obtention d'un consentement valide. Elles doivent également déterminer dans quelles circonstances il conviendra d'avoir recours aux nouvelles exceptions.

  1. Protection de la vie privée des enfants

Tandis que cette notion est sous-entendue dans le libellé de la LPRPDE, la LPVPC mentionnerait explicitement que les renseignements personnels des mineurs sont considérés comme étant de nature sensible. Elle imposerait notamment des considérations et exigences additionnelles pour le traitement de tels  renseignements, ainsi que des obligations spécifiques de retrait de ces renseignements aux organisations qui les traitent.

  1. Droits individuels en matière de protection de la vie privée

La LPVPC procurerait aux individus un contrôle accru quant à leurs renseignements personnels. En vertu de la LPRPDE, les individus ont le droit d'accéder à leurs renseignements personnels détenus par des organisations et de les rectifier; ils ont aussi le droit de retirer leur consentement à tout moment. La LPVPC étendrait la portée de ces droits et en procurerait de nouveaux quant à la possibilité de demander le retrait de renseignements personnels et le transfert de ceux-ci entre organisations.

Cette loi prévoit en outre une cause d'action privée contre les organisations contrevenantes. Nous conseillons donc aux organisations de se préparer à l'entrée en vigueur de ces changements et de déterminer comment elles permettront aux individus d'exercer leurs droits.

  1. Dépersonnalisation/anonymisation

En plus de procurer aux individus le droit de faire supprimer leurs renseignements personnels, la LPVPC leur permettrait aussi de les faire « anonymiser », terme soigneusement défini dans cette loi. Notons que les exigences de la LPVPC ne s'appliquent pas aux renseignements anonymisés. Les organisations feront bien d'évaluer leur stratégie d'anonymisation en fonction de la définition fournie dans la LPVPC. Elles doivent également prendre en compte les implications de la LPVPC en ce qui concerne l'utilisation de données anonymisées.

Statut actuel de la Loi sur la protection de la vie privée des consommateurs

Actuellement, le PL C-27 demeure en deuxième lecture à la Chambre des communes et un vote devrait avoir lieu prochainement.

Le 28 novembre 2022, le président de la Chambre des communes s'est prononcé en faveur d'un rappel au Règlement soulevé par l'opposition, selon lequel le vote sur le PL C-27 en seconde lecture devait être divisé en deux. L'opposition affirmait que la LIAD devait faire l'objet d'un vote distinct par rapport à la LPVPC et la LTPRPD.

Il est important de noter que la décision du président ne scinde pas le projet de loi lui-même, mais permet plutôt que deux parties distinctes du projet de loi fassent l'objet de votes séparés. Ainsi, cette mesure permet aux députés de l'opposition de procéder à un examen plus attentif des différents aspects du projet de loi. Elle fait également en sorte que les députés de l'opposition puissent s'opposer à une partie du projet de loi sans devoir voter contre l'ensemble du PL C-27.

Si le projet de loi est adopté en deuxième lecture (soit en intégralité ou en partie, selon le résultat du vote divisé), il sera transmis au Comité permanent de l'industrie et de la technologie pour examen à l'étape de l'étude en comité. Si, par exemple, la LIAD était rejetée en deuxième lecture, le PL C-27 serait réimprimé en omettant la LIAD et serait ensuite renvoyé au comité.

Il est fort à parier que le comité se penchera sur une série d'amendements substantiels correspondant aux différents points soulevés par les membres des partis d'opposition à la Chambre des communes et qu'il étudiera le projet de loi minutieusement.

Pour en savoir davantage sur l'incidence potentielle du PL C-27 pour votre organisation, n'hésitez pas à communiquer avec l'un des membres de notre équipe.