Lois sur la protection de la vie privée au canada : de nouvelles règles pour une nouvelle ère

En quoi consiste le projet de loi C-27?

Le projet de loi (PL) C-27, Loi sur la mise en œuvre de la Charte du numérique, vise à moderniser considérablement la loi canadienne en matière de protection de la vie privée. Cette modernisation passerait notamment par l’abrogation de certaines parties de la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE »), lesquelles seraient remplacées par un nouveau cadre juridique reposant sur trois nouvelles lois :

  • La Loi sur la protection de la vie privée des consommateurs (« LPVPC »)
  • La Loi sur le Tribunal de la protection des renseignements personnels et des données (« LTPRPD »)
  • La Loi sur l’intelligence artificielle et les données (« LIAD »).

La LPVPC vise à remplacer la partie de la LPRPDE intitulée « Protection des renseignements personnels dans le secteur privé ». La LTPRPD, pour sa part, établirait un tribunal administratif chargé d’entendre les appels interjetés à l’encontre de certaines décisions rendues par le Commissaire à la protection de la vie privée du Canada au titre de la LPVPC. La LPVPC imposerait en outre des pénalités aux organisations qui contreviennent à cette loi.

La LIAD, quant à elle, prévoit un nouveau régime de réglementation distinct visant l’utilisation de systèmes d’intelligence artificielle et les échanges en la matière.

Cyber security - Client work - Tech companies

Vous trouverez ci-dessous de plus amples détails sur chacune des mesures législatives proposées.

Loi sur la protection de la vie privée des consommateurs

Parmi les trois lois proposées par le PL C-27, la LPVPC est celle qui changera sans doute le plus radicalement les exigences réglementaires imposées aux organisations du secteur privé.


Qui est touché par cette loi?


À l'instar de la LPRPDE, la LPVPC s'appliquerait aux organisations du secteur privé du Canada qui recueillent, utilisent ou communiquent des renseignements personnels dans le cadre d'activités commerciales, et qui transfèrent des renseignements au-delà des frontières provinciales et nationales.

Les exigences de la LPVPC s'appliqueraient également aux activités d'entreprises sous réglementation fédérale, et notamment aux renseignements personnels de leurs employés.

Par ailleurs, les particuliers devraient également prendre connaissance des nouveaux droits qui leur sont accordés par la LPVPC, notamment en ce qui concerne la portabilité des données et le retrait de leurs renseignements personnels.


Quelle est l'incidence de cette loi?


Voici certains des plus importants changements apportés au cadre fédéral de protection de la vie privée au Canada auxquels on peut s'attendre en vertu de la LPVPC :

  • Programmes de gestion de la protection de la vie privée

    Aux termes de la LPVPC, les organisations seraient tenues de mettre en œuvre et de tenir à jour un programme de gestion de la protection de la vie privée. Un tel programme doit énoncer les politiques, pratiques et procédures qu'emploient les organisations en vue de satisfaire à leurs obligations de conformité en matière de protection de la vie privée.

    Les organisations qui adoptent une approche stratégique en ce qui a trait au programme de gestion de la protection de la vie privée seront mieux outillées pour anticiper les risques et minimiser leur responsabilité potentielle.
     
  • Exigences en matière de « finalité »

    À l'instar de la LPRPDE, la LPVPC exigerait que les organisations recueillent, utilisent et communiquent des renseignements personnels uniquement à des fins acceptables. Toutefois contrairement à la LPRPDE, elle imposerait un ensemble de critères à utiliser afin de déterminer si une finalité est acceptable.

    Il sera donc important que les organisations tiennent bien compte de ces critères afin de déterminer ce qui est « acceptable » dans leur contexte spécifique.
     
  • Exigences et exceptions relatives au consentement

    Poursuivant sur la même lancée que la LPRPDE, la LPVPC impose une série de nouvelles exigences en matière de consentement, prévoyant également des exceptions quant aux exigences de consentement pour des activités commerciales précises.

    Rappelons que les organisations doivent en tout temps tenir compte des exigences relatives à l'obtention d'un consentement valide. Elles doivent également déterminer dans quelles circonstances il conviendra d'avoir recours aux nouvelles exceptions.
     
  • Protection de la vie privée des enfants

    Tandis que cette notion est sous-entendue dans le libellé de la LPRPDE, la LPVPC mentionnerait explicitement que les renseignements personnels des mineurs sont considérés comme étant de nature sensible. Elle imposerait notamment des considérations et exigences additionnelles pour le traitement de tels renseignements, ainsi que des obligations spécifiques de retrait de ces renseignements aux organisations qui les traitent.
     
  • Droits individuels en matière de protection de la vie privée

    La LPVPC procurerait aux individus un contrôle accru quant à leurs renseignements personnels. En vertu de la LPRPDE, les individus ont le droit d'accéder à leurs renseignements personnels détenus par des organisations et de les rectifier; ils ont aussi le droit de retirer leur consentement à tout moment. La LPVPC étendrait la portée de ces droits et en procurerait de nouveaux quant à la possibilité de demander le retrait de renseignements personnels et le transfert de ceux-ci entre organisations.

    Cette loi prévoit en outre une cause d'action privée contre les organisations contrevenantes. Nous conseillons donc aux organisations de se préparer à l'entrée en vigueur de ces changements et de déterminer comment elles permettront aux individus d'exercer leurs droits.
     
  • Dépersonnalisation/anonymisation

    En plus de procurer aux individus le droit de faire supprimer leurs renseignements personnels, la LPVPC leur permettrait aussi de les faire « anonymiser », terme soigneusement défini dans cette loi. Notons que les exigences de la LPVPC ne s'appliquent pas aux renseignements anonymisés. Les organisations feront bien d'évaluer leur stratégie d'anonymisation en fonction de la définition fournie dans la LPVPC. Elles doivent également prendre en compte les implications de la LPVPC en ce qui concerne l'utilisation de données anonymisées.
     
  • Infliction de pénalités plus sévères

La LPVPC confère des pouvoirs élargis au Commissaire à la protection de la vie privée du Canada et prévoit l'infliction de pénalités plus sévères en cas de contravention à la loi, dont :

  • des sanctions administratives pécuniaires d'un maximum de trois pour cent des recettes globales brutes ou de 10 millions de dollars, selon le montant le plus élevé;
  • l'augmentation du montant des amendes pour certaines contraventions graves de la loi : un maximum de cinq pour cent des recettes globales brutes ou 25 millions de dollars, selon le montant le plus élevé;
  • l'attribution au Commissaire à la protection de la vie privée du Canada du pouvoir de procéder à des vérifications et de rendre des ordonnances
  • un droit privé d'action en dommages-intérêts pouvant être invoqué contre une organisation pour les pertes découlant d'une contravention à la LPVPC.

Loi sur le Tribunal de la protection des renseignements personnels et des données

Loi sur l’intelligence artificielle et les données


Soyez au fait et fin prêts!