Loi fédérale sur la protection de la vie privée : le gouvernement fédéral propose des modifications substantielles

Cet article a été rédigé en collaboration avec Naïm Alexandre Antaki.

Le 17 novembre 2020, le gouvernement fédéral a déposé le projet de loi C-11 qui comprend la Loi sur la protection de la vie privée des consommateurs (LPVPC) et la Loi sur le Tribunal de la protection des renseignements personnels et des données (LTPRPD). S'il est adopté, le projet de loi C-11 apporterait des modifications substantielles en matière de protection de la vie privée au Canada, en remplaçant les dispositions relatives aux renseignements personnels dans la loi fédérale actuellement en vigueur sur la protection des renseignements personnels dans le secteur privé, soit la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) par un nouveau cadre juridique. Protéger les renseignements personnels des consommateurs tout en contrebalançant le développement de l'industrie et la poursuite de l'innovation, tel est l'objectif que le gouvernement compte viser avec la nouvelle législation.

Pour atteindre un tel équilibre, plusieurs mesures supplémentaires ont été mises en place pour protéger les consommateurs y compris, notamment, des exigences plus strictes en matière de consentement, des restrictions quant à l'utilisation des renseignements dépersonnalisés et des exigences relatives à la transparence des algorithmes. Toutefois, la LPVPC introduirait également de multiples exceptions portant sur la nécessité du consentement, ce qui pourrait donner une certaine souplesse aux intervenants de l'industrie. Afin d'atteindre un équilibre encore plus stable entre protection des consommateurs et le développement de l'industrie, les dispositions de la LPVPC clarifieraient les responsabilités des fournisseurs de services et introduiraient une plus grande équité procédurale en établissant un Tribunal de la protection des renseignements personnels et des données (Tribunal) devant lequel les intervenants concernés pourraient faire appel des décisions du Commissariat à la protection de la vie privée du Canada (Commissariat). Bien que le Commissariat dispose de plus vastes pouvoirs d'exécution et de prise de décret, ses décisions peuvent être portées en appel, et le Tribunal serait ultimement habilité à imposer des amendes. En outre, la LPVPC permettrait aux organisations de soumettre leurs codes de pratique à l'approbation du Commissariat.

Afin de s'assurer que les intervenants de l'industrie respectent les exigences de la LPVPC, le projet de loi C-11 propose l'imposition de sanctions importantes qui, pour certaines infractions, peuvent atteindre jusqu'à 5 % du revenu global d'une organisation, ou 25 millions de dollars, selon le plus élevé de ces deux montants.

Obligations incombant aux organisations

La LLPVPC conservera des éléments essentiels de la LPRPDE, notamment en déclarant qu'elle a pour objet d'établir un équilibre entre le droit à la vie privée des individus et le besoin des organisations de recueillir, d'utiliser et de communiquer des renseignements personnels « à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances ». La loi nous décrit comme vivant dans « une ère où les données circulent constamment au-delà des frontières et des limites géographiques et [où] une part importante de l'activité économique repose sur l'analyse, la circulation et l'échange de renseignements personnels ». L'objet déclaré de la loi en constituera une disposition interprétative clé; nous nous attendons à ce que le Commissariat, et ultimement le Tribunal, en tiennent compte dans leur interprétation des exigences de la LLPVPC.

Exigences plus strictes en matière de consentement : certaines exceptions s'appliquent

En vertu de la LPVPC, si elle est adoptée telle quelle, une organisation doit obtenir le consentement valide de l'individu concerné avant de recueillir, d'utiliser ou de communiquer ses renseignements personnels. La LPVPC codifiera que l'exigence par défaut est le consentement explicite, sauf si l'organisation est en mesure de démontrer que le consentement implicite est approprié dans les circonstances. Pour que le consentement implicite soit approprié, il faut tenir compte des attentes raisonnables de l'individu et de la nature des renseignements personnels à traiter.

Pour établir que le consentement est valide, la LPVPC adopterait des critères très semblables à ceux présentement mis de l'avant par les Lignes directrices pour l'obtention d'un consentement valable du Commissariat, et exigerait donc que l'information suivante soit présentée en langage clair :

1. les fins consignées par l'organisation quant à la collecte, l'utilisation et la communication des renseignements;
2. la façon dont les renseignements seront recueillis, utilisés ou communiqués;
3. les conséquences raisonnablement prévisibles de la collecte, l'utilisation et la communication des renseignements;
4. les types précis de renseignements personnels qui seront recueillis, utilisés et communiqués;
5. les noms ou catégories de tiers auxquels les renseignements pourraient être communiqués.

La LPVPC recadre les situations dans lesquelles une organisation peut recueillir, utiliser ou communiquer des renseignements personnels sans consentement, en précisant qu'il est possible de le faire lorsque les activités relèvent de l'une des exceptions prévues aux articles 18 à 52.

D'intérêt particulier, mentionnons les exceptions prévues aux articles 18, 19 et 39, qui portent respectivement sur les activités d'affaires, les fournisseurs de services et les fins socialement bénéfiques.

Conformément à la section relative aux activités d'affaires, une organisation est autorisée à recueillir ou utiliser les renseignements personnels d'un individu à son insu ou sans son consentement si une personne raisonnable s'attendrait à une telle collecte ou à une telle utilisation, et si les renseignements sont liés à l'une des catégories d'activités suivantes : 

• les activités nécessaires à la fourniture ou à la livraison d'un produit ou à la prestation d'un service demandé par l'individu à l'organisation;
• les activités menées à des fins de diligence raisonnable pour réduire ou prévenir les risques commerciaux de l'organisation;
• les activités nécessaires à la sécurité de l'information, des systèmes ou des réseaux de l'organisation;
• les activités nécessaires pour assurer la sécurité d'un produit ou d'un service que l'organisation fournit ou livre;
• les activités dans le cadre desquelles il est pratiquement impossible pour l'organisation d'obtenir le consentement de l'individu, en raison de l'absence de lien direct avec celui-ci;
• toute autre activité réglementaire.

Il est important de souligner que ces exceptions ne s'appliquent pas lorsque les renseignements personnels sont recueillis ou utilisés afin d'influencer le comportement ou les décisions d'un individu. Par conséquent, l'utilisation de renseignements personnels à des fins de publicité et de profilage demeure assujettie à l'exigence en matière de consentement. Par ailleurs, plusieurs des exceptions sont nuancées par la notion de « nécessité ». Les organisations cherchant à s'en prévaloir devront donc examiner attentivement quels renseignements sont réellement « nécessaires » pour l'atteinte des fins consignées, par opposition aux renseignements qui sont simplement « raisonnables » ou « utiles ».

La LPVPC clarifie le rôle des fournisseurs de services, précisant qu'une organisation peut transférer des renseignements personnels à un fournisseur de services à l'insu de l'individu concerné ou sans son consentement. En outre, les fournisseurs de services sont expressément tenus de respecter les dispositions de la LPVPC relatives à la sécurité, mais ne sont pas responsables du respect des dispositions relatives au consentement, à condition qu'ils agissent strictement à titre de fournisseurs de services. Advenant qu'un fournisseur de services traite les renseignements à des fins autres que celles pour lesquelles ils lui ont été fournis, il sera assujetti à toutes les exigences de la LPPC. Les organisations seraient tenues de veiller à ce que leurs fournisseurs de services traitent les renseignements personnels avec un degré de protection essentiellement identique à celui qu'elles appliquent elles-mêmes.

Une question non résolue quant aux fournisseurs de service est de savoir si le traitement des données personnelles pour produire des renseignements dépersonnalisés (activité dorénavant explicitement assujettie à la LPVPC) sera considéré comme une « utilisation » par le fournisseur de services. Le cas échéant, le champ d'application de l'exception accordée au fournisseur de services serait-il dépassé et déclencherait-il donc une exigence de consentement pour le transfert original? Cela pourrait avoir de graves conséquences indésirables quant à l'utilisation des données par les fournisseurs de services qui se donnent souvent le droit de dépersonnaliser et d'utiliser des renseignements à des fins de développement, tel que déterminé par eux dans leurs contrats.

L'autre exception à laquelle il vaut la peine de s'attarder est le fait qu'une organisation peut divulguer des renseignements sans le consentement de l'individu ou à son insu, si ces derniers sont dépersonnalisés et que la divulgation est faite à une institution gouvernementale, à un établissement de soins de santé, à une bibliothèque publique, à un établissement d'enseignement ou à toute autre institution réglementaire à une fin socialement bénéfique.

Cependant, comme c'est le cas dans la plupart de telles règles, il existe une exception à celles touchant au consentement. En effet, aux termes de l'article 52, une organisation ne peut pas recueillir l'adresse électronique d'individus à l'aide d'un programme d'ordinateur à leur insu ou sans leur consentement. Ceci s'inscrit dans la lignée de la restriction actuelle d'utiliser des « logiciels de collecte d'adresses » pour recueillir des adresses électroniques à l'insu de leurs propriétaires.

À l'instar de la LPRPDE, un autre aspect touchant au consentement est celui lié à la capacité de le révoquer. Le projet de loi C-11 étend les droits des individus en ce qui a trait à leurs renseignements personnels. Un individu peut demander ses renseignements personnels à une organisation qui les contrôle, et peut également demander à cette dernière de les supprimer (la LPRPDE contenait un droit de retrait, mais non de suppression, ce qui peut s'avérer difficile à mettre en pratique pour les organisations). La LPVPC propose un droit de mobilité des données permettant à un individu de demander à une organisation de transférer ses renseignements personnels à une autre. En outre, sous réserve de certaines limitations, un individu peut aussi retirer son consentement.

Limites aux utilisations de renseignements dépersonnalisés

Autre détail intéressant, voire préoccupant, la LPVPC limiterait la manière dont les organisations peuvent utiliser des informations dépersonnalisées sans consentement explicite. Premièrement, en donnant expressément aux organisations le droit de dépersonnaliser les renseignements sans consentement, la LPVPC résout un débat souvent présent dans le cadre des lois sur la vie privée, à savoir si l'« utilisation » de renseignements personnels pour générer des renseignements dépersonnalisés est elle-même une « utilisation » qui requiert le consentement de l'individu. Toutefois, la LPVPC semble ensuite assujettir implicitement les données « dépersonnalisées » aux exigences de la Loi, étant donné que la LPVPC semble prendre pour acquis qu'à moins d'une exception, l'utilisation et la divulgation de données dépersonnalisées requièrent le consentement. Ceci semble implicitement le cas lorsque l'on considère que la LPVPC propose certaines « exceptions » permettant l'utilisation et la divulgation de données dépersonnalisées sans le consentement du propriétaire, y compris l'exception à l'obtention du consentement pour l'utilisation et la divulgation de données dépersonnalisées à des fins de recherche interne, ou encore pour une transaction commerciale éventuelle ou effectuée (il est à d'ailleurs à noter que la LPRPDE permet l'utilisation de données identifiables dans ce contexte; ainsi, l'exception pour les transactions commerciales éventuelles aux termes de la LPVPC est plus circonscrite).

Deuxièmement, il existe également une exception à l'obtention du consentement pour la divulgation de données dépersonnalisées, mais elle est très restreinte et ne permet essentiellement la divulgation qu'à certaines institutions publiques à des fins socialement bénéfiques. La question se pose ici aussi, à savoir si le consentement est requis pour d'autres utilisations des renseignements dépersonnalisés, plutôt que de considérer de tels renseignements comme n'étant simplement pas des renseignements personnels. Cela semble en contradiction avec la structure même des définitions de la LPVPC. En effet, si les renseignements sont véritablement dépersonnalisés de telle sorte qu'ils ne permettent pas « d'identifier un individu » et « ne puissent, dans des circonstances raisonnablement prévisibles, être utilisés, seuls ou en combinaison avec d'autres renseignements, pour identifier un individu », quels droits à la vie privée sont véritablement protégés? La LPVPC ne traite pas de la question de savoir si la Loi accepte que les renseignements personnels puissent être « dépersonnalisés » et donc soustraits de son champ d'application, et ne traite pas non plus de l'utilisation ou de la divulgation de données « regroupées ». La LPVPC mettrait également en œuvre une mesure de proportionnalité qui limiterait davantage toute utilisation de renseignements dépersonnalisés. Toute mesure technique ou administrative appliquée pour dépersonnaliser les données doit être proportionnelle à la sensibilité de ces dernières et à l'objectif de l'organisation qui les collecte.

Enfin, la LPVPC interdirait à une organisation d'utiliser des renseignements dépersonnalisés pour tenter d'identifier un individu. Curieusement, telle qu'elle est rédigée, cette disposition n'envisage pas certains cas où la réidentification peut être nécessaire ou faite avec le consentement de l'individu, et ne précise pas comment obtenir ledit consentement, sans identifier l'individu au préalable. Par exemple, une réidentification peut être nécessaire pour la recherche. En outre, si le consentement est vraiment nécessaire pour traiter des données dépersonnalisées à des fins autres que celles qui sont énoncées dans la LPVPC comme étant dispensées d'une telle exigence, comment une personne pourrait-elle retirer son consentement, sans associer la personne qui fait la demande aux données dépersonnalisées en question? Ceux qui enfreignent cette interdiction risquent de se voir imposer la plus élevée de deux sanctions : soit 5 % de leurs recettes mondiales ou 25 millions de dollars, selon le plus élevé de ces deux montants.

Transparence algorithmique

Le projet de loi C-11 introduit de nouvelles mesures relatives aux algorithmes qui recueillent et utilisent des renseignements pour faire une prédiction, formuler une recommandation ou prendre une décision. En vertu de l'article 62 proposé, les organisations doivent fournir aux consommateurs, dans un langage clair, des renseignements sur les politiques et les pratiques qu'elles ont mises en place afin de respecter les obligations qui leur incombent sous le régime de la présente loi, y compris en ce qui a trait aux « systèmes décisionnels automatisés ».

Pour se conformer au projet de loi C-11, l'organisation doit rendre accessibles les renseignements suivants :  

• la description du type de renseignements personnels qui relèvent d'elle;
• une explication générale de l'usage auquel les renseignements personnels sont destinés, y compris la façon dont l'organisation applique les exceptions à l'obligation d'obtenir le consentement d'un individu prévues à la présente loi;
• une explication générale de l'usage qu'elle fait des systèmes décisionnels automatisés pour faire des prédictions, formuler des recommandations ou prendre des décisions qui pourraient avoir une incidence importante sur les individus concernés;
• le fait qu'elle effectue ou non des transferts ou des communications de renseignements personnels interprovinciaux ou internationaux pouvant avoir des répercussions raisonnablement prévisibles sur la vie privée;
• la manière de présenter une demande de retrait de renseignements personnels ou une demande d'accès aux renseignements personnels; et
• les coordonnées d'affaires de l'individu à qui les demandes de renseignements et les plaintes peuvent être acheminées.

À la demande d'un individu, l'organisation aurait à fournir une explication de l'usage qu'elle fait de tout système décisionnel automatisé qui utiliserait des renseignements personnels pour faire une prédiction, formuler une recommandation ou prendre une décision, ainsi qu'une explication de la prédiction, de la recommandation ou de la décision.

Le Commissaire peut approuver le code de pratique d'une organisation

Le gouvernement a affirmé que l'un de ses objectifs était d'aider les organisations à comprendre leurs obligations en vertu de la législation proposée. Les organisations peuvent donc rédiger un « code de pratique », qui doit offrir une protection équivalente ou supérieure à celle prévue par le projet de loi C-11, et demander au Commissaire de l'approuver. S'il conclut que le code est conforme aux critères prévus par règlement (qui n'a pas encore été publié), il donnera son approbation. Toutefois, l'adoption d'un tel code ne dispense pas l'organisation de se conformer à la Loi dans son ensemble.

Application de la loi

La LPVPC renforcerait les mécanismes d'application dont dispose actuellement le Commissaire en vertu de la LPRPDE.

Le pouvoir d'ordonnance du commissaire a une valeur exécutoire comparable à celle d'une ordonnance de la Cour fédérale

Le Commissaire peut désormais rendre des ordonnances pour assurer le respect de la Loi ou pour interdire une pratique y contrevenant, y compris ordonner à une organisation de rendre publique toute action prise pour corriger une pratique allant à l'encontre de la législation proposée. Si l'organisation n'interjette pas appel de l'ordonnance, ou si le Tribunal rejette l'appel, l'ordonnance du Commissaire possède la même valeur exécutoire qu'une ordonnance rendue par la Cour fédérale. Il s'agit d'un pouvoir beaucoup plus important que celui dont dispose actuellement le Commissaire en vertu de la LPRPDE.

Si le Commissaire conclut qu'une organisation a enfreint la loi, l'individu touché a alors une cause d'action en dommages-intérêts contre cette organisation.

Nouveau tribunal pouvant rendre des ordonnances et infliger des pénalités

Le projet de loi C-11 prévoit la constitution du Tribunal de la protection des renseignements personnels et des données, qui sera composé de six membres, dont au moins un possédant de l'expérience dans le domaine du droit à l'information et à la protection des renseignements personnels. En vertu de la législation proposée, le Tribunal aurait le pouvoir d'entendre les appels des ordonnances rendues par le Commissaire. Après avoir entendu l'appel, le Tribunal peut le rejeter, substituer ses propres ordonnances à celles du Commissaire ou imposer des pénalités (pour lesquelles le Commissaire peut formuler des recommandations). Le droit d'appel prévu par le projet de loi C-11 représentera sans doute une nette amélioration de l'équité procédurale offerte dans le cadre du processus d'application actuel de la LPRPDE, même s'il est possible que des pénalités beaucoup plus élevées et des ordonnances de conformité exécutoires soient imposées. 

Pénalités accrues en cas de non-respect

Si, après enquête, le Commissaire conclut qu'une organisation a enfreint certains articles de la Loi, il peut recommander au Tribunal de lui imposer une pénalité. Le Tribunal peut procéder de la sorte si :

• le Commissaire le recommande ou si le Tribunal substitue sa propre décision dans le cadre d'un appel;
• l'organisation et le Commissaire sont en mesure de présenter des observations; 
• le Tribunal décide qu'il est indiqué d'imposer une pénalité en fonction de ses propres conclusions ou de celles du Commissaire.

Si le Commissaire conclut qu'il y a eu une violation administrative, les amendes peuvent aller jusqu'à 3 % des recettes globales brutes de l'organisation, ou 10 millions de dollars, selon le montant le plus élevé. Pour ce qui est des infractions plus graves expressément désignées, une pénalité maximale de 5 % des recettes mondiales brutes de l'organisation, ou 25 millions de dollars, peut être imposée.

Prochaines étapes et autres enjeux

Ce projet de loi vient tout juste d'être présenté et n'en est qu'à sa première lecture. Il y aura sans doute davantage de discussions et, éventuellement, certaines modifications au fur et à mesure qu'il sera étudié en commission et soumis à une troisième lecture à la Chambre des communes et au Sénat. Toutefois, de grands changements se dessinent manifestement dans le paysage de la protection de la vie privée au Canada.

Soulignons que le Québec a récemment proposé une réforme substantielle de sa législation sur la protection de la vie privée en présentant le projet de loi 64. À l'heure actuelle, les exigences du projet de loi 64 ne sont pas équivalentes à celles du projet de loi C-11 du gouvernement fédéral, ce qui pourrait poser des problèmes de conformité aux organisations nationales si les deux projets de loi venaient à être adoptés sous la forme proposée. À l'instar de la LPRPDE, la LPVPC prévoit des décrets soustrayant les organisations soumises à une loi provinciale « essentiellement semblable » sur la protection de la vie privée à son application en ce qui concerne leurs activités dans cette province. Pour le moment, seules les lois sur la protection de la vie privée de l'Alberta et de la Colombie-Britannique ont été déclarées « essentiellement similaires » à la LPRPDE. Cependant, il est difficile de savoir si elles seront également considérées comme étant « essentiellement similaires » à la LPVPC (la nomenclature proposée en français ayant changé relativement à la LPRPDE), notamment en raison de la mesure dans laquelle la LPVPC diffère de la LPRPDE. 

Si le projet de loi C-11 est adopté, il entrera en vigueur à une date fixée par le gouverneur en conseil.