Protection des renseignements personnels : le cadre de protection de la vie privée du Canada
« essentiellement équivalent » à celui de l'UE, selon la Commission européenne

Récemment, la Commission du Parlement européen et le Conseil (« Commission européenne ») a déclaré que le niveau de protection que confère la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE ») du Canada aux données personnelles transférées depuis l'Union européenne (« UE ») était adéquat.

Un réexamen complet des cadres de protection des données à l'échelle mondiale

La Commission européenne a publié un rapport[1] (en anglais) et un document de travail du personnel de la Commission[2] (en anglais) dans lesquels elle y fait le premier réexamen des décisions d'adéquation rendues pour le Canada, Andorre, l'Argentine, les îles Féroé, Guernesey, l'île de Man, Israël, Jersey, la Nouvelle-Zélande, la Suisse et l'Uruguay (« réexamen »).  

Dans le cadre de ce réexamen, la Commission européenne évalue les cadres actuels de protection des données de ces onze pays et territoires, ainsi que les règlements qui régissent l'accès des gouvernements aux données, en particulier à des fins d'application de la loi et de sécurité nationale.

Il s'agit de la première évaluation complète de ces décisions d'adéquation depuis qu'elles ont été initialement rendues (certaines remontent à plus de 20 ans). Elle explore les changements intervenus dans les cadres juridiques, les mécanismes de surveillance et les systèmes d'application depuis leur adoption. Dans son rapport, la Commission européenne a rendu sa décision d'adéquation quant au niveau de protection adéquat des données personnelles prévu par la LPRPDE en 2001 (« décision d'adéquation »).

L'adoption du Règlement général sur la protection des données[3] (« RGPD ») en 2016 ainsi que les précisions apportées par la jurisprudence des tribunaux européens et des autorités adjudicatives ont fait évoluer le domaine de la protection des données dans l'UE. Le cadre canadien de protection de la vie privée a lui aussi été modifié au fil des années au moyen d'amendements législatifs, de la jurisprudence et des directives du Commissariat à la protection de la vie privée du Canada (« CPVP »).

Par ailleurs, une nouvelle réforme législative se dessine à l'heure actuelle avec l'introduction par le gouvernement fédéral du projet de loi C-27 : Loi de 2022 sur la mise en œuvre de la Charte du numérique[4] (« PL C-27 ») en juin 2022. Ce dernier devrait remplacer la LPRPDE et viendra modifier et moderniser davantage le cadre législatif canadien en matière de protection de la vie privée. Cette future réforme législative, qui pourrait encore renforcer les mesures de protection considérées dans la décision d'adéquation, a été prise en compte dans le cadre du réexamen.

Pour plus d'information sur le PL C-27, consultez le résumé de Gowling WLG : « Projet de loi C-27 : le Canada remanie la législation fédérale sur la protection des renseignements personnels et propose une nouvelle loi sur l'IA » et « Comment se préparer à l'adoption de la Loi sur la protection de la vie privée des consommateurs : les grandes lignes ».

Le cadre canadien de protection de la vie privée demeure adéquat

La décision d'adéquation reconnaît que le cadre de protection de la vie privée de la LPRPDE assure un niveau de protection essentiellement équivalent à celui de l'UE.

Dans son réexamen, la Commission européenne souligne que les principes de protection des données énoncés dans la LPRPDE, qui concordent étroitement avec les règles de protection des données de l'UE, n'ont pas changé depuis l'adoption initiale de la décision d'adéquation. Parmi ces principes, on compte : la détermination des fins de la collecte de données, la limitation de la collecte à ces fins, l'exactitude des données recueillies, la minimisation des données, la conservation des données, les mesures de sécurité, la responsabilité et la transparence. Le réexamen considère les développements suivants du cadre de la LPRPDE depuis l'adoption de la décision d'adéquation :

1. Les mises à jour législatives apportées à la LPRPDE, notamment l'ajout de conditions et d'exceptions en matière de consentement et d'un avis obligatoire en cas de violation de données, là où un risque réel de préjudice existe.
2. Les décisions et les orientations du CPVP, qui ont permis d'éclaircir certaines exigences législatives, comme la clarification de la définition des renseignements personnels et l'obligation d'aviser les personnes concernées du transfert international de données personnelles, entre autres.

La Commission européenne s'intéressait également à la façon dont les organismes publics, les entités gouvernementales et les entités publiques peuvent obtenir des renseignements personnels traités par des organisations assujetties à la LPRPDE. Par exemple, les autorités publiques sont en mesure d'accéder à des données personnelles et de les utiliser à des fins liées à l'application du droit pénal et à la sécurité nationale, ou à d'autres fins d'intérêt public.

Au Canada, le cadre juridique comporte plusieurs sources qui imposent des limites aux autorités publiques en ce qui concerne l'accès et l'utilisation des données, notamment la Constitution canadienne (dont fait partie la Charte canadienne des droits et libertés), la jurisprudence et les lois régissant l'accès aux données ainsi que la réglementation en matière de protection des données (par exemple, la loi fédérale sur la protection des renseignements personnels[5] et les lois provinciales équivalentes). En outre, les autorités publiques, telles que les agences chargées de l'application du droit pénal et de la sécurité nationale, sont contrôlées par le système juridique canadien, lequel offre également des possibilités de recours aux particuliers. Notons par ailleurs que la Loi sur les renseignements personnels a étendu le droit d'accès à des renseignements personnels et de les rectifier à tous les individus, peu importe leur citoyenneté/nationalité, ou leur lieu de résidence[6].

La Commission européenne a conclu que la LPRPDE offre toujours un niveau de protection adéquat aux données personnelles transférées depuis l'UE vers des organisations assujetties à la LPRPDE. Ces transferts peuvent donc continuer d'avoir lieu sans être soumis à des exigences supplémentaires. Cette conclusion représente un progrès notable dans le domaine des transferts internationaux de données.

Des circonstances inexplorées

Si le réexamen reconnaît la résolution du Canada à protéger les données et la vie privée, il ne tient malheureusement pas compte des réformes importantes menées au Québec en la matière. La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels[7] du Québec, récemment modifiée par la Loi visant à moderniser les dispositions législatives en matière de protection des renseignements personnels[8] (« Loi 25 »), est en effet entrée en vigueur le 22 septembre 2022.

La Loi 25 a introduit des changements considérables pour les entreprises du Québec quant aux cadres de protection des renseignements personnels, se positionnant ainsi comme la loi la plus stricte en la matière au Canada. Considérée comme essentiellement semblable à la LPRPDE, elle reprend notamment les 10 principes de traitement de l'information sur lesquels se fonde cette dernière. Elle comporte également des concepts similaires à ceux du RGPD, dont de nouveaux droits pour les individus : le droit d'exiger la cessation de la diffusion ou la désindexation et le droit à la portabilité des données. À l'instar du RGPD, les sanctions en cas de non-conformité à la Loi 25 sont sévères et sans précédent au Canada.

La décision d'adéquation confirme que les transferts de données depuis l'UE vers des organisations assujetties à la LPRPDE peuvent avoir lieu sans être soumis à des exigences supplémentaires. Il est important de noter que la décision ne s'applique pas aux transferts de données de l'UE vers le Québec, bien que de nombreuses organisations soumises à la Loi 25 soient également soumises à la LPRPDE si elles transfèrent des données au-delà des frontières canadiennes ou à l'échelle internationale. Dans un contexte où la protection des données constitue une préoccupation mondiale, la nécessité d'harmoniser et de reconnaître les nuances régionales s'avère cruciale.

Les points à retenir

À l'ère de la numérisation de la société et de la mondialisation de l'économie, les acteurs commerciaux ont une priorité absolue : la protection des renseignements personnels. C'est pourquoi les décisions d'adéquation revêtent une importance grandissante pour faciliter la coopération commerciale. Elles favorisent la libre circulation des données au sein de 30 économies de l'UE et d'autres territoires dans le monde, en plus de promouvoir la collaboration entre partenaires internationaux qui partagent une même vision.

Comme il est mentionné dans le réexamen, « l'adoption d'une décision d'adéquation n'est pas le résultat final »[9] [traduction]. Il reste à voir la mesure dans laquelle le projet de loi C-27 renforcera la protection des données au Canada et entraînera une révision des conclusions de la décision d'adéquation.