Auteurs(trice)
Associé, Respect de la vie privée et gestion de l'information, Toronto
Associé, Technologie, Toronto
Au cours de la dernière année, les réformes législatives ont été le principal point de convergence dans le domaine très dynamique de la protection de la vie privée au Canada. Les provinces du Québec et de la Colombie-Britannique ont adopté des modifications législatives, tandis que d’autres territoires canadiens ont également été actifs dans leurs efforts de réforme législative. La nouvelle loi sur la protection de la vie privée du Québec – et la modification probable des régimes de protection de la privée dans le secteur privé, de niveaux fédéral et provincial – exposera les entreprises de tout le Canada à de lourdes pénalités financières, à un risque accru de litiges et à des coûts de conformité substantiels. Il est plus important que jamais pour les entreprises de bien analyser leurs pratiques en matière de protection des renseignements personnels ainsi que leurs obligations relatives à la protection de la vie privée, afin de cerner les risques accrus en matière de protection des renseignements personnels, de droit, et d’atteinte à la réputation découlant de la collecte, de l’utilisation, de la communication ou de tout autre traitement de renseignements personnels, et d’atténuer ces risques.
Voici les changements législatifs susceptibles d’être adoptés dans le domaine de la protection de la vie privée.
Québec : le Projet de loi 64 remanie la première loi sur la protection de la vie privée dans le secteur privé à avoir été adoptée au Canada
L’évolution législative la plus importante dans ce domaine a eu lieu au Québec. Le Projet de loi 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels a reçu la sanction royale le 22 septembre 2021, après son dépôt à l’Assemblée nationale du Québec le 12 juin 2020 et des amendements subséquents apportés à celui-ci par la Commission des institutions. Le projet de loi modifie radicalement le régime actuel de protection de la vie privée au Québec (la Loi sur la protection des renseignements personnels dans le secteur privé), qui a été la première loi du genre, au Canada, adoptée en 1994.
L’un des ajouts les plus notables à cette loi du Québec est la création, en vertu du Projet de loi 64, de nouvelles mesures d’application. Dans les deux ans suivant la promulgation du Projet de loi 64, le non-respect de la loi québécoise sur la protection des renseignements personnels peut exposer les organisations à des amendes pouvant atteindre le plus élevé des montants suivants : 25 millions de dollars ou un montant correspondant à 4 % de son chiffre d’affaires mondial de l’exercice précédent. Les organisations peuvent également être exposées à des sanctions administratives pécuniaires pouvant atteindre le plus élevé des montants suivants : 10 millions de dollars ou un montant correspondant à 2 % de son chiffre d’affaires mondial de l’exercice précédent.
Les organisations devront également engager des frais supplémentaires pour mettre en place de nouvelles mesures opérationnelles afin de se conformer aux exigences accrues du Projet de loi 64. Voici les principaux changements introduits par ce projet de loi :
- Gestion des données : les organisations devront établir un ensemble de politiques internes relatives au cycle de vie des renseignements personnels dont elles ont la garde et sur lesquels elles exercent un contrôle.
- Traitement des renseignements personnels : les organisations seront tenues de procéder à des évaluations des facteurs relatifs à la vie privée dans le cadre de tout projet comportant l’acquisition, la mise au point ou la refonte d’un système d’information ou d’un système de prestation de services électroniques impliquant le traitement de renseignements personnels.
- Exigences plus strictes en matière de consentement : le Projet de loi 64 renforce les exigences en matière de consentement et crée de nouvelles exceptions connexes en ce qui concerne le traitement des renseignements personnels. Les organisations devront examiner toutes leurs pratiques relatives à la collecte, à l’utilisation et à la communication de renseignements personnels, améliorer leurs avis en matière de consentement, établir des pratiques de gestion des consentements ou les améliorer et assurer de toute autre manière le traitement des renseignements personnels conformément à la loi.
- Restrictions relatives à la localisation des données : les organisations devront répertorier toutes les communications et tous les transferts transfrontaliers (y compris les transferts de renseignements personnels vers d’autres provinces canadiennes) et effectuer une évaluation des facteurs relatifs à la vie privée avant de communiquer des renseignements personnels à l’extérieur du Québec, afin de s’assurer que ces renseignements sont adéquatement protégés dans les territoires concernés. Le Projet de loi 64 interdit aux organisations de transférer ou de communiquer des renseignements personnels à l’extérieur de la province de Québec s’ils ne sont pas adéquatement protégés, comme l’exigent les « principes de protection des renseignements personnels généralement reconnus ».
- Avis d’atteinte aux mesures de sécurité : Les organisations devront revoir et améliorer leurs protocoles d’intervention afin de les rendre conformes aux exigences relatives aux avis d’atteinte aux mesures de sécurité.
- Confidentialité par défaut : en vertu de cette nouvelle exigence, les organisations doivent « assurer, par défaut, le plus haut niveau de confidentialité » des produits et services offerts au public.
- Recours aux technologies pour la collecte de renseignements personnels : les organisations qui recueillent des renseignements personnels auprès des particuliers, au moyen de technologies qui permettent d’établir l’identité de ceux-ci, de les localiser ou de les profiler, doivent préalablement en informer les particuliers et leur indiquer la façon d’activer ces fonctions.
Le Projet de loi 64 accorde également aux particuliers du Québec plusieurs nouveaux droits en ce qui concerne les données, y compris celui d’exiger le retrait de renseignements personnels et le transfert de tels renseignements ainsi que certains droits en matière de transparence et de décisions automatisées.
L’entrée en vigueur du Projet de loi 64 est échelonnée sur les trois prochaines années, mais la plupart de ses dispositions (y compris les sanctions pécuniaires, les dommages-intérêts et les nouvelles exigences substantielles) entreront en vigueur le 22 septembre 2023.
Gouvernement fédéral : la réforme de la protection de la vie privée continue d’être une priorité
La Loi de 2020 sur la mise en œuvre de la Charte du numérique (LMCN ou Projet de loi C-11) du gouvernement fédéral est morte au feuilleton au moment du déclenchement des élections fédérales le 15 août 2021. Déposé le 17 novembre 2020, le projet de loi visait à moderniser la législation fédérale actuelle du Canada sur la protection de la vie privée dans le secteur privé, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), en s’inspirant des principes établis dans la Charte numérique du Canada. L’adoption du projet de loi aurait permis de promulguer deux nouvelles lois, la Loi sur la protection de la vie privée des consommateurs (LPVPC) et la Loi sur le Tribunal de la protection des renseignements personnels et des données (LTPRPC).
La réforme législative en matière de protection de la vie privée continue, apparemment, d’être une priorité pour le gouvernement libéral, mais on ne sait pas quand ce nouveau projet de loi remplaçant la LPRPDE sera déposé devant le Parlement. De nombreux observateurs s’attendent à ce que ce projet de loi soit une version légèrement révisée du Projet de loi C-11 et qu’il soit déposé d’ici le printemps 2022.
Par le biais de la LPVPC, le gouvernement fédéral a cherché à introduire d’importantes réformes à la LPRPDE. Il s’agissait notamment d’établir un nouveau régime d’application assorti d’importantes sanctions administratives pécuniaires (jusqu’à 5 % du revenu mondial brut de l’organisation ou 25 millions de dollars canadiens, selon le montant le plus élevé). En outre, la LPVPC aurait créé un droit d’action privé à l’égard des pertes ou du préjudice découlant de violations de la LPVPC, et aurait donné au Commissariat à la protection de la vie privée (CPVP) du Canada le pouvoir de rendre des ordonnances. Entre-temps, la LTPRPC a créé un Tribunal de la protection des renseignements personnels et des données devant lequel il serait possible de faire appel des décisions, des ordonnances et des recommandations du CPVP.
Parmi les autres éléments clés de la LPVPC, mentionnons les exigences relatives aux programmes internes de gestion des renseignements personnels, les exigences renforcées en matière de consentement, les obligations accrues de transparence prescrites par la loi et les nouveaux droits des personnes concernées, notamment les droits de « retrait » de renseignements personnels et le droit relatif à la « mobilité » (la portabilité) des données.
Ontario : poursuite des efforts visant à élaborer une loi sur la protection de la vie privée dans le secteur privé
En 2021, le gouvernement de l’Ontario a poursuivi ses efforts pour élaborer une loi provinciale sur la protection de la vie privée dans le secteur privé. À la suite des consultations menées en 2020, le ministère des Services gouvernementaux et des Services aux consommateurs de l’Ontario a lancé, le 17 juin 2021, une deuxième consultation et publié un livre blanc exposant ses objectifs et dévoilant les dispositions qu’il propose.
La province de l’Ontario envisage d’accroître les pouvoirs réglementaires de surveillance et d’application de la loi du Commissariat à la protection de la vie privée de l’Ontario, y compris le pouvoir de rendre des ordonnances, d’enquêter et d’auditer. Il est également proposé d’imposer d’importantes sanctions administratives pécuniaires (pour les particuliers, jusqu’à 50 000 $ ; et pour les organisations, le plus élevé des montants suivants : 10 millions de dollars ou 3 % du revenu mondial brut de l’exercice précédent) et de créer des infractions à la loi assorties d’amendes (pour les organisations, jusqu’au plus élevé des montants suivants : 25 millions de dollars ou 5 % du revenu mondial brut de l’exercice précédent).
Compte tenu des élections prévues ce printemps dans la province de l’Ontario, il semble peu probable qu’un projet de loi établissant un régime législatif de protection de la vie privée dans le secteur privé soit déposé dans un avenir rapproché.
Colombie-Britannique : réforme visant les secteurs public et privé
PIPA de la C.-B.
En février 2020, l’Assemblée législative de la Colombie-Britannique a mis sur pied un comité spécial chargé d’examiner la Personal Information Protection Act de la Colombie-Britannique (PIPA de la C.-B.). Le commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique a publié un document d’information [disponible en anglais seulement] à l’intention du comité spécial, en juin 2020, lui demandant de faire des recommandations hautement prioritaires relativement à l’adoption d’obligations de signalement des atteintes à la vie privée et à l’octroi, au commissaire, du pouvoir d’imposer des sanctions administratives pécuniaires, d’enquêter et de rendre des ordonnances. Le comité a lancé des consultations le même mois par le biais d’un portail de consultation, lesquelles ont pris fin en août 2020.
Le comité spécial entend publier un rapport sur les modifications proposées à la PIPA BC, à l’intention de l’Assemblée législative, au plus tard le 8 décembre 2021.
FOIPPA
Le gouvernement de la Colombie-Britannique a déposé un projet de loi proposant des modifications importantes à sa législation sur la protection de la vie privée et l’accès à l’information dans le secteur public, la Freedom of Information and Protection of Privacy Act (FOIPPA). Le Projet de loi 22 comprend une réécriture des dispositions de la FOIPPA relatives à la résidence des données, à l’obligation de signaler les atteintes à la vie privée et à l’imposition de frais pour les demandes d’accès à l’information autre que les renseignements personnels.
Bien que le Projet de loi 22 supprime les règles relatives à la résidence des données en ce qui concerne l’accès et le stockage de celles-ci, un organisme public ne sera autorisé à communiquer des renseignements personnels à l’extérieur du Canada que si la communication est conforme aux règlements qui seraient adoptés en vertu de cette loi. Le règlement exige que le responsable d’un organisme public procède à une évaluation des facteurs relatifs à la vie privée à l’égard de chacun des programmes, projets et systèmes de l’organisme public dans le cadre desquels des renseignements personnels sensibles sont communiqués pour être stockés à l’extérieur du Canada.
Le Projet de loi 22 étend également les règles existantes sur la localisation des données aux métadonnées et à la durée de traitement. Il reste à voir comment ces règles seront interprétées et si elles auront une incidence sur la capacité des organismes publics de la Colombie-Britannique d’obtenir l’engagement des fournisseurs de services nationaux ou étrangers.
Alberta : réforme législative du secteur privé à l’horizon
À la fin du mois de novembre 2020, la commissaire à l’information et à la protection de la vie privée de l’Alberta a adressé une lettre au ministre de Service Alberta, par laquelle elle propose des modifications à la Personal Information Protection Act de l’Alberta (PIPA de l’Alberta).
La commissaire a proposé que le Commissariat soit autorisé à imposer des sanctions administratives pécuniaires (qui devraient s’apparenter à celles d’autres territoires) et que celui-ci soit tenu d’élaborer des règles relatives à ces sanctions. Elle a également recommandé d’augmenter les amendes associées aux infractions, de manière à ce qu’elles reflètent celles des autres territoires canadiens.
D’autres modifications importantes proposées comprennent des obligations relatives aux programmes de gestion des renseignements personnels ainsi que des dispositions sur le traitement des renseignements personnels anonymisés (définition du concept, précisions sur les utilisations autorisées et création d’infractions pour tentatives d’anonymisation). Il est également proposé d’étendre l’application de la PIPA de l’Alberta aux organismes à but non lucratif et aux partis politiques et de reconnaître les droits relatifs à la mobilité des données. La commissaire a également encouragé le gouvernement de l’Alberta à entreprendre des consultations sur le droit au retrait et à la désindexation et à examiner la possibilité d’incorporer le concept de « fiducie de données » dans un régime législatif qui serait établi selon le modèle du régime de protection des renseignements personnels sur la santé de l’Ontario.
L’été dernier, le ministère de Service Alberta a sollicité des commentaires sur la réforme de la législation sur la protection de la vie privée, mais on ne sait pas encore à quel moment la province de l’Alberta devrait présenter un projet de loi réformant la PIPA de l’Alberta.
Conclusion
De nouveaux changements majeurs dans le paysage canadien de la protection de la vie privée, tant au niveau fédéral que provincial, sont susceptibles de survenir l’année prochaine. Nous encourageons toutes les entreprises à examiner les modifications proposées et à planifier les mesures à prendre en vue de la probable entrée en vigueur de ces modifications.