Auteur(s) :
Adam Kardash
Le 18 juillet 2022
À l’occasion de l’appel mensuel AccessPrivacy de juin, Adam Kardash, associé d’Osler au sein de l’équipe Respect de la vie privée et gestion de l’information, a examiné les aspects clés du projet de loi C-27, intitulé Loi de 2022 sur la mise en œuvre de la Charte du numérique. Ce récent projet de loi prévoit l’adoption d’une nouvelle loi fédérale régissant la vie privée dans le secteur privé, la Loi sur la protection de la vie privée des consommateurs (LPVPC), qui viendrait remplacer le cadre législatif protégeant les renseignements personnels au titre de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE, ou PIPEDA en anglais). S’il est adopté, le projet de loi entraînerait également l’adoption de deux nouvelles lois, a) la première instaurant un tribunal administratif chargé des dossiers émanant du nouveau cadre législatif sur la protection de la vie privée, et b) la seconde mettant en place une approche réglementaire fondée sur la gestion des risques pour régir les échanges et le commerce en matière de systèmes d’intelligence artificielle.
Voici quelques-uns des aspects clés de la LPVPC dont Adam traite dans le webinaire AccessPrivacy :
- Des sanctions administratives pécuniaires pouvant aller jusqu’à 3 % du revenu global ou 10 millions de dollars canadiens pour les organisations délinquantes;
- Une gamme plus élevée de sanctions pour les manquements les plus sévères, soit jusqu’à 5 % du revenu global ou 25 millions de dollars canadiens;
- Des dispositions conférant des pouvoirs accrus pour rendre des ordonnances au commissaire à la protection de la vie privée du Canada;
- La création d’un droit privé d’action pour la perte ou le préjudice résultant de contraventions à la LPVPC;
- L’obligation pour les organisations de mettre en œuvre un programme de gestion de la protection des renseignements personnels;
- Un renforcement du consentement (en particulier du consentement exprès) à titre d’autorité principale des organisations pour le traitement des renseignements personnels, ainsi que des exigences de consentement plus prescriptives;
- Des clarifications et des « exceptions au consentement » supplémentaires pour autoriser la collecte, l’utilisation ou la communication de renseignements personnels dans le cadre de certaines « activités d’affaires » types. La LPVPC prévoit également un pouvoir de collecte ou d’utilisation sans consentement pour des « intérêts légitimes », pour peu qu’une organisation effectue une évaluation préalable et remplisse certaines autres conditions;
- Des dispositions relatives aux données « dépersonnalisées » et « anonymisées »;
- Des dispositions obligeant les organisations, dans certaines circonstances, à procéder au retrait des renseignements personnels à la demande d’une personne;
- Des dispositions en matière de transparence des algorithmes, qui donneraient aux personnes le droit de demander que l’entreprise explique de quelle manière elle en est venue à une prédiction, à une recommandation ou à une décision susceptible d’avoir une « incidence importante » sur eux en s’appuyant sur un système décisionnel automatisé, et qu’elle indique comment les renseignements ont été obtenus;
- Des dispositions conférant des droits de mobilité des données aux personnes, qui pourront exiger le transfert de leurs renseignements personnels d’une organisation à une autre;
- Une disposition permettant aux organisations de demander au commissaire à la vie privée d’approuver les codes de pratiques et les régimes de certification qui établissent comment la LPVPC pourrait s’appliquer à certaines activités et à certains secteurs ou modèles d’entreprise, de manière à aider celles-ci à démontrer leur conformité;
- Un statut spécial pour les renseignements personnels des mineurs.
Adam a également comparé la LPVPC envisagée à l’ancien projet de loi C-11, qui est mort au feuilleton avant l’élection fédérale de l’automne dernier.
Regardez le webinaire en entier