Réforme de la LPRPDE – Projet de loi C-27

Le 16 juin dernier, l’honorable François-Philippe Champagne, ministre de l’Innovation, des Sciences et de l’Industrie (ISDE) ainsi que l’honorable David Lametti, ministre de la Justice et procureur général du Canada présentaient la Loi de 2022 sur la mise en œuvre de la Charte du numérique, connue actuellement sous le nom de projet de loi C-27.

Le projet de loi C-27 présente trois nouvelles lois :

  1. La Loi sur la protection de la vie privée des consommateurs (LPVPC) : une loi visant à faciliter et à promouvoir le commerce électronique au moyen de la protection des renseignements personnels recueillis, utilisés ou communiqués dans le cadre d’activités commerciales. Elle fournit des règles claires sur la collecte de données et sur les pratiques d’utilisation, le consentement, les exceptions au consentement, l’atténuation des risques et une documentation plus importante sur les processus internes. Elle renforce également la protection des mineurs contre une utilisation inappropriée de leurs données. Une fois la loi adoptée, elle remplacera la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

  2. La Loi sur le Tribunal de la protection des renseignements personnels et des données (LTPRPD) : une loi qui offre un mécanisme de recours permettant la mise en application de la LPVPC. Le tribunal administratif peut imposer des pénalités et entendre les appels interjetés à l’encontre de décisions rendues par le Commissaire fédéral à la protection de la vie privée.

  3. La Loi sur l’intelligence artificielle et les données (LIAD) : une loi qui régira le développement et le déploiement des systèmes d’IA à incidence élevée.

Bon nombre des dispositions proposées reprennent celles contenues dans le projet de loi antérieur C-11 (qui est mort au Feuilleton lors du déclenchement des élections de 2021), comme par exemple :

  • Ouverture et transparence : une organisation doit rendre facilement accessibles, dans un langage clair, de l’information expliquant ses politiques et ses pratiques 

  • Droits pour les personnes de faire supprimer leurs données

  • Signalement obligatoire des atteintes à la sécurité

  • Pénalités importantes en cas de non-conformité

  • Occasion de faire approuver les codes de pratique et les certifications par le Commissariat à la protection de la vie privée du Canada (CPVP)

En outre, ce nouveau projet de loi inclut une protection accrue des enfants de même que des règles plus strictes à l’intention des organisations qui conçoivent des systèmes d’intelligence artificielle.

Bien que le projet de loi fournisse un point de vue sur les attentes en matière de conformité, la réglementation sera publiée après qu’il soit adopté afin de clarifier les activités des entreprises exceptées et d’édicter les règles régissant l’adoption des codes de pratique et les certifications.

Pénalités et pouvoir accru du Commissaire à la protection de la vie privée

Les pénalités proposées en vertu de la LPVPC sont importantes.

Après enquête, si le CPVP détermine qu’une pénalité doit être imposée à une organisation, il doit faire une demande d’ordonnance au tribunal pour infliger cette pénalité. Le tribunal, devant lequel à la fois le Commissaire et l’organisation peuvent comparaître, peut accepter la recommandation du Commissaire ou décider qu’un autre niveau de pénalité est plus approprié.

La pénalité maximale est de 10 000 000 $ ou de 3 % des recettes globales brutes de l’organisation, selon le plus élevé des deux. Le projet de loi ne contient aucune information sur l’identification des personnes qui doivent siéger au tribunal, mais au moins trois des trois à six membres nommés doivent posséder de l’expérience dans le domaine du droit à l’information et à la protection des renseignements personnels.

Les infractions comprennent entre autres ce qui suit :

  • Ne pas mettre en œuvre ni tenir à jour un programme de gestion de la protection des renseignements

  • Ne pas signaler les atteintes à la sécurité

  • Conserver de manière inadéquate les demandes d’accès

  • Réidentifier volontairement les personnes

  • Enfreindre une ordonnance du Commissaire

De telles infractions peuvent résulter en des amendes pouvant atteindre 25 000 000 $ ou 5 % des recettes globales brutes de l’organisation.

Un droit privé d’action est établi et prévoit que quiconque touché par une infraction a une cause d’action en dommages-intérêts seulement si le Commissaire ou le tribunal conclut qu’il y a infraction ou que l’organisation a été reconnue coupable d’une infraction. Ce nouveau droit privé d’action peut donner lieu à des recours collectifs.

Il est également conféré au Commissaire le pouvoir de rendre des ordonnances qui exigent des organisations qu’elles prennent des mesures spécifiques pour corriger les lacunes que présentent leurs pratiques. Ces ordonnances peuvent être portées en appel devant le tribunal.

Une série distincte de sanctions pénales ont trait à la LIAD.

Évaluations, programmes sur la protection des renseignements personnels et tenue de registres

Avant de recueillir ou d’utiliser des renseignements personnels, une organisation doit identifier tout effet négatif que peut avoir la collecte ou l’utilisation de données sur les personnes et prendre des mesures raisonnables pour en réduire l’impact et pour atténuer ou éliminer les risques.

En outre, les organisations doivent mettre en œuvre et tenir à jour un programme de gestion de la protection des renseignements qui comprend les politiques, les pratiques et les procédures qu’elles ont mises en place. Le programme doit aussi porter sur la protection des renseignements personnels, sur la façon dont les demandes d’information et les plaintes sont reçues et traitées, sur la formation du personnel et sur le matériel qui explique ces politiques et ces procédures au public.

Si une organisation recueille de l’information sans consentement, conformément à l’exception visant l’intérêt légitime (voir ci-dessous), elle doit aussi évaluer les risques de préjudice aux personnes et consigner son évaluation. Les organisations doivent également fournir au Commissaire, sur demande, des copies de leur évaluation.

Consentement valide

Pour la collecte, l’utilisation et la communication des données, un consentement implicite est requis pour la plupart des usages commerciaux.

Le consentement n’est valide que si, en langage clair, les fins auxquelles les données sont recueillies, utilisées et divulguées sont révélées, les conséquences sont décrites en détail, les types de renseignements personnels en cause sont décrits et les noms des tiers (ou types de tiers) à qui l’organisation peut divulguer ces renseignements personnels sont indiqués.

Intérêt légitime

Une organisation peut recueillir ou utiliser les renseignements personnels d’une personne à son insu ou sans son consentement si la collecte ou l’utilisation de ces données est ce à quoi s’attend cette personne et l’emporte sur tout effet négatif sur cette dernière.

Bien que le consentement n’incombe plus aux personnes, le gouvernement a exprimé clairement que les intérêts légitimes ne devaient pas être utilisés à mauvais escient.

Pour le gouvernement, il s’agit d’une question d’équilibre entre l’octroi d’une certaine souplesse aux organisations tout en assurant une surveillance appropriée. Le Commissaire à la protection de la vie privée peut atténuer ou éliminer les risques pour les personnes en surveillant la façon dont l’intérêt légitime est utilisé.

Renseignements personnels de nature sensible et mineurs

En vertu de la LIAD, et tout comme la LPRPDE, la détermination de ce que sont des renseignements personnels de nature sensible passe par l’analyse contextuelle. Les organisations doivent tenir compte du volume et de la nature sensible des renseignements personnels sous leur contrôle et examiner la nature sensible des renseignements lorsqu’elles déterminent les périodes de conservation.

Les renseignements personnels des mineurs sont considérés comme des renseignements de nature sensible. Il n’existe aucune définition du terme « mineur » dans la loi, ce qui est intentionnel selon l’ISDE. Les provinces et les territoires disposent plutôt de définitions qui peuvent s’appliquer.

Dépersonnalisation

Le projet de loi stipule que les renseignements personnels qui ont été dépersonnalisés sont toujours considérés comme des renseignements personnels et sont soumis à la loi.

Il décrit également le pouvoir qu’ont les organisations de dépersonnaliser les données sans le consentement de la personne à laquelle ils se rapportent. Et l’utilisation de renseignements dépersonnalisés à des fins de recherche et « à des fins socialement bénéfiques » par ou pour le secteur public est acceptable.

Codes de pratique et certifications

La LPVPC envisage d’établir des règlements pour les codes de pratique et les certifications approuvés par le Commissaire à la protection de la vie privée, grâce auxquels les organisations pourront faire certifier leurs procédures et leurs politiques comme conformes.

Ces cadres de responsabilisation n’empêcheront pas une organisation de se conformer plus largement à la LPVPC.

Autres éléments à souligner

  • Le gouvernement est d’avis que ce projet de loi maintiendra l’adéquation du Canada en vertu du RGPD.

  • Les partis politiques ne sont pas couverts par le projet de loi.

  • Le recours à l’anonymisation est défini comme une forme de retrait. 

Processus d’édiction

Tout projet de loi proposé est soumis à un processus standard au sein du Parlement. Ce processus comporte plusieurs lectures, un comité et (parfois) une consultation auprès des parties prenantes avant que le projet de loi ne soit approuvé par la Chambre des communes et par le Sénat, avant de recevoir la sanction royale. Habituellement, ce processus peut prendre de nombreux mois et étant donné que le gouvernement fait relâche pendant l’été, la deuxième lecture du projet de loi risque d’avoir lieu à l’automne.

Le processus entier peut prendre entre six mois et un an. Une fois le projet de loi adopté, il ne prendra pas effet immédiatement après la sanction royale. En effet, une période de transition de 12 à 18 mois est à prévoir afin de permettre aux entreprises de s’y conformer. L’établissement de règlements devra s’effectuer durant cette période.

Ce que doivent savoir les participants au programme de la DAAC

La DAAC surveillera l’évolution de ce projet de loi.

Entre-temps, un ensemble de principes actualisé de la DAAC sera publié au début de septembre, ce qui aura pour effet de rapprocher les participants des exigences de la LPVPC. Et ne ratez pas au cours des prochains mois les nouvelles caractéristiques du programme Choix de pub, telles que le formulaire d’autoévaluation et un nouveau guide d’interprétation en matière de conformité.

Votre entreprise n’est toujours pas inscrite au programme d’autoréglementation Choix de pub? Le programme de la DAAC est bien établi et offre des outils qui pourront vous aider à vous conformer. C’est le moment idéal pour vous inscrire, des projets de loi tels que le projet C-27 devenant des sujets de discussion au sein de votre conseil d’administration.

Découvrez ce que nous faisons en communiquant avec nous a info@daac.ca.

DAACLPRPDE, Loi de 2022 sur la mise en œuvre de la Charte du numérique, loi C-27, LPVPC, Loi sur la protection de la vie privée des consommateurs, CPPA