Écrit par Ruth Promislow, Stephen Burns, Sébastien Gittens, Michael Whitt and HC Lee

La réforme complète tant attendue de la législation canadienne sur la protection des renseignements personnels dans le secteur privé est enfin en cours. Le 17 novembre 2020, la Loi de mise en œuvre de la Charte numérique, 2020 (DCIA) a été introduite. La DCIA adoptera la Loi sur la protection de la vie privée des consommateurs (LRPC), la Loi sur le Tribunal de la protection des renseignements personnels et des données et apportera des modifications à d’autres lois connexes. La LRPC remplacera effectivement le régime législatif fédéral actuel régissant la collecte, l’utilisation et la communication de renseignements personnels par les organisations du secteur privé en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

Bien qu’elle s’appuie sur les dix principes de la LPRPDE en matière de renseignements équitables, l’ébauche de la LPPC propose un certain nombre de changements importants, notamment les suivants :

1. Application : La LRPC continuera de s’appliquer à l’égard des renseignements personnels qui :

   1. est recueilli, utilisé ou divulgué dans le cadre d’activités commerciales par une organisation, y compris les activités qui se déroulent à l’échelle interprovinciale ou internationale; ou
   2. concerne un employé ou un candidat à un emploi au sein d’une organisation participant à l’exploitation d’une entreprise fédérale.

   Il y a des provinces qui ont des lois sur la protection des renseignements personnels ou la santé dans le secteur privé qui ont été jugées essentiellement similaires à la LPRPDE et, par conséquent, la LPRPDE ne s’applique pas à l’égard de ces activités liées à la protection de la vie privée ou aux renseignements sur la santé dans ces provinces. Compte tenu des changements apportés à la LPPC, la question se pose : ces ordonnances de similarité substantielles continueront-elles de s’appliquer à l’égard de ces lois provinciales?

   Par conséquent, si les ordonnances de similarité substantielle existantes ne continuent pas de s’appliquer, les organisations de la Colombie-Britannique, de l’Alberta et du Québec pour obtenir des renseignements personnels, ainsi que de l’Ontario, du Nouveau-Brunswick, de Terre-Neuve-et-Labrador et de la Nouvelle-Écosse pour obtenir des renseignements sur la santé, pourraient devoir se conformer aux lois provinciales et fédérales à l’égard de ces activités.

2. But approprié : Conformément aux dix principes relatifs à l’équité dans le traitement des renseignements de la LPRPDE, une organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins qu’une personne raisonnable jugerait appropriées dans les circonstances. Dans l’ébauche, la LPPC comprend également des facteurs précis dont une organisation doit tenir compte pour déterminer si de telles fins sont appropriées, y compris, par exemple, la sensibilité des renseignements personnels et si les fins représentent des besoins opérationnels légitimes de l’organisation.

3. Responsabilisation : Conformément aux dix principes relatifs à l’équité dans le traitement des renseignements de la LPRPDE, une organisation est responsable des renseignements personnels sous son contrôle. Dans l’ébauche, l’ACCP comprend également des directives précises sur le moment où une organisation « contrôle » les renseignements personnels, c’est-à-dire le contrôle lorsqu’une organisation décide de recueillir des renseignements personnels et détermine les fins de leur collecte, de leur utilisation ou de leur communication, peu importe si les renseignements sont recueillis, utilisés ou communiqués par l’organisation elle-même ou par un fournisseur de services au nom de l’organisation.

4. Obligation de mettre en œuvre le Programme de gestion de la protection de la vie privée : En élargissant l’obligation d’avoir des politiques et des pratiques pour donner effet à la LPRPDE, les organisations seront désormais tenues de mettre en œuvre un « programme de gestion de la protection de la vie privée » qui comprend les politiques, les pratiques et les procédures de l’organisation mises en place pour s’acquitter de ses obligations en vertu de la LRPC.

5. But de la collecte des dossiers : Conformément aux dix principes relatifs à l’équité dans le traitement des renseignements de la LPRPDE, une organisation doit déterminer, au moment de la collecte ou avant cette date, chacune des fins auxquelles les renseignements personnels doivent être recueillis, utilisés ou communiqués. En vertu de la LRPC, il doit également consigner ces fins.

6. Consigner une nouvelle fin : Conformément aux dix principes relatifs à l’équité dans le traitement des renseignements de la LPRPDE, une organisation ne doit pas utiliser ou communiquer des renseignements personnels à de nouvelles fins à moins d’obtenir un consentement valide avant toute utilisation ou communication à cette nouvelle fin. En vertu de la LRPC, il doit également consigner ces fins.

7. Consentement : Conformément aux dix principes relatifs à l’équité dans le traitement des renseignements de la LPRPDE, le consentement de la personne (explicite, réputé ou implicite) doit être obtenu au moment de la collecte ou avant. Dans l’ébauche, l’ACCP comprend également des directives précises sur les exigences de validité du consentement. Plus précisément, une organisation doit fournir les renseignements suivants dans un langage simple :

   1. les fins de la collecte, de l’utilisation ou de la communication des renseignements personnels;
   2. la façon dont les renseignements personnels sont recueillis, utilisés et communiqués;
   3. les conséquences raisonnablement prévisibles de la collecte, de l’utilisation ou de la communication des renseignements personnels;
   4. les types de renseignements personnels qui doivent être recueillis, utilisés ou communiqués; et
   5. le nom de tout tiers ou de tout type de tiers auquel l’organisation peut communiquer les renseignements personnels.

8. Exception pour les activités commerciales : Conformément aux dix principes relatifs à l’équité dans le traitement des renseignements de la LPRPDE, il existe des exceptions en vertu de l’ébauche de la LPPC qui permettent la collecte, l’utilisation ou la communication de renseignements personnels à l’insu de la personne concernée ou sans son consentement. Dans l’ébauche, la CCPA inclut également une exception pour les « activités commerciales », lorsqu’une personne raisonnable s’attendrait à une telle collecte ou utilisation de renseignements personnels pour cette activité, qui est définie comme comprenant :

   1. une activité nécessaire pour fournir ou livrer un produit ou un service que la personne a demandé à l’organisation;
   2. une activité qui est exercée dans l’exercice d’une diligence raisonnable pour prévenir ou réduire le risque commercial de l’organisation;
   3. une activité nécessaire à la sécurité de l’information, du système ou du réseau de l’organisation;
   4. une activité nécessaire à la sécurité d’un produit ou d’un service que l’organisation fournit ou fournit;
   5. une activité au cours de laquelle l’obtention du consentement de l’individu serait irréalisable parce que l’organisation n’a pas de relation directe avec l’individu; et
   6. toute autre activité visée par règlement.

9. Droit à la disposition : Conformément aux dix principes de la LPRPDE relatifs à l’équité dans le traitement des renseignements, les renseignements personnels qui ne sont plus nécessaires pour atteindre les fins déterminées devraient être détruits, effacés ou rendus anonymes. Dans l’ébauche, l’ACCP prévoit également que les organisations doivent, sous réserve de certaines restrictions, disposer également des renseignements personnels à la demande de la personne. Si, par exemple, il n’est pas possible de disposer des renseignements personnels de la personne sans disposer en même temps des renseignements d’une autre personne, l’organisation n’est pas obligée de se conformer à la demande.

10. Mesures de protection : Conformément aux dix principes relatifs à l’équité dans le traitement des renseignements de la LPRPDE, une organisation doit protéger les renseignements personnels au moyen de mesures de sécurité physiques, organisationnelles et technologiques qui sont proportionnelles à la sensibilité des renseignements. Dans l’ébauche, l’ACCP prévoit également qu’en plus de tenir compte de la sensibilité des renseignements personnels, une organisation doit également tenir compte de la quantité, de la distribution, du format et de la méthode de stockage des renseignements dans l’établissement de ses mesures de sécurité.

11. Transferts à des fournisseurs de services : Dans l’ébauche, l’ACCP précise qu’une organisation peut transférer des renseignements personnels à un fournisseur de services à l’insu de la personne concernée ou sans son consentement.

12. Obligations des fournisseurs de services : Conformément aux dix principes relatifs à l’équité dans le traitement des renseignements de la LPRPDE, si une organisation transfère des renseignements personnels à un fournisseur de services, l’organisation doit s’assurer, par contrat ou autrement, que le fournisseur de services offre essentiellement la même protection pour les renseignements personnels que celle qu’elle est tenue de fournir en vertu de la LRPC. Dans l’ébauche, l’ACCP précise également que : (i) les fournisseurs de services sont directement responsables, en vertu de la LPVPC, de protéger les renseignements personnels au moyen de mesures de protection physiques, organisationnelles et technologiques; et (ii) si un fournisseur de services détermine qu’il y a eu atteinte aux mesures de sécurité qui concerne des renseignements personnels, il doit en aviser l’organisation qui contrôle les renseignements personnels dès que possible.

13. Opérations commerciales éventuelles : Conformément à l’exemption relative aux opérations commerciales prévue par la LPRPDE, la LRPC comprend une exemption pour certaines opérations commerciales. Contrairement à la LPRPDE, la LACL prévoit également qu’en l’absence d’un consentement valide, une organisation ne peut fournir des renseignements dépersonnalisés qu’à une contrepartie potentielle dans le cadre d’une transaction commerciale éventuelle. Il s’agit d’un changement important par rapport à la législation existante qui permet la communication de renseignements personnels à un acheteur éventuel à l’insu des personnes ou sans leur consentement.

14. Accès par le commissaire à la protection de la vie privée : En élargissant les pouvoirs du commissaire à la protection de la vie privée en vertu de la LPRPDE, en vertu de l’ébauche de la LPPC, à la demande du commissaire à la protection de la vie privée, une organisation doit lui donner accès aux politiques, aux pratiques et aux procédures qui sont incluses dans le programme de gestion de la protection de la vie privée de l’organisation. Bien que l’ébauche de la LPPC prévoie que le commissaire à la protection de la vie privée ne peut pas utiliser les renseignements obtenus au moyen de ce droit d’accès comme base pour déposer une plainte ou faire une vérification, il est difficile de voir comment le commissaire à la protection de la vie privée peut séparer ce qu’il apprend de cet accès de ce qu’il considère comme des « motifs raisonnables » de déposer une plainte ou une vérification.

15. Pouvoirs du commissaire : Bien que la commissaire à la protection de la vie privée n’ait que des pouvoirs d’application limités en vertu de la LPRPDE, en vertu de l’ébauche de la LECL, ce ne sera plus le cas :

    1. Lorsqu’il mène une enquête sur une plainte, qu’il mène une enquête ou qu’il effectue une vérification, le commissaire à la protection de la vie privée peut, entre autres, rendre toute ordonnance provisoire qu’il juge appropriée.
    2. Après avoir enquêté sur une plainte (à l’initiative d’un plaignant ou du commissaire à la protection de la vie privée), le commissaire à la protection de la vie privée peut mener une enquête et rendre une décision et ordonner à l’organisation de prendre des mesures précises, de cesser de prendre des mesures particulières (comme la collecte de renseignements) et de recommander que le Tribunal impose une pénalité à l’égard de certaines infractions (comme il est indiqué ci-dessous).
    3. Bien qu’il existe un droit d’appel devant le Tribunal de la décision du commissaire à la protection de la vie privée, le Tribunal ne remplacera que sa conclusion de fait par celle du commissaire à la protection de la vie privée fondée sur une norme d’erreur manifeste et dominante. En effet, cette norme signifie que le Tribunal s’en remettra aux conclusions de fait du commissaire à la protection de la vie privée.
    4. Un fournisseur de services peut faire l’objet d’une plainte, d’une enquête et d’une enquête dans la mesure où il ne s’est pas conformé à ses obligations en vertu de la Loi.

16. Le Tribunal : Le nouveau Tribunal de la protection des renseignements personnels et des données sera établi en vertu de la Loi sur le Tribunal de la protection des renseignements personnels et des données. Le Tribunal aura compétence à l’égard de tous les appels relatifs à diverses conclusions, ordonnances ou décisions rendues en vertu de la LECL et à l’imposition de certaines pénalités en vertu de cette loi.

17. Pénalités en cas de non-conformité : Bien que les dispositions relatives aux pénalités soient limitées en vertu de la LPRPDE, en vertu de l’ébauche de la LRPC, la commissaire à la protection de la vie privée peut recommander au Tribunal qu’une pénalité en cas de contravention aux diverses obligations de la LACL soit imposée à l’organisation. La pénalité maximale est la plus élevée de 10 millions de dollars ou de 3 % des revenus bruts mondiaux.

    1. Une pénalité peut être recommandée en cas de violation des dispositions concernant le consentement valide, l’obligation de disposer de renseignements personnels lorsqu’ils ne sont plus requis, l’obligation de disposer de renseignements personnels sur demande et l’obligation de mettre en œuvre des mesures de protection appropriées.
    2. Les fournisseurs de services peuvent être assujettis à cette pénalité si le commissaire à la protection de la vie privée conclut qu’ils n’ont pas respecté l’obligation de mettre en œuvre des mesures de sécurité.

18. Pénalités pour contravention consciente : Bien que les dispositions relatives aux pénalités soient limitées en vertu de la LPRPDE, en vertu de l’ébauche de la LPPC, toute organisation qui contrevient sciemment à l’une des obligations suivantes est coupable d’un acte criminel et est passible d’une amende ne dépassant pas le plus élevé des montants suivants :

    1. Signaler une violation des mesures de sécurité donnant lieu à un risque réel de préjudice important;
    2. Aviser les personnes touchées d’une telle atteinte;
    3. Tenir un registre des atteintes à la vie privée;
    4. Conserver les renseignements personnels qui fait l’objet d’une demande;
    5. N’utilisez pas les renseignements dépersonnalises seuls ou en combinaison avec d’autres renseignements pour identifier une personne, sauf pour tester l’efficacité des mesures de sécurité que l’organisation a mises en place pour protéger les renseignements;
    6. Ne pénalisez pas le dénonciateur; ou
    7. Se conformer à une ordonnance de conformité émise par la commissaire à la protection de la vie privée.

19. Système décisionnel automatisé : Nouveau dans le régime fédéral de protection des renseignements personnels dans le secteur privé, l’ébauche de la LPPC prévoit que si l’organisation a utilisé un système décisionnel automatisé pour faire une prédiction, une recommandation ou une décision au sujet de la personne, l’organisation doit, à la demande de la personne, lui fournir une explication de la prédiction, de la recommandation ou de la décision et expliquer comment les renseignements personnels (qui ont été utilisés pour faire la prédiction, recommandation ou décision) a été obtenue.

20. Renseignements dépersonnalises : Nouveau dans le régime fédéral de protection des renseignements personnels dans le secteur privé, l’ébauche de la LPPC traite de la collecte, de l’utilisation et de la communication de « renseignements dépersonnalises » dans certaines circonstances.

    1. Par exemple, une organisation peut utiliser les renseignements personnels d’une personne à son insu ou sans son consentement pour les dé-identifier; et
    2. Une organisation peut utiliser les renseignements personnels d’une personne à son insu et sans son consentement à des fins de recherche et de développement internes, si les renseignements sont dépersonnalités avant d’être utilisés.

    La « dé-identification » est définie comme le processus qui consiste à s’assurer que les renseignements n’identifient pas une personne ou ne pourraient pas être utilisés dans des circonstances raisonnablement prévisibles, seules ou en combinaison avec d’autres renseignements, pour identifier une personne. La rédaction actuelle de la Loi n’est pas claire quant à la mesure dans laquelle on s’y fiera pour réglementer l’utilisation et la divulgation des renseignements dépersonnalisants.

21. Droit privé d’action : S’appuyant sur le droit privé d’action en vertu de la LPRPDE, la LECL établit également une cause d’action pour perte ou préjudice découlant de la violation par une organisation de ses obligations en vertu de la loi. La LRPC prolonge le délai de prescription à deux ans après la période de prescription à la fois où la personne (qui est touchée par un acte ou une omission d’une organisation qui constitue une contravention à la LECL) prend connaissance de ce qui suit :

    1. la décision pertinente du commissaire à la protection de la vie privée (ou, en cas d’appel, de la décision du Tribunal) à l’égard d’un tel acte ou d’une telle omission; ou
    2. une déclaration de culpabilité en vertu de l’article sur les actes criminels.

Le droit privé d’action peut s’étendre aux fournisseurs de services dans la mesure où il est conclu qu’ils n’ont pas respecté leurs obligations en vertu de la LPVPC.

S’il est adopté tel qu’il est actuellement rédigé, nous prévoyons que la LRPC aura une incidence importante sur l’étendue de l’examen réglementaire des organisations en ce qui concerne leurs pratiques en matière de protection de la vie privée. Par conséquent, les organisations devront probablement entreprendre un examen exhaustif de la façon dont elles mènent leurs activités et gèrent leurs pratiques, politiques et procédures en matière de protection de la vie privée dans l’ensemble du Canada.

L’équipe Privacy & Data Protection team chez Bennett Jones est disponible pour discuter de la façon dont les changements peuvent affecter les obligations d’une organisation en matière de confidentialité.