NOUVEAU PROJET DE LOI EN MATIÈRE DE PROTECTION DES RENSEIGNEMENTS PERSONNELS
Autres articles à lire sur le sujet:
- Projet de loi n°19 : une petite révolution dans le domaine des données médicales
- Projet de loi n°64 – Que faut-il savoir de son adoption et son entrée en vigueur?
- Le projet de loi 64 et les fables de Jean de La Fontaine : pourquoi devriez-vous songer à adopter la stratégie de la tortue
- Se dire conforme c’est bien, mais pouvoir le démontrer c’est encore mieux! : Regard sur le Projet de loi 64 et la notion de programme de gestion de la protection de la vie privée
- Projet de loi n°64 – Comment la modernisation des obligations en matière de protection des renseignements personnels affectera-t-elle votre entreprise?
- Projet de loi C-11 et renseignements personnels : le fédéral enclenche son processus de réforme
Le Gouvernement fédéral présente son nouveau projet de loi en matière de protection des renseignements personnels
Vanessa Deschênes, Tara D’aigle-Curley & Étienne Nadeau
ROBIC, S.E.N.C.R.L.
Avocats, agents de brevets et de marques de commerce
Le 16 juin 2022, le Gouvernement fédéral a présenté le projet de loi C-27[1] (« PL C-27 »), anticipé comme une réforme majeure de la Charte canadienne du numérique. Cette nouvelle mouture du projet de loi C-11 (« PL C-11 »), lequel avait été abandonné dans la foulée des élections de 2021, vise à renforcer la protection des renseignements personnels des individus par l’instauration d’un cadre législatif soucieux de l’équilibre entre le droit fondamental à la vie privée et la croissance des organisations évoluant dans l’économie axée sur le numérique et les données. À noter qu’une partie importante du PL C-11, dont nous vous avions parlé dans une publication précédente, a été transféré dans le projet de loi C-27.
De ce fait, le PL C-27 est divisé en trois parties : La Partie 1 vise la Loi sur la protection de la vie privée des consommateurs[2] (« LPVPC »), la Partie 2 la Loi sur le Tribunal de la protection des renseignements personnels et des données[3] (« Loi sur le Tribunal ») et la Partie 3, la Loi sur l’intelligence artificielle et les données[4]. Le présent article ne traitera que des Parties 1 et 2, la Partie 3 étant traitée dans un article subséquent.
Les dispositions du PL C-27 abrogent la partie 1 de la Loi sur la protection des renseignements personnels et les documents électroniques[5] (« LPRPDÉ ») datant du début du millénaire, pour y substituer le nouveau cadre juridique de la LPVPC, conçu expressément pour faire face aux enjeux de l’ère numérique. Axé notamment sur le contrôle donné aux individus sur leurs renseignements personnels, sur la protection des mineurs, sur l’octroi de nouveaux pouvoirs au Commissaire à la protection de la vie privée ainsi que sur une coercition accrue envers les entreprises non conformes, ce projet de loi se distingue de son prédécesseur (PL C-11) à certains égards. Il en reprend néanmoins la substance et la structure, auxquelles sont greffés de nouveaux droits, exceptions, définitions et sanctions.
Cet article fournit un résumé des principaux détails des Parties 1 et 2 du projet du PL C-27, y compris les points saillants de certaines nouvelles dispositions (par rapport au PL C-11).
CHANGEMENTS IMPORTANTS
Partie 1 : Le nouveau régime de protection des renseignements personnels
Nouveaux droits pour les individus
Comme c’était le cas dans le PL C-11, les nouvelles dispositions de la LPVPC octroient aux individus de nouveaux droits, en plus des droits d’accès et de rectification qui existaient déjà sous la LPRPDÉ. Parmi ces droits, notons un droit d’information quant aux systèmes décisionnels automatisés[6], un droit circonscrit à la mobilité des renseignements personnels[7] ainsi qu’un droit de retrait (d’effacement) des renseignements personnels lorsque qu’applicable[8]
Alors que les deux premiers droits étaient déjà envisagés par le projet de loi C-11, le droit de retrait représente quant à lui un changement majeur apporté par la LPVPC. Bien que soumis à plusieurs exceptions[9], ce nouveau droit permettrait notamment d’exiger la suppression permanente et irréversible de renseignements personnels. Il est à noter que ce droit semble différent du droit à la désindexation que l’on retrouve dans les modifications apportées à la Loi sur la protection des renseignements personnels dans le secteur privé (« LPRPSP ») ou du « droit à l’oubli » prévu au Règlement général pour la protection des données (« RGPD »)[10].
Un autre changement important et digne de mention par rapport au PL C-11 est celui d’avoir exclu les renseignements dépersonnalisés de la définition de renseignements personnels dans l’exercice des droits individuels. En effet, la règle d’interprétation à l’article 2(3) de la LPVPC stipule que des renseignements personnels qui ont été dépersonnalisés ne sont pas considérés comme étant des renseignements personnels dans l’application, entres autres, du droit de retrait, du droit d’accès ou de rectification et du droit à la portabilité. Cela signifie que les renseignements dépersonnalisés ne peuvent être ni effacés, corrigés ou accessibles à la demande de la personne concernée, ni transmis dans le cadre d’une entente de mobilité entre deux organisations.
Enfin, le projet de loi PL C-27 introduit un nouveau droit privé d’action en faveur de l’individu qui subit une perte ou un préjudice en raison d’un acte ou d’une omission d’une organisation en contravention à la LPVPC. L’action se prescrit dans un délai de deux ans à partir de la date où l’individu a connaissance d’une conclusion du commissaire, de la décision du Tribunal ou d’une condamnation pour une infraction à la Loi, selon le cas.[11]
Notion de contrôle et fournisseurs de services
Concernant la notion de contrôle ainsi que des dispositions à propos des fournisseurs de services, notons que le PL C-27 n’introduit pas de changement en comparaison du PL C-11. Rappelons que les renseignements personnels qui « relèvent d’elle »[12], et non plus « dont elle a la gestion »[13] comme sous l’ancienne loi, sont sous la responsabilité de l’organisation, et ce, même si elle a recourt à un fournisseur de services.[14]
Concernant ces derniers, le PL C-27 vient mentionner que la partie 1 de la LPVPC au sujet des obligations des organisations ne s’applique pas à eux, exception faite des articles 57 et 61.[15] Les fournisseurs de services auront donc l’obligation d’une part, de protéger les renseignements personnels qui leur ont été confiés au moyen de mesures de sécurité matérielles, organisationnelles et techniques[16] et d’autre part, d’aviser dès que possible l’organisation de laquelle ils relèvent s’ils constatent une atteinte à ces mesures de sécurité.[17]
Programme de gestion de la protection des renseignements personnels
L’obligation de mettre en œuvre des politiques et des pratiques de protection des renseignements personnels[18], qui prenait déjà la forme d’un « Programme de gestion de la protection des renseignements personnels » sous C-11[19], demeure et se voit bonifiée de deux exigences supplémentaires, soit celle de tenir compte du volume et de la nature sensible des renseignements personnels lors de l’élaboration du programme[20] et celle de donner accès sur demande au commissaire aux politiques, pratiques et procédures du programme.[21] Après examen, le commissaire à la protection de la vie privée pourra fournir des conseils ou recommander des mesures correctives à l’organisation relativement à son programme de gestion de la protection des renseignements personnels.[22]
Contrairement à la nouvelle mouture de la LPRPSP, le PL C-27 ne prévoit pas d’obligation de publication d’informations détaillées à propos du programme de gestion des renseignements personnels d’une organisation.
Notion de fins acceptables
Comme cela était le cas dans le PL C-11, le PL C-27 codifie la jurisprudence à l’effet qu’une organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins et d’une manière qu’une personne raisonnable estimerait acceptable dans les circonstances, et ce, que le consentement soit ou non requis.[23]
Comme nous l’avions mentionné lors de la publication du PL C-11, la LPVPC prévoit une évaluation des facteurs du caractère acceptable de la collecte, de l’utilisation et de la communication des renseignements personnels par l’organisation. Celle-ci doit notamment considérer la nature délicate des renseignements personnels, les besoins commerciaux légitimes de l’organisation et l’existence de moyens autres.
Rappelons également que les renseignements personnels d’un mineur sont considérés comme étant de nature sensible[24], ce qui a une incidence, notamment, sur l’établissement du caractère acceptable des fins pour lesquelles des renseignements personnels sont recueillis, utilisés ou communiqués.
Nouvelle souplesse dans les exigences de consentement
Il est intéressant de noter que le PL C-27 tient compte de certaines recommandations faites par l’entremise des mémoires déposés sur le PL C-11. En effet, le PL C-27 vient clarifier la nécessité d’évaluer la notion de consentement valable selon des normes objectives. Il s’assure également que les organisations comprennent l’importance et l’impact de se prévaloir d’exceptions plus larges en matière de consentement.
L’obtention du consentement de l’individu concerné par l’organisation qui recueille, utilise ou communique des renseignements personnels, demeure la règle, bien que la LPVPC permet un meilleur équilibre par l’introduction de quelques exceptions.[25] L’article 15(4) de la LPVPC crée l’obligation pour l’organisation de fournir les renseignements nécessaires au consentement dans un langage clair et raisonnablement compréhensible pour un individu visé par les activités de l’organisation. Le projet de loi introduit aussi deux nouvelles exceptions au consentement. La première, celle des « activités d’affaires », dispense de l’obligation d’obtenir le consentement de l’individu concerné si la collecte ou l’utilisation de ses renseignements personnels est faite en vue de l’une des activités suivantes :
- les activités nécessaires à la fourniture d’un produit ou à la prestation d’un service demandé par l’individu à l’organisation;
- les activités nécessaires à la sécurité de l’information, des systèmes ou des réseaux de l’organisation;
- les activités nécessaires pour assurer la sécurité d’un produit ou d’un service que l’organisation fournit;
- toute autre activité réglementaire.[26]
Il est toutefois important de souligner qu’une organisation ne peut présumer du caractère implicite du consentement d’un individu lorsqu’elle recueille ou utilise ses renseignements personnels en vue d’une « activité d’affaires ».[27] De plus, notons que contrairement au PL C-11, le PL C-27 n’inclut plus les activités menées à des fins de diligence raisonnable pour réduire ou pour prévenir les risques commerciaux dans ces « activités d’affaires ».
Finalement, mentionnons une seconde exception qui permet à l’organisation de recueillir ou utiliser les renseignements personnels d’un individu à son insu ou sans son consentement si la collecte ou l’utilisation est faite en vue d’une activité dans laquelle elle a un intérêt légitime qui l’emporte sur tout effet négatif que la collecte ou l’utilisation peut avoir pour l’individu.[28]
Pouvoirs renforcés du commissaire et sanctions
La LPVPC élargit les pouvoirs du commissaire dans ses fonctions de vérification des pratiques des organisations en matière de gestion des renseignements personnels, lui qui pourra maintenant procéder à cette vérification s’il a des motifs raisonnables de croire qu’une organisation « contrevient » ou est « susceptible de contrevenir » à la partie 1 de la LPVPC, et non plus seulement s’il a des motifs de croire qu’elle « a contrevenu » à cette partie.[29] En plus d’un pouvoir général d’émettre des ordonnances de conformité[30], il se voit octroyer le pouvoir de recommander qu’une pénalité soit infligée par le Tribunal de la protection des renseignements personnels et des données à une organisation contrevenante dans de nombreux cas, par exemple lorsqu’une organisation omet de s’assurer que son fournisseur de services protège les renseignements personnels qui lui sont confiés de manière équivalente à celle exigée par la LPVPC, ou encore si une organisation omet de consigner les fins pour lesquelles les renseignements personnels sont recueillis, utilisés ou communiqués.[31]
Pour prendre cette décision, le commissaire devra tenir compte des précautions prises par l’organisation pour empêcher la contravention, des efforts raisonnables que l’organisation a déployés pour atténuer ou neutraliser les incidences de la contravention, ainsi que de tout autre élément prévu par règlement.[32]
En ce qui concerne les sanctions possibles, en se fondant sur les conclusions de la décision du commissaire, ou sur les siennes dans le cadre d’un appel[33], le Tribunal institué par la Loi sur le Tribunal aura le pouvoir d’imposer des pénalités allant jusqu’à 10 millions de dollars, ou 3% des recettes globales brutes de l’organisation au cours de son exercice précédant celui pendant lequel la pénalité est infligée, si ce montant est plus élevé.[34]
La nouvelle LPVPC crée également une infraction dans les cas de violations plus sérieuses de la loi, dont la peine maximale est de 25 millions de dollars ou, s’il est supérieur, un montant égal à 5% des recettes globales brutes au cours de l’exercice précédant celui de la condamnation.[35] Commettra donc une telle infraction toute organisation qui contrevient sciemment à :
- L’obligation de déclarer au commissaire toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels qui relèvent d’elle s’il est raisonnable de croire que, dans les circonstances, l’atteinte présente un risque réel de préjudice grave à l’endroit d’un individu.[36]
- L’obligation de tenir et conserver un registre de toutes les atteintes aux mesures de sécurité qui ont trait à des renseignements qui relèvent d’elle.[37]
- L’obligation de conserver les renseignements personnels qui font l’objet d’une demande d’information ou d’accès d’un individu, le temps nécessaire pour permettre au demandeur d’épuiser tous les recours dont il dispose.[38]
- L’interdiction d’utiliser des renseignements personnels dépersonnalisés, seuls ou en combinaison avec d’autres renseignements, afin d’identifier un individu, sous réserve des exceptions propres à cette interdiction.[39]
- L’interdiction de représailles à l’encontre d’un employé de bonne foi se conformant à la loi.[40]
- Une ordonnance de conformité prise par le commissaire[41]
Ou qui entrave l’action du commissaire – ou de son délégué – dans le cadre d’une vérification, d’une investigation ou de l’examen d’une plainte.[42]
Anonymisation et dépersonnalisation
Le PL C-27 apporte des changements importants par rapport à son prédécesseur, le PL C-11, en matière d’anonymisation et de dépersonnalisation. En effet, il introduit la définition d’« anonymiser » et révise celle de « dépersonnaliser ».
Ainsi, l’anonymisation est assimilable au processus de :
« Modifier définitivement et irréversiblement, conformément aux meilleures pratiques généralement reconnues, des renseignements personnels afin qu’ils ne permettent pas d’identifier un individu, directement ou indirectement, par quelque moyen que ce soit »[43]
Alors que dépersonnaliser est désormais défini comme :
« Modifier des renseignements personnels afin de réduire le risque, sans pour autant l’éliminer, qu’un individu puisse être identifié directement. »[44]
La distinction entre ces processus n’est pas sans importance, puisqu’il est précisé à son article 6(5) que la loi ne s’applique pas à l’égard des renseignements personnels qui ont été anonymisés.
Partie 2 : Loi sur le Tribunal
La partie 2 du PL C-27 édicte la loi habilitante qui institue le Tribunal de la protection des renseignements personnels et des données, ayant compétence pour statuer sur tout appel interjeté en vertu des articles 101 ou 102 de la LPVPC et sur l’infliction de pénalités en vertu de l’article 95 de cette loi.[45] Composé de trois à six membres nommés sur recommandation du ministre (de l’Industrie, à défaut d’une autre désignation)[46], ce Tribunal n’est pas lié par les règles juridiques ou techniques applicables en matière de preuve lors des audiences, sous réserve de ne pouvoir recevoir en preuve un élément inadmissible devant un tribunal judiciaire.[47] Il lui revient aussi d’établir ses propres règles de procédure, conformément à la Loi sur le Tribunal et à la LPVPC. Ses décisions se fondent sur la charge de preuve de la prépondérance des probabilités[48] et doivent être motivées, communiquées aux parties et rendues publiques.[49] Elles ne sont pas susceptibles d’appel ou de révision en justice, sous réserve du contrôle judiciaire prévu par la Loi sur les cours fédérales.[50]
CONCLUSION
Comme nous l’avions souligné dans notre article sur le PL C-11, les nombreux changements législatifs au pays en matière de protection des renseignements personnels risquent de donner certains maux de tête aux entreprises. En effet, l’analyse du PL C-27 met notamment en lumière le fait que la loi fédérale, ainsi que la loi québécoise récemment amendée par le projet de loi 64[51], ne sont pas, en tout point, similaires. Ajoutons à cela dans changements anticipés en Ontario, en Alberta ainsi qu’en Colombie-Britannique et nous avons ainsi un beau mélange potentiel d’incohérence législative si ces considérations ne sont pas mises de l’avant par les législateurs. Il sera donc assurément intéressant de suivre l’évolution de ces travaux à travers l’ensemble du Canada!
[1] Loi édictant la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l’intelligence artificielle et les données et apportant des modifications corrélatives et connexes à d’autres lois. Titre abrégé :
Loi de 2022 sur la mise en œuvre de la Charte du numérique.
[2] Loi visant à faciliter et à promouvoir le commerce électronique au moyen de la protection des renseignements personnels recueillis, utilisés ou communiqués dans le cadre d’activités commerciales.
[3] Loi portant constitution du Tribunal de la protection des renseignements personnels et des données.
[4] Loi concernant les systèmes d’intelligence artificielle et les données utilisées dans ces systèmes.
[5] Loi sur la protection des renseignements personnels et les documents électroniques (L.C. 2000, ch. 5).
[6] Art. 63(3).
[7] Art. 72.
[8] Art. 55(1).
[9] Art. 55(2).
[10] Art. 17 RGPD.
[11] Art. 107(3).
[12] Art. 7(1).
[13] Principe 4.1 à l’annexe 1 LPRPDÉ.
[14] Art. 7(2).
[15] Art. 11(2).
[16] Art. 57(1).
[17] Art. 61.
[18] Principe 4.1.4 de l’Annexe I LPRPDÉ.
[19] 9(1) C-11.
[20] Art. 9(2).
[21] Art. 10(1).
[22] Art. 10(2).
[23] Art. 12(1) et (2).
[24] Art. 2(2).
[25] Art. 15(1).
[26] Art. 18(2).
[27] Art. 15(6).
[28] Art. 18(3).
[29] Art. 97 LPVPC et art. 96 de loi C-11.
[30] Art. 93(2).
[31] Art. 94(1).
[32] Art. 94(2).
[33] Art. 95(2)
[34] Art. 95(4).
[35] Art. 128.
[36] Art. 58.
[37] Art. 60(1).
[38] Article 69.
[39] Article 75.
[40] Art. 127 (1).
[41] Art. 128 et 93(2).
[42] Art. 128.
[43] Art. 2.
[44] Id.
[45] Art. 4 et 5 LTPRPD.
[46] Art. 6(1), art. 2 LTPRPD.
[47] Art. 15(1)(2) LTPRPD.
[48] Art. 15(5) LTPRPD.
[49] Art. 17, art. 18 LTPRPD.
[50] Art. 21 LTPRPD.
[51] 122(2)b).