Projet de Loi C-11 et renseignements personnels: Le Fédéral enclenche son processus de réforme

Vanessa Deschênes et Élisabeth Lesage-Bigras [1]
ROBIC, S.E.N.C.R.L.
Avocats, agents de brevets et de marques de commerce

Le 17 novembre dernier, le Gouvernement fédéral déposa le Projet de loi C-11 Loi édictant la Loi sur la protection de la vie privée des consommateurs et la Loi sur le Tribunal de la protection des renseignements personnels et des données et apportant des modifications corrélatives et connexes à d’autres lois (« PL C-11 »). Réforme très attendue et majeure de la législation fédérale en matière de protection des renseignements personnels (« RP »), le PL C-11 semble emboîter le pas vers la mise en place d’un régime sévère combinant à la fois la tendance européenne du Règlement général sur la protection des données (« RGPD »)[2]et californienne du California Consumer Privacy Act[3].

Tout comme c’était le cas dans la version précédente de la loi, le PL C-11 est basé sur des principes et tente de trouver un équilibre entre les droits des individus ainsi que le besoin des organisations de collecter et d’utiliser des données. À noter qu’en comparaison du projet de loi québécois (« PL 64 »)[4], le PL C-11 est beaucoup moins prescriptif, et ce, à plusieurs égards.

Mais quels sont donc les principaux changements? Si le présent article ne se veut qu’un aperçu, nous vous proposerons toutefois une série complète d’articles dans les jours et semaines à venir analysant plus en détail les implications futures de cette réforme.

a. Nouveaux droits pour les utilisateurs

Comme nous y avons eu droit dans le PL 64, le PL C-11 octroie aux utilisateurs une nouvelle série de droits dont celui relatif  à la mobilité de leurs RP (article 72 PL C-11), ainsi que le droit de demander le retrait de leurs RP (article 55 PL C-11); ce qui n’est pas sans rappeler le droit à la portabilité des données et le droit à l’oubli européen.

De façon plus notable, le PL C-11 introduit un nouveau droit privé d’action (article 106 PL C-11) et reconnaît ainsi qu’un individu puisse poursuive une entreprise fautive pour dommages-intérêts  lorsque celui-ci subit les effets d’une violation de la loi.

b. Notion de contrôle et fournisseurs de service

De plus, le PL C-11 clarifie de façon substantielle la notion de « contrôle ». En effet, selon le paragraphe 7(2) PL C-11, une organisation détient le contrôle, ou plutôt, les RP « relèvent » de l’organisation qui décide non seulement des modalités de la collecte, mais de l’objectif ou des fins de la collecte, de l’utilisation ou de la communication des RP, et ce, même si un fournisseur de service l’effectue pour elle.

Par conséquent, le PL C-11 vient, par le fait même, résoudre les incertitudes entourant l’emploi de fournisseurs de service en s’inspirant de ce qui se fait notamment en Europe avec le RGPD. En outre,, en vertu de l’article 11 PL C-11, si les organisations doivent veiller à ce que les fournisseurs de services protègent de façon équivalente les RP qu’elles leur transfèrent, les fournisseurs de services ne sont pas autrement assujettis à la plupart des autres obligations du PL C-11 pour ce qui est des RP leur étant transférés sauf en ce qui concerne les mesures de sécurité ainsi que les avis au client en cas de violation, et ce, pour autant qu’ils n’aient pas le « contrôle » des RP.

c. Programme de gestion de protection des renseignements personnels, code de pratiques et programmes de certification

Autre changement d’importance, l’article 9 PL C-11 prévoit que les organisations devront adopter un programme de gestion de la protection des RP. Parallèlement, il sera aussi possible pour les entreprises de faire approuver des codes de pratiques ou des programmes de certification par le Commissaire à la protection de la vie privée fédéral (« Commissaire ») sur demande, et ce, en vertu des articles 76 et 77 PL C-11.

Concernant la mise sur pied de programme de gestion de protection des RP, nous vous invitons à lire notre article rédigé dans le cadre du projet de loi québécois :  Se dire conforme c’est bien, mais pouvoir le démontrer c’est encore mieux! : Regard sur le Projet de loi 64 et la notion de programme de gestion de la protection de la vie privée

d. Notion de fins acceptables

Ajout intéressant, le PL C-11 introduit à l’article 12 PL C-11, et plus particulièrement le paragraphe 12(2) PL C-11, une liste d’éléments permettant d’évaluer le caractère acceptable de la collecte, de l’utilisation et de la communication des RP par l’organisation. Cette liste inclut notamment la nature délicate des RP, les besoins commerciaux légitimes de l’organisation et l’existence de moyens autres, comme facteurs pertinents à l’évaluation du caractère acceptable.

À noter que la version française du PL C-11 utilise parfois le vocable « nature délicate » des RP ou « sensibilité » des RP en laissant croire qu’une distinction peut exister. Toutefois, en analysant la version anglaise, nous constatons que c’est plutôt le vocable « sensitivity » qui est utilisé, laissant ainsi tomber le doute d’une distinction entre ces termes.

e. Nouvelle souplesse dans les exigences de consentement

De façon surprenante, le PL C-11 renforce la notion de consentement en mentionnant, au paragraphe 4 du nouvel article 15, que le consentement « doit être obtenu expressément », faisant du consentement implicite une exception. Or, le Commissaire lui-même, lors des consultations particulières sur le PL 64, a fait mention du fait que « la protection des renseignements personnels ne peut reposer que sur le consentement ».

Cela étant dit, c’est possiblement la raison pour laquelle, tout comme en Europe, il semble que le législateur souhaite instaurer une certaine souplesse dans la notion de consentement (article 15 PL C-11) en réduisant le nombre de situations dans lesquelles il doit être demandé, atténuant ainsi le risque de « lassitude du consentement », ce que plusieurs experts ont d’ailleurs fait valoir lors des consultations particulières sur le PL 64. En effet, contrairement au régime actuel, le PL C-11 prévoit une série complète d’exceptions à l’obtention du consentement. Le projet de loi comprend, par exemple,  les activités d’affaires (art. 18 PL C-11), le transfert des RP à des fournisseurs de service (art. 19 PL C-11), la recherche et le développement (art. 20 PL C-11) et la dépersonnalisation des RP (art. 20 PL C-11), entre autres.

f. Décisions automatisées et droit à l’information

Tout comme dans le PL 64 ainsi qu’en vertu  du régime européen, le législateur fédéral a inclus dans le PL C-11 une mention particulière, à son article 63 PL C-11, sur les systèmes décisionnels automatisés. En effet, cet article permet aux utilisateurs ayant fait l’objet d’une telle décision de demander à l’organisation non seulement une explication de celle-ci, mais également de l’information sur la provenance des RP qui ont servi une telle prise de décision (art. 63 (3) PL C-11).  Le Législateur demeure ainsi cohérent avec son approche des dernières années en matière d’intelligence artificielle, approche illustrée, entre autres, par les Principes directeurs en matière d’intelligence artificielle et la Directive sur la prise de décision automatisée.

g. Pouvoirs renforcés du Commissaire et nouveau tribunal

Finalement, comme demandé à maintes reprises par le Commissaire lui-même, ce dernier obtiendra de nouveaux pouvoirs lui permettant d’émettre des ordonnances (art. 92 PL C-11). Qui plus est, un nouveau tribunal sera instauré, soit le Tribunal de la protection des renseignements personnels et des données. Il sera donc de la responsabilité de ce tribunal, sur recommandation du Commissaire, d’imposer les nouvelles amendes et pénalités très salées qui pourront aller, dépendamment de la sévérité de la faute de 3 à 5% du revenu global brut de l’entreprise ou de 10 à 25 millions de dollars canadiens, selon les articles 93, 94 et 125 PL C-11

Tout comme nous l’avions souligné lors de nos commentaires relatifs au PL 64, l’ampleur des réformes actuelles en matière de protection des RP, dont la loi fédérale ne fait pas exception, nécessitera plusieurs changements au sein des organisations si ces dernières ne sont pas déjà à niveau avec, par exemple avec le RGPD. De plus, à l’heure actuelle, plusieurs nouvelles dispositions, comme par exemple le droit à la mobilité des données, seront précisées par règlements. Or, nous savons que le diable réside souvent dans les détails.

De plus, plusieurs questions subsistent. En outre, qu’adviendra-t-il, par exemple, du statut d’équivalence des lois provinciales? Question particulièrement d’actualité au Québec avec le dépôt du PL 64.Il sera donc important de suivre non seulement l’évolution de ces deux projets, mais également de ce qui se fait en ce moment dans les autres provinces canadiennes comme en Ontario, en Alberta ainsi qu’en Colombie-Britannique afin de voir comment ces lois s’harmoniseront dans le futur.

---

[2] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE (règlement général sur la protection des données)

[3] California Consumer Privacy Act of 2018 (CCPA), arts. 1798.100 et s. 

[4] Projet de loi no 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels