Les temps sont au changement eu égard aux lois régissant la protection des renseignements personnels et la vie privée. En effet, n’ayant pas d’autres choix que de s’adapter et de suivre la vague, le gouvernement fédéral, suivant de longues consultations, plusieurs propositions et rapports survenus dans les dernières années , a déposé le 17 novembre dernier le projet de loi C-11, dont le titre abrégé est la Loi de 2020 sur la mise en œuvre de la Charte numérique (le Projet).

Cette initiative fait suite aux récents chantiers majeurs dans l’industrie numérique, d’abord en Europe avec l’adoption du Règlement général de la protection des données (le RGDP) et en Californie avec l’adoption du California Consumer Privacy Act of 2018, et plus près de nous, avec le dépôt du projet de loi n° 64 du gouvernement du Québec.

Projet de loi C-11

La présente loi fédérale, la Loi sur la protection des renseignements personnels et des documents électroniques (la LPRPDE), date de 2000 et n’a subi que quelques modifications depuis son entrée en vigueur, dont d’importants en 2015 et plus récemment en 2018 (ces derniers portant sur l’encadrement des atteintes aux mesures de sécurité); mais aujourd’hui en 2020, ce n’est plus suffisant considérant les nouvelles réalités auxquelles nous faisons face. En effet, en tenant compte des avancements majeurs dans l’industrie numérique, la LPRPDE n’avait guère le choix d’être repensée.

Le gouvernement fédéral se devait donc d’atteindre ses objectifs et de trouver le bon équilibre entre la protection des données concernant la vie privée des Canadiens et le rôle primordial de ces dernières dans une économie mondiale moderne axée sur le flux des données.

Le Projet était donc très attendu: il clarifie certains concepts, il accorde des protections accrues aux individus et impose de nouvelles obligations aux organisations. Le Projet repose sur des principes de base connus, notamment la transparence, la sécurité, la responsabilité et la validité du consentement, tous des principes chers aux Canadiens.

Concernant le consentement, élément central à la cueillette, de nouvelles règles sont suggérées pour mieux l’encadrer, notamment son contenu, sa forme et le moment opportun pour l’obtenir, et certaines exceptions à ce dernier sont également introduites. Le Projet demande que les organisations communiquent leurs intentions en langage clair.

La partie 1 du Projet édicte la Loi sur la protection de la vie privée des consommateurs, cette dernière ayant comme conséquence principale d’abroger la partie 1 de la LPRPDE, tandis que la partie 2 du Projet édicte la Loi sur le Tribunal de la protection des renseignements personnels et des données. Cette dernière partie crée un nouveau tribunal administratif visant la protection des renseignements personnels et des données (le Tribunal). Ce nouveau Tribunal aura notamment le pouvoir d’octroyer des pénalités aux contrevenants.

Enfin, il est prévu que le Projet, une fois en vigueur, coexistera avec les lois provinciales sur la protection de la vie privée, notamment celle qui octroie des droits et obligations spécifiques à certains domaines, par exemple concernant les données médicales et financières.

Pouvoirs accrus

Probablement un des changements le plus marqués est certainement l’octroi de pouvoirs accrus aux autorités afin de mieux protéger les individus et leurs renseignements personnels. En ce moment, le Commissariat à la protection de la vie privée du Canada (le Commissaire) n'a pas le pouvoir de rendre des ordonnances ou de recommander des sanctions pécuniaires.

Le Projet octroie toutefois de nouveaux pouvoirs au Commissaire, entre autres celui d’ordonner à une organisation de prendre des mesures pour se conformer à la loi ou de cesser de faire quelque chose qui contrevient à la loi. Toujours selon le Projet, le Tribunal sera habilité à imposer des pénalités et des amendes sur recommandation du Commissaire et se prononcera en appel des ordonnances de ce dernier.

Relativement aux sanctions pécuniaires, le Projet propose des sanctions administratives pouvant aller jusqu'à 3 % du revenu global (jusqu’à concurrence de 10 millions de dollars) aux organisations qui ne se conforment pas à la loi, notamment en ce qui concerne des violations aux dispositions relatives au consentement, à la collecte, à l'utilisation, à la conservation et au retrait des renseignements personnels et de certaines dispositions de sécurité. Ces pénalités seront imposées par le Tribunal sur recommandations du Commissaire.

Pour les comportements plus graves (non collaboration ou refus de procéder à des demandes légitimes effectuées en vertu de la loi, obstruction à une enquête ou demande du commissaire à la protection de la vie privée, manquement grave en cas de bris de sécurité, etc.), les dispositions du Projet prévoient l’imposition de sanctions pouvant aller jusqu’à 25 millions de dollars et 5 % du revenu annuel brut mondial de l'organisation, selon le montant le plus élevé. Une défense de diligence raisonnable pourra cependant être invoquée par les organisations. Quoique le Projet est légèrement différent en ce sens, ceci n’est pas sans rappeler les pénalités accordées en vertu du RGDP et celles prévues au projet de loi n° 64.

Le Projet introduit également un droit privé d’actions et donc, la possibilité pour les individus d’entreprendre des recours devant les tribunaux. L’exercice de ce droit reste cependant à apprécier.

Nouveaux droits

De nouveaux droits sont octroyés par le Projet et donnent un contrôle plus important aux Canadiens sur leurs données; ces nouveaux droits, pour certains, s’inspirent fortement de la législation européenne.

Tout d’abord, le projet incorpore le droit à la portabilité des données, ceci permettrait à un individu de demander à une organisation de transférer ses données personnelles à une autre organisation. Ensuite, un droit de demander la correction des informations détenues et un droit à retrait sont introduits, ce dernier droit permettant à une personne de demander qu'une organisation élimine tous les renseignements personnels qu'elle a recueillis la concernant.

Aussi, à l’instar du Québec, le Projet s’ajuste aux nouvelles réalités de l’intelligence artificielle, et propose d’encadrer les décisions prises à l'aide de systèmes automatisés, en donnant notamment la possibilité aux individus de demander à une organisation d'expliquer les prédictions ou décisions prises par ces systèmes.

Fournisseurs de services

Le Projet s'écarte un peu de la LPRPDE et demande un niveau plus élevé de protection d’une organisation qui transfère des données à des fournisseurs de services. En effet, si une organisation souhaite transférer des renseignements personnels à un fournisseur de services, elle doit s'assurer, par contrat ou autrement, que le fournisseur de services assure essentiellement la même protection des renseignements personnels que celle que l'organisation est tenue de fournir en vertu du Projet.

Ceci fait en sorte que les fournisseurs de services pourraient être désormais tenus à des garanties de sécurité, ils devront notamment aviser l’organisation lorsqu’une atteinte aux mesures de sécurité survient.

Les politiques de vie privée devront à cet égard être facilement accessibles et comprendre une description des transferts interprovinciaux et internationaux de renseignements personnels et des conséquences de ces transferts sur la vie privée des individus. Il est à prévoir que la plupart des politiques de vie privée actuelles devront être revues.

Responsable de la protection de la vie privée

Finalement, d’autres modifications méritent d’être soulevées, c’est-à-dire l’obligation de nommer un responsable à l’interne de la conformité à la loi ou en d’autres termes un responsable de la protection à la vie privée. Ce dernier veillera notamment à mettre en œuvre un programme de gestion de la protection des renseignements personnels, ce programme devra être établi en fonction du volume et de la nature sensible des données gérées par l’organisation.

Recommandations

Étant donné que le Projet en est encore à ses premiers balbutiements, il pourrait subir des modifications avant d’en arriver à sa forme finale, d’autant plus que ce Projet arrive au même moment que des réformes provinciales importantes, ce qui risque d’influencer les législateurs de part et d’autre.

Il n’est cependant pas trop tôt pour les organisations pour commencer à se questionner sur leurs pratiques actuelles et débuter leur réflexion afin de les revisiter.

Il sera important pour les entreprises dans les prochains mois de réaffirmer leur engagement face à la confidentialité des données des clients et usagers, et d’éduquer les employés à cet égard. Ceci est encore plus important pour les entreprises œuvrant en numérique et gérant un nombre élevé de renseignements personnels.

Nous conseillons donc aux entreprises de débuter l’élaboration d’un plan d’actions à entreprendre afin d’améliorer les pratiques et mesures actuelles et de rectifier tout manquement. Évidemment, ce plan devra être révisé à la lumière des lois applicables qui seront adoptées, mais mieux vaut s’y préparer, car aussi incertain le résultat puisse être, il est certain qu’il y aura du changement relativement aux mesures de protection de la vie privée offertes aux consommateurs.

Appelez-nous dès maintenant pour en discuter avant qu’il ne soit trop tard!