La modernisation de la loi sur la protection de la vie privée régissant le secteur privé (C.-B.) recommandée par un comité spécial

La modernisation de la loi sur la protection de la vie privée régissant le secteur privé (C.-B.) recommandée par un comité spécial

Le 6 décembre dernier, le comité spécial chargé d’examiner la loi sur la protection des renseignements personnels (Personal Information Protection Act)[1] (la « Loi ») a publié un rapport (le «rapport ») contenant ses recommandations sur la modernisation de la Loi[2]. Ces recommandations reposent sur les avis et les mémoires soumis par le commissariat à l’information et à la vie privée de la Colombie‑Britannique (le « Commissariat ») et d’autres parties prenantes au cours des deux dernières années. Le rapport contient 34 recommandations. Nous en présenterons ici quelques-unes des plus notables, qui pourraient toucher les procédures et processus d’entreprises régies par la Loi.

Consentement valable et incidence des nouvelles technologies

Pierre angulaire de la Loi, c’est le consentement – qu’il soit exprès verbal ou écrit, ou implicite ou réputé – qui confirme l’approbation des personnes concernées à utiliser leurs renseignements personnels. Cependant, les nouvelles technologies chamboulent ce qu’on tenait jusqu’ici pour acquis du consentement et de la protection de la vie privée. Selon le rapport, 67 % des Canadiennes et Canadiens estiment avoir peu ou pas de contrôle sur la manière dont les entreprises utilisent leurs renseignements personnels. Pour pallier ce manque de contrôle et faire en sorte que les entreprises recueillent et utilisent correctement les renseignements personnels, il est recommandé d’ajouter à la Loi le concept de « consentement valable ».

Pour que le consentement soit considéré comme valable, la personne concernée doit être pleinement consciente de la nature des renseignements personnels recueillis, de la méthode de collecte et des fins pour lesquelles ils sont recueillis. Le comité spécial a relevé des préoccupations sur la complexité et l’opacité exagérées des politiques de protection de la vie privée. Parmi celles-ci, il est soulevé que certaines politiques de protection de la vie privée favorisent la collecte de renseignements au moyen de libellés nébuleux et permettent une surcollecte. En ce qui concerne la recommandation du comité spécial visant l’ajout du concept de consentement valable, les entreprises doivent se préparer à revoir leur politique de protection de la vie privée pour les rendre facilement compréhensibles et accessibles au commun des mortels.

Qui plus est, de nouvelles innovations et technologies numériques, pensons à l’omniprésence des appareils mobiles dans le quotidien des gens, la prolifération des médias sociaux, et les avancées de l’intelligence artificielle (l’« IA ») et de la biométrie, mettent à mal les concepts de consentement et de choix, particulièrement en ce qui a trait au traitement des renseignements personnels. Dans son rapport, le comité recommande de mettre à jour la Loi de manière à exiger des entreprises qui recueillent, utilisent, communiquent et traitent autrement des données biométriques et d’autres formes de renseignements personnels sensibles (opinions politiques, renseignements médicaux, renseignements concernant les enfants et les adolescents, etc.) qu’elles obtiennent le consentement explicite des personnes concernées. Le comité spécial suggère en outre que ces mêmes entreprises se voient obligées de confirmer le consentement des personnes concernées à intervalles raisonnables.

Pour ce qui est des systèmes de prise de décisions automatisée et d’autres formes d’IA, le comité spécial reconnaît la valeur de ces technologies, sans balayer du revers de la main les risques de discrimination algorithmique, de repersonnalisation et d’atteinte à la vie privée. Il souligne qu’il faut bien réglementer l’utilisation de l’IA dans la Loi, et recommande au Commissariat de mener d’autres travaux de recherche (notamment des consultations publiques) pour déterminer les conséquences socioéconomiques à long terme de l’IA afin d’orienter d’éventuelles modifications à la Loi. C’est pourquoi le rapport ne contient pas de recommandations concernant l’IA et la prise de décisions automatisée, mais propose que le Commissariat recommande des modifications à la Loi au terme des travaux recommandés.

Enfin, le comité spécial recommande l’élargissement de la définition de renseignements personnels pour contrer le risque grandissant de repersonnalisation des renseignements personnels, alors que la technologie se fait de plus en plus sophistiquée. Ces changements soumettraient les données pseudonymisées, soit les données ne contenant pas d’identifiants directs, mais susceptibles d’être réidentifiées, aux exigences de consentement. Pour en savoir plus sur les risques associés aux renseignements anonymisés et dépersonnalisés, consultez notre récent bulletin sur le sujet.

À cet égard, le rapport souligne l’importance de trouver un équilibre entre le resserrement des exigences de consentement et l’alourdissement du fardeau pour les personnes et les entreprises. Reste à voir comment on parviendra à cet équilibre au moyen de la réglementation, mais toute modification à la Loi devrait placer les protections de la vie privée sur un spectre, et la protection des différentes catégories de renseignements personnels sera proportionnelle à leur sensibilité.

Harmonisation de la Loi à la loi canadienne sur la protection de la vie privée et au RGPD

Vu les modifications législatives proposées à la Loi sur la protection des renseignements personnels et les documents électroniques du Canada[3] (la « LPRPDE ») dans le projet de loi C-11 et le Règlement général sur la protection des données de l’Union européenne[4] (le « RGPD »), la Loi devra subir certaines modifications pour demeurer essentiellement semblable à la LPRPDE et conforme au RGPD. Si d’autres projets de loi devaient modifier la LPRPDE dans l’avenir, le comité spécial fait valoir l’importance d’harmoniser en conséquence la Loi à la LPRPDE et aux autres lois provinciales de même nature. La constance entre les cadres législatifs facilite beaucoup la tâche aux entreprises qui doivent respecter les différentes lois, et permet à l’économie et au milieu des affaires de la Colombie‑Britannique de rester concurrentiels au pays et dans le monde. Comme le précise le rapport, la position concurrentielle de la Colombie‑Britannique sur les marchés n’est pas négligeable dans la réflexion sur les modifications à la Loi.

Mais pour harmoniser celle-ci aux autres cadres législatifs, il faudra y apporter des changements substantiels. Le rapport recommande notamment l’ajout de nouvelles dispositions rendant obligatoire la déclaration rapide des atteintes à la vie privée au Commissariat et aux personnes concernées, passé un certain seuil. La Colombie-Britannique est présentement la seule province canadienne dont la loi sur la protection de la vie privée régissant le secteur privé n’impose pas une telle déclaration obligatoire.

Le Commissariat est favorable à l’ajout de ces nouvelles dispositions, puisque les personnes concernées pourront ainsi prendre des mesures pour se protéger elles-mêmes advenant une atteinte ou un risque d’atteinte. Il recommande leur application passé un certain seuil de « risque réel de préjudice grave », c’est-à-dire lorsqu’il y a un risque réel que les personnes concernées subissent des conséquences graves en raison de la sensibilité des renseignements touchés et de la probabilité que les renseignements personnels aient été, soient ou seront utilisés à mauvais escient. Selon le Commissariat, l’application d’un tel seuil lui permettrait de s’assurer du signalement immédiat des atteintes les plus graves.

En ce qui concerne ces atteintes, les entreprises doivent se préparer à l’introduction de dispositions relativement strictes, notamment le signalement rapide d’atteintes à la vie privée (par exemple, dans les 72 heures, comme le requiert le RGPD) et la mise en place de diverses méthodes (courriel, message texte, téléphone, courrier) pour aviser les personnes concernées. Le Commissariat presse aussi le législateur d’associer ces dispositions à des sanctions administratives plus importantes.

Le rapport aborde en outre l’ajout du droit à l’oubli et du droit à la portabilité des données personnelles, tous deux tirés du RGPD. En ce qui concerne le droit à l’oubli, le comité spécial estime qu’il faudra étudier plus en profondeur ce droit avant de proposer la modification de la Loi à cet égard. Quant au droit à la portabilité des données personnelles, le comité spécial recommande aux entreprises d’offrir aux gens le droit d’obtenir leurs renseignements personnels dans un format lisible par machine, couramment utilisé et transportable. Ce droit est distinct de celui d’une personne à accéder à ses renseignements personnels; s’il était ajouté à la Loi, les entreprises devraient vraisemblablement adopter de nouvelles politiques internes et revoir leurs politiques de protection de la vie privée externes pour en assurer la conformité à la nouvelle Loi.

Un peu plus de mordant pour le Commissariat

Le rapport suggère en outre d’accroître les pouvoirs d’application de la loi du Commissariat et d’augmenter le montant des amendes pouvant être imposées à titre de mesure dissuasive. Si ces recommandations sont adoptées, le Commissariat pourra :

• mener des audits pour identifier les enjeux systémiques et enquêter à leur sujet, publier ses conclusions et rendre des ordonnances lorsque les circonstances le justifient;
• élargir ses audits des organisations du secteur privé;
• conclure des accords de conformité avec les organisations et demander à celles-ci de produire des rapports sur demande;
• déterminer et délivrer des amendes directement aux organisations délinquantes.

Le comité spécial reconnaît que les sanctions administratives pécuniaires de la Loi ne suffisent pas, pour l’instant, à dissuader d’éventuels contrevenants. Il suggère par conséquent l’adoption de principes de proportionnalité et d’échelonnabilité pour répondre adéquatement aux conséquences des atteintes à la vie privée des personnes et prévoir des amendes cohérentes pour les entreprises non conformes. Les membres du comité ne s’entendent cependant pas sur les montants des amendes. Certains membres suggèrent l’indexation des amendes en fonction de l’inflation, ce qui représente une hausse modeste, tandis que d’autres recommandent une hausse beaucoup plus importante pour rapprocher les amendes de celles du RGPD.

Des modifications semblables relatives à l’application ont été apportées à la loi sur l’accès à l’information et la protection de la vie privée de la Colombie-Britannique (Freedom of Information and Protection of Privacy Act), comme en fait état ce bulletin, et à la Loi de 2004 sur la protection des renseignements personnels sur la santé de l’Ontario, qui font l’objet de ce bulletin (en anglais seulement). Le projet de loi C-11 prévoit également un resserrement dans les modifications proposées aux lois fédérales applicables au secteur privé (voir ici). Ainsi, les changements relatifs à l’application et aux sanctions accrues devraient vraisemblablement être adoptés comme modification à la Loi.

Conclusion

Reste maintenant à voir si les recommandations seront adoptées par le législateur, mais les tendances relevées ailleurs dans le pays en ce qui concerne la législation sur la protection de la vie privée portent à croire que bon nombre d’entre elles le seront. Si vous avez des questions sur l’incidence de ces modifications sur votre entreprise, nous vous invitons à consulter notre équipe spécialisée dans la protection de la vie privée et des données.

[1] SBC 2003, c.  63.
[2] Colombie-Britannique, Assemblée législative, Comité spécial chargé de l’examen de la loi sur la protection des renseignements personnels, Modernizing British Columbia’s Private Sector Privacy Law, 42e législature, 2e session (6 décembre 2021) (présidente :  Mable Elmore).
[3] SC 2000, c. 5.
[4] (EU) 2016/679.

par Robert Piasentin, Gurp Dhaliwal, Yue Fei et Kristen Shaw (stagiaire)

Mise en garde

Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis.

© McMillan S.E.N.C.R.L., s.r.l. 2021