Le Commissariat à la protection de la vie privée publie ses principales recommendations pour une nouvelle loi fédérale applicable au secteur privé
Plus tôt ce mois-ci, le Commissariat à la protection de la vie privée du Canada (« CPVP ») a publié un résumé de ses principales recommandations en vue d’une nouvelle loi fédérale applicable au secteur privé (les « principales recommandations ») qui viendrait actualiser ou remplacer la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE »)[1].
Le gouvernement fédéral a récemment tenté de modifier la LPRPDE en déposant le projet de loi C-11, Loi de 2020 sur la mise en œuvre de la Charte du numérique. Le projet a fait l’objet de critiques de la part d’entreprises, de défenseurs de la protection de la vie privée et du CPVP lui-même, avant de mourir au feuilleton au déclenchement des élections fédérales en 2021.
Depuis son arrivée au pouvoir, le nouveau gouvernement fédéral n’a pris aucune mesure significative pour faire avancer un projet de loi similaire. Néanmoins, le gouvernement fédéral déposera vraisemblablement un nouveau projet de loi afin d’éviter le décalage entre sa législation sur la protection de la vie privée et celle des provinces et des territoires, en cours de modernisation.
Voici les grandes lignes des principales recommandations du CPVP.
- Réinventer le cadre canadien fondé sur le consentement
Le CPVP est bien conscient des enjeux que soulève le cadre actuel de la LPRPDE, dans lequel la principale justification de la collecte, de l’utilisation et de la communication de renseignements personnels est le consentement. Par exemple, selon le modèle actuel, il peut être difficile pour les consommateurs d’exercer un réel contrôle sur le traitement de leurs renseignements personnels ou de prendre des décisions éclairées en matière de consentement lorsque les politiques de protection de la vie privée et les conditions d’utilisation sont longues et formulées dans un jargon juridique[2]. En outre, comme les renseignements personnels passent souvent entre les mains de diverses entités au cours de leur cycle de vie, les organisations ont parfois du mal à résumer ou à expliquer succinctement leurs transferts ou utilisations possibles au moment de leur collecte.
Dans ses principales recommandations, le CPVP conseille la mise en place (i) de nouvelles exceptions à l’exigence de consentement de la LPRPDE lorsque les renseignements personnels sont traités à des fins explicites et connaissables (comme la livraison de produits, la sécurité des réseaux et les activités des moteurs de recherche) ou (ii) d’une exception flexible à cette exigence, qui serait fondée sur les « intérêts commerciaux légitimes » et qui pourrait être invoquée uniquement lorsque les organisations ont satisfait à certaines conditions préalables (comme l’évaluation des facteurs relatifs à la vie privée et l’adoption d’un critère de pondération).
Parallèlement, le CPVP recommande que la législation fédérale sur la protection de la vie privée reflète un engagement renouvelé à l’égard des principes de consentement et de transparence par l’intégration d’exigences législatives en matière d’information et de compréhension qui permettraient d’obtenir un consentement valide. La proposition du CPVP vise à rendre le consentement valide uniquement lorsque certains renseignements sont fournis dans un format intelligible et facilement accessible de sorte qu’il est raisonnable de s’attendre à ce qu’une personne les comprenne.
Le CPVP recommande également d’inclure des exigences précises en matière de prise de décision automatisée qui prévoiraient entre autres le droit d’obtenir une explication sur la décision et de la contester[3].
- Cadre fondé sur les droits
Selon le CPVP, la législation fédérale devrait comprendre un cadre qui établit le droit fondamental à la protection de la vie privée tout en reconnaissant le besoin légitime des organisations de traiter des renseignements personnels à des fins raisonnables. Un droit à la vie privée similaire a d’ailleurs été inscrit dans le Code civil du Québec[4] et dans la Charte des droits fondamentaux de l’Union européenne[5].
Le CPVP recommande également la mise en place d’un droit à la réputation qui permettrait aux intéressés de demander l’effacement de leurs renseignements personnels des résultats de recherche (c.-à-d. un droit au déréférencement), sous réserve de certaines conditions. Un droit similaire a déjà été mis en place au Québec et entrera en vigueur en septembre 2023[6].
- Pouvoirs d’application
Le CPVP demande encore une fois un renforcement des pouvoirs d’application, notamment le pouvoir : (i) d’effectuer des vérifications proactives pour assurer la conformité; (ii) de rendre des ordonnances; (iii) d’imposer des amendes, y compris des sanctions administratives pécuniaires (« SAP »); (iv) de conclure des accords de conformité prévoyant de SAP; (v) d’enregistrer ces accords de conformité auprès des tribunaux pour améliorer leur force exécutoire.
Le projet de loi C-11 aurait permis de percevoir d’importantes SAP eut-il été adopté, bien qu’elles auraient été limitées à quelques infractions seulement. Il prévoyait également la création un tribunal distinct qui aurait pu imposer des SAP. Le CPVP recommande plutôt que la législation canadienne sur la protection de la vie privée prévoie que toutes les infractions soient passibles d’une SAP et que le pouvoir de les imposer soit conféré au CPVP, plutôt que d’être réservé à un tribunal distinct[7].
Selon le CPVP, un droit privé d’action indépendant de son processus d’enquête devrait être mis en place pour éviter que les consommateurs ne soient privés de recours s’il choisissait de ne pas enquêter sur une plainte relative à la protection de la vie privée.
Ce ne sont là que quelques-unes des grandes lignes des recommandations du CPVP concernant l’avenir de la législation fédérale sur la protection de la vie privée dans le secteur privé. Il reste à voir combien de ces recommandations seront adoptées, en tout ou en partie, par les législateurs. Nous continuerons de vous tenir informé de l’évolution de la situation, notamment de tout projet de loi déposé pour modifier ou remplacer la LPRPDE.
Le groupe Vie privée et protection des données de McMillan est là pour aider votre organisation à évaluer, à élaborer et à appliquer les politiques et les procédures appropriées en matière de protection de la vie privée et des données, en conformité avec les exigences de la LPRPDE.
McMillan aVantage, le cabinet-conseil en affaires publiques de McMillan S.E.N.C.R.L., s.r.l., peut également aider les organisations qui souhaitent recommander au gouvernement fédéral des changements à apporter à la LPRPDE ou à toute loi qui la remplace.
[1] Commissariat à la protection de la vie privée, Principales recommandations pour une nouvelle loi fédérale sur la protection des renseignements personnels dans le secteur privé, le 4 mai 2022, disponible en ligne [Principales recommandations].
[2] Mémoire sur le projet de loi C-11, « exceptions au consentement ».
[3] Principales recommandations, « Favoriser l’innovation responsable ».
[4] Code civil du Québec, RLRQ c CCQ-1991, art. 3.
[5] Charte des droits fondamentaux de l’Union européenne, 2012/C 326/02, articles 7 et 8.
[6] Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c P-39.1, art. 28.1 (en sa version modifiée par le projet de loi no 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, LQ 2021, c 25).
[7] Mémoire sur le projet de loi C-11, « Accès à des mécanismes de recours rapides et efficaces et précision du rôle du Commissariat ».
Par Robbie Grant, Kristen Pennington et Mitch Koczerginski.
Mise en garde
Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis.
© McMillan S.E.N.C.R.L., s.r.l. 2022
Perspectives (5 Posts)Voir Plus
Préparez-vous! Les vrais effets de la décision de la Cour fédérale sur votre entreprise (réponse à vos questions)
Coalition pour une utilisation responsable du plastique c. Canada : la Cour annule l’ajout des articles manufacturés en plastique aux substances toxiques.
La structuration de sociétés de placement hypothécaire au Canada
Un survol de la structure des sociétés de placement hypothécaire (SPH) au Canada.
Webinaire de FPC pour conseillers juridiques en entreprise | inclusion intégrée, ou comment utiliser les connaissances comportementales pour créer des organisations inclusives
Cette séance stimulante et instructive présentera de nouvelles stratégies comportementales et explorera le concept de « nudges », de petites actions visant à pousser des personnes vers un choix ou une action souhaités, et de « sludge », des irritants cachés dans les systèmes qui empêchent le progrès vers un objectif désiré. Les participant.e.s apprendront des stratégies concrètes pour appliquer les connaissances comportementales en vue d’augmenter la DEIA au sein de leur organisation.
Les ACVM et l’OCRI font le point sur l’examen du cadre réglementaire de la vente à découvert
Le 16 novembre, les ACVM et l’OCRI ont publié l’Avis conjoint 23-332 du personnel des ACVM et de l’OCRI, qui résume les commentaires reçus pour l’Avis 23-329.
Le régime des dessins industriels au Canada
Un survol du régime des dessins industriels du Canada.
Recevez des mises à jour directement dans votre boîte de réception. Vous pouvez vous désabonner en tout temps.