Le Commissariat à la protection de la vie privée publie ses principales recommendations pour une nouvelle loi fédérale applicable au secteur privé

Le Commissariat à la protection de la vie privée publie ses principales recommendations pour une nouvelle loi fédérale applicable au secteur privé

Plus tôt ce mois-ci, le Commissariat à la protection de la vie privée du Canada (« CPVP ») a publié un résumé de ses principales recommandations en vue d’une nouvelle loi fédérale applicable au secteur privé (les « principales recommandations ») qui viendrait actualiser ou remplacer la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE »)[1].

Le gouvernement fédéral a récemment tenté de modifier la LPRPDE en déposant le projet de loi C-11, Loi de 2020 sur la mise en œuvre de la Charte du numérique. Le projet a fait l’objet de critiques de la part d’entreprises, de défenseurs de la protection de la vie privée et du CPVP lui-même, avant de mourir au feuilleton au déclenchement des élections fédérales en 2021.

Depuis son arrivée au pouvoir, le nouveau gouvernement fédéral n’a pris aucune mesure significative pour faire avancer un projet de loi similaire. Néanmoins, le gouvernement fédéral déposera vraisemblablement un nouveau projet de loi afin d’éviter le décalage entre sa législation sur la protection de la vie privée et celle des provinces et des territoires, en cours de modernisation.

Voici les grandes lignes des principales recommandations du CPVP.

• Réinventer le cadre canadien fondé sur le consentement

Le CPVP est bien conscient des enjeux que soulève le cadre actuel de la LPRPDE, dans lequel la principale justification de la collecte, de l’utilisation et de la communication de renseignements personnels est le consentement. Par exemple, selon le modèle actuel, il peut être difficile pour les consommateurs d’exercer un réel contrôle sur le traitement de leurs renseignements personnels ou de prendre des décisions éclairées en matière de consentement lorsque les politiques de protection de la vie privée et les conditions d’utilisation sont longues et formulées dans un jargon juridique[2]. En outre, comme les renseignements personnels passent souvent entre les mains de diverses entités au cours de leur cycle de vie, les organisations ont parfois du mal à résumer ou à expliquer succinctement leurs transferts ou utilisations possibles au moment de leur collecte.

Dans ses principales recommandations, le CPVP conseille la mise en place (i) de nouvelles exceptions à l’exigence de consentement de la LPRPDE lorsque les renseignements personnels sont traités à des fins explicites et connaissables (comme la livraison de produits, la sécurité des réseaux et les activités des moteurs de recherche) ou (ii) d’une exception flexible à cette exigence, qui serait fondée sur les « intérêts commerciaux légitimes » et qui pourrait être invoquée uniquement lorsque les organisations ont satisfait à certaines conditions préalables (comme l’évaluation des facteurs relatifs à la vie privée et l’adoption d’un critère de pondération).

Parallèlement, le CPVP recommande que la législation fédérale sur la protection de la vie privée reflète un engagement renouvelé à l’égard des principes de consentement et de transparence par l’intégration d’exigences législatives en matière d’information et de compréhension qui permettraient d’obtenir un consentement valide. La proposition du CPVP vise à rendre le consentement valide uniquement lorsque certains renseignements sont fournis dans un format intelligible et facilement accessible de sorte qu’il est raisonnable de s’attendre à ce qu’une personne les comprenne.

Le CPVP recommande également d’inclure des exigences précises en matière de prise de décision automatisée qui prévoiraient entre autres le droit d’obtenir une explication sur la décision et de la contester[3].

• Cadre fondé sur les droits

Selon le CPVP, la législation fédérale devrait comprendre un cadre qui établit le droit fondamental à la protection de la vie privée tout en reconnaissant le besoin légitime des organisations de traiter des renseignements personnels à des fins raisonnables. Un droit à la vie privée similaire a d’ailleurs été inscrit dans le Code civil du Québec[4] et dans la Charte des droits fondamentaux de l’Union européenne[5].

Le CPVP recommande également la mise en place d’un droit à la réputation qui permettrait aux intéressés de demander l’effacement de leurs renseignements personnels des résultats de recherche (c.-à-d. un droit au déréférencement), sous réserve de certaines conditions. Un droit similaire a déjà été mis en place au Québec et entrera en vigueur en septembre 2023[6].

• Pouvoirs d’application

Le CPVP demande encore une fois un renforcement des pouvoirs d’application, notamment le pouvoir : (i) d’effectuer des vérifications proactives pour assurer la conformité; (ii) de rendre des ordonnances; (iii) d’imposer des amendes, y compris des sanctions administratives pécuniaires (« SAP »); (iv) de conclure des accords de conformité prévoyant de SAP; (v) d’enregistrer ces accords de conformité auprès des tribunaux pour améliorer leur force exécutoire.

Le projet de loi C-11 aurait permis de percevoir d’importantes SAP eut-il été adopté, bien qu’elles auraient été limitées à quelques infractions seulement. Il prévoyait également la création un tribunal distinct qui aurait pu imposer des SAP. Le CPVP recommande plutôt que la législation canadienne sur la protection de la vie privée prévoie que toutes les infractions soient passibles d’une SAP et que le pouvoir de les imposer soit conféré au CPVP, plutôt que d’être réservé à un tribunal distinct[7].

Selon le CPVP, un droit privé d’action indépendant de son processus d’enquête devrait être mis en place pour éviter que les consommateurs ne soient privés de recours s’il choisissait de ne pas enquêter sur une plainte relative à la protection de la vie privée.

Ce ne sont là que quelques-unes des grandes lignes des recommandations du CPVP concernant l’avenir de la législation fédérale sur la protection de la vie privée dans le secteur privé. Il reste à voir combien de ces recommandations seront adoptées, en tout ou en partie, par les législateurs. Nous continuerons de vous tenir informé de l’évolution de la situation, notamment de tout projet de loi déposé pour modifier ou remplacer la LPRPDE.

Le groupe Vie privée et protection des données de McMillan est là pour aider votre organisation à évaluer, à élaborer et à appliquer les politiques et les procédures appropriées en matière de protection de la vie privée et des données, en conformité avec les exigences de la LPRPDE.

McMillan aVantage, le cabinet-conseil en affaires publiques de McMillan S.E.N.C.R.L., s.r.l., peut également aider les organisations qui souhaitent recommander au gouvernement fédéral des changements à apporter à la LPRPDE ou à toute loi qui la remplace.

[1] Commissariat à la protection de la vie privée, Principales recommandations pour une nouvelle loi fédérale sur la protection des renseignements personnels dans le secteur privé, le 4 mai 2022, disponible en ligne [Principales recommandations].
[2] Mémoire sur le projet de loi C-11, « exceptions au consentement ».
[3] Principales recommandations,  « Favoriser l’innovation responsable ».
[4] Code civil du Québec, RLRQ c CCQ-1991, art. 3.
[5] Charte des droits fondamentaux de l’Union européenne, 2012/C 326/02, articles 7 et 8.
[6] Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c P-39.1, art. 28.1 (en sa version modifiée par le projet de loi n^o 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, LQ 2021, c 25).
[7] Mémoire sur le projet de loi C-11,  « Accès à des mécanismes de recours rapides et efficaces et précision du rôle du Commissariat ».

Par Robbie Grant, Kristen Pennington et Mitch Koczerginski.

Mise en garde

Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis.

© McMillan S.E.N.C.R.L., s.r.l. 2022