Une année marquée par un tourbillon de réformes législatives sur la protection de la vie privée au Canada

8 Déc 2020 9 MIN DE LECTURE

Au cours de l’année 2020, un tourbillon d’activités de réforme législative a marqué le secteur du respect de la vie privée au Canada. Si elles sont adoptées, les propositions, tant à l’échelon fédéral que provincial, touchant les régimes d’application de la loi et les exigences légales, pourraient rendre les entreprises du Canada passibles de sanctions pécuniaires élevées, faire augmenter les risques de litiges et faire grimper les coûts de conformité. Voici les changements législatifs que subira le secteur du respect de la vie privée.

Le droit fédéral en matière de respect de la vie privée modernisera la LPRPDE

Le 17 novembre 2020, le gouvernement fédéral a déposé un projet de loi proposant d’importantes modifications au cadre national de protection des renseignements personnels au Canada. 

Ce projet de loi tant attendu, intitulé Loi de 2020 sur la mise en œuvre de la Charte du numérique (LMCN), vise à actualiser la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), adoptée il y a près de 20 ans. S’il est adopté, le projet de loi aura pour effet d’établir une nouvelle loi sur la protection de la vie privée dans le secteur privé au Canada, soit la Loi sur la protection de la vie privée des consommateurs (LPVPC), ainsi qu’un nouveau Tribunal de la protection des renseignements personnels et des données.

L’un des ajouts dignes de mention de la LPVPC au cadre actuel de la LPRPDE est la création d’un nouveau régime d’application. Les organisations qui ne se conformeront pas à la LPVPC pourraient être passibles de sanctions pécuniaires administratives pouvant atteindre 5 % du revenu global brut, ou 25 millions de dollars canadiens, selon l’éventualité la plus élevée. La loi prévoit également un droit privé d’action pour la perte ou le préjudice résultant de la contravention à la LPVPC. Enfin, la LPVPC confère au Commissariat à la protection de la vie privée du Canada le droit de rendre des ordonnances.

Par ailleurs, les organisations devront faire face à une augmentation des coûts associés à la mise en œuvre opérationnelle de la conformité continue aux exigences élargies et normatives de la LPVPC (et aux ressources nécessaires pour l’assurer). Voici les principales caractéristiques proposées par la LPVPC :

  • l’exigence que les organisations mettent en œuvre un solide programme de gestion de la protection de la vie privée interne, comportant une gamme complète de politiques, pratiques et procédures écrites, conçues pour assurer la conformité à toutes les prescriptions de la loi;
  • un renforcement des exigences relatives au consentement du traitement des renseignements personnels, qui obligera les organisations à examiner la collecte, l’utilisation et la divulgation de renseignements personnels, à améliorer leurs avis en matière de consentement et à élaborer ou à améliorer leurs pratiques liées à la gestion du consentement;
  • un renforcement des exigences en matière de transparence prévues par la loi, obligeant les organisations à revoir leurs avis publics afin de s’assurer qu’ils sont rédigés en « langage simple » et qu’ils sont conformes aux exigences prescrites en matière de contenu; 
  • l’exigence que les organisations précisent le but de chaque collecte de renseignements personnel, qu’elles en évaluent le bien-fondé et qu’elles en tiennent un registre;
  • la limitation de la collecte de renseignements personnels à seulement ce qui est « nécessaire » (c.-à-d. pas seulement « raisonnablement nécessaire ») dans les circonstances. 

Par ailleurs, les individus se verront accorder plusieurs nouveaux droits aux termes de la LPVPC. Les individus disposeront du droit de retrait de renseignements personnels, ce qui obligera les organisations à supprimer de façon « définitive et irréversible » les renseignements personnels de l’individu (sous réserve de certaines exceptions). De plus, la LPVPC prévoit des droits de « mobilité des données » permettant aux individus de demander le transfert de leurs renseignements personnels d’une organisation à une autre. 

Même si le fait que le gouvernement fédéral soit minoritaire et que l’explosion de la pandémie de COVID-19 suscitent certaines inquiétudes quant au moment de la promulgation de la LPVPC, la réforme de la législation canadienne sur la protection de la vie privée demeure une priorité essentielle pour le gouvernement libéral. Nous prévoyons que ce projet de loi sera adopté vers la fin de l’année 2021. 

Le projet de loi 64 du Québec prévoit des modifications radicales à la loi en vigueur sur le respect de la vie privée

Le projet de loi 64 du Québec, déposé en juin dernier, intitulé Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, propose des changements radicaux au régime actuel du Québec en matière de protection de la vie privée. S’il est adopté, ce projet de loi mettra en place des sanctions pécuniaires administratives élevées (notamment des amendes pouvant atteindre « 4 % du chiffre d’affaires mondial de l’exercice financier précédent » aux termes des dispositions sur les infractions), des dommages-intérêts prévus par la loi, un régime de déclaration des incidents en matière de sécurité, de nouveaux droits prévus par la loi (notamment le droit d’un individu d’exiger qu’une organisation « cesse la diffusion de ce renseignement personnel ou que soit désindexé tout hyperlien rattaché à son nom ») ainsi que toute une gamme d’autres modifications touchant les organisations du secteur privé.

S’il est adopté dans sa forme actuelle, le projet de loi 64 imposerait les exigences les plus onéreuses à l’échelle mondiale en matière de protection des renseignements personnels. Dans bien des cas, les obligations et d’autres éléments du projet de loi 64 sont plus contraignants et plus normatifs que les exigences imposées par le Règlement général sur la protection des données de l’Union européenne.

Parmi les exigences rigoureuses du projet de loi 64, on compte les obligations relatives à la responsabilité, une nouvelle exigence relative à la « confidentialité par défaut », un droit de « désactivation » fort étendu, en matière d’identification, de localisation ou de profilage, aux circulations des données à l’extérieur du Québec, aux analyses d’impact, au consentement et aux exceptions au consentement, à la norme de protection des renseignements personnels, à la conservation des données, à la transparence, au processus décisionnel automatisé et aux multiples droits concernant les données. 

Au cours d’une très brève consultation tenue en octobre, le gouvernement du Québec a reçu de nombreux mémoires très critiques du projet de loi 64. Une version révisée du projet de loi est attendue au début de 2021. 

La loi sur la protection de la vie privée de la Colombie-Britannique est en cours d’examen

Le 26 février 2020, l’Assemblée législative de la Colombie-Britannique a formé un comité spécial chargé de réviser la Personal Information Protection Act (PIPA). Le commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique a proposé un certain nombre de modifications à la PIPA qui sont conformes aux autres réformes proposées. Cela englobe un rehaussement important du régime d’application (notamment des sanctions pécuniaires administratives et le droit de rendre des ordonnances), la création d’une exigence de notification des incidents, et la « modernisation » des exigences de la PIPA en matière de consentement.

L’Ontario s’achemine vers une loi sur la protection de la vie privée dans le secteur privé

En vue d’améliorer les lois sur la protection de la vie privée provinciales, au cours de l’été 2020, le ministère des Services gouvernementaux et des Services aux consommateurs de l’Ontario a lancé une consultation en matière de protection de la vie privée. L’objectif du gouvernement est de créer un cadre législatif sur la protection de la vie privée, dans le secteur privé. Le processus de consultation publique, qui a pris fin en octobre, sollicitait des observations dans divers domaines. Cela englobait les pouvoirs d’application du commissaire à l’information et à la protection de la vie privée (CIPVP), un modèle de consentement par adhésion, des droits de portabilité et de suppression des données, des fiducies de données pour le partage de données, et des exigences en matière de dépersonnalisation.

Ces sujets de consultation laissent entendre que toute loi future dans le secteur privé de l’Ontario serait relativement conforme à la LPRPDE et à d’autres modèles provinciaux applicables au secteur privé. Plus particulièrement, en conformité avec d’autres lois provinciales touchant le secteur privé, il est probable que cette nouvelle loi régira les relations d’emploi réglementées par la province, domaine du droit de la vie privée en Ontario qui n’était pas réglementé auparavant.

On ignore encore le moment où un projet de loi sur la vie privée sera déposé.

Réforme de la loi sur la protection des renseignements personnels en matière de santé

Dans le domaine de la santé, le projet de loi 46 de l’Alberta présente des modifications proposées à la Health Information Act (HIA), et l’Ontario a adopté d’importantes modifications à la Loi sur la protection des renseignements personnels sur la santé.

Parmi les modifications apportées à cette loi, on compte l’attribution de nouveaux pouvoirs au CIPVP (comme le pouvoir d’imposer des sanctions administratives illimitées), l’augmentation des sanctions en cas d’infraction, l’ajout d’obligations relatives aux journaux d’audit, et l’établissement d’exigences normatives et permissibles quant à la collecte et à la divulgation de renseignements personnels en matière de santé. 

Conclusion

Beaucoup s’attendent à ce que les réformes législatives fédérales et provinciales se poursuivent tout au long de 2021. Les organisations seraient avisées de se familiariser avec les modifications à venir et de suivre la progression des réformes afin de se doter du cadre de conformité nécessaire lorsque ces modifications entreront en vigueur.