La réforme législative sur la protection des renseignements personnels et des données se poursuivra en 2025

Au cours des dernières années, le gouvernement fédéral et les provinces du Canada ont concentré leurs efforts sur les réformes de la législation sur la protection des renseignements personnels. Ces réformes législatives ont principalement porté sur l’instauration de régimes d’application de la loi considérablement renforcés, comportant notamment des sanctions pécuniaires potentiellement lourdes en cas de non-respect des exigences en matière de protection des renseignements personnels. Ces initiatives introduisent également des exigences relatives aux mécanismes de gouvernance interne documentés, des obligations de transparence accrue à l’égard des pratiques relatives aux renseignements personnels et des dispositions qui facilitent le contrôle par les individus de leurs données.

De manière générale, les propositions législatives, dont celles propres à certains secteurs, imposent de plus en plus d’obligations en matière de protection des renseignements personnels et des données.

Compte tenu des coûts élevés de la conformité et de la menace de lourdes amendes en cas de manquement à ces obligations, il est plus important que jamais pour les entreprises faisant affaire au Canada d’avoir une compréhension approfondie de leurs pratiques en matière de renseignements personnels et de données. Il est tout aussi important pour elles de mettre en œuvre des mécanismes de gouvernance interne documentés et d’autres outils de conformité nécessaires pour assurer le respect des obligations en vertu de ces lois mises à jour et de celles à l’étude.

Le régime de protection des renseignements personnels dans le secteur privé au Québec ne cesse d’évoluer

Comme nous l’avons mentionné dans un article précédent, la législation québécoise sur la protection des renseignements personnels dans le secteur privé impose des sanctions potentiellement lourdes en cas de non-conformité. L’organisation qui ne se conforme pas à la Loi sur la protection des renseignements personnels dans le secteur privé (la LPRP québécoise) s’expose à une amende pouvant atteindre 25 millions de dollars ou un montant correspondant à 4 % de son chiffre d’affaires mondial de l’exercice précédent si ce dernier montant est plus élevé. Elle s’expose également à une sanction administrative pécuniaire pouvant atteindre 10 millions de dollars ou un montant correspondant à 2 % de son chiffre d’affaires mondial de l’exercice précédent si ce dernier montant est plus élevé.

Jusqu’à présent, la Commission d’accès à l’information du Québec (la CAI), organisme québécois de réglementation de la protection des renseignements personnels, n’a imposé ni amendes ni sanctions aux entreprises. Cependant, elle participe actuellement à plusieurs enquêtes réglementaires qui devraient prendre fin en 2025. Les décisions très attendues qui seront rendues dans ces enquêtes fourniront des indications préliminaires sur l’approche de la CAI en matière d’application de la loi, surtout en ce qui concerne le montant des sanctions pécuniaires susceptibles d’être imposées.

L’année dernière, deux modifications importantes ont été apportées au régime québécois de protection des renseignements personnels.

Tout d’abord, en mai 2024, le Règlement sur l’anonymisation des renseignements personnels du Québec [PDF] a introduit des exigences normatives à l’intention des organisations qui procèdent à l’anonymisation de dossiers renfermant des renseignements personnels. Les organisations doivent réaliser l’anonymisation sous la supervision d’une personne « compétente », évaluer les risques de réidentification, établir des techniques d’anonymisation adéquates et d’autres mesures pour diminuer ces risques et réévaluer périodiquement ces risques pour s’assurer que les données restent anonymisées.

Puis, en septembre 2024, les dernières modifications à la LPRP québécoise sont entrées en vigueur et instaurent le premier droit à la « portabilité des données » en vertu des lois canadiennes sur la protection des renseignements personnels. Ce nouveau droit a été abordé précédemment dans un Bulletin d’actualités d’Osler.

Il est plus important que jamais pour les entreprises faisant affaire au Canada d’avoir une compréhension approfondie de leurs pratiques en matière de renseignements personnels et de données.

D’après l’expérience des entreprises régies par le Règlement général sur la protection des données (le RGPD) de l’Union européenne, le processus de réponse aux demandes de portabilité des données peut se révéler difficile et coûteux sur le plan opérationnel. Les entreprises devront s’assurer que les renseignements personnels visés par une demande de portabilité sont à la fois facilement accessibles et dans un « format technologique structuré et couramment utilisé ». La LPRP québécoise ne précise pas quels sont les formats acceptables, mais le gouvernement du Québec a récemment émis des directives dans lesquelles il indique que le format PDF ne serait pas acceptable. Pour répondre efficacement aux demandes de portabilité des données à partir de 2025, les entreprises devront peut-être s’engager dans un processus de normalisation des données entre des systèmes utilisant des formats de données ou de fichiers exclusifs et incompatibles, ce qui prendra du temps et sera techniquement complexe et demandant en ressources.

À partir du 1^er janvier 2025, les organisations devront tenir un registre dans lequel elles consigneront des renseignements détaillés sur les renseignements qu’elles ont anonymisés, les fins pour lesquelles elles entendent utiliser ces renseignements, les techniques d’anonymisation employées et les dates des analyses initiale et subséquente des risques de réidentification.

Adoption d’une nouvelle loi sur la protection des renseignements personnels de santé au Québec

En juillet 2024, le Québec a adopté une loi onéreuse sur la protection des renseignements personnels dans le domaine de la santé. Le Québec était auparavant l’une des seules provinces à ne pas disposer d’une loi sur la protection des renseignements personnels dans le domaine de la santé. La Loi sur les renseignements de santé et de services sociaux définit un ensemble complet de règles régissant la collecte, l’utilisation et la communication de « renseignements de santé et de services sociaux » par des « organismes du secteur de la santé et des services sociaux ». Ce dernier terme désigne essentiellement diverses organisations chargées de fournir des services de santé et de services sociaux, tels que les établissements publics de santé et de services sociaux, les cabinets privés de professionnels, les laboratoires, les centres médicaux spécialisés, les centres de communication santé et les centres de procréation assistée.

La conformité à cette nouvelle loi sur la protection des renseignements personnels dans le secteur de la santé pourrait se révéler coûteuse et nécessiter d’importantes ressources. Les organisations devront satisfaire à une série d’exigences relatives à la protection des renseignements personnels de santé analogues à celles prévues dans la LPRP québécoise. La Loi impose également certaines obligations particulières, comme l’obligation pour les organismes du secteur de la santé et des services sociaux d’utiliser des produits et services technologiques « certifiés » dans certaines circonstances. La procédure de certification et les circonstances dans lesquelles il faudra utiliser les produits et services certifiés seront définies dans un règlement qui n’a pas encore été publié.

Les organisations qui exercent leurs activités dans le secteur de la santé, notamment les intervenants, devront examiner attentivement cette nouvelle loi afin de déterminer si elle s’applique à elles. Si tel est le cas, elles devront analyser de manière approfondie leurs pratiques relativement aux renseignements personnels de santé afin d’assurer leur conformité à ces nouvelles obligations normatives.

Réforme des lois fédérales et provinciales sur la protection des renseignements personnels

En 2024, le projet de loi C‑27, qui vise à remplacer la loi fédérale actuelle (la Loi sur la protection des renseignements personnels et les documents électroniques [la LPRPDE]) et à instaurer la première loi sur l’intelligence artificielle (l’IA) au Canada, est toujours à l’étude devant le Comité permanent de l’industrie et de la technologie. La date d’entrée en vigueur du projet de loi reste incertaine en raison du statut minoritaire du gouvernement fédéral. Comme nous l’avons expliqué dans un article publié en 2023, s’il est adopté, le projet de loi C‑27 imposera de lourdes sanctions en cas de non-respect. Les amendes pourraient atteindre 25 millions de dollars ou, s’il est supérieur, un montant égal à 5 % des recettes globales brutes de l’organisation à l’exercice précédent. Les sanctions administratives pécuniaires pourraient, quant à elles, atteindre 10 millions de dollars ou, s’il est supérieur, un montant égal à 3 % des recettes globales brutes de l’organisation à l’exercice précédent.

Il est probable qu’en 2025, d’autres provinces, à commencer par l’Alberta, apportent des modifications législatives. En Alberta, l’examen de la Personal Information Protection Act (la PIPA) s’est amorcé le 22 janvier 2024. En mai 2024, le Commissariat à l’information et à la protection de la vie privée de cette province (l’OIPC) a présenté une analyse détaillée [PDF] (disponible en anglais seulement) de la PIPA au comité d’examen. Le rapport du comité d’examen doit être déposé d’ici 18 mois. Suivant les tendances observées ailleurs, l’OIPC recommande notamment des pouvoirs d’application de la loi nettement renforcés, y compris des sanctions pécuniaires potentiellement lourdes en cas de non-respect de la loi. D’autres recommandations préconisent des obligations de transparence accrue, un droit à la portabilité des données et à la mobilité des données, un règlement sur la prise de décision automatisée et l’IA, des normes relatives à la dépersonnalisation et à l’anonymisation ainsi que l’introduction de mesures de protection de la vie privée des enfants.

Réformes liées à la protection des renseignements personnels dans des régimes réglementaires sectoriels

En 2025, il faut s’attendre à ce que de nouvelles exigences en matière de protection des renseignements personnels, de sécurité et de données soient intégrées à un éventail grandissant de propositions législatives sectorielles.

Exigences de cybersécurité pour les infrastructures essentielles

À titre d’exemple, il est fort probable que le gouvernement fédéral adopte en 2025 sa proposition visant à renforcer le cadre de cybersécurité pour les infrastructures essentielles du pays. Comme nous l’avons déjà écrit, le projet de loi C-26, qui promulguerait la Loi sur la protection des cybersystèmes essentiels, établirait de nouveaux pouvoirs permettant au gouvernement fédéral de réagir rapidement aux menaces à la sécurité nationale touchant les réseaux d’infrastructures essentielles sous réglementation fédérale. De nouvelles exigences relatives à la mise en œuvre de programmes de cybersécurité robustes, au signalement des incidents et à la tenue de registres sur ceux-ci s’appliqueraient aux services et systèmes d’une importance critique. À l’heure actuelle, ces services et systèmes comprennent les services de télécommunication, les systèmes de pipelines et de lignes électriques interprovinciaux ou internationaux, les systèmes d’énergie nucléaire, les systèmes de transport relevant de la compétence législative du fédéral, les systèmes bancaires et les systèmes de compensation et de règlement.

La loi prévoit des sanctions administratives pécuniaires maximales de 15 millions de dollars par infraction.

Protection des enfants contre les préjudices en ligne

Se joignant aux initiatives législatives au sein de l’Union européenne, au Royaume-Uni, en Australie et dans la région Asie-Pacifique, le gouvernement fédéral poursuivra vraisemblablement ses efforts en vue de faire adopter le projet de loi C-63 qui propose de créer la Loi sur les préjudices en ligne (la LPL).

Comme nous l’avons évoqué dans un article précédent, la LPL imposerait des obligations aux services de médias sociaux, aux services de contenu pour adultes et aux services de diffusion en direct, y compris l’obligation d’intégrer des caractéristiques de conception relatives à la protection des enfants. La LPL prévoit également de lourdes pénalités en cas de non-respect (sous réserve des moyens de défense fondés sur la diligence raisonnable).

Système bancaire ouvert

Comme nous l’expliquions dans notre article de Perspectives juridiques sur le secteur des services financiers, en 2024, le gouvernement fédéral a adopté un régime législatif pour un « système bancaire ouvert » dans le cadre de la Loi sur les services bancaires axés sur les consommateurs (la LSBC). La LSBC n’est pas encore en vigueur et son statut demeure incertain; toutefois le gouvernement fédéral s’est donné comme objectif de mettre en œuvre le cadre de gouvernance nécessaire à cette loi en 2025.

La LSBC est une initiative garantissant un « système bancaire ouvert » qui vise à améliorer l’accès des consommateurs à leurs données financières et leur contrôle de celles-ci, ainsi qu’à faciliter les services financiers innovants. Le cadre du système bancaire ouvert proposé dans la LSBC est en fait un régime de portabilité des données fondé sur le consentement.

Le rythme des réformes devrait se maintenir en 2025

Les importantes réformes législatives touchant la protection des renseignements personnels et des données au Canada se poursuivront en 2025 et après. Ces initiatives, qui prévoiront des sanctions pécuniaires potentiellement lourdes en cas de non-respect, augmenteront les risques juridiques, financiers et d’atteinte à la réputation des entreprises. Pour atténuer ces risques, les organisations de tous les secteurs doivent élaborer des pratiques de gouvernance des données ou les renforcer. Elles doivent aussi s’assurer d’avoir une connaissance approfondie des renseignements personnels qu’elles détiennent et des pratiques qu’elles utilisent pour s’acquitter de l’éventail croissant des obligations en matière de données.