Comment le projet de loi C-11 changera-t-il la manière dont les organisations traitent les renseignements personnels?

La nouvelle loi sur la protection des renseignements personnels proposée par le gouvernement fédéral changera de manière radicale la manière dont les organisations canadiennes recueillent, utilisent, divulguent et conservent les renseignements personnels. Les organisations feront l’objet d’une surveillance accrue quant à la manière dont elles traitent les renseignements personnels et elles devront se conformer à de nouvelles obligations en matière de protection de la vie privée. Les organisations qui ne respectent pas ces obligations pourraient faire l’objet d’ordonnances correctives et être passibles d’amendes correspondant à 5 % des recettes globales ou 25 M$ CA, selon le plus élevé des deux montants. 

Le 17 novembre, le gouvernement fédéral a déposé le projet de loi C-11, soit la Loi de 2020 sur la mise en œuvre de la Charte du numérique, qui édicte la Loi sur la protection de la vie privée des consommateurs (LPVPC) et la Loi sur le Tribunal de la protection des renseignements personnels et des données et apporte des modifications connexes à d’autres lois.

Le projet de loi C-11 a pour objet d’édicter d’importants changements à la partie 1 de la loi fédérale canadienne sur la protection des renseignements personnels dans le secteur privé en vigueur actuellement, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). On s’attend à ce que des amendements au projet de loi puissent être proposés au fil du processus parlementaire et nous vous fournirons d’autres mises à jour au fur et à mesure que ce processus suivra son cours.

Changement fondamental dans l’application

Le projet de loi C-11, tel qu’il est rédigé, changera fondamentalement le modèle d’application en vigueur actuellement en vertu de la LPRPDE en accordant au commissaire à la protection de la vie privée du Canada (CPVP) d’importants pouvoirs d’ordonnance ainsi que le pouvoir de recommander l’imposition d’amendes. Le projet de loi C-11 établira aussi un nouveau Tribunal de la protection des renseignements personnels et des données pour entendre les appels concernant les ordonnances émises par le CPVP ainsi que pour établir et imposer aux organisations les amendes recommandées par le CPVP. Les individus disposeront également d’un droit privé d’action pour les dommages réels subis.   

Consentement et exonérations proposées

Bien que ces modifications proposées au modèle d’application haussent assurément les exigences en matière de conformité pour les organisations, le projet de loi C-11 propose également certaines modifications importantes au modèle de consentement existant en vertu de la LPRPDE. Le projet de loi C-11 abandonnera aussi l’exigence de connaissance et de consentement des individus comme condition préalable à l’exercice de certaines activités commerciales énumérées, lorsque cette connaissance et ce consentement devraient être évidents pour un individu raisonnable, ainsi que pour certaines fins socialement bénéfiques. De plus, le projet de loi précise que l’organisation peut transférer à ses fournisseurs de services les renseignements personnels d’un individu à son insu ou sans son consentement.

Points à retenir

Les organisations qui souhaitent prendre de l’avance en attendant l’adoption imminente de la loi devraient tenir compte des éléments suivants de la LPVPC dans le cadre de l’ajustement de leur programme de conformité en matière de protection des renseignements personnels. Il ne s’agit aucunement d’une liste exhaustive. De plus, les éléments précis dont une organisation devra tenir compte dépendront de la portée et des motifs de la collecte, de l’utilisation et du traitement des renseignements personnels :

• Examinez votre plan d’intervention en cas d’atteinte à la sécurité. Bien que les obligations en matière de déclaration obligatoire des atteintes prévues dans la LPVPC soient généralement conformes à celles qui sont prévues dans la LPRPDE, le CPVP disposera de plus grands pouvoirs d’enquête et les conséquences éventuelles d’une violation de ces obligations sont bien plus importantes. Par exemple, toute organisation qui viole en toute connaissance de cause ses obligations en matière de déclaration obligatoire des atteintes peut être passible d’une amende correspondant à 5 % de ses recettes globales ou 25 M$, selon le plus élevé des deux montants. Les entreprises devraient revoir leur plan d’intervention en cas d’atteinte à la sécurité pour tenir compte de la surveillance accrue et des amendes sévères. (Les organisations pourraient aussi consulter notre actualité précédente sur la planification d’intervention en cas d’atteinte à la sécurité.)
• Mettez en œuvre un programme de gestion de la protection des renseignements personnels. La LPVPC exigera que les organisations mettent en œuvre un programme de gestion de la protection des renseignements personnels énonçant leurs politiques, pratiques et procédures et tenant compte du volume et de la nature délicate des renseignements personnels qui leur sont confiés. La LPRPDE comportait une exigence semblable de mise en œuvre de politiques et de procédures, mais le projet de loi C-11 envisage un programme plus formel et plus rigoureux.
• Examinez vos politiques en matière de protection des renseignements personnels et d’avis. La LPVPC imposera aux organisations d’utiliser un « langage clair » dans leurs politiques sur la protection des renseignements personnels, avis relatifs au consentement, etc. (ce qui n’était pas une exigence expresse en vertu de la LPRPDE) et elle établit par ailleurs l’information prescrite au sujet du traitement des renseignements personnels afin de veiller à ce que ce traitement soit fait de manière transparente.
• Évaluez si votre organisation peut donner de nouveaux droits individuels en matière de protection des renseignements personnels. La LPVPC confère des droits en matière de protection des renseignements personnels qui reproduisent ceux qui sont prévus dans les lois de référence en la matière, comme le Règlement général sur la protection des données (RGPD) européen, notamment i) le droit de transférer des renseignements personnels d’une organisation à une autre (droit à la portabilité) et ii) le droit de demander à une organisation de supprimer des renseignements personnels qu’elle détient au sujet d’un individu, sous réserve de certaines exceptions. Dans le monde de l’intelligence artificielle et des mégadonnées, la LPVPC accorde aux individus le droit général d’obtenir une explication sur la manière dont un système décisionnel automatisé parvient à une prédiction, à une recommandation ou à une décision sur le consommateur. Cependant, ce sont les organisations qui sont responsables des processus qui donnent effet à ces droits à la protection des renseignements personnels. Une organisation pourrait être tenue de revoir ses processus et procédures pour déterminer si elle peut, sur le plan opérationnel, donner effet à ces droits (par exemple en ce qui a trait à l’utilisation d’un type d’IA en particulier, comme les réseaux neuronaux) et si elle est en mesure de le faire de manière efficiente et rentable.

Ce projet de loi attendu depuis longtemps cherche à introduire au Canada une loi sur la protection des renseignements personnels qui est comparable aux régimes de protection des renseignements personnels les plus stricts du monde, comme le RGPD et la California Consumer Privacy Act (CCPA). Il existe cependant certaines différences clés quant à la manière dont les droits en matière de protection des renseignements personnels sont touchés (qui fera l’objet d’articles futurs).

Bien qu’Industrie Canada ait indiqué dans ses séances d’information technique sur le projet de loi C-11 qu’il y aurait un délai de grâce entre le moment de la sanction royale et celui de l’entrée en vigueur de la nouvelle loi, il est aussi recommandé aux organisations de mettre en place des pratiques exemplaires comme elles l’ont fait dans le cadre de leur préparation en vue de se conformer au RGPD et à la CCPA : il vaut mieux s’efforcer de s’y conformer le plus tôt possible pour éviter de devoir examiner et réviser les politiques, processus et procédures nécessaires pour se conformer aux futures nouvelles exigences dans la précipitation. En résumé, il n’est pas trop tôt pour s’ajuster au nouveau projet de loi C-11.