La cybersécurité au cœur de la réforme du droit à la protection de la vie privée au Canada

L’économie numérique a transformé nos modes de vie ainsi que la façon dont les organisations exercent leurs activités. Elle soulève également des enjeux inédits au chapitre de la protection de la vie privée; des enjeux qui étaient encore inimaginables à l’époque où les lois sur la protection de la vie privée dans le secteur privé ont été rédigées. Les organisations recueillent et compilent de plus en plus d’énormes quantités de renseignements personnels, dont des renseignements personnels sensibles, et utilisent ceux-ci à des fins très variées, comme l’analyse de données et l’intelligence artificielle (l’« IA »), dans le but d’offrir un meilleur service à leurs clients.

Partout au pays et ailleurs dans le monde, les législateurs tentent de moderniser les lois sur la protection de la vie privée pour tenir compte de l’évolution de la situation. L’Union européenne a renforcé ses lois en la matière en 2018 en adoptant le Règlement général sur la protection des données (le « RGPD »). La Californie, le Japon, la Corée et le Brésil, entre autres, lui ont d’ailleurs emboîté le pas. Au Canada, le gouvernement fédéral et les gouvernements de certaines provinces ont signalé avoir l’intention de moderniser eux aussi leurs lois sur la protection de la vie privée.

  • En mai 2019, dans le cadre de la Charte canadienne du numérique, le gouvernement fédéral a recommandé que des modifications soient apportées à la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE »), soit la loi canadienne régissant la protection des renseignements personnels dans le secteur privé.
  • En août 2020, le gouvernement de l’Ontario a lancé une consultation sur la réforme du droit de la protection de la vie privée en vue d’adopter une loi provinciale qui réglemente la protection de la vie privée dans le secteur privé (et possiblement dans d’autres secteurs, comme ceux des organismes à but non lucratif et des organismes de bienfaisance). À l’heure actuelle, les lois de l’Ontario sur la protection de la vie privée s’appliquent uniquement au secteur public et au secteur de la santé, quoique les organisations du secteur privé en Ontario sont assujetties à la LPRDPE.
  • En juin 2020, l’Assemblée nationale du Québec a déposé un projet de loi (le « projet de loi 64 ») qui vise à moderniser la législation provinciale en matière de protection de la vie privée. Si le projet de loi 64 devait être adopté dans sa forme actuelle, il créerait pour cette province une loi sur la protection de la vie privée dans le secteur privé essentiellement semblable au RGPD. En décembre 2019, l’Assemblée nationale du Québec a également déposé un autre projet de loi (le « projet de loi 53 ») en vue de l’adoption d’une loi visant expressément à resserrer l’encadrement des pratiques commerciales et de gestion des agences d’évaluation du crédit. Le projet de loi 53 a été adopté le 28 octobre 2020 et entrera en vigueur le 1er février 2021.
  • En février 2020, le gouvernement de la Colombie-Britannique a entrepris la révision de la Personal Information Protection Act (la « PIPA de la C.-B. »). Dans le cadre de cet examen, le commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique (le « commissaire de la C.-B. ») et d’autres intervenants ont formulé des recommandations en vue de la réforme de cette loi.

Bien que les gouvernements aient chacun formulé leurs propres propositions, il n’en reste pas moins que certaines se rejoignent, notamment :

1. Déclaration obligatoire des atteintes

Si, au fédéral et en Alberta, le secteur privé est tenu de déclarer toute atteinte à la protection de la vie privée, les lois de la Colombie-Britannique et du Québec sur la protection de la vie privée dans le secteur privé ne prévoient pas une telle obligation. Grâce aux réformes projetées des lois sur la protection de la vie privée en Colombie-Britannique et au Québec, la déclaration obligatoire des atteintes devrait voir le jour dans ces provinces, comme c’est le cas au fédéral et en Alberta. La déclaration des atteintes permet aux gouvernements de suivre les tendances en matière d’atteintes et de cybermenaces. En outre, il est souvent avancé que la déclaration obligatoire des atteintes a pour effet d’inciter les organisations à investir dans des technologies qui assurent la protection des données recueillies.

2. Pouvoirs d’application de la loi

Au Canada, les commissaires à la protection de la vie privée ne jouissent pas de grands pouvoirs au chapitre de l’application de la loi. En Europe, cependant, les amendes en cas de non-conformité au RGPD peuvent être élevées. Elles peuvent atteindre 20 M€ ou 4 % du chiffre d’affaires mondial d’une société. Les commissaires à la protection de la vie privée au Canada réclament tous de plus grands pouvoirs à ce chapitre, notamment la capacité d’imposer directement des pénalités administratives pécuniaires, de rendre des ordonnances contraignantes et de lancer des enquêtes. Si le projet de loi 64 du Québec devait être adopté dans sa forme actuelle, la loi prévoirait la possibilité de pénalités dont les montants seraient similaires à ceux du RGPD.

3. Fournisseurs de services tiers

Les organisations confient de plus en plus leurs activités de traitement des données à des fournisseurs de services tiers, y compris des fournisseurs situés à l’extérieur du Canada. Certaines lois canadiennes sur la protection de la vie privée indiquent clairement que les organisations qui transfèrent leurs données demeurent responsables des renseignements personnels transférés. Cependant, ces lois sont moins précises quant à ce que ces organisations doivent faire pour s’assurer que les données sont manipulées et protégées adéquatement. Le projet de loi 64 du Québec prévoit que les organisations devront conclure par écrit des ententes de services avec les fournisseurs de services. Ces ententes devront indiquer les mesures spécifiques que les fournisseurs tiers devront prendre pour protéger les renseignements personnels. Dans le cas où le fournisseur de services est situé à l’extérieur du Québec, une évaluation de la protection de la vie privée devra être menée et des protections contractuelles devront être prévues. Le commissaire de la C.-B. aimerait que la PIPA de la C.-B. soit modifiée afin d’imposer des obligations similaires, quoique moins prescriptives que celles proposées dans le projet de loi 64 du Québec et sans aller jusqu’à suggérer que les transferts de données transfrontaliers soient expressément réglementés. Il est vraisemblable de penser que des modifications semblables seront apportées à la LPRPDE et incluses dans toute nouvelle loi sur la protection de la vie privée en Ontario.

4. Consentement

Le Commissaire à la protection de la vie privée du Canada a fait savoir sans équivoque que les avis sur la protection de la vie privée qui s’étirent en longueur, sont écrits en jargon juridique et sont d’une durée indéterminée ne constituent pas un moyen efficace d’obtenir un consentement valable en vertu des lois canadiennes sur la protection de la vie privée. Toutefois, étant donné que cette façon de procéder se poursuit, les gouvernements au pays continuent de chercher des façons de favoriser la transparence et le consentement valable.

Le projet de loi 64 du Québec imposerait aux organisations l’obligation d’utiliser un langage clair et simple lorsqu’elles décrivent leurs pratiques en matière de collecte, d’utilisation et de communication de renseignements. En outre, l’avis sur le consentement relatif à la protection de la vie privée devrait être à part des autres modalités juridiques, tandis que les paramètres par défaut pour la protection de la vie privée devraient être établis de manière à offrir le niveau de protection le plus élevé. Un consentement exprès positif devrait être obtenu à l’égard du traitement de renseignements personnels à des fins secondaires, comme le marketing. Des propositions semblables sont envisagées en Colombie-Britannique, en Ontario et au fédéral.

5. Contrôle exercé par les particuliers

Les commissaires à la protection de la vie privée de l’Ontario, du Québec et de la Colombie-Britannique, de même que le commissaire fédéral, voudraient que soient apportées des modifications qui donneraient aux particuliers un plus grand contrôle de leurs renseignements personnels. Le RGPD fournit quelques exemples de tels droits, notamment le droit de s’opposer à des décisions prises de façon automatisée, le droit de demander à une organisation de supprimer des renseignements personnels (le droit à l’effacement ou le droit à l’oubli), et le droit de demander des données dans un format lisible et transférable (droit à la portabilité des données).

Le projet de loi 64 du Québec accorderait aux particuliers des droits similaires à ceux prévus dans le RGPD. Bien que le commissaire de la C.-B. appuie l’idée d’un droit à la portabilité des données, ainsi que d’un droit d’être avisé de l’existence de processus de prise de décisions automatisés et d’obtenir des renseignements au sujet de tels processus, celui-ci n’est pas allé jusqu’à appuyer un droit à l’effacement car, à son avis, un tel droit serait difficile à appliquer d’un point de vue pratique.

DISCLAIMER: Because of the generality of this update, the information provided herein may not be applicable in all situations and should not be acted upon without specific legal advice based on particular situations.

© Blake, Cassels & Graydon LLP | Attorney Advertising

Written by:

Blake, Cassels & Graydon LLP
Contact
more
less

Blake, Cassels & Graydon LLP on:

Reporters on Deadline

"My best business intelligence, in one easy email…"

Your first step to building a free, personalized, morning email brief covering pertinent authors and topics on JD Supra:
*By using the service, you signify your acceptance of JD Supra's Privacy Policy.
Custom Email Digest
- hide
- hide

This website uses cookies to improve user experience, track anonymous site usage, store authorization tokens and permit sharing on social media networks. By continuing to browse this website you accept the use of cookies. Click here to read more about how we use cookies.