Le 17 novembre 2020, Navdeep Bains, ministre de l’Innovation, des Sciences et de l’Industrie, a présenté le projet de loi C‑11, la Loi de 2020 sur la mise en œuvre de la Charte du numérique. S’il est adopté, ce projet de loi très attendu transformerait l’approche du gouvernement fédéral en matière de réglementation de la protection des renseignements personnels dans le secteur privé en abrogeant les parties de la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE ») qui réglementent le traitement des renseignements personnels et en édictant une nouvelle Loi sur la protection de la vie privée des consommateurs (la « LPVPC » ou la « Loi »). Le projet de loi édicterait aussi la Loi sur le Tribunal de la protection des renseignements personnels et des données devant constituer un tribunal administratif chargé d’entendre les appels interjetés à l’encontre de certaines décisions rendues par le commissaire à la protection de la vie privée du Canada en vertu de la LPVPC et d’infliger des pénalités en cas de contravention à certaines de ses dispositions.

Comme il fallait s’y attendre, la LPVPC réécrit l’annexe sur les principes de protection des renseignements personnels de la LPRPDE, objet de nombreuses critiques, pour en faire des dispositions de fond intégrées dans le corps de la Loi. De nombreuses obligations prévues dans la LPRPDE ont été transférées à la LPVPC. Toutefois, la LPVPC crée aussi plusieurs nouvelles obligations et obligations renforcées pour les organisations du secteur privé, dont les suivantes :

• L’obligation de mettre en œuvre un programme de gestion de la protection des renseignements personnels qui comprend des politiques, des pratiques et des procédures visant à assurer la conformité avec la LPVPC et de donner au commissaire l’accès à ces politiques, pratiques et procédures sur demande.
• L’obligation de donner des explications dans un langage clair concernant le traitement des renseignements personnels, tant pour l’obtention d’un consentement valide que pour la satisfaction aux exigences de transparence en vertu de la LPVPC.
• Les droits de portabilité des données visant à accorder aux particuliers davantage de contrôle à l’égard du transfert de leurs renseignements personnels d’une organisation à l’autre.
• L’obligation de permettre aux particuliers de demander que l’organisation procède au retrait de leurs renseignements personnels, sous réserve d’un nombre limité d’exceptions.
• Les nouvelles exigences de transparence qui s’appliquent aux systèmes décisionnels automatisés comme les algorithmes et l’intelligence artificielle et qui obligent les entreprises à expliquer la façon dont ces systèmes sont utilisés.
• Les règles régissant la façon dont les renseignements dépersonnalisés tirés des renseignements personnels peuvent être créés, utilisés et communiqués et le moment où ils peuvent l’être.
• L’obligation pour les organisations de dépersonnaliser les renseignements personnels avant de les communiquer aux parties dans le cadre d’une transaction commerciale proposée, par exemple, au cours du contrôle diligent.
• Nous présentons ci‑après un survol de certains éléments clés du projet de loi C‑11, dont les modifications proposées aux régimes de consentement et d’application.

PORTÉE

À l’instar de la LPRPDE, la LPVPC s’appliquerait aux organisations qui recueillent, utilisent ou communiquent des renseignements personnels dans le cadre d’activités commerciales ainsi qu’à l’égard des renseignements personnels au sujet d’un employé qui sont recueillis, utilisés ou communiqués par une organisation dans le cadre d’une entreprise fédérale. La LPVPC comprend une nouvelle définition de l’« activité commerciale », laquelle s’entend désormais de « toute activité régulière ainsi que tout acte isolé qui revêtent un caractère commercial, compte tenu des objectifs de l’organisation qui exerce l’activité ou commet l’acte, du contexte dans lequel l’activité est exercée ou l’acte est posé, des personnes en cause et des résultats de l’activité ou de l’acte. » Cette nouvelle définition ne fait plus mention de « la vente, [du] troc ou [de] la location de listes de donneurs, d’adhésion ou de collecte de fonds », mention qui était contenue dans la LPRDPE.

La LPVPC maintiendrait aussi la capacité du gouverneur en conseil de soustraire les organisations à l’application de la Loi lorsqu’une loi provinciale sur la protection des renseignements personnels « essentiellement semblable » s’applique à la collecte, à l’utilisation ou à la communication des renseignements personnels survenant dans cette province. La LPVPC stipule que lorsqu’une telle dispense existe, elle ne s’applique qu’au traitement des renseignements personnels survenant dans la province visée et que la LPVPC continuera de s’appliquer aux renseignements personnels recueillis, utilisés ou communiqués d’une province à l’autre ou d’un pays à l’autre.

Par conséquent, la LPVPC précise, de façon très utile, que les obligations en vertu de la Loi s’appliquent aux organisations de qui relèvent les renseignements personnels et que seulement certaines dispositions de la Loi de 2020 sur la mise en œuvre de la Charte du numérique, dont les obligations se rapportant précisément au signalement des contraventions, s’appliquent directement aux fournisseurs de services.

RÉFORME DU RÉGIME DE CONSENTEMENT

Les nouvelles mesures législatives prévoient la réforme du régime de consentement. Même si la Loi exige généralement l’obtention d’un « consentement valide » à la collecte, à l’utilisation ou la communication de renseignements personnels et énonce une liste de conditions qui doivent être remplies pour que le consentement soit considéré comme valide, elle présente dans le détail les exclusions qui permettent la collecte, l’utilisation et la communication de renseignements personnels sans consentement.

Par exemple, la LPVPC soustrairait les organisations à l’obligation d’obtenir un « consentement valide » à la collecte et à l’utilisation de renseignements personnels pour des « activités d’affaires » visées dans les situations suivantes :

• Une personne raisonnable s’attendrait à une telle collecte ou à une telle utilisation.
• Les renseignements personnels ne sont pas recueillis ou utilisés en vue d’influencer le comportement ou les décisions de l’individu.
• Les « activités d’affaires » visées comprennent les suivantes :
• Les activités nécessaires à la fourniture ou à la livraison d’un produit ou à la prestation d’un service demandé par l’individu à l’organisation.
• Les activités menées à des fins de diligence raisonnable pour réduire ou prévenir les risques commerciaux de l’organisation.
• Les activités nécessaires à la sécurité de l’information, des systèmes ou des réseaux de l’organisation.
• Les activités nécessaires pour assurer la sécurité d’un produit ou d’un service que l’organisation fournit ou livre.
• Les activités dans le cadre desquelles il est pratiquement impossible pour l’organisation d’obtenir le consentement de l’individu, en raison de l’absence de lien direct avec celui‑ci.
• Toute autre activité réglementaire.

La LPVPC précise également que les organisations ne sont pas tenues d’obtenir le consentement pour dépersonnaliser les renseignements personnels ou transférer les renseignements personnels à un fournisseur de services.

CODES DE PRATIQUE ET PROGRAMMES DE CERTIFICATIONS DE TIERS

S’il est adopté, le projet de loi C‑11 créerait un cadre pour les codes de pratique et les programmes de certification de tiers. Toute entité, ce qui pourrait comprendre tout type d’organisation comme une organisation sans but lucratif ou une institution gouvernementale, peut demander au commissaire à la protection de la vie privée du Canada d’approuver un code prévoyant des pratiques qui permettent de mettre en place une protection des renseignements personnels équivalente ou supérieure à tout ou partie de celles prévues sous le régime de la Loi sur la protection de la vie privée.

Une entité peut aussi demander au commissaire d’approuver un programme de certification qui comprend des exigences précises, dont un code de pratique, un mécanisme visant à certifier la conformité au code de pratique, un mécanisme par lequel l’entité vérifie la conformité au code de pratique, les mesures disciplinaires en cas de non-conformité, dont la révocation de la certification, et toute autre exigence qui peut être prévue par règlement.

La LPVPC confère au commissaire le pouvoir de demander qu’une entité gère un programme de certification approuvé et collabore avec les entités qui gèrent des programmes de certification approuvés, notamment à l’égard des activités d’application du commissaire. Même si la conformité avec un code de pratique ou un programme de certification n’aura pas pour effet de soustraire une organisation à ses obligations en vertu de la LPVPC, elle confère néanmoins certains avantages. Par exemple, le commissaire ne peut recommander qu’une pénalité soit infligée à une organisation pour une contravention à la LPVPC s’il est d’avis, qu’au moment de la contravention, l’organisation se conformait aux exigences d’un programme de certification approuvé.

RENFORCEMENT DU RÉGIME D’APPLICATION

La LPVPC accorderait au commissaire à la protection de la vie privée du Canada des pouvoirs d’application supplémentaires, au‑delà de ce que prévoit actuellement la LPRPDE.

Par exemple, la LPVPC accorderait au commissaire le pouvoir de rendre des ordonnances exigeant que les organisations se conforment et cessent de contrevenir à la LPVPC, respectent un accord de conformité ou rendent publique toute action prise pour corriger les pratiques en matière de protection des renseignements personnels. À l’heure actuelle, le commissaire n’est pas habilité à rendre des ordonnances lorsqu’il conclut à une situation de non-conformité. En vertu de la Loi, si après avoir procédé à une investigation, le commissaire conclut qu’une organisation a contrevenu à une ou à plusieurs dispositions précises de la LPVPC, il pourrait recommander qu’un nouveau Tribunal de la protection des renseignements personnels et des données impose une sanction pécuniaire pouvant atteindre 10 M$ CA ou un montant égal à 3 % des recettes globales de l’organisation pour l’exercice précédent. Ce Tribunal se composerait de trois à six membres nommés par le gouverneur en conseil sur recommandation du ministre de l’Innovation, des Sciences et de l’Industrie.

La LPVPC prévoit également des amendes encore plus importantes pour diverses infractions à la Loi pouvant atteindre 25 M$ CA ou, s’il est supérieur, un montant égal à 5 % des recettes globales brutes de l’organisation pour l’exercice précédent.

Qui plus est, un droit privé d’action pourrait être exercé par un individu ayant subi des dommages ou un préjudice causés par une contravention à la Loi pour laquelle l’organisation a fait l’objet d’une conclusion défavorable du commissaire ou du Tribunal, ou advenant le cas où l’organisation a été condamnée pour une infraction. Ainsi, une organisation peut faire l’objet d’une sanction du Tribunal et être visée par des réclamations aux termes du droit privé d’action.

Le projet de loi C‑11 doit encore être débattu à la Chambre des Communes, et d’autres amendements pourraient être proposés à son égard. Si elle est promulguée, la LPVPC pourrait entrer en vigueur rapidement, à une date fixée par décret. Cependant, aux termes du projet de loi, certaines dispositions, spécialement celles se rapportant à la mobilité des données et aux codes de pratique et programmes de certification, pourraient entrer en vigueur à une autre date.