Des modifications seront bientôt apportées aux lois sur la protection des renseignements personnels : comment préparer votre organisation au projet de loi C‑27 (Loi de 2022 pour la mise en œuvre de la Charte du numérique)

10 April 2023

Introduction du projet de loi C‑27

Le 16 juin 2022, le gouvernement fédéral a présenté le projet de loi C‑27, Loi de 2022 sur la mise en œuvre de la Charte du numérique. Il a fait l’objet d’un débat au Cabinet en novembre 2022. Ce projet de loi vise à modifier et à introduire différents textes législatifs relatifs à la protection des renseignements personnels et de la vie privée. Le gouvernement fédéral avait présenté un projet de loi similaire, le projet de loi C‑11 (Loi de 2020 pour la mise en œuvre de la Charte du numérique), avant les élections fédérales d’octobre 2019, mais il ne l’a pas adopté avant l’annonce des élections. Le projet de loi C‑27 fonde une grande partie de ses dispositions sur le projet de loi C‑11, mais il comporte plusieurs changements notables (dont bon nombre reflètent les commentaires reçus au sujet du projet de loi C‑11).

S’il devient loi, le projet de loi C‑27 modifiera considérablement la manière dont la protection de la vie privée est réglementée au Canada. Ses effets comprendraient :

  • l’abrogation de la partie 1 de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et son remplacement par la nouvelle Loi sur la protection de la vie privée des consommateurs (LPVPC);
  • la promulgation de la Loi sur le Tribunal de la protection des renseignements personnels et des données, qui créerait un nouveau tribunal administratif doté de pouvoirs accrus lui permettant d’imposer des sanctions en cas de violation de la LPVPC et d’entendre les appels des décisions rendues par le Commissaire à la protection de la vie privée;
  • la promulgation de la Loi sur l’intelligence artificielle et les données afin de réglementer le commerce international et interprovincial dans les systèmes d’intelligence artificielle.

Champ d’application de la législation

Le présent article porte sur les modifications importantes apportées aux lois sur la protection des renseignements personnels au Canada qui devraient être mises en œuvre en vertu de la LPVPC. Tout comme dans la LPRPDE, les renseignements personnels sont définis comme des « renseignements sur une personne identifiable ». La LPVPC s’applique à toute organisation qui recueille, utilise ou communique des renseignements personnels dans le cadre d’activités commerciales, ainsi qu’à tous les renseignements personnels qu’une organisation recueille, utilise ou communique à l’échelle interprovinciale ou internationale. Elle s’applique également aux renseignements sur les employés d’organismes sous réglementation fédérale, bien qu’il ne soit pas proposé de l’étendre pour protéger les renseignements personnels des employés et des candidats à un emploi du secteur privé. La LPVPC ne s’applique pas aux renseignements personnels qui ont été anonymisés.

Nouvelles obligations

La LPVPC aura des répercussions importantes sur les entreprises canadiennes. En voici certaines ci‑dessous.

Les organisations doivent mettre en œuvre et maintenir un programme de gestion de la protection des renseignements personnels : chaque organisation doit mettre en place un programme de gestion de la protection des renseignements personnels qui décrit les politiques, les pratiques et les procédures qu’elle a mises en œuvre pour s’acquitter de ses obligations en vertu de la LPVPC. Ce programme doit établir comment l’organisation élaborera des documents de gestion de protection de la vie privée, protégera les renseignements personnels, gérera les demandes d’information et les plaintes, et formera et informera le personnel. Néanmoins, une organisation peut choisir d’établir un « code de pratique » ou un « programme d’agrément » qui offre une protection des renseignements personnels semblable ou supérieure à celle exigée par la LPVPC. Sur approbation du Commissaire à la protection de la vie privée (conformément aux règlements encore à définir), l’organisation doit se conformer à ce code de pratique ou à ce programme d’agrément.

Mises à jour requises des politiques, pratiques et procédures existantes : les organisations devront adapter leurs politiques, pratiques et procédures existantes pour tenir compte des nouvelles obligations et des modifications imposées par la LPVPC, notamment :

  • la reconnaissance du volume et de la sensibilité des renseignements personnels sous le contrôle de l’organisation et des différences correspondantes dans les exigences relatives à la collecte, à l’utilisation et à la communication de ces renseignements, la façon dont le consentement doit être obtenu, les mesures que l’organisation prendra pour protéger les renseignements et la période pendant laquelle ces renseignements seront conservés;
  • des seuils plus élevés pour le traitement des renseignements personnels des mineurs;
  • des exigences renforcées pour obtenir et attester un consentement valide;
  • des exceptions limitées à l’exigence d’obtention du consentement pour la collecte, l’utilisation et la communication de renseignements personnels et la nécessité potentielle de préparer une évaluation de l’incidence sur la vie privée;
  • des exemptions et des limites relatives à l’utilisation des renseignements personnels anonymisés;
  • l’obligation de prendre des mesures raisonnables pour authentifier l’identité de la personne à laquelle se rapportent des renseignements personnels;
  • une transparence accrue quant aux transferts transfrontaliers de renseignements personnels.

Les organisations demeureront responsables des fournisseurs de services agissant en leur nom : toutes les organisations sont responsables des renseignements personnels sous leur contrôle, même dans les cas où elles ont retenu les services d’un fournisseur de services pour recueillir, utiliser ou communiquer des renseignements personnels en leur nom. Cela signifie que les organisations doivent continuer de porter une attention particulière aux modalités contractuelles utilisées pour retenir les services de tiers et s’assurer qu’elles comprennent des dispositions visant à protéger ces renseignements personnels à un niveau équivalent aux obligations en vertu de la LPVPC.

La non‑conformité peut entraîner des sanctions pécuniaires considérables : le non‑respect des lois canadiennes sur la protection des renseignements personnels peut avoir des conséquences considérables. Les organisations peuvent faire face aux sanctions pécuniaires et aux poursuites quasi criminelles suivantes pour violation de la LPVPC :

  • sanction administrative pécuniaire pouvant aller jusqu’à 10 millions de dollars ou 3 % des produits bruts mondiaux de l’organisation pour l’exercice précédent, selon le montant le plus élevé;
  • des poursuites quasi criminelles pouvant entraîner des sanctions pécuniaires importantes. Les procureurs de la Couronne peuvent, à leur discrétion, recourir à une mise en accusation, auquel cas les organisations peuvent être passibles d’une amende maximale de 25 millions de dollars et de 5 % de leurs revenus mondiaux, ou à une procédure sommaire, d’une amende maximale de 20 millions de dollars ou de 4 % des revenus mondiaux de l’organisation, selon le montant le plus élevé des deux.

Nouveaux droits individuels : la LPVPC reconnaît aux particuliers de nouveaux droits qui obligeront les organisations à :

  • expliquer aux intéressés les prévisions, les recommandations ou les décisions émises à leur propos par des moyens automatisés qui pourraient avoir une incidence importante sur eux (ce que l’on appelle la transparence algorithmique);
  • faciliter le transfert des renseignements personnels d’une personne à une autre organisation (c.‑à‑d. le droit à la portabilité des données), sous réserve d’un « cadre de mobilité des données » et de règlements futurs à rédiger en vertu de la LPVPC; et
  • donner suite à la demande d’une personne de disposer des renseignements personnels qui la concernent et qui sont sous le contrôle de l’organisation, sous réserve de certaines exceptions (c.‑à‑d. le droit de suppression).

Droit d’action privé prévu par la loi en cas d’atteinte à la vie privée : la LPVPC instaurera un droit privé d’action pour les cas où le commissaire à la protection de la vie privée du Canada ou le Tribunal de la protection des données conclurait qu’une organisation a contrevenu à ses obligations en matière de protection de la vie privée. Cela signifie que les personnes lésées par une atteinte à leur vie privée pourraient poursuivre l’organisation en infraction en vue d’obtenir une indemnisation pour la perte ou le préjudice subi du fait de l’atteinte à leur vie privée.

Se tenir au courant

Le projet de loi C‑27 en est toujours à l’étape de la deuxième lecture à la Chambre des communes et il est possible qu’il soit modifié. Au cours de la prochaine période, il devra encore être renvoyé à un comité parlementaire avant de progresser au Parlement. D’ici là, les organisations doivent garder à l’esprit que le projet de loi C‑27 n’est que l’un des nombreux efforts mondiaux visant à assurer la protection des renseignements personnels et la sécurité des données dans un contexte technologique en constante évolution. Les organisations devraient donc évaluer proactivement leurs politiques actuelles en matière de protection des renseignements personnels et leurs systèmes de gestion des données afin de s’assurer qu’elles sont prêtes à faire face aux changements inévitables à venir. Les organisations qui sont déjà assujetties aux exigences plus strictes du projet de loi 64 du Québec et du règlement général sur la protection des données de l’Union européenne ont peut‑être une longueur d’avance, mais toutes les organisations devront s’assurer que la conformité à la LPVPC est une priorité absolue.

Cox et Palmer est heureux de fournir des conseils juridiques et réglementaires aux entreprises canadiennes qui souhaitent se conformer aux lois canadiennes sur la cybersécurité et sur la protection des renseignements personnels. Pour toute question, veuillez prendre contact avec Jane Elise Bates ou avec un autre membre de l’équipe de Cox et Palmer à Halifax.

Cet article a été rédigé avec la collaboration d’Haneen Al‑Noman, stagiaire en droit chez Cox et Palmer.

 

Jane Elise Bates

Jane Elise Bates

Counsel - Female
Halifax

View Profile

Related Services

Sécurité informatique

Related Articles

Une majorité de femmes : Les femmes juges de la Cour suprême du Canada

La nomination de l’honorable juge Mary T. Moreau à la Cour suprême du Canada, le 6 novembre 2023, a marqué une étape importante dans l’histoire judiciaire canadienne. Depuis la fin de la dernière année, le plus haut tribunal du Canada est pour la première fois présidé par une majorité de femmes juges. Ce développement historique marque un […]

read more

Admissibilité à l’aide médicale à mourir

Le 17 mars 2021, plusieurs modifications au Code criminel ont révisé les critères d’admissibilité relatifs à l’aide médicale à mourir (« AMM »), en s’appuyant sur le cadre d’AMM initialement mis en œuvre dans le Code criminel en 2016. Bien que l’AMM provienne du droit criminel, ses implications sont pertinentes pour la planification successorale et pour d’autres aspects de la […]

read more
view all
La présente publication de Cox & Palmer a pour unique but de fournir des renseignements de nature générale et ne constitue pas un avis juridique. Les renseignements présentés sont actuels à la date de leur publication et peuvent être sujets à modifications après la publication.