Sauter la navigation

Revue de l’année 2020 du droit canadien de la protection de la vie privée

Revue de l’année 2020 du droit canadien de la protection de la vie privée
28 janvier 2021

En cette Journée de la protection des données, nous faisons un tour d’horizon d’une année chargée de consultations et de propositions visant à réformer certaines lois canadiennes en matière de protection des données. En 2020, divers gouvernements à l’échelle du pays ont proposé des modifications législatives et signalé leur intention de renforcer l’application des exigences en matière de protection de la vie privée, de simplifier le processus de consentement pour les entreprises du secteur privé, de clarifier le rôle des fournisseurs de services tiers, ainsi que d’accorder aux particuliers un plus grand contrôle à l’égard de leurs renseignements personnels.

Ci-après, vous trouverez les faits saillants de ces initiatives :

En février, l’Assemblée législative de la Colombie-Britannique a mis sur pied un comité spécial chargé de réviser la Personal Information Protection Act (la « PIPA »), laquelle s’applique au secteur privé et aux organismes sans but lucratif. Tout au long de l’année, le comité a entendu les témoignages de particuliers et d’organisations intéressés. Les recommandations en matière de réforme comprenaient des suggestions de la part de l’Office of the Information and Privacy Commissioner for British Columbia (soit le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique) sur l’imposition d’obligations de notification en cas d’atteinte, ainsi que la modification de la PIPA en vue de clarifier la responsabilité d’une organisation à l’égard des renseignements personnels qu’elle transmet à des tiers à des fins de traitement. Le rapport sur les conclusions du comité spécial devrait être publié en février 2021.

En juin, le gouvernement du Québec a présenté le projet de loi n° 64, intitulé Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (le « projet de loi n° 64 »), à l’Assemblée nationale du Québec. S’il est adopté, ce projet de loi ferait en sorte que les organismes du secteur public et les entreprises du secteur privé du Québec seraient assujettis à des obligations accrues au chapitre de la protection des données, semblables à maints égards aux obligations imposées par le Règlement général sur la protection des données (le « RGPD ») de l’Union européenne. Les modifications proposées comprennent des amendes plus élevées et de nouvelles sanctions administratives pécuniaires, des évaluations obligatoires des facteurs relatifs à la vie privée et de nouvelles obligations pour les organisations de publier leurs règles de gouvernance applicables aux renseignements personnels. Le projet de loi n° 64 a été adopté en principe, en octobre 2020, et passera prochainement à l’étape de la troisième lecture.

L’Accord Canada-États-Unis-Mexique (l’« ACEUM ») est entré en vigueur le 1er juillet 2020 à la suite de sa ratification par le gouvernement du Canada en mars 2020. L’ACEUM, qui remplace l’Accord de libre-échange nord-américain, introduit de nouvelles règles applicables à la technologie de l’information et au commerce électronique. Ces règles comprennent la mise en place de nouvelles protections des consommateurs et de la vie privée, selon lesquelles chaque partie serait tenue d’adopter ou de maintenir un cadre juridique qui prévoit la protection des renseignements personnels des utilisateurs du commerce électronique.

En août, le ministère des Services gouvernementaux et des Services aux consommateurs a entamé un processus de consultation sur la création d’un cadre législatif propre à la province de l’Ontario qui régirait les moyens par lesquels les renseignements personnels sont recueillis, utilisés, divulgués et protégés. À noter, un tel cadre législatif propre à l’Ontario pourrait se traduire par de nouvelles obligations pour les organisations qui, à l’heure actuelle, ne sont pas assujetties à la législation en vigueur en matière de protection de la vie privée (telles que les organisations qui n’exercent pas des activités commerciales et les employeurs réglementés par la province de l’Ontario) pour ce qui est du traitement des renseignements personnels de leurs employés. Le gouvernement de l’Ontario n’a pas indiqué quand il rendra publique sa réponse à ce processus de consultation.

En novembre, Navdeep Bains, alors ministre de l’Innovation, des Sciences et de l’Industrie, a déposé le projet de loi C-11, la Loi de 2020 sur la mise en œuvre de la Charte du numérique. S’il est adopté, ce projet de loi abrogerait les parties de la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE ») qui réglementent le traitement des renseignements personnels, et édicterait une nouvelle loi, soit la Loi sur la protection de la vie privée des consommateurs (la « LPVPC »). De nombreuses obligations prévues dans la LPRPDE seraient maintenues aux termes de la LPVPC, y compris le régime de consentement en vigueur, bien que de nouvelles exceptions aux exigences de consentement aient été proposées. Cependant, plusieurs obligations nouvelles et renforcées seraient établies, notamment des règles régissant la façon dont les renseignements dépersonnalisés peuvent être créés, utilisés et partagés, et à quel moment ils peuvent l’être, ainsi que de nouveaux droits en matière de portabilité et de retrait des données pour les particuliers. Le projet de loi édicterait aussi la Loi sur le Tribunal de la protection des renseignements personnels et des données, laquelle constituerait un tribunal administratif chargé d’entendre les appels interjetés à l’encontre de certaines décisions rendues par le commissaire à la protection de la vie privée du Canada. Ce tribunal pourrait imposer à toute organisation ayant contrevenu à une ou à plusieurs dispositions de la LPVPC une sanction pécuniaire pouvant atteindre 10 M$ CA ou un montant égal à 3 % du total des revenus mondiaux de l’organisation pour l’exercice précédent. La LPVPC prévoit également des amendes importantes pour diverses infractions pouvant atteindre 25 M$ CA ou un montant égal à 5 % du total des revenus mondiaux de l’organisation pour l’exercice précédent. Il est attendu que le projet de loi C-11 soit transmis au Comité de l’accès à l’information, de la protection des renseignements personnels et de l’éthique avant de passer à l’étape de la troisième lecture plus tard cette année.

Le gouvernement fédéral a également annoncé l’examen de la Loi sur la protection des renseignements personnels, laquelle régit la collecte, l’utilisation, la divulgation, la conservation et l’élimination des renseignements personnels par les institutions du secteur public fédéral. Le document de discussion en lien avec cette consultation indique que le gouvernement fédéral cherche à élargir les moyens par lesquels les renseignements personnels peuvent être partagés entre les institutions fédérales, ainsi qu’à créer de nouvelles exigences en matière de transparence pour les systèmes décisionnels automatisés. La période de consultation prend fin le 14 février 2021.

Il faudra possiblement patienter encore plusieurs mois avant que ces initiatives de réforme législative prennent forme. Toutefois, les organisations qui exercent leurs activités au Canada devraient s’attendre à des obligations nouvelles et accrues en matière de protection de la vie privée et des données, ainsi que commencer à s’y préparer.

Pour en savoir davantage, communiquez avec :

Sunny Handa                             514-982-4008
Marie-Hélène Constantin         514-982-4031
Wendy Mee                               416-863-3161
Ellie Marshall                             416-863-3053

ou un autre membre de notre groupe Protection de la vie privée et des données.