Nouveau projet de loi fédéral modernisant les exigences de protection des renseignements personnels dans le secteur privé

Le 16 juin 2022, le gouvernement fédéral a déposé le projet de loi C-27, la Loi de 2022 sur la mise en œuvre de la Charte du numérique (le « projet de loi C‑27 » ou « projet de loi »). S’il est adopté, le projet de loi modifiera en profondeur la législation fédérale sur la protection des renseignements personnels dans le secteur privé. Le projet de loi C‑27 succède à la proposition précédente du gouvernement fédéral, le projet de loi C‑11, qui avait été présenté en 2020, mais était mort au feuilleton en raison du déclenchement des élections fédérales de 2021.

À l’instar de la proposition de 2020, s’il était adopté, le projet de loi C‑27 :

• abrogerait les parties de la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE ») qui réglementent le traitement des renseignements personnels, et édicterait une nouvelle loi, soit la Loi sur la protection de la vie privée des consommateurs (la « LPVPC » ou la « Loi »);

• édicterait aussi la Loi sur le Tribunal de la protection des renseignements personnels et des données (« LTPRPD ») devant constituer un tribunal administratif chargé d’entendre les appels interjetés à l’encontre de certaines décisions rendues par le commissaire à la protection de la vie privée du Canada en vertu de la LPVPC et d’infliger des pénalités en cas de contravention à certaines de ses dispositions.

Le projet de loi introduirait des règles en vue de réglementer les systèmes d’intelligence artificielle à incidence élevée dans le secteur privé sous le régime de la nouvelle Loi sur l’intelligence artificielle et les données (la « LIAD »). Assurez-vous de lire notre Bulletin Blakes connexe intitulé Réglementation des systèmes d’intelligence artificielle : le gouvernement fédéral propose une nouvelle loi, qui porte sur la LIAD proposée dans le projet de loi.

Nous présentons ci-après les principales propositions du projet de loi. Les dispositions de la LPVPC sont similaires à plusieurs égards à celles qui avaient été proposées en 2020, mais elles donnent des éclaircissements supplémentaires aux organisations afin que celles-ci comprennent mieux les obligations qui leur incombent en matière de gouvernance des données.

NOUVELLE EXCEPTION LIÉE À L’INTÉRÊT LÉGITIME D’UNE ORGANISATION

Le projet de loi C‑11 avait été critiqué par certains parce qu’il contenait, selon eux, de trop vastes exceptions concernant l’obligation d’obtenir un consentement valide pour recueillir et utiliser des renseignements personnels en lien avec certaines « activités d’affaires ». Les exceptions prévues dans le projet de loi C‑27 en ce qui concerne les « activités d’affaires » sont plus restreintes. Cette approche permet de mieux aligner la législation fédérale sur le Règlement général sur la protection des données (le « RGPD ») de l’Union européenne, notamment pour ce qui est de l’exception liée à l’« intérêt légitime » d’une organisation.

Si elle est adoptée dans sa forme actuelle, la LPVPC permettrait aux organisations de recueillir ou d’utiliser des renseignements personnels d’une personne à l’insu de cette dernière ou sans le consentement de celle-ci si la collecte ou l’utilisation est faite en vue d’une activité dans laquelle ces organisations ont un intérêt légitime qui l’emporte sur tout effet négatif que la collecte ou l’utilisation peut avoir pour la personne. Cette exception se rapproche de l’alinéa 6(1)f) du RGPD, qui stipule que les intérêts légitimes des organisations constituent une raison légale valable pour le traitement de renseignements personnels.

La LPVPC obligerait les organisations à déceler tout effet négatif potentiel que la collecte ou l’utilisation de renseignements personnels est susceptible d’avoir pour la personne concernée; ainsi qu’à trouver et à prendre des moyens raisonnables pour réduire la probabilité que ces effets se produisent ou pour les atténuer ou les éliminer, puis à consigner leur évaluation de la manière dont elles remplissent ces conditions. Les organisations seraient par ailleurs tenues de se conformer à toute autre exigence réglementaire.

Cette nouvelle proposition appuie l’objectif du gouvernement de mettre en place un cadre réglementaire flexible pour l’économie axée sur le numérique. Le fait de réduire le nombre de situations dans lesquelles une organisation serait tenue d’obtenir un consentement dans le cours normal de ses activités soutient en effet l’atteinte de cet objectif.

PRÉCISIONS CONCERNANT LES RENSEIGNEMENTS ANONYMISÉS ET LES RENSEIGNEMENTS DÉPERSONNALISÉS

Dans une économie axée sur le numérique, les organisations se fondent régulièrement sur des renseignements dépersonnalisés ou anonymisés pour analyser des activités, élaborer de nouveaux produits et satisfaire les besoins des clients. À l’heure actuelle, les expressions « renseignements anonymisés » et « renseignements dépersonnalisés » ne sont pas définies dans la LPRPDE. On n’y précise pas non plus si les renseignements anonymisés ou dépersonnalisés sont considérés comme étant des renseignements personnels. Le projet de loi C‑27 propose donc de définir expressément ces processus dans la LPVPC :

• « anonymiser » consisterait à modifier définitivement et irréversiblement, conformément aux meilleures pratiques généralement reconnues, des renseignements personnels afin qu’ils ne permettent pas d’identifier un individu, directement ou indirectement, par quelque moyen que ce soit;

• « dépersonnaliser » consisterait à modifier des renseignements personnels afin de réduire le risque, sans pour autant l’éliminer, qu’un individu puisse être identifié directement.

Sous réserve de certaines exceptions limitées, des renseignements personnels dépersonnalisés seraient considérés comme étant des « renseignements personnels » en vertu de la LPVPC. Selon le projet de loi C‑27, les renseignements anonymisés ne seraient pas assujettis à la Loi.

EXCEPTION LIÉE À LA TRANSACTION COMMERCIALE

À l’instar du projet de loi C‑11, le projet de loi C‑27 exigerait des parties à une opération touchant des renseignements personnels qu’elles dépersonnalisent ces renseignements avant de les utiliser et de les divulguer si elles ont l’intention de se prévaloir de l’exception liée à la transaction commerciale dans le but de les utiliser et de les divulguer sans consentement. Le projet de loi consentirait toutefois les exceptions combinées suivantes :

• une organisation ne serait pas tenue de respecter cette exigence si cela nuisait aux objectifs de la transaction commerciale envisagée; et que

• le vendeur tenait compte du risque de préjudice que pourrait entraîner l’utilisation ou la communication des renseignements personnels pour la personne dont les renseignements personnels sont utilisés ou divulgués.

OBLIGATIONS EN CAS DE RECOURS À DES FOURNISSEURS DE SERVICES

Tout comme le proposait le gouvernement fédéral en 2020, la LPVPC obligerait les organisations qui transféreraient des renseignements personnels à un fournisseur de services à s’assurer, contractuellement ou autrement, que celui-ci offrira à l’égard de ces renseignements une protection équivalente à celle qu’elles sont tenues d’offrir sous le régime de la Loi. La norme a en effet été modifiée de façon à exiger que ces fournisseurs accordent un niveau de protection « équivalent » à celui auquel est astreinte l’organisation à qui ils fournissent des services plutôt qu’une protection « essentiellement semblable ». Ce changement établirait vraisemblablement une norme plus élevée ou plus rigide que les organisations devraient respecter.

ÉLARGISSEMENT DE LA MISE EN APPLICATION

Le projet de loi C‑27 élargit la liste des violations potentielles susceptibles de mener à une sanction administrative pécuniaire supérieure à celle qui était prévue dans le projet de loi C‑11. La liste comprend entre autres toute violation à :

• l’obligation pour les fournisseurs de services d’accorder une protection équivalente aux renseignements personnels;

• l’obligation de mettre en œuvre et de tenir à jour un programme de gestion de la protection des renseignements personnels conforme au régime de la Loi;

• l’obligation d’aviser les personnes des conséquences du retrait d’un consentement, ainsi qu’à l’obligation de cesser, dès que possible, de recueillir, d’utiliser ou de communiquer les renseignements personnels à l’égard desquels le consentement a été retiré. 

Le projet de loi C-27 augmente les pouvoirs du commissaire à la protection de la vie privée du Canada en y incluant la capacité de fournir des conseils ou de recommander des mesures correctives à une organisation relativement à son programme de gestion de la protection des renseignements personnels.

Le projet de loi C‑27 exigerait par ailleurs que le commissaire à la protection de la vie privée du Canada tienne compte de l’objet de la Loi au moment d’exercer les pouvoirs et d’accomplir les devoirs que lui confère cette dernière. Cette exigence s’ajouterait à celle de tenir compte de la taille et des recettes des organisations, ainsi que du volume et du degré de sensibilité des renseignements personnels. Cette obligation de tenir compte de l’objet de la Loi devrait contribuer à souscrire à une interprétation plus équilibrée de la Loi.

PRÉCISIONS SUR LES DROITS DES PERSONNES CONCERNÉES

Droit de demander le retrait des renseignements personnels

Contrairement au projet de loi C‑11, le projet de loi C‑27 accorderait le droit à une personne de demander à une organisation que celle-ci procède au retrait de tous les renseignements personnels qui concerne la personne en question et qui relève de l’organisation, et non seulement des renseignements personnels que l’organisation a recueillis auprès d’elle. Le projet de loi C‑27 consentirait cependant des exceptions à ce droit, notamment lorsque :

• la demande est vexatoire ou entachée de mauvaise foi;

• le retrait des renseignements (dans la mesure où ils ne concernent pas un mineur) est déjà prévu, conformément aux politiques de conservation des renseignements personnels de l’organisation;

• les renseignements sont nécessaires à l’exercice d’un recours juridique;

• les renseignements ne peuvent être retranchés.

Droits de la personne et transparence des algorithmes

Le projet de loi C‑27 limiterait par ailleurs les exigences prévues dans la LPVPC liées à la transparence des algorithmes en ce qui a trait aux décisions automatisées susceptibles d’avoir une « incidence importante » sur des personnes. Pour le moment, il n’est pas clair si ce qui serait considéré comme étant une « incidence importante » s’aligne sur la définition donnée à un « système à incidence élevée » dans la LIAD. Le projet de loi C‑27 stipule que, sur demande, les organisations devraient fournir une explication décrivant les types de renseignements personnels qui auront été utilisés pour faire la prédiction, formuler la recommandation ou prendre la décision, la provenance de ces renseignements ainsi que les motifs ou les principaux facteurs ayant mené à la prédiction, à la recommandation ou à la décision.

TRIBUNAL DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS

Le projet de loi C‑27 reprend la plupart des propositions de son prédécesseur quant à la structure du Tribunal de la protection des renseignements personnels et des données. Il renforcerait toutefois les pouvoirs de celui-ci (notamment pour ce qui est de rendre des ordonnances) en lui conférant toutes les attributions d’une cour supérieure d’archives.

Il est prévu que le projet de loi C-27 sera débattu à la Chambre des Communes à l’automne 2022 et que d’autres amendements pourraient être proposés à son égard.

Nous vous tiendrons au courant de tout développement qui pourrait se produire pendant l’été au sujet de l’incidence des propositions spécifiques du projet de loi C‑27 pour les entreprises canadiennes.

Pour en savoir davantage, communiquez avec :

Marie-Hélène Constantin       514-982-4031
Sunny Handa                            514-982-4008
Ellie Marshall                            416-863-3053
Wendy Mee                               416-863-3161

ou un autre membre de notre groupe Protection de la vie privée et des données.