Le 18 juin 2015 est entrée en vigueur la Loi sur la protection des renseignements personnels numériques (la Loi) qui modifie la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et met en œuvre des modifications importantes au régime de protection de la vie privée dans le secteur privé. Les modifications comprennent notamment l’élargissement des pouvoirs du commissaire à la protection de la vie privée (le commissaire), une exception relative au consentement et à la communication de renseignements dans le cadre de certaines transactions commerciales et les règles relatives au signalement des atteintes aux mesures de sécurité. Toutes les modifications sont en vigueur, à l’exception de celles ayant attrait aux avis de signalement d’atteintes aux mesures de sécurité, lesquelles entreront en vigueur lorsque la réglementation sera prête.

L’élargissement des pouvoirs du commissaire à la protection de la vie privée

Le commissaire peut maintenant conclure des accords de conformité avec une organisation s’il croit à l’existence, à l’imminence ou à la probabilité d’un fait — acte ou omission de la part de l’organisation — pouvant contrevenir à la LPRPDE.

De plus, le commissaire a désormais le pouvoir de rendre public tout renseignement personnel recueilli dans l’exercice de ses attributions s’il estime que cela est dans l’intérêt public. Le commissaire peut également communiquer à une institution gouvernementale tout renseignement figurant dans une déclaration relative à une atteinte aux mesures de sécurité s’il a des motifs raisonnables de croire que le renseignement pourrait être utile à une enquête sur une contravention au droit fédéral ou provincial qui a été commise ou est sur le point de l’être.

L’exception relative aux transactions commerciales

Une nouvelle exception relative aux transactions commerciales a pour effet d’harmoniser la LPRPDE avec les lois sur la protection des renseignements personnels de la Colombie-Britannique et de l’Alberta. Cette exception, longuement attendue, permet aux parties à une éventuelle transaction commerciale d’utiliser et de communiquer les renseignements personnels d’un individu à son insu ou sans son consentement si les renseignements sont nécessaires pour décider si la transaction aura lieu et, le cas échéant, pour l’effectuer. L’organisation qui fournit des renseignements personnels doit avoir conclu un accord aux termes duquel elle s’est engagée (i) à ne les utiliser et à ne les communiquer qu’à des fins liées à la transaction et (ii) à les protéger et à les remettre à l’organisation qui les lui a communiqués ou les détruire si la transaction n’a pas lieu.

Une fois la transaction commerciale effectuée, l’organisation qui reçoit les renseignements personnels peut utiliser et communiquer ces renseignements avant ou pendant la transaction à l’insu de l’intéressé ou sans son consentement si :

• les organisations ont conclu un accord aux termes duquel elles se sont engagées à n’utiliser et à ne communiquer les renseignements personnels qu’aux fins auxquelles il était permis de les utiliser ou de les communiquer pendant la transaction, à protéger adéquatement les renseignements et à donner effet à tout retrait de consentement;
  
• les renseignements personnels sont nécessaires à la poursuite de l’entreprise faisant l’objet de la transaction;
  
• dans un délai raisonnable, une des parties avise l’intéressé du fait que les renseignements ont été communiqués avant ou pendant la transaction.

Les exigences relatives au signalement des atteintes aux mesures de sécurité

La Loi impose maintenant aux organisations l’obligation de remettre un avis lorsqu’elles ont des motifs raisonnables de croire qu’une atteinte à des mesures de sécurité présente un « risque réel de préjudice grave à l’endroit d’un individu ». Cette appréciation se fonde sur le degré de sensibilité des renseignements personnels, la probabilité que les renseignements aient été mal utilisés ou soient en train ou sur le point de l’être, et sur tout autre élément prévu par règlement. Le « préjudice grave » est défini de façon large et vise notamment la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, les dommages aux biens ou leur perte. Dans de telles circonstances, une organisation doit :

• déclarer l’atteinte au commissaire le plus tôt possible;
  
• à moins qu’une règle de droit ne l’interdise, aviser l’intéressé. L’avis doit être manifeste et, si possible, être donné à l’intéressé directement. L’avis doit être donné le plus tôt possible et permettre à l’intéressé de comprendre l’importance de l’atteinte et de prendre toutes les mesures possibles pour réduire le risque de préjudice;
  
• aviser le plus tôt possible les autres organisations, dont les institutions gouvernementales, si l’organisation qui émet l’avis considère que l’autre organisation ou l’institution gouvernementale peut atténuer le risque de préjudice résultant de l’atteinte.

Les organisations qui s’assurent de la gestion de renseignements personnels doivent tenir et conserver un registre de toutes les atteintes aux mesures de sécurité qui ont trait à des renseignements personnels.

Selon les nouvelles modifications, le non-respect des règles relatives au signalement des atteintes aux mesures de sécurité pourrait entraîner des amendes allant jusqu’à
100 000 dollars. Comme il est indiqué plus haut, l’actuel régime de déclaration volontaire demeure en vigueur jusqu’à ce que la réglementation soit prête.

Les exigences de consentement

La Loi a également été clarifiée pour confirmer que le consentement n’est considéré valable que s’il est raisonnable pour une organisation qui utilise, recueille et communique des renseignements personnels de s’attendre à ce que l’individu comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquels il ou elle a consenti.

La collecte, l’utilisation et la communication de renseignements personnels sans le consentement de l’intéressé

Les modifications comprennent un élargissement des règles relatives à la collecte, à l’utilisation et à la communication de renseignements personnels à l’insu de l’intéressé ou sans son consentement.

Les organisations peuvent recueillir, utiliser ou communiquer un renseignement personnel à l’insu d’un individu ou sans son consentement s’il s’agit d’un renseignement contenu dans la déclaration d’un témoin et dont la collecte est nécessaire en vue de l’évaluation d’une réclamation d’assurance, de son traitement ou de son règlement ou s’il s’agit d’un renseignement produit par l’intéressé dans le cadre de son emploi, de son entreprise ou de sa profession, et dont la collecte est compatible avec les fins auxquelles il a été produit.

La communication d’un renseignement personnel est aussi permise à l’insu d’un individu ou sans son consentement si elle est nécessaire aux fins d’identification de l’intéressé qui est blessé, malade ou décédé ou afin d’entrer en contact avec son plus proche parent, de prévenir l’exploitation financière ou d’enquêter sur celle-ci ou en vue de la détection ou de la prévention d’une fraude si la communication effectuée au su ou avec le consentement de l’intéressé compromettrait la capacité de prévenir la fraude, de la détecter ou d’y mettre fin.

De plus, une entreprise fédérale peut recueillir, utiliser ou communiquer des renseignements personnels sans le consentement de l’intéressé si cela est nécessaire pour établir ou gérer la relation d’emploi entre elle et lui, ou pour y mettre fin, et si elle a au préalable informé l’intéressé que ses renseignements personnels seront ou pourraient être recueillis, utilisés ou communiqués à ces fins.