Il y a plus de 20 ans, alors que la législation canadienne sur la protection des renseignements personnels dans le secteur privé en était à ses balbutiements, l’Internet des objets n’existait pas, Facebook s’appelait encore FaceMash et ne visait que le campus de Harvard, et Google faisait ses premiers pas. En 2020, quatre milliards de recherches sont lancées sur Google en moyenne chaque jour; Facebook compte plus de 2 milliards d’utilisateurs actifs; et, selon Industrie Canada, d’ici 2025, 85 milliards d’appareils seront connectés à l’Internet des objets. La technologie et Internet sont maintenant incontournables pour les Canadiens tant au travail, que pour leurs achats et leurs divertissements. Dans le cadre de ces activités, les Canadiens génèrent un tsunami de données. Selon certains calculs, plus de 90 % de toutes les données existantes ont été créées au cours des deux dernières années, et toute une économie fondée sur l’achat et la vente de ces données se trouve maintenant derrière l’essor d’Internet. Le pendant de cette collecte massive est les graves atteintes à la sécurité des données, parfois par piratage, mais plus souvent en raison des pratiques défaillantes mises en place pour les protéger. Les particuliers sont maintenant plus soucieux de la protection de leurs renseignements personnels et très préoccupés par toute atteinte à la sécurité de ceux-ci.

En 2019, le gouvernement fédéral a publié la Charte canadienne du numérique dans laquelle il visait à trouver un équilibre entre la croissance économique que génère la technologie au Canada, d’une part, et la protection des Canadiens, d’autre part. Elle laisse présager d’importants changements à la loi fédérale intitulée Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE »), qui devraient s’inspirer de ceux apportés au Règlement général sur la protection des données (le « RGPD ») de l'Union européenne en vigueur depuis 2018. La Charte canadienne du numérique vise à fournir un cadre législatif aux provinces et aux territoires du Canada, et ainsi éviter que les Canadiens et les entreprises se voient assujettis à des lois sur la protection des renseignements personnels qui soit se chevauchent, soit sont incompatibles, soit se contredisent carrément. La mesure dans laquelle les provinces s’écarteront du cadre prévu par le fédéral reste à voir, mais l’Ontario et le Québec semblent déjà vouloir se montrer plus sévères en ce qui concerne la protection des renseignements personnels.

Au Québec, la Loi sur la protection des renseignements personnels dans le secteur privé, adoptée il y a plus de 25 ans, avait grand besoin d’être modernisée. En conséquence, le projet de loi no 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (le projet de loi 64), a été déposé devant l’Assemblée nationale du Québec le 12 juin 2020 afin de permettre de mieux relever les défis qui se posent en matière de transparence et de protection des renseignements personnels.

L’Ontario, contrairement au Québec, à l’Alberta et à la Colombie-Britannique, n’est doté d’aucune loi d’application générale concernant la protection des renseignements personnels dans le secteur privé. Mis à part les entreprises du secteur des soins de santé, les entreprises du secteur privé de l’Ontario sont assujetties à la LPRPDE, dont la portée se limite aux renseignements personnels recueillis dans le cadre d’activités commerciales. Le gouvernement de l’Ontario a lancé une consultation publique le 13 août 2020 en vue d’une réforme de la protection des renseignements personnels dans le secteur privé et a publié un document de travail afin d’orienter la consultation. Le document de travail de l’Ontario dresse une liste des enjeux liés à la protection des renseignements personnels sur lesquels le gouvernement aimerait se pencher dans le cadre de sa loi devant viser le secteur privé.

Le projet de loi 64 et le document de travail de l’Ontario proposent d’apporter des changements à la législation (ou d’adopter de nouvelles règles) qui s’inspirent du RGPD ou en reproduisent les effets et ne sont, en principe, pas incompatibles avec le cadre proposé par la Charte canadienne du numérique.

Tant le projet de loi 64 que le document de travail de l’Ontario visent notamment à faire ce qui suit :

• améliorer les obligations en matière de transparence en exigeant des organisations qu’elles fournissent plus de renseignements aux personnes concernées quant à l’usage qui est fait de leurs renseignements personnels;
• rehausser les exigences en matière de consentement exprès;
• donner aux personnes concernées un accès à leurs renseignements dans un format numérique structuré et couramment utilisé;
• donner aux personnes concernées le droit d’exiger que les organisations suppriment leurs renseignements personnels de façon permanente dès lors que ceux-ci ne sont plus requis pour rendre un service;
• rehausser la supervision, le respect et les pouvoirs en matière d’application de la loi en conférant aux organismes québécois et ontariens chargés de l’application de la loi le pouvoir de rendre des ordonnances et d’imposer des amendes en cas de violation de la loi ou en élargissant les pouvoirs dont ils disposent déjà;
• permettre l’échange de certains types de renseignements, tout en veillant à leur protection.

L’Ontario et le Québec vont également plus loin que la Charte canadienne du numérique. Il est envisagé, tant dans le projet de loi 64 que dans le document de travail de l’Ontario, d’élargir la portée de la législation de sorte que celle-ci s’applique également aux syndicats, aux organismes caritatifs et aux partis politiques – des entités qui échappent la plupart du temps à la portée de la LPRPDE, sauf en ce qui a trait à leurs activités commerciales. Le projet de loi 64 impose des limites importantes quant au transfert transfrontalier de renseignements personnels, limites qui ne sont pas sans rappeler celles prévues par le régime concernant le niveau de protection adéquat qu’on trouve dans le RGPD. Avant de communiquer des renseignements personnels à l’extérieur du Québec, une organisation doit évaluer la finalité de leur utilisation, les mesures de protection dont les renseignements bénéficieraient et le régime juridique applicable dans l’État où ces renseignements seraient communiqués, notamment son degré d’équivalence par rapport aux principes de protection des renseignements personnels applicables au Québec. La communication peut s’effectuer uniquement si l’évaluation démontre que les renseignements bénéficieraient d’une protection qui équivaut à celle dont ils jouiraient au Québec. En outre, la communication doit faire l’objet d’une entente écrite qui renferme des modalités et conditions ayant pour but d’atténuer les risques identifiés dans le cadre de l’évaluation. Bien que simple en apparence, cette disposition soulève un certain nombre de problèmes pratiques qui pourraient se révéler coûteux, notamment parce qu’elle oblige les entreprises à agir à titre d’organisme chargé de la protection des renseignements personnels et à retenir les conseils d’experts étrangers afin d’évaluer le degré d’équivalence des lois étrangères.

L’Ontario laisse entendre qu’elle pourrait enchâsser, dans la législation sur la protection des renseignements personnels, le droit de ne pas, dans certaines circonstances, faire l’objet d’une prise de décision automatisée, c’est-à-dire d’être l’objet d’une décision prise par des algorithmes fondés sur l’intelligence artificielle sans aucune intervention humaine. L’entrée en vigueur de ces différences par rapport au cadre fédéral tel qu’il est décrit dans la Charte canadienne du numérique compliquera les efforts de conformité des entreprises.

Regard vers l’avenir

Le processus de consultation publique de l’Ontario se poursuit jusqu’au 1^er octobre 2020, période au cours de laquelle le gouvernement ontarien souhaite recevoir les commentaires des entreprises concernées et du public au moyen de mémoires écrits ou de sondages réalisés en ligne. Toutefois, il pourrait encore s’écouler plusieurs années avant l’entrée en vigueur d’une loi sur la protection des renseignements personnels dans le secteur privé en Ontario.

En outre, le projet de loi 64 en est à l’étape de la consultation, ce qui donne aux parties intéressées l’occasion de formuler des commentaires à son égard. S’il est adopté, conformément à ses dispositions transitoires et définitives, les modifications apportées à la Loi sur la protection des renseignements personnels dans le secteur privé n’entreront en vigueur qu’un an après que le projet de loi aura reçu la sanction royale, sauf exception. Par conséquent, la plupart des dispositions du projet de loi 64 ne devraient entrer en vigueur qu’en 2022.

Les temps ont changé et les gouvernements passent à l’action afin que les lois sur la protection des renseignements personnels s’adaptent à cette évolution. Compte tenu du nouveau contexte et des modifications qui s’annoncent dans le domaine de la législation sur la protection des renseignements personnels au Canada, les organisations devraient examiner leurs pratiques actuelles en matière de protection des renseignements personnels et commencer dès maintenant à adapter celles-ci ainsi que leurs outils technologiques en prévision des changements à venir.