Étant donné la croissance remarquable de l’économie mondiale du numérique et l’intensification de l’activité en ligne attribuable à la pandémie mondiale, la protection de la vie privée et des renseignements personnels n’a jamais été aussi à propos. Le Canada, comme beaucoup d’autres pays, a reconnu la nécessité d’une refonte en profondeur de ses lois sur la protection de la vie privée tenant compte des enjeux liés à l’augmentation des flux internationaux de données.

Le 17 novembre 2020, après des années de consultations, de propositions et de rapports sur le régime canadien de protection de la vie privée, le gouvernement fédéral a présenté le projet de loi C-11, Loi de 2020 sur la mise en œuvre de la Charte du numérique. Le projet de loi C-11 constitue une réforme majeure des lois fédérales sur la protection de la vie privée du pays; son adoption se traduirait par (i) l’abrogation de la partie 1 de la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE »), loi qui régit actuellement le traitement des renseignements personnels et de la vie privée; (ii) l’introduction de la Loi sur la protection de la vie privée des consommateurs (la « LPVPC »), qui régirait la protection de la vie privée dans le secteur privé; et (iii) la création d’un nouveau Tribunal de la protection des renseignements personnels et des données (le « Tribunal »), régi par la nouvelle Loi sur le Tribunal de la protection des renseignements personnels et des données. La partie 2 de la LPRPDE deviendrait la Loi sur les documents électroniques.

Le projet de loi C-11 résulte d’un vaste processus d’étude et de consultation. Après le dernier examen en bonne et due forme de la LPRPDE et les dernières modifications apportées à celle-ci, en 2015, et la publication en 2018 du rapport du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (l’« ETHI ») de la Chambre des communes à la suite de son examen approfondi de la LPRPDE, le gouvernement a lancé des consultations nationales sur la transformation numérique et s’est déclaré déterminé à réformer le régime de protection de la vie privée. Au cours des années suivantes, l’ETHI, le Commissariat à la protection de la vie privée et le ministre de l’Innovation, des Sciences et de l’Industrie ont publié plusieurs rapports et propositions. En 2019, le gouvernement a créé sa Charte du numérique, qui avait pour but d’établir le cadre, fondé sur des principes, qui servirait à l’élaboration des lois sur la protection de la vie privée dans les provinces et les territoires du Canada. Tout au long de ce processus, le gouvernement fédéral a souligné l’importance d’établir un juste équilibre entre, d’une part, la protection de la vie privée en tant que valeur fondamentale et, d’autre part, le rôle majeur des renseignements personnels dans les affaires, les échanges et le commerce dans une économie mondiale moderne axée sur les données.

Changements importants

Le projet de loi C-11 résulte d’une approche, à l’égard de la protection de la vie privée, qui est fondée sur des principes et non pas sur des droits comme le préconisait le commissaire à la protection de la vie privée; il insiste sur la transparence, la responsabilité et le consentement comme principes de base du régime de protection de la vie privée au Canada, comme en témoignent certaines de ses dispositions les plus importantes :

• Pénalités pécuniaires administratives (les « pénalités ») importantes. La LPVPC étendrait considérablement les pénalités pouvant être imposées en cas de contravention aux lois fédérales régissant la protection de la vie privée dans le secteur privé. Une contravention à la LPVPC pourrait entraîner une pénalité maximale de 25 millions de dollars ou, s’il est supérieur, d’un montant correspondant à 5 % des produits d’exploitation annuels mondiaux bruts d’une entreprise. Par exemple, la LPVPC prévoit une pénalité de 10 millions de dollars ou de 3 % des produits d’exploitation annuels mondiaux bruts d’une entreprise en cas de contravention aux dispositions relatives au consentement et à la collecte, à l’utilisation, à la conservation et à la suppression des renseignements personnels et à certaines dispositions en matière de mesures de sécurité. Pour les infractions plus graves, les entreprises encourraient, sur déclaration de culpabilité par procédure sommaire, une pénalité de 20 millions de dollars ou de 4 % de leurs produits d’exploitation annuels mondiaux bruts et, sur déclaration de culpabilité par mise en accusation, une pénalité de 25 millions de dollars ou de 5 % de leurs produits d’exploitation annuels mondiaux bruts. De telles pénalités sont notamment prévues lorsqu’une entreprise contrevient sciemment aux dispositions concernant le signalement de violations de mesures de sécurité, la tenue de dossiers sur les violations des mesures de sécurité, la conservation de renseignements visés par une demande d’accès, l’utilisation de renseignements dépersonnalisés pour identifier une personne, le refus de protéger les dénonciateurs ou l’entrave à une investigation, à un examen ou à une vérification du commissaire à la protection de la vie privée.
• Droit privé d’action. Les personnes qui subissent une perte ou un préjudice causé par une entreprise disposent d’un nouveau droit d’action en dommages-intérêts. En effet, si le commissaire à la protection de la vie privée conclut que l’entreprise a contrevenu à la LPVPC et que l’entreprise n’en appelle pas de cette conclusion devant le Tribunal ou que le Tribunal rejette l’appel, ou si le Tribunal conclut que l’entreprise a contrevenu à la LPVPC, les personnes touchées par les actes de l’entreprise sont en droit d’intenter une action en dommages-intérêts devant la Cour fédérale ou une cour supérieure provinciale pour la perte ou le préjudice résultant de ces actes.
• Droits accrus de protection de la vie privée. De nouveaux droits seraient créés en vertu de la LPVPC qui permettraient aux personnes d’exercer un plus grand pouvoir sur leurs données et l’utilisation de celles-ci, dont les droits suivants :
  1. Transférabilité des données. Une personne peut demander à une entreprise de transférer ses renseignements personnels à une autre entreprise;
  2. Suppression. Une personne peut demander à une entreprise qu’elle supprime tous les renseignements personnels à son sujet que l’entreprise a recueillis;
  3. Explications. Une personne peut demander à une entreprise de lui donner des explications sur les prévisions, recommandations ou décisions formulées ou prises à son égard au moyen de systèmes décisionnels automatisés.
• Transparence de l’usage de systèmes décisionnels automatisés. Les entreprises seraient tenues, en vertu de la LPVPC, de divulguer tout usage qu’elles font de systèmes décisionnels automatisés pour formuler des prévisions ou des recommandations ou prendre au sujet de personnes des décisions qui pourraient avoir une incidence importante sur ces personnes.
• Actualisation des exigences à l’égard du consentement. Tout comme c’est le cas en vertu de la LPRPDE, la LPVPC exigerait l’obtention du consentement comme motif principal de la collecte, de l’utilisation et de la communication de renseignements personnels. Pour que le consentement soit véritable selon la législation proposée, il serait nécessaire que certaines déclarations soient faites en langage simple. Le consentement ne serait valable que si ces exigences étaient remplies. De plus, alors que la LPRPDE n’exige un consentement exprès que pour les renseignements particulièrement sensibles, la LPVPC l’exigerait dans tous les cas. Enfin, la LPVPC étendrait la liste des exceptions à l’obligation d’obtenir le consentement à bon nombre d’activités d’affaires, de transferts à des fournisseurs de services, de dépersonnalisations, d’activités de recherche et développement, de transactions commerciales éventuelles et effectuées et de relations d’emploi ainsi qu’à certains cas d’intérêt public.
• Règles concernant la dépersonnalisation. Le projet de loi contient des dispositions concernant la dépersonnalisation des renseignements personnels. Les entreprises auraient l’obligation de s’assurer que les mesures techniques et administratives qu’elles appliquent aux renseignements dépersonnalisés sont proportionnées à l’objectif de la dépersonnalisation et à la sensibilité des renseignements. Comme nous l’avons mentionné ci-dessus, l’usage abusif de renseignements dépersonnalisés donnerait lieu à des pénalités plus importantes que par le passé. La LPVPC interdirait aux entreprises d’utiliser tout renseignement dépersonnalisé pour identifier une personne, sauf dans le but de vérifier l’efficacité des mesures de sécurité. Les entreprises auraient le droit de dépersonnaliser les renseignements personnels d’une personne sans l’en informer et sans demander son consentement.
• Nouveaux pouvoirs du commissaire à la protection de la vie privée. La LPVPC conférerait au commissaire à la protection de la vie privée de vastes pouvoirs lui permettant de rendre des ordonnances exigeant la conformité à la LPVPC et interdisant aux entreprises de recueillir ou d’utiliser des renseignements personnels dans certaines circonstances, ainsi que de vérifier les pratiques de gestion des renseignements personnels d’une entreprise s’il disposait de motifs raisonnables de croire que l’entreprise avait contrevenu à la LPVPC. D’autre part, le commissaire à la protection de la vie privée serait autorisé à présenter au Tribunal ses recommandations concernant les pénalités. Enfin, le commissaire à la protection de la vie privée pourrait approuver les codes de pratique et les programmes de certification que lui soumettraient volontairement les entreprises; ces codes et programmes, s’ils recevaient son approbation, deviendraient juridiquement contraignants pour les entreprises.
• Renseignements personnels et Tribunal de la protection des renseignements personnels et des données. Le Tribunal aurait compétence à l’égard des ordonnances du commissaire à la protection de la vie privée et de tout appel des décisions du commissaire concernant des contraventions à la LPVPC. De plus, le Tribunal aurait le dernier mot sur l’imposition de pénalités à une entreprise et sur le montant des pénalités.
• Séparation des questions de la protection de la vie privée et des documents électroniques. Comme il est mentionné ci-dessus, si le projet de loi est adopté, la partie 1 de la LPRPDE serait abrogée et sa partie restante deviendrait la Loi sur les documents électroniques. Celle-ci, comme l’indique son titre, s’appliquerait principalement aux documents électroniques. La LPVPC, pour sa part, régirait les renseignements personnels et la protection de la vie privée dans le secteur privé.

Il est possible que le projet de loi ne franchisse pas sans accroc le processus législatif. Par exemple, le passage à un régime manifestement axé sur la protection des consommateurs pourrait susciter des contestations sur le plan constitutionnel, les lois concernant la protection des consommateurs relevant généralement de la compétence des provinces et des territoires. Dans sa déclaration sur le projet de loi C-11, le commissaire à la protection de la vie privée a d’ailleurs fait allusion à la possibilité de problèmes d’ordre constitutionnels liés au projet de loi C-11, soulignant que « seules les provinces auraient compétence pour légiférer en matière de droits civils et la compétence du Parlement fédéral se limiterait au commerce ». Toutefois, le commissaire à la protection de la vie privée a également rappelé que la Cour suprême du Canada avait souligné dans un jugement récent que « la vie privée est d’un intérêt vital » et « fait validement l’objet d’une protection dans plusieurs lois fédérales adoptées en vertu de l’un ou l’autre des chefs de compétence du Parlement » et que « cela devrait aussi être vrai pour la [LPVPC] édictée en vertu des pouvoirs du Parlement fédéral en matière de commerce ». Le commissaire à la protection de la vie privée a également déclaré que le projet de loi « soulève […] un certain nombre de questions quant à sa capacité de bien protéger la vie privée dans la société numérique en constante évolution ». Que les changements proposés soient adoptés en totalité ou en partie, le fardeau d’assurer la conformité à la législation sera sans doute dorénavant plus lourd pour les entreprises.

Nous continuerons de suivre de près les discussions concernant le projet de loi C-11 et de communiquer à nos clients les dernières informations sur les mesures qu’ils peuvent prendre pour s’assurer, si le projet de loi C-11 est adopté, d’être à même de rajuster rapidement leurs pratiques de gestion des renseignements personnels afin qu’elles soient conformes aux lois du Canada en matière de protection de la vie privée.

Lisez le texte intégral du projet de loi C-11.