Dans des articles précédents sur ce blog, nous évoquions le cadre juridique propre à l’application du PIPEDA, loi fédérale canadienne sur le traitement des données à caractère personnel par le secteur privé, ainsi que les règles applicables en matière de notification des failles sécuritaires.
En fin d’année 2020 le gouvernement canadien a proposé une nouvelle loi : le Consumer Privacy Protection Act (CPPA). Cette loi canadienne sur les droits de la personne s’inscrit toujours dans une volonté de transparence et de responsabilisation des acteurs économiques, et directement inspirée du RGPD européen.
Le champ d’application du CPPA
Notre précédent article sur le PIPEDA analyse l’état actuel des exigences requises tant en ce qui est entendu par une activité commerciale, que s’agissant des renseignements personnels actuellement concernés par l’application de la loi.
Le CPPA est une loi canadienne sur les droits de la personne qui a pour but de renforcer les exigences de consentement actuelles. De plus, elle impose une obligation de suppression de ces données lorsque le consentement est retiré.
Ces nouvelles exigences, dès leur entrée en vigueur, ont vocation à s’appliquer à toute organisation qui collecte, utilise ou divulgue des données personnelles, dans le cadre d’activités commerciales.
Étant précisé que dans le projet de loi, l’emploi du terme « organisation » s’entend comme une association, une société de personnes, une personne ou un syndicat.
Les nouvelles exigences posées par la loi canadienne sur les droits de la personne
Le projet de loi canadienne sur les droits de la personne relatif au CPPA prévoit d’imposer les exigences suivantes :
▪ Un droit effectif pour les utilisateurs de retirer leur consentement quant à l’utilisation de leurs données personnelles, allant jusqu’à l’obtention d’une suppression et élimination définitive ;
▪ Le recueil du consentement en « langage clair », c’est-à-dire celui permettant à l’utilisateur qui donne son accord de prendre une décision éclairée concernant le traitement de ses données personnelles ;
▪ Lorsqu’une organisation recueille des données personnelles et que ces dernières sont anonymisées, elles devront quand même bénéficier d’une protection et n’être utilisées que dans une certaine limite ;
▪ L’exigence de transparence est renforcée, les organisations devront transmettre toutes les informations nécessaires concernant la façon dont elles utilisent les systèmes de prise de décision automatisés pour faire des prédictions ou prendre des décisions concernant les utilisateurs. Les utilisateurs quant à eux disposeront du droit de demander plus d’explications sur ces procédures ;
▪ Les utilisateurs pourront demander le transfert de leurs données entre différentes organisations ;
Les exclusions
La proposition relative au CPPA prévoit des dispenses d’application de ces nouvelles règles. Un point important à garder à l’esprit concernant cette loi canadienne sur les droits de la personne, notamment pour les organisations gouvernementales qui répondent déjà aux conditions posées par le PIPEDA.
De plus, elles ne concerneront pas les organisations qui recueillent ces données à des fins personnelles, domestiques, journalistiques, artistiques, littéraires ou lorsqu’elles sont uniquement utilisées pour la communication avec l’utilisateur et en lien avec son entreprise ou sa profession ;
Les sanctions
En modernisant la protection actuelle, cette proposition de loi canadienne sur le droit des personnes se devait d’exiger de meilleures sanctions.
Il est ainsi prévu de concéder plus de prérogatives au Commissariat à la Protection de la Vie Privée au Canada (CPVP), qui pourra désormais en plus d’imposer des sanctions et d’exiger des organisations qu’elles respectent les règles, d’établir des recommandations à destination du Tribunal de la protection des renseignements personnels et des données.
En matière de sanctions, il est prévu de porter les amendes administratives à 3 % des revenus mondiaux ou à 10 millions de dollars canadiens (soit plus de 6 millions d’euros), avec une peine maximale amenée à 5 % du chiffre d’affaires global ou de 25 millions de dollars canadiens (soit plus de 16 millions d’euros) pour les infractions les plus graves.