Le 16 juin 2022, le Parlement du Canada présentait le nouveau Projet de loi C-27 : Loi édictant la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l’intelligence artificielle et les données et apportant des modifications corrélatives et connexes à d’autres lois (ci-après « projet de loi C-27 »). Certains considèrent qu’il s’agit d’une version améliorée du projet de loi C-11, présenté au gouvernement en 2020, mais qui ne fut jamais adopté.
Le nouveau projet de loi 27 vise la protection des données à caractère personnel dans le secteur privé et vise à modifier de manière importante la loi fédérale actuelle, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). S’il est adopté, ce nouveau texte législatif résulterait en l’entrée en vigueur de trois nouvelles lois :
1) La Loi sur la protection de la vie privée des consommateurs (LPVPC);
2) La Loi sur le Tribunal de la protection des renseignements personnels et des données (LTPRPD);
3) La Loi sur l’intelligence artificielle et les données et apportant des modifications corrélatives et connexes à d’autres lois (LIA).
Dans cet article nous passons en revue quelques éléments importants introduits par la partie 1 du projet de loi C-27, c.-à-d. la LPVPC.
Changements proposés par la LPVPC
D’emblée, signalons que les contrevenants aux nombreuses obligations qu’introduirait la LPVPC si le projet de loi C-27 est adopté risquent de se voir imposer des amendes salées. En effet, la LPVPC permettra au commissaire à la protection de la vie privée du Canada (ci-après « le commissaire ») d’imposer des amendes allant jusqu’à 10 millions de dollars canadiens (CAD) ou 3% des recettes globales brutes de l’organisation au cours de son exercice précédent, si ce montant est plus élevé 1 . En cas d’infraction plus importante, ce montant pourra s’élever à un maximum de 25 millions CAD ou 5% des recettes globales brutes de l’organisation au cours de son exercice précédent 2 . A titre d’exemple, une telle amende accrue pourrait être imposée dans le cas où une organisation ne déclarerait pas au commissaire une atteinte aux mesures de protection des données à caractère personnel qui relèvent de sa responsabilité s’il est raisonnable de croire que, dans les circonstances, l’atteinte présente un risque réel de préjudice grave à l’endroit d’un individu 3 .
De plus, toute organisation qui traite des données à caractère personnel 4 aura des obligations de transparence plus étendues. Elle devra entre autres désigner un ou plusieurs individus chargés de veiller à sa conformité aux obligations qui lui incombent sous la nouvelle loi 5 . L’organisation devra également mettre en place un programme de gestion de la protection des données à caractère personnel. Ce programme devra inclure notamment des politiques, des pratiques et des procédures relatives à la protection des données à caractère personnel, à la réception et au traitement des demandes d’accès et des réclamations, à la formation et à l’information fournies à son personnel relativement à ses politiques, à ses pratiques et à ses procédures, et à l’élaboration de contenus expliquant ses politiques et ses procédures 6 .
En outre, il est intéressant de souligner que s’il est adopté, le projet de loi C-27 ne permettra le traitement des données à caractère personnel qu’à des fins acceptables, peu importe que le consentement de la personne concernée soit requis ou non par la loi 7 . Cette détermination doit être faite au plus tard au moment du traitement des données à caractère personnel (c.-à-d., au plus tard au moment où l’organisation établit et consigne les finalités pour lesquelles ces informations sont recueillies, utilisées ou communiquées 8 ). Les éléments suivants seront à prendre en compte pour déterminer s’il s’agit d’une finalité acceptable :
- la nature sensible ou non des données à caractère personnel ;
- le fait que les finalités visées correspondent à des besoins commerciaux légitimes de l’organisation;
- le degré d’efficacité de la collecte, de l’utilisation ou de la communication pour répondre aux besoins commerciaux légitimes de l’organisation ;
- l’existence ou non de moyens portant une atteinte moindre à la vie privée de l’individu et permettant d’atteindre les finalités visées pour un coût et avec des avantages comparables ;
- la proportionnalité entre l’atteinte à la vie privée de l’individu et les avantages pour l’organisation, au regard des moyens, techniques ou autres, mis en place par l’organisation afin d’atténuer les effets de l’atteinte pour l’individu 9 .
Les données à caractère personnel ne pourront être recueillies que si elles sont nécessaires pour les finalités établies et qu’elles sont consignées par l’organisation 10 .
Le consentement, principe central à la nouvelle loi
Tel que c’est déjà le cas sous la loi actuelle, le consentement de la personne concernée par les données à caractère personnel que l’organisation considère traiter demeure central dans le texte du Projet de loi C-27. Ainsi, le consentement valide de la personne est requis pour tout traitement, sauf dans quelques cas précis. Afin qu’il soit considéré valide, l’organisation doit fournir de nombreux renseignements à la personne concernée 11 , telles les finalités de la collecte, de l’utilisation ou de la communication des données à caractère personnel, tels qu’établis par l’organisation et consignés 12 , par exemple.
Les exceptions au principe du consentement comme base légale du traitement des données à caractère personnel incluent : un traitement dans le cadre des activités d’affaires 13 , lors du transfert à des fournisseurs de services 14 , au cas où les données sont anonymisées 15 , dans le cadre d’une transaction commerciale éventuelle 16 , etc.
Ainsi, d’importants changements dans le secteur de la protection des données à caractère personnel s’annoncent au Canada. Cabinet d’avocat franco-canadien pratiquant aussi bien le droit français que le droit canadien, le cabinet S. Grynwajc dispose en outre d’une expertise particulière dans le secteur de la protection des données à caractère personnel. En conséquence, si vous souhaitez vous assurer que votre organisation se conforme aux obligations lui incombant, n’hésitez pas à nous contacter, nous serons ravis de vous accompagner !
1 Projet de loi C-27, art. 95 (1).
2 Projet de loi C-27, art. 128 (a).
3 Projet de loi C-27, art. 58 (1).
4 C.-à-d. qui recueille lesdits renseignements, qui établit les fins pour lesquelles ils sont recueillis, utilisés ou communiqués, qu’elle les recueille, utilise ou communique elle-même ou qu’un fournisseur de services le fasse pour elle; Projet de loi C-27, art. 7 (2).
5 Projet de loi C-27, art. 8 (1).
6 Projet de loi 9 (1) (a) (b) (c) (d).
7 Projet de loi C-27, art. 12 (1).
8 Projet de loi C-27, art. 12 (3).
9 Projet de loi C-27, art. 12 (2).
10 Projet de loi C-27, art. 13.
11 Projet de loi C-27, art. 15 (3).
12 Projet de loi C-27, art. 15 (3) (a).
13 Projet de loi C-27, art. 18 (1).
14 Projet de loi C-27, art. 19.
15 Projet de loi C-27, art. 20.
16 Projet de loi C-27, art. 22.
—
Cet article a été rédigé avec la collaboration d’Irina Gueorguiev