Logo L'avocat Transatlantic

Retour sur des changements imminents concernant la protection des données à caractère personnel au Canada

  • Stephan Grynwajc

Le 17 novembre 2020, le gouvernement canadien annonçait la rédaction d’une nouvelle loi régulant le secteur de la protection des données personnelles au niveau fédéral. Le 22 février 2022, le Projet de loi C-11, Loi modifiant la Loi sur la radiodiffusion et apportant des modifications connexes et corrélatives à d’autres lois (ci-après « Projet de loi C-11 ») était présenté pour la première fois. Le Projet de loi C-11 offre une approche plus moderne en matière de confidentialité des données personnelles, et permettra au Canada de s’aligner davantage sur le Règlement général sur la protection des données (RGPD) de l’Union européenne et sur la loi californienne de 2018 sur la protection des données à caractère personnel (CCPA).

Quel sera l’impact du projet de loi C-11 sur l’actuelle LPRPDE ?

Le Projet de loi C-11 est en cours d’examen devant le parlement canadien. Une fois qu’il sera adopté et qu’il entrera en vigueur, il remplacera l’actuelle loi canadienne sur la protection des renseignements personnels, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Bien que le projet de loi C-11 reprenne la logique générale retrouvée dans la LPRPDE, de nombreuses nouvelles obligations seront imposées sur toute société qui traite des données à caractère personnel au Canada 1 . Par exemple, il leur faudra entre autres

  • se conformer aux nouvelles exigences relatives au consentement de l’utilisateur en ce qui concerne la collecte, l’utilisation ou la divulgation des données d’un individu ;
  •  respecter le droit d’accès de toute personne à ses données personnelles que l’organisation détient ;
  • supprimer les données personnelles que l’organisation détient au sujet d’une personne si celle-ci le demande.

Comparaisons

Il est intéressant de dresser certaines comparaisons entre la LPRPDE et la Projet de loi C-11, afin de comprendre davantage les changements qui s’annoncent de façon imminente dans le secteur de la protection des données à caractère personnel au Canada. D’emblée, l’objectif de ces deux instruments législatifs demeure le même : trouver un juste équilibre entre le droit à la vie privée et à la protection des données personnelles que chaque personne possède et le besoin des organisations de traiter lesdites données personnelles 2 .

Alors que certains concepts qui figurent dans le Projet de loi C-11 sont directement repris de la LPRPDE (tels la définition de renseignement personnel 3 , ou encore l’obligation de notifier le Commissaire à la protection de la vie privée (ci-après « Commissaire ») et les individus concernés en cas d’atteinte à la sécurité des données personnelles 4 ), de nombreux nouveaux principes sont introduits par le Projet de loi C-11 :

  • Le principe de dépersonnalisation : Modifier des données personnelles — ou créer des données à partir de données personnelles — au moyen de procédés techniques afin que ces données ne permettent pas d’identifier un individu ni ne puissent, dans des circonstances raisonnablement prévisibles, être utilisées, seules ou en combinaison avec d’autres données, pour identifier un individu 5 . D’ailleurs, le Projet de loi C-11 prévoit que l’organisation devra veiller, lors de la procédure de dépersonnalisation, d’avoir recours à des procédés techniques et administratifs proportionnels aux fins auxquelles ces données sont dépersonnalisées et à la nature sensible des données personnelles 6 .
  • Le principe de retrait des données personnelles : Suppression définitive et irréversible de données à caractère personnel 7 . L’organisation devra procéder au retrait des données personnelles suite à la demande d’un individu concerné par lesdites données 8 .
  • Obligation de mettre en œuvre un programme de gestion de la protection des données personnelles comprenant des politiques, des pratiques et des procédures relatives (1) à la protection des données personnelles (2) à la réception des demandes de renseignements et des plaintes et à leur traitement (3) à la formation et à l’information fournies à son personnel relativement à ses politiques, à ses pratiques et à ses procédures, et (4) à l’élaboration de contenu expliquant les politiques et les procédures qu’elle a mises en place afin de respecter les obligations qui lui incombent sous le régime de la présente loi 9 . Bien que cette obligation soit fortement similaire à ce qui est retrouvé sous le présent article 10 de la LPRPDE, les organisations devront en plus prendre en compte le volume et de la nature sensible des données personnelles qu’elle traite 10 . De plus, les organisations auront l’obligation de donner accès au Commissaire aux politiques, pratiques et procédures comprises dans son programme de gestion de la protection des données à caractère personnel si celui-ci le demande 11 . En conséquence, il est aussi question d’une obligation de transparence accrue.

Bien qu’il ne s’agisse pas d’une liste exhaustive, ces exemples nous permettent de remarquer que la nouvelle loi sera plus complète et moderne, et davantage alignée sur la loi européenne.

Le Projet de loi C-11 introduit également certaines précisions, notamment en spécifiant sous quelles conditions une organisation peut collecter ou utiliser les données personnelles d’un individu à son insu ou sans son consentement dans le cadre d’activités commerciales 12 . À titre de comparaison, la LPRPDE est muette à ce niveau. De plus, contrairement à la loi actuelle, le Projet de loi C-11 précise sous quelles conditions une organisation pourra communiquer les données personnelles d’un individu, à son insu ou sans son consentement 13 .

Un des changements les plus importants introduits par le Projet de loi C-11 est la création d’un Tribunal de la protection des renseignements personnels. Ce nouveau Tribunal aura le pouvoir de se pencher sur certaines violations précises à la nouvelle loi 14 et sous recommandation du Commissaire (telle la situation où une organisation a collecté des données à caractère personnel qui ne sont pas nécessaires aux finalités qu’elle a établies et consignées 15 , ou encore si elle a utilisé ou communiqué sans le consentement de la personne concernée des données personnelles pour des finalités autres que celles qu’elle a établies et consignées 16 , etc.). Le Tribunal aura le pouvoir d’infliger une pénalité maximale de 10 millions CAD (un peu plus de 7 millions €) ou de 3 % des recettes globales brutes de l’organisation au cours de son exercice précédant celui pendant lequel la pénalité est infligée, si ce montant est plus élevé.

Soulignons que les pénalités maximales qui sont introduites par le Projet de loi C-11 sont très salées, allant jusqu’à 25 millions CAD (environ 19 millions €) ou 5% des recettes globales brutes de l’organisation au cours de son exercice précédant celui pendant lequel la pénalité est infligée, si ce montant est plus élevé. Ainsi, les entreprises ont tout intérêt à suivre les développements en la matière au Canada et de s’assurer d’être bien accompagnées afin de bien se conformer à leurs obligations légales.

Cabinet d’avocat franco-canadien pratiquant aussi bien le droit anglophone de la common law que le droit civil francophone au Canada, le cabinet S. Grynwajc dispose en outre d’une expertise particulière en tant dans le secteur de la protection des données à caractère personnel. En conséquence, si vous souhaitez vous assurer que votre organisation se conforme aux obligations lui incombant, n’hésitez pas à nous contacter, nous serons ravis de vous accompagner !

1 Spécifions que les entreprises qui traitent les données à caractère personnel dans les provinces canadiennes qui ont leur propre loi sur la protection des données personnelles jugée équivalente à la loi fédérale devront plutôt se conformer à la loi provinciale, sauf en ce qui concerne les industries relevant de la compétence fédérale (tels les banques, le milieu de l’aviation, etc.) ou le traitement de données interprovincial ou international. Les provinces ayant adopté une telle loi sont actuellement au nombre de trois : le Québec, l’Alberta et la Colombie-Britannique.
2 LPRPDE, art. 3; Projet de loi C-11, art. 5.
3 LPRPDE, art. 2 al. 10; Projet de loi C-11, art. 2 al. 11.
4 LPRPDE, art. 10.1; Projet de loi C-11, art. 58 (1).

5 LPRPDE, art. 2 al. 4.
6 Projet de loi C-11, art. 74.
7 LPLPDE, art. 2 al. 11.
8 Projet de loi C-11, art. 55 (1).
9 Projet de loi C-11, art. 9 (1).
10 Projet de loi C-11, art. 9 (2).
11 Projet de loi C-11, art. 10.
12 Projet de loi C-11, art. 18 (1).
13 Projet de loi C-11, art. 39 (1).
14 Projet de loi C-11, art. 93 (1).

15 Projet de loi C-11, art. 13.
16 Projet de loi C-11, art. 14 (1).

Cet article a été rédigé avec la collaboration d’Irina Gueorguiev

Articles similaires:

Articles récents

Recevoir nos futurs articles*

* En renseignant votre adresse email afin de vous abonner à notre lettre d’information, vous consentez expressément au traitement de cette donnée personnelle aux fins de gestion des abonnements et d’envoi de notre lettre d’information. Vous pouvez à tout moment retirer votre consentement et demander à vous désabonner en nous contactant via notre “formulaire de contact”. Pour d’avantage d’information sur les traitements de données personnelles mis en œuvre sur ce site, veuillez consulter notre politique de protection des données.

Copyright © Law Office of S. Grynwajc, PLLC
L’avocat transatlantique® est une marque enregistrée
Tous droits réservés.

Facebook Instagram Linkedin Skype
Open chat
Powered by Joinchat
Hello, how can we help ?