Mise à jour de la Loi sur la protection des renseignements personnels du Canada (projet de Loi C-11)

12 janvier 2021 | Équipe de l'ACA,

Un cadenas sur arrière-plan à l’allure numérique En novembre 2020, le gouvernement fédéral a annoncé son intention de procéder à une mise à jour de sa loi sur la protection des données, soit la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) en vigueur depuis 2000. La LPRPDE permet au Canada de figurer parmi la liste limitée des 12 pays jugés « adéquats » en vertu du Règlement général sur la protection des données (RGPD) de l’UE, mais celle-ci n’est pas sans failles. La loi commençait à se faire vieille, particulièrement en raison de l’émergence des mégadonnées dans la mise en œuvre de projets. C’est pourquoi le gouvernement a annoncé en 2019 la création d’une ambitieuse Charte canadienne du numérique, laquelle fut lancée lors de cette annonce en novembre dernier.

Cette annonce a pu passer inaperçue en raison du flux constant de communications toutes plus urgentes les unes que les autres portant sur la pandémie de COVID-19. Nous proposons donc le présent article afin que tous acquièrent une compréhension de base de ce que la loi comprend et de ce qu’elle pourrait entraîner comme répercussions sur les opérations quotidiennes de commercialisation si elle devait être adoptée telle qu’elle est écrite actuellement.

Contexte

Le 17 novembre, l’honorable Navdeep Bains, ministre de l’Innovation, des Sciences et de l’Industrie (ISED), a proposé le projet de Loi C-11 intitulé Loi de 2020 sur la mise en œuvre de la Charte canadienne du numérique. De cette dernière découlera la Loi sur la protection de la vie privée des consommateurs (LPVPC), laquelle viendra à la fois moderniser la loi existante régissant le traitement des données personnelles dans le secteur privé au Canada et créer la nouvelle Loi sur le Tribunal de la protection des renseignements personnels et des données, instituant de ce fait le Tribunal de la protection des renseignements personnels et des données. Le Tribunal, à titre d’entité de gestion, pourra imposer des sanctions administratives pécuniaires en cas de contravention des dispositions de cette loi. Le résumé du projet de loi du gouvernement soutient que « chacune de ces étapes vise à donner confiance aux citoyens canadiens quant à la sécurité de leurs données personnelles et au respect de leur vie privée, tout en libérant le potentiel d’innovation favorisant une économie forte. »

Contenu de la Loi

Le gouvernement résume ce nouveau cadre de travail plus moderne axé sur la protection des renseignements personnels dans le secteur privé en quatre objectifs importants :

  • accroître les paramètres de contrôle et de transparence lors du traitement des renseignements personnels des Canadiens par les entreprises;
  • donner aux Canadiens la liberté de transmettre de manière sécuritaire leurs renseignements d’une organisation à l’autre;
    permettre aux Canadiens de retirer leur consentement et de demander la destruction des renseignements personnels qu’ils ont fournis, si ces renseignements ne sont plus nécessaires;
  • appliquer, dans le cas des infractions les plus sérieuses, des sanctions pécuniaires parmi les plus sévères au sein des pays du G7 en ce qui a trait aux législations du Commissariat à la protection de la vie privée du Canada. Les sanctions pourront aller jusqu’à 5 % du revenu ou 25 millions de dollars, selon le plus élevé des deux montants.
  • donner la possibilité de créer, sur une base volontaire et conformément aux règlements, des cadres de responsabilisation, des codes de pratique et des programmes de certification approuvés par le Commissariat.

Creusons plus à fond

Le contenu du projet de Loi C-11 devra être méticuleusement examiné par chacune des organisations.

Les annonceurs doivent prendre acte que les règles entourant le consentement ont été raffermies et renforcées. Le consentement express est toujours l’option par défaut malgré les nombreux commentaires d’éminents joueurs du secteur privé soulignant le besoin, dans un premier temps, de s’éloigner de cette façon de faire basique et bien peu pratique pour recueillir des données, et dans un deuxième temps, de mettre plutôt et davantage l’accent sur des mesures de responsabilisation.

Par ailleurs, la nécessité et la proportionnalité des données recueillies devraient davantage être mises en relief. Déterminez quelles données doivent être nécessairement partagées et quelles sont celles qui ne doivent pas l’être. Les moindres détails des partenariats typiques d’échange de données comme celui que vous avez bâti avec vos partenaires de solutions de technologie marketing devront être compris et documentés quant à la provenance des données et à leur utilité au sein de votre organisation.

Les entreprises sont également tenues de documenter les fins auxquelles les renseignements personnels sont recueillis, utilisés et communiqués et de fournir des avis aux consommateurs dans un langage clair. Ces données ne peuvent être utilisées qu’aux fins spécifiées. Ceci s’avérera sans doute une tâche laborieuse si votre organisation ne s’est pas encore penchée sur les pratiques de traitement de données mises en place par votre service marketing ou si vous avez comme tactique de simplement diriger vos visiteurs vers une longue politique de confidentialité pour qu’ils apprennent à vous connaître.

Les organisations doivent mettre en œuvre un programme de gestion de la protection des renseignements personnels pour respecter leurs obligations aux termes de la Loi. Celui-ci doit comprendre la mise en place de formations appropriées à l’interne et de processus de gestion des demandes d’accès et des plaintes.

La PIPEDA exige déjà que toute forme de violation soit rapportée, mais le nouveau projet de loi prévoit un droit privé d’action par lequel un individu touché par une omission a une cause d’action en dommages-intérêts contre une organisation, mais seulement si le Commissariat ou le Tribunal conclut que l’organisation a contrevenu à la présente loi ou que celle-ci est condamnée pour une infraction. Ce nouveau droit d’action pourrait entraîner des recours collectifs.

L’un des éléments les plus salués de cette loi est la reconnaissance des codes de pratique et des programmes de certification. Ceux-ci pourraient éventuellement transférer le fardeau du consentement vers les consommateurs et fournir un écosystème plus sécuritaire pour le partage d’information, la publicité axée sur les intérêts, la dépersonnalisation des renseignements, la cybersécurité et plus encore.

Nouvelles perspectives

Plusieurs questions émergent depuis l’annonce du nouveau projet de loi. Une récente baladodiffusion animée par Michael Geist, professeur de droit à l’Université d’Ottawa, et dont l’invité était nul autre que le ministre Bains, dévoile de nouvelles perspectives sur le sujet.

Le ministre révèle que l’intention derrière cette Loi consiste essentiellement à trouver le juste équilibre entre l’innovation et les droits des consommateurs. « Dans notre économie où les données prévalent, les questions entourant la protection de la vie privée ont une grande incidence sur presque toutes les transactions commerciales émanant des entreprises de toutes tailles. »

Il a aussi parlé de la portabilité des données en affirmant que celle-ci pourrait, par un accroissement de la concurrence, s’avérer bénéfique pour les consommateurs. Il a cité l’exemple de consommateurs ayant réussi à transférer des données vers de nouvelles compagnies du domaine de la technologie financière.

Mention aussi pour les renseignements dépersonnalisés qui demeurent assujettis à la Loi, ce qui a été jugé problématique par certains experts en la matière. Questionné à ce sujet, le ministre précise que les renseignements dépersonnalisés « ne donnent pas carte blanche à une organisation pour faire n’importe quoi avec les données »; celles-ci doivent être traitées de manière à ne pas permettre la réidentification individuelle.

Lorsqu’il est question des sanctions et des procédures établies par le Tribunal, le ministre précise qu’il souhaite que le Commissariat à la protection de la vie privée du Canada se concentre davantage sur la surveillance et la conformité et laisse le fardeau de l’arbitrage au Tribunal.

Préparez-vous dès maintenant

La Loi est complexe et vous y découvrirez encore beaucoup d’éléments importants. Consultez rapidement vos conseillers internes et externes, votre équipe spécialisée en conformité, votre comité sur la vie privée ou toute autre personne capable de vous conseiller sur le sujet. Profitez de toutes les ressources à votre disposition pour bien comprendre les répercussions du projet de Loi C-11 et les pratiques marketing de votre organisation. Bien qu’il soit toujours possible que des modifications soient apportées, l’exercice préalable de déchiffrage de la Loi, dans le calme et de manière rationnelle, s’avérera très utile pour éviter la pression et les craintes de sanctions le moment venu.

Quant aux prochaines étapes du processus législatif menant à l’adoption du projet de Loi C-11, on s’attend à ce que celui-ci soit soumis à un examen par le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (ETHI). Advenant l’adoption du projet de loi, un délai de 12 à 18 mois est à prévoir avant que la Loi n’entre en vigueur. Cette période donnera le temps aux organisations de se conformer aux nouvelles exigences et servira aussi à l’élaboration de règlements et à la constitution du Tribunal.

Jusqu’à ce que le projet de loi soit adopté, tenez vos équipes bien informées et engagées afin que, une fois en vigueur, la pression de la Loi n’afflige pas trop vos équipes de communications marketing.

Actions de l’ACA

L’ACA a mis sur pied une équipe spéciale composée de légistes et d’experts en matière de protection de la vie privée. Nous tiendrons les membres de l’ACA informés des développements.