La législation sur la protection de la vie privée au Canada est en plein changement – voici un guide pratique pour aider les entreprises à s’adapter à la Loi 25 du Québec et au projet de loi C-27 du gouvernement fédéral.
Le 24 avril 2023, le projet de loi C-27, également appelé Loi de 2022 sur la mise en œuvre de la Charte du numérique[1], a franchi l’étape de la deuxième lecture à la Chambre des communes et a été soumis à l’examen du Comité permanent de l’industrie et de la technologie (le « Comité »). Le projet de loi C-27 étant en voie d’être adopté, les entreprises doivent élaborer des plans stratégiques et tactiques pour se conformer aux nouvelles exigences en matière de protection de la vie privée, de protection des données et de cybersécurité.
Ce guide met en lumière les principales modifications apportées aux lois fédérales sur la protection de la vie privée par ce projet de loi, les compare sommairement à certaines nouvelles règles imposées par la Loi sur la protection des renseignements personnels dans le secteur privé adoptée par le Québec (la « Loi du Québec sur le secteur privé »)[2], dans sa version modifiée par la Loi 25[3] – dont la majeure partie des dispositions sont entrées en vigueur en septembre 2023 – et fournit une liste de conseils qui vous aideront à rendre les pratiques de votre entreprise conformes.
Exigences accrues en matière de protection de la vie privée imposées par le projet de loi C-27 : quoi de neuf?
Le projet de loi C-27 a été déposé par le gouvernement fédéral le 16 juin 2022 et vise à mettre en vigueur de trois nouvelles lois fédérales : (1) la Loi sur la protection de la vie privée des consommateurs (la « LPVPC »), (2) la Loi sur le Tribunal de la protection des renseignements personnels et des données (la « LTPRPD ») et (3) la Loi sur l’intelligence artificielle et les données (la « LIAD »).
Le présent article porte essentiellement sur les questions de vie privée, mais comme nous l’avons mentionné dans d’autres textes, la LIAD est une loi cruciale qui représente la première tentative d’encadrement officiel de l’intelligence artificielle au Canada. Bien des incertitudes subsistent sur les conséquences pratiques de la LIAD, dont les touches finales ne seront certainement pas apportées isolément, mais le Code de conduite volontaire visant un développement et une gestion responsables des systèmes d’IA générative avancés publié par le gouvernement fédéral le 27 septembre 2023 donne une bonne idée aux entreprises à cet égard en attendant que le projet de loi C-27 reçoive la sanction royale. En revanche, le portait est beaucoup plus clair pour la LPVPC, dont les exigences sont exposées ci-après.
La LPVPC vise à abroger les dispositions relatives à la protection de la vie privée de la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE »)[4] et à les remplacer par un nouveau cadre législatif régissant la collecte, l’utilisation et la communication des renseignements personnels à des fins commerciales au Canada. La LPVPC s’applique aux mêmes organisations actuellement assujetties à la LPRPDE. Sur le plan de la compétence, cela signifie que les lois provinciales sur la protection de la vie privée (le Québec, l’Alberta et la Colombie-Britannique ont des lois de portée générale, et plusieurs autres provinces ont des lois qui ciblent uniquement les données de santé) continueront de s’appliquer de la même manière que sous le régime de la LPRPDE. De plus, comme la LPRPDE, la LPVPC s’appliquera uniquement aux « activités commerciales »[5].
La LPVPC conserve bien des aspects de la LPRPDE, tout en apportant des précisions sur certains, comme la reddition de comptes. Par exemple, aux termes de la LPVPC, les organisations devront nommer une personne chargée de s’assurer du respect de leurs obligations légales et de mettre en œuvre un programme de gestion de la protection de la vie privée qui inclut des renseignements désignés[6]. De plus, chaque organisation sera responsable du traitement de tous les renseignements personnels qui « relèvent d’elle », qu’elle les traite elle-même ou par l’entremise d’un fournisseur de services[7]. Ces exigences seront codifiées pour la première fois dans la LPVPC; elles existent déjà dans la LPRPDE, mais sous forme d’obligations et de principes directeurs moins détaillés[8].
Par ailleurs, la LPVPC introduit des changements importants sur plusieurs points, dont le contrôle d’application. Des pénalités plus sévères seront imposées en cas de manquement à la LPVPC ou à ses règlements, y compris des sanctions pécuniaires administratives pouvant aller jusqu’à 10 millions de dollars, ou 3 % des recettes globales de l’organisation, et des amendes pouvant atteindre 25 millions de dollars, ou 5 % des recettes globales. De son côté, la LTPRPD crée un nouveau tribunal administratif chargé d’appliquer les sanctions prévues dans la LPVPC et d’entendre les appels interjetés contre des ordonnances du commissaire à la protection de la vie privée.
La LPVPC impose également de nouvelles règles relatives au consentement. Elle prévoit d’autres exceptions permettant la collecte, l’utilisation et la communication de renseignements personnels sans le consentement de la personne visée[9] et précise les renseignements devant être utilisés pour obtenir un consentement valide auprès des consommateurs, lesquels doivent être présentés dans un langage simple et facile à comprendre[10].
La LPVPC comprend d’autres modifications notables, comme :
- l’ajout de dispositions pour aider à protéger la vie privée des mineurs, comme celle qui reconnaît que tous les renseignements personnels d’un mineur sont « de nature sensible »[11];
- l’octroi aux individus du droit de demander le retrait[12] et le transfert de leurs renseignements personnels[13];
- l’obligation de faire preuve de transparence quant à l’utilisation d’algorithmes dans la prise de décision[14];
- l’ajout d’un droit privé d’action permettant aux individus d’intenter une action en dommages-intérêts contre une organisation pour non-conformité[15];
- le renforcement des pouvoirs du commissaire à la protection de la vie privée quant à la surveillance de la conformité[16].
Autres modifications attendues
Plus récemment, dans une lettre transmise à la fin du mois de septembre 2023 au Comité chargé d’étudier le projet de loi C-27, le ministre de l’Innovation, des Sciences et de l’Industrie du Canada a énoncé d’autres amendements qui devraient être apportés au projet de loi. Sa lettre propose plusieurs mesures concernant la LPVPC et la LIAD. Il propose notamment de reconnaître explicitement le droit fondamental des Canadiens au respect de leur vie privée dans l’objet de la LPVPC, d’obliger les organisations à tenir compte des intérêts des enfants relativement à leurs renseignements personnels et d’accorder une plus grande marge de manœuvre au commissaire à la protection de la vie privée en lien avec les accords de conformité conclus avec les organisations fautives, notamment en lui permettant d’imposer des sanctions pécuniaires. En ce qui concerne la LIAD, il propose d’imposer des obligations particulières pour les systèmes d’IA générative comme ChatGPT et d’harmoniser les règles avec les règlements de l’Union européenne sur l’intelligence artificielle.
Comparaison entre le projet de loi C-27 et la Loi 25 du Québec
Il ne faut pas confondre le projet de loi C-27 avec la Loi 25 du Québec (auparavant connue sous le nom de projet de loi 64). La Loi 25 modifie la Loi du Québec sur le secteur privé. Dont la majeure partie des dispositions sont entrées en vigueur en septembre 2023. La Loi du Québec sur le secteur privé s’applique à la collecte, à l’utilisation et à la communication de renseignements personnels au Québec. Par conséquent, toute organisation exerçant des activités au Québec doit tenir compte de ses implications.
La Loi 25 et le projet de loi C-27 visent tous deux à moderniser les approches adoptées au Canada en matière de législation sur la protection de la vie privée et, de ce fait, les nouveaux cadres qu’ils prévoient présentent certaines similitudes au chapitre de la responsabilité et de la transparence, à quelques nuances près. Par exemple, la Loi 25 accorde aux individus de nouveaux droits semblables à ceux dont il est question ci-dessus, y compris le droit d’être informé d’un traitement automatique et le droit à la portabilité des données (cette dernière disposition entrera en vigueur le 22 septembre 2024).
Ces deux cadres législatifs exigent la désignation d’un responsable du respect de la vie privée. Cependant, selon la Loi du Québec sur le secteur privé, cette responsabilité revient à la personne ayant la plus haute autorité au sein de l’organisation mais elle peut déléguer cette fonction par écrit à une autre personne et l’organisation doit rendre publics son titre et ses coordonnées[17]. De plus, ces deux cadres législatifs obligent les organisations à veiller à ce que leurs fournisseurs de services protègent efficacement les renseignements personnels, mais la loi québécoise prévoit des dispositions contractuelles précises qui doivent être incluses dans les contrats conclus avec les fournisseurs de services[18]. Elle impose également l’obligation supplémentaire d’effectuer des évaluations des facteurs relatifs à la vie privée dans certains cas, notamment lorsque des renseignements personnels sont transférés ou traités à l’extérieur du Québec[19].
Il convient de noter que le projet de loi C-27 et la Loi 25 adoptent des approches légèrement différentes en matière de consentement[20]. Par exemple, la Loi du Québec sur le secteur privé permet aux organisations de recourir, dans certaines situations, à un consentement implicite pour recueillir et utiliser des renseignements personnels conformément aux fins mentionnées et pour lesquelles ils ont été recueillis. Cependant, un consentement exprès est toujours exigé lorsqu’il s’agit de renseignements sensibles ou de profilage (notamment dans le cas des témoins). Dans le projet de loi C-27, le consentement exprès doit primer, mais le recours au consentement implicite est autorisé lorsqu’il est « approprié » de le faire, en tenant compte des attentes raisonnables et de la sensibilité des renseignements[21]. Parmi les autres différences notables, soulignons leurs mécanismes respectifs d’application de la loi et d’imposition de pénalités en cas de non-conformité, ainsi que leurs exigences de notification en cas de violation des données.
Conformité aux lois sur la protection de la vie privée – Liste de vérification à l’intention des entreprises
La nouvelle approche canadienne au chapitre de la protection de la vie privée offre aux entreprises l’occasion de faire le point et de revoir leurs propres pratiques en la matière; ce faisant, elles pourront s’assurer de respecter les obligations actuelles, qui seront transférées de la LPRPDE à la LPVPC, ainsi que les autres changements issus du projet de loi C-27 et de la Loi 25 (le cas échéant).
De manière générale, les entreprises devront revoir et mettre à jour leurs pratiques internes et leurs politiques destinées au public concernant la collecte, l’utilisation, la communication et le stockage des renseignements personnels. Les questions suivantes pourraient vous être utiles dans la planification de votre entreprise en matière de conformité (elles représentent un point de départ; d’autres questions seront à considérer) :
La Loi du Québec sur le secteur privé s’applique-t-elle à votre entreprise?
Déterminez si la Loi du Québec sur le secteur privé s’applique au traitement des renseignements personnels par votre entreprise et si vous devriez réviser vos politiques et procédures afin de les rendre conformes.
Y a-t-il lieu de réviser les procédures de consentement de votre entreprise?
Examinez et révisez les procédures de consentement de votre entreprise, y compris les politiques relatives aux exceptions pouvant être accordées, les cas où un nouveau consentement doit être obtenu et la méthode de traitement des demandes de révocation du consentement.
Votre politique de confidentialité est-elle rédigée dans un langage simple?
Veillez à ce que la politique de confidentialité et les demandes de consentement de votre entreprise soient rédigées dans un langage facile à comprendre et renferment les informations exigées pour satisfaire aux obligations de transparence.
Y a-t-il lieu de réviser les contrats conclus avec vos fournisseurs de services?
Déterminez les situations dans lesquelles vous agissez en tant que responsable de la gestion des renseignements personnels ou en tant que fournisseur de services. Examinez et révisez les contrats avec vos fournisseurs de services afin de respecter vos obligations en matière de responsabilité et de répartir adéquatement le risque juridique.
Votre entreprise s’est-elle dotée d’un programme de gestion de la protection de la vie privée?
Nommez un responsable du respect de la vie privée et élaborez un programme de gestion de la vie privée. Cette personne devrait, à tout le moins, procéder à un exercice de cartographie des données et mettre à jour ou rédiger les politiques et procédures requises en matière de protection de la vie privée.
Vos politiques de stockage et de conservation des données comportent-elles des mesures de protection?
Examinez et révisez les politiques de stockage et de conservation des données de votre entreprise afin de vous assurer que les mesures de protection nécessaires sont mises en place pour protéger les renseignements personnels et que la durée de conservation de ceux-ci ne dépasse pas la durée autorisée par la loi.
Votre personnel a-t-il reçu la formation nécessaire pour traiter les renseignements personnels?
Veillez à ce que les membres de votre personnel qui traitent des renseignements personnels aient reçu une formation à jour concernant l’utilisation des mesures de protection, le signalement des violations de données, la tenue des registres et le traitement des demandes des individus.
Procédez à des vérifications pour vous assurer du respect des politiques et des procédures par votre personnel.
Si vous avez des questions sur ces récents changements, n’hésitez pas à communiquer avec un membre de l’équipe Protection de la vie privée et des données de Miller Thomson. Et ne manquez pas notre prochain webinaire sur ces sujets, qui sera annoncé sous peu.
[1] Projet de loi C-27, Loi édictant la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l’intelligence artificielle et les données et apportant des modifications corrélatives et connexes à d’autres lois, 44e légis. (Can.), 1re sess. (deuxième lecture, 24 avril 2023).
[2] RLRQ, c. P-39.1.
[3] Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, LQ 2021, c. 25.
[4] Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, ch. 5.
[5] LPVPC, art. 6.
[6] LPVPC, art. 9.
[7] LPVPC, art. 7 et 11.
[8] LPRPDE, art. 5, annexe 1.
[9] LPVPC, art. 18-52.
[10] LPVPC, paragr. 15(4).
[11] LPVPC, paragr. 2(2).
[12] LPVPC, art. 55.
[13] LPVPC, art. 72.
[14] LPVPC, art. 63.
[15] LPVPC, art. 107.
[16] LPVPC, art. 76-129.
[17] Loi du Québec sur le secteur privé, art. 3.1.
[18] Loi du Québec sur le secteur privé, art. 18.3.
[19] Loi du Québec sur le secteur privé, art. 3.3 et 17.
[20] Pour en savoir plus sur la validité du consentement au Québec, consultez les lignes directrices publiées par l’organisme de réglementation du Québec le 31 octobre 2023.
[21] LPVPC, paragr. 15(5).