Le 7 novembre 2020, le gouvernement du Canada a présenté Projet de loi C-11, qui est composée de deux lois : la Loi sur la protection de la vie privée des consommateurs (CPPA) et la Loi sur le Tribunal de la protection des renseignements personnels et des données (PIDPTA).
La LPRPDE remplacera la loi canadienne actuelle sur la protection de la vie privée, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), tandis que la PIDPTA créera un nouveau tribunal pour faire respecter la CPPA et imposer des sanctions aux contrevenants.
Bien que certains aspects du projet de loi C-11, qui suit actuellement les étapes du processus législatif, puissent changer en vue de recevoir la sanction royale, il est prévu qu’il s’agisse de l’une des lois de protection des données les plus strictes de tout le G-7 (Canada, France, Allemagne, Italie, Japon, Royaume-Uni et États-Unis).
Projet de loi C-11 : Quoi de neuf?
La LPVPC proposée apportera des changements importants aux lois canadiennes sur la protection des données. Plus précisément, elle augmentera droits à la confidentialité des données des individus, les obligations des responsables du traitement et sous-traitants de données, les pouvoirs d’exécution et les sanctions.
Droits individuels et définitions
Le droit à la mobilité des données : Le CPPA améliorera droits de la personne concernée pour les particuliers en permettant aux Canadiens d'avoir un accès plus clair et plus gérable à leurs données personnelles. Règlement général sur la protection des données de l'UE Le droit à la portabilité des données prévu par le RGPD sera renforcé par la nouvelle loi qui introduira un droit à la mobilité des informations personnelles. Celui-ci permettra à une personne de demander le transfert de ses informations de l'organisation qui les a collectées vers une autre organisation de son choix, à condition que les deux organisations remplissent les conditions requises par le cadre de mobilité des données. Les conditions précises de ce cadre seront précisées dans la version finale de la LPRPDE.
Le droit à l'effacement : Les consommateurs canadiens auront également la droit à l'effacement, ce qui signifie que les individus pourront demander à une organisation de supprimer toutes les données personnelles les concernant. Les organisations devront se conformer à la demande d'un individu d'exercer ces droits dans un délai à déterminer.
Consentement significatif : Le consentement éclairé est la pierre angulaire de la CPPA et ne peut être considéré comme valide que si les informations suivantes sont fournies en langage clair :
- Le but de la collecte, de l'utilisation ou de la divulgation des renseignements
- La manière dont les informations doivent être collectées, utilisées ou divulguées
- Toute conséquence raisonnablement prévisible d’une telle collecte, utilisation ou divulgation
- Le type spécifique d'informations qui doivent être collectées, utilisées ou divulguées
- Les noms de tous les tiers ou les types de tiers auxquels l'organisation peut divulguer les renseignements personnels
Langage clair : L'accent mis sur l'utilisation d'un langage clair vise à garantir que les personnes comprennent pleinement ce à quoi elles consentent. La validité du consentement dépend également de la démonstration qu'il était explicite ou implicite au vu des circonstances. Si les circonstances acceptables pour un consentement implicite doivent être déterminées, le simple fait de prouver que le consentement a été donné oblige les organisations à se préparer à créer de nouvelles procédures de documentation interne, ou à évaluer celles existantes.
Le CPPA va également accroître la transparence autour de l’utilisation de systèmes automatisés de prise de décision en donnant aux individus le droit à une explication pour toutes les prédictions, recommandations ou décisions prises par ces systèmes.
Obligations des organisations
Politiques de confidentialité, procédures et rapports au Commissariat à la protection de la vie privée du Canada : La LPVP renforce les obligations des responsables du traitement des données, exigeant des organisations qu'elles mettent en œuvre des programmes de gestion de la confidentialité prévoyant des politiques et procédures de protection des données et de la vie privée. Ces procédures doivent être accessibles au Commissariat à la protection de la vie privée du Canada (CPVP) sur demande. Ces programmes doivent comprendre la réception et le traitement des demandes relatives aux droits individuels, la formation du personnel et toute politique et documentation à l'appui expliquant la mise en œuvre de la loi au sein de l'organisation.
La LPVPC permettra également aux organisations d'obtenir l'approbation du Commissariat à la protection de la vie privée du Canada (CPVP) pour des codes de pratique et des programmes de certification qui établissent les règles d'application de la LPVPC à certaines activités, secteurs ou modèles d'affaires. Cela aidera les organisations à comprendre leurs obligations en vertu de la LPVPC et à mieux démontrer leur conformité effective.
Fournisseurs de services : En vertu de la LPRPDE, des obligations spécifiques seront imposées aux fournisseurs de services qui reçoivent des renseignements personnels transférés. Un fournisseur de services est défini comme toute organisation qui « fournit des services pour le compte ou au nom d'une autre organisation afin de l'aider à atteindre ses objectifs », ce qui inclut les filiales, les sociétés affiliées et les sous-traitants.
Lorsqu'une organisation transfère des renseignements personnels à un prestataire de services, ce dernier est tenu, par contrat ou autrement, d'assurer sensiblement la même protection que l'organisation qui les a collectés. À moins que le prestataire de services ne collecte, n'utilise ou ne divulgue les renseignements transférés à des fins autres que celles pour lesquelles ils ont été transférés, il est exempté de la plupart des obligations de la LPVP, à l'exception des exigences relatives à la sécurité et à la notification des atteintes à la protection des données.
Désidentification : La LPRPDE autorisera les organisations à utiliser des renseignements personnels à certaines fins à l'insu de la personne concernée et sans son consentement, à condition de les anonymiser. Parmi les circonstances acceptables figurent la recherche et le développement internes ou le contexte de transactions commerciales prospectives, par exemple.
Toute mesure technique et administrative appliquée par une entreprise aux informations doit être proportionnée à la finalité de leur anonymisation et à leur sensibilité. Il sera également interdit aux organisations d'utiliser des informations anonymisées en combinaison avec d'autres données susceptibles de réidentifier une personne.
Application de la loi
En plus de fournir ces droits individuels et ces exigences d'entreprise, le projet de loi C-11 :
- créer un deuxième organisme d'application sous la forme d'un tribunal spécial par le biais du PIDPTA
- augmenter les sanctions pour les violations de la CPPA
- donner aux individus un nouveau droit d'action privé
PIDPTA : Actuellement, l'application des lois canadiennes sur la protection des données relève du Commissariat à la protection de la vie privée du Canada (CPVP), mais grâce à la PIDPTA, cette application sera partagée entre le CPVP et un nouveau tribunal. En vertu de la LPVP, le CPVP aura le pouvoir d'ouvrir une enquête officielle et sera chargé de rendre une décision pour clore l'enquête. Le CPVP pourra également recommander des sanctions pécuniaires au nouveau tribunal.
Les décisions du CPVP pourront faire l'objet d'un recours judiciaire. Les particuliers pourront interjeter appel d'une conclusion, d'une ordonnance ou d'une décision rendue par l'intermédiaire du nouveau tribunal, qui pourra alors décider d'imposer ou non une sanction. Il pourra choisir de suivre la recommandation du CPVP ou d'imposer sa propre décision.
Pénalités accrues : La LPVPC prévoit également des amendes plus élevées en cas d'infraction que celles actuellement prévues par la LPRPDE. Certaines sanctions administratives pourraient entraîner des pénalités équivalant à 3% du chiffre d'affaires mondial d'une organisation (contre 2% dans le RGPD) ou 10 000 000 CA$, selon le montant le plus élevé. Les infractions les plus graves pourraient entraîner jusqu'à 5% du chiffre d'affaires mondial d'une organisation (contre 4% dans le RGPD) ou 25 000 000 CA$, selon le montant le plus élevé.
Droit privé d'action : La LPPC introduira un nouveau droit d'action privé permettant aux particuliers de réclamer des dommages et intérêts pour violation commise par une organisation. Avant de pouvoir déposer une demande de dommages et intérêts, l'organisation doit :
- être reconnu coupable d'avoir effectivement contrevenu à la CPPA ou
- être condamné à une amende pour une violation relevant de certains articles de la CPPA
Le droit privé d’action est soumis à un délai de prescription de deux ans.
Réforme provinciale parallèle de la protection de la vie privée
Outre le projet de loi C-11, les organisations doivent être informées des réformes provinciales en matière de protection de la vie privée. Le Québec a déposé le projet de loi 64 en juin 2020 dans le but de moderniser ses lois actuelles sur la protection de la vie privée. S'il est adopté, le projet de loi 64 renforcera les obligations des organisations publiques et privées quant à la conservation et à la protection des renseignements personnels de leurs clients.
La Colombie-Britannique en est aux premiers stades de la réforme de sa Loi sur la protection des renseignements personnels après avoir mené un examen en 2020 qui a mis en évidence l'incapacité de la législation à suivre le rythme des tendances nationales et internationales en matière de protection de la vie privée.
Également en 2020, l'Ontario a commencé à envisager d'améliorer son cadre de protection de la vie privée et a constaté que sa législation comportait des lacunes. Les organisations peuvent s'attendre à de nouvelles propositions législatives en Colombie-Britannique et en Ontario prochainement.
Ce que les organisations doivent faire pour se préparer
Pendant que le projet de loi C-11 fait son chemin dans le processus législatif au Canada, les organisations devraient surveiller l’évolution de la législation proposée et considérer son impact sur leurs activités.
Les organisations qui sont déjà conformes au RGPD et Loi générale sur la protection des données personnelles du Brésil (« LGPD ») Les entreprises seront mieux placées pour se conformer à la LPRPDE, mais devront néanmoins prendre des mesures supplémentaires pour respecter les dispositions uniques de la loi canadienne. La plateforme d'intelligence des données de BigID permet aux organisations de découvrir, d'identifier, de cartographier et d'obtenir une visibilité complète sur toutes leurs données personnelles, sensibles et réglementées, quelles que soient leurs politiques et dans l'ensemble de leur environnement de données. Les entreprises peuvent ainsi s'acquitter de leurs obligations de conformité à la LPRPDE, assurer la confidentialité à l'échelle de l'organisation, automatiser les demandes de droits sur les données et, en fin de compte, protéger les données de leurs clients à grande échelle.
Vérifier BigID en action pour voir comment nous aidons les entreprises à répondre aux exigences à venir en matière de conformité à la CPPA — et à créer un programme de confidentialité proactif pour les réglementations actuelles et nouvelles.
Auteur
