Cette fois, c’est personnel! Tentative fédérale de réforme de la LPRPDE : prise III

 
Le 8 avril 2014, le gouvernement fédéral a présenté au Sénat le projet de loi S-4, Loi sur la protection des renseignements personnels numériques, qui marque la troisième tentative entreprise par le gouvernement depuis 2010 pour modifier la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) du Canada.
 
Le libellé proposé reprend plusieurs éléments tirés de deux projets de loi antérieurs tout en introduisant d’importantes nouveautés, y compris une infraction pour omission de signaler une atteinte à la protection de la vie privée et des pouvoirs d’application accrus pour le commissaire à la protection de la vie privée du Canada (le « commissaire »). Les points saillants du projet de loi, ainsi que leur incidence potentielle sur les entreprises, sont traités ci-après.
 
DÉCLARATION DES ATTEINTES
 
Tout comme les propositions législatives précédentes, le projet de loi S-4 impose le signalement des atteintes à la protection des données; il reformule cependant les critères servant à déterminer si une telle atteinte doit être signalée : tandis que les projets de loi antérieurs nécessitaient de juger si l’atteinte était « importante », la nouvelle législation proposée requiert plutôt qu’on établisse s’il y a présence d’un « risque réel de préjudice grave » à l’endroit d’un individu. Notons que la Personal Information Protection Act (PIPA) de l’Alberta fixe une norme semblable pour ce qui est des atteintes à déclarer.
 
Toutefois, contrairement à la loi albertaine, le projet de loi S-4 fournit une définition de « préjudice grave » et une liste non exhaustive de facteurs à considérer pour juger de l’existence d’un « risque réel ». Cette information supplémentaire, de même que l’ensemble des décisions rendues jusqu’à présent en vertu de la PIPA, aidera probablement les organisations régies par la LPRPDE à établir si une atteinte à la protection des données doit être déclarée. Ces organisations auront cependant intérêt à noter qu’aux termes des modifications proposées, toutes ces atteintes doivent être consignées dans un registre et signalées au commissaire si celui-ci en fait la demande.
 
Le projet de loi S-4 diffère aussi de la loi albertaine en ce qu’il astreint les organisations à aviser tant le commissaire que toute personne concernée d’une quelconque atteinte à la protection des données à déclarer. En vertu de la PIPA, les organisations sont d’abord tenues d’informer le commissaire à l’information et à la protection de la vie privée de l’Alberta, qui peut alors ordonner à celles-ci d’aviser les personnes touchées par l’atteinte (bien que les organisations puissent aviser ces personnes de leur propre chef).
 
NOUVELLE INFRACTION
 
Le projet de loi S-4 renforce ses exigences en matière de déclaration des atteintes et de leur consignation dans un registre. En effet, selon les modifications proposées, une organisation qui omet délibérément de déclarer une atteinte ou de la consigner dans un registre conformément à la LPRPDE (en sa version modifiée) commet une infraction punissable d’amendes pouvant s’élever jusqu’à 100 000 $ CA.
 
EXCEPTIONS D’ORDRE COMMERCIAL
 
Les changements suggérés aux termes du projet de loi S-4 réintroduisent un certain nombre de mesures favorables aux entreprises contenues dans les projets de loi antérieurs.
 
Par exemple, le projet de loi renferme une disposition relative aux « transactions commerciales » qui permet aux organisations d’utiliser et de communiquer des renseignements personnels sans le consentement de l’intéressé dans le cadre de fusions, d’acquisitions, de financements, etc. (tant au stade du contrôle préalable qu’après la clôture), pourvu que certaines conditions soient satisfaites.
 
Par ailleurs, il modifie la définition de « renseignement personnel », supprimant de celle-ci l’exclusion des coordonnées d’affaires, pour ensuite exempter la collecte, l’utilisation et la communication de ces coordonnées de l’exigence relative au consentement prévue par la LPRPDE dans les cas où celle-ci est recueillie, utilisée et communiquée uniquement afin d’entrer en contact, ou de faciliter la prise de contact, avec un individu relativement à son emploi, à son entreprise ou à sa profession. Soulignons que la définition de « coordonnées d’affaires » dans le projet de loi est vaste : elles englobent les adresses électroniques d’affaires, qui ne sont pas actuellement exclues de la définition de « renseignement personnel » en vertu de la LPRPDE. En dépit de cette exemption, les organisations devraient garder à l’esprit le fait que toute communication transmise par courriel doit remplir les exigences prescrites par la nouvelle loi canadienne anti-pourriel (voir le Bulletin Blakes – Législation anti-pourriel : L’heure a sonné de décembre 2013).
 
ACCORDS DE CONFORMITÉ
 
Le projet de loi S-4 innove en conférant au commissaire un nouveau pouvoir l’habilitant à conclure un « accord de conformité » avec une organisation s’il a des motifs raisonnables de croire à l’existence, à l’imminence ou à la probabilité d’une contravention à la LPRPDE. La conclusion d’un tel accord, qui est assorti des conditions que le commissaire estime nécessaires pour faire respecter la LPRPDE, empêche le commissaire de demander une audience de la Cour fédérale. En revanche, l’accord ne protégerait pas une organisation contre une demande d’audition de la part d’un plaignant autre que le commissaire ou une poursuite pour infraction à la LPRPDE.
 
En cas de manquement d’une organisation aux conditions d’un accord de conformité, le commissaire pourrait intenter des recours en Cour fédérale notamment en vue d’obtenir une ordonnance enjoignant à l’organisation de se conformer, ou une audience. Les pouvoirs d’application du commissaire s’en trouveraient ainsi renforcés, quoiqu’on demeure loin du pouvoir revendiqué par certaines parties intéressées, à savoir celui de rendre des ordonnances.
 
AUTRES DISPOSITIONS
 
La législation proposée présente d’autres caractéristiques notables : par exemple, elle prolonge le délai alloué à une personne pour demander une audience du tribunal et codifie les éléments requis pour assurer la validité d’un consentement. Elle prévoit aussi plusieurs nouvelles exceptions en ce qui a trait à l’exigence relative au consentement, y compris des dispositions controversées selon lesquelles les organisations seraient libres de communiquer des renseignements personnels à d’autres organisations sans le consentement de l’intéressé si ces communications d’information sont raisonnables en vue d’une enquête sur la violation d’un accord ou sur la contravention au droit fédéral ou provincial, en vue de la détection d’une fraude ou de sa suppression ou en vue de la prévention d’une fraude, à condition, dans chaque cas, qu’il soit raisonnable de s’attendre à ce que la communication effectuée avec le consentement de l’intéressé compromettrait l’enquête ou la capacité de prévenir la fraude, de la détecter ou d’y mettre fin (selon le cas).
 
Bien que le projet de loi S-4 ait seulement franchi l’étape de la première lecture, il y a lieu de croire que le désir de le voir adopté est plus grand cette fois compte tenu des nombreuses atteintes à la protection des données au cours des derniers mois, notamment la récente découverte de la faille de sécurité Heartbleed, qui a exposé au vol les mots de passe utilisés sur environ 500 000 sites Web sécurisés. S’il est adopté, le projet de loi S-4 aura des répercussions considérables sur la situation de la protection de la vie privée au Canada.
 
Pour en savoir plus, veuillez communiquer avec :
 
Marie-Hélène Constantin 514-982-4031
Wendy Mee 416-863-3161
Christy Zhou 416-863-5280
 
ou tout autre membre de notre groupe Protection de la vie privée.
 

Les communications de Blakes et de Classes affaires de Blakes sont publiées à titre informatif uniquement et ne constituent pas un avis juridique ni une opinion sur un quelconque sujet.

Nous serons heureux de vous fournir d’autres renseignements ou des conseils sur des situations particulières si vous le souhaitez.

Pour obtenir l’autorisation de reproduire les articles, veuillez communiquer avec le service Marketing et relations avec les clients de Blakes par courriel à l’adresse communications@blakes.com. © 2019 Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l.