Nous sommes désolés, mais votre navigateur n'est pas pris en charge par Marsh.com

Pour une utilisation optimale, veuillez installer un navigateur pris en charge :

X

Risques en contexte

Le Canada va de l’avant avec ses plans de refonte des lois sur la protection des renseignements personnels

Publié par Greg Eskins 08 Juin 2020

Le Canada est en train de mettre à jour ses lois sur la protection des données et des renseignements personnels dans ce qui sera probablement le plus grand changement qu’aura connu le pays en près de 20 ans à cet égard.

Les modifications proposées élargiraient considérablement la portée des lois sur la protection des renseignements personnels et donneraient beaucoup plus de pouvoirs et de ressources d’application au Commissariat à la protection de la vie privée du Canada (CPVP), l’organisme de réglementation. Elles permettraient également d’harmoniser davantage les règlements du Canada en matière de protection des données et des renseignements personnels avec ceux des principaux partenaires commerciaux, notamment le Règlement général sur la protection des données (GDPR) de l’UE et la California Consumer Privacy Act (CCPA, loi sur la protection des renseignements personnels des consommateurs de la Californie).

L’économie numérique

À l’heure actuelle, les lois canadiennes en matière de protection des données et des renseignements personnels ne sont plus adaptées. Notre organisme de réglementation manque actuellement de ressources et de moyens d’application de la loi, tandis que les règlements sous-jacents sont désuets. La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) a été mise en œuvre en 2000, et la Loi sur la protection des renseignements personnels est entrée en vigueur en 1983. En 2018, la LPRPDE a été modifiée pour instaurer un régime de notification et de signalement des atteintes à la protection des données, mais ces changements n’ont pas élargi les droits à la protection des renseignements personnels. 

Toutefois, le gouvernement canadien reconnaît la nécessité d’une réglementation de la protection des données afin de suivre l’évolution rapide des changements tant sur le plan de la technologie que du comportement des consommateurs, ainsi que l’évolution de la réglementation aux États-Unis et en Europe. La numérisation et les données sont le moteur de la croissance et de l’innovation, et les progrès dans des domaines comme l’intelligence artificielle et l’informatique quantique devraient apporter des avantages économiques et sociaux considérables dans les années à venir. Désireux de développer une économie numérique moderne et concurrentielle, le Canada est profondément conscient de la nécessité de protéger les données et les renseignements personnels des consommateurs tout au long du processus, tout en veillant à ce que les entreprises adoptent un comportement responsable.

Une Charte moderne

Une refonte majeure de la LPRPDE et de la Loi sur la protection des renseignements personnels est donc sur la table. Le gouvernement du Canada a lancé le processus en mai 2019 lorsque le portefeuille Innovation, Sciences et Développement économique Canada a lancé sa Charte du numérique1 historique et le document de travail connexe, Renforcer la protection de la vie privée dans l’ère numérique,2 qui comprenait des propositions visant à moderniser la LPRPDE. Trois mois plus tard, le ministère de la Justice a annoncé qu’il allait examiner la Loi sur la protection des renseignements personnels et a lancé une consultation.3

Entre autres questions, la Charte traite précisément de la protection des données, y compris le droit des particuliers de contrôler la façon dont leurs données sont utilisées et d’y consentir, ainsi que la portabilité et la transparence. La Charte prévoit également une « application rigoureuse » et une « réelle responsabilité » au moyen de « sanctions sévères » en cas de violation des lois et des règlements sur la protection des renseignements personnels. En décembre 2019, le gouvernement libéral nouvellement réélu, dirigé par Justin Trudeau, s’est engagé à faire progresser la Charte du numérique, à accroître les pouvoirs de l’organisme de réglementation et à établir un nouvel ensemble de droits à la vie privée.

Une protection accrue de la vie privée

Les propositions énoncées dans la Charte du numérique et dans le document de travail prévoient un virage vers une législation sur la protection des renseignements personnels fondée sur des droits et des principes. Les modifications proposées par le gouvernement amélioreraient considérablement le droit à la vie privée des particuliers, notamment :

  • la connaissance de la façon dont les données sont utilisées;
  • le droit de faire supprimer ou modifier des données;
  • la capacité de transférer ou de partager des données;
  • la capacité de remettre en question les décisions prises par les algorithmes.

Des enjeux plus élevés

Par ailleurs, les propositions augmenteraient considérablement les risques de violation des lois sur la protection des données et des renseignements personnels, avec des sanctions plus sévères, une application plus rigoureuse de la réglementation et, éventuellement, des poursuites civiles. À l’heure actuelle, le CPVP a seulement le mandat de mener des enquêtes et de formuler des recommandations, et il n’est pas en mesure d’intenter des poursuites.

Dans son rapport annuel 20194 paru en décembre, le CPVP a demandé une réforme des lois fédérales sur la protection des renseignements personnels, ainsi qu’un accroissement des pouvoirs et des ressources pour réglementer les questions liées à la protection des renseignements personnels. L’organisme de réglementation a déjà intensifié l’application de la loi sur la protection des données en vertu des lois existantes : en février 2020, le Commissariat a intenté une action en justice contre une grande entreprise de technologie américaine pour des infractions présumées à la Loi sur la protection des renseignements personnels. Plus tard au cours du même mois, l’organisme a lancé une enquête sur la technologie de reconnaissance faciale.

Dans le cadre des propositions de modernisation, le CPVP élargirait sa surveillance de la protection des données et obtiendrait de plus grands pouvoirs d’enquête qui lui permettraient d’ordonner des mesures et des dommages-intérêts préétablis. En vertu des lois actuelles, le CPVP peut imposer des amendes maximales de 100 000 $ CA par infraction, mais le gouvernement a indiqué son souhait d’accroître les pénalités pour les atteintes à la protection des données et de la vie privée. Des propositions détaillées n’ont pas encore été publiées, mais il est probable que des mesures d’application plus rigoureuses et mieux financées s’accompagneront d’amendes et de pénalités plus élevées. 

Les recours collectifs 

Les propositions sont également susceptibles d’avoir des répercussions sur les litiges civils. Un mécanisme de recours collectif est déjà disponible au Canada et un certain nombre de mesures collectives ont été lancées pour des incidents liés à la cybersécurité et à la protection de la vie privée, bien que bon nombre aient été rejetés par les tribunaux. 

À l’heure actuelle, il n’existe pas de mécanisme clair permettant aux demandeurs de réclamer des dommages-intérêts pour atteinte à la vie privée ou perte de données. Toutefois, les modifications proposées à la LPRPDE et à la Loi sur la protection des renseignements personnels permettront vraisemblablement d’habiliter davantage les tribunaux à traiter les contraventions aux lois sur la protection des données et des renseignements personnels. Les propositions pourraient également simplifier la tâche des particuliers qui veulent obtenir des dommages-intérêts devant les tribunaux, tandis que ces derniers disposeraient d’un plus grand pouvoir discrétionnaire pour accorder des dommages-intérêts. 

La réponse

La modernisation des lois canadiennes sur la protection des données et des renseignements personnels demeure un travail en cours, et le processus de rédaction et de mise en œuvre des lois se mesurera probablement en années, et non en mois. Le gouvernement minoritaire actuel aura aussi besoin de la collaboration des partis politiques pour adopter des lois.

Malgré l’absence d’une loi définitive, les organisations peuvent prendre des mesures à l’heure actuelle. L’expérience du RGPD offre un certain éclairage et un examen de la façon de s’y conformer serait un bon point de départ pour les moyennes et grandes entreprises. Quant aux petites et moyennes entreprises, le Centre canadien pour la cybersécurité a publié un guide intitulé Contrôles de cybersécurité de base pour les petites et moyennes organisations, et offre un cadre pour aider à améliorer la résilience.  

De solides mesures de sécurité, la gestion, la production de rapports et la gouvernance liées aux risques, ainsi que des plans d’intervention en cas d’incident, s’avéreront utiles pour les organisations lorsqu’il s’agira de réagir à un événement lié à la cybersécurité, de prendre des mesures réglementaires et de se défendre en cas de litiges. Compte tenu des changements apportés aux lois sur la protection des données et des renseignements personnels partout dans le monde, il est prudent pour les organisations de chercher continuellement à comprendre, à mesurer et à gérer le paysage changeant de la réglementation et de la responsabilité. 

[1] https://www.ic.gc.ca/eic/site/062.nsf/fra/h_00108.html 

[2] https://www.ic.gc.ca/eic/site/062.nsf/fra/h_00107.html 

[3] https://www.justice.gc.ca/fra/sjc-csj/lprp-pa/modern.html 

[4] https://www.priv.gc.ca/fr/nouvelles-du-commissariat/nouvelles-et-annonces/2019/nr-c_191210/