Passer au contenu directement.

La Loi sur la protection des renseignements personnels numériques entre en vigueur

La Loi sur la protection des renseignements personnels numériques (projet de loi S-4) (la « Loi ») a été adoptée le 18 juin dernier. Elle modifie la Loi canadienne sur la protection des renseignements personnels et les documents électroniques (LPRPDE) en y ajoutant, entre autres, des amendes importantes et l’obligation de signaler les atteintes à la sécurité des données (non en vigueur). Les organisations qui traitent des renseignements personnels dans le cadre de leurs activités commerciales seraient avisées d’entreprendre un examen de leurs politiques sur la protection de la vie privée et des renseignements personnels, ainsi que leurs mécanismes de sécurité. À la lumière du nouveau pouvoir accordé aux autorités d’imposer d’importantes sanctions pécuniaires, les conseils d’administration voudront sans doute réviser la répartition des risques concernant la sécurité des données au sein de leur organisation.

Toutes les nouvelles mesures prévues par la Loi sont maintenant en vigueur, sauf pour ce qui est des exigences en cas d’atteinte à la sécurité des données (voir ci-dessous).

La Loi contient certaines dispositions qui amélioreront l’effet de la LPRPDE (par exemple, elle prévoit une dispense de l’obligation d’obtenir le consentement dans certains cas précis et étend la portée des « coordonnées d’affaires » qui ne sont pas traitées comme des « renseignements personnels »). Toutefois, les organisations devront porter une attention particulière aux éléments suivants de la Loi : consentement, avis obligatoire en cas d’atteinte, sanctions et confidentialité.

Consentement

La Loi introduit des critères variables de ce qui constitue un consentement, qui pourraient bien rendre nuls les consentements déjà obtenus. Le nouvel article 6.1 stipule que (sans soulignement dans l’original) :

Pour l’application de l’article 4.3 de l’annexe 1, le consentement de l’intéressé n’est valable que s’il est raisonnable de s’attendre à ce qu’un individu visé par les activités de l’organisation comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles il a consenti.

Dans son communiqué de presse, le gouvernement indique qu’il faudra utiliser un langage clair et simple afin que les Canadiens « vulnérables », en particulier les enfants, dont on souhaite obtenir le consentement comprennent bien les conséquences possibles de la communication de leurs renseignements personnels en ligne.

Auparavant, le consentement était assorti de critères universels. Il suffisait que le consentement soit éclairé, et que le but de la collecte de renseignements personnels soit clairement présenté. Les nouveaux critères du consentement présenteront des difficultés pour les organisations.

Les modifications apportées sembleraient exiger que les organisations évaluent à quel point les utilisateurs de leurs sites Web et de leurs produits et services comprennent ce qu’ils lisent et acceptent. Pour une organisation dont le site Web compte des millions de visiteurs de tous les groupes démographiques, cet exercice pourrait coûter cher et, au bout du compte, irréalisable. Par exemple, dans le cas d’un détaillant de vêtements qui présente un catalogue en ligne d’articles pour enfants et adolescents, la cible démographique est-elle les enfants et les adolescents? Ou leurs parents? Une organisation devrait-elle restreindre l’accès à ses pages Web au moyen d’une question sur l’âge dont la réponse déterminerait la politique de confidentialité applicable vers laquelle l’internaute serait dirigé? Des questions similaires se poseront à l’égard des applications destinées au marché de masse qui attirent toutes sortes d’utilisateurs.

Avis obligatoire

La Loi introduit de nouvelles obligations portant sur les atteintes aux mesures de sécurité des données ou sur le fait que ces mesures n’ont pas été mises en place. Ces obligations ne prendront effet que lorsque le gouvernement aura élaboré les règlements d’application, après avoir consulté les parties intéressées et le Commissariat à la protection de la vie privée. Aucun délai de mise en œuvre de ces règlements n’a été prévu.

Lorsque ces dispositions entreront en vigueur, les organisations devront déclarer au commissaire toute atteinte aux mesures de sécurité concernant les renseignements personnels dont elles ont la gestion, s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un risque réel de préjudice grave à l’endroit d’un individu. La déclaration devra être faite « le plus tôt possible après que l’organisation a conclu qu’il y a eu atteinte ».

Les organisations seront également tenues d’aviser l’intéressé de toute atteinte aux mesures de sécurité qui pourrait l’affecter, selon les mêmes critères de risque.

L’exigence de déclarer « le plus tôt possible » pourrait être difficile à satisfaire pour les organisations aux prises avec une atteinte à la protection des données, qui ne pourront saisir les faits sur le coup et comprendre ce qui s’est produit des semaines (ou parfois des mois) plus tard. Les organisations seront réticentes à offrir trop de précisions dans leur déclaration, par crainte du risque de litige, et pourront en fait devoir émettre plusieurs avis à mesure que l’enquête progressera, entraînant la confusion chez les consommateurs et la perte d’intérêt sur le sujet.

Il y a obligation d’avis lorsque l’atteinte présente un « risque réel de préjudice grave » à l’endroit d’une personne. Par « préjudice grave », on entend notamment « la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte, et la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles ».

De plus, une organisation visée par une atteinte devra aviser toute autre organisation ou toute institution gouvernementale si elle croit que celle-ci peut être en mesure de réduire le risque de préjudice pouvant résulter de l’atteinte.

Sanctions

La Loi impose une responsabilité à quiconque contrevient sciemment aux exigences d’avis. Une organisation peut donc s’exposer à des amendes pouvant aller jusqu’à 100 000 $ par infraction. Il n’est pas clair à ce moment-ci si une « infraction » comprend un seul incident (p. ex. le défaut d’aviser toutes les personnes concernées) ou chaque incident (p. ex. chaque défaut d’aviser chaque personne).

Devant ce risque, les organisations auront probablement tendance à multiplier les avis, lassant encore plus les consommateurs.

Confidentialité

Sous l’ancienne loi, si le commissaire avait le pouvoir de montrer du doigt les contrevenants, il était tenu (à quelques exceptions près) de garder confidentielle l’information reçue. La nouvelle Loi lui accorde désormais le droit de rendre publique toute information qu’il obtient dans le cadre de l’exercice de ses devoirs ou de ses pouvoirs, de même que le contenu des avis d’atteinte aux mesures de sécurité qui lui sont transmis (art. 20).

Cela pourrait rendre les organisations beaucoup moins disposées à dévoiler tous les faits ouvertement au commissaire. De plus, les organisations s’adressant au commissaire devront maintenant s’inquiéter de la protection adéquate de leurs secrets commerciaux et renseignements confidentiels (sans doute au moyen d’ordonnances de mise sous scellés ou de mécanismes similaires) et veiller à ce qu’en communiquant ainsi de l’information, elles n’enfreignent pas des accords avec des tiers ni des demandes d’organismes d’application de la loi.

Améliorations apportées à la LPRPDE

a) Nouvelles dispenses concernant le consentement

Le gouvernement s’est servi de la Loi sur la protection des renseignements personnels numériques pour intégrer à la LPRPDE plusieurs exceptions aux exigences liées au consentement. Ainsi, un consentement n’est pas requis pour :

Cette dernière disposition est particulièrement opportune dans le contexte d’une transaction où le vendeur n’a pas obtenu les consentements nécessaires pour communiquer des renseignements personnels aux fins de diligence raisonnable. Si les tribunaux ont, à l’occasion, délivré des ordonnances autorisant de telles communications, le processus a toujours été complexe et incertain pour les parties à une transaction.

b) Coordonnées d’affaires

La Loi modernise la notion de « coordonnées d’affaires » exclue de la définition de « renseignement personnel » en exemptant toutes les coordonnées d’affaires utilisées pour entrer en contact – ou pour faciliter la prise de contact – avec une personne dans le cadre de son emploi, de son entreprise ou de sa profession. Cette modification clarifie qu’une adresse électronique d’affaires n’est pas visée par la LPRPDE si elle est utilisée aux fins acceptables de joindre une personne dans un contexte de travail.

Auteurs