Passer au contenu directement.

Les changements apportés à la législation sur la protection de la vie privée dans le secteur privé en Alberta sont maintenant en vigueur

Maintenant que les modifications apportées à la loi de l’Alberta intitulée Personal Information Protection Act (« PIPA ») sont en vigueur, les organisations exerçant des activités dans le secteur privé de l’Alberta devraient passer en revue leurs politiques et pratiques en matière de protection de la vie privée afin de s’assurer qu’elles sont toujours conformes à ces nouvelles exigences.

Les changements importants apportés à la PIPA comprennent : 

  • Une obligation, si l’organisation utilise des fournisseurs de services étrangers afin de recueillir, d’utiliser, de communiquer ou de stocker des renseignements personnels, d’inclure dans les politiques et pratiques de l’organisation des renseignements qui : 
    • identifient les pays dans lesquels la collecte, l’utilisation, la communication ou le stockage a lieu ou peut avoir lieu; et
    • expliquent les motifs pour lesquels le fournisseur de services est autorisé à traiter les renseignements personnels.
  • Une exigence stipulant que les personnes concernées doivent être avisées du transfert de leurs renseignements personnels à tout fournisseur de services étranger. Cet avis doit indiquer : 
    • de quelle façon obtenir de l’information écrite au sujet des politiques et des pratiques de l’organisation s’appliquant à ses fournisseurs de services situés à l’extérieur du Canada; et
    • le nom d’une personne-ressource au sein de l’organisation pouvant répondre aux questions concernant le traitement des renseignements personnels par le fournisseur de services étranger.
  • Une obligation d’aviser le commissaire à la vie privée de l’Alberta si des renseignements personnels qui sont sous le contrôle de l’organisation sont perdus, consultés ou communiqués sans autorisation, lorsque la perte ou la violation pourrait poser un risque réel de préjudice important à une personne. Dans ces circonstances, le commissaire à la vie privée peut exiger que l’organisation avise les personnes visées directement.
  • Un élargissement de la définition de « renseignements personnels de l’employé » (personal employee information) afin d’inclure des renseignements au sujet des employés, des associés, des dirigeants et des administrateurs éventuels, actuels et anciens.
  • Une exemption au titre du consentement relatif à la collecte, à l’utilisation ou à la communication des renseignements afin d’établir ou de gérer une relation d’emploi ou une relation de travail bénévole ou d’y mettre fin, ou afin de gérer une situation postérieure à une relation d’emploi.
  • Une obligation de détruire ou d’assurer l’anonymat des renseignements personnels dans un délai raisonnable, lorsque les renseignements personnels ne sont plus raisonnablement nécessaires à des fins commerciales ou juridiques.
  • La suppression de l’exigence relative au caractère intentionnel des infractions commises (p.ex., recueillir, utiliser et communiquer des renseignements personnels sans consentement). Par conséquent, une organisation pourrait commettre une infraction en vertu de la PIPA en enfreignant certaines obligations de la PIPA, même si elle ne le fait pas de façon intentionnelle.
  • L’ajout de nouvelles infractions, y compris ne pas aviser le commissaire à la vie privée d’une violation de la vie privée devant être rapportée, faire obstruction au commissaire dans le cadre d’une enquête ou d’une investigation, engager des représailles contre un employé pour avoir rapporté au commissaire une violation de la PIPA.
  • Une prolongation du délai au cours duquel une poursuite peut être intentée à l’égard de toute infraction vertu de la PIPA, lequel passera de six mois à deux ans après la commission de l’infraction présumée.

Remarques de McCarthy Tétrault 

Compte tenu de ces changements, l’Alberta est maintenant la première province au Canada à obliger la déclaration de toute violation à l’extérieur du secteur de la santé. (L’Ontario dispose d’une obligation de notification obligatoire pour les violations visant les renseignements personnels relatifs à la santé, tout comme Terre-Neuve-et-Labrador et le Nouveau-Brunswick, mais leur législation n’est pas encore en vigueur.) Le gouvernement fédéral envisage également d’ajouter des exigences de notification de violation dans la loi sur la protection de la vie privée du secteur privé à l’échelle fédérale, laquelle est intitulée Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE »). Afin de comparer les dispositions relatives à la notification de violation en vertu de la PIPA et celles proposées aux termes de la LPRPDE, consultez notre article sur le projet de loi C-29.

Les modifications apportées à la PIPA donnent nettement plus de « mordant » à la législation, les organisations devraient donc examiner attentivement leurs politiques et pratiques en vigueur relatives aux renseignements personnels et s’assurer qu’elles sont conformes à ces nouvelles règles. Pour obtenir un résumé plus détaillé des nouvelles obligations qui incombent aux organisations en vertu de la PIPA ainsi que des trucs pratiques sur la façon de se conformer à ces modifications, consultez notre article précédent à ce sujet.