Le gouvernement du Canada a récemment présenté le projet de loi C-29, qui propose de modifier la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) en vue d’ajouter de nouvelles exceptions aux exigences relatives au consentement, de préciser en quoi consiste la « validité du consentement » et, en particulier, d’imposer des obligations en ce qui a trait à la notification de violation obligatoire. S’il est adopté, le projet de loi C-29 mettra en vigueur la réponse du gouvernement à la première révision réglementaire de la LPRPDE, soit la loi fédérale régissant la protection de la vie privée dans le secteur privé.

Validité du consentement

Le projet de loi préciserait la signification de « validité du consentement » et exigerait que tout intéressé comprenne la « nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquels il a consenti ».

Exceptions relatives au consentement

La LPRPDE exclut actuellement certaines coordonnées d’affaires de sa définition de « renseignements personnels ». Le projet de loi C-29 codifierait officiellement ces exceptions dans une clause en bonne et due forme régissant les « coordonnées d’affaires », aux termes de laquelle tout renseignement que l’organisation « recueille, utilise ou communique uniquement pour entrer en contact — ou pour faciliter la prise de contact — avec [l’intéressé] dans le cadre de son emploi, de son entreprise ou de sa profession » serait exempté de la LPRPDE.

Le projet de loi instaurerait également une exception générale qui permettrait l’utilisation et la divulgation de renseignements personnels dans le cadre de transactions commerciales éventuelles et de transactions commerciales réalisées, comme des fusions et acquisitions, des financements, des locations et des titrisations. Toutefois, cette exemption ne s’appliquerait pas lorsque l’objectif premier de l’opération est l’achat, la vente ou la location de renseignements personnels.

Le projet de loi C-29 ajouterait également de nouvelles exemptions visant à permettre la collecte, l’utilisation et la communication de renseignements personnels sans le consentement de l’intéressé. De nouvelles exemptions s’appliqueraient aux renseignements personnels qui sont i) contenus dans une déclaration d’un témoin relativement à une déclaration de sinistre; ii) produits dans le cadre de l’emploi, ou afin d’établir ou de gérer une relation d’emploi ou d’y mettre fin; iii) demandés afin d’entrer en contact avec le plus proche parent; iv) demandés pour l’exercice de fonctions de police; v) communiqués afin de prévenir une fraude ou un abus financier, de les détecter ou d’y mettre fin; ou vi) utilisés aux fins d’identification de l’intéressé qui est blessé, malade ou décédé.

Le projet de loi clarifie également l’exception existante s’appliquant à la divulgation à une autorité légitime et précise que les organisations ne sont pas tenues d’obtenir une assignation, un mandat ou une ordonnance d’un tribunal avant de communiquer des renseignements personnels nécessaires dans le cadre d’une enquête gouvernementale officielle. L’organisation n’est pas non plus tenue de vérifier la validité de l’autorité légitime avant de s’y conformer.

Notification de violation

En vertu du projet de loi C-29, le plus important changement apporté à la LPRPDE consisterait en l’instauration d’une exigence de déclaration et de notification des violations de la vie privée. Notamment, en cas d’atteinte aux mesures de sécurité protégeant les renseignements personnels :

1. Une organisation pourrait être tenue de déclarer au Commissaire à la vie privée du Canada « toute atteinte importante aux mesures de sécurité qui a trait à des renseignements personnels dont elle a la gestion ». Le projet de loi comprend une liste non exhaustive d’éléments à prendre en compte afin d’établir l’importance, y compris le degré de sensibilité des renseignements, le nombre d’intéressés visés et la cause de l’atteinte.
2. S’il est raisonnable de croire, dans les circonstances, que l’atteinte représente un risque réel de préjudice grave à l’endroit des intéressés, l’organisation doit aviser ces intéressés de l’atteinte. La définition de « préjudice grave » dans le projet de loi vise notamment « la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte, et la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles ».
3. L’organisation serait également tenue d’aviser toute société ou organisme public tiers de l’atteinte si la notification peut réduire le risque de préjudice.

Remarques de McCarthy Tétrault 

Plusieurs changements figurant dans le projet de loi C-29 serviraient simplement à officialiser ou à clarifier des obligations et des exceptions existantes en vertu de la LPRPDE. L’exception relative au consentement concernant les renseignements « pour établir et gérer la relation d’emploi […] ou pour y mettre fin » sera accueillie favorablement par les employeurs réglementés à l’échelle fédérale. En outre, l’exception relative aux transactions commerciales devrait faciliter le processus de diligence raisonnable s’appliquant aux entreprises de vente. Ces deux changements rapprochent également la LPRPDE de la législation sur la protection de la vie privée dans le secteur privé en Alberta et en Colombie-Britannique, qui comporte actuellement des exceptions similaires en ce qui a trait au consentement dans ces circonstances.

L’ajout de la disposition quant à la « validité du consentement » visait à fournir des précisions, mais pourrait en fait faire augmenter le niveau d’incertitude. Une application générale de l’exigence relative à la « nature », [aux] fins et [aux] conséquences » alourdit le fardeau imposé aux entreprises et pourrait être difficile à respecter.

Pour ce qui est de la notification de violation obligatoire, le gouvernement fédéral s’inspire du gouvernement de l’Alberta, qui a récemment adopté une règle relative à la notification de violation dans sa loi intitulée Personal Information Protection Act (« PIPA »). Toutefois, les deux règles diffèrent à plusieurs égards importants.

• Seuil — la LPRPDE obligerait les organisations à aviser le Commissaire à la vie privée du Canada de toute violation « importante », alors que la PIPA exige que le Commissaire ne soit avisé que lorsqu’il y a un risque réel de préjudice important pour une personne. Bien que le nombre d’intéressés visés par la violation constitue un élément afin d’établir si une violation doit être déclarée au Commissaire en vertu de la LPRPDE, une violation en Alberta doit être déclarée même si le risque ne vise qu’une seule personne. Les violations devant être déclarées en vertu de la PIPA ne doivent pas être nécessairement déclarées en vertu de la LPRPDE.
• Décideurs — En vertu de la PIPA, le Commissaire à la vie privée de l’Alberta établit si les organisations doivent aviser les intéressés. La LPRPDE, une fois modifiée, exigerait que les organisations prennent cette décision en fonction de leur propre évaluation visant à déterminer s’il existe un risque réel de préjudice important pour un intéressé. Si ce risque se produit, les organisations doivent aviser l’intéressé, même si elles n’ont pas à déclarer la violation au Commissaire étant donné que l’intéressé n’atteint pas le seuil d’importance.
• Application de la loi — En vertu de la PIPA, les intéressés et les organisations peuvent se voir imposer une amende pouvant atteindre respectivement 10 000 $ et 100 000 $ pour avoir omis d’aviser le Commissaire d’une violation. Contrairement à la PIPA, le projet de loi C-29 ne propose aucune pénalité précise en cas de non-conformité avec les exigences de notification en vertu de la LPRPDE. (Cela étant dit, le Commissaire à la vie privée du Canada peut enquêter sur les plaintes relatives à la vie privée, mener ses propres enquêtes et vérifier les pratiques de traitement des renseignements d’une organisation. De plus, la Cour fédérale peut accorder des dommages-intérêts pour toute contravention à la LPRPDE.)

Si le projet de loi C-29 est adopté, les organisations qui recueillent, utilisent ou communiquent des quantités importantes de renseignements personnels souhaiteront revoir leurs politiques en matière de vie privée, leurs protocoles en cas de violation de la vie privée ainsi que leurs mesures de sécurité à l’égard des renseignements. Si les notifications de violation imposées entrent en vigueur, la possibilité de préjudice à la réputation augmentera, ce qui accentuera l’importance de disposer de mesures de sécurité adéquates à l’égard des renseignements personnels.