Le Projet de loi C-11 (le « Projet de loi »), ou la Loi sur la mise en œuvre de la Charte du numérique, propose une réforme des lois fédérales sur la protection des renseignements personnels et de la vie privée. Le Projet de loi a été présenté le 17 novembre 2020.
Bien que nous ne sachions pas encore à quel moment ces dispositions entreront en vigueur, il demeure intéressant d’en connaître les implications afin de vous préparer adéquatement à vous y conformer le temps venu et à éviter tout manquement.
La Loi sur la protection de la vie privée des consommateurs
La première partie du Projet de loi crée la Loi sur la protection de la vie privée des consommateurs. Cette loi remplacera la partie 1 de la Loi sur la protection des renseignements personnels et les documents électroniques1 (la « LPRPDE »). La Loi sur la protection de la vie privée des consommateurs a comme objectif général de faciliter et de promouvoir le commerce électronique au moyen de la protection des renseignements personnels recueillis, utilisés ou communiqués dans le cadre d’activités commerciales. D’ailleurs, le champ d’application de cette loi sera le même que celui de la LPRPDE.
Obligations des organisations
Le Projet de loi prévoit plusieurs obligations pour les organisations. Tout d’abord, il est bien clair que les organisations sont responsables des renseignements personnels relevant d’elles, mais cette responsabilité s’étendra aux renseignements personnels recueillis, utilisés ou communiqués par un fournisseur de services. D’ailleurs, les organisations devront s’assurer que les fournisseurs de services avec qui elles font affaires offrent une protection des renseignements personnels minimalement équivalente à la leur.
Les organisations devront désigner un individu chargé de répondre aux questions liées aux obligations de la loi. De plus, elles devront élaborer un programme de gestion de la protection des renseignements personnels qui devra notamment contenir :
- des politiques, des pratiques et des procédures sur la protection des renseignements personnels;
- prévoir la réception et le traitement des demandes de renseignements et des plaintes; et
- décrire la formation faite par le personnel sur le sujet.
Consentement
Le Projet de loi apporte des changements quant aux exigences du consentement. Les organisations devront obtenir le consentement valide de l’individu avant ou au plus tard au moment de recueillir, utiliser ou communiquer les renseignements personnels. Ce consentement sera valide uniquement si l’organisation communique dans un langage clair :
- les fins de la collecte, utilisation ou communication;
- les conséquences raisonnablement prévisibles de la collecte, utilisation ou communication;
- le type précis de renseignements personnels qui sera recueillis, utilisés ou communiqués; et
- le nom des tiers à qui les renseignements personnels pourraient être communiqués.
Sauf dans certaines situations, le consentement devra être expresse, c’est-à-dire qu’un geste doit être posé pour le manifester, et pourra être retiré à tout moment.
Il est intéressant de noter que quelques exceptions à l’obtention du consentement sont prévues. À titre d’exemples, l’obtention du consentement ne sera pas requise dans le cadre de certaines activités d’affaires, si la collecte de renseignements est manifestement dans l’intérêt de l’individu et que son consentement ne peut être obtenu en temps opportun ou si la collecte est en vue d’une communication exigée par la loi.
Dépersonnalisation
Le Projet de loi prévoit la possibilité pour les organisations de dépersonnaliser des renseignements sans obtenir de consentement et à l’insu de l’individu. La dépersonnalisation implique de supprimer les renseignements qui permettent d’identifier directement un individu et de conserver le reste des renseignements à son sujet. Par exemple, le nom de l’individu sera supprimé, mais on conservera les renseignements sur son âge et son sexe.
Pour ce faire, les méthodes utilisées pour la dépersonnalisation devront être proportionnelles aux fins pour lesquelles ces renseignements sont dépersonnalisés et à la nature délicate des renseignements personnels.
Il sera d’ailleurs interdit pour les organisations d’utiliser les renseignements dépersonnalisés seuls ou en combinaison avec d’autres renseignements afin de tenter d’identifier un individu.
Conservation des renseignements personnels
Les organisations devront conserver les renseignements personnels uniquement le temps nécessaire pour réaliser les fins auxquelles ils ont été recueillis, utilisés ou communiqués ainsi que pour respecter les différentes exigences de la loi. Ensuite, ils devront être retirés.
De plus, les individus pourront faire une demande écrite à l’organisation pour retirer leurs renseignements personnels. L’organisation devra effectuer le retrait dès que possible, à condition que cela n’entraîne pas le retrait de renseignements d’autres individus et qu’aucune autre restriction ne l’en empêche.
Sous réserve de certaines exceptions, sur demande écrite d’un individu, une organisation devra lui indiquer si elle détient des renseignements personnels qui le concernent, l’usage qu’elle en a fait et s’ils ont été communiqués.
Elle devra également, sur demande, expliquer à l’individu la prédiction, la recommandation ou la décision découlant de l’usage de l’intelligence artificielle, le cas échéant. Par exemple, si une compagnie d’assurance utilise l’intelligence artificielle pour prédire les risques qu’une personne développe une maladie grave dans le calcul de sa prime d’assurance vie, elle devra, sur demande de la personne, lui expliquer comment elle est arrivée à ce résultat.
Un droit à la portabilité des renseignements personnels est également introduit dans le Projet de loi. Il prévoit que l’organisation doit communiquer dès que possible les renseignements personnels qu’elle a recueillis auprès d’un individu à l’organisation qu’il désigne, si ces deux organisations sont soumises à un cadre de mobilité des données.
Mesures de sécurité
Les organisations devront prendre des mesures de sécurité proportionnelles à la nature délicate des renseignements personnels qu’elles détiennent. Plus les renseignements sont de nature délicate, plus les mesures de sécurité devront être importantes pour les protéger.
Les organisations auront l’obligation de déclarer au Commissaire à la protection de la vie privée (le « Commissaire ») toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels qui relèvent d’elles s’il est raisonnable de croire que l’atteinte présente un risque réel de préjudice grave à l’encontre d’un individu. La notion de préjudice grave vise notamment :
- la lésion corporelle;
- l’humiliation;
- le dommage à la réputation ou aux relations;
- la perte financière;
- le vol d’identité;
- l’effet négatif sur le dossier de crédit;
- le dommage aux biens ou leur perte; et
- la perte de possibilités d’emploi ou d’occasion d’affaires ou d’activités professionnelles.
Les organisations devront également aviser l’individu dès que possible d’une telle atteinte.
De plus, les organisations devront tenir un registre répertoriant toutes les atteintes aux mesures de sécurité liées à des renseignements personnels qui relèvent d’elles.
Commissaire à la protection de la vie privée
Le Projet de loi accorde de nouveaux pouvoirs au Commissaire, soit un pouvoir d’investigation et celui de rendre des ordonnances. S’il mène une investigation sur une organisation en raison d’une plainte d’un individu ou d’une plainte faite de sa propre initiative, le Commissaire va rendre la procédure à suivre sur la conduite de cette investigation accessible au public. Par la suite, une décision motivée sera envoyée sans délai au plaignant, le cas échéant, et à l’organisation. La décision peut notamment recommander au Tribunal d’infliger une pénalité à l’organisation.
Pénalités
Le Projet de loi prévoit que les pénalités infligées aux organisations pourront être d’un montant maximal de dix millions de dollars ou de 3% des recettes globales brutes de l’organisation, si ce montant est plus élevé. Soulignons que les pénalités ne visent pas à punir, mais plutôt à favoriser le respect de la loi.
Toutefois, des pénalités encore plus élevées pourront être infligées dans le cas de manquements plus importants qui constituent une infraction pénale.
Enfin, le Projet de loi prévoit que les individus touchés par une contravention à la loi d’une organisation auront également un droit privé d’action en dommages-intérêts dans certaines circonstances.
Loi sur le Tribunal de la protection des renseignements personnels et des données
La deuxième partie du Projet de loi crée la Loi sur le Tribunal de la protection des renseignements personnels et des données. C’est en vertu de cette loi que le Tribunal de la protection des renseignements personnels et des données (le « Tribunal ») verra le jour.
Il s’agit d’un tribunal administratif qui sera notamment compétent pour statuer sur les appels des décisions du Commissaire ainsi que pour l’infliction des pénalités abordées ci-dessus.
Enfin, les décisions du Tribunal seront publiques et accessibles à tous.
Conclusion
En espérant que ce survol rapide du Projet de loi C-11 pourra vous être utile pour sa compréhension ainsi que pour votre préparation à son entrée en vigueur, bien que certaines modifications soient encore possibles.
Un article sur le Projet de loi 64 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) au Québec suivra dans les prochaines semaines.
1 LC 2000, c.5.
Attention : Cette publication ne constitue pas un avis juridique. Il s’agit uniquement d’informations d’ordre général dans le but de vous tenir informé sur certains sujets. Nous vous invitons à consulter votre avocat pour toute question d’ordre juridique.