Réforme de la LPRPDE et propositions provinciales en matière de protection de la vie privée

La très attendue réforme de la LPRPDE.

Le 17 novembre dernier, le gouvernement fédéral déposait le projet de loi C-11, la Loi de 2020 sur la mise en œuvre de la Charte du numérique, dans lequel il propose de remplacer la LPRPDE par une nouvelle loi, la Loi sur la protection de la vie privée des consommateurs (LPVPC), et d’édicter la Loi sur le Tribunal de la protection des renseignements personnels et des données afin de constituer un tribunal quasi judiciaire pour infliger des pénalités financières en cas de contravention à la loi et pour entendre les appels interjetés à l’encontre de certaines décisions rendues par le Commissaire à la protection de la vie privée du Canada (le Commissaire).

Le gouvernement dispose de nombreuses mesures incitatives fortes pour renforcer la LPRPDE, à la fois sur le plan pratique et sur le plan de la réputation. Le Canada doit demeurer adéquat en vertu du Règlement général sur la protection des données (RGPD) européen, et il est bon d’évaluer ce domaine législatif dès maintenant alors que d’autres pays — et provinces — font de même.

Cette annonce faite par le ministre Bains et par Innovation, Sciences et Développement économique Canada (ISDE) concernant le dépôt du projet de loi C-11 est en lien avec la « Charte du numérique » annoncée en mai 2019. Et le projet de loi comprend plusieurs droits importants, dont la portabilité des données, la suppression des données et la transparence des algorithmes.

Les pénalités infligées sont également importantes et seront déterminées par le nouveau Tribunal. Si, à la suite d’une enquête, le Commissaire choisit d’imposer à une organisation des sanctions, il devra d’abord obtenir du Tribunal le droit d’imposer ces sanctions. Le Tribunal, devant lequel comparaîtront à la fois le Commissaire et l’organisation, peut accepter la recommandation du Commissaire ou déterminer qu’un autre niveau de sanctions est plus approprié. Les sanctions maximales peuvent atteindre 10 000 000 $ ou 3 % des recettes globales brutes de l’organisation, selon le plus élevé des deux. Au moment de la rédaction du présent document, aucune information n’était disponible sur la composition de ce Tribunal, mais au moins un des trois à six membres nommés doit avoir de l’expérience en droit de l’accès à l'information et de la protection des renseignements personnels.

Les infractions — y compris les atteintes à la vie privée non déclarées, les demandes d’accès retenues de manière inadéquate, la réidentification intentionnelle des personnes et la violation d’un ordre du Commissaire — peuvent toutes résulter en des amendes pouvant atteindre 25 000 000 $ ou 5 % des recettes globales brutes de l’organisation.

Un droit privé d’action a été établi, qui permet à toute personne touchée par une atteinte à la vie privée d’intenter une action pour la perte ou pour le préjudice réels subis, mais uniquement si le Commissaire ou le Tribunal a identifié une violation ou si l’organisation a été reconnue coupable d’une infraction. Ce nouveau droit privé d’action peut donner lieu à des recours collectifs.

Le Commissaire se verra conférer un pouvoir exécutoire qui lui permettra d’exiger des organisations de prendre des mesures précises pour corriger les lacunes présentes dans leurs pratiques. Toute ordonnance peut faire l’objet d’un appel auprès du Tribunal.

Tout comme dans la LPRPDE, l’ouverture et la transparence figurent dans le projet de loi, exigeant qu’une organisation présente, en langage clair, de l’information facilement accessible qui explique ses politiques et ses pratiques. Ce besoin pour des avis aux consommateurs en « langage clair » existe depuis longtemps. Il existe des façons créatives pour les organisations de s’y conformer déjà, en adhérant entre autres au programme de la DAAC.

Le rôle du consentement a été confirmé à nouveau et renforcé. Le consentement requis est plus normatif qu’en vertu de la LPRPDE, exigeant une communication qui se rapproche davantage de la norme du RGPD. Le consentement n’est valide que si, en langage clair, les fins de la collecte sont révélées, les conséquences de la collecte sont détaillées, les types précis de renseignements personnels en cause sont décrits et — notamment pour les participants au programme de la DAAC —, le nom des tiers ou les catégories de tiers auxquels l’organisation pourrait communiquer les renseignements personnels sont révélés.

En outre, le consentement implicite est maintenu; cependant, il est défini plus clairement (et éventuellement de manière plus restrictive) qu’en vertu de la LPRPDE. Le consentement exprès est requis à moins qu’il ne soit approprié de conclure que le consentement implicite de la personne est approprié, compte tenu des attentes raisonnables de la personne concernée et de la nature délicate des renseignements personnels en cause.

Tout comme dans la LPRPDE, les organisations ne peuvent rendre la fourniture d’un produit ou la prestation d’un service conditionnelle au consentement à la collecte, à l’utilisation ou à la communication de renseignements personnels qui ne sont pas nécessaires à la fourniture de ce bien ou de ce service. Cela peut s’avérer particulièrement délicat pour les éditeurs.

Les organisations ne peuvent recueillir que des renseignements personnels qui sont nécessaires à des fins déclarées et publiées. Il s’agit là d’un élément important pour les organisations qui utilisent les données à des fins secondaires, comme pour la création de profils publicitaires, qui n’ont pas été divulguées au consommateur au moment de la collecte.

La LPVPC décrit également le pouvoir dont disposent les organisations pour dépersonnaliser les données sans devoir obtenir le consentement de la personne à laquelle les renseignements personnels se rapportent. Il reste à déterminer si les renseignements dépersonnalisés sont toujours considérés comme des « renseignements personnels ».

Cherchant à aborder les circonstances dans lesquelles un consentement exprès peut être difficile à obtenir ou peut être inapproprié, la LPVPC comporte des exceptions au consentement requis, dont des « activités d’affaires désignées ». Cette catégorie d’exception s’applique si (i) une personne raisonnable s’attend à une telle collecte ou à une telle utilisation et si (ii) les renseignements personnels ne sont pas recueillis ou utilisés en vue d’influencer le comportement ou les décisions de l’individu.

La catégorie des activités d’affaires décrites comme « des activités dans le cadre desquelles il est pratiquement impossible pour l’organisation d’obtenir le consentement de l’individu, en raison de l’absence de lien direct avec celui-ci » intéressera particulièrement les médias numériques. Bien que la restriction concernant l’influence du comportement ou des décisions de l’individu disqualifie l’utilisation directe des données à des fins de publicités sur Internet, cette exception offre une marge de manœuvre aux médias sociaux, aux moteurs de recherche et aux prestataires de services axés sur la recherche pour recueillir de l’information sur les utilisateurs d’Internet, et ce, sans leur consentement exprès.

Outre les nouvelles exceptions concernant le consentement, la LPVPC prévoit plusieurs mesures visant à encourager l’innovation, dont notamment la dépersonnalisation des renseignements à des fins de recherche et à des « fins socialement bénéfiques » et l’établissement de codes de pratique et de programmes de certification approuvés par le Commissaire, en vertu desquels les organisations peuvent faire certifier leurs procédures et leurs politiques comme étant conformes. Ces cadres de responsabilisation n’empêchent pas une organisation de se conformer à la LPVPC de façon plus générale, mais ils offrent d’autres approches permettant d’établir le consentement pour certaines pratiques commerciales.

Des règlements seront publiés pour entre autres y préciser davantage les activités d’affaires prévues et pour fournir des règles concernant l’adoption de codes de pratique et de programmes de certification.  

Projet de loi no 64 du Québec

Dans l’attente de la réforme de la LPRPDE, le Québec a également présenté un projet de loi dans le but de mettre à jour la loi sur la protection de la vie privée dans le secteur privé, en déposant en juin dernier le projet de loi 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. Ce projet de loi suit de plus près l’approche normative du RGPD que la LPVPC, mais il est semblable à cette dernière quant aux nouveaux droits à la portabilité des données, au droit à la suppression des données et à la transparence des algorithmes.

Le projet de loi 64 propose quelques nouvelles règles potentiellement exigeantes, dont celle de procéder à une évaluation des facteurs relatifs à la vie privée de tout « projet de système d’information » ou de « prestation électronique de services » impliquant le traitement de renseignements personnels ou pour toute communication de renseignements à l’extérieur du Québec, vers une juridiction qui ne figure pas sur une liste approuvée comme offrant une protection équivalente à celle offerte au Québec.

Fait intéressant pour les annonceurs numériques, le projet de loi 64 exige qu’avant d’utiliser une technologie comprenant des fonctions qui permettent d’identifier ou de localiser un utilisateur ou d’en effectuer le profilage, une organisation doit informer de manière proactive ce dernier du recours à une telle technologie et lui offrir les moyens de désactiver ces fonctions. Cette exigence s’applique aux technologies de suivi sur Internet, comme les témoins, les pixels, les balises et autres identifiants. Elle   donnera vraisemblablement lieu à des « avis sur les témoins » qui sont désormais de plus en plus utilisés dans les publicités Web en Amérique du Nord — et qui proviennent de la Directive sur les témoins de l’UE et qui sont également requis en vertu de la California Consumer Privacy Act.

À noter, le projet de loi 64 inclut une reconnaissance explicite qui permet l’utilisation de renseignements sans consentement si ceux-ci sont utilisés à des fins secondaires, à condition que ces fins soient en lien avec les fins initiales. Tout comme la LPVPC, le projet de loi 64 permet l’utilisation de renseignements dépersonnalisés aux fins de la recherche interne d’une organisation.

Le projet de loi 64 exige l’obtention du consentement du titulaire de l’autorité parentale pour une collecte de renseignements personnels concernant un mineur de moins de 14 ans, à moins que ce ne soit clairement dans l’intérêt de l’enfant. La LPRPDE et la LPVPC ne font pas de distinction entre les adultes, les jeunes (18 ans et moins) et les enfants (moins de 13 ans), mais le Commissariat à la protection de la vie privée du Canada (CPVP) a toujours considéré les renseignements personnels concernant les jeunes ou les enfants comme de l’information de nature particulièrement sensible, notamment pour les plus jeunes, et exige le consentement du titulaire de l’autorité parentale pour la collecte de renseignements personnels concernant les enfants de moins de 13 ans.

Le gouvernement du Québec tient actuellement des audiences sur le projet de loi 64 et a indiqué qu’il présentera un projet de loi modifié en janvier, qui vraisemblablement reflétera les commentaires formulés par les différentes parties prenantes. 

Consultations sur la protection de la vie privée en Ontario

En août dernier, le gouvernement ontarien lançait des consultations sur l’adoption éventuelle d’une loi sur la protection de la vie privée dans le secteur privé en Ontario.

Dans son document de consultation, le gouvernement a indiqué que la loi couvrirait de nombreux aspects qui font l’objet de l’initiative fédérale de réforme de la LPRPDE, dont des exigences plus strictes en matière de consentement, une plus grande transparence, des droits de portabilité et d’effacement des données de même que des encouragements à l’innovation. Bien qu’il ne soit pas mis en relief dans le document de consultation, l’élargissement de la protection de la vie privée aux employés du secteur privé de l’Ontario et d’obligations quant à la protection de la vie privée pour les organismes de bienfaisance, les organismes sans but lucratif et les partis politiques figure clairement dans l’initiative ontarienne. Aucune de ces notions n’est abordée dans la loi fédérale sur la protection de la vie privée.

En septembre dernier, la DAAC présentait une soumission au ministère des Services gouvernementaux et des Services aux consommateurs de l’Ontario. Lire notre soumission ici (en anglais). Le gouvernement a mis fin aux consultations en octobre et examine actuellement les prochaines étapes de cette initiative, vraisemblablement en fonction du projet de réforme proposé de la LPRPDE.

Si vous avez trouvé ce sommaire utile, pourquoi ne pas envisager d’adhérer au programme d’autoréglementation de la publicité ciblée par centres d’intérêt de l’Alliance de la publicité numérique du Canada et d’appuyer nos réalisations futures. Vous pouvez y adhérer en cliquant ici.