2020 : l’année des modifications aux lois canadiennes et québécoises sur la protection des renseignements personnels

En décembre dernier, le premier ministre du Canada, le très honorable Justin Trudeau, a transmis une lettre mandat à chacun des ministres de son gouvernement récemment formé. 

Parmi les priorités énumérées dans les lettres adressées au ministre de la Justice, au ministre de l’Innovation, des Sciences et de l’Industrie et au ministre du Patrimoine canadien, le premier ministre fait état de ses attentes concernant la mise en place de la Charte canadienne du numérique, du rehaussement des pouvoirs du commissaire à la protection de la vie privée et de l’établissement de nouveaux droits « en ligne ». 

Rehaussement des pouvoirs du commissaire à la vie privée 

L’énoncé des priorités du premier ministre a été précédé de plusieurs propositions de modifications formulées par le commissaire lui-même. 

En marge de la publication de son rapport annuel publié le 10 décembre dernier, le commissaire fédéral « exhorte les parlementaires à adopter des lois sur la protection des renseignements personnels fondées sur les droits pour mieux protéger les Canadiens dans un contexte où les technologies axées sur les données créent de graves risques d’atteinte à la vie privée. »¹

Parmi les propositions formulées par le commissaire, celui-ci insiste sur les éléments suivants :

• Effectuer des inspections proactives;
• Émettre des ordonnances exécutoires;
• Imposer des sanctions en cas de non-conformité à la loi. 

Le rapport du commissaire mentionne également la possibilité d’adopter une loi fondée et accordant des droits aux individus plutôt qu’uniquement sur des obligations imposées aux organisations assujetties. 

Établissement de nouveaux droits 

Dans sa lettre aux ministres, le premier ministre mentionne expressément l’établissement de nouveaux droits relatifs aux données personnelles devant trouver application dans le monde numérique. La lettre fait mention des éléments suivants :

• La portabilité des données personnelles;
• La capacité de retirer, de supprimer et d’effacer des données personnelles;
• La possibilité de connaître les utilisations visées;
• La capacité de retirer son consentement à l’échange ou à la vente de données personnelles;
• La capacité d’examiner et de remettre en question la quantité de données recueillies;
• Des exigences proactives en matière de sécurité des données;
• D’être informé des violations de données;
• De recevoir une indemnisation appropriée;
• D’être à l’abri de la discrimination en ligne. 

Les droits de connaître les utilisations envisagées et le droit d’être informé sont déjà énoncés sous forme d’obligations imposées aux organisations dans la loi fédérale applicable au secteur privé. 

Les autres droits énumérés dans la lettre du premier ministre ont quant à eux été édictés dans le Règlement général sur la protection des données (le « RGPD ») de l’Union européenne, en vigueur depuis mai 2018. La démarche du gouvernement en ce sens tend à démontrer la volonté du Canada de s’aligner sur l’encadrement européen afin de maintenir l’adéquation avec ce régime qui permet notamment de faciliter les transferts de données entre les pays membres de l’Union européenne et le Canada. 

Charte canadienne du numérique 

La Charte canadienne du numérique a été publiée par le gouvernement canadien à la suite de consultations tenues en 2018. L’objectif de cette charte est de bâtir la confiance des Canadiens dans le monde numérique. Elle énonce dix principes qui orienteront les différents programmes et initiatives du gouvernement :

1. L’accès universel : tous les citoyens canadiens pourront participer de manière égale au monde numérique et disposeront à cette fin de tous les outils nécessaires;
2. La sûreté et la sécurité des services offerts en ligne;
3. Le contrôle et le consentement : les citoyens canadiens pourront contrôler la nature des données recueillies et leur utilisation;
4. La transparence, la portabilité et l’interopérabilité : la gestion de l’accès aux données personnelles des citoyens canadiens sera ainsi facilitée;
5. Un gouvernement numérique ouvert et moderne;
6. Des règles du jeu équitables sur le marché en ligne;
7. Des données numériques pour le bien commun : le gouvernement veillera à ce que les données des citoyens canadiens soient utilisées convenablement et de manière éthique;
8. Une démocratie solide;
9. Un milieu numérique exempt de haine et d’extrémisme violent;
10. Une application rigoureuse et une réelle responsabilité : des sanctions claires et précises seront prévues pour toute violation des lois et règlements édictés sur la base de ces principes.

Ces principes ont une application potentiellement très large. La nature et l’étendue des initiatives du gouvernement restent à définir. 

La révision des lois québécoises 

Il est également intéressant de noter que le ministre de la Justice du Québec a récemment confirmé l’intention du gouvernement de présenter un projet de loi attendu depuis longtemps pour moderniser les lois québécoises sur la protection des renseignements personnels. Les deux lois ont été initialement adoptées dans les années 80 et 90 et n’ont pas été modifiées de façon significative depuis 2006. Tout comme au fédéral, nous anticipons que le gouvernement québécois proposera une approche alignée sur les dispositions du RGPD. Le ministre délégué à la Transformation numérique gouvernementale a d’ailleurs récemment fait des commentaires en ce sens. 

L’année 2020 devrait donc constituer une année charnière en matière de protection des renseignements personnels, tant au fédéral qu’au provincial. Les organisations faisant affaire au Canada et au Québec devront revoir leurs procédés pour assurer leur conformité à ces nouvelles dispositions qui auront un impact significatif sur les obligations qui leur sont imposées en la matière.