Loi de 2020 sur la mise en œuvre de la Charte numérique (projet de loi C-11) – Survol des modifications au régime applicable

Au cours des dernières années, les avancées technologiques ont entraîné une électronisation subite de notre quotidien et, partant, des renseignements personnels. Plus que jamais, les données, incluant les renseignements personnels, sont devenues une commodité, utilisée pour prédire le comportement des individus. « [D]ans une ère où les données circulent constamment au-delà des frontières et des limites géographiques et une part importante de l’activité économique repose sur l’analyse, la circulation et l’échange de renseignements personnels »1, il devient nécessaire d’encadrer cette révolution numérique pour permettre aux organisations et aux individus de bénéficier de ses avantages indéniables, tout en limitant les risques qu’elle comporte pour la vie privée. 

Dans les cinq dernières années, les législateurs ont entrepris de modifier le régime juridique applicable aux renseignements personnels. L’Europe a tracé la voie en 2016 en adoptant le Règlement général sur la protection des données (« RGPD ») et la Californie a emboîté le pas en 2018 avec le California Consumer Protection Act (« CCPA »). Le Québec et le Canada ne sont pas en reste. En effet, le 12 juin 2020, le Québec a présenté à l’Assemblée nationale le projet de loi no 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (« PL 64 »). C’est maintenant au tour du gouvernement fédéral d’entrer dans l’arène. 

Le 17 novembre dernier, le ministre de l’Innovation, des Sciences et de l’Industrie a présenté au Parlement le projet de loi C-11 (le « projet de loi » ou « C-11 ») qui édicte la Loi sur la protection de la vie privée des consommateurs (« LPVPC ») et la Loi sur le Tribunal de la protection des renseignements personnels et des données (« LTPRPD »). Ce projet de loi abroge la partie 1 de la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE ») et remplace le titre abrégé de cette loi par Loi sur les documents électroniques. Les principes de la partie 1 de la LPRPDE seront désormais enchâssés dans la nouvelle loi, la LPVPC, qui incorporera les 10 principes bien connus relatifs à l’équité dans le traitement de l’information sous une forme législative plus conventionnelle, plutôt qu’en annexe comme c’est actuellement le cas en vertu de la LPRPDE. 

Une fois adopté, C-11 entraînera des modifications significatives au cadre normatif applicable à la protection des renseignements personnels au niveau fédéral. En effet, il propose d’accorder de nouveaux droits aux individus, ainsi que d’imposer de nouvelles obligations aux organisations, notamment pour les forcer à être plus transparentes. C-11 propose aussi d’octroyer des pouvoirs accrus au Commissaire à la protection de la vie privée du Canada (« Commissaire »), d’instituer un nouveau Tribunal de la protection des renseignements personnels et des données et prévoit des pénalités substantielles en cas de manquements ou d’infractions à la loi. 

Nous débutons cette série de publications sur le projet de loi en présentant un survol des principales modifications au régime applicable : 

1. Modifications aux exigences du consentement

a. Consentement : nature et validité
b. Nouvelles exemptions à l’exigence de consentement

i. « Activités d’affaires »
ii. Renseignements dépersonnalisés

– « Recherche et développement interne »
– « Fin socialement bénéfique »

2. Responsabilité des organisations

a. Responsabilité des organisations et fournisseurs de services
b. Programme de gestion de la protection des renseignements personnels
c. Renseignements accessibles au public

3. Droits conférés aux individus

a. Droit au retrait
b. Droit d’être informé d’un traitement automatisé
c. Droit à la mobilité des renseignements 

4. Mesures pour faire respecter la loi

a. Nouveaux pouvoirs du Commissaire : investigation et ordonnances
b. Tribunal de la protection des renseignements personnels et des données
c. Pénalités substantielles
d. Droit privé d’action

5. Conclusion

 

1. Modifications aux exigences du consentement 

a. Consentement : nature et validité 

Le projet de loi encadre plus clairement la notion de consentement et la façon dont celui-ci doit être obtenu pour que l’organisation puisse recueillir, utiliser ou communiquer les renseignements personnels de l’individu. C-11 prévoit que l’organisation qui recueille, utilise ou communique des renseignements personnels doit d’abord obtenir le consentement de l’individu concerné (art. 15(1)), lequel doit être obtenu au plus tard au moment de la collecte des informations, ou, s’il s’agit d’autres fins que celles établies, avant de les utiliser ou de les communiquer à ces autres fins (art. 15(2)).  

Tout comme en vertu de la LPRPDE, le projet de loi privilégie l’obtention d’un consentement exprès, en laissant toutefois la porte ouverte à un consentement implicite dans certaines circonstances, dont le caractère approprié devra être évalué en fonction de la nature délicate des renseignements et des attentes raisonnables de l’individu concerné (art. 15(4)). Le projet de loi précise cependant qu’il ne peut y avoir de consentement implicite à la collecte ou l’utilisation d’adresses électroniques à l’aide d’un programme d’ordinateur conçu ou mis en marché principalement pour produire ou rechercher des adresses électroniques, ni pour la collecte de renseignements personnels par ordinateur en contravention de la loi fédérale (art. 52(4)). 

S’inspirant des Lignes directrices pour l’obtention d’un consentement valable publiées en 2018, le projet de loi prévoit en outre que, pour que le consentement soit valide, l’organisation doit d’abord, dans un langage clair, informer l’individu :

  • des fins de la collecte, de l’utilisation ou de la communication des renseignements personnels;
  • de la façon dont les renseignements seront recueillis, utilisés ou communiqués;
  • des conséquences raisonnablement prévisibles de la collecte, de l’utilisation ou de la communication des renseignements personnels;
  • du type précis de renseignements personnels recueillis, utilisés ou communiqués; et
  • du nom ou des catégories des tiers auxquels les renseignements personnels pourraient être communiqués (art. 15(3)). 

 

b. Nouvelles exemptions à l’exigence de consentement 

Le projet de loi maintient la plupart des exceptions à l’exigence du consentement prévues dans la LPRPDE. Il innove cependant en ajoutant certaines exceptions. 

 

i. « Activités d’affaires » : Le projet de loi prévoit qu’il ne sera pas nécessaire d’obtenir un consentement pour la collecte et l’utilisation des renseignements personnels effectuées dans le contexte d’une des « activités d’affaires » prévues, à deux conditions :

  • une personne raisonnable s’attendrait à cette collecte et utilisation;
  • les renseignements ne sont pas recueillis ou utilisés en vue d’influencer le comportement ou les décisions de l’individu. 

Parmi les activités prévues pour lesquelles le consentement n’est pas requis, soulignons les activités nécessaires à la fourniture ou à la livraison d’un produit ou à la prestation d’un service demandé par l’individu, les activités menées à des fins de diligence raisonnable pour réduire ou prévenir les risques commerciaux, les activités nécessaires à la sécurité de l’information, systèmes et réseaux de l’organisation, ou celles nécessaires à la sécurité d’un produit ou service (art. 18). 

 

ii. Renseignements dépersonnalisés : Le projet de loi incorpore formellement le concept de « renseignements dépersonnalisés ». Le projet de loi définit le verbe « dépersonnaliser » comme étant l’action de modifier des renseignements personnels (ou créer des renseignements à partir de renseignements personnels) au moyen de procédés techniques afin que ces renseignements ne permettent pas d’identifier un individu ni ne puissent, dans des circonstances raisonnablement prévisibles, être utilisés, seuls ou en combinaison avec d’autres renseignements, pour identifier un individu (art. 2).

Ainsi, le projet de loi clarifie qu’une organisation pourra utiliser les renseignements personnels d’un individu pour les dépersonnaliser, à son insu et sans son consentement (art. 20). En effectuant la dépersonnalisation, l’organisation devra cependant s’assurer d’utiliser des procédés proportionnels aux fins pour lesquelles les renseignements sont dépersonnalisés et à la nature délicate des renseignements (art. 74). Le projet de loi prévoit en outre une interdiction d’utiliser des renseignements dépersonnalisés, seuls ou en combinaison avec d’autres renseignements, afin d’identifier un individu, sauf pour vérifier l’efficacité des mesures de sécurité (art. 75). 

  • « Recherche et développement interne » : À l’instar du projet de loi 64, C-11 prévoit qu’il sera possible d’utiliser des renseignements dépersonnalisés à des fins de recherche et de développements internes (art. 21), sans le consentement de l’individu et à son insu.
  • « Fin socialement bénéfique » : Le projet de loi prévoit en outre que les organisations pourront, sans son consentement et à son insu, communiquer les renseignements dépersonnalisés d’un individu, pour une « fin socialement bénéfique » à une institution gouvernementale du Canada (ou une subdivision de celle-ci), un établissement de soins de santé, d’enseignement postsecondaire ou une bibliothèque publique ou une organisation mandatée par la loi ou par contrat avec une institution gouvernementale du Canada (ou une subdivision) (art. 39(1)). Une « fin socialement bénéfique » s’entend de toute fin relative à la santé, à la fourniture ou à l’amélioration des services et infrastructures publics, à la protection de l’environnement ou de toute autre fin réglementaire (art. 39(2)). 

 

2. Responsabilité des organisations 

a. Responsabilité des organisations et fournisseurs de services 

Le projet de loi précise la notion de « responsabilité » d’une organisation à l’égard des renseignements personnels. Elle reprend le principe prévu à la LPRPDE suivant lequel toute organisation est responsable des renseignements personnels qui relèvent d’elle (art. 7(1)). Elle précise cependant que les renseignements « relèvent » de l’organisation qui décide de les recueillir et établit les fins pour lesquelles ils sont recueillis, utilisés ou communiqués, qu’elle le fasse elle-même ou par l’entremise d’un fournisseur de services (art. 7(2)). 

Le « fournisseur de services » s’entend de toute organisation, notamment une société mère, une filiale, une société affiliée, un entrepreneur ou un sous-traitant, qui fournit un service au nom ou pour le compte d’une autre organisation pour lui permettre de réaliser ses fins (art. 2). 

Tout comme en vertu de la LPRPDE, C-11 prévoit que l’organisation qui transfère des renseignements à un fournisseur de services devra s’assurer, contractuellement ou autrement, que ce dernier assure une protection équivalente à celle que l’organisation est tenue de maintenir en vertu de la loi (art. 1). À l’instar du RGPD, C-11 fait la distinction entre les responsabilités qui incombent à l’organisation et celles qui incombent à son fournisseur de services. Ainsi, sauf en ce qui a trait à l’obligation de protéger les renseignements par des mesures de sécurité (art. 57) et d’aviser l’organisation de qui les renseignements personnels relèvent de l’atteinte à ces mesures (art. 61), les obligations prévues dans la loi ne s’appliqueront pas au fournisseur de services relativement aux renseignements qui lui sont transférés, sauf s’il les recueille, les utilise ou les communique à d’autres fins que celles pour lesquelles ils lui ont été transférés (art. 11(2)). 

Fait à noter, C-11 clarifie que l’organisation peut transférer des renseignements à un fournisseur de services sans obtenir le consentement de l’individu et même à son insu (art. 19). Ainsi, pour les fins de la loi, le fournisseur de services n’est pas considéré comme étant un « tiers » à qui les renseignements pourraient être transférés ou communiqués, pour lesquels il serait nécessaire de divulguer l’identité (art. 15(3)(e)). 

 

b. Programme de gestion de la protection des renseignements personnels 

Sous le régime de la LPRPDE (art. 4.1.4), les organisations avaient l’obligation de mettre en œuvre des politiques, pratiques et procédures afin de respecter leurs obligations aux termes de la loi, ce qui demeure inchangé, sous réserve des précisions suivantes (art. 9(1)). 

En vertu du projet de loi, l’ensemble des politiques, pratiques et procédures d’une organisation est connu sous le vocable de « programme de gestion de la protection des renseignements personnels ». Le projet de loi précise d’ailleurs qu’au moment d’élaborer un tel programme, une organisation doit tenir compte du volume et de la nature délicate des renseignements personnels qui relèvent d’elle (art. 9(2)). De plus, si le Commissaire le demande, l’organisation aura l’obligation de lui fournir son programme (art. 10). 

Trois nouveautés intéressantes du projet de loi à ce sujet : 

  • Toute organisation pourra demander conseil au Commissaire au sujet de son programme de gestion de la protection des renseignements personnels (art. 109(e)). 
  • Toute organisation, que la loi s’applique à elle ou non (une « entité »), pourra demander au Commissaire d’approuver le code des pratiques qu’elle prévoit mettre en place pour protéger les renseignements personnels (art. 76).  
  • Toute entité pourra également demander au Commissaire d’approuver un programme de certification, comprenant un code de pratiques permettant de mettre en place une protection des renseignements personnels, des lignes directrices pour l’interpréter et le mettre en œuvre, un mécanisme par lequel l’entité qui gère le programme pourra certifier une organisation conforme à ce code, un mécanisme de vérification indépendant de la conformité à ce code et des mesures disciplinaires en cas de non-conformité au code, dont la révocation de sa certification (art. 77). 

 

c. Renseignements accessibles au public 

Dans l’esprit de transparence qui sous-tend le projet de loi, le législateur prévoit des ajouts aux renseignements relatifs à la protection des renseignements personnels devant être accessibles au public. En sus des renseignements que les organisations devaient déjà rendre accessibles au public sous le régime de la LPRPDE (art. 4.8.2), le projet de loi ajoute les suivants (art. 62) : 

  • la description du type de renseignements personnels qui relèvent d’elle;
  • une explication générale de l’usage qu’elle fait des « systèmes décisionnels automatisés » pour faire des prédictions, formuler des recommandations ou prendre des décisions sur des individus;
  • le fait qu’elle effectue des transferts de renseignements personnels interprovinciaux ou internationaux « pouvant avoir des répercussions raisonnablement prévisibles sur la vie privée »; et
  • la manière de présenter une demande de retrait de renseignements personnels. 

 

3. Droits conférés aux individus 

En plus des droits d’accès et de rectification des renseignements personnels déjà prévus dans la LPRPDE (art. 63), C-11 prévoit de nouveaux droits pour les individus. 

 

a. Droit de retrait 

Le projet de loi confère aux individus le droit de retirer leur consentement, en tout ou en partie, à la collecte, l’utilisation et la communication de leurs renseignements. L’organisation devra alors informer l’individu des conséquences de ce retrait. Elle devra cesser dès que possible de recueillir, utiliser ou communiquer ses renseignements (art. 17), dans la mesure où le retrait ainsi demandé n’entraîne pas le retrait des renseignements personnels d’un autre individu dont ce renseignement ne peut être retranché; et qu’aucune exigence légale ou restriction contractuelle raisonnable ne l’en empêche. L’organisation devra en outre, dès que possible, informer le fournisseur à qui elle a transféré les renseignements de la demande de retrait et confirmer avec celui-ci qu’il a procédé au retrait (art. 55). 

 

b. Droit d’être informé d’un traitement automatisé 

Le projet de loi ajoute des dispositions spécifiques sur l’utilisation de « systèmes décisionnels automatisés ». Un « système décisionnel automatisé » s’entend d’une « technologie qui appuie ou remplace le jugement de décideurs humains au moyen de techniques telles que l’usage de systèmes basés sur des règles, l’analyse de régression, l’analytique prédictive, l’apprentissage automatique, l’apprentissage profond et l’usage de réseaux neuronaux » (art. 2). Ainsi, outre l’exigence mentionnée précédemment de rendre accessible, dans un langage clair, une explication générale de l’usage qu’elle fait des systèmes décisionnels automatisés (art. 62(2)), l’organisation devra fournir, sur demande, une explication de la prédiction, de la recommandation ou de la décision découlant de l’usage d’un « système décisionnel automatisé » et lui indiquer la provenance des renseignements personnels utilisés pour ce faire (art. 63(3)). Contrairement au PL 64, C-11 ne prévoit que le droit d’être informé et non le droit de présenter des observations pour faire réviser la décision.

 

c. Droit à la mobilité des renseignements 

C-11 incorpore la notion de « mobilité des renseignements ». Ainsi, l’organisation devra communiquer, dès que possible, les renseignements personnels qu’elle a recueillis auprès d’un individu à l’organisation que ce dernier désigne si ces deux organisations sont soumises à un « cadre de mobilité des données » prévu par règlement (art. 72). Le projet de loi ne définit pas ce qu’on entend par un « cadre de mobilité des données ». Il prévoit cependant l’adoption de règlements précisant notamment : (a) les mesures de sécurité qu’une organisation devra mettre en place afin de permettre une communication sécuritaire des renseignements personnels dans ce contexte; (b) les paramètres des moyens techniques permettant d’assurer l’interopérabilité en matière de communication et de collecte de ces renseignements; et (c) les organisations assujetties à un tel cadre. Le « droit à la mobilité » de C-11 semble donc plus limité que ce qui est prévu au PL 64, puisqu’il ne sera applicable qu’entre organisations assujetties à un cadre de mobilité. 

 

4. Mesures pour faire respecter la loi 

a. Nouveaux pouvoirs du Commissaire : investigation et ordonnances 

En vertu de la LPRPDE, tout individu pouvait déposer une plainte auprès du Commissaire contre une organisation qui contrevenait à certaines de ses obligations. Le Commissaire pouvait également prendre l’initiative d’une telle plainte (art. 11). Il avait la responsabilité de procéder à l’examen des plaintes (art. 12) et pouvait tenter de parvenir à un règlement de celles-ci (art. 12.1(2)) ou conclure des accords de conformité (art. 17.1). Ces pouvoirs demeurent inchangés sous C-11 (art. 82, 83, 84 et 88). 

Le projet de loi introduit toutefois de nouveaux pouvoirs pour le Commissaire. Ainsi, le Commissaire pourra désormais mener une investigation sur une plainte (art. 88) ou s’il a des motifs de croire qu’un accord de conformité n’a pas été respecté (art. 89). Au terme de cette investigation, il devra rendre une décision motivée (art. 92(1)). S’il estime que c’est raisonnablement nécessaire pour assurer la conformité, le Commissaire pourra ordonner à l’organisation de : 

  • prendre toute mesure afin de se conformer à la loi;
  • cesser toute action qui contrevient à la loi;
  • respecter un accord de conformité qu’elle a conclu; et
  • rendre publique toute action prise ou envisagée pour corriger le programme qu’elle a mis en place afin de respecter ses obligations légales (art. 92(2)). 

En matière de pénalités, le législateur a choisi d’emprunter une voie différente de celle du législateur québécois en vertu du PL 64 qui accorde le pouvoir à la Commission d’accès à l’information d’imposer directement des pénalités. En effet, C-11 prévoit que, s’il estime qu’il y a eu contravention à certaines dispositions de la loi (détaillées plus amplement ci-après dans la section portant sur les pénalités), le Commissaire pourra recommander qu’une pénalité soit infligée à l’organisation par le nouveau Tribunal. Il ne pourra cependant recommander l’imposition d’une pénalité si, au moment de la contravention, l’organisation se conformait aux exigences d’un programme de certification approuvé (art. 93(3)). 

La décision du Commissaire pourra être portée en appel devant le Tribunal par le plaignant ou l’organisation touché, dans les 30 jours (art. 100(1)). 

 

b. Tribunal de la protection des renseignements personnels et des données 

Le projet de loi propose de constituer le Tribunal de la protection des renseignements personnels et des données (« Tribunal ») (art. 4 LTPRPD). Le Tribunal aura compétence pour statuer sur tout appel interjeté par un plaignant ou une organisation touché par une décision du Commissaire, ainsi que sur l’infliction de pénalités prévues par la loi (art. 5 LTPRPD). 

Le Tribunal sera formé de 3 à 6 membres, dont au moins un membre possédera de l’expérience dans le domaine du droit à l’information et à la protection des renseignements personnels (art. 6 LTPRPD). Le Tribunal ne sera pas lié par les règles juridiques ou techniques applicables en matière de preuve lors des audiences. Il lui appartiendra d’agir rapidement et sans formalisme dans la mesure où les circonstances, l’équité et la justice naturelle le permettent (art. 15(1) LTPRPD). Règle générale, les audiences devant le Tribunal seront publiques (art. 15(4) LTPRPD), ainsi que les décisions qu’il rendra (art. 18(1) LTPRPD).  

 

c. Pénalités substantielles

De façon similaire au RGPD et au PL 64, C-11 prévoit l’imposition de pénalités substantielles en cas de contravention à la loi, divisées en deux catégories : 

  • Pour les manquements les moins graves, des pénalités pouvant aller jusqu’à 3 % du revenu global brut au cours de l’exercice précédent ou 10 millions de dollars, selon le plus élevé (art. 94). 

Les contraventions à la loi visées par ces pénalités visent les dispositions suivantes : 

  • limitation de la collecte (art. 13);
  • utilisation pour des fins nouvelles (art. 14(1));
  • consentement pour un bien et service (art. 15(5));
  • consentement obtenu par subterfuge (art. 16);
  • durée de conservation (art. 53);
  • demande de retrait (art. 55(1) et (3));
  • mesures de sécurité (art. 57(1)); et
  • déclaration et avis pour des atteintes à la sécurité (art. 58(1) et (3)). 

Soulignons également que l’organisation bénéficiera d’une défense de diligence raisonnable, puisque le projet de loi prévoit qu’aucune pénalité ne pourra être infligée si l’organisation établit qu’elle a pris les précautions voulues pour empêcher la contravention (art. 94(3)).   

  • Pour les manquements les plus sévères soit les infractions pénales), des pénalités pouvant aller jusqu’à 5 % du revenu global brut au cours de l’exercice précédent ou 25 millions de dollars, selon le plus élevé (art. 125). 

Ainsi, commet une infraction toute organisation qui contrevient sciemment à une ordonnance rendue par le Commissaire, qui entrave l’action de ce dernier dans le cadre d’une vérification, d’une investigation ou de l’examen d’une plainte ou qui contrevient sciemment aux obligations/interdictions énumérées ci-dessous : 

  • obligation de déclarer les atteintes aux mesures de sécurité (art. 58);
  • obligation de tenir et conserver un registre de toutes atteintes aux mesures de sécurité (art. 60(1));
  • obligation de conserver les renseignements personnels visés par une demande d’accès jusqu’à l’épuisement des recours (art. 69);
  • interdiction d’utiliser des renseignements dépersonnalisés afin d’identifier un individu (art. 75);
  • interdiction de représailles contre un employé (art. 124). 

 

d. Droit privé d’action

Une autre nouveauté de ce projet de loi est l’instauration d’un droit privé d’action. En effet, un individu pourra intenter contre une organisation une action en dommages-intérêts pour la perte ou le préjudice subi si :

  • le Commissaire ou le Tribunal a préalablement conclu que l’organisation a contrevenu à ses obligations légales (art. 106(1));
  • l’organisation a été condamnée pour une infraction (106(2)). 

L’action en dommages-intérêts se prescrira par deux ans à compter de la connaissance par l’individu de la conclusion du Commissaire ou du Tribunal ou de la condamnation (art. 106(3)). Cette action pourra être introduite devant la Cour fédérale ou la cour supérieure d’une province (art. 106(4)). 

Contrairement au PL 64, C-11 ne prévoit donc pas l’attribution de dommages-intérêts punitifs et la preuve d’un préjudice sera nécessaire.

 

5. Conclusion

Autrefois chef de file en matière de protection des renseignements personnels, le Canada a largement été dépassé par d’autres juridictions qui ont su s’adapter plus rapidement aux changements technologiques exponentiels des dernières décennies. Il devient plus que nécessaire de moderniser le régime juridique applicable pour le faire entrer dans cette nouvelle ère. 

S’il est adopté, le projet de loi C-11 constituera la réforme la plus significative du régime juridique fédéral sur la protection des renseignements personnels depuis l’adoption de la LPRPDE. Selon notre analyse préliminaire, il constitue un pas dans la bonne direction pour assurer l’adéquation avec les dispositions du RGPD et, ainsi, faciliter les transferts transfrontaliers de renseignements personnels. À certains égards, toutefois, C-11 ne va pas aussi loin que le RGPD, ni même que PL 64, ce qui pourrait à terme poser des défis pour la mise en conformité des entreprises québécoises et canadiennes et avoir un impact négatif sur leur compétitivité. 

À l’heure actuelle, aucune date d’entrée en vigueur n’est prévue. Les principaux intervenants auront assurément l’occasion de faire valoir leurs observations sur l’impact des dispositions actuelles de C-11, de sorte qu’une version révisée du projet de loi devrait être déposée en 2021. Cela dit, le gouvernement fédéral annonce ses couleurs et les entreprises devraient d’ores et déjà entamer une réflexion sur leurs pratiques actuelles, dans l’objectif de déterminer les écarts potentiels pour assurer leur mise en conformité.


1 Art. 5, projet de loi C-11.