L’été est généralement synonyme de beau temps, de festivals et de vacances. Cette année, plus que les autres années, il est aussi synonyme de protection des renseignements personnels, notamment pour les raisons suivantes.
1. Au Québec
i. Plusieurs exigences de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (la « Loi 25 ») entrent en vigueur le 22 septembre 2022. Il en va ainsi du fait :
- qu’un organisme public et une entreprise sont responsables des renseignements personnels qu’ils détiennent;
- qu’un responsable de la protection des renseignements personnels doit être nommé (nouveauté pour les entreprises);
- qu’un comité sur l’accès à l’information et la protection des renseignements personnels doit être constitué – pour tous les organismes publics sauf exclusion par règlement du gouvernement;
- qu’un incident de confidentialité impliquant des renseignements personnels et présentant un risque qu’un préjudice sérieux soit causé aux personnes concernées doit être déclaré, avec diligence, à la Commission d’accès à l’information et aux personnes concernées;
- qu’une évaluation des facteurs relatifs à la vie privée doit être réalisée en cas de communication d’un renseignement personnel, sans le consentement des personnes concernées, à des fins d’étude, de recherche ou de production de statistiques;
- qu’une entreprise peut communiquer un renseignement personnel nécessaire aux fins de la conclusion d’une transaction commerciale, sans le consentement des personnes concernées;
- que la création d’une banque de caractéristiques ou de mesures biométriques doit être divulguée au plus tard 60 jours avant sa mise en service à la Commission d’accès à l’information.
ii. Un projet de règlement sur les incidents de confidentialité a été déposé le 29 juin 2022 (Gazette officielle du Québec, Partie 2, pp. 3935 et suiv.). Toute personne qui souhaite formuler des commentaires a 45 jours pour le faire à compter de la date de sa publication. Ce projet vise à fournir aux organismes publics, aux entreprises, aux ordres professionnels et aux entités politiques ce que doit contenir l’avis à la Commission d’accès à l’information et aux personnes concernées, ainsi que le registre des incidents de confidentialité qui doit être tenu par ces organisations.
iii. Le décret 1011-2022 modifiant le Règlement sur la diffusion de l’information et la protection des renseignements personnels a été publié le même jour (Gazette officielle du Québec, Partie 2, pp. 3567 et suiv.).
2. Au fédéral
i. Le projet de loi C-27 – Loi édictant la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l’intelligence artificielle et les données et apportant des modifications corrélatives et connexes à d’autres lois a été déposé, le 16 juin 2022, à la Chambre des communes du Parlement du Canada.
Ce projet fait écho au projet de loi C-11, mort au feuilleton lors de la précédente session parlementaire, tout en apportant des modifications aux deux premières parties et en y ajoutant une troisième partie en lien avec l’intelligence artificielle.
La Partie 1 édicte la Loi sur la protection de la vie privée des consommateurs. Cette partie, si elle est adoptée, abrogera et remplacera la Partie 1 de la Loi sur la protection des renseignements personnels et les documents électroniques relative à la protection des renseignements personnels dans le secteur privé.
En plus d’ajouter de nouvelles définitions (anonymiser, dépersonnaliser), cette partie vient renforcer la responsabilité des organisations à l’égard des renseignements personnels, incluant le fait de mettre en œuvre un programme de gestion visant à leur protection. Elle précise également certains éléments, notamment quant à ce qui suit :
- le caractère acceptable des fins pour lesquelles un renseignement personnel peut être recueilli, utilisé ou communiqué;
- le consentement et ses exceptions;
- l’intérêt public;
- la conservation et le retrait des renseignements personnels;
- les mesures de sécurité et les atteintes à celles-ci;
- les droits d’accès et de rectification offerts aux personnes concernées, incluant le recours à un système décisionnel automatisé;
- le recours à des renseignements dépersonnalisés en indiquant que, dans ce cas, l’organisation doit veiller à ce que les procédés techniques et administratifs utilisés soient proportionnels aux fins auxquelles ces renseignements sont dépersonnalisés et à la nature sensible des renseignements.
Elle précise aussi les attributions du Commissaire à la protection de la vie privée (le « Commissaire »), incluant le pouvoir d’émettre des ordonnances et de recommander des sanctions administratives pécuniaires. Elle ouvre également la porte à un droit privé d’action.
La Partie 2 édicte la Loi sur le Tribunal de la protection des renseignements personnels et des données.
Le Tribunal aura compétence pour statuer sur tout appel interjeté par un plaignant ou une organisation touchée par une décision du Commissaire, ainsi que sur l’infliction de pénalités prévues par la loi. Il sera formé de trois à six membres, dont au moins trois posséderont de l’expérience dans le domaine du droit à l’information et à la protection des renseignements personnels.
Le Tribunal ne sera pas lié par les règles juridiques ou techniques applicables en matière de preuve lors des audiences. Il lui appartiendra d’agir rapidement et sans formalisme dans la mesure où les circonstances, l’équité et la justice naturelle le permettent. En règle générale, les audiences devant le Tribunal seront publiques, ainsi que les décisions qu’il rendra.
La Partie 3 édicte la Loi sur l’intelligence artificielle et les données, qui a pour objet de réglementer les échanges et le commerce internationaux et interprovinciaux en matière de systèmes d’intelligence artificielle par l’établissement d’exigences communes à l’échelle du Canada pour la conception, le développement et l’utilisation de ces systèmes. Elle a aussi pour objet d’interdire certaines conduites relativement à ces systèmes qui peuvent causer un préjudice sérieux aux individus ou un préjudice à leurs intérêts.
ii. Le projet de loi C-26 – Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d’autres lois, a été déposé, le 14 juin 2022, à cette même Chambre.
La Partie 2 édicte la Loi sur la protection des cybersystèmes essentiels, qui « a pour objet d’aider à protéger les cybersystèmes essentiels afin d’assurer la continuité et la sécurité des services critiques et des systèmes critiques, en permettant notamment :
a) d’identifier et de gérer les risques à l’égard de la cybersécurité des cybersystèmes essentiels, notamment les risques associés aux chaînes d’approvisionnement et à l’utilisation de produits et services de tiers;
b) de protéger les cybersystèmes essentiels contre toute compromission;
c) de détecter les incidents de cybersécurité qui touchent ou pourraient toucher les cybersystèmes essentiels;
d) de réduire au minimum les conséquences des incidents de cybersécurité qui touchent les cybersystèmes essentiels. » (art. 5)
Nous suivrons avec intérêt les discussions qui auront lieu autour du projet de règlement sur les incidents de confidentialité et des projets de loi C-26 et C-27 au cours de prochains mois et publierons d’autres articles relativement aux suites qui y seront données.