Le projet de Charte du numérique pourrait entraîner des modifications considérables aux lois canadiennes sur la protection de la vie privée 

publication 

May 2019

Bulletin sur la protection de la vie privée

Le 21 mai 2019, le gouvernement fédéral canadien a publié un projet de charte du numérique (la « Charte »)[1] , ainsi qu’un ensemble de mesures et de recommandations initiales pour la mise en œuvre des dix principes de la Charte.

La Charte, qui n’a pas encore force de loi, est le résultat des consultations nationales et des audiences de comités en cours sur un projet de réforme en profondeur des lois canadiennes sur la protection de la vie privée et des données.

La Charte se veut une réponse à l’impact permanent de la révolution numérique sur la vie des Canadiens et l’économie. La conciliation de l’innovation technologique et des avancées sur le plan de l’économie avec la confiance des Canadiens concernant la collecte, l’utilisation et la communication de leurs renseignements personnels à l’ère numérique constitue un thème récurrent dans la Charte ainsi que dans l’annonce du gouvernement qui l’accompagne[2].

Les dix principes de la Charte

Le projet de Charte mettrait en vigueur les dix principes suivants, en vertu desquels les politiques, la législation et les initiatives du gouvernement seraient interprétées :

  1. Accès universel – Tous les Canadiens auront des chances égales de participer au monde numérique et disposeront des outils nécessaires pour ce faire, c’est-à-dire l’accès, la connectivité, la littératie et les compétences;
  2. Sûreté et sécurité – Les Canadiens pourront compter sur l’intégrité, l’authenticité et la sûreté des services, et devraient se sentir en sécurité en ligne;
  3. Contrôle et consentement - Les Canadiens pourront contrôler quelles données personnelles sont prélevées, qui les utilise et à quelles fins;
  4. Transparence, portabilité et interopérabilité – Les Canadiens pourront facilement gérer l’accès à leurs données personnelles et être en mesure de les transmettre sans se faire imposer un fardeau indu;
  5. Gouvernement numérique ouvert et moderne – Les Canadiens pourront avoir accès à des services numériques modernes de la part du gouvernement, qui sont sécuritaires et faciles à utiliser;
  6. Règles du jeu équitables – Le gouvernement du Canada garantira une concurrence équitable sur le marché en ligne pour favoriser la croissance économique et l’innovation tout en protégeant les consommateurs canadiens des abus de marchés;
  7. Données numériques pour le bien commun – Le gouvernement du Canada veillera à ce que les données soient utilisées de façon éthique et à bon escient, pour créer une valeur ajoutée, promouvoir l’ouverture et améliorer la vie des gens, aussi bien au Canada qu’ailleurs dans le monde;
  8. Démocratie solide – Le gouvernement du Canada défendra la liberté d’expression et assurera une protection contre les menaces en ligne et la désinformation visant à miner l’intégrité des élections et des institutions démocratiques;
  9. Exempt de haine et d’extrémisme violent – Les Canadiens peuvent s’attendre à ce que les plateformes numériques ne servent pas à diffuser des discours haineux ou du contenu criminel, ou à promouvoir l’extrémisme violent;
  10. Application rigoureuse et réelle responsabilité – Il y aura des sanctions claires et sévères pour toute violation des lois et règlements à l’appui des principes de la Charte.

Un certain nombre des principes de la Charte représentent une réponse directe à des sujets délicats tels que la propagation des « fausses nouvelles » et les préoccupations grandissantes concernant le rôle des médias sociaux dans la diffusion de discours haineux ou de contenus extrémistes terroristes et l’ingérence électorale. Au moment où il a fait l’annonce du projet de Charte un peu plus tôt ce mois-ci, le premier ministre Justin Trudeau a indiqué que le gouvernement entendait prendre des mesures pour encourager les entreprises de médias sociaux à lutter contre la désinformation, en promettant des conséquences financières significatives pour les plateformes qui ne s’occupaient pas de ces questions[3].

Modifications proposées à la LPRPDE

Le gouvernement fédéral a également publié un long document de travail[4] décrivant les modifications proposées à la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE ») qui visent à refléter les dix principes de la Charte.

Dans son document de travail, le gouvernement laisse entendre que les modifications apportées à la LPRPDE sont nécessaires, en partie, pour mieux harmoniser la législation canadienne sur la protection de la vie privée avec les cadres de protection de la vie privée à l’échelle internationale (y compris ceux de l’Union européenne et des États-Unis) dans l’objectif d’une économie numérique intégrée tant au pays qu’à l’étranger.

Parmi les modifications proposées à la LPRPDE on trouve notamment les modifications suivantes :

  • exiger que les organisations fournissent aux personnes des renseignements précis et normalisés en langage clair sur l’utilisation prévue de l’information et les tierces parties auxquelles les renseignements seront communiqués;
  • interdire le « regroupement » du consentement dans le cadre d’un contrat;
  • prévoir des solutions de rechange ou des exceptions afin de faciliter l’utilisation de renseignements personnels par les entreprises dans certaines circonstances;
  • Renforcer la protection de la vie privée dans l’ère numérique, Gouvernement du Canada, ministère de l’Innovation, Sciences et Développement économique Canada, le 21 mai 2019.
  • ajouter une définition pour les renseignements dépersonnalisés, ainsi qu’une exception au consentement pour leur utilisation et leur communication à certaines fins prescrites ou lorsqu’ils sont gérés par une fiducie de données;
  • imposer des pénalités pour la réidentification d’information dépersonnalisée, y compris lorsque celle-ci a été causée par négligence ou imprudence;
  • exiger que les personnes soient informées de l’utilisation de processus décisionnels automatisés, des facteurs ayant une incidence sur la décision et de ce sur quoi la décision a une incidence, ainsi que de la logique sur laquelle la décision est fondée (à l’exclusion des renseignements commerciaux confidentiels);
  • stipuler explicitement que les organisations doivent démontrer qu’elles agissent de manière responsable, y compris dans le contexte des flux transfrontaliers de données;
  • accorder explicitement le droit aux personnes de demander que leurs renseignements personnels soient transmis d’une organisation à une autre dans un format numérique normalisé (ce que l’on entend par la « mobilité de données ») afin d’accroitre le choix des consommateurs;
  • conférer aux personnes le droit de demander la suppression des renseignements les concernant, sous certaines réserves non encore définies;
  • exiger des organisations qu’elles informent toute autre organisation à laquelle des renseignements personnels ont été communiqués de leur modification ou de leur suppression.

Le gouvernement a également proposé que les pouvoirs du Commissariat à la protection de la vie privée du Canada (le « Commissariat ») soient accrus afin d’inciter les organisations à se conformer à la LPRPDE, une initiative qui, pour bon nombre d’intervenants, était attendue de longue date.

L’application de la LPRPDE se fait présentement principalement par le recours au modèle de l’ombudsman, qui est fondé en grande partie sur la formulation de recommandations non contraignantes du Commissariat. Certains ont soutenu que l’approche actuelle offrait peu d’incitatifs aux organisations pour mettre en œuvre les recommandations.

Le gouvernement fédéral a réagi en proposant de conférer au Commissariat divers pouvoirs supplémentaires, y compris la capacité d’émettre une ordonnance de cessation de la collecte, de l’utilisation ou de la communication de renseignements personnels par une organisation non conforme, d’élargir le régime actuel d’amendes de la LPRPDE, et d’élargir sensiblement la gamme des amendes potentielles.

Autres initiatives de soutien

Outre les modifications proposées à la LPRPDE, le gouvernement a pris ou a l’intention de prendre diverses autres mesures visant la mise en application des principes de la Charte, dont les mesures suivantes :

  • écrire au Bureau de la concurrence afin de s’assurer qu’il a les outils nécessaires pour favoriser la concurrence et l’innovation numérique, en particulier à l’égard des petites entreprises;
  • créer le Conseil consultatif canadien de la statistique, qui aura le mandat d’entreprendre un examen de la Loi sur la statistique et de formuler des conseils sur la pertinence, la qualité et la transparence du système statistique national;
  • appuyer le Conseil canadien des normes dans l’établissement du Collectif canadien de normalisation en matière de gouvernance des données, une initiative visant la coordination de l’élaboration et de la compatibilité des normes en matière de gouvernance des données au Canada.

Le gouvernement fédéral a également indiqué que le ministère de la Justice du Canada continuait de diriger, en collaboration avec le Secrétariat du Conseil du Trésor du Canada, l’examen des réformes possibles de la Loi sur la protection des renseignements personnels, qui régit les pratiques de traitement des renseignements personnels au sein des institutions fédérales.

Que nous réserve l’avenir ?

Le gouvernement fédéral a sollicité des commentaires afin d’alimenter les discussions en cours concernant les modifications qu’il propose d’apporter à la LPRPDE. Le grand nombre de questions et de points soulevés dans le document de travail nous suggère qu’il y aura encore beaucoup de consultations avant qu’un projet de loi visant la modification de la législation sur la protection de la vie privée soit déposé. Par conséquent, il semble peu probable que la Charte et les réformes législatives connexes soient adoptées sous forme de loi avant l’élection fédérale de l’automne prochain.

Bien qu’elle ne soit pas encore en vigueur, la Charte et les modifications proposées à la LPRPDE nous suggèrent qu’un régime de conformité aux lois sur la protection de la vie privée plus rigoureux est à prévoir. Il est recommandé aux organisations de prendre dès maintenant des mesures pour évaluer la façon dont elles traitent les renseignements personnels ainsi que la maturité de leur programme de conformité en matière de protection de la vie privée et des données.

Le gouvernement fédéral a indiqué qu’il donnerait prochainement d’autres informations concernant la Charte et les modifications proposées à la LPRPDE.

par Lyndsay Wasser et Kristen Pennington

mise en garde

Le contenu du présent document ne fournit qu'un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt consulter ses propres conseillers juridiques.

© McMillan S.E.N.C.R.L., s.r.l. 2019