Mémoire du Commissariat à la protection de la vie privée du Canada sur le projet de loi C-27, la Loi de 2022 sur la mise en œuvre de la Charte du numérique

April 2023

---

PAR COURRIEL

Le 26 avril 2023

M. Joël Lightbound
Président
Comité permanent de l’industrie et de la technologie
Chambre des communes

Monsieur le Président,

Comme vous le savez, à la suite de sa deuxième lecture, le projet de loi C-27, Loi de 2022 sur la mise en oeuvre de la Charte du numérique, a été renvoyé au Comité permanent de l’industrie et de la technologie (le Comité) pour une étude plus approfondie.

En tant que Commissaire à la protection de la vie privée du Canada, j’ai le plaisir de présenter le mémoire ci-joint sur le projet de loi C-27 et j’espère que ces documents aideront le Comité et ses membres dans leur étude de cet important projet de loi qui moderniserait la loi sur la protection de la vie privée dans le secteur privé. Je compte donner mon avis au Comité lorsque je serai appelé à venir témoigner dans le cadre de cette étude, et reste disponible à rencontrer le Comité et ses membres à votre convenance.

Veuillez noter que je remettrai également une copie au ministre de l’Innovation, des Sciences et de l'Industrie, l’honorable François-Philippe Champagne, pour son information et sa sensibilisation.

Ce sera pour moi un plaisir d’appuyer le travail de votre comité dans l’atteinte d’une réforme de la loi en matière de protection de la vie privée qui bénéficierait au Canada et à l’ensemble de toutes les Canadiennes et de tous les Canadiens.

Je vous prie d’agréer, Monsieur le président, l’assurance de ma considération distinguée.

Le Commissaire,

(Document original signé par)

Philippe Dufresne

c. c. : M. Michael MacPherson
Greffier du comité

p.j. : Mémoire du Commissariat à la protection de la vie privée du Canada sur le projet de loi C‑27, Loi de 2022 sur la mise en oeuvre de la Charte du numérique

---

I. Les 15 principales recommandations du Commissariat sur le projet de loi C-27

Recommandation n^o 1 : Reconnaître la protection de la vie privée comme un droit fondamental.

Recommandation n^o 2 : Protéger la vie privée des enfants et l’intérêt supérieur de l’enfant.

Recommandation n^o 3 : Limiter la collecte, l’utilisation et la communication de renseignements personnels par les organisations à des fins explicites et indiquées qui tiennent compte du contexte en question.

Recommandation n^o 4 : Élargir la liste des contraventions pouvant faire l’objet de sanctions pécuniaires pour y inclure, au minimum, les contraventions aux fins acceptables.

Recommandation n^o 5 : Prévoir un droit de procéder à l’élimination des renseignements personnels même si une politique de conservation est en vigueur.

Recommandation n^o 6 : Établir une culture de protection de la vie privée en exigeant des organisations qu’elles intègrent la protection de la vie privée dès la conception des produits et services et qu’elles mènent des évaluations des facteurs relatifs à la vie privée pour les initiatives à risque élevé.

Recommandation n^o 7 : Renforcer le cadre applicable aux renseignements dépersonnalisés et anonymisés.

Recommandation n^o 8 : Obliger les organisations à expliquer, sur demande, toutes les prédictions faites, les recommandations formulées, les décisions prises et le profilage effectué à l’aide de systèmes décisionnels automatisés.

Recommandation n^o 9 : Limiter la capacité du gouvernement à déroger à la loi par voie de règlement.

Recommandation n^o 10 : Prévoir que les exceptions à la communication de renseignements personnels sans consentement à des fins de recherche ne s’appliquent qu’aux recherches érudites.

Recommandation n^o 11 : Permettre aux individus d’avoir recours à des représentants autorisés pour les aider à faire valoir leur droit à la vie privée.

Recommandation n^o 12 : Offrir une plus grande souplesse pour l’utilisation des accords de conformité volontaires en vue de régler les affaires sans avoir recours à des processus litigieux.

Recommandation n^o 13 : Améliorer la rapidité et réduire les coûts de traitement des plaintes en simplifiant le processus de révision des décisions du commissaire.

Recommandation n^o 14 : Modifier les délais pour faire en sorte que le régime de protection de la vie privée soit accessible et efficace.

Recommandation n^o 15 : Renforcer la capacité du commissaire à collaborer avec des organisations nationales afin d’améliorer la coordination et l’efficacité lors du traitement des affaires soulevant des enjeux de vie privée.

II. Introduction

Le Commissariat à la protection de la vie privée du Canada est heureux de présenter un mémoire au Parlement sur le projet de loi C-27, la Loi de 2022 sur la mise en œuvre de la Charte du numérique.

Le projet de loi C-27, déposé le 16 juin 2022, abrogerait la partie 1 de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et édicterait la Loi sur la protection de la vie privée des consommateurs (LPVPC), la Loi sur le Tribunal de la protection des renseignements personnels et des données (LTPRPD) ainsi que la Loi sur l’intelligence artificielle et les données (LIAD). Le projet de loi fait suite à l’ancien projet de loi C-11, la Loi de 2020 sur la mise en œuvre de la Charte du numérique, qui proposait également des modifications à la LPRPDE. Le projet de loi C-11 est mort au feuilleton lorsque le Parlement a été dissous le 15 août 2021 en vue des élections fédérales de 2021.

Le Commissariat accueille favorablement le dépôt du projet de loi C-27. Par ce dépôt, le gouvernement reconnaît que les Canadiennes et les Canadiens doivent pouvoir compter sur des lois modernisées sur la protection des renseignements personnels, qui soutiennent l’innovation et leur permettent de profiter des nombreux avantages de la technologie, tout en ayant l’assurance que leurs renseignements personnels seront protégés. Les Canadiennes et les Canadiens ne devraient pas avoir à choisir entre leur participation à l’économie numérique et leurs droits fondamentaux.

Le projet de loi C-27 est un pas important dans cette direction. Il offre aux individus une meilleure protection de leur vie privée et incite les organisations à se conformer aux lois, tout en leur accordant une plus grande souplesse pour innover. Il s’agit, à plusieurs égards, d’une amélioration par rapport à la LPRPDE et à l’ancien projet de loi C-11. Le projet de loi répond à plusieurs préoccupations et recommandations soulevées par le Commissariat et d’autres organismes. Parmi les changements positifs, mentionnons les suivants :

• L’ajout d’un préambule afin de donner des orientations sur les objectifs généraux de la loi;
• De nouvelles dispositions pour mieux protéger la vie privée des mineurs;
• L’élargissement des renseignements personnels dont les individus peuvent demander le retrait;
• Des modifications afin d’exiger que les renseignements pour obtenir le consentement valide soient présentés dans un langage facile à comprendre;
• Des modifications qui accordent un plus grand pouvoir discrétionnaire au commissaire, par exemple en ce qui concerne les plaintes et les enquêtes;
• Une exigence accrue pour veiller à ce que la manière dont les renseignements personnels sont recueillis, utilisés et communiqués soit acceptable.
• Une modification des mesures de responsabilité obligeant les organisations à tenir à jour des programmes de gestion de la protection des renseignements personnels;
• L’ajout d’une nouvelle exigence en matière de sécurité, soit l’authentification de l’identité;
• L’annulation des modifications problématiques apportées à la définition d’« activité commerciale » dans l’ancien projet de loi C-11;
• Une exigence d’expérience accrue dans le domaine de la protection des renseignements personnels pour les membres du Tribunal de la protection des renseignements personnels et des données qui est proposé;
• L’élargissement de la liste des contraventions auxquelles des sanctions administratives pécuniaires peuvent s’appliquer;
• Des mesures pour réglementer l’intelligence artificielle (IA) grâce à l’adoption de la LIAD.

Grâce à ces modifications, nous croyons que le projet de loi C-27 est un pas dans la bonne direction. Encourager l’innovation tout en protégeant la vie privée des individus améliorera la protection de leurs renseignements personnels et le contrôle qu’ils exercent sur ceux-ci, et renforcera leur confiance envers l’économie numérique et leur capacité à saisir les avantages d’une telle économie.

Toutefois, malgré les aspects positifs du projet de loi, le Commissariat estime qu’il peut et doit être amélioré davantage. Nous estimons qu’un certain nombre de modifications importantes sont nécessaires pour assurer une meilleure protection du droit à la vie privée des Canadiennes et des Canadiens dans l’environnement numérique, pour favoriser l’innovation et pour éviter qu’une trop grande quantité d’éléments doivent être déterminés par règlement.

Le commissaire à la protection de la vie privée du Canada, Philippe Dufresne, a fait part de son intention de promouvoir et de mettre en œuvre une vision de la protection de la vie privée qui fait valoir ce qui suit :

• 1. La protection de la vie privée est un droit fondamental;
• 2. La protection de la vie privée est un moyen pour favoriser l’intérêt public et appuyer l’innovation et la compétitivité du Canada;
• 3. La protection de la vie privée est un moyen pour accentuer la confiance des Canadiennes et des Canadiens envers leurs institutions et la contribution de ceux-ci au monde numérique.

Le Commissariat a examiné et évalué le projet de loi C-27 sous cet angle. En outre, nous avons recueilli des observations de groupes de la société civile et de représentants du secteur privé qui nous ont permis d’étayer nos recommandations visant à améliorer le projet de loi.

La réforme des lois sur la protection des renseignements personnels est nécessaire depuis longtemps et doit se concrétiser. Dans cette optique, le Commissariat formule 15 recommandations qui sont requises pour mieux protéger la vie privée des Canadiennes et des Canadiens tout en favorisant l’économie numérique.

Si on répond aux principales préoccupations soulevées dans le présent mémoire, c’est avec confiance et optimisme que le Commissariat envisage l’avenir : il en ressortira un cadre législatif plus solide qui fera progresser le droit fondamental à la vie privée des individus, permettra à la population canadienne de participer pleinement à l’économie numérique, favorisera l’innovation et contribuera à faire du Canada un leader dans ce domaine important et en constante évolution.

Dans la mesure où le Parlement souhaite envisager d’autres façons d’améliorer le projet de loi, il peut consulter les suggestions proposées par le Commissariat en réponse à l’ancien projet de loi C-11, lesquelles demeurent pertinentes dans le cadre du projet de loi C-27. Ces suggestions sont énumérées à l’annexe A du présent mémoire.

III. La protection de la vie privée est un droit fondamental

Le droit à la vie privée est un droit fondamental en soi, mais il est aussi un droit essentiel à l’exercice d’autres droits. Dans le présent mémoire, le Commissariat formule des recommandations et propose des modifications dans les cinq domaines suivants en lien avec ce thème général :

• La protection de la vie privée est un droit fondamental;
• La protection de la vie privée des enfants et les droits de l’enfant;
• Les fins acceptables;
• Les sanctions administratives pécuniaires;
• Le retrait des renseignements personnels.

La protection de la vie privée est un droit fondamental

Recommandation n^o 1 : Reconnaître la protection de la vie privée comme un droit fondamental.

Il ne fait aucun doute que l’ajout d’un préambule dans le projet de loi C-27 est un changement positif qui offrira aux tribunaux les orientations nécessaires sur les objectifs et le fondement constitutionnel de la loi. Cela dit, le préambule ne va pas suffisamment loin pour reconnaître le droit fondamental à la vie privée et pourrait poser des difficultés aux tribunaux au moment d’évaluer les intérêts économiques et le respect de la vie privée. Des intervenants de la société civile abondent dans le même sens et sont d’avis que le projet de loi C-27 devrait reconnaître davantage la protection de la vie privée comme un droit fondamental.

Dans la nouvelle version anglaise du préambule, il est reconnu que la protection des « privacy interests » des individus est essentielle à leur autonomie et à leur dignité et à la pleine jouissance des droits et libertés fondamentaux au Canada. En revanche, on utilise l’expression « droit à la vie privée des individus » dans la version française du préambule pour rendre « privacy interests of individuals ». La terminologie employée dans le préambule doit mettre l’accent sur le fait qu’il s’agit de « droits » plutôt que d’« intérêts », et ce, dans les deux langues officielles.

Il est nécessaire de mieux reconnaître l’importance du droit fondamental à la vie privée dans la loi afin de renforcer la confiance des consommateurs à l’égard de l’économie numérique et d’encourager les organisations à utiliser les renseignements personnels d’une manière responsable, qui appuie l’innovation et la croissance économique. Le Commissariat croit que la loi peut permettre à la fois de réaliser des objectifs commerciaux et de protéger la vie privée en vue de favoriser une innovation responsable. Toutefois, dans les rares cas où les deux éléments entreront inévitablement en conflit, le droit à la vie privée devrait prévaloir.

La version anglaise de l’énoncé d’objet porte déjà sur la notion de « right of privacy »; dans la version française, on emploie l’expression « droit à la vie privée ». Faire explicitement référence au « fundamental right to privacy of individuals » dans la version anglaise du préambule du projet de loi C-27 et de l’énoncé d’objet de la LPVPC permettrait de mieux reconnaître l’importance de ce droit. Il en serait de même si l’on ajoutait le qualificatif « fondamental » à l’expression « droit à la vie privée » dans la version française du préambule du projet de loi C-27 et de l’énoncé d’objet de la LPVPC.

Selon le Commissariat, cette modification n’aurait aucune incidence sur la validité constitutionnelle de la Loi et assurerait une plus grande cohérence entre ces deux parties. Considérer le droit à la vie privée comme un droit fondamental serait également conforme aux instruments internationaux en matière de droits de la personne, lesquels reconnaissent le droit à la vie privée, ainsi qu’à la jurisprudence de la Cour suprême du Canada^{Note de bas de page 1}. Cette dernière a confirmé à maintes reprises qu’une loi visant à protéger les renseignements personnels devrait être qualifiée de « quasi constitutionnelle » en raison du rôle fondamental que joue le respect de la vie privée dans le maintien d’une société libre et démocratique^{Note de bas de page 2}.

Nous tenons à signaler que cette modification a été recommandée par le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (ETHI) dans son rapport de novembre 2022 sur les outils d’enquête sur appareil utilisés par la Gendarmerie royale du Canada^{Note de bas de page 3}.

Le Commissariat fait observer que, dans sa forme actuelle, le préambule figure uniquement dans le texte d’introduction du projet de loi C-27, et non au début de la LPVPC, de la LTPRPD ou de la LIAD. Autrement dit, il semble que, dès lors qu’elles seront édictées, ces lois n’auront pas de préambule. Le Commissariat appuie l’ajout du préambule dans le projet de loi C-27, mais celui-ci devrait être intégré aux parties 1 à 3 inclusivement de la Loi de 2022 sur la mise en œuvre de la Charte du numérique, pour veiller à ne pas en faire abstraction à l’avenir.

Modifications proposées

La protection de la vie privée des enfants et les droits de l’enfant

Recommandation n^o 2 : Protéger la vie privée des enfants et l’intérêt supérieur de l’enfant.

Le préambule devrait également refléter l’importance de protéger les enfants et les mineurs. Des États partout dans le monde ont reconnu que les enfants et les mineurs peuvent être affectés par les technologies différemment des adultes, qu’ils sont plus à risque d’être touchés par des enjeux de vie privée et qu’ils doivent donc bénéficier de mesures de protection spéciales. L’une des améliorations de la LPVPC par rapport à l’ancien projet de loi C-11 concerne les nouvelles mesures qui touchent précisément les mineurs. Cet élément essentiel devrait aussi figurer dans le préambule.

Le Commissariat appuie ces nouvelles mesures, y compris la précision dans la LPVPC selon laquelle les renseignements des mineurs sont de nature sensible, puisqu’elles concordent avec la position qu’il a prise dans le passé à cet égard et avec les attentes exprimées dans ses orientations. Toutefois, du point de vue du Commissariat, ces mesures n’offrent pas de protection suffisante, car elles n’interdiraient pas nécessairement aux organisations d’utiliser les renseignements personnels à mauvais escient, pour inciter les enfants à désactiver les contrôles de confidentialité ou à des fins de publicité comportementale ou ciblée, par exemple.

En l’absence d’interdictions précises ou de « zones interdites » en ce qui concerne les données des mineurs, le Commissariat recommande qu’il soit reconnu dans le préambule que le traitement des données personnelles doit protéger la vie privée des enfants et l’intérêt supérieur de l’enfant.

Mettre le préambule à jour d’une telle manière encouragerait les organisations à intégrer la protection des renseignements personnels des enfants dans leurs produits et services, et ce, dès la conception. Puisque les lois canadiennes régissant la protection des renseignements personnels ont été conçues pour être neutres sur le plan technologique, le nouveau préambule veillerait à ce que l’intérêt supérieur de l’enfant soit considéré dans la conception de technologies nouvelles ou émergentes et dans le contexte d’utilisations futures des données. Le préambule servirait également d’outil d’interprétation dans les cas où un enfant demanderait le retrait de ses renseignements personnels en ligne et lorsque des technologies nouvelles ou émergentes sont envisagées, comme des techniques d’incitation sophistiquées, qui encouragent les enfants à prendre part à des activités préjudiciables (par exemple leur demander de fournir davantage de données ou de désactiver les mesures de contrôle de la confidentialité), ou pour la publicité comportementale ou ciblée. Comme le mentionne l’UNICEF dans ses Orientations stratégiques sur l’IA destinée aux enfants^{Note de bas de page 4}, les enfants sont biologiquement et psychologiquement différents des adultes et sont donc affectés davantage par ce type de technologies. Protéger les enfants dans le monde numérique, c’est leur donner le droit d’être des enfants dans ce monde grâce à des mesures de protection adéquates pour assurer leur sécurité et préserver leur réputation.

Comme le préambule s’appliquerait à toutes les lois comprises dans le projet de loi C-27, y compris la LPVPC et la LIAD, ajouter le libellé proposé à la disposition qui énonce l’intention de la loi garantirait que l’intérêt supérieur des enfants et des mineurs est la priorité et que celui-ci est pris en compte de façon systématique dans toutes les lois connexes. La loi devrait reconnaître les droits de l’enfant et le droit d’être un enfant. Cela signifie qu’il faut interpréter les dispositions relatives à la protection des renseignements personnels prévues par la loi d’une manière qui est cohérente avec l’intérêt supérieur de l’enfant.

Modifications proposées

Les fins acceptables

Recommandation n^o 3 : Limiter la collecte, l’utilisation et la communication de renseignements personnels par les organisations à des fins explicites et indiquées qui tiennent compte du contexte en question.

L’article 12 de la LPVPC établit un cadre normatif qui permet aux organisations d’établir ce qui est, et ce qui n’est pas, une collecte, une utilisation ou une communication raisonnable de renseignements personnels.

L’article 12 énonce les éléments dont il faut tenir compte pour établir le caractère acceptable des fins. Le problème avec cette approche est que l’évaluation du caractère acceptable peut varier selon le contexte. La LPRPDE ne prévoit aucune liste d’éléments dont il faut tenir compte. En fait, les éléments ont évolué au fil du temps et de l’expérience et en fonction de la jurisprudence. Le commissaire tient souvent compte de certains éléments, mais pas nécessairement de tous, et il peut y avoir des situations où il y a d’autres éléments à considérer. Il est utile de prévoir une liste d’éléments, mais celle-ci ne devrait pas être exhaustive, car d’autres éléments contextuels pourraient être pris en compte. Le texte législatif devrait permettre cette souplesse en autorisant le commissaire et les tribunaux à prendre en compte tout autre facteur pertinent. De nombreux tribunaux au Canada et un certain nombre de provinces ayant des lois essentiellement similaires ont recours à cette approche qui offre une plus grande souplesse; l’enchâsser dans la LPVPC permettrait également au Commissariat de collaborer plus facilement avec les autres organismes de réglementation.

La LPVPC, comme la LPRPDE, définit également les limites entourant la façon dont les organisations peuvent recueillir, utiliser ou communiquer des renseignements personnels. Toutefois, sous le régime de la LPRPDE, les fins visées par les organisations lorsqu’elles traitent des renseignements personnels doivent être « explicitement indiquées ». Cette exigence importante, que les fins visées soient explicites et indiquées, ne figure pas à l’article 13 de la LPVPC. Sans cette exigence, les organisations sont libres d’indiquer des fins trop générales et ambiguës, comme « améliorer l’expérience du consommateur ».

Modifications proposées

Les sanctions administratives pécuniaires

Recommandation n^o 4 : Élargir la liste des contraventions pouvant faire l’objet de sanctions pécuniaires pour y inclure, au minimum, les contraventions aux fins acceptables.

Les sanctions administratives pécuniaires (SAP) sont un outil concret et efficace afin d’encourager la conformité et d’intervenir en cas de contraventions à la loi lorsque les circonstances le justifient. À l’heure actuelle, la LPRPDE ne prévoit aucune SAP, ce qui n’incite pas les organisations à se conformer aux lois fédérales sur la protection des renseignements personnels. Le projet de loi C-27 permettrait au commissaire de recommander au Tribunal de la protection des renseignements personnels et des données d’imposer une SAP lorsque cela est justifié, ce qui renforce les outils qui peuvent être utilisés pour favoriser le respect de la loi.

Le paragraphe 94(1) de la LPVPC élargit considérablement la liste des contraventions qui peuvent faire l’objet d’une SAP par rapport à celle qui était proposée dans l’ancien projet de loi C-11. Il s’agit d’un changement positif. Toutefois, cette liste n’est pas exhaustive, ce qui veut dire que les contraventions à plusieurs dispositions de la LPVPC ne feraient toujours pas l’objet d’une SAP, y compris les dispositions relatives aux fins acceptables, qui sont pourtant la pierre angulaire de la loi.

Les dispositions relatives aux fins acceptables obligent les organisations à recueillir, à utiliser et à communiquer des renseignements personnels uniquement à des fins et d’une manière qu’une personne raisonnable estimerait acceptables dans les circonstances, qu’il y ait consentement ou non. Pour établir le caractère acceptable, il faut tenir compte de divers éléments, comme la mesure dans laquelle les renseignements personnels sont de nature sensible et la proportionnalité entre l’atteinte à la vie privée de l’individu et les avantages pour l’organisation.

La contravention à ces dispositions essentielles ne devrait pas être exclue de celles qui peuvent faire l’objet de SAP. Selon le libellé actuel de la LPVPC, si une organisation traite des renseignements personnels à des fins qui ne sont ni acceptables ni raisonnables, cette grave contravention ne serait pas assujettie aux mêmes conséquences que les autres types de contraventions.

Modifications proposées

Le retrait des renseignements personnels

Recommandation n^o 5 : Prévoir un droit de procéder à l’élimination des renseignements personnels même si une politique de conservation est en vigueur.

La LPVPC exige que les organisations procèdent au retrait des renseignements personnels d’un individu, à sa demande écrite, à certaines conditions. Elle énumère également des cas où une organisation peut refuser d’accéder à ce type de demande.

Par exemple, l’alinéa 55(2)f) permettrait à une organisation de refuser de procéder au retrait des renseignements personnels d’un individu si le retrait est déjà prévu conformément à ses politiques de conservation et si elle informe l’individu de la période de conservation restante applicable aux renseignements en question. Ainsi, une organisation dotée d’une politique prévoyant une longue période de conservation pourrait simplement rejeter la demande de retrait d’un individu en l’informant de la période de conservation restante applicable à ces données. Cela pourrait poser problème, puisque l’organisation pourrait être victime d’une atteinte à la sécurité des données.

Les enquêtes du Commissariat ont révélé que certaines organisations sont dotées de politiques prévoyant des périodes de conservation trop longues ou ont des approches trop informelles en ce qui a trait au retrait de renseignements personnels à la fin de leur cycle de vie. Par exemple, une organisation qui a été victime d’une atteinte à la sécurité des données détenait des millions de documents dans des comptes inactifs et disposait de directives de conservation ambiguës^{Note de bas de page 5}.

Permettre aux organisations de refuser de procéder au retrait priverait les individus du retrait en temps opportun de leurs renseignements personnels, minerait leur droit au retrait de leurs renseignements personnels et diminuerait généralement le contrôle qu’ils exercent sur ceux-ci.

Modifications proposées

IV. La protection de la vie privée est un moyen pour favoriser l’intérêt public et appuyer l’innovation et la compétitivité du Canada

La protection de la vie privée n’est pas un frein à l’innovation; la protection de la vie privée et l’innovation sont complémentaires, puisqu’elles se renforcent mutuellement. Les Canadiennes et les Canadiens ne devraient pas avoir à choisir entre protéger leurs renseignements personnels et participer à l’économie numérique. Tenir compte des répercussions sur la vie privée dès le départ permet la collecte de renseignements d’une manière qui protège la vie privée, d’une part, et encourage l’innovation responsable, d’autre part. Le Commissariat fait des recommandations et propose des modifications dans les cinq domaines suivants en lien avec ce thème général :

• La protection de la vie privée dès la conception et les évaluations des facteurs relatifs à la vie privée;
• La dépersonnalisation et l’anonymisation;
• La prise de décisions automatisée;
• Les activités d’affaires;
• Les exceptions au consentement à des fins de recherche.

La protection de la vie privée dès la conception et les évaluations des facteurs relatifs à la vie privée

Recommandation n^o 6 : Établir une culture de protection de la vie privée en exigeant des organisations qu’elles intègrent la protection de la vie privée dès la conception des produits et services et qu’elles mènent des évaluations des facteurs relatifs à la vie privée pour les initiatives à risque élevé.

En mettant en œuvre des mesures de protection de la vie privée dès la conception et en menant des évaluations des facteurs relatifs à la vie privée (EFVP), les organisations pourront démontrer qu’elles sont responsables des renseignements personnels qui relèvent d’elles, qu’elles respectent la loi et qu’elles limitent le risque d’atteinte à la sécurité des données.

La protection de la vie privée dès la conception fait référence à l’intégration proactive de mesures de protection de la vie privée dès la conception d’un produit, d’un service ou d’une initiative, à partir des premières phases de développement. Dans un rapport de 2018 et récemment dans son rapport de mai 2022 sur la collecte et l’utilisation de données sur la mobilité, le Comité ETHI a recommandé que la protection de la vie privée dès la conception soit insérée en tant que principe central dans les lois fédérales en matière de protection des renseignements personnels^{Note de bas de page 6}. Le Commissariat souscrit aux recommandations du Comité ETHI et estime que les dispositions de la LPVPC en matière de responsabilité devraient expressément exiger que les organisations appliquent des mesures de protection de la vie privée dès la conception.

Une EFVP est un processus de gestion des risques qui doit être entrepris au début d’une initiative, nouvelle ou modifiée, qui traite des renseignements personnels. Elle peut aider les organisations à se conformer de manière proactive aux lois sur la protection des renseignements personnels, à mesurer les répercussions sur les renseignements personnels et à atténuer les risques d’atteinte à la vie privée. Les dispositions de la LPVPC en matière de responsabilité devraient expressément exiger que les organisations préparent une EFVP lorsqu’elles mènent des activités à risque élevé, comme celles mettant en cause des renseignements de nature sensible ou des systèmes d’IA à incidence élevée.

Selon le Commissariat, exiger la préparation d’EFVP pour l’ensemble des activités pourrait imposer un fardeau trop lourd aux organisations, particulièrement aux petites et moyennes entreprises. Toutefois, en exigeant la préparation d’une EFVP pour les activités à risque élevé, on s’assure que les risques d’atteinte à la vie privée sont évalués et atténués dans les cas appropriés. Il pourrait s’agir, par exemple, d’un système d’IA qui rend des décisions ayant des répercussions sur les individus, à savoir s’ils recevront une offre d’emploi, s’ils remplissent les conditions requises pour obtenir un prêt, s’ils doivent payer une prime d’assurance plus élevée ou s’ils sont soupçonnés de comportement suspect ou illégal. De plus, le contenu d’une EFVP devrait être prescrit par règlement ou précisé dans des orientations du Commissariat.

Bien que la LIAD exige que les responsables des systèmes d’IA évaluent et atténuent les risques de préjudice des systèmes d’IA à incidence élevée, la définition de préjudice est limitée et ferait en sorte que la protection de la vie privée ne serait pas prise en compte dans le cadre du processus d’évaluation des risques. Exiger dans la LPVPC la réalisation d’une EFVP pour les activités à risque élevé réglerait ce problème.

Modifications proposées

La dépersonnalisation et l’anonymisation

Recommandation n^o 7 : Renforcer le cadre applicable aux renseignements dépersonnalisés et anonymisés.

Le Commissariat appuie l’introduction d’un nouveau cadre de dépersonnalisation et d’anonymisation dans le projet de loi C-27. Ce cadre a des éléments positifs. Par exemple, il offre une certaine souplesse aux organisations qui utilisent des renseignements dépersonnalisés et apporte des précisions nécessaires sur la manière et les circonstances selon lesquelles les renseignements dépersonnalisés peuvent être utilisés et communiqués. Cela dit, dans sa forme actuelle, il n’offre pas suffisamment de protection aux données dépersonnalisées et anonymisées.

Le projet de loi C-27 n’oblige pas expressément les organisations à appliquer des mesures de dépersonnalisation qui sont proportionnelles au risque que les renseignements soient repersonnalisés. Compte tenu de la définition large de ce qui peut être considéré comme des renseignements dépersonnalisés au paragraphe 2(1), les organisations pourraient, dans certaines circonstances, utiliser et communiquer une grande quantité de renseignements personnels, qui pourraient être repersonnalisés assez facilement, à l’insu ou sans le consentement de l’individu concerné. De plus, suivant le paragraphe 2(3), les individus pourraient ne plus être en mesure d’exercer certains droits à l’égard de renseignements dépersonnalisés, y compris le droit de faire corriger des inexactitudes et de faire retirer leurs renseignements sur demande. Au vu de ces restrictions sur le contrôle qu’exercent les individus sur leurs renseignements personnels, il est important que les organisations réduisent les répercussions que pourraient avoir leurs activités, notamment le risque que les renseignements soient repersonnalisés. Les organisations devraient être expressément tenues de prendre en compte le risque de repersonnalisation lorsqu’elles appliquent des mesures de dépersonnalisation.

De même, le paragraphe 2(3) semble prévoir que les renseignements dépersonnalisés doivent être traités comme des renseignements personnels, sauf dans certaines situations. Bien que nous comprenions et acceptions que certaines exigences en matière de protection de la vie privée puissent ne pas s’appliquer aux renseignements dépersonnalisés, ces renseignements demeurent des renseignements personnels et devraient toujours être considérés comme tels. Pour éviter toute ambiguïté, nous recommandons que ce paragraphe soit modifié pour préciser que tous les renseignements personnels dépersonnalisés demeurent des renseignements personnels.

Il semble y avoir une divergence entre les versions française et anglaise de la définition du verbe « dépersonnaliser » à l’article 2 de la LPVPC. Dans la version anglaise, il est clairement indiqué que dépersonnaliser signifie modifier de façon à ce que personne ne puisse identifier directement un individu à partir de renseignements dépersonnalisés, mais qu’il existe néanmoins un risque de repersonnalisation. Dans la version française, le libellé semble mettre l’accent sur la réduction du risque de repersonnalisation au lieu d’indiquer clairement que l’individu ne devrait pas pouvoir être directement identifié malgré qu’un tel risque ne puisse être complètement éliminé. Pour éviter des divergences d’interprétation, la version française de cette définition devrait être modifiée pour refléter le sens plus rigoureux de la version anglaise.

Il convient de soulever un dernier point en ce qui concerne la nouvelle définition de renseignements anonymisés proposée. Selon le libellé actuel, les organisations peuvent anonymiser des renseignements personnels conformément aux « meilleures pratiques généralement reconnues ». Or, la LPVPC ne donne aucune explication sur la nature de ces pratiques ni sur ce qui serait considéré comme des pratiques « généralement reconnues ». Ce libellé fait en sorte que certaines organisations pourraient se servir de techniques d’anonymisation promues par certains experts ou groupes, mais qui sont insuffisantes pour un ensemble de données en particulier.

Étant donné que les renseignements anonymisés seraient exclus du champ d’application de la LPVPC – et pourraient par conséquent ne pas être protégés du tout –, il est important de s’assurer que le critère applicable à l’anonymisation des renseignements personnels est rigoureux et ne laisse aucune place aux pratiques insuffisantes. Bien qu’un tel critère puisse causer des difficultés pour les entreprises qui souhaitent anonymiser des renseignements personnels, la LPVPC prévoit plusieurs mécanismes qui permettent au Commissariat d’aider les organisations à respecter leurs obligations, notamment en fournissant des orientations sur les programmes de gestion de la protection des renseignements personnels, en élaborant des documents d’orientation, ainsi qu’en examinant et en approuvant des codes de pratique.

Modifications proposées

La prise de décisions automatisée

Recommandation n^o 8 : Obliger les organisations à expliquer, sur demande, toutes les prédictions faites, les recommandations formulées, les décisions prises et le profilage effectué à l’aide de systèmes décisionnels automatisés.

La LPVPC impose deux nouvelles obligations aux organisations qui utilisent des systèmes décisionnels automatisés. Bien que le Commissariat soit, dans l’ensemble, en faveur de ces nouvelles obligations, la portée de ces dernières, selon leur libellé actuel, est trop limitée dans certains domaines où il devrait y avoir une transparence accrue.

Premièrement, la LPVPC oblige les organisations à fournir une explication générale de l’usage qu’elle fait des systèmes décisionnels automatisés pour faire des prédictions, formuler des recommandations ou prendre des décisions qui pourraient avoir une « incidence importante » sur les individus concernés. Elle contraint également les organisations à expliquer aux individus qui en font la demande les prédictions, les recommandations ou les décisions qui pourraient avoir une « incidence importante » sur ceux-ci.

Le fait de limiter l’obligation de fournir une explication générale aux activités ayant une « incidence importante » permettrait probablement d’établir un équilibre raisonnable entre la transparence et les efforts déployés par les organisations pour se conformer à la loi. Cependant, pareil ajout à l’obligation de fournir une explication pose problème par rapport à l’ancien projet de loi C-11, car il réduit la portée de l’obligation et risque d’exclure les décisions prises dans des domaines comme la publicité en ligne, les fils de nouvelles personnalisés et les environnements numériques. Par conséquent, le fait de limiter cette obligation aux décisions qui pourraient avoir une incidence importante ne permettrait pas d’assurer la transparence des algorithmes.

Il manque également un élément clé dans la LPVPC en ce qui concerne les systèmes décisionnels automatisés. Contrairement au Règlement général sur la protection des données (RGPD) de l’Union européenne et à d’autres lois modernes sur la protection des renseignements personnels en Californie et au Québec, les obligations ne s’appliquent pas explicitement au profilage. Les obligations, selon leur libellé actuel, ne s’appliqueraient qu’aux systèmes décisionnels automatisés qui prennent des décisions, formulent des recommandations ou font des prédictions.

Bien que le profilage puisse être implicitement inclus dans les recommandations ou les prédictions, ne pas le mentionner explicitement dans la LPVPC risque d’ajouter une ambiguïté inutile qui pourrait donner lieu à une lacune importante. En raison de cette omission, l’obligation de transparence pourrait ne pas s’appliquer à des activités souvent opaques comme le courtage de données – vendre ou rendre accessibles d’une autre manière des ensembles de données sur des individus à l’insu de ceux-ci –, alors que ce serait particulièrement nécessaire. On ne sait pas non plus si les obligations s’appliqueraient aux environnements numériques personnalisés, ce qui est une considération importante compte tenu des développements dans le métavers et d’autres technologies immersives.

Modifications proposées

Les activités d’affaires

Recommandation n^o 9 : Limiter la capacité du gouvernement à déroger à la loi par voie de règlement.

La LPVPC autorise la collecte et l’utilisation de renseignements personnels d’un individu à son insu ou sans son consentement pour des activités d’affaires définies, si une personne raisonnable s’attendrait à la collecte ou à l’utilisation en vue de ces activités et si les renseignements personnels ne sont pas recueillis ou utilisés en vue d’influencer le comportement ou les décisions de l’individu. On y trouve également une disposition permettant au gouverneur en conseil d’ajouter, par voie de règlement, toute autre activité à la liste des activités d’affaires.

Les activités d’affaires actuellement énumérées au paragraphe 18(2) de la LPVPC doivent toutes être « nécessaires » à la réalisation d’un objectif donné, ce qui permettra de faire en sorte que l’exception à l’obligation d’obtenir le consentement soit suffisamment restreinte. Or, il manque dans la LPVPC une obligation qui exigerait que toutes les autres activités d’affaires réglementées soient nécessaires à la réalisation d’un objectif précis. L’absence de pareille obligation pourrait donner lieu à l’ajout, par voie réglementaire, d’activités trop larges (par exemple pour « améliorer nos services ») qui n’auraient pas à respecter l’exigence de nécessité.

Selon le libellé actuel du paragraphe 122(1) de la LPVPC, le gouverneur en conseil peut, par règlement, préciser les activités qui sont complètement exclues de l’application de la LPVPC.

Cette situation est très préoccupante, car même lorsqu’une collecte ou une utilisation est exemptée de certaines obligations relatives au consentement, l’organisation devrait demeurer assujettie aux autres exigences de la LPVPC, de sorte que les renseignements personnels demeurent protégés et que le Commissariat conserve son pouvoir de surveillance.

Modifications proposées

Les exceptions au consentement à des fins de recherche

Recommandation n^o 10 : Prévoir que les exceptions à la communication de renseignements personnels sans consentement à des fins de recherche ne s’appliquent qu’aux recherches érudites.

Pour encourager l’innovation responsable, il faut donner aux organisations une certaine souplesse pour utiliser et communiquer, tant à l’interne qu’à l’externe, les renseignements personnels d’un individu sans son consentement. La LPVPC comprend de telles dispositions, mais les paramètres entourant la protection des renseignements personnels ne sont pas toujours assez stricts pour permettre d’établir un juste équilibre.

En ce qui concerne la recherche, l’analyse et le développement internes, l’article 21 de la LPVPC permet aux organisations d’utiliser les renseignements personnels d’un individu à ces fins, à son insu ou sans son consentement, à condition que les renseignements soient dépersonnalisés avant leur utilisation.

De plus, suivant l’article 35 de la LPVPC, la communication de renseignements personnels à l’extérieur d’une organisation à l’insu ou sans le consentement d’un individu est autorisée, dans certaines circonstances, lorsque la communication est faite à des fins de statistique, d’étude ou de recherche.

L’ancien projet de loi C-11 utilisait auparavant l’expression « d’étude ou de recherche érudites » pour cette exception à l’obligation d’obtenir le consentement, ce qui était conforme à la LPRPDE. Le mot « érudites » a depuis été retiré du projet de loi C-27.

Le Commissariat croit que le retrait du qualificatif « érudites » élargit la portée de l’exception à l’obligation d’obtenir le consentement, qui se voulait restreinte, dans un contexte où il y a peu de mesures de protection. En l’absence de précisions supplémentaires quant au type d’étude ou de recherche qui pourrait être visé par cette exception, ou quant aux organisations qui peuvent recevoir des données personnelles aux termes de cette disposition, le mot « étude » pourrait être interprété de manière à englober un large éventail d’études ou de recherches commerciales, plutôt que le travail effectué par des organisations qui travaillent dans l’intérêt public et qui sont régies par des normes éthiques et des impératifs de protection, comme les universités.

Suivant son libellé actuel, cette disposition pourrait également permettre la communication de renseignements personnels à des institutions gouvernementales, contournant ainsi l’article 39 de la LPVPC, qui limite la communication de tels renseignements au gouvernement à celle faite « pour une fin socialement bénéfique » visée par règlement, plutôt qu’à des fins plus larges de « recherche » ou d’« étude ».

D’autres lois nationales comportent également des dispositions autorisant la communication à des fins de recherche. Par exemple, la Loi sur la protection des renseignements personnels dans le secteur privé (la LPRPSP) du Québec permet la communication à des fins de recherche sans le consentement de la personne concernée, mais prévoit aussi des mesures supplémentaires pour assurer la protection des renseignements personnels, en exigeant qu’une EFVP soit réalisée avant la communication ^{Note de bas de page 7}. L’EFVP doit permettre d’en arriver à un certain nombre de conclusions, notamment que des raisons d’intérêt public l’emportent sur les répercussions que la communication de l’étude ou de la recherche pourrait avoir sur la personne concernée, et que les renseignements personnels seront utilisés d’une manière qui en assure le caractère confidentiel. La LPVPC ne prévoit pas de telles mesures de protection.

La réintroduction du mot « érudites » à l’article 35 ferait en sorte que l’exception à l’obligation d’obtenir le consentement à des fins de recherche demeure judicieusement restreinte.

Modifications proposées

V. La protection de la vie privée est un moyen pour accentuer la confiance des Canadiennes et des Canadiens envers leurs institutions et la contribution de ceux-ci au monde numérique

Il est possible de renforcer la confiance du public et de favoriser une plus grande participation à l'économie numérique en protégeant la vie privée et en s'assurant que les individus peuvent exercer leurs droits. Des lois solides en matière la protection des renseignements personnels dans le secteur privé comprennent des mécanismes d’application efficaces qui contribuent à inspirer confiance dans une économie axée sur les données. Le Commissariat formule des recommandations et propose des modifications dans les cinq domaines suivants en lien avec ce thème général :

• Les représentants autorisés;
• Les accords de conformité;
• Le contrôle des décisions du commissaire;
• Les délais;
• La collaboration à l’échelle nationale.

Les représentants autorisés

Recommandation n^o 11 : Permettre aux individus d’avoir recours à des représentants autorisés pour les aider à faire valoir leur droit à la vie privée.

Comme l’ancien projet de loi C-11, le projet de loi C-27 permet à d’autres personnes d’exercer les droits et recours prévus sous le régime de la LPVPC; il indique explicitement à l’article 4 qui peut agir comme représentant autorisé et dans quelles circonstances. Toutefois, l’alinéa 4c) de l’ancien projet de loi C-11, qui aurait permis aux individus d’autoriser par écrit toute autre personne à être leur représentant, a été supprimé. Des intervenants du secteur privé nous ont dit que cette disposition suscitait des préoccupations quant aux risques d’abus ou de fraude. Cependant, puisque cette disposition a été supprimée, il n’est pas clair si les individus pourront toujours obtenir l’aide d’un tiers de leur choix.

Par exemple, on ne saurait dire maintenant si les individus ont toujours la possibilité de déposer des plaintes auprès du Commissariat par l’intermédiaire du représentant qu’ils ont choisi. À l’heure actuelle, la LPRPDE n’aborde cette question que de façon limitée. Par exemple, la loi ne précise pas actuellement si un individu peut déposer une plainte au nom d’un autre individu. Dans la pratique, le Commissariat a accepté des plaintes provenant du représentant personnel d’un individu, avec le consentement écrit de ce dernier.

Plusieurs raisons peuvent inciter un individu à choisir un représentant autorisé pour faire valoir son droit à la vie privée, notamment en raison d’un handicap, d’une barrière linguistique ou du temps dont il dispose. La réintroduction de la disposition figurant initialement dans l’ancien projet de loi C-11 apporterait des éclaircissements à cet égard et garantirait au bout du compte qu’aucun nouvel obstacle dans le projet de loi C-27 ne viendrait limiter la capacité d’un individu à exercer son droit à la vie privée au titre de la LPVPC.

Certains intervenants peuvent craindre que la réintroduction de cette disposition, telle qu’elle est libellée, n’augmente le risque de fraude ou d’autres comportements inappropriés de la part de personnes prétendant être des représentants autorisés. Par conséquent, si cela est jugé opportun, cette disposition pourrait être modifiée pour précisément affronter de tels risques.

Modifications proposées

Les accords de conformité

Recommandation n^o 12 : Offrir une plus grande souplesse pour l’utilisation des accords de conformité volontaires en vue de régler les affaires sans avoir recours à des processus litigieux.

Comme la LPRPDE, la LPVPC autorise le commissaire à conclure avec une organisation un accord de conformité dans certaines circonstances, dans le but de faire respecter la LPVPC. L’utilisation des accords de conformité en application de l’article 87 de la LPVPC est plus restrictive que l’utilisation prévue aux termes de la LPRPDE, ce qui limite l’utilisation de ce que le Commissariat considère comme un outil d’application très efficace. Le cadre d’utilisation des accords de conformité dans la LPVPC devrait permettre d’éviter les retards inutiles et d’offrir une plus grande certitude aux organisations.

Contrairement à la LPRPDE, la LPVPC prévoit que les accords de conformité ne peuvent être utilisés que « dans le cadre de l’examen d’une plainte ». Cela signifie que la possibilité d’utiliser des accords de conformité serait beaucoup plus restreinte et moins souple dans la LPVPC que ce qui est actuellement autorisé par la LPRPDE. Par exemple, les accords de conformité ne pourraient plus être utilisés pendant une investigation ou en réponse à un incident qui n’est pas visé par l’examen. Au moment où une investigation est entreprise, le Commissariat devrait poursuivre les démarches jusqu’à ce qu’une ordonnance soit rendue et/ou qu’une SAP soit recommandée, même si les parties concernées préféreraient s’entendre à l’amiable. Ces exigences pourraient entraîner des procédures inutilement longues et coûteuses et dont l’issue serait incertaine. Les organisations ne seraient pas en mesure de conclure des accords de conformité avec le Commissariat comme solution de rechange à l’investigation d’une plainte exigeant des ressources considérables. Le maintien de la souplesse qu’offre la LPRPDE, qui autorise la conclusion d’un accord de conformité à tout moment, contribuerait à assurer une résolution rapide et efficace dans l’intérêt de toutes les parties concernées.

La LPVPC retarde également l’exécution des accords de conformité. Aux termes de la LPRPDE, si le Commissariat croit qu’une organisation ne respecte pas un accord de conformité, il peut immédiatement demander au tribunal de rendre une ordonnance enjoignant à l’organisation de se conformer aux conditions de l’accord de conformité. Aux termes de la LPVPC, le Commissariat ne pourrait le faire qu’après avoir mené une investigation sur le non-respect d’un accord, rendu une ordonnance et constaté que l’organisation visée n’a pas respecté cette ordonnance. Le fait d’autoriser le Commissariat à enregistrer les accords de conformité auprès du tribunal pour que ceux-ci aient le même effet qu’une ordonnance judiciaire permettrait d’éviter ce délai inutile. Cette approche serait similaire à celle applicable aux consentements du commissaire de la concurrence ou aux ordonnances de consentement de la Federal Trade Commission des États-Unis.

La LPVPC devrait également préciser que les accords de conformité peuvent inclure le paiement d’une SAP ainsi que toute autre mesure convenue. Bien que les articles 86 et 87 de la LPVPC puissent être interprétés comme permettant l’inclusion de pareilles modalités, leur mention explicite dans la loi contribuerait à rendre le contexte plus prévisible et moins incertain. Pareille mesure serait également similaire à l’approche adoptée à l’égard des consentements au titre de la Loi sur la concurrence.

Modifications proposées

Le contrôle des décisions du commissaire

Recommandation n^o 13 : Améliorer la rapidité et réduire les coûts de traitement des plaintes en simplifiant le processus de révision des décisions du commissaire.

Le processus de contrôle établi par la LPVPC risque d’être long et coûteux pour toutes les parties concernées. Selon le libellé actuel, un dossier sera porté devant le Tribunal de la protection des renseignements personnels et des données si le commissaire à la protection de la vie privée recommande l’infliction d’une SAP. Les plaignants et les intimés peuvent également faire appel des conclusions, des ordonnances, des décisions et des ordonnances provisoires du commissaire à la protection de la vie privée devant le Tribunal.

Aux termes de l’article 21 de la LTPRPD, toute décision du Tribunal est définitive et exécutoire, à moins qu’une personne ou une organisation ne soit pas satisfaite de la décision du Tribunal et demande le contrôle judiciaire de cette décision auprès de la Cour fédérale. Si une partie n’est toujours pas satisfaite, elle peut alors porter l’affaire devant la Cour d’appel fédérale et éventuellement, avec une autorisation, devant la Cour suprême du Canada. La création du Tribunal ajoute donc un palier de contrôle supplémentaire dans le processus causant des délais et des coûts additionnels.

Afin d’accélérer les règlements et d’éviter des coûts, les décisions du Tribunal devraient faire l’objet d’un contrôle par la Cour d’appel fédérale plutôt que par la Cour fédérale. En supprimant l’étape de la Cour fédérale, les décisions du Tribunal seraient toujours assujetties à un contrôle judiciaire, mais le processus serait accéléré, ce qui permettrait d’apporter une solution définitive aux plaintes plus rapidement. Subsidiairement, on pourrait accorder au commissaire à la protection de la vie privée le pouvoir d’imposer des SAP, et le contrôle des décisions de celui-ci pourrait être effectué par la Cour fédérale plutôt que par le Tribunal.

Pareilles mesures permettraient également de répondre aux préoccupations concernant les paliers de contrôle dans certaines provinces qui sont différents de ceux à l'échelle fédérale. Les provinces qui ont des lois sur la protection des renseignements personnels dans le secteur privé essentiellement similaires ne disposent pas de ce type de tribunal administratif agissant comme organe de contrôle. Ces dossiers sont plutôt soumis directement à une cour provinciale ou à une cour supérieure et certaines provinces ont moins de paliers de contrôle pour leurs décisions.

Modifications proposées

Les délais

Recommandation n^o 14 : Modifier les délais pour faire en sorte que le régime de protection de la vie privée soit accessible et efficace.

Le présent mémoire regroupe trois questions concernant la manière dont les délais sont traités dans la LPVPC.

Déclaration des atteintes :
La première question porte sur les délais pour déclarer les atteintes au Commissariat. Comme la LPRPDE, la LPVPC exige que les organisations déclarent au Commissariat les atteintes aux mesures de sécurité qui présentent un risque réel de préjudice grave pour les renseignements personnels. La LPVPC reprend le libellé de la LPRPDE et exige que des rapports soient présentés « dès que possible après que l’organisation a conclu qu’il y a eu atteinte ».

L’expérience du Commissariat dans le contexte de la LPRPDE a démontré que ce libellé laisse trop de place à l’interprétation. En ce moment, 40 % des déclarations d’atteinte en application de la LPRPDE sont reçues plus de trois mois après les faits. Ce retard a une incidence sur la capacité du Commissariat à remplir son rôle de surveillance et à offrir des conseils opportuns sur les mesures d’atténuation aux organisations. Il empêche également les individus de se protéger lorsqu’une atteinte se produit, ce qui laisse leurs renseignements personnels exposés pendant une période inutilement longue.

Une autre question est de savoir qui doit déclarer les atteintes au Commissariat. La LPVPC, selon son libellé actuel, exige que les organisations déclarent au Commissariat toute atteinte qui a trait à des renseignements personnels qui relèvent d’elles. Toutefois, les fournisseurs de services qui sont victimes d’une atteinte ne sont tenus de les déclarer qu’aux organisations auxquelles ils fournissent des services. Ces organisations sont ensuite responsables de déclarer les incidents au Commissariat. Comme les fournisseurs de services tendent à disposer de renseignements clés sur la façon dont une atteinte s’est produite et a été atténuée, les deux parties devraient être tenues de déclarer l’atteinte au Commissariat.

Renvoi des documents :
La deuxième question d’intérêt liée aux délais est l’exigence pour le Commissariat de renvoyer tout document ou toute pièce qu’une organisation produit dans le cadre d’un examen, d’une investigation ou d’une vérification dans un délai ferme – 10 jours sur demande. Ce délai pourrait être problématique, car le Commissariat utilise des techniques de criminalistique numérique pour extraire des éléments de preuve qui peuvent nécessiter plus de 10 jours. Si ces techniques et processus sont interrompus, ils doivent être relancés depuis le début pour maintenir l’intégrité de la preuve en cause. Un délai de 10 jours pourrait complètement entraver l’utilisation de ces techniques. Le Commissariat devrait avoir la possibilité de renvoyer des documents et d’autres pièces après avoir terminé l’examen, l’investigation ou la vérification et au terme de toute procédure connexe.

Poursuites pour infractions sommaires :
La troisième question d’intérêt liée aux délais concerne l’article 128, qui énonce une infraction mixte punissable soit par procédure sommaire, soit par mise en accusation. Dans le cas des infractions punissables par mise en accusation, il n’y a pas de délai de prescription, mais dans le cas des infractions punissables par procédure sommaire, le Code criminel impose un délai de prescription de 12 mois, à moins que le procureur et le défendeur ne conviennent de proroger le délai ou qu’une loi en dispose autrement. Les poursuites auraient très probablement lieu soit une fois les enquêtes réglementaires du Commissariat bien entamées, soit après celles-ci. Puisque pareilles enquêtes sont souvent complexes et peuvent prendre plus de 12 mois, l’imposition d’un délai de prescription sans possibilité de prorogation pose problème. Prévoir la possibilité de proroger les délais de prescription permettrait de résoudre ce problème. De plus, cette approche serait conforme à celle d’autres provinces, comme le Québec et l’Ontario, et ferait en sorte que la Couronne puisse intenter des poursuites par voie de procédure sommaire.

Modifications proposées

La collaboration à l’échelle nationale

Recommandation n^o 15 : Renforcer la capacité du commissaire à collaborer avec des organisations nationales afin d’améliorer la coordination et l’efficacité lors du traitement des affaires soulevant des enjeux de vie privée.

À l’échelle internationale, la LPVPC offrirait au Commissariat la possibilité de collaborer avec divers partenaires, ce qui contribuerait à l’obtention de résultats probants pour la population canadienne. Par contre, à l’échelle nationale, la LPVPC limiterait les autorités avec lesquelles le Commissariat peut collaborer aux commissaires à l’information et à la protection de la vie privée (CIPVP) provinciaux et territoriaux, au Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) et au Bureau de la concurrence. La collaboration avec des organismes de réglementation nationaux, tant dans le domaine de la protection des renseignements personnels que dans d’autres domaines réglementaires comme la concurrence, la protection des consommateurs et les télécommunications, est devenue de plus en plus importante pour obtenir des résultats probants pour les individus. D’après l’expérience du Commissariat, ces partenaires pourraient englober d’autres organismes de réglementation, comme les services d’évaluation du crédit, le Bureau du surintendant des institutions financières et les commissions des droits de la personne. À l’avenir, le Commissariat peut également envisager la nécessité de travailler avec le commissaire à l’intelligence artificielle et aux données, qui est proposé, concernant les comportements susceptibles d’entraîner l’utilisation abusive de renseignements personnels dans un système d’IA.

Le contraste entre la capacité du Commissariat à collaborer avec des partenaires internationaux et celle qu’il a à collaborer avec des partenaires nationaux est également apparent en ce qui concerne les activités pouvant faire l’objet de telles collaborations. Par exemple, à l’échelle nationale, la LPVPC ne précise pas, comme elle le fait concernant la collaboration avec les CIPVP et les autorités internationales, que le Commissariat peut collaborer avec le CRTC et le Bureau de la concurrence pour traiter des questions liées à la conformité et mener des enquêtes conjointes. Par conséquent, les enquêtes conjointes avec le CRTC ou le Bureau de la concurrence pourraient faire l’objet de contestations, ce qui limiterait l’efficacité de la coopération. Le Commissariat cherche à éviter des situations comme celle qui s’est produite pendant l’enquête sur le site de rencontres pour adultes Ashley Madison, lors de laquelle le Commissariat a pu échanger des renseignements avec la Federal Trade Commission aux États-Unis, mais pas avec le Bureau de la concurrence du Canada.

La possibilité pour le Commissariat de travailler avec d’autres organismes de réglementation serait précieuse dans les cas où la conduite en cause serait du ressort de plusieurs compétences et serait également compatible avec la capacité actuelle du Commissariat à coopérer avec des partenaires internationaux. Une collaboration accrue offre de nombreux avantages; elle permet notamment de réduire les coûts et le dédoublement des efforts pour les organismes de réglementation et les organisations. Cette collaboration permettrait également d’éviter que des conclusions contradictoires ou incohérentes puissent être tirées, ce qui peut rendre la conformité difficile pour les organisations et entraîner des risques supplémentaires pour les consommateurs.

Modifications proposées

VI. Annexe : Recommandations antérieures du Commissariat sur l’ancien projet de loi C-11

Si le Parlement souhaite envisager d’autres façons d’améliorer le projet de loi C-27, les recommandations suivantes, formulées par le Commissariat en réponse à l’ancien projet de loi C-11, demeurent pertinentes dans le cadre du projet de loi C-27. Le mémoire comprenant ces recommandations a été présenté en mai 2021 au Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique de la Chambre des communes^{Note de bas de page 8}.

1. La définition de « renseignements personnels » devrait inclure les inférences (n^o 7)
   Modifier la définition actuelle des renseignements personnels afin d’inclure expressément les renseignements inférés.
2. Définition de « renseignements de nature sensible » (n^o 8)
   Modifier la LPVPC afin d’inclure une définition de l’expression « renseignements de nature sensible » qui établirait un principe général, suivie d’une liste d’exemples non exhaustive.
3. Partis politiques (n^o 10)
   Assujettir les partis politiques fédéraux à la LPVPC, par exemple en les inscrivant à l’annexe conformément au paragraphe 6(3) et à l’alinéa 119(2)c) [122(2)c)].
4. Fins socialement bénéfiques (n^o 15)
   Modifier l’article 39 de la LPVPC de manière à exiger ce qui suit :
   • Une demande écrite doit être présentée avant que les renseignements soient communiqués afin de veiller à ce qu’ils soient utilisés à des fins socialement bénéfiques au sens de la LPVPC;
   • Une entente d’échange de renseignements doit être conclue et doit interdire au destinataire de repersonnaliser les renseignements et de les utiliser à des fins secondaires qui ne sont pas bénéfiques pour la société;
   • La définition de « à des fins socialement bénéfiques » doit être modifiée afin d’inclure une limite au pouvoir réglementaire, en indiquant par exemple qu’il doit s’agir des « fins qui sont bénéfiques pour la société et pas simplement des activités pour des intérêts ou des gains personnels ou commerciaux ».
5. Renseignements personnels auxquels le public a accès (n^o 16)
   Modifier l’article 51 de la LPVPC afin de prévoir, en plus des conditions déjà présentes, que les renseignements personnels sont ceux pour lesquels l’individu n’a pas d’attente raisonnable en matière de vie privée.
6. Communications aux organismes d’application de la loi (n^o 18, n^o 19)
   (Recommandation n^o 18) Établir des obligations en matière de tenue de registres et de production de rapports concernant la communication de renseignements personnels à des organismes gouvernementaux, et particulièrement à des organismes d’application de la loi.
   
   (Recommandation n^o 19) Ajouter une définition précisant la signification d’« autorité légitime » aux fins de l’article 44.
7. Responsabilité – Norme objective (n^o 20), tenue de registres, évolutivité (n^o 21)
   (Recommandation n^o 20) Modifier ainsi l’article 9 de la LPVPC afin d’établir une norme objective pour la responsabilité :
   
   9(1) L’organisation met en œuvre un programme de gestion de la protection des renseignements personnels afin d’assurer le respect des obligations qui lui incombent au titre de la présente loi.
   
   (2) Un programme de gestion de la protection des renseignements personnels comprend les politiques, les pratiques et les procédures de l’organisation qui servent à assurer le respect de la présente loi, notamment des politiques, des pratiques et des procédures relatives : […]
   
   (Recommandation n^o 21) Renforcer le concept de responsabilité démontrable dans la LPVPC en prenant les mesures suivantes :
   • Ajouter une disposition obligeant les organisations à tenir des registres adéquats pour démontrer qu’elles respectent les obligations en matière de protection des renseignements personnels qui leur incombent au titre de la Loi, y compris une obligation expresse de traçabilité dans le contexte de la prise de décision automatisée;
   • Modifier le paragraphe 9(2) afin que la portée de la responsabilité et des obligations en matière de tenue de registres dépende de la nature et de l’importance des renseignements personnels qui relèvent de l’organisation, de sa taille et de ses recettes, ainsi que des menaces et des risques pertinents.
8. Circulation transfrontalière des données et fournisseurs de services (n^o 23)
   Définir les exigences organisationnelles relatives à la circulation transfrontalière des données de manière explicite et distincte, conformément aux recommandations qui figurent à l’annexe B de notre mémoire de mai 2021 sur le projet de loi C-11.^{Note de bas de page 9}
9. Mesures de sécurité (n^o 24)
   Remplacer le paragraphe 57(2) de la LPVPC par ce qui suit :
   
   En plus de la sensibilité de l’information, les mesures établies par l’organisation tiennent également compte des risques pour les consommateurs, en cas d’atteinte, associés à la nature, à la portée et au contexte de l’utilisation que fait l’organisation des renseignements personnels, vu ses activités opérationnelles.
10. Fournisseurs de services canadiens (n^o 26)
    Modifier la LPVPC pour veiller à ce que les recommandations 3, 4, 5 et 7 de l’annexe B de notre mémoire de mai 2021 sur le projet de loi C-11 s’appliquent également aux fournisseurs de services canadiens.
11. Prise de décision automatisée – niveau d’explication (n^o 28)
    Inclure le droit de contester les décisions automatisées dans la LPVPC.
12. Droit à la réputation – déréférencement (n^o 30)
    Que le Parlement édicte un droit explicite et clair au déréférencement et à la suppression de renseignements personnels des résultats de recherche et d’autres sources en ligne vu les recommandations formulées par le Commissariat dans son projet de position de 2018 sur la réputation et l’approche adoptée dans la Loi 25 du Québec (l’ancien projet de loi 64).
13. Mobilité des données (n^o 31, n^o 32)
    (Recommandation n^o 31) Élargir l’article 72 de la LPVPC afin d’inclure tous les renseignements personnels au sujet d’un individu, y compris ceux dérivés ou inférés.
    
    (Recommandation n^o 32) Établir un rôle consultatif ou d’approbation clair pour le Commissariat à l’égard des cadres de mobilité des données.
14. Règles de procédure et de preuve relatives aux examens, investigations et ordonnances (n^o 33)
    Modifier les dispositions suivantes relatives aux examens et aux investigations visés par la LPVPC :
    • 98(1)a) [99(1)a)] : réduire le seuil à partir duquel le Commissariat peut exiger la production d’éléments de preuve et remplacer le verbe « contraindre » par « ordonner »;
    • 98(1)h) [99(1)h)] : préciser que la disposition s’applique aussi aux renseignements stockés sur des serveurs à distance, mais accessibles à partir du local visé;
    • 103(2) [104(2)] : modifier le paragraphe pour rendre les ordonnances visées aux alinéas 98(1)a) et 98(1) [99(1)a) et 99(1)] exécutoires par voie d’homologation;
    • 103(2) et 104 [104(2) et 105] : modifier les dispositions en matière d’appel concernant les ordonnances provisoires rendues en vertu de l’alinéa 98(1)d) [99(1)d)] pour veiller à ce que les ordonnances ne soient pas indûment retardées ou compromises dans l’attente d’un appel;
    • 90(2) [91(2)] : modifier le paragraphe pour permettre au Commissariat de demander et de recevoir des renseignements protégés par le secret professionnel de l’avocat, afin d’évaluer les demandes d’exemptions dans le cadre de plaintes liées à l’accès;
    • 92(2) [93(2)] : supprimer le critère de nécessité, qui ne se retrouve dans aucune loi comparable;
    • 92(4) [93(4)] : supprimer la limite maximale d’un an liée aux prorogations de délai pour mener une investigation.
15. Atteintes – réparation pour préjudices subis (n^o 34)
    Ajouter au paragraphe 92(2) [93(2)] une disposition pour permettre au Commissariat d’ordonner à une organisation de « prendre toute mesure qui permette aux individus d’être indemnisés pour les préjudices subis, d’ordre financier ou autre, résultant d’une atteinte ou d’une violation des mesures de sécurité exigées par la loi ».
16. Application des sanctions administratives pécuniaires (n^o 39 et n^o 40)
    (Recommandation n^o 39) Modifier le paragraphe 93(2) [94(2)] :
    • Par la reformulation de l’alinéa 93(2)c) [94(2)d)] en vue de mettre l’accent sur les antécédents en matière de non-respect;
    • Par l’intégration des alinéas 94(5)b) et c) [95(5)b) et (c)].
    (Recommandation n^o 40) Supprimer le paragraphe 93(3) [94(3)] de la LPVPC.
17. Droit privé d’action (n^o 41)
    Modifier l’article 106 [107] de la LPVPC en vue d’élargir le droit privé d’action par la substitution aux alinéas 106(1)a) et 106(1)b) [107(1)a) et 107(1)b)] d’exigences semblables à celles de l’article 77 de la Loi sur les langues officielles.
18. Codes de pratique et programmes de certification (n^o 44 et n^o 45)
    (Recommandation n^o 44) Modifier la LPVPC de façon à ce que l’obligation du commissaire d’examiner une demande d’approbation d’un code de pratique ou d’un programme de certification soit conditionnelle au paiement de frais de service.
    
    (Recommandation n^o 45) Supprimer tous les renvois aux règlements des articles 76, 77, 78 et 81 et des alinéas 122 a) à j) [125 a) à j)] de la LPVPC afin de laisser au commissaire le pouvoir, comme c’est la norme dans d’autres États, d’adopter des procédures justes relativement à l’approbation des codes de pratique et des programmes de certification, conformément aux normes prévues aux paragraphes 76(2) et 77(1) de la Loi.
19. Article 108 (n^o 46)
    Modifier l’article 108 de la LPVPC [109] en vue d’encourager le commissaire, dans l’exercice des attributions que lui confère la Loi, à tenir compte de la taille de l’organisation et des autres facteurs mentionnés. À titre subsidiaire, inclure ces facteurs dans une disposition d’objet.
20. Examens proactifs/plaintes déposées par le commissaire (n^o 47)
    Modifier le paragraphe 82(2) de la LPVPC de la manière suivante :
    
    Le commissaire peut lui-même prendre l’initiative d’une plainte pour s’assurer de la conformité à la présente loi s’il a des motifs raisonnables de croire qu’une enquête devrait être menée sur une question relative à l’application de la présente loi.
21. Vérifications proactives de conformité (n^o 48)
    Retrancher de l’article 96 [97] la condition « [si le commissaire] a des motifs raisonnables de croire que [l’organisation] a contrevenu à la partie 1 ».