Projet de loi S-4, Loi modifiant la Loi sur la protection des renseignements personnels et les documents électroniques et une autre loi en conséquence (la Loi sur la protection des renseignements personnels numériques)
Mémoire présenté au Comité permanent de l’industrie, des sciences et de la technologie
Le 11 mars 2015
Monsieur David Sweet, député
Président du Comité permanent de l’industrie, des sciences et de la technologie
131, rue Queen, 6e étage
Ottawa (Ontario) K1A 0A6
Monsieur le Président,
Je vous écris pour donner suite à ma présentation du 17 février 2015 devant le Comité permanent de l’industrie, des sciences et de la technologie afin de discuter du projet de loi S-4, Loi modifiant la Loi sur la protection des renseignements personnels et les documents électroniques et une autre loi en conséquence (la Loi sur la protection des renseignements personnels numériques).
Lors de ma présentation, on m’a posé une question au sujet du rapport d’un comité spécial de l’Assemblée législative de la Colombie-Britannique (le comité spécial de la C.-B.) qui a passé en revue la loi de la Colombie-Britannique sur la protection des renseignements personnels dans le secteur privé, soit la Personal Information Protection Act (PIPA). Vous trouverez le rapport à l’adresse http://www.leg.bc.ca/cmt/40thparl/session-3/pipa/reports/PDF/Rpt-PIPA-40-3-Report-2015-FEB-06.pdf (en anglais seulement).
Deux recommandations du rapport sont particulièrement pertinentes au projet de loi S-4 : celle sur l’ajout d’un avis d’atteinte à la protection des données à la PIPA et celle sur la modification des exceptions sur la communication en vertu des alinéas 18(1)c) et 18(1)j) de la PIPA en réponse à la décision de la Cour suprême du Canada dans R. c. Spencer.
Avis d’atteinte à la protection des données
Comme pour la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), la PIPA n’oblige pas les organisations à aviser les personnes ou les organismes de surveillance en cas d’atteinte à la protection des données.
Le rapport du comité spécial de la C.-B. indique qu’un certain nombre d’intervenants ont appuyé l’idée d’imposer aux organisations une obligation légale d’aviser le commissaire et les personnes touchées en cas d’atteinte à la protection des données. Le rapport souligne également et plus particulièrement que l’Association canadienne des compagnies d’assurances de personnes, l’Association des libertés civiles de la Colombie-Britannique et la commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique (la commissaire de la C.-B.) ont appuyé l’établissement d’un seuil pour la notification basé sur « un risque réel de préjudice grave » qui correspondrait au seuil de l’Alberta et à celui qui a été proposé par le gouvernement fédéral.
Voici la recommandation du comité :
Modifier la PIPA pour obliger les organisations à aviser le commissaire à l’information et à la protection de la vie privée et les personnes touchées lors de la perte ou de la communication non autorisée de renseignements personnels ou de l’accès non autorisé à ceux-ci en cas d’atteinte aux mesures de sécurité d’une organisation s’il existe un risque réel de préjudice grave. [traduction]
Comme je l’ai suggéré lorsque j’ai comparu devant votre Comité, il y a de nombreuses façons de concevoir un système de notification des atteintes à la protection des données. Cependant, je crois que la proposition faite dans le projet de loi S-4 est un compromis raisonnable et, comme le comité spécial de la C.-B., je conviens que l’harmonisation de l’approche avec celle de l’Alberta et possiblement avec celle de la Colombie-Britannique comporte des avantages.
Exceptions à la communication après l’arrêt Spencer
Le rapport mentionne plusieurs représentations dans lesquelles on recommandait de restreindre l’application des alinéas 18(1)c) et 18(1)j) de la PIPA en raison de l’arrêt R. c. Spencer. Ces deux alinéas sont reproduits ci-dessous :
18(1) Une organisation peut communiquer des renseignements personnels sur une personne sans le consentement de cette dernière seulement…
c) lorsqu’il est raisonnable de s’attendre à ce que leur communication avec le consentement de l’intéressé compromette une enquête ou une procédure judiciaire et que la communication est raisonnable aux fins liées à une enquête ou à une procédure judiciaire…
j) si leur communication à un organisme public ou à un organisme d’application de la loi du Canada a trait à une infraction commise en vertu des lois du Canada ou d’une province et permet d’aider à réaliser une enquête ou à décider de mener ou non une enquête. [traduction]
L’alinéa 18(1)c) autorise les communications d’une organisation à une autre sans le consentement de l’intéressé à des fins d’enquête ou de procédure judiciaireNote de bas de page 1, sous réserve de certaines conditions. Selon notre compréhension, les alinéas 7(3)d.1) et d.2) proposés dans le projet de loi S-4 avaient pour but d’aligner la LPRPDE avec l’approche actuelle de la Colombie-Britannique énoncée à l’alinéa 18(1)c). Cependant, d’autres remettent justement en question l’alinéa 18(1)c) en s’appuyant sur les mêmes raisons que j’évoquais pour expliquer mes préoccupations par rapport aux alinéas 7(3)d.1) et d.2) du projet de loi S-4.
La commissaire de la C.-B. a recommandé de modifier l’alinéa 18(1)c) de la PIPA pour limiter les communications d’organisation à organisation sans le consentement de l’intéressé aux cas où la communication est nécessaire (au lieu de raisonnable) aux fins liées à une enquête ou à une procédure judiciaire.
Quant à l’alinéa 18(1)j) de la PIPA, il est un peu comparable à l’alinéa 7(3)c.1) de la LPRPDE dans la mesure où ils traitent tous deux de communications faites sans le consentement de l’intéressé à des organismes publics et à des organismes d’application de la loi. La commissaire de la C.-B. a recommandé de modifier l’alinéa 18(1)j) pour limiter les communications sans mandat aux communications faites à l’initiative de l’organisation responsable de la communication et de modifier la PIPA pour obliger les organisations à publier des rapports sur la transparence à la suite de communications faites sans le consentement de l’intéressé.
Le comité s’est dit d’accord avec la commissaire de la C.-B. et a recommandé de :
Modifier les alinéas 18(1)c) et 18(1)j) de la PIPA pour aborder les questions soulevées par la décision de la Cour suprême du Canada dans R. c. Spencer, conformément à l’approche recommandée par la commissaire à l’information et à la protection de la vie privée. Les organisations devraient être tenues de documenter les communications faites sans le consentement de l’intéressé et de publier des rapports sur la transparence à cet effet.
La recommandation du comité est, de manière générale, conforme aux recommandations de mon mémoire sur le projet de loi S-4 au sujet de l’ajout des alinéas 7(3)d.1) et d.2) et de la modification de l’alinéa 7(3)c.1). Comme le comité spécial de la C.-B., je suis d’avis qu’il faut limiter avec circonspection les communications faites sans le consentement de l’intéressé et accroître la transparence de telles communications.
Veuillez agréer, Monsieur le Président, l’expression de mes sentiments distingués.Le commissaire,
(La version originale a été signée par)
Daniel Therrien
- Date de modification :