Lettre de suivi au Comité sénatorial permanent des banques et du commerce concernant le projet de loi C-74, Loi no 1 d’exécution du budget de 2018
Le 25 mai 2018, le commissaire à la protection de la vie privée du Canada, Daniel Therrien, a envoyé la lettre suivante aux membres du Comité permanent des banques et du commerce dans le cadre du projet de loi C-74, Loi no 1 d’exécution du budget de 2018. La lettre fait suite à sa comparution au sujet du projet de loi C-74 devant le comité le 22 mai 2018.
Le 25 mai 2018
L’honorable Douglas Black, c.r.
Président, Comité permanent des banques et du commerce
Sénat du Canada
Ottawa (Ontario) K1A 0A4
Monsieur le Président,
Je vous écris pour faire un bref suivi de ma comparution devant votre comité le 22 mai 2018 au sujet du projet de loi C-74, Loi no 1 d’exécution du budget de 2018.
Lors de ma comparution, j’ai entrepris de présenter au Comité des amendements susceptibles de répondre aux préoccupations que j’ai soulevées au sujet des conséquences sur la protection de la vie privée de la partie 6, section 16, sous-section A (Activités liées à la technologie financière) du projet de loi C-74.
Comme je l’ai mentionné, je suis préoccupé par le fait que le projet de loi C-74 élimine certains obstacles qui limitent actuellement la capacité des institutions financières sous réglementation fédérale de communiquer des renseignements personnels à des organisations du secteur des technologies financières (fintechs), sans que des mesures législatives parallèles soient prises pour protéger adéquatement la vie privée des individus.
L’approche que je privilégie pour remédier à ces préoccupations consisterait à renforcer la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) pour que toutes les organisations assujetties à la loi (non seulement les institutions financières) obtiennent un consentement valable auprès de leurs clients, et pour donner au Commissariat les pouvoirs adéquats pour faire respecter les règles de la LPRPDE. À cet égard, vous souhaiterez peut-être consulter le Rapport sur le consentement produit par le Commissariat qui se trouve dans le Rapport annuel au Parlement de 2016-2017Note de bas de page 1 ainsi que les recommandations du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique sur cette questionNote de bas de page 2.
En ce qui a trait aux amendements spécifiques, je proposerais d’améliorer les dispositions de la LPRPDE qui traitent de l’obligation d’obtenir un consentement valable et d’introduire des dispositions permettant au Commissariat de rendre des ordonnances exécutoires à l’encontre d’organisations qui ne respectent pas les exigences de la LPRPDE. Le premier amendement possible, concernant le consentement, se lirait comme suit :
L’article 6.1 de la Loi sur la protection des renseignements personnels et les documents électroniques est remplacé par ce qui suit :
6.1 Pour l’application de l’article 4.3 de l’annexe 1, le consentement de l’intéressé n’est valable que s’il est raisonnable de s’attendre à ce qu’un individu visé par les activités de l’organisation comprenne :
- la nature des renseignements personnels qui font l’objet de la collecte;
- les personnes à qui les renseignements personnels sont divulgués;
- les fins pour lesquels les renseignements personnels font l’objet de la collecte, de l’utilisation ou de la communication;
- les conséquences de la collecte, de l’utilisation ou de la communication, y compris tout risque important de préjudice grave que l’individu pourrait subir.
Cet amendement ferait en sorte que les individus disposent des renseignements nécessaires pour décider s’ils consentent à la collecte, à l’utilisation ou à la communication de leurs renseignements personnels par des organisations, y compris des institutions financières. L’amendement reprendrait les éléments clés du document d’orientation émis cette semaine par le CommissariatNote de bas de page 3 pour l’obtention d’un consentement valable par les organisations assujetties à la LPRPDE. Le document d’orientation ajouterait d’autres recommandations, fondées sur notre interprétation de la Loi, pour l’obtention, l’utilisation et la communication des renseignements personnels.
En ce qui concerne le pouvoir de rendre des ordonnances, j’offre un premier amendement en ce sens qui devrait probablement être accompagné d’autres dispositions portant entre autres sur les conséquences de la non-conformité, y compris les sanctions. L’amendement pourrait ressembler à ce qui suit :
La Loi sur la protection des renseignements personnels et les documents électroniques est modifiée par l’ajout de ce qui suit après l’article 13 :
13.1 Si, après avoir fait enquête sur une plainte dont il n’a pas pris l’initiative, le commissaire détermine qu’elle est fondée, le commissaire peut ordonner à une organisation de rectifier ses pratiques pour que cette dernière respecte la section 1 ou la section 1.1.
13.2 (1) Au plus tard 30 jours après avoir reçu une copie de l’ordonnance du commissaire, l’organisation visée doit respecter l’ordonnance, sauf si une demande de contrôle judiciaire à l’égard de l’ordonnance est faite avant la fin de cette période.
(2) Si une demande de contrôle judiciaire est faite avant la fin de la période visée au paragraphe (1), l’ordonnance du commissaire fait l’objet d’un sursis à partir de la date à laquelle la demande est faite, jusqu’à ce qu’un tribunal ordonne autrement.
L’objectif d’un tel changement, comme je l’ai déjà signalé, serait de veiller à ce que le Commissariat dispose des pouvoirs nécessaires pour faire en sorte que le droit à la vie privée des individus soit respecté et que les organisations respectent la LPRPDE sans avoir à entamer des procédures contentieuses longues et coûteuses.
Je vous remercie encore de m’avoir donné l’occasion d’exprimer mon point de vue. J’espère que les éléments que j’ai soulevés seront utiles aux membres du Comité alors qu’ils achèvent leur étude du projet de loi C-74.
Je vous prie d'agréer, Monsieur le Président, mes salutations distinguées.
Le commissaire ,
(La version originale a été signée par)
Daniel Therrien
- Date de modification :