Mémoire du Commissariat à la protection de la vie privée du Canada sur le projet de loi C-11, la Loi de 2020 sur la mise en œuvre de la Charte du numérique

Mai 2021

---

PAR COURRIEL

Le 11 mai 2021

Monsieur Chris Warkentin, député
Président, Comité permanent de l'accès à l'information,
de la protection des renseignements personnels et de l'éthique
6e étage, 131, rue Queen
Chambre des communes
Ottawa (Ontario)  K1A 0A6

Objet : Mémoire sur le projet de loi C-11

Monsieur le Président,

À la suite de ma comparution devant vous le 10 mai 2021, veuillez trouver ci-joint notre mémoire concernant le projet de loi C-11, la Loi de 2020 sur la mise en œuvre de la Charte du numérique. J’espère que ces documents vous aideront dans vos délibérations sur cet important projet de loi sur la protection de la vie privée.

Comme je l’ai indiqué lors de ma comparution dans le cadre du Budget principal des dépenses et de votre étude sur la technologie de reconnaissance faciale, je crois que le projet de loi C-11 représente globalement un recul par rapport à notre loi actuelle et qu’il nécessite des changements importants si l’on veut rétablir la confiance dans l’économie numérique. Mon mémoire décrit les nombreuses améliorations nécessaires pour que les organisations puissent innover de façon responsable tout en reconnaissant et en protégeant le droit à la vie privée des Canadiens.

Mon message d’ouverture donne un aperçu de notre position, alors que le reste du document contient une analyse détaillée du projet de loi et des recommandations qui nous semblent nécessaires.

Je joins également à la présente un document d’analyse préparé pour le Commissariat par M^me Teresa Scassa sur les problèmes liés à la façon dont le projet de loi C-11 aborde la question des transferts transfrontaliers de renseignements personnels. Ce document recense les principales dispositions du projet de loi C-11 qui ont trait aux transferts transfrontaliers de données, analyse de façon critique la mesure dans laquelle ces dispositions protégeraient réellement la vie privée et propose une série de recommandations pour améliorer la situation.

J’espère que ces documents seront utiles au Comité. Je suis disposé à rencontrer le Parlement au sujet de cet important projet de loi à sa convenance.

Je vous prie d’agréer, Monsieur le Président, l’expression de ma considération distinguée.

Le commissaire,

(Document original signé par)

Daniel Therrien

p.j. (1)

c. c. : L’Honorable François-Philippe Champagne, C.P., député
Ministre de l’Innovation, des Sciences et de l'Industrie

M^me Miriam Burke
Greffière du comité

---

Message du commissaire

Le projet de loi C-11 édictant la Loi sur la protection de la vie privée des consommateurs (LPVPC) et la Loi sur le Tribunal de la protection des renseignements personnels et des données (LTPRPD) constitue une étape importante et concrète vers la réforme des lois sur la protection des renseignements personnels au Canada. Découlant de la Charte canadienne du numérique de 2019 et de plusieurs années d’études parlementaires, le projet de loi C-11 est le résultat des efforts déployés pour mettre sur pied une réforme que pratiquement tout le monde, que ce soit les parlementaires, l’industrie, les défenseurs de la vie privée ou la population canadienne en général, attendait avec impatience. Ce fut une entreprise ambitieuse que de procéder à la refonte complète de la Loi existante. Nous sommes heureux de constater que le processus de réforme semble bien enclenché.

Le projet de loi propose une refonte complète de la loi pour répondre à plusieurs préoccupations en matière de protection de la vie privée qui se posent dans une économie numérique moderne. Ce projet est censé permettre aux individus d’exercer un meilleur contrôle sur leurs renseignements personnels et prévoir des pénalités beaucoup plus lourdes pour les organisations qui portent atteinte à la vie privée, tout en créant un environnement législatif dans lequel les entreprises peuvent innover et prospérer.

Nous convenons qu’une loi moderne devrait à la fois mieux protéger la vie privée et favoriser une activité économique responsable. À l’ère numérique, les activités économiques reposent grandement sur la collecte et l’analyse des renseignements personnels. Malheureusement, malgré les ambitieux objectifs visés, nous considérons que le projet de loi sous sa forme actuelle représenterait globalement un pas en arrière dans le domaine de la protection de la vie privée. Le législateur pourrait éviter ce recul et faire du projet de loi un texte solide qui protégerait efficacement le droit à la vie privée des Canadiens en y apportant d’importants amendements sur trois aspects :

• mieux déterminer le poids à accorder au droit à la vie privée et aux intérêts commerciaux;
• prévoir des obligations et des droits précis;
• donner accès à des mécanismes de recours rapides et efficaces, et préciser le rôle du Commissariat.

Pourquoi le projet de loi sous sa forme actuelle représenterait-il un pas en arrière? En partie parce que, même s’il cherche à répondre à la plupart des questions pertinentes relatives à la vie privée dans une économie numérique moderne, il le fait d’une manière qui est souvent hors norme et qui procure une protection moindre que les lois d’autres juridictions. Nos recommandations, si elles sont adoptées, réduiraient cet écart.

De façon plus précise, c’est aussi parce que les dispositions censées permettre aux individus d’exercer un meilleur contrôle leur conféreraient en fait un contrôle moindre; parce que la plus grande souplesse donnée aux organisations pour utiliser les renseignements personnels sans le consentement des intéressés ne s’accompagne pas de la responsabilité supplémentaire à laquelle on s’attendrait en contrepartie; parce que les pénalités administratives ne s’appliqueront pas aux infractions les plus fréquentes et importantes, celles concernant le consentement et les exceptions à l’obligation de l’obtenir; et parce que le Commissariat n’aurait pas les outils nécessaires afin de gérer sa charge de travail pour accorder la priorité aux activités les plus efficaces afin de protéger les Canadiens. En fait, le Commissariat se verrait imposer un système de contrepoids (y compris un tribunal d’appel administratif) dont la nécessité n’a pas été démontrée et qui retarderait l’accès à des recours efficaces pour les consommateurs.

À l’heure actuelle, de nombreux sondages révèlent un manque de confiance à l’égard de l’économie numérique. Le projet de loi C-11 vise à mettre en œuvre la Charte du numérique, dont l’un des objectifs consiste justement à renforcer cette confiance. Toujours selon les sondages, après des années d’autoréglementation ou de réglementation permissive, il faudrait accroître la réglementation (l’adoption démocratique de normes objectives et connues de chacun) et la surveillance (l’application de ces normes par des institutions désignées démocratiquement). Une législation sensée devrait autoriser l’innovation responsable, qui est dans l’intérêt public et propre à susciter la confiance, mais interdire les utilisations de la technologie qui sont incompatibles avec nos valeurs et nos droits.

Curieusement, le discours du gouvernement lors de la présentation du projet de loi, bien que positif à bien des égards, met l’accent sur la nécessité d’assurer une « prévisibilité » et une « souplesse » pour les entreprises et d’appliquer « un système de contrepoids » à l’organisme de réglementation. Malheureusement, il semble que ce ne soit pas un lapsus, car cette philosophie se reflète dans plusieurs dispositions du projet de loi.

Le Commissariat est en faveur de la transparence et de l’obligation de rendre compte de ses actions. Nous convenons aussi que les entreprises ont besoin d’un certain degré de prévisibilité et de souplesse, dans le cadre de la législation. Toutefois, il semble injustifié d’accorder autant d’importance à un système de contrepoids pour l’organisme de réglementation et à une plus grande prévisibilité et une plus grande souplesse pour les entreprises. Cette disproportion est à l’origine des lacunes que nous venons de soulever et d’un déséquilibre dans la loi sur l’importance accordée aux droits et aux intérêts commerciaux.

Mieux déterminer le poids à accorder au droit à la vie privée et aux intérêts commerciaux

Les technologies numériques sont au cœur de la quatrième révolution industrielle et des économies modernes. Comme nous le constatons dans la pandémie actuelle, elles peuvent servir l’intérêt public – et contribuer à la prospérité économique.

Pour le meilleur et pour le pire, ces technologies ont un effet perturbateur. Elles présentent des risques majeurs d’atteinte à la vie privée et à d’autres droits. Les atteintes à la sécurité des données sont maintenant monnaie courante. Quelques années après les révélations d’Edward Snowden concernant la surveillance exercée par des États, on entend de plus en plus parler d’un capitalisme de surveillance. La technologie biométrique accroît ces risques. Plus récemment, le scandale de Cambridge Analytica a mis en évidence les risques pour la démocratie. L’intelligence artificielle menace les droits à l’égalité. Et j’en passe.

En définitive, c’est aux parlementaires qu’il revient, en tant que représentants élus de la population, de déterminer le poids à accorder au droit à la vie privée et aux intérêts des entreprises commerciales.

Le Commissariat a plaidé en faveur de la modernisation du droit fédéral de la vie privée, afin de donner plus de souplesse aux organisations quant à l’utilisation des renseignements personnels sans consentement aux fins d’une innovation responsable et pour des usages socialement bénéfiques, mais dans le cadre d’une loi qui enchâsserait la protection de la vie privée comme un droit de la personne et en tant qu’élément essentiel à l’exercice d’autres droits fondamentaux.

D’après le projet de loi C-11, il faut trouver un équilibre entre la protection de la vie privée et les intérêts commerciaux, qui constituent des éléments divergents. En fait, par rapport à la législation actuelle, on peut soutenir que ce projet de loi donne plus de poids aux intérêts commerciaux en introduisant de nouveaux facteurs commerciaux à considérer dans la recherche d’un équilibre, sans prendre en compte, de quelque façon, les leçons des 20 dernières années concernant les atteintes aux droits causées par la technologie.

Les tribunaux ont conclu que l’énoncé d’objet de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), sans les nouveaux facteurs commerciaux ajoutés dans le projet de loi C-11, signifie que l’on doit « concilier » le droit à la vie privée avec les intérêts commerciaux. Il s’agit d’une interprétation raisonnable de l’orientation que le Parlement a donnée aux tribunaux et à l’organisme de réglementation lorsqu’il a promulgué la LPRPDE en 2000.

Les parlementaires ont maintenant l’occasion de confirmer ou de modifier cette orientation. Personne ne conteste le fait que la future Loi sur la protection de la vie privée des consommateurs (LPVPC) devrait promouvoir à la fois le droit à la vie privée et les intérêts commerciaux. La question est de savoir quel poids donner à chaque élément.

D’après moi, il serait normal et équitable d’autoriser les activités commerciales dans un cadre de protection des droits, plutôt que de mettre les droits et les intérêts commerciaux sur un pied d’égalité. De façon générale, il est possible d’atteindre des objectifs commerciaux et de protéger la vie privée en même temps. J’estime toutefois qu’en cas de conflit, les droits devraient l’emporter. La récente affaire Clearview en donne un bon exemple.

L’adoption d’une approche fondée sur les droits montrerait clairement qui nous sommes et ce à quoi nous aspirons en tant que pays. La Charte canadienne des droits et libertés fait partie intégrante de notre identité et le Canada a adhéré à des instruments internationaux qui reconnaissent le respect de la vie privée en tant que droit de la personne. Le Canada est un pays bijuridique, où la common law et le droit civil coexistent en harmonie. Au Québec, les lois actuelles protégeant la vie privée visent à mettre en œuvre ce droit consacré dans le Code civil du Québec et la Charte des droits et libertés de la personne. Le projet de loi 64 protégerait encore mieux la vie privée au Québec en tant que droit de la personne. L’adoption d’une approche fondée sur les droits dans la LPVPC, qui comprendrait certaines dispositions du projet de loi 64, refléterait la nature bijuridique du Canada.

Par ailleurs, le Canada aspire à être un chef de file mondial de la protection de la vie privée. Il possède une riche tradition en matière de médiation des différends sur la scène mondiale. Le législateur pourrait préserver l’approche fondée sur les principes, qui n’est pas trop prescriptive, de sa loi sur la protection des renseignements personnels dans le secteur privé, tout en adoptant une approche fondée sur les droits. Il ferait ainsi du Canada un chef de file montrant la voie à suivre grâce à l’élaboration de lois sur la protection des renseignements personnels qui reflètent des approches variées et qui permettent l’interopérabilité.

Dans le mémoire qui suit, nous formulons des observations supplémentaires et proposons un nouveau préambule ainsi que des modifications aux articles 5, 12 et 13 de la LPVPC.

Prévoir des obligations et des droits précis

Notre mémoire traite de cette question en détail. Je m’attarderai ici au consentement et aux exceptions à l’obligation de l’obtenir, ainsi qu’au principe de responsabilité.

i) Consentement valide et consentement valable

Le projet de loi est censé permettre aux consommateurs d’exercer un meilleur contrôle sur leurs renseignements personnels. À cette fin, il prescrit les éléments qui doivent figurer en langage clair dans les avis de confidentialité. Bien que cette approche puisse paraître semblable à celle adoptée dans les Lignes directrices pour l’obtention d’un consentement valable, que nous avons publiées en 2018, elle comporte une omission importante : l’exigence, prévue dans nos lignes directrices et en vertu de la loi actuelle (art. 6.1 de la LPRPDE) que « le consentement de l’intéressé n’est valable que s’il est raisonnable de s’attendre à ce qu’un individu visé par les activités de l’organisation comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles il a consenti ». (C’est moi qui souligne.)

En prescrivant les éléments d’information à présenter dans les avis de confidentialité sans continuer d’exiger que le consommateur comprenne probablement ce à quoi on lui demande de consentir, la LPVPC ne permettrait pas aux individus d’exercer un meilleur contrôle. Bien au contraire.

La nature ouverte des fins pour lesquelles les organisations peuvent demander le consentement accentue cette réduction du contrôle exercé. La LPRPDE exige actuellement que les fins soient légitimes et « explicitement indiquées ». Cela est conforme aux lois de la plupart des autres juridictions, selon lesquelles les fins doivent être définies « explicitement » ou même « aussi précisément que possible ». Cette limite est importante pour aider le consommateur à comprendre ce à quoi il consent. Pourtant, elle est omise dans le projet de loi C-11. Les organisations pourraient donc vraisemblablement demander le consentement pour des fins vagues et obscures, par exemple « pour améliorer l’expérience du consommateur ».

Enfin, sur cet aspect, le paragraphe 15(4) de la LPVPC exigerait un consentement exprès, mais cette disposition permettrait à une organisation de s’en remettre à un consentement implicite si elle « conclut » (en anglais « establishes ») à la lumière de certains facteurs que ce type de consentement est approprié. Au lieu d’exiger une évaluation objective des facteurs pertinents, le projet de loi C-11 semble donc s’en remettre aux conclusions d’une organisation qui estimerait qu’un consentement implicite est approprié. Voilà un autre exemple de la philosophie en vertu de laquelle les entreprises obtiendraient de la prévisibilité et de la souplesse au lieu d’être assujetties à une surveillance et à des normes objectives. Un simple amendement – à savoir la suppression du passage « une organisation peut conclure que » au paragraphe 15(4) – résoudrait le problème et mettrait pleinement en œuvre la recommandation formulée par le comité ETHI en 2018^{Note de bas de page 1}.

ii) Exceptions à l’obligation d’obtenir le consentement et responsabilité

La LPVPC ajouterait de nouvelles exceptions importantes à l’obligation d’obtenir le consentement. Nous estimons que ces exceptions ont leur place dans une loi moderne sur la protection de la vie privée.

Nous avons tiré des leçons des 20 dernières années. Entre autres, nous avons appris que la protection de la vie privée ne peut reposer uniquement sur le consentement. Il n’est tout simplement pas réaliste ou raisonnable de demander aux individus de consentir à toutes les utilisations possibles de leurs données dans une économie de l’information aussi complexe que celle d’aujourd’hui. Le rapport de force est trop inégal.

De fait, on peut obtenir le consentement pour légitimer des utilisations qui, en toute objectivité, sont complètement déraisonnables et contraires à nos droits et à nos valeurs. Dans ces situations, les règles régissant le consentement ne protègent pas la vie privée. Elles y portent plutôt atteinte et minent la confiance des individus, ce qui nuit à l’économie numérique.

Plusieurs nouvelles exceptions à l’obligation d’obtenir le consentement figurant dans le projet de loi C-11 sont raisonnables. Toutefois, deux aspects nous inquiètent particulièrement : certaines exceptions ont une portée excessive; et le projet de loi n’impose pas aux organisations, en contrepartie du pouvoir accru d’utiliser les renseignements personnels, une plus grande responsabilité quant à la façon dont elles tirent parti de ces autorisations.

Les alinéas 18(2)b) et e) de la LPVPC ont une portée excessive. Il serait probablement possible de réduire la portée du premier alinéa, mais le législateur devrait supprimer le deuxième. Nous ne pouvons trouver aucun motif qui justifierait de façon raisonnable une exception à l’obligation d’obtenir le consentement fondé sur le fait qu’il est pratiquement impossible de l’obtenir. Cet alinéa rendrait complètement vaine la règle du consentement. Il faudrait peut-être autoriser certaines activités déterminées (par exemple celles des moteurs de recherche) en raison de leur utilité, même s’il est pratiquement impossible d’obtenir le consentement en pareil cas. Ou encore, tel qu’il est suggéré dans nos propositions récentes sur l’intelligence artificielle, adopter une exception fondée sur le concept des « intérêts commerciaux légitimes », mais uniquement dans le cadre d’une loi axée sur les droits de la personne.

Par suite de l’adoption du projet de loi C-11, les organisations auraient beaucoup plus de possibilités de recueillir, d’utiliser et de communiquer les renseignements personnels d’un consommateur sans son consentement. Autrement dit, le projet de loi reconnaît que le consentement est souvent illusoire et vise à trouver des moyens d’autoriser, tout en les réglementant, les activités d’affaires modernes qui « repose[nt] sur l’analyse, la circulation et l’échange de renseignements personnels » (article 5), lorsque l’obtention du consentement n’est ni raisonnable ni réaliste.

En créant des exceptions nouvelles et plus larges à l’obligation d’obtenir le consentement, la loi donnerait moins de poids au contrôle exercé par les individus pour protéger leur vie privée. Il faudrait remplacer cette protection par d’autres mesures. Si les organisations ont davantage de pouvoirs d’utiliser les données, elles devraient aussi avoir une plus grande responsabilité à cet égard. Les intervenants du milieu de la protection de la vie privée, même les représentants de l’industrie, s’entendent sur ce point.

Pourtant, la LPVPC ne renforcerait pas le principe de responsabilité énoncé dans la LPRPDE. On pourrait même soutenir qu’elle l’affaiblirait – en partie en définissant la responsabilité de façon descriptive plutôt que normative. Contrairement à la responsabilité prévue dans d’autres lois et dans les lignes directrices du Commissariat, l’obligation imposée dans la LPVPC ne se traduirait pas par l’adoption de politiques et de procédures assurant la conformité à la loi (objectif normatif). Les politiques et les procédures applicables seraient plutôt celles qu’une organisation déciderait d’adopter pour s’acquitter de ses obligations (règle descriptive). Là encore, on privilégie la prévisibilité et la souplesse pour les entreprises, au lieu de normes et de la surveillance.

L’économie numérique actuelle repose sur des technologies et des modèles d’affaires complexes que les consommateurs ont de la difficulté à comprendre ou qu’ils ne comprennent tout simplement pas. Comme nous le faisons valoir depuis un certain temps, en qualité d’organisme de réglementation, le Commissariat devrait dans ce contexte avoir le pouvoir d’inspecter de façon proactive les pratiques commerciales et de les soumettre à des vérifications et à des enquêtes pour vérifier la conformité à la loi, même s’il n’y a pas de motif ni de preuve au préalable d’un manquement à la loi. Ce pouvoir de « regarder sous le capot » de ces technologies et modèles d’affaires complexes – non pas de façon arbitraire mais sur la base de l’évaluation, par nos experts, du risque d’atteinte à la vie privée et sous réserve d’une révision judiciaire – constitue à notre avis un élément nécessaire dans une loi moderne sur la protection de la vie privée.

On trouve ce type de dispositions dans les lois sur la protection des renseignements personnels du Québec et de l’Alberta et dans celles de plusieurs juridictions, y compris de pays de common law comme le Royaume-Uni, l’Australie et l’Irlande. On les retrouve également dans le récent document de consultation sur la réforme de la Loi sur la protection des renseignements personnels produit par le ministère de la Justice. Ces dispositions donneraient l’assurance que les organisations sont tenues responsables de la façon dont elles tirent parti de la souplesse accrue de recueillir, d’utiliser et de communiquer les renseignements personnels des consommateurs. Par exemple, elles assureraient le respect de la vie privée dans le cadre du développement et de l’application de systèmes décisionnels automatisés et de l’intelligence artificielle. Elles contribueraient également à répondre aux préoccupations des Canadiens, lesquelles sont à l’origine du manque de confiance à l’égard de l’économie numérique.

Enfin, les dispositions de la LPVPC régissant la responsabilité devraient exiger explicitement des organisations qu’elles appliquent l’approche de protection de la vie privée dès la conception, comme le comité ETHI l’a recommandé dans son rapport de 2018, ainsi qu’une évaluation des facteurs relatifs à la vie privée (EFVP) dans le cas des activités à risque élevé. En exigeant une EFVP pour toutes les activités donnant lieu à la collecte, à l’utilisation ou à la communication des renseignements personnels, on créerait un fardeau excessif pour les organisations, en particulier les petites et moyennes entreprises. La protection de la vie privée dès la conception et les EFVP sont importantes pour permettre une protection proactive de la vie privée de la part des organisations. La conformité à la loi ne peut reposer uniquement sur les enquêtes et les pénalités. Des stratégies proactives sont tout aussi importantes, voire davantage à notre avis, pour atteindre la conformité et respecter les droits des consommateurs en tout temps.

Donner accès à des recours rapides et efficaces et préciser le rôle du Commissariat

La LPVPC donnerait au Commissariat le pouvoir de rendre des ordonnances et le CPVP pourrait aussi recommander l’imposition de sanctions pécuniaires très élevées, mais ces dispositions sont soumises à des limites et à des conditions telles que les consommateurs n’auraient pas accès à des recours rapides et efficaces. Pour atteindre cet objectif, il faudrait apporter des amendements importants au projet de loi.

i) Limites applicables aux infractions susceptibles de faire l’objet de pénalités administratives

La limite la plus évidente à l’imposition de sanctions administratives pécuniaires se trouve au paragraphe 93(1) de la LPVPC, qui n’autorise ces sanctions que pour une liste infime de violations de la Loi. Ni les obligations se rapportant à la forme ou à la validité du consentement, ni les nombreuses exceptions à l’obligation d’obtenir le consentement, pourtant au cœur de la protection des renseignements personnels, ne sont du nombre. La violation du principe de la responsabilité, censé être un contrepoids important à la souplesse accrue accordée aux organisations dans le traitement des données, n’est pas mentionnée non plus.

En cas d’atteinte à ces droits et de manquements à ces obligations, seules des sanctions pénales s’appliqueraient et uniquement à l’issue d’un processus qui, d’après nous, s’échelonnerait sur sept (7) ans en moyenne. Ce processus comprendrait une ordonnance rendue par le Commissariat et un refus de s'y conformer par l’organisation. Les amendements que nous recommandons permettraient d’en ramener la durée à moins de deux (2) ans. En particulier, nous recommandons que la plupart, sinon toutes les infractions à la LPVPC puissent entraîner une pénalité administrative après un avis du Commissariat offrant à l’organisation une dernière chance de se conformer à la loi. Les sanctions pénales seraient imposées uniquement pour les infractions les plus graves.

ii) Tribunal de la protection des renseignements personnels et des données

La création d’un palier supplémentaire d’appels, prenant la forme d’un tribunal, constituerait l’un des systèmes de contrepoids imposés au Commissariat. Selon le gouvernement, ce tribunal assurerait à la fois l’équité pour les organisations et l’accès à des recours rapides et efficaces pour les consommateurs.

Bien que le Commissariat accepte volontiers de rendre compte de ses actions, nous soutenons toutefois respectueusement que le nouveau tribunal est à la fois inutile pour accroître la responsabilité et l’équité (ce rôle est déjà joué par la Cour fédérale) et contreproductif pour offrir des recours rapides et efficaces. Nous recommandons de ne pas ajouter cette couche supplémentaire à un processus qui peut déjà être très long. Néanmoins, dans l’éventualité où le Parlement déterminerait que le nouveau tribunal apportera une valeur ajoutée, nous recommandons que sa composition soit renforcée et que les appels de ses décisions soient portés directement devant la Cour d’appel fédérale.

Nous analysons cet aspect dans notre mémoire, mais je souhaite souligner quelques points ici. Premièrement, il n’y a dans aucune autre juridiction un tel palier administratif supplémentaire entre l’organisme de réglementation de la protection de la vie privée et les tribunaux. Deuxièmement, d’après l’expérience de ces autres juridictions, notamment certaines provinces canadiennes, il est possible de créer des structures efficaces au sein des autorités de protection des données pour renforcer l’équité en dissociant les fonctions d’enquête des fonctions d’arbitrage. Troisièmement, le Commissariat est déjà assujetti au contrôle judiciaire. Au cours de ses presque 40 ans d’existence, le Commissariat n’a vu qu’une seule fois une décision qu’il a prise être jugée non conforme aux règles de justice naturelle.

Quatrièmement, et c’est sans doute l’aspect le plus important, le fait que le Commissariat ne serait pas autorisé à imposer des pénalités administratives, et que ses ordonnances feraient l’objet d’un appel administratif avant le contrôle judiciaire normalement applicable, aurait pour effet de réduire les incitatifs qu’ont les organisations dans le modèle en place ailleurs dans le monde à s’entendre rapidement avec l’organisme de réglementation. Ainsi, dans toutes les autres juridictions, où l’autorité de protection des données est la dernière autorité administrative et où elle peut imposer des sanctions pécuniaires, les organisations ont intérêt à trouver un terrain d’entente lorsqu’il semble probable qu’une enquête en cours révélera une contravention et qu’une pénalité sera imposée. Malheureusement, la création du tribunal inciterait probablement les organisations à ne pas chercher un terrain d’entente mais plutôt à emprunter les voies d’appel, ce qui priverait les consommateurs de recours rapides et efficaces. Ultimement, comme le suggère le vieil adage : justice différée, justice refusée.

iii) Outils permettant à l’organisme de réglementation de protéger efficacement les consommateurs

Le projet de loi C-11 imposerait plusieurs nouvelles responsabilités au Commissariat, entre autres l’obligation d’examiner les codes de pratique et les programmes de certification et de donner des conseils aux organisations sur leur programme de gestion de la vie privée. La possibilité de collaborer ainsi avec les entreprises afin de rendre leurs activités conformes à la loi est une bonne chose. Toutefois, l’ajout de nouvelles responsabilités alors que le Commissariat est déjà débordé l’empêcherait d’accorder la priorité à d’autres activités qui, à la lumière de sa connaissance experte de l’environnement des risques pour la vie privée, pourraient viser des activités vraisemblablement plus préjudiciables aux consommateurs.

Dans ce contexte, nous estimons que des ressources supplémentaires seront nécessaires, mais l’argent ne constitue pas le principal enjeu. La question est de savoir si la loi donnerait au Commissariat le pouvoir discrétionnaire voulu pour gérer sa charge de travail, répondre aux demandes des organisations et aux plaintes des consommateurs de la façon la plus efficace et la plus efficiente possible, et réserver une partie de son temps aux activités qu’il entreprend, en se fondant sur son évaluation du risque pour les Canadiens.

Les organismes de réglementation efficaces sont ceux qui établissent l’ordre de priorité de leurs activités en fonction du risque. Aucun organisme de réglementation ne dispose de ressources suffisantes pour traiter toutes les demandes qu’il reçoit des citoyens et des entités réglementées. Pourtant, le projet de loi C-11 imposerait de nouvelles responsabilités au Commissariat, notamment l’obligation de se prononcer sur des plaintes avant que les consommateurs puissent exercer un droit privé d’action. Il établirait des délais stricts pour l’exécution des activités du Commissariat et ne lui donnerait aucun pouvoir discrétionnaire supplémentaire pour gérer sa charge de travail. Non seulement cette situation serait intenable pour le Commissariat en tant qu’organisation bureaucratique, mais aussi elle le priverait d’un outil essentiel pour protéger les Canadiens de façon efficace.

C’est pourquoi nous formulons plusieurs recommandations à ce sujet dans le but de permettre au Commissariat d’être un organisme de réglementation qui, à la hauteur de ses moyens, vise à desservir les plaignants et les organisations qui s’adressent à lui, tout en cherchant des moyens efficaces afin de protéger les Canadiens dans leur ensemble.

Conclusion

Ces dernières années nous ont ouvert les yeux sur les avantages emballants et les risques préoccupants des nouvelles technologies pour nos valeurs et nos droits. Les questions auxquelles nous faisons face sont complexes mais la voie à suivre est claire. Comme société, nous devons projeter nos valeurs dans nos lois sur le numérique. Nos citoyens s’attendent à rien de moins de leurs institutions publiques. C’est à cette condition que la confiance en l’économie numérique, abîmée par de nombreux scandales, reviendra.

Examen du projet de loi C-11 par le CPVP – contexte

Avant de présenter nos commentaires détaillés au sujet du projet de loi, il convient de fournir un aperçu de la perspective dans laquelle nous avons examiné ce dernier.

Notre position générale sur la réforme des lois sur la protection des renseignements personnels se retrouve aussi dans le message du commissaire tiré de nos rapports annuels de 2018-2019 et de 2019-2020, dans l’allocution du commissaire devant l’Assemblée nationale du Québec au sujet du projet de loi 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, ainsi que dans un article d’opinion paru dans le Hill Times en septembre 2020 intitulé « Données et vie privée : une question de valeurs ».

Notre mémoire repose en partie sur notre expérience en tant qu’organisme de réglementation et notre participation fréquente et significative aux questions touchant la vie privée en collaboration avec d’autres autorités de protection des données au Canada et à l’échelle mondiale. Nos recommandations sont fondées sur la jurisprudence, les pratiques exemplaires et la recherche, en plein essor depuis quelques années et formant donc un bassin impressionnant de connaissances dans lequel nous pouvons puiser. Ces recommandations sont étroitement alignées sur les lois existantes, fréquemment citées dans le présent mémoire, que d’autres provinces canadiennes ou États étrangers ont adoptées. Nous nous reportons également au travail que le CPVP a commandé auprès d’éminents chercheurs canadiens comme Ignacio Cofone (sur l’intelligence artificielle) et Teresa Scassa (sur la protection de la vie privée à titre de droit de la personne et sur la circulation transfrontalière des données).

Enfin, le CPVP convient qu’il est essentiel, dans une économie moderne et centrée sur les données, d’accorder aux organisations la liberté d’innover de façon responsable, ce qui nécessitera de nouvelles exceptions relatives au consentement. Les lois devraient permettre l’utilisation de renseignements personnels dans l’intérêt public. De plus, le traitement responsable des données personnelles peut servir l’intérêt du public en ce qui a trait à la santé, à la croissance économique et à l’amélioration des politiques et des programmes publics.

L’intelligence artificielle (IA), par exemple, renferme un potentiel immense, y compris la possibilité de répondre à certaines des questions les plus urgentes de l’heure. Elle peut notamment détecter et analyser des formes récurrentes dans les images médicales pour aider les médecins à diagnostiquer les maladies, améliorer l’efficacité énergétique en prévoyant la demande sur les réseaux électriques, offrir un apprentissage hautement individualisé aux étudiants, et gérer les flux de circulation dans les différents modes de transport afin de réduire les accidents et sauver des vies. L’IA permet également aux organisations d’innover dans le domaine des produits de consommation et des opérations commerciales, entre autres en automatisant le contrôle de la qualité et la gestion des ressources. Elle permet d’accroître l’efficacité, la productivité et la compétitivité, facteurs essentiels à la reprise économique et à la prospérité à long terme du pays.

Toutefois, les avantages que l’on peut tirer des données ne doivent pas être obtenus en ignorant la vie privée ou en la reléguant à un rôle secondaire, celui d’une bonne pratique qui peut trop facilement être mise de côté pour atteindre d’autres objectifs. Au contraire, la protection de la vie privée et l’innovation ne sont pas des valeurs contradictoires et elles peuvent coexister.

La plus grande souplesse accordée aux organisations pour innover devrait être exercée dans un cadre juridique qui considère la protection de la vie privée comme un droit de la personne. Au minimum, la loi devrait établir des normes objectives et adoptées démocratiquement dans l’intérêt public, garantissant aux consommateurs que leur participation dans le monde numérique ne dépendra plus de leur « consentement » envers des pratiques imposées unilatéralement par le secteur privé. En outre, une plus grande souplesse dans le traitement des données devrait s’accompagner d’une plus grande responsabilisation des entreprises. C’est en respectant ces conditions que la confiance, érodée en raison de nombreuses atteintes au droit à la vie privée, sera rétablie.

Nos commentaires en bref

Navdeep Bains, ministre de l’Innovation, des Sciences et de l’Industrie au moment du dépôt du projet de loi, a affirmé que le projet de loi C‑11 vise trois grands objectifs : permettre aux consommateurs d’assurer un contrôle significatif de leurs données, favoriser l’innovation responsable et créer un modèle d’application et de surveillance rigoureux. Une tâche considérable attend maintenant le Parlement, y compris, à notre avis, celle d’étudier en détail la question de savoir si le projet de loi met en œuvre ces trois objectifs et s’il répond à l’objectif ultime de protéger la vie privée de la population canadienne dans le contexte d’une ère moderne axée sur les données.

Malgré les objectifs ambitieux du projet de loi C-11, nous sommes d’avis que sa version actuelle constituerait un recul en matière de protection de la vie privée. Ce projet de loi pose de sérieux problèmes. Il cherche à répondre à la plupart des questions pertinentes relatives à la protection de la vie privée dans le contexte d’une économie numérique moderne, mais d’une manière qui est souvent mal alignée avec les lois d’autres juridictions et qui procure une protection moindre que ces lois. Cependant, si des modifications importantes y sont apportées, le projet de loi pourrait devenir un texte législatif solide qui protégerait réellement le droit à la vie privée de la population canadienne tout en favorisant des activités économiques responsables.

Le présent mémoire énonce une série de modifications recommandées qui sont réparties en trois thèmes :

• Une meilleure répartition du poids accordé au droit à la vie privée et aux intérêts commerciaux
• Des obligations et des droits précis
• L’accès à des recours rapides et efficaces et le rôle du CPVP

Modifications recommandées

Premier thème : Poids accordé au droit à la vie privée et aux intérêts commerciaux

Notre commissariat a plaidé en faveur d’une modernisation des lois qui accorderait davantage de souplesse aux organisations quant à l’utilisation de renseignements personnels sans consentement pour innover de façon responsable et pour des usages socialement bénéfiques, mais dans le cadre d’une loi qui enchâsserait la protection de la vie privée comme un droit de la personne et en tant qu’élément essentiel à l’exercice d’autres droits fondamentaux.

Le projet de loi C-11 prévoit que le droit à la vie privée et les intérêts commerciaux constituent des intérêts concurrents qu’il faut soupeser. En réalité, le projet de loi accorde sans doute davantage de poids aux intérêts commerciaux que la loi actuelle, puisqu’il ajoute de nouveaux facteurs commerciaux à prendre en compte dans la balance sans évoquer les leçons tirées au cours des vingt dernières années quant aux effets perturbateurs de la technologie sur les droits.

Selon nous, il serait normal et juste que les activités commerciales soient autorisées dans le respect des droits, plutôt que de mettre les droits et les intérêts commerciaux sur le même pied. Généralement, il est possible de réaliser à la fois des objectifs commerciaux et la protection de la vie privée. C’est de cette façon que nous concevons l’innovation responsable. Mais en cas de conflit, nous pensons que les droits devraient l’emporter.

Dans la présente section, nous énumérons une liste de modifications qui permettraient d’établir un meilleur équilibre entre le droit à la vie privée et les intérêts commerciaux.

Cadre relatif aux droits de la personne

En prévision du rapport annuel au Parlement 2018-2019, le CPVP a demandé à M^me Teresa Scassa d’étudier la question de savoir si une approche fondée sur les droits de la personne en matière de droit à la protection des données pourrait être mise en œuvre au Canada, et de quelle façon^{Note de bas de page 2}. M^me Scassa a écrit ce qui suit :

L’approche fondée sur les droits de la personne en matière de droit à la protection de la vie privée place les valeurs liées aux droits de la personne qui sous-tendent la protection de la vie privée au centre de toute loi portant sur ce sujet. Le fait d’aborder la protection de la vie privée comme un droit de la personne n’empêche pas qu’il faille trouver un équilibre entre vie privée et droits et intérêts opposés (parmi lesquels certains ont un statut constitutionnel). Au contraire, une telle approche reconnaît la nature et la valeur de la protection de la vie privée en tant que droit de la personne de sorte à lui accorder le poids qui lui revient dans tout exercice de mise en balance.

M^me Scassa souligne que le droit à la protection de la vie privée est clairement reconnu en tant que droit de la personne fondamental dans des traités internationaux dont le Canada est signataire, y compris la Déclaration universelle des droits de l’homme (voir l’article 12) et le Pacte international relatif aux droits civils et politiques (voir l’article 17). La Cour fédérale a accordé à la LPRPDE un statut quasi constitutionnel dans la décision Nammo c. TransUnion of Canada Inc.^{Note de bas de page 3}. De plus, la Cour suprême du Canada a reconnu à de nombreuses reprises la nature quasi constitutionnelle du droit à la protection de la vie privée « en raison du rôle fondamental que joue le respect de la vie privée dans le maintien d’une société libre et démocratique »^{Note de bas de page 4}.

Au-delà de cette reconnaissance de l’importance de la protection de la vie privée, le fait d’aborder cette question sous l’angle des droits de la personne peut également lui permettre d’évoluer. Au départ, la protection de la vie privée était plutôt axée sur l’individu, et le consentement consistait en un moyen de permettre un contrôle (du moins en théorie) sur l’accès aux renseignements personnels et leur utilisation.

Cependant, comme l’a signalé M^me Scassa, on reconnaît de plus en plus que les atteintes à la vie privée d’un individu peuvent nuire au bien-être collectif. Par exemple, bien que la surveillance de masse touche les individus, elle peut nuire au bien-être collectif en provoquant des changements de comportement à grande échelle ou une diminution généralisée de la dignité et de l’autonomie. De plus, les analyses de données récentes peuvent réduire les individus aux caractéristiques qu’ils partagent au sein d’un groupe, ce qui peut potentiellement causer des torts individuels et collectifs quand des hypothèses formulées à l’égard des caractéristiques du groupe sont appliquées tant au groupe qu’à ceux qui en font partie. Dans ce cas, les atteintes à la vie privée sont étroitement liées au droit à l’égalité et à la protection contre la discrimination.

[Un examen plus poussé du besoin d’établir un cadre fondé sur les droits est accessible dans le rapport annuel mentionné plus haut; nous vous renvoyons à ce document pour une discussion approfondie sur le sujet.]

Cependant, un cadre fondé sur les droits de la personne n’exige pas que la législation relative à la protection de la vie privée se fasse au détriment de l’innovation. En fait, il s’agirait d’une occasion à saisir pour le Canada. Dans son mémoire relatif à l’examen de la Privacy Act de l’Australie (en anglais seulement) le commissariat à la protection de la vie privée de l’Australie écrit ce qui suit :

[TRADUCTION]

Cependant, la mise en balance du droit à la protection de la vie privée et des objectifs économiques, sécuritaires et de tout autre objectif important d’intérêt public n’est pas un jeu à somme nulle. Les individus et les entités réglementées seront tous deux avantagés si les droits et les responsabilités figurant dans la Privacy Act [australienne] sont bien pondérés. Des lois efficaces en matière de protection de la vie privée favorisent la croissance économique en renforçant la confiance sachant que l’utilisation innovante des données se fait dans un cadre favorisant la responsabilité et les pratiques durables de traitement des données. Si les individus ont davantage confiance dans la manière dont leurs renseignements personnels sont gérés, ils seront vraisemblablement plus enclins à appuyer les services et les initiatives qui proposent de traiter ces renseignements. Ces éléments sont essentiels à la mise en place d’une économie et d’un gouvernement numériques et dynamiques.

Nous avons avancé des arguments similaires, notamment dans notre rapport annuel de 2018-2019 :

L’intégration d’un cadre fondé sur les droits permettrait d’appuyer une innovation responsable et de susciter la confiance envers le gouvernement. Cela permettrait aux gens de participer pleinement et en toute confiance à l’économie numérique. Nous sommes convaincus que les organisations des secteurs privé et public pourront continuer d’innover et de prospérer dans un environnement qui, d’une part, appuie et favorise l’innovation et qui, d’autre part, reconnaît et protège le droit à la vie privée des personnes. En fait, en mettant davantage l’accent sur le droit à la vie privée, les pratiques responsables et la transparence, on pourrait aider le milieu des affaires et le secteur public à demeurer concurrentiels et pertinents à l’échelle nationale et internationale, compte tenu de l’évolution de la situation sur ce plan dans le monde.

D’ailleurs, Satya Nadella, le président-directeur général (PDG) de Microsoft, a souligné lors du Forum économique mondial de 2020 que la confiance à l’égard de l’utilisation des renseignements personnels est fondamentale pour assurer la croissance économique :

[TRADUCTION]

Le seul facteur qui pourrait non seulement ralentir la croissance économique, mais aussi nous faire revenir en arrière, c’est le manque de confiance envers le facteur même de production qui est censé alimenter la quatrième révolution industrielle. La cybersécurité, la vie privée […] l’éthique de l’IA ou la sécurité sur Internet sont des sujets importants que nous devrons encadrer à l’aide de normes mondiales pour garantir que les personnes aient confiance dans la technologie. À titre de créateurs de plateformes, nous devrons apporter notre contribution à cet égard^{Note de bas de page 5}.

En d’autres termes, la protection de la vie privée en tant que droit fondamental est tout à fait conforme à l'objectif du gouvernement de favoriser la confiance dans l'économie numérique axée sur l’information.

Un an plus tôt, lors de la 41^e Conférence internationale annuelle des commissaires à la protection des données et de la vie privée, Brad Smith, le président de Microsoft, a fait la remarque suivante :

[TRADUCTION]

Le droit à la vie privée n’est pas simplement un droit de la personne fondamental. C’est un droit élémentaire^{Note de bas de page 6}.

Dans son allocution à la conférence Computers, Privacy and Data Protection plus tôt cette année, Tim Cook, le PDG d’Apple, a déclaré ce qui suit :

[TRADUCTION]

Si nous reconnaissons qu’il est normal et inévitable que tout dans nos vies peut être regroupé et vendu, nous perdons bien plus que des données […] nous perdons la liberté d’être des humains^{Note de bas de page 7}.

Dans son témoignage devant le Comité ETHI de la Chambre des communes en mai 2018, Jim Balsillie, ancien coprésident-directeur général de l’entreprise Research in Motion et cofondateur du Conseil canadien des innovateurs, a affirmé ce qui suit :

Les Canadiens doivent acquérir des compétences officielles dans ce nouveau type d’économie, car elle touche tous les aspects de notre vie […] Les renseignements personnels ont déjà été utilisés pour manipuler des personnes, leurs relations sociales et nuire à leur autonomie. Toutes les données recueillies peuvent être retraitées, utilisées et analysées ultérieurement, de façons qui ne peuvent être anticipées au moment de la collecte. Cela a des répercussions majeures sur notre liberté et notre démocratie […] C’est le rôle d’un gouvernement libéral et démocratique d’améliorer la liberté en protégeant la sphère privée. La sphère privée est ce qui nous rend libres.

Il y a aussi lieu de souligner que la reconnaissance du droit à la vie privée en tant que droit de la personne n’est pas incompatible avec un cadre de protection des données fondé sur des principes et n’a pas à donner lieu à une loi trop prescriptive. Le caractère prescriptif d’une loi est souvent lié au niveau de détails associés à la définition de principes particuliers en matière de protection de la vie privée. Un cadre axé sur les droits fonctionne au même niveau de généralité qu’une loi fondée sur des principes. Aucun des deux n’est strictement prescriptif. Ils sont tous deux également flexibles et adaptables pour encadrer un environnement en constante évolution comme celui de la technologie et de l’économie numérique.

Comme le droit à la vie privée est de plus en plus reconnu comme un droit lié à l’exercice d’autres droits de la personne, une formulation plus claire du sens, de la portée et de l’importance de ce droit s’impose. Ainsi, par exemple, les enjeux inhérents à la société des mégadonnées ont accentué l’urgence de préciser les liens entre la protection des données et les droits de la personne sur lesquels elle repose. L’adoption d’un cadre fondé sur les droits permettrait de conserver une certaine souplesse dans l’interprétation de la loi, tout en offrant l’orientation nécessaire relative aux valeurs, principes et objectifs qui le sous-tendent et qui devraient façonner son interprétation et son application, en particulier lorsque les dispositions ne sont pas claires. Cette approche offrirait aux consommateurs de bien meilleures garanties que leurs droits seraient respectés par les organisations à qui ils confient leurs renseignements personnels.

Maintenant que nous avons exposé notre raisonnement concernant l’inclusion d’un cadre fondé sur les droits de la personne dans la LPVPC, nous formulons les recommandations suivantes.

Ajout d’un préambule

Notre première recommandation consiste à proposer à nouveau que la LPVPC comprenne un préambule. Dans notre rapport annuel de 2018-2019, nous avions énoncé qu’un préambule devrait apparaître au début d’une LPRPDE révisée et avions alors présenté le texte proposé. Un tel préambule servirait à définir les valeurs, principes et objectifs qui devraient guider l’interprétation et l’application de la LPVPC. Par exemple, l’ajout de ces dispositions permettrait d’établir auprès de ceux qui interprètent le paragraphe 12(1) que les fins « acceptables », et donc permises par la loi, doivent être examinées au regard des valeurs et des droits mentionnés, tout en reconnaissant l’intérêt légitime des organisations à gérer les renseignements personnels de façon responsable.

Certains ont soulevé des objections sur ce plan, au motif qu’une telle proposition ne concorderait pas avec le fondement constitutionnel de la loi en ce qui concerne le pouvoir fédéral sur le trafic et le commerce. Cependant, si la loi a pour objet principal de réglementer le commerce, elle peut inclure des mesures de protection de la vie privée, comme celle de considérer la vie privée comme un droit de la personne. En fait, l’ajout d’un préambule renforcerait le fondement constitutionnel de la loi en établissant l’objet et le contexte de la loi^{Note de bas de page 8}. La Cour suprême a fait observer que l’absence de préambule crée des difficultés dans la réalisation d’une analyse du partage des compétences^{Note de bas de page 9}. Compte tenu des doutes constitutionnels qui ont été soulevés à l'égard de la LPRPDE, un préambule fournirait aux tribunaux un guide d'interprétation indispensable quant à l’objet et au fondement constitutionnel de la loi.

Nous proposons donc le préambule suivant, qui se fonde sur la version présentée dans notre rapport annuel 2018-2019, à laquelle nous avons ajouté des précisions pour mieux souligner le fondement constitutionnel de la LPVPC en ce qui concerne le pouvoir fédéral sur le trafic et le commerce :

Préambule proposé :

ATTENDU QUE la protection de la vie privée est un droit fondamental de chaque personne et une valeur fondamentale protégée dans les instruments internationaux portant sur les droits de la personne dont le Canada est signataire;

ATTENDU QUE le droit à la vie privée protège l’autonomie et la dignité individuelles et est lié à la protection de la réputation et à la liberté de pensée et d’expression;

ATTENDU QUE la protection de la vie privée est nécessaire au maintien de relations de confiance mutuelle qui sont essentielles au tissu social canadien et à l’économie canadienne;

ATTENDU QUE la protection de la vie privée est essentielle à la préservation de la démocratie ainsi qu’à la pleine jouissance et à l’exercice de bon nombre des droits et libertés garantis par la Charte canadienne des droits et libertés;

ATTENDU QUE le contexte technologique et économique actuel et en constante évolution facilite la collecte de quantités massives de données personnelles ainsi que l’utilisation de ces données, qu’elles soient identifiables, agrégées ou rendues anonymes, d’une manière qui peut avoir des répercussions négatives sur les personnes, les groupes et les communautés;

ATTENDU QUE le traitement des données personnelles doit être conçu pour servir l’humanité et, en particulier, doit respecter l’intérêt supérieur de l’enfant;

ATTENDU QUE l’économie numérique axée sur l’information a le potentiel d’apporter des avantages économiques, sociaux et culturels à la population canadienne;

ATTENDU QUE l’objet de cette loi est de promouvoir et de soutenir le commerce électronique afin que les personnes puissent participer à l’économie numérique axée sur l’information sachant que leur droit à la vie privée sera respecté, ce qui permettra de garantir des avantages pour tous;

ATTENDU QUE cette loi protège le droit à la vie privée des personnes tout en reconnaissant l’intérêt légitime des organisations à recueillir, à utiliser et à communiquer des renseignements personnels à des fins qu’une personne raisonnable estimerait appropriées dans les circonstances et d’une manière qui ne constitue pas de la surveillance;

ATTENDU QUE le droit à la vie privée doit être mis en équilibre avec d’autres droits fondamentaux comme le droit à la liberté d’expression dans des circonstances où la collecte, l’utilisation ou la communication de renseignements personnels sert un intérêt public légitime;

ET ATTENDU QUE cette loi a été reconnue par les tribunaux comme étant de nature quasi constitutionnelle;

Modification des articles 5, 12 et 13

En plus de l’ajout d’un préambule, nous croyons qu’apporter des modifications aux articles 5, 12 et 13 de la LPVPC permettrait de créer un meilleur équilibre entre le droit à la vie privée et les intérêts commerciaux, tout en renforçant le fondement de la loi dans la compétence du Parlement de légiférer en matière de trafic et de commerce en vertu de la Loi constitutionnelle de 1867.

Les modifications que nous proposons s’appuient sur la structure existante de l’article 3 et du paragraphe 5(3) de la LPRPDE, et formeraient les articles 5 et 12 de la LPVPC. Dans cette structure, l’article 5 de la LPVPC reconnaît déjà le « droit à la vie privée des individus ». Nous soulignons également que les articles 12 et 13 intègrent des aspects de nécessité et de proportionnalité, des concepts empruntés aux droits de la personne, afin de décider si une atteinte au droit à la vie privée est raisonnable. Nous proposons de modifier ces dispositions pour accorder un poids plus approprié au droit à la vie privée, le tout dans le cadre d’une structure préalablement approuvée par le Parlement, et donc probablement constitutionnelle.

Article 5

L’article 5 – l’énoncé d’objet de la LPVPC – devrait être modifié de sorte à ne plus renvoyer au droit à la vie privée d’une façon technique et trop restrictive, mais plutôt à reconnaître sa vraie nature en tant que droit quasi constitutionnel. Il faudrait également accorder un poids plus important au droit à la vie privée dans cet article en y ajoutant des considérations pour contrebalancer les nouveaux facteurs économiques. Enfin, cet article devrait contenir une déclaration plus claire de l’objet de la loi et de son fondement constitutionnel. Comme c’est le cas pour le préambule, ces changements permettront de renforcer la loi, et non de l’affaiblir, du point de vue constitutionnel.

Notre proposition, qui vise à énoncer plus clairement l'objet de la loi, est présentée dans l'encadré ci-dessous.

De la même façon que l’énoncé d’objet fournit un nouveau contexte relatif à l’interprétation des fins des entreprises, cet article devrait fournir un nouveau contexte et des éclaircissements concernant la référence au droit à la vie privée.

La référence aux termes « justes » et « licites » que nous proposons reflète l’article 4.4 du quatrième principe de la LPRPDE (« les renseignements personnels [doivent être recueillis] de façon honnête et licite »), le paragraphe 7 (premier principe) des Lignes directrices de l’OCDE régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel (les données de caractère personnel « devrai[ent] être obtenue[s] par des moyens licites et loyaux et, le cas échéant, après en avoir informé la personne concernée ou avec son consentement »), ainsi que l’alinéa 5(1)a) du Règlement général sur la protection des données (RGPD) (« [l]es données à caractère personnel doivent être traitées de manière licite, loyale et transparente »).

Article 12

Ensuite, nous recommandons que le paragraphe 12(1) fasse l’objet de modifications.

D’abord, nous croyons qu’il serait utile de préciser clairement qu’un examen de ce qui est acceptable exige une évaluation non seulement des fins de l’organisation mais également des moyens par lesquels elle compte arriver à ces fins. Il ne s’agirait pas d’une nouvelle mesure, mais plutôt d’une codification de la façon dont le paragraphe équivalent de la LPRPDE (par. 5(3)) a été interprété et appliqué par les tribunaux et notre commissariat. Nous avons déjà proposé une référence semblable dans l’énoncé d’objet.

Deuxièmement, le paragraphe 12(2) et les éléments qu’il décrit devraient aussi être modifiés.

Le paragraphe 12(2) devrait être modifié de deux façons. Tout d’abord, une mention devrait être ajoutée sur le caractère acceptable des moyens employés pour la collecte, l’utilisation ou la communication, et non seulement sur les fins visées, afin de reprendre les modifications proposées au paragraphe 12(1). Une analyse de la proportionnalité comprend l’évaluation à la fois des fins visées et des moyens employés.

Ensuite, la liste proposée d’éléments qui doivent être pris en compte lors de l’évaluation du caractère acceptable manque indûment de souplesse et ne correspond pas à l’approche de la Cour fédérale. Celle-ci a décidé (dans la décision Eastmond) que le paragraphe 5(3) de la LPRPDE – le précurseur de l’article 12 de la LPVPC – exige l’évaluation du caractère acceptable « de manière contextuelle, en examinant où, quand, comment et pourquoi les renseignements sont recueillis […] ce qui laisse supposer une flexibilité et une variabilité en fonction des circonstances. » La Cour d’appel fédérale a également reconnu que le critère des fins qu’une personne raisonnable estimerait acceptables doit être apprécié par rapport aux circonstances particulières telles qu’elles existent à un moment donné^{Note de bas de page 10}.

Ainsi, tandis que la jurisprudence de la Cour fédérale exige une évaluation contextuelle du caractère acceptable, le paragraphe 12(2) de la LPVPC impose la prise en compte d’éléments particuliers, parmi lesquels certains peuvent ne pas être pertinents dans certains cas, et ce, à l’exclusion d’autres qui pourraient l’être.

Par conséquent, nous proposons un nouveau texte pour le paragraphe 12(2), qui précise que les éléments dont il faut tenir compte dans le cadre d’une évaluation du caractère acceptable varieront selon le contexte et que la liste d’éléments est non exhaustive.

Enfin, nous recommandons de modifier les éléments visés aux alinéas 12(2)a) à e). Plus précisément :

Si le paragraphe 12(2) n’est pas modifié de manière à indiquer plus clairement que l’application des éléments variera selon les circonstances de la collecte, de l’utilisation ou de la communication, nous recommandons de retirer le premier élément (la nature délicate des renseignements). Sans cette modification, le texte donne à penser que le caractère acceptable de la collecte, de l’utilisation ou de la communication de renseignements considérés de « nature non délicate » n’a pas besoin d’être examiné de près au même titre que des renseignements de nature plus délicate. Cependant, nous estimons qu’il serait préférable de conserver ce critère parmi une liste d’éléments contextuelle et non exhaustive.

Les alinéas d) et e) devraient aussi être modifiés pour établir un équilibre plus juste entre le droit à la protection des renseignements personnels et les intérêts commerciaux. Dans le cas de l’alinéa d) – qui traite de l’existence de moyens portant une atteinte moindre à la vie privée de l’individu pour atteindre les fins visées à un « coût et avec des avantages comparables » – bien que les coûts et les avantages pour l’organisation soient des éléments pertinents à prendre en compte dans ce qui est essentiellement une analyse de la proportionnalité, l’idée qu’une légère augmentation des coûts justifierait davantage l’utilisation de mesures portant atteinte à la vie privée est évidemment inappropriée. De même, l’alinéa e) – qui concerne la proportionnalité entre les avantages et l’atteinte à la vie privée de l’individu – se termine par la prise en compte des mesures d’atténuation mises en place par l’organisation, sans tenir compte également des éléments aggravants relatifs à l’ampleur de la perte de droits. Pour les alinéas d) et e), nous recommandons de supprimer le qualificatif situé à la fin de l’alinéa, non pas parce qu’il n’est pas pertinent, mais plutôt pour pallier le manque d’équilibre.

L’alinéa e) est aussi trop restreint en ce qui concerne la vie privée, car il ne décrit pas celle-ci comme un droit fondamental ou quasi constitutionnel. Les avantages qu’obtient l’organisation ne devraient pas seulement être appréciés par rapport à l’atteinte à la vie privée dans un sens limité et technique, mais aussi par rapport aux droits et aux intérêts fondamentaux, tels que l’autonomie, la dignité ou les droits à l’égalité de l’individu qui sont touchés par la collecte, l’utilisation ou la communication. Nous avons proposé deux options pour le libellé révisé.

La première option, et celle que nous préférons, est l’évaluation générale de l’atteinte à la vie privée de l’individu ou à d’autres droits et intérêts fondamentaux par rapport aux avantages obtenus. Sinon, nous proposons le libellé que suggère le gouvernement du Canada dans le document du ministère de la Justice intitulé « Respect, responsabilité, adaptabilité : Consultation publique concernant la modernisation de la Loi sur la protection des renseignements personnels », qui tient compte du lien entre la vie privée et « la dignité […] l’autonomie […] et l’autodétermination ». Même si nous estimons que la portée de notre première formulation présente un avantage considérable dans la mesure où elle tient compte du lien entre la vie privée et l’exercice d’autres droits fondamentaux, l’inclusion du libellé utilisé dans le document de discussion sur la Loi sur la protection des renseignements personnels représenterait néanmoins une amélioration significative.

Enfin, nous avons proposé deux éléments supplémentaires. D’une part, si notre proposition de mentionner les « moyens employés » pour la collecte, l’utilisation ou la communication au paragraphe 12(1) et au début du paragraphe 12(2) est acceptée, la liste au paragraphe 12(2) devrait comprendre un élément sur les moyens utilisés. Nous suggérons que cet élément exige d’examiner si les moyens employés pour la collecte, l’utilisation ou la communication des renseignements étaient justes, licites et transparents.

D’autre part, comme il a été mentionné précédemment, nous proposons l’ajout d’un dernier élément sous l’alinéa g) – « tout autre élément pertinent dans les circonstances » – afin de souligner le fait que la liste est non exhaustive.

Article 13

L’article 13 intègre dans la LPVPC le principe de minimisation des données, lequel permet d’adapter l’analyse des besoins visée par le droit en matière de droits de la personne aux lois sur la protection de la vie privée. En fait, l’article 13 emploie le terme « nécessaire » pour qualifier la collecte de renseignements personnels.

Dans les lois d’autres juridictions, la minimisation des données exige que seuls les renseignements personnels nécessaires à « des finalités déterminées, explicites et légitimes » peuvent être recueillis : voir par exemple l’alinéa 5(1)b) du RGPD. L’article 15 de la Protection of Personal Information Act du Japon exige que les fins visées soient définies « le plus explicitement possible ». Dans la loi fédérale actuelle au Canada, l’article 4.3.3 de la LPRPDE fait également mention de « fins légitimes et explicitement indiquées ».

Cette exigence selon laquelle les fins visées doivent être déterminées ou explicitement indiquées a été retirée du projet de loi C-11, ce qui accorde un plus grand pouvoir discrétionnaire aux organisations concernant la définition des fins pour lesquelles elles recueilleront des renseignements. Du fait de ce changement, les organisations pourraient vraisemblablement obtenir le consentement pour des fins vagues et mystérieuses, telles que le prétexte « d’améliorer l’expérience du consommateur ».

Par conséquent, le fait de modifier l’article 13 afin d’exiger que les fins soient spécifiques, explicites et légitimes renforcerait l’analyse des besoins et la validité du consentement en s’assurant que les fins qui le sous-tendent soient compréhensibles.

Enfin, en ce qui concerne le cadre des droits de la personne, nous examinerons la question des définitions essentielles dans la LPVPC.

Autres considérations

Définition des renseignements personnels

Comme il est indiqué dans la récente publication du CPVP intitulée Un cadre réglementaire pour l’IA : recommandations pour la réforme de la LPRPDE (le document sur l’IA) et précisé dans le document qui l’accompagne rédigé par le professeur Ignacio Cofone, une mesure importante liée à l’approche axée sur les droits de la personne serait de modifier la définition des renseignements personnels afin qu’elle comprenne les inférences au sujet d’individus.

Par inférence, on entend une conclusion tirée à l’égard d’un individu sur la foi de données probantes et d’un raisonnement. À l’ère de l’IA et des mégadonnées, les inférences peuvent mener à de nombreuses révélations, notamment en matière d’affinité politique, d’intérêts, de classe sociale, de race, etc. Il s’agit d’un élément important, car une mauvaise utilisation de ces renseignements peut entraîner des préjudices pour les individus et les groupes au même titre que les renseignements recueillis – une position qu’a confirmée la Cour suprême dans l’arrêt Ewert c. Canada. En fait, comme l’a souligné (en anglais seulement) l’ancien groupe de travail européen portant sur l’article 29 en matière de protection des données, [TRADUCTION] « la plupart du temps, ce ne sont pas les renseignements personnels recueillis qui sont de nature sensible, mais plutôt les inférences qu’on en tire et les moyens utilisés pour y arriver, ce qui pourrait représenter une source d’inquiétude ».

Les décisions antérieures du CPVP et la jurisprudence canadienne appuient généralement l’affirmation selon laquelle les inférences constituent des renseignements personnels. Par exemple, le CPVP a conclu que les cotes de solvabilité constituent des renseignements personnels (Rapport des conclusions en vertu de la LPRPDE n^o 2013-008, entre autres), de même que les inférences au titre de la Loi sur la protection des renseignements personnels (Divulgation accidentelle par Santé Canada, par. 46). Cette interprétation concorde avec celle qu’a donnée la Cour suprême au sujet des renseignements personnels, qui comprennent les inférences et les hypothèses découlant des renseignements^{Note de bas de page 11}.

Malgré tout, les avis demeurent tout de même partagés sur l’interprétation à donner aux inférences. Pour certains, il s’agit d’un résultat obtenu à partir de renseignements personnels, comme peuvent l’être les décisions ou les avis, et ils estiment que les inférences ne sont donc pas visées par les lois concernant la protection des renseignements personnels. D’autres affirment, puisque les inférences sont normalement tirées à la suite d’un processus analytique – au moyen d’algorithmes par exemple – qu’il s’agit de produits créés par des organisations qui utilisent leurs propres estimations et que, pour cette raison, ces produits n’appartiennent pas aux individus.

Compte tenu de ces divergences, nous sommes d’avis qu’il y a lieu de rendre la loi plus claire en ajoutant expressément les inférences dans la définition des renseignements personnels. Cette inclusion s’accorderait avec les lois modernes sur la protection des renseignements personnels, comme la California Consumer Privacy Act (CCPA), dont la définition des renseignements personnels comprend expressément les inférences. Les modifications qu’a proposées (en anglais seulement) le commissariat à l’information de l’Australie à l’Australian Privacy Act appuient également cette approche.

Il importe de souligner que, même dans les cas où tous sont d’accord pour dire que des inférences constituent des renseignements personnels, le risque qu’elles révèlent des secrets commerciaux est invoqué par certains pour priver les individus de certains droits à la protection des renseignements personnels, par exemple ceux qui concernent l’accès et la correction. Les recommandations que nous formulons au sujet de la prise de décision automatisée proposent un moyen équitable de gérer ce conflit.

Définition des renseignements de nature délicate ou sensible

À l’alinéa 12(2)a), un des éléments à prendre en compte pour déterminer si un individu raisonnable estimerait les fins de l’organisation acceptables dans les circonstances est « la mesure dans laquelle les renseignements personnels sont de nature délicate ». Les organisations doivent aussi tenir compte de cet élément en ce qui concerne la forme du consentement (par. 15(4)), l’élaboration du programme de l’organisation pour la gestion de la protection des renseignements personnels (par. 9(2)), le degré de protection offert par les mesures de sécurité (par. 57(1)), l’évaluation visant à déterminer si une atteinte aux mesures de sécurité présente un risque réel de préjudice grave à l’endroit de l’individu (par. 58(8)) et d’autres exigences de la LPVPC.

Bien que le CPVP et les tribunaux aient donné certaines interprétations de la nature sensible des renseignements, il serait préférable de disposer d’une définition législative qui établit un principe général et qui dépend du contexte, suivie d’une liste d’exemples explicitement non exhaustive (comme ceux figurant à l’article 9 du RGPD). Ceci offrirait une plus grande certitude pour les organisations et les consommateurs quant à l’interprétation de cette expression. Voici un exemple d’une telle définition :

Renseignements de nature sensible – Des renseignements personnels pour lesquels les attentes d’un individu sont plus élevées en matière de vie privée, ou pour lesquels la collecte, l’utilisation ou la communication entraîne un risque accru de préjudice pour l’individu. Il peut s’agir, entre autres, de renseignements qui révèlent la race ou l’origine ethnique, l’identité de genre, l’orientation sexuelle, les opinions politiques ou les croyances religieuses ou philosophiques; de l’information génétique; de renseignements biométriques dans le but d’identifier précisément un individu; de renseignements financiers; de renseignements sur la santé; ou de renseignements qui révèlent la géolocalisation d’un individu.

Nous remarquons par ailleurs que la version française de la LPRPDE fait référence à des « renseignements… sensibles », contrairement à la LPVPC qui propose de recourir au terme « de nature délicate ». Le projet de loi 64 du Québec fait référence au « renseignement personnel sensible », tandis que le RGPD utilise le terme « données sensibles ». Afin de garantir la cohérence avec la loi actuelle et de promouvoir l’harmonisation avec les lois du Québec et de l’UE, nous suggérons que la version française de la LPVPC utilise de nouveau le terme « sensible » par opposition à « de nature délicate ».

Définition d’activité commerciale

Pour des raisons de clarté, plutôt qu’une volonté de modifier la portée des activités qui sont régies par la loi fédérale sur la protection des renseignements personnels dans le secteur privé, la LPVPC ajouterait une approche fondée sur le contexte (en ajoutant les mots « en tenant compte des objectifs de l’organisation… ») pour caractériser l’activité commerciale. Nous trouvons cela très intéressant, mais nous craignons qu’apporter ce changement à la structure de la définition de la LPRPDE puisse exclure certaines activités de nature commerciale qui sont menées par les organisations n’ayant pas d’objectifs commerciaux. Ces activités, menées par les organismes de bienfaisance, les associations professionnelles ou les organismes à but non lucratif, sont actuellement régies par la LPRPDE, à juste titre selon nous.

Pour veiller à ce que les activités menées par les entités non commerciales continuent d’être régies par les lois sur la protection des renseignements personnels, nous recommandons de scinder la définition en deux paragraphes, l’un portant sur les activités commerciales menées par toute entité, commerciale ou non, et l’autre sur toute activité, commerciale ou non, menée par une organisation commerciale. Cela permettrait de renforcer la protection de la vie privée pour toute activité liée aux données personnelles, dans le sens raisonnable du terme « commercial ».

Partis politiques

En ce qui concerne l’étendue des activités régies par la LPVPC, nous confirmons notre position selon laquelle les partis politiques devraient être assujettis à des obligations en matière de protection de la vie privée et qu’il serait raisonnable que les partis politiques fédéraux soient régis par la LPVPC.

La question de savoir si les partis politiques fédéraux devraient être assujettis aux règlements relatifs à la protection des renseignements personnels – l’une des questions examinées dans le rapport de 2018 du Comité ETHI, Démocratie menacée – n’est pratiquement plus matière à controverse. Les partis politiques recueillent des quantités considérables de renseignements sur les électeurs (ainsi que sur les bénévoles, les employés et les candidats) et les utilisent pour effectuer des campagnes politiques microciblées, entre autres. Ces pratiques peuvent avoir des répercussions importantes sur la vie privée et, si elles ne sont pas exercées correctement, peuvent ébranler la confiance dans le système démocratique. Plusieurs États – y compris l’UE, le Royaume-Uni, la Nouvelle-Zélande, l’Argentine et Hong Kong, sans compter la Colombie-Britannique et, si le projet de loi 64 est adopté, le Québec – disposent de lois en matière de protection des renseignements personnels qui régissent les partis politiques. Il y a dix ans (bien avant le scandale Cambridge Analytica), un sondage du CPVP a révélé que 92 % de la population canadienne était en faveur du principe selon lequel les partis politiques devraient être assujettis à une certaine forme de règlement sur la protection des renseignements personnels.

Il y a donc lieu de se demander non pas s’il convient de réglementer la collecte et l’utilisation de renseignements personnels par les partis politiques fédéraux, mais bien comment le faire.

De manière générale, quatre options sont envisageables : inclure les partis politiques fédéraux dans le champ d’application de la LPVPC, les inclure à celui de la Loi sur la protection des renseignements personnels, modifier la Loi électorale du Canada ou présenter une nouvelle loi autonome. Chaque approche a son bien-fondé, mais l’opportunité de la première mérite une attention particulière.

Bien que les partis politiques fédéraux ne relèvent pas explicitement du champ d’application de la LPVPC telle qu’elle est rédigée actuellement, le paragraphe 6(3) et l’alinéa 119(2)c) prévoient un mécanisme par lequel le gouverneur en conseil peut désigner une organisation afin qu’elle soit assujettie à la Loi. À l’heure actuelle, c’est de cette manière que l’Agence mondiale antidopage (AMA) est assujettie à la Loi.

Il faut reconnaître que la nature des partis politiques fédéraux est différente de celle des organisations commerciales, mais la Colombie-Britannique et le Québec prévoient deux modèles pour en tenir compte dans des lois axées sur le secteur privé. La Personal Information Protection Act de la Colombie-Britannique ne contient aucun facteur particulier à prendre en compte pour les partis politiques, mais elle prévoit une exception au consentement pour la collecte de renseignements personnels lorsque la loi l’autorise. Cette loi, combinée à la Elections Act de la province, permet (et restreint) l’utilisation des renseignements des électeurs inscrits sur la liste aux fins électorales pour lesquelles ils ont été recueillis. Le projet de loi 64 du Québec, quant à lui, exempte précisément les partis politiques de l’application de certains articles de la loi proposée (exemptions qui, il faut le noter, ne sont pas approuvées par la Commission d’accès à l’information du Québec).

Nous appuierions une légère variante de l’approche réglementaire adoptée par la Colombie-Britannique. Reconnaissant l’importance de la sensibilisation à la démocratie, nous sommes d’avis qu’une exception au consentement pourrait être ajoutée et s’appliquer étroitement à de telles activités.

Deuxième thème : Droits et obligations précis

Après avoir examiné les fondements généraux de la loi, nous nous penchons sur  les considérations opérationnelles, notamment sur la manière dont ce cadre s’appliquera dans la pratique. Nous nous concentrons sur trois domaines particuliers : le consentement et les exceptions connexes, les obligations organisationnelles, ainsi que les droits individuels en matière de données.

Consentement valide ou valable

L’un des piliers proposés du projet de loi C-11 est de renforcer le contrôle que les consommateurs ont sur leurs renseignements personnels. Pour y parvenir, les règles régissant le consentement doivent garantir qu’il est éclairé et valable.

En 2015, l’article 6.1 a été ajouté à la LPRPDE pour préciser que le consentement ne serait valable que s’il « est raisonnable de s’attendre à ce qu’un individu visé par les activités de l’organisation comprenne la nature, les fins et les conséquences de la collecte […] des renseignements personnels auxquelles il a consenti ».

L’exigence liée à la compréhension, qui est essentielle à la validité du consentement, est malheureusement absente de la LPVPC. Le projet de loi cherche plutôt à donner aux consommateurs un plus grand contrôle en prescrivant les éléments qui doivent figurer dans un avis de confidentialité, en langage clair. Bien que cette approche semble similaire à celle adoptée dans nos lignes directrices pour l’obtention d’un consentement valable de 2018, elle ne l’est pas en fait puisque là encore, l’exigence relative à la compréhension est absente. Il suffit de comparer nos lignes directrices, qui exigent que les fins pour lesquelles les renseignements sont recueillis soient expliquées « avec suffisamment de détails pour que l’intéressé puisse bien comprendre ce à quoi il consent », avec le paragraphe 15(3) de la LPVPC, qui exige simplement que les consommateurs soient informés des « fins de la collecte, de l’utilisation ou de la communication des renseignements personnels, établies par l’organisation […] ».

Comme nous l’avons précédemment indiqué dans le premier thème, en vertu du projet de loi, les fins « établies par l’organisation » n’ont pas à être « déterminées, explicites et légitimes ».

En prescrivant les éléments d’information qui doivent figurer dans les avis de confidentialité sans maintenir l’exigence selon laquelle les consommateurs doivent être en mesure de comprendre ce à quoi on leur demande de consentir, la LPVPC ne réalise pas son objectif de donner aux individus plus de contrôle sur leurs renseignements personnels; elle en donne moins. Ce fait est exacerbé par la nature non clairement définie des fins pour lesquelles les organisations peuvent demander le consentement.

À notre avis, il en est ainsi parce que le projet de loi est mal calibré. Nous convenons que les organisations devraient pouvoir innover, disposer d’une certaine souplesse dans le traitement des données personnelles et définir les fins pour lesquelles elles souhaitent recueillir, utiliser et communiquer des renseignements personnels, mais cette souplesse devrait s’exercer dans un cadre juridique qui prévoit des normes objectives, appliquées par un organisme de réglementation indépendant dans l’intérêt public.

Tel qu’il est rédigé, le projet de loi donne trop d’importance à la souplesse à conférer aux organisations dans la définition des fins pour lesquelles les renseignements personnels pourront être utilisés et dans la façon d’obtenir le consentement des consommateurs. Le législateur devrait édicter des normes objectives telles que celle prévue à l’article 6.1 de la loi actuelle (le facteur compréhension) et l’exigence que les fins soient définies de façon déterminée, explicite et légitime, tel que prévu au principe 4.3.3 de la LPRPDE et dans les lois d’autres juridictions.

La façon dont les informations sont présentées est également importante pour la compréhension. La LPVPC n’aborde pas la question du format, de la structure ou de l’accessibilité. Chacun de ces éléments aide l’individu à comprendre la manière dont ses renseignements personnels sont utilisés. Des informations en langage clair qui sont difficiles à trouver ou présentées dans un format qui rend la compréhension difficile ne mènent pas à une bonne compréhension (ou à un consentement valable). Des informations mal conçues ou mal formatées peuvent s’avérer aussi inaccessibles que si elles étaient mal rédigées, en particulier pour les personnes qui dépendent d’outils d’accessibilité, comme des lecteurs d’écran, ou dans certaines circonstances, pour les mineurs. C’est pourquoi nous recommandons que le paragraphe 15(3) traite du format des informations fournies aux individus, en plus de l’exigence du langage clair.

Ensuite, bien que le CPVP soit favorable à la reconnaissance du consentement explicite comme forme de consentement par défaut au paragraphe 15(4), cette disposition, telle qu’elle est rédigée, permettrait à l’organisation de se fonder sur un consentement implicite lorsqu’elle peut « conclure » (en anglais, « establishes ») qu’il est approprié, en tenant compte des éléments énumérés. Le projet de loi C-11 semble donc faire preuve de retenue à l’égard de la conclusion d’une organisation selon laquelle le consentement implicite est approprié, plutôt que prescrire une appréciation objective des éléments pertinents. Nous recommandons de retirer la mention « une organisation peut conclure ». Par conséquent, les organisations continueraient bien sûr à déterminer en premier lieu si les conditions objectives du consentement implicite sont remplies, mais cette évaluation pourrait être examinée de manière indépendante par un organisme de réglementation et, en dernier ressort, par les tribunaux, en vertu de la loi et sans retenue inappropriée à l’égard de l’opinion de l’organisation sur la loi.

Exceptions en matière de consentement

Le consentement, qui constitue le fondement de nombreuses lois sur la protection des données partout dans le monde, y compris la LPRPDE et la LPVPC, comporte son lot de défis. Comme il est décrit dans notre étude sur l’intelligence artificielle, lorsque les politiques et les ententes sur les conditions d’utilisation sont longues et formulées dans un jargon juridique souvent incompréhensible, il est presque impossible pour les individus d’exercer un contrôle réel des renseignements personnels ou de prendre des décisions valables concernant le consentement. Pour les organisations, le consentement n’est pas toujours possible dans un environnement numérique de plus en plus complexe, par exemple lorsque les consommateurs n’ont pas de relation avec l’organisation qui utilise leurs données et lorsque les utilisations des renseignements personnels ne sont pas connues au moment de la collecte ou sont trop complexes à expliquer. Ces lacunes sont plus flagrantes dans certains contextes, notamment lorsqu’il est question d’IA.

Tout en cherchant à améliorer certains aspects du consentement, la LPVPC ajoute de nouvelles exceptions importantes au principe du consentement. Nous croyons qu’une telle approche est appropriée dans le cadre d’une loi moderne sur la protection des renseignements personnels. Une des leçons apprises au cours des vingt dernières années, depuis l’adoption de la LPRPDE, est que la protection des renseignements personnels ne peut reposer uniquement sur le consentement. En fait, le consentement peut servir à légitimer des usages qui, objectivement, sont complètement déraisonnables et contraires à nos droits et valeurs. De plus, lorsque l’utilisation des données peut profiter à la société, le refus de donner son consentement peut parfois nuire à l’intérêt public.

Plusieurs des nouvelles exceptions au consentement introduites par le projet de loi C-11 sont raisonnables. Or, deux principaux points nous préoccupent : la portée de certaines exceptions est trop large, et le projet de loi n’associe pas le pouvoir accru d’utiliser des renseignements personnels à une plus grande responsabilité des organisations quant à la manière dont elles feront usage de ces autorisations.

Activités d’affaires (art. 18)

L’article 18 permet la collecte et l’utilisation de renseignements personnels d’un individu à son insu et sans son consentement pour des activités d’affaires définies, dans le cas où une personne raisonnable s’attendrait à une telle collecte ou utilisation et si ce n’est pas en vue d’influencer le comportement ou les décisions de l’individu.

Pour qu’un individu comprenne quelles activités précises peuvent être menées au titre des alinéas 18(2)a) à f), il est essentiel que celles-ci soient clairement définies et qu’elles soient conformes à ses attentes. Nous estimons que ce n’est pas le cas pour les alinéas 18(2)b) et 18(2)e).

L’alinéa 18(2)b) introduit une exception au consentement pour les activités « menées à des fins de diligence raisonnable pour réduire ou prévenir les risques commerciaux de l’organisation ». En l’absence de définition des « risques commerciaux », nous remarquons qu’une interprétation basée sur le sens ordinaire de ce terme peut englober tout risque pour une entreprise commerciale, tel que la perte de revenus. Il est clair que la portée de cette interprétation serait trop large.

Si l’on prévoit un sens plus étroit, comme la possibilité de non-paiement en raison de problèmes tels que la faillite ou l’insolvabilité, le libellé de l’alinéa 18(2)b) devrait être clarifié en conséquence.

Nous sommes toutefois davantage préoccupés par la portée potentielle de l’exception prévue à l’alinéa 18(2)e), qui concerne les activités pour lesquelles il serait pratiquement impossible d’obtenir le consentement parce que l’organisation n’a pas de relation directe avec l’individu.

D’une part, il semble que l’objet de cette disposition soit en partie de permettre les activités des moteurs de recherche, mais nous pensons qu’elle n’atteigne pas cet objectif. Ainsi, à notre avis, l’alinéa 18(2)e) permettrait l’exploration et l’indexation du Web par les moteurs de recherche, sans consentement. Cependant, comme cette exception ne concerne que « la collecte et l’utilisation », et non la communication, elle ne semble pas permettre tous les aspects du fonctionnement d’un moteur de recherche tels que l’affichage des résultats de recherche.

Le libellé de l’alinéa 18(2)e) soulève également des préoccupations plus fondamentales. Tout d’abord, nous constatons que le champ d’application potentiel des activités qui pourraient relever de cette exception est extrêmement large. Il est difficile de concevoir s’il existe des limites réelles quant aux types d’activités qui pourraient être menées par l’organisation en vertu de cette disposition. La limite prescrite par l’alinéa 18(1)a), selon laquelle « une personne raisonnable s’attendrait à une telle collecte ou à une telle utilisation », ne permet absolument pas aux consommateurs de savoir avec certitude comment leurs renseignements personnels seront utilisés, et ce, par une organisation qu’ils ne connaissent probablement pas. Cela est loin de donner aux consommateurs un plus grand contrôle sur leurs renseignements personnels.

Les courtiers en données, qui font partie des organisations qui semblent bénéficier de l’alinéa 18(2)e), pourraient ainsi avoir une plus grande liberté de mener leurs activités que les organisations avec lesquelles les individus interagissent régulièrement et directement. Le modèle opérationnel des courtiers en données est opaque et crée des risques d’atteinte à la vie privée. Ils devraient être davantage réglementés, et non se voir accorder une plus grande liberté dans l’utilisation des données, sans consentement.

Enfin, le fondement de l’exception prévue à l’alinéa 18(2)e) ne résiste tout simplement pas à un examen rigoureux. Nous constatons qu’en général, il sera évident de comprendre pourquoi les différentes dispositions du paragraphe 18(2) pourraient permettre une activité sans consentement. Par exemple, les alinéas 18(2)c) et d) semblent viser à permettre (en bref) la sécurité des réseaux et la sécurité des produits, respectivement. La LPRPDE et le projet de loi prévoient d’autres exceptions au consentement pour des fins et des activités précises, telles que la prévention ou les enquêtes liées à la fraude ou à l’exploitation financière.

Ce n’est pas le cas de l’alinéa 18(2)e). Tel qu’il est rédigé actuellement, l’alinéa 18(2)e) écarte l’obligation de consentement pour certaines activités simplement parce que l’obtention du consentement est pratiquement impossible, et non parce qu’il existe un avantage compensatoire justifiant une telle action. Autrement dit, le principe fondamental du consentement est mis de côté pour le simple motif qu’il n’est pas pratique de l’obtenir.

À notre avis, l’objectif de l’alinéa 18(2)e) est inapproprié, et celui-ci devrait être abrogé. Si des activités supplémentaires, précises et légitimes, telles que celles des moteurs de recherche, devaient être autorisées par le biais d’une exception, elles devraient plutôt l’être par le biais d’une exception définie sur la base des fins explicites et connaissables pour lesquelles les données seront recueillies, utilisées ou communiquées.

Une autre possibilité décrite dans notre document sur l’IA, à laquelle nous serions également favorables, serait d’introduire une exception au consentement fondée sur les « intérêts commerciaux légitimes ». Une telle exception offrirait une grande souplesse pour autoriser des fins raisonnables qui sont imprévues mais, contrairement à l’alinéa 18(2)e), elle serait fondée sur les fins particulières et connaissables poursuivies par l’organisation.

Par contre, comme nous l’avons dit dans notre document sur l’IA, nous pensons qu’une telle exception ne devrait être permise que dans le cadre d’un régime fondé sur les droits, tel qu’il est décrit dans le thème 1 de ce mémoire. D’autres conditions préalables devraient aussi être remplies pour garantir l’utilisation appropriée de cette exception. Ces conditions comprendraient l’évaluation des facteurs relatifs à la vie privée et l’adoption d’un critère de pondération similaire à celui que l’on trouve dans les dispositions du RGPD relatives aux intérêts légitimes. Ce critère serait assorti de dispositions qui exigeraient la démonstration de la finalité, de la nécessité et de la proportionnalité de la mesure, et la prise en compte des intérêts et des droits et libertés fondamentaux de l’individu, pour déterminer s’ils devraient l’emporter sur les intérêts commerciaux légitimes de l’organisation. Enfin, une exception aussi large au principe du consentement ne devrait être permise que si son application pouvait être contrôlée par le biais de vérifications proactives de conformité par le CPVP.

Fins socialement bénéfiques (art. 39)

En général, le CPVP appuie l’adoption d’une exception au consentement liée aux fins socialement bénéfiques telle qu’elle est proposée dans la LPVPC. Il y a manifestement des avantages importants à permettre le traitement des renseignements personnels à des fins socialement bénéfiques, et les lois modernes sur la protection des renseignements personnels devraient faciliter de telles fins de manière responsable. Nous examinons la question en détail dans notre document sur l’IA.

Bien que nous ayons quelques recommandations limitées sur la façon dont cette mesure pourrait être améliorée, nous observons que certaines caractéristiques ont manifestement été ajoutées pour limiter les risques d’atteinte à la vie privée associés à cette disposition.

Par exemple, seuls les renseignements dépersonnalisés peuvent être communiqués, ce qui représente une mesure de protection de la vie privée importante. En outre, l’exception ne s’applique qu’aux communications de renseignements personnels aux entités listées ou toute autre entité réglementaire. Ces catégories d’organisations et d’entités semblent être celles qui ont pour mandat implicite ou explicite d’exécuter des activités de nature socialement bénéfique. Tous ces aspects sont positifs du point de vue de la protection des renseignements personnels.

Malgré ces aspects positifs, nous proposons un certain nombre de recommandations qui ont pour but d’établir des mécanismes de contrôle appropriés pour l’échange de renseignements entre les organisations, lesquels sont inspirés en partie des dispositions liées aux recherches et aux analyses statistiques du projet de loi 64 du Québec (art. 21) :

1. Une entité devrait être tenue de faire une demande écrite pour obtenir les renseignements et de fournir certaines assurances avant la communication. Ceci permettrait à l’organisation qui communique les renseignements de le faire de façon responsable, sachant qu’ils seront effectivement utilisés à des fins socialement bénéfiques.
2. Les deux parties à la communication devraient aussi être tenues de conclure une entente qui interdirait au destinataire de repersonnaliser les renseignements et de les utiliser à des fins secondaires qui ne sont pas des fins socialement bénéfiques. Ces ententes devraient pouvoir être examinées par le CPVP, sur demande. Plus important encore, bien que l’utilisation de renseignements dépersonnalisés pour identifier un individu constitue une infraction en vertu de la LPVPC, elle ne s’appliquerait probablement pas aux entités à qui ces renseignements sont communiqués. L’entente devrait donc prévoir qu’il est interdit de repersonnaliser les renseignements qui avaient été dépersonnalisés.
3. Enfin, la LPVPC autoriserait l’adoption de règlements établissant de nouvelles fins socialement bénéfiques et de nouvelles entités qui seraient autorisées à utiliser des renseignements personnels à ces fins. Nous jugeons cette mesure appropriée, car il est évident que de nouvelles fins socialement bénéfiques apparaîtront de temps à autre après l’édiction de la LPVPC, mais nous croyons que cette souplesse réglementaire devrait être assujettie à des limites objectives fixées par le Parlement. Par exemple, la définition de « fins socialement bénéfiques » pourrait se limiter aux « activités qui sont bénéfiques pour la société et pas simplement des activités pour des intérêts ou gains personnels ou commerciaux »^{Note de bas de page 12}.

Renseignements personnels auxquels le public a accès (art. 51)

En ce qui concerne les renseignements personnels auxquels le public a accès, le CPVP appuie de manière générale l’approche adoptée dans la LPVPC (qui reprend les dispositions actuelles de la LPRPDE), tant que des limites appropriées sont établies dans la Loi pour encadrer les modifications ou les ajouts à la liste des renseignements publics précisés par les règlements.

Dans le contexte de la réforme de la Loi sur la protection des renseignements personnels, nous avons recommandé que toute définition de renseignements publics tienne compte des considérations suivantes :

Le contexte dans lequel les renseignements personnels sont rendus publics, et si l’individu a des attentes raisonnables en matière de vie privée à l’égard des renseignements, peu importe si ces renseignements sont accessibles au public.

Bien que les types de renseignements énumérés dans les règlements actuels datent en grande partie de l’époque où ces règlements ont été adoptés, nous recommandons de conserver l’approche générale qui consiste à reconnaître le contexte de publication, en mettant l’accent sur la question de savoir si les personnes visées par les renseignements ont une attente raisonnable en matière de vie privée à l’égard de ceux-ci.

Dans le contexte de la LPRPDE, le CPVP a vu plusieurs cas où une organisation a défendu la légitimité de ses activités en se fondant, du moins en partie, sur des renseignements qui étaient accessibles au public. L’un des cas les plus connus est celui du site Globe24h, qui exploitait ce qui était en réalité un stratagème d’extorsion dans le cadre duquel il copiait et republiait des décisions judiciaires contenant des renseignements sensibles de manière à les rendre accessibles aux moteurs de recherche pour ensuite les supprimer une fois le paiement reçu.

Plus récemment, le CPVP a publié son rapport de conclusions relativement à l’enquête qu’il a menée sur Clearview AI, une entreprise technologique qui a développé une application qui permet à des corps policiers et à des organisations commerciales de faire des recherches dans la banque de données de l’entreprise à partir de photographies de personnes inconnues, aux fins d’enquêtes. Cette banque de données renferme plus de 3 milliards d’images, dont des images de Canadiens et d’enfants. L’entreprise a fait valoir que les images provenaient de divers sites Web auxquels le public a accès sur Internet (y compris les médias sociaux), et que les individus n’ont aucune attente raisonnable quant au respect de leur vie privée. Cet argument ne tient pas compte du fait qu’aucun individu ne peut raisonnablement s’attendre à ce que les photographies qu’il publie sur les médias sociaux soient utilisées à cette fin. Il ne tient pas compte non plus du fait qu’une telle technologie porte fondamentalement atteinte au droit à la vie privée des personnes, ni du préjudice général infligé à tous les membres de la société, qui se retrouvent sous la surveillance de masse continue de Clearview, en raison du ratissage aveugle et du traitement qu’elle fait de leurs images faciales.

Ces cas nous montrent qu’il est nécessaire d’éviter une interprétation trop large de la façon dont les « renseignements publics » peuvent être utilisés en l’absence de consentement, car une telle interprétation peut entraîner des préjudices graves. Plus particulièrement, la loi doit veiller à ce que les attentes raisonnables des individus soient prises en compte pour déterminer s’il s’agit de renseignements « publics ».

Dépersonnalisation

Dans l’ensemble, le CPVP appuie le régime proposé dans la LPVPC concernant les renseignements dépersonnalisés. La LPVPC créerait une certaine souplesse dans l’utilisation de ces renseignements, tout en s’assurant qu’ils demeurent sous son égide.

Certaines personnes ont toutefois fait valoir qu’en vertu de la LPVPC, les renseignements dépersonnalisés ne sont pas des renseignements personnels, et sont donc exclus du champ d’application, sauf pour les utilisations définies. Nous recommandons que l’interprétation qui est prévue, selon nous, pour mieux protéger la vie privée soit énoncée explicitement dans la loi afin de dissiper toute ambiguïté et pour établir clairement que la LPVPC s’applique aux renseignements personnels dépersonnalisés.

En traitant les renseignements dépersonnalisés comme des « renseignements personnels », la LPVPC permet de s’assurer qu’ils relèvent de son champ d’application. Étant donné qu’il est toujours possible que des renseignements dépersonnalisés soient repersonnalisés et qu’ils soient utilisés d’une manière qui pourrait avoir de graves répercussions sur les droits des individus, il est important que les organisations comprennent bien que, même si elles bénéficient d’une marge de manœuvre pour certaines utilisations, les lois sur la protection des renseignements personnels continuent de s’appliquer à l’utilisation de renseignements dépersonnalisés.

Les procédures de dépersonnalisation prévues par la LPVPC sont soumises à des conditions strictes. On le constate notamment dans la façon dont la LPVPC définit le terme « dépersonnaliser » et dans les exigences qu’elle a établies à cet égard. Par exemple, elle exige que les organisations utilisent des procédures de dépersonnalisation qui sont proportionnelles aux fins auxquelles les renseignements sont dépersonnalisés et à la nature délicate de ces renseignements (art. 74) et qui permettent de veiller à ce que les renseignements personnels ne puissent être utilisés pour identifier quelqu’un dans des circonstances raisonnablement prévisibles. Nous appuyons cette approche, qui accorde aux organisations une souplesse quant à l’utilisation des techniques de dépersonnalisation, tout en les tenant responsables.

Le CPVP se penche depuis longtemps sur la question de la dépersonnalisation des données. Par exemple, dans notre rapport annuel de 2016-2017, qui incluait notre Rapport sur le consentement rédigé à la suite d’une importante consultation publique sur le concept du consentement au sens de la LPRPDE, nous avons mentionné ceci :

Compte tenu des grandes quantités de renseignements personnels traités dans l’environnement numérique, la désidentification peut sembler une mesure prometteuse pour renforcer la protection de la vie privée. Par ailleurs, nous reconnaissons les inquiétudes sur le fait que la réidentification présente un risque réel en raison non seulement de la disponibilité d’ensembles de données pouvant servir à repersonnaliser les renseignements personnels, mais aussi du manque de rigueur dans les méthodes de désidentification. Malgré tout, nous sommes d’un optimisme prudent – la désidentification pourrait être une solution viable pourvu qu’elle soit gérée correctement.

Nous conservons cet optimisme général, ayant formulé les recommandations suivantes dans notre réponse aux consultations sur la modernisation de la Loi sur la protection des renseignements personnels :

• La Loi devrait reconnaître que la réidentification des renseignements personnels est toujours une possibilité, selon le contexte.
• La Loi devrait définir les renseignements désidentifiés afin de permettre une application plus ciblée et nuancée de certaines règles. Par exemple, bien que certains renseignements désidentifiés puissent être exemptés de certaines dispositions de la Loi sur la protection des renseignements personnels ou que leur application puisse être nuancée, d’autres dispositions continueraient de s’appliquer, et les renseignements désidentifiée ne devraient pas être complètement excluent.

Nous croyons que la LPVPC établit un juste équilibre en ce qui concerne la dépersonnalisation, favorisant l’innovation en accordant une souplesse aux organisations, tout en conservant les mesures de contrôle et de supervision nécessaires. Nous recommandons toutefois, comme nous l’avons indiqué, que la loi soit modifiée afin d’indiquer explicitement qu’elle s’applique aux renseignements dépersonnalisés, ce qui est, selon nous, l’intention visée.

Communications aux organismes d’application de la loi

Enfin, nous nous penchons sur la question de la communication de renseignements personnels aux organismes d’application de la loi et aux organismes gouvernementaux prévue aux articles 44 à 50 de la LPVPC. Bien que nous soyons d’avis que ces articles sont mieux rédigés que les dispositions équivalentes de la LPRPDE, nous croyons qu’ils devraient être améliorés ainsi : (i) préciser les obligations des organisations par suite de l’arrêt R. c. Spencer rendu par la Cour suprême en 2014; (ii) obliger le gouvernement à produire des rapports et les organisations à tenir des registres (ou des rapports de base sur la transparence).

Depuis l’arrêt Spencer, la communication de renseignements au gouvernement en vertu de cet article demeure controversée, car les organismes gouvernementaux (y compris les organismes d’application de la loi) continuent de demander aux organisations des renseignements personnels sans autorisation de la cour. Par ailleurs, à l’heure actuelle, très peu de progrès ont été réalisés quant aux obligations en matière de tenue de registres, de transparence, de surveillance continue ou de responsabilité qui sont associées à cette exception au consentement – malgré le fait que les entreprises qui publient volontairement des rapports sur la transparence indiquent recevoir des centaines de milliers de demandes d’accès à des dossiers de clients chaque année.

Par conséquent, nous proposons deux modifications au projet de loi afin d’améliorer la transparence.

Premièrement, nous recommandons que la communication de renseignements personnels visée aux articles 43, 44, 45 et 50 ne soit autorisée qu’aux demandeurs gouvernementaux qui sont assujettis à une obligation de tenue de registres – une option précisément énoncée dans le document du ministère de la Justice sur la modernisation de la Loi sur la protection des renseignements personnels (« Dans les cas où la publication proactive de l’information ne serait pas possible en raison de sa nature délicate, des exigences en matière de conservation des documents [pour les organismes gouvernementaux] assujetties à la surveillance du Commissaire à la protection de la vie privée pourraient servir de mécanisme de responsabilisation de rechange »).

Deuxièmement, les organisations devraient elles aussi être soumises à l’obligation de tenir des registres – et, idéalement, de produire des rapports annuels sur la transparence – afin de rendre compte du nombre de demandes de renseignements personnels reçues de la part du gouvernement au titre des articles 43 à 50, de la nature de ces demandes et de leurs résultats.

En plus d’être transparent, il faut également être clair quant à l’incidence de l’arrêt R. c. Spencer sur les situations où l’État peut accéder sans mandat à des renseignements personnels. Lorsque le projet de loi S-4 était à l’étude devant le Parlement, le CPVP a recommandé ce qui suit :

« … un cadre juridique, basé sur l’arrêt Spencer, est nécessaire à des fins de clarté et d’orientation afin d’aider les organisations à respecter la LPRPDE et pour s’assurer que les autorités gouvernementales respectent l’arrêt de la Cour suprême du Canada. Un tel cadre fournirait à la population canadienne plus de transparence au sujet de la communication de renseignements personnels par le secteur privé aux organisations gouvernementales. »

L’ambiguïté qui existait dans la LPRPDE concernant la signification d’« autorité légitime » est toujours présente dans la LPVPC, comme le démontre le fait que les entreprises continuent de communiquer des renseignements personnels sans consentement aux services policiers et à d’autres organismes d’application de la loi même si elles n’ont pas d’ordonnance de la cour.

Par conséquent, nous réitérons la recommandation que nous avions formulée dans notre présentation au Parlement en 2015 sur le projet de loi S-4 et l’actualisons pour le projet de loi C-11 : une disposition devrait être ajoutée afin de définir ce qu’est une autorité légitime aux fins de l’article 44 et de préciser que les communications discrétionnaires à des organismes d’application de la loi à la suite d’une demande ne devraient être autorisées que lorsqu’il y a des circonstances exceptionnelles au titre d’une mesure législative raisonnable autre que l’article 44 de la LPVPC ou uniquement dans certaines circonstances prescrites où les renseignements personnels ne donnent pas lieu à une attente raisonnable en matière de vie privée.

Obligations organisationnelles

Comme nous l’avons mentionné dans l’introduction du présent mémoire, la plus grande souplesse accordée par le projet de loi C-11 lors du traitement des données – particulièrement lorsque des exceptions au consentement sont adoptées – doit être accompagnée d’une plus grande responsabilité de la part de l’organisation. Il faut donc imposer une responsabilité rehaussée et définir clairement les attentes et les responsabilités. Nous examinons la question ci-dessous.

Responsabilité

La responsabilité est un principe central et fondamental du droit en matière de protection de la vie privée, qui est lié à tous les autres principes et obligations et qui les sous-tend. C’est également l’un des principaux contrepoids à la capacité accrue d’utiliser des renseignements sans consentement que la LPVPC confère aux organisations. En conséquence, il est primordial que le principe de la responsabilité soit clairement défini dans la LPVPC et que la Loi édicte des mesures de protection telles que la responsabilité des organisations soit réelle et démontrable.

À notre avis, la LPVPC, dans sa version actuelle, n’a pas atteint ces objectifs et de nombreuses modifications sont donc requises.

Premièrement, nous constatons que la LPVPC ne définit pas la responsabilité, sauf indirectement et implicitement dans l’exigence énoncée à l’article 9 de consigner, dans le cadre d’un « programme de gestion de la protection des renseignements personnels », certaines politiques, pratiques et procédures. L’article 9 n’établit pas de norme objective pour définir ce qu’est la responsabilité. Il s’agit d’un article descriptif (qui définit les étapes que les organisations peuvent décider de suivre) plutôt que normatif (qui définirait ce que serait l’objectif, notamment le respect des obligations prévues par la loi).

À l’inverse, le paragraphe 5(2) du RGPD définit la responsabilité comme relevant du responsable du traitement et comme étant sa capacité de démontrer le respect de tous les autres principes du RGPD. Selon les lignes directrices intitulées Un programme de gestion de la protection de la vie privée : la clé de la responsabilité, publiées en 2012 par le CPVP et nos collègues provinciaux, les programmes de gestion de la protection des renseignements personnels doivent « permet[tre] aux organisations de respecter, au minimum, les lois applicables sur la protection des renseignements personnels ».

En raison de l’importance fondamentale de la responsabilité comme moyen d’assurer la protection de la vie privée dans une loi qui confère aux organisations un plus grand pouvoir de traiter des renseignements personnels sans consentement, nous recommandons que l’article 9 de la LPVPC définisse clairement la responsabilité en établissant une norme objective pour le respect de la loi.

Deuxièmement, l’une des caractéristiques de plus en plus importantes de la responsabilité dans les lois modernes sur la protection des renseignements personnels est qu’elle doit être démontrable. Le CPVP a été un chef de file dans le domaine, avec la publication de ses lignes directrices sur la responsabilité en 2012. Par la suite, d’autres juridictions ont apporté leurs contributions en faisant de la responsabilité une exigence législative, comme on l’a vu précédemment avec le paragraphe 5(2) du RGPD. Il est temps de traduire ce concept en droit fédéral canadien.

Les organisations ne doivent pas simplement respecter la loi; elles doivent aussi avoir la capacité de le démontrer, principalement à l’organisme de réglementation, en donnant accès, sur demande, aux politiques, aux pratiques et aux procédures qui font partie de leurs programmes de gestion de la protection des renseignements personnels, de même qu’à d’autres documents pertinents. De cette façon, l’organisme de réglementation peut vérifier si l’organisation respecte la loi, ce qui est un facteur primordial pour la confiance du consommateur. Dans la partie 3, nous examinons les modifications qui sont, selon nous, nécessaires pour permettre au commissaire de faire en sorte que la responsabilité soit véritablement démontrable. Dans la présente partie, nous nous en tenons à l’obligation de tenue des registres qui incombe aux organisations.

Il est important pour les organisations de tenir des registres adéquats pour démontrer la conformité, car selon notre expérience, certaines organisations ne font que dissimuler leurs obligations en adoptant des politiques, des pratiques et des procédures. Elles démontrent ainsi ce qu’elles auraient dû faire, mais ne peuvent prouver ce qu’elles ont réellement fait. Pour démontrer qu’elles respectent leurs obligations, les organisations doivent donc tenir un registre des activités qu’elles ont exercées par le passé.

L’obligation de tenir des registres adéquats, tout comme l’obligation d’élaborer un programme de gestion de la protection des renseignements personnels, devrait être évolutive. Nous remarquons que le paragraphe 9(2) de la LPVPC prévoit que le programme de gestion de la protection des renseignements personnels doit tenir compte du volume et de la nature délicate des renseignements personnels qui relèvent de l’organisation. L’article 108 énonce des éléments similaires à prendre en compte, comme la taille et les recettes de l’organisation.

Il convient également de souligner que le projet de loi 64 du Québec exige que les politiques et pratiques encadrant la gouvernance de l’organisation à l’égard des renseignements personnels soient « proportionnées à la nature et à l’importance des activités de l’entreprise ». Le commissariat à l’information de l’Australie a présenté une opinion similaire dans sa récente présentation (en anglais seulement) sur la réforme du droit, déclarant que [TRADUCTION] « le concept de responsabilité met l’accent sur la question de savoir si une entité réglementée a transformé ses obligations en matière de protection de la vie privée en processus internes de gestion des renseignements personnels qui sont proportionnels et adaptés aux menaces et aux risques associés à ses activités de traitement de renseignements personnels ».

À notre avis, le volume et la nature délicate des renseignements personnels sont des éléments pertinents à prendre en compte, mais ils sont trop circonscrits pour l’ampleur des obligations en matière de responsabilité. Ils sont compris dans les critères prévus dans le projet de loi 64 et le modèle australien, mais ceux-ci sont plus appropriés, car ils sont plus exhaustifs.

Dans le contexte de la prise de décision automatisée, et compte tenu des nouveaux droits d’obtenir une explication relativement à la décision et de la contester qui sont proposés, les organisations devraient être tenues d’inscrire et de garder la trace de la collecte et de l’utilisation des renseignements personnels afin de respecter pleinement ces droits et de s’acquitter de leur obligation de tenir des registres. Le traçage soutient l’obligation de rendre compte, puisqu’il requiert la création de documents que l’organisme de réglementation peut consulter lors d’une inspection ou d’une enquête, afin de déterminer la nature des renseignements personnels alimentés dans le système d’IA et de vérifier la conformité.

Comme nous l’avons souligné dans notre document sur l’IA, au Canada, des modifications ont été apportées récemment à la Loi de 2004 sur la protection des renseignements personnels sur la santé de l’Ontario pour exiger la tenue d’un registre électronique des accès dans le contexte des renseignements personnels sur la santé en format électronique. Ce registre doit être fourni au commissaire à l’information et à la protection de la vie privée de l’Ontario, sur demande. Le projet de loi 64 prévoit aussi des droits relatifs à la traçabilité à l’égard de la prise de décision automatisée, y compris le droit de connaître les renseignements personnels utilisés pour rendre la décision, les raisons et les facteurs ayant mené à la décision, ainsi que le droit de faire corriger les renseignements personnels utilisés pour rendre la décision.

Enfin, les dispositions de la LPVPC relatives à la responsabilité devraient inclure explicitement une exigence obligeant les organisations à appliquer le principe de la protection de la vie privée dès la conception, comme le recommande le rapport de 2018 du Comité ETHI intitulé Vers la protection de la vie privée dès la conception, et à préparer des évaluations des facteurs relatifs à la vie privée (EFVP) pour les activités à risque élevé. Le fait d’exiger des EFVP pour toutes les activités impliquant des renseignements personnels constituerait une charge excessive pour les organisations, particulièrement pour les petites et moyennes entreprises (PME). Toutefois, la protection de la vie privée dès la conception et les EFVP sont importantes, car il s’agit de mesures proactives pour protéger les renseignements personnels. Le respect de la Loi ne peut reposer uniquement sur les examens et les sanctions. À notre avis, des stratégies proactives sont aussi, sinon plus importantes pour assurer une conformité continue et le respect des droits des consommateurs.

Circulation transfrontalière des données et fournisseurs de services

Le flux transfrontalier des renseignements personnels constitue un exemple précis d’activités qui rappelle l’importance du principe de responsabilité. Nous reconnaissons que la circulation transfrontalière des données peut offrir des avantages importants pour les consommateurs et les organisations, et qu’elle fait l’objet d’accords commerciaux internationaux. Cependant, elle peut aussi créer des risques d’atteinte à la vie privée, qui sont différents des risques associés aux transferts de renseignements à l’intérieur des frontières.

Par conséquent, la plupart des lois actuelles sur la protection des renseignements personnels traitent explicitement et séparément de la circulation transfrontalière des données. À cet égard, le régime fondé sur le concept d’adéquation de l’Union européenne (UE) est le mieux connu, mais des pays tels que l’Australie et la Nouvelle-Zélande, par exemple, prévoient expressément la protection des données personnelles de leurs habitants lorsqu’elles circulent à l’extérieur de leurs frontières. (La Nouvelle-Zélande a revu son système dans une nouvelle loi entrée en vigueur en 2020.) Au Québec, le projet de loi 64 propose également des obligations précises lorsque des renseignements personnels sortent de son territoire. Bien que chacun de ces États et le Québec adopte une approche qui lui est propre, ils ont en commun la reconnaissance de l’importance d’adopter des règles précises propres au contexte transfrontalier.

Dans un document commandé par le CPVP intitulé Le traitement des transferts transfrontaliers de renseignements personnels en vertu du projet de loi C-11, Teresa Scassa formule quatre principales considérations dont il faut tenir compte dans les lois ou d’autres cadres de protection de la vie privée qui traitent de circulation transfrontalière des données (avec nos commentaires) :

• À qui s’appliqueront les obligations et dans quelles circonstances? L’article 4.1.3 de la LPRPDE traite des renseignements « confiés à une tierce partie aux fins de traitement » – le modèle conventionnel de circulation transfrontalière de données. Toutefois, dans un contexte numérique moderne, les données personnelles peuvent circuler au-delà des frontières à des fins diverses et font l’objet d’une grande variété d’ententes entre les organisations, leurs organisations affiliées et les fournisseurs de services. Une loi comme la LPVPC, qui réglemente ces activités seulement à titre de transferts à des fins de traitement entre l’organisation et le fournisseur de services, ne protège pas adéquatement les consommateurs lorsque le transfert de données est de nature différente.
• Qui est responsable des données personnelles qui traversent les frontières, et dans quelles circonstances? Dans certaines situations, la responsabilité restera celle de l’organisation principale, et dans d’autres cas, elle deviendra celle du fournisseur de services. Là encore, qui est responsable lorsque la circulation des données représente plus qu’un simple transfert entre l’organisation et le fournisseur de services?
• Quelles conditions doivent être remplies avant que les données personnelles puissent traverser les frontières? Les conditions peuvent comprendre la transmission d’avis aux individus, le niveau de protection requis pour les renseignements personnels ou les mesures de sécurité, les mesures de protection, ainsi que les mesures contractuelles ou autres qui doivent être en place avant que des données puissent traverser les frontières. À cet égard, il est intéressant de noter que la LPVPC fixe un nouveau seuil pour le degré de protection attendu dans un scénario de transfert des données, soit « un degré de protection essentiellement identique » à celui des renseignements non transférés. Cependant, la mention d’« autrement » au paragraphe 11(1) devrait être clarifiée.
• Comment sera abordée la question du degré de protection offert par le régime de protection des renseignements personnels mis en place dans le pays de destination? Même lorsqu’il existe une entente contractuelle entre les parties et que l’organisation qui transfère les renseignements personnels demeure responsable de ceux-ci, il est important de tenir compte du régime de protection des renseignements personnels mis en place dans le pays de destination. L’inquiétude la plus souvent invoquée ici est le risque que des organismes d’application de la loi ou des agences de sécurité nationale du pays d’accueil aient accès aux renseignements personnels. Toutefois, de manière plus générale, il sera important de comprendre les répercussions du régime du pays de destination sur l’efficacité des clauses des contrats régissant la circulation transfrontalière des données.

Le gouvernement fédéral est manifestement conscient de l’importance de la circulation transfrontalière des données. Par exemple, l’article 5, qui décrit l’objet de la loi, ajoute une mention qui définit le contexte actuel comme « une ère où les données circulent constamment au-delà des frontières et des limites géographiques et une part importante de l’activité économique repose sur l’analyse, la circulation et l’échange de renseignements personnels ». Le paragraphe 6(2) et l’alinéa 62(2)d) mentionnent également les transferts de renseignements personnels internationaux.

Malgré ces considérations et le fait que de nombreux États régissent la circulation transfrontalière des données à l’aide de régimes complets dans leurs lois sur la protection de la vie privée, le projet de loi C-11 n’établit pas un tel cadre dans la LPVPC.

Pour que la LPVPC tienne compte de manière appropriée de l’importance et la complexité de la circulation transfrontalière des données, ainsi que des risques d’atteinte à la vie privée qui y sont associés, nous recommandons qu’elle soit modifiée par l’ajout de dispositions précises sur la circulation transfrontalière des données afin que les droits et obligations soient clairement énoncés et accessibles.

Nous proposons d’ajouter des articles distincts portant sur la circulation transfrontalière des données. Ces articles seraient interprétés au moyen de l’énoncé d’objet modifié et plus équilibré figurant à la recommandation 2. Une telle disposition indiquerait que l’interprétation des articles pertinents doit tenir compte des avantages de la circulation transfrontalière des données et aussi, comme nouvel élément, veiller à ne pas compromettre le niveau de protection garanti par la loi canadienne. Nous croyons qu’une telle disposition aiderait à déterminer si les mesures contractuelles ou toute autre mesure adoptée par les organisations offrent, comme l’exige le paragraphe 11(1) de la LPVPC, « une protection équivalente » à celle qu’elles sont tenues d’offrir sous le régime de la loi canadienne.

De plus, la disposition sur la circulation transfrontalière de données devrait, à tout le moins, traiter clairement de chacune des considérations soulevées par M^me Scassa. Dans cette optique, M^me Scassa a formulé des recommandations détaillées dans son article mentionné plus haut, que le CPVP approuve. Nous avons inclus ces recommandations à l’annexe B du présent mémoire.

Deux questions supplémentaires devraient, selon nous, être abordées parallèlement aux recommandations de M^me Scassa. Tout d’abord, les mesures de protection présentées dans la LPVPC devraient être élargies pour comprendre les « communications » à des entités situées en dehors du pays, conformément à l’approche adoptée par des pairs du Canada.

La LPVPC n’impose aucune exigence particulière pour les communications transfrontalières, à l’exception de l’obligation de transparence limitée de l’alinéa 62(2)d). Cette approche contraste avec celle du RGPD, de l’Australie, de la Nouvelle-Zélande et du projet de loi 64 du Québec, qui intègrent les communications dans les obligations relatives aux flux de données transfrontaliers. En d’autres termes, leurs règles en matière de flux de données transfrontaliers et les mesures de protection équivalentes ne se limitent pas aux situations concernant des transferts vers des « fournisseurs de services ».

Ce qui sous-tend ces approches, c’est que les renseignements personnels, qu’ils soient transférés ou communiqués, courent un plus grand risque lorsqu’ils quittent le pays. Une organisation devrait donc s’assurer que des mesures de protection sont en place avant d’envoyer des renseignements personnels à une autre organisation à l’étranger, que ce soit par contrat ou en évaluant les mesures de protection offertes dans les lois des autres juridictions, ou par d’autres moyens. Nous adhérons à cette logique et recommandons que les mesures de protection de la LPVPC soient élargies en conséquence pour combler cette lacune.

Ensuite, la LPVPC devrait être modifiée pour corriger les disparités dans la façon dont les obligations de transparence s’appliquent aux organisations étrangères qui recueillent des données au Canada, mais qui les stockent et les traitent à l’étranger.

En vertu de la LPVPC telle qu’elle est rédigée, les organisations doivent indiquer si elles effectuent une communication ou un transfert international pouvant avoir des répercussions raisonnablement prévisibles sur la vie privée (alinéa 62(2)d)). Cette obligation ne s’appliquerait toutefois pas à une organisation étrangère ayant des liens étroits et véritables avec le Canada, qui recueille des renseignements personnels au Canada (au moyen d’un site Web, par exemple), mais qui les stocke et les traite à l’étranger en utilisant ses propres infrastructures. De tels mouvements de données transfrontaliers au sein d’une organisation ne seraient considérés ni comme un « transfert » ni comme une « communication » au sens de la LPVPC; l’obligation de transparence ne s’y appliquerait donc pas.

Selon nous, rien ne justifie d’imposer une obligation de transparence plus stricte à une organisation canadienne qui transfère des renseignements personnels à un fournisseur de services étranger qu’à une organisation étrangère qui transfère des renseignements personnels à l’extérieur du pays. Dans les deux cas, si le flux de renseignements personnels sortant du pays peut avoir des répercussions raisonnablement prévisibles sur la vie privée, en raison par exemple des risques encourus au vu de certaines lois dans la juridiction de destination, alors une organisation devrait être tenue d’être transparente à cet égard et d’exposer ces risques. L’obligation de transparence prévue à l’alinéa 62(2)d) devrait être élargie pour viser de telles situations.

Mesures de sécurité

La LPVPC reprend sans grands changements les dispositions de la LPRPDE en ce qui concerne les mesures de sécurité que doivent prendre les organisations pour protéger les renseignements personnels des consommateurs. Nous croyons qu’il est possible d’améliorer ces dispositions afin de mieux tenir compte des leçons retenues durant nos enquêtes ainsi que de l’approche adoptée par d’autres lois modernes sur la protection des renseignements personnels. Plus particulièrement, nous recommandons que les obligations relatives aux mesures de sécurité tiennent compte non seulement de la nature sensible des renseignements traités, mais aussi des risques associés à la nature et au type de traitement effectué.

En 2016, le CPVP a été informé d’une atteinte à des renseignements personnels au siège social de l’Agence mondiale antidopage (AMA) à Montréal. Cette atteinte visait des renseignements médicaux de nature délicate de plusieurs athlètes. Après enquête, nous en sommes venus à la conclusion qu’un cadre de sécurité robuste doit bien sûr tenir compte du caractère sensible des données mais aussi d’autres facteurs, notamment le risque que l’organisation et les renseignements qu’elle détient soient piratés parce qu’ils représentent une cible de valeur. Dans le cas mentionné, il était très facile de comprendre ce qui avait motivé les malfaiteurs à pirater la base de données de l’AMA.

Comme nous l’avons mentionné, cette approche fondée sur le risque est utilisée dans d’autres juridictions. Par exemple, l’article 25.1 du RGPD exige que les organisations, lorsqu’elles déterminent les mesures techniques et organisationnelles qu’il convient de prendre pour mettre en œuvre les principes de protection des données, tiennent compte « de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques ». De même, l’article 8 de la Loi fédérale sur la protection des données récemment adoptée en Suisse prévoit que les organisations doivent établir « une sécurité adéquate des données personnelles par rapport au risque encouru ».

La Privacy Act de l’Australie établit elle aussi des obligations juridiques distinctes (y compris des obligations en matière de sécurité) pour les organismes d’évaluation du crédit (art. 20Q) et les fournisseurs de crédit (art. 21S). Le commissariat à l’information de l’Australie a également estimé que sa législation exigeait l’adoption du principe de « protection de la vie privée dès la conception », soulignant dans ses lignes directrices non contraignantes que dans le cadre de l’évaluation des risques, la complexité des activités opérationnelles et le modèle d’affaires de l’organisation sont des facteurs pertinents qui permettent de déterminer les mesures qu’il serait raisonnable de prendre pour protéger les renseignements personnels.

Déclaration des atteintes

Le CPVP a besoin d’obtenir des renseignements opportuns et exacts provenant des organisations pour évaluer le niveau de risque qu’une atteinte particulière représente et pour agir en conséquence. Or, les atteintes ne sont souvent pas déclarées en temps opportun. Par exemple, en 2020, 40 % des déclarations d’atteintes reçues par le CPVP ont été faites au moins trois mois après la détection de l’atteinte.

Pour régler le problème, nous recommandons d’établir une norme selon laquelle les atteintes doivent être déclarées au CPVP dans les meilleurs délais – l’expression utilisée dans la Personal Information Protection Act de l’Alberta – mais aussi au cours d’une période définie. En général, ce délai peut varier, par exemple, de 72 heures (RGPD; Égypte; Philippines; Uruguay) à cinq jours (Costa Rica) et même jusqu’à 14-15 jours (Indonésie, Colombie). Le CPVP recommande un juste milieu : lui déclarer les atteintes dans les meilleurs délais, mais au plus tard dans les sept jours civils.

Nous devons également examiner le point de départ de ces délais. Habituellement, le moment où l’organisation se rend compte de l’atteinte constitue le moment où le délai commence à courir, comme le prévoit le RGPD : « 72 heures au plus tard après en avoir pris connaissance ». La LPVPC utilise l’expression « dès que possible après que l’organisation a conclu qu’il y a eu atteinte », laquelle est semblable au libellé de la LPRPDE. Or, il est arrivé assez souvent qu’il se soit écoulé beaucoup de temps (par exemple, pour évaluer le risque réel de préjudice grave ou pour enquêter sur une atteinte déclarée par un fournisseur de services ou une autre source) entre le moment où l’organisation prend connaissance de l’atteinte et le moment où elle la déclare au CPVP.

Par conséquent, nous recommandons que la disposition précise que le délai pour déclarer une atteinte au CPVP commence à courir lorsque l’organisation prend connaissance de celle-ci. Dans la mesure où l’organisation n’est pas certaine qu’il y a eu atteinte ou que l’atteinte représente un risque réel de préjudice, elle serait autorisée à présenter des observations additionnelles ou des modifications à sa déclaration initiale plus tard si elle a de l’information supplémentaire à fournir.

Quoi qu’il en soit, il est généralement préférable que le CPVP soit mis au courant d’une atteinte potentielle qui satisfait au seuil de déclaration le plus tôt possible, même s’il existe une certaine incertitude. Plus tôt le CPVP est avisé, plus tôt il peut veiller à ce que l’atteinte soit adéquatement maîtrisée et gérée et à ce que des mesures d’atténuation appropriées soient prises. Selon notre expérience et notre expertise dans le domaine, nous sommes également en mesure de fournir rapidement des conseils aux organisations concernant les mesures à prendre.

Les individus visés par les renseignements doivent aussi être avisés dès que possible, car ils sont les victimes et doivent savoir quelles mesures ils peuvent ou devraient prendre (le cas échéant). Cependant, nous croyons que l’imposition d’un délai maximal précis pourrait résulter en la communication de renseignements préliminaires (et donc de renseignements erronés ou prêtant à confusion). C’est pourquoi nous recommandons que ces déclarations soient faites dans les meilleurs délais, sans préciser une période définie en jours.

Fournisseurs de services canadiens

Nous avons déjà abordé la question de la circulation transfrontalière des données et fourni une série de recommandations à l’annexe B.

Le recours à des fournisseurs de services canadiens ne soulève pas les mêmes risques que le recours à des fournisseurs situés outremer. Entre autres, on peut raisonnablement supposer que les fournisseurs de services canadiens sont assujettis à des lois qui offrent une protection équivalente à celle de la LPVPC (soit la LPVPC elle-même, soit une loi provinciale similaire, soit les deux). Toutefois, cela ne veut pas dire que cette situation ne mérite pas d’être examinée. À tout le moins, les deux premiers facteurs à prendre en compte selon M^me Scassa s’appliquent toujours : à qui l’obligation s’applique-t-elle et dans quelles circonstances? En outre, qui est responsable des données personnelles et dans quelle situation?

Nous croyons que le régime prévu à l’article 11 est raisonnable : il oblige l’organisation qui transfère des renseignements personnels à veiller, contractuellement ou autrement, à ce que le fournisseur offre « une protection équivalente » à celle qu’elle est tenue d’offrir sous le régime de la Loi). Par contre, dans certains domaines, des précisions ou des modifications seraient bénéfiques. Par exemple, la mention de renseignements qui sont « transférés » aux fins de traitement au paragraphe 11(2) est problématique dans un milieu où les fournisseurs de services sont potentiellement considérés comme recueillant des renseignements personnels au nom d’une organisation.

Nous sommes également préoccupés par la possibilité que les fournisseurs de services réutilisent les renseignements personnels en vertu de l’alinéa 18(2)e) étant donné qu’en règle générale, ils n’ont pas de lien direct avec l’individu concerné. Étant donné la nature pratiquement illimitée des activités qui pourraient être autorisées en vertu de l’alinéa 18(2)e), à l’insu ou sans le consentement de l’individu, nous réitérons notre recommandation d’abroger cette disposition.

Comme la LPVPC ne fait pas de distinction entre les fournisseurs de services canadiens et étrangers dans ses exigences, certaines recommandations énoncées à l’annexe B dans le contexte de la circulation transfrontalière de données s’appliquent aussi au contexte national. Plus précisément, les recommandations 3, 4, 5 et 7 de l’annexe B s’appliquent également aux fournisseurs de services canadiens.

Droits individuels

Lorsque l’on examine la structure des lois relatives à la protection des renseignements personnels, les droits des individus viennent compléter les obligations des organisations. Tout comme les organisations doivent savoir ce que l’on attend d’elles, les individus doivent savoir quels droits ils peuvent exercer et comment le faire. Il s’agit d’un élément essentiel – tout comme l’est le consentement – de l’objectif qui garantit aux individus un niveau de contrôle à l’égard de leurs renseignements personnels. Maintenant que nous avons examiné le consentement, nous allons nous pencher sur d’autres droits qui sont (ou qui devraient être) prévus par la LPVPC.

Prise de décision automatisée

Comme nous l’avons décrit dans l’introduction du présent mémoire, il est évident que l’un des objectifs du projet de loi est de permettre l’utilisation de renseignements personnels à des fins innovatrices – et que, dans de nombreux cas, on utilisera un système décisionnel automatisé ou l’intelligence artificielle. Le CPVP appuie cet objectif général, tant que des mesures de protection appropriées sont intégrées au cadre législatif. Il s’agit là encore de la lentille à travers laquelle nous avons examiné la LPVPC dans son ensemble ainsi que ses dispositions liées à la prise de décision automatisée.

L’IA marque un tournant dans la société : elle entraîne des transformations importantes et ouvre la voie à de nouvelles façons de traiter les renseignements personnels. Toutefois, les usages de l’IA fondés sur les renseignements personnels des individus peuvent avoir de graves conséquences sur la vie privée.

Les modèles d’IA ont la capacité d’analyser, d’inférer et de prédire de manière saisissante certains aspects du comportement, des intérêts et même des émotions des individus. Les systèmes d’IA peuvent utiliser ces indications pour prendre des décisions automatisées au sujet de ces individus, notamment pour déterminer s’ils devraient recevoir une offre d’emploi, s’ils remplissent les conditions requises pour obtenir un prêt, s’ils doivent payer une prime d’assurance plus élevée ou s’ils sont soupçonnés d’avoir un comportement suspect ou illégal. Ces décisions ont des répercussions réelles sur la vie des personnes. La manière dont elles sont prises soulève des préoccupations, ainsi que des questions d’équité, d’exactitude, de partialité et de discrimination. Les systèmes d’IA peuvent également être utilisés pour influencer, microcibler ou infléchir subtilement le comportement des individus à leur insu. De telles pratiques peuvent avoir des effets inquiétants pour la société dans son ensemble, particulièrement quand on y a recours pour influencer le processus démocratique.

Il est encourageant de voir que la LPVPC contient des dispositions précises qui abordent cette forme de traitement importante et de plus en plus utilisée, ainsi que les risques qu’elle entraîne. Nous trouvons dans la LPVPC un certain nombre d’éléments recommandés dans notre document sur l’IA, y compris l’inclusion d’une définition de la prise de décision automatisée (plutôt que de l’IA), et d’accorder une certaine souplesse dans l’utilisation de renseignements dépersonnalisés.

La LPVPC crée également le droit d’obtenir une explication quant aux décisions automatisées. Cependant, nous croyons que des modifications sont nécessaires afin d’établir une norme plus claire concernant ces explications, de créer un droit de contester les décisions automatisées et de renforcer la responsabilisation en adoptant le principe de la protection de la vie privée dès la conception et en exigeant la traçabilité des algorithmes. Nos recommandations en ce sens s’accordent avec les principes de l’OCDE sur l’IA fondés sur des valeurs, dont le respect de l’état de droit, les droits de la personne et les garanties – permettant par exemple l’intervention humaine – nécessaires à l’équité. Nous avons le même objectif qui consiste à faire en sorte que les individus le sachent lorsqu’ils interagissent avec de tels systèmes et puissent en contester les résultats, et à ce que les organisations soient responsables de leur utilisation de l’IA.

Bon nombre des recommandations formulées dans le présent mémoire sont directement liées à la prise de décision automatisée, comme la nécessité d’ajouter la notion de « renseignements inférés » à la définition de « renseignements personnels » et la nécessité d’imposer aux organisations l’obligation de tenir des registres adéquats afin d’assurer le respect de la Loi. Dans le cas de la prise de décision automatisée, cela pourrait comprendre des mesures visant à s’assurer que la protection de la vie privée est intégrée aux systèmes comme les EFVP et les évaluations de l’incidence algorithmique. Nous ne reviendrons pas sur l’analyse de ces questions dans la présente section, mais nous examinerons plus particulièrement les recommandations liées à l’alinéa 62(2)c) et au paragraphe 63(3).

Tout d’abord, même si nous reconnaissons l’ajout, au paragraphe 63(3) de la LPVPC, d’un nouveau droit d’obtenir une explication lorsqu’un système décisionnel automatisé est utilisé, nous recommandons d’apporter des modifications afin d’assurer la pertinence de cette explication.

Le droit d’obtenir une explication valable s’inscrit dans le prolongement de principes reconnus en matière de protection des renseignements personnels, soit l’exactitude, la transparence et l’accès aux renseignements personnels. Ce droit, prévu au paragraphe 63(3) de la LPVPC, devrait viser à permettre aux individus de comprendre les décisions rendues à leur sujet et faciliter l’exercice d’autres droits, notamment celui de faire corriger les renseignements personnels inexacts, y compris ceux fondés sur des inférences. C’est du moins le but de l’alinéa 15(1)h) du RGPD, qui exige que le responsable du traitement des données fournisse « des informations utiles concernant la logique sous-jacente » des décisions.

Cependant, l’obligation actuellement prévue au paragraphe 63(3) ne confère pas aux consommateurs le droit à une explication valable. Elle confère un droit de connaître la prédiction ou la décision et la provenance des renseignements sur lesquels cette prédiction ou cette décision est fondée, mais pas le lien entre les renseignements personnels et la décision, ni même les éléments qui étaient pertinents à l’égard de la décision. Sans ces deux derniers éléments, ou du moins sans la nature et les éléments de la décision dont les individus font l’objet ou les règles qui définissent le traitement et les caractéristiques principales de la décision, l’explication ne peut être valable.

Les explications concernant les décisions automatisées doivent tenir compte des droits de propriété intellectuelle et des secrets commerciaux des organisations. Par contre, il faut aussi se rappeler que l’un des objectifs du droit à une explication est de traiter des scénarios potentiels où des algorithmes de boîte noire et des renseignements personnels inconnus sont utilisés pour déterminer automatiquement le sort d’une personne. Ce droit offrirait une voie de recours et garantirait le respect de la dignité humaine en veillant à ce que l’organisation soit tenue de pouvoir expliquer, en termes compréhensibles, le raisonnement qui sous-tend une décision. Dans ce contexte, bien que les secrets commerciaux puissent limiter les explications fournies, une certaine forme d’explication valable sera toujours possible sans compromettre la propriété intellectuelle. Une personne ne doit pas être privée de son droit à une explication valable, sans être complète, sous prétexte qu’il en va de la propriété intellectuelle ou des secrets commerciaux d’une organisation.

Dans les cas où des secrets commerciaux peuvent empêcher de fournir une explication à l’aide de la norme décrite précédemment, les organisations peuvent utiliser les trois facteurs suivants pour fournir une explication adéquate, en fonction des suggestions faites par le commissariat à l’information du Royaume-Uni (en anglais seulement) :

• le type de renseignements recueillis ou utilisés pour créer le profil ou prendre la décision automatisée;
• la raison pour laquelle les renseignements sont pertinents;
• l’incidence probable de la décision.

En outre, les personnes devraient disposer du droit de contester les décisions découlant de la prise de décision automatisée. La technologie n’est pas parfaite et les individus ne devraient pas être liés par des décisions automatisées sans avoir la possibilité de demander une intervention humaine, particulièrement lorsque de telles décisions peuvent être fondées sur des données inexactes, refléter un biais ou constituer une décision qu’un humain jugerait inappropriée. Ce droit s’appliquerait aussi bien aux cas où une personne a donné son consentement au traitement de ses renseignements personnels qu’à ceux où une exception aux exigences du consentement a été invoquée par l’organisation. Il s’agit d’un prolongement du droit d’obtenir une explication.

Un tel droit serait conforme à l’approche adoptée par d’autres juridictions, comme l’Europe sous le régime du RGPD, et le Québec sous le régime du projet de loi 64, selon laquelle un humain pourrait être tenu d’examiner la décision sur demande. Le droit de contester les décisions viendrait s’ajouter au droit de retirer son consentement, que prévoit la LPVPC. Il importe de disposer des deux droits à la fois, puisque le droit de retirer son consentement est absolu, alors que le droit de contester une décision offre un recours à la personne même quand celle-ci choisit de continuer à participer à l’activité qui fait intervenir la prise de décision automatisée.

Droit à la réputation

Le Projet de position du Commissariat sur la réputation en ligne de 2018 présente notre point de vue préliminaire en ce qui concerne la réputation en ligne, notamment le droit à l’oubli.

Dans ce document, nous avons conclu que dans certaines situations, la LPRPDE prévoit déjà un droit au déréférencement découlant du droit qu’ont les individus de contester l’exactitude ou le caractère incomplet des renseignements les concernant et de faire modifier ceux-ci (les faire corriger ou supprimer). Nous avons également reconnu qu’il s’agit d’une question importante étant donné les répercussions considérables que la publication de renseignements en ligne peut avoir sur les individus concernés et le lien étroit entre la réputation en ligne et d’autres droits, comme la liberté d’expression. En raison de l’importance des valeurs et des droits en cause, nous avons recommandé aux élus du Parlement d’examiner expressément la question du déréférencement et de l’effacement des renseignements des sources en ligne.

La LPVPC répond en partie à certaines des questions soulevées dans ce document. Par exemple, le fait que les individus soient expressément habilités à demander la suppression de leurs renseignements personnels offre une meilleure certitude en ce qui concerne la capacité d’un individu à faire effacer les renseignements qui le concernent. Toutefois, la portée de ce droit semble inutilement limitée puisque le paragraphe 55(1) ne fait mention que des renseignements recueillis auprès de l’individu.

À titre d’exemple, cela voudrait dire que la possibilité de demander la suppression ne s’appliquerait probablement pas aux renseignements détenus par les organisations comme les courtiers de données, qui recueillent rarement (voire jamais) les renseignements directement auprès de l’individu. En fait, en plus de l’exception au consentement prévue à l’alinéa 18(2)e), cette mesure annulerait une autre obligation en matière de protection des renseignements personnels pour les organisations qui n’ont pas de lien direct avec les individus.

Pour combler cette lacune, nous recommandons d’élargir le droit à la suppression afin d’inclure toutes les données personnelles concernant l’individu, en conformité avec l’approche adoptée dans le RGPD. Nous approuvons les exceptions prévues aux alinéas 55(1)a) et b) selon lesquelles les organisations peuvent refuser une demande de suppression.

Notre plus grande préoccupation est toutefois de veiller à ce que les individus aient la possibilité d’exercer un contrôle approprié sur leurs renseignements personnels en ligne et de protéger leur réputation en ligne.

Cette protection est reconnue à l’échelle internationale dans la Déclaration universelle des droits de l’homme et le Pacte international relatif aux droits civils et politiques (PIRDCP), dont le Canada est signataire. La Déclaration et le Pacte prévoient que toute personne a le droit de ne pas subir d’« immixtions arbitraires » dans sa vie privée ni d’« atteintes illégales à son honneur et à sa réputation »^{Note de bas de page 13}. Bien que le droit de ne pas subir d’immixtion ait traditionnellement été utilisé pour faire référence à la protection de l’État, le Comité des droits de l’homme des Nations Unies a déclaré que le PIRDCP exige que les États protègent les individus contre les actes commis par des personnes ou des entités privées^{Note de bas de page 14}.

Le droit de demander la suppression des renseignements prévu à l’article 55 ne s’applique qu’aux renseignements recueillis auprès de l’individu. Par conséquent, la LPVPC n’offre aucune nouvelle solution concernant des questions comme le déréférencement des moteurs de recherche ou le droit des individus de demander la suppression de renseignements préjudiciables publiés par autrui. Notre récente enquête concernant RateMDs, un site Web où sont affichés des avis sur les professionnels de la santé, a mis en évidence les lacunes de la LPRPDE dans le traitement des questions de réputation, des lacunes qui sont également présentes dans la LPVPC. La LPVPC ne répond pas non plus aux recommandations que nous avons formulées à cet égard en 2018.

Les tribunaux sont actuellement saisis de la question de savoir si le droit au déréférencement existe et devront y répondre en interprétant la loi actuellement en vigueur. Or, nous croyons fortement qu’étant donné que des droits constitutionnels sont en cause (le droit à la vie privée et la liberté d’expression) et qu’ils risquent d’être en conflit, le Parlement devrait se pencher sur la question, faire l’arbitrage nécessaire et édicter les mécanismes et les critères qui seraient les plus justes et efficaces pour permettre aux individus de protéger leur réputation tout en préservant la liberté d’expression.

L’approche adoptée dans le projet de loi 64 du Québec pourrait offrir un modèle utile à cet égard. En particulier, l’article 28.1 du projet de loi établit les critères suivants pour le déréférencement ou la suppression des renseignements de sources en ligne, que nous jugeons raisonnables :

1. la diffusion de ce renseignement lui cause un préjudice grave relatif au droit au respect de sa réputation ou de sa vie privée;
2. ce préjudice est manifestement supérieur à l’intérêt du public de connaître ce renseignement ou à l’intérêt de toute personne de s’exprimer librement;
3. la cessation de la diffusion, la réindexation ou la désindexation demandée n’excède pas ce qui est nécessaire pour éviter la perpétuation du préjudice.

Dans l’évaluation des critères du deuxième alinéa, il est tenu compte, notamment :

1. du fait que la personne concernée est une personnalité publique;
2. du fait que la personne concernée est mineure;
3. du fait que le renseignement est à jour et exact;
4. de la sensibilité du renseignement;
5. du contexte dans lequel s’effectue la diffusion du renseignement;
6. du délai écoulé entre la diffusion du renseignement et la demande faite en vertu du présent article;
7. si le renseignement concerne une procédure criminelle ou pénale, de l’obtention d’un pardon ou de l’application d’une restriction à l’accessibilité des registres des tribunaux judiciaires.

Mobilité des données

Contrairement à la LPRPDE, les dispositions du projet de loi C-11 sur la mobilité des données fournissent aux individus une certaine forme de contrôle sur leurs renseignements personnels – notamment, la capacité de demander aux organisations de transférer leurs renseignements personnels à une autre organisation dans certaines circonstances. Dans l’ensemble, le CPVP appuie l’introduction de dispositions sur la mobilité des données dans la LPVPC; cependant, nous recommandons certaines modifications afin de mieux harmoniser le projet de loi avec les modèles internationaux.

Tout d’abord, il y a lieu de noter que l’article 72 ne s’appliquerait qu’aux renseignements recueillis auprès d’un individu. Comme nous l’avons vu précédemment dans le contexte du droit à la réputation, ce type de renseignements peut représenter seulement un petit sous ensemble de tous les renseignements qu’une organisation détient sur un individu. Dans la mesure où cette disposition vise à accroître le contrôle du consommateur sur ses renseignements personnels et à promouvoir le choix du consommateur, il sera important d’inclure tous les renseignements personnels, y compris ceux qui sont dérivés ou inférés par l’organisation.

Tout comme ce que propose la LPVPC, la Consumer Data Right Act (CDRA) de l’Australie établit un processus par lequel le gouvernement doit désigner les secteurs qui sont assujettis à la loi (et donc qui sont tenus de transférer des renseignements personnels à d’autres organisations à la demande de l’individu concerné). Elle énonce également des règles applicables à la communication des données pour chaque secteur désigné. Notamment, elle détermine les catégories de renseignements qui doivent être communiqués entre les organisations d’un même secteur et précise que les renseignements dérivés dans chacune de ces catégories sont inclus.

La CDRA de l’Australie établit aussi des rôles et des responsabilités précises pour les trois intervenants gouvernementaux qui participent à l’élaboration des cadres de mobilité des données – le ministre compétent, la commission de la concurrence et de la protection des consommateurs de l’Australie, ainsi que le commissariat à l’information de l’Australie. Elle contient des exigences explicites selon lesquelles le commissaire à l’information doit être consulté quant à la désignation des secteurs, à la conception des règles et à la capacité de recommander des secteurs à désigner. Cependant, l’article 120 de la LPVPC prévoit que les cadres de mobilité des données doivent être établis par des règlements, sans préciser le rôle du commissaire à la protection de la vie privée dans le processus. Nous croyons que le CPVP devrait avoir un rôle consultatif ou d’approbation à l’égard des cadres de mobilité des données. Toutefois, cela pourrait se faire de manière administrative sans nécessiter de modification à la Loi.

Troisième thème : Recours rapides et efficaces et rôle du CPVP

Le troisième objectif du projet de loi C-11 consiste en un modèle de surveillance et d’application de la loi rigoureux. Un tel modèle devrait, à notre avis, permettre aux individus d’avoir accès à des recours rapides et efficaces et permettre à l’organisme de réglementation de disposer des outils juridiques nécessaires pour remplir son mandat de protéger efficacement la population canadienne, notamment le pouvoir discrétionnaire d’affecter des ressources aux domaines où l’incidence et les risques sont les plus importants. Nous examinons ci-après chacun de ces domaines successivement.

Recours

Comme l’a indiqué le commissaire dans son mot d’ouverture, en raison des restrictions importantes imposées au régime des sanctions pécuniaires et de l’ajout d’un tribunal administratif d’appel entre le CPVP et les tribunaux judiciaires, les consommateurs n’auraient pas accès à des recours rapides et efficaces. Nous reviendrons sur ces lacunes fondamentales plus tard, mais, pour l’instant, expliquons les règles de procédure qui s’appliqueraient généralement aux examens et aux investigations.

Règles de procédure et de preuve relatives aux examens, investigations et ordonnances

Les règles de procédure et de preuve prévues dans la LPVPC sont pour la plupart usuelles. Cela dit, nous formulons un certain nombre de recommandations qui, selon nous, amélioreraient l’efficacité et l’efficience des examens et investigations et des mesures liées aux ordonnances qui sont prévues dans la LPVPC. Nos recommandations s’inspirent en partie de notre expérience des investigations menées en vertu de la loi LPRPDE, ainsi que des consultations tenues avec nos homologues provinciaux en Alberta et en Colombie-Britannique, deux provinces qui ont des mesures similaires dans leurs lois provinciales.

Tout d’abord, nous proposons une réduction du seuil à partir duquel le CPVP peut exiger des éléments de preuve en vertu de l’alinéa 98(1)a). Actuellement, cet alinéa exige que les éléments de preuve demandés soient « nécessaires » à la procédure en cours, alors que les lois comparables (comme en Alberta et en Colombie-Britannique), ne comportent aucun seuil. Nous recommandons de remplacer « nécessaires » par « pertinents pour examiner la plainte ou pour procéder à l’investigation ou à la vérification dont il est saisi ». Cela éviterait des débats judiciaires inutiles qui pourraient occasionner des délais. Nous recommandons également de redéfinir ce pouvoir en pouvoir d’ordonner la comparution de témoins ou la production de documents, et de modifier le paragraphe 103(2) (et par conséquent l’article 104) pour que les ordonnances rendues en vertu des alinéas 98(1)a) et 98(1)e) soient exécutoires de la même manière qu’une ordonnance de la Cour fédérale. Ceci nous éviterait d’avoir à nous présenter en cour pour demander une nouvelle ordonnance si une personne n’obtempérait pas à nos assignations. Encore une fois, il s’agit d’éviter des délais inutiles.

Ensuite, les ordonnances provisoires prévues au paragraphe 98(d) peuvent souvent porter sur des questions urgentes (par exemple pour empêcher la destruction de documents utiles dans le cadre d’un examen ou pour prévenir un risque de préjudice pour les individus). Par conséquent, nous recommandons que les dispositions en matière d’appel du paragraphe 103(2) et de l’article 104 relatives aux ordonnances provisoires (et éventuellement aux ordonnances prévues par les alinéas 98(1)a) et e) comme il est suggéré ci-dessus) fassent l’objet des modifications nécessaires pour garantir que les ordonnances prévues à l’article 98 ne soient pas indûment retardées ou compromises dans l’attente d’un appel. La loi pourrait, par exemple, confirmer l’obligation de respecter une ordonnance urgente, à défaut d’un sursis demandé par l’organisation dans l’attente d’une demande d’autorisation d’appel. Compte tenu de la nature vraisemblablement urgente des questions soulevées, nous recommandons d’envisager de raccourcir les délais pour les demandes d’autorisation d’appel des ordonnances en vertu de l’article 98. Par exemple, dans le cadre de la Loi canadienne anti-pourriel, l’examen des demandes de conservation doit être demandé dans les cinq jours suivant la demande (voir les articles 15 et 16).

Ensuite, nous recommandons de modifier l’alinéa 98(1)h) pour préciser que les documents qui y sont mentionnés ne sont pas limités à ceux qui se trouvent physiquement dans les locaux de l’organisation. Nous cherchons ainsi à éviter que les organisations fassent valoir, ce qui s’est déjà produit, que les documents ne peuvent pas être examinés par le CPVP parce qu’elles les ont stockés sur un serveur hors site, par exemple « dans le nuage ».

De plus, le CPVP recommande, au moins dans le cas de plaintes en matière d’accès où un privilège est invoqué, de pouvoir demander et de recevoir des documents protégés par le secret professionnel de l’avocat afin d’évaluer les demandes d’exemptions. Il convient de souligner que des pouvoirs semblables sont prévus dans les lois de l’Alberta et de la Colombie-Britannique et accordés au CPVP dans la Loi sur la protection des renseignements personnels. Une disposition préciserait que la communication au commissaire de documents protégés ne constituerait pas une renonciation au secret professionnel.

Le paragraphe 92(4) prévoit qu’une investigation doit être complétée dans un délai d’un an, sauf prorogation, aussi limitée à une année. Nous recommandons de supprimer la limite prévue pour la prorogation, suivant ainsi les lois en vigueur en Alberta et en Colombie-Britannique. Bien que le CPVP s’efforce toujours de régler les questions rapidement (à preuve, la majorité des dossiers sont fermés sans enquête formelle) et que nous croyons fermement que les consommateurs ont droit à des recours rapides et efficaces, des retards sur lesquels nous n’avons pas de contrôle sont parfois occasionnés par les parties. Il serait injuste pour l’autre partie qu’on ne puisse compléter une investigation ou qu’on doive la compléter sur la base d’un dossier incomplet en raison d’une règle fixant péremptoirement un délai maximal.

Enfin, en ce qui concerne le pouvoir de rendre des ordonnances, nous recommandons de supprimer le passage du paragraphe 92(2) qui édicte qu’elles peuvent être prises uniquement « dans la mesure où cela est raisonnablement nécessaire pour assurer la conformité avec la présente loi ». Cette exigence de nécessité n’existe pas dans les lois comparables de l’Alberta, de la Colombie-Britannique et du Québec, ni dans la Data Protection Act 2018 du Royaume-Uni, la Privacy Act 2020 de la Nouvelle-Zélande ou la Data Protection Act 2018 de l’Irlande. Elle risque de donner lieu à des débats judiciaires inutiles qui retarderaient la conclusion des dossiers au bénéfice des consommateurs.

Cas particulier d’atteintes – L’accès à une réparation pour préjudices subis

Les ordonnances, comme d’autres mécanismes d’application de la loi, sont prospectives. Le paragraphe 92(2) de la LPVPC, par exemple, précise que le commissaire peut ordonner à une organisation de prendre toute mesure afin de se conformer à la loi ou de cesser toute action qui contrevient à la loi. Cela est normal mais crée des difficultés pour décider d’un recours efficace lorsqu’une atteinte (aussi appelée une fuite de renseignements personnels) a eu lieu. Dans ces cas, une réparation aux victimes pour préjudices subis peut être nécessaire.

Au cours des enquêtes sur les atteintes aux mesures de sécurité, le CPVP sera souvent appelé à discuter avec les organisations afin de proposer des mesures de réparation ou d’atténuation à la suite d’une atteinte. Par exemple, à la suite d’une récente fuite importante chez Desjardins, l’organisation a proposé à la fois des mesures d’atténuation des risques (comme la surveillance du crédit) et des mesures de réparation, comme une aide directe au rétablissement (notamment un accès à des avocats et à des psychologues), ainsi qu’une indemnisation pour les coûts liés au vol d’identité. Toutefois, les organisations ne sont pas toujours disposées à offrir un tel ensemble de mesures.

Nous pensons que dans certains cas, il serait raisonnable et souhaitable que le CPVP puisse ordonner des mesures de réparation ou d’atténuation, à titre d’exception à la règle générale selon laquelle les mesures d’application de la loi doivent être prospectives.

Les organisations tirent d’importants avantages commerciaux du traitement de grands volumes de renseignements personnels. Toutefois, lorsque leurs mesures de sécurité sont déficientes et conduisent à une atteinte, les conséquences retombent principalement sur les consommateurs touchés. D’autres recours sont possibles pour indemniser les individus, mais nous pensons que dans les cas où le CPVP a enquêté sur une atteinte et a conclu au non-respect des mesures de sécurité, il serait efficace et juste qu’il ait le pouvoir de rendre une ordonnance qui offrirait aux consommateurs une réparation pour préjudices subis.

Accords de conformité

Le CPVP considère les accords de conformité comme un moyen important de régler les questions efficacement. À ce titre, nous sommes heureux que ces accords restent à notre disposition en tant que mécanisme d’application de la LPVPC. Toutefois, nous pensons que leur efficacité pourrait être améliorée grâce à trois modifications principales.

Premièrement, il faudrait modifier le projet de loi C-11 pour permettre de résoudre les investigations au moyen d’un accord de conformité. Rien ne justifie que ces accords ne soient plus possibles à ce stade des procédures. Il est dans l’intérêt de tous, les parties, le CPVP et les tribunaux que les dossiers puissent faire l’objet d’un règlement négocié à tout moment avant la délivrance d’une ordonnance de conformité ou la recommandation d’une sanction administrative pécuniaire (SAP) au Tribunal (selon le modèle actuel de la LPVPC).

Deuxièmement, nous recommandons que le Commissariat soit autorisé à enregistrer des accords de conformité auprès des tribunaux, pour qu’ils aient la même force exécutoire qu’une ordonnance judiciaire. Actuellement, le processus qu’établirait le projet de loi C-11 visant à faire exécuter un accord de conformité non-respecté est complexe (et peut être long), car il nécessite la tenue d’une investigation et la délivrance d’une ordonnance de conformité pour obliger l’organisation à se conformer à l’accord. Ensuite, à supposer qu’elle ne fasse pas l’objet d’un appel, l’ordonnance peut être déposée devant la Cour fédérale, et elle devient alors une ordonnance judiciaire. On peut comparer cette ordonnance aux consentements du commissaire à la concurrence ou aux ordonnances de consentement de la commission fédérale du commerce des États-Unis, qui ont tous deux la même valeur et le même effet qu’une ordonnance judiciaire une fois enregistrés ou ratifiés par les tribunaux.

Troisièmement, nous recommandons de modifier le paragraphe 86(2) pour y préciser que les accords de conformité peuvent prévoir le paiement d’une SAP et d’autres mesures de conformité, qu’elles puissent ou non être imposées par le commissaire ou le tribunal. Cette recommandation s’inspire du paragraphe 74.12(2) de la Loi sur la concurrence, qui établit que l’accord de consentement visé par cette loi « porte sur le contenu de toute ordonnance qui pourrait éventuellement être rendue contre la personne en question par un tribunal; il peut également comporter d’autres modalités, qu’elles puissent ou non être imposées par le tribunal » (accentuation ajoutée). On nous informe que cette disposition a contribué à ce que les consentements deviennent une pierre angulaire du programme de conformité de la loi visant à lutter contre la publicité trompeuse du commissaire de la concurrence. La prévisibilité et la certitude inhérentes aux consentements ont permis au commissaire de négocier des règlements très efficaces aux fins de la conformité et donc très avantageux pour les consommateurs. Des outils semblables peuvent être utilisés par nos homologues du CRTC, de la FTC américaine et au Royaume-Uni.

Tribunal de la protection des renseignements personnels et des données

Le projet de loi C-11 crée un outil de « contrepoids » à l’égard du travail du CPVP, sous la forme du Tribunal de la protection des renseignements personnels et des données. Selon le gouvernement, ce tribunal vise à la fois à garantir l’équité envers les organisations et l’accès à des recours rapides et efficaces pour les consommateurs.

Bien que le CPVP accueille positivement les mesures visant sa surveillance et sa responsabilisation, il estime avec égards que le nouveau tribunal est à la fois inutile pour accroître la responsabilité et l’équité (la Cour fédérale joue déjà ce rôle) et contre-productif quant à l’obtention de recours rapides et efficaces. En fait, tous les indicateurs objectifs montrent de façon convaincante que le Tribunal retarderait inutilement la justice pour les consommateurs.

Dans son mot d’ouverture, le commissaire explique les principales raisons pour lesquelles la création d’une telle structure entre le CPVP et les tribunaux judiciaires n’est pas une bonne idée. En résumé, nul n’est besoin d’ajouter un appel administratif pour assurer l’équité envers les entreprises quand la Cour fédérale joue déjà ce rôle et que, de toute manière, le CPVP a un dossier exemplaire à ce sujet. Ensuite, l’ajout d’un palier d’appel ne peut faire autrement que de retarder la conclusion ultime des dossiers.

Pourquoi créer un vrai retard pour régler un problème de justice théorique mais inexistant?

La question centrale de conception est la suivante. Pour rehausser la confiance des consommateurs, le système décisionnel relié au jugement des plaintes doit selon nous être le plus rapide et efficace possible. Pour avoir confiance, les individus s’attendent à ce qu’il y ait des conséquences réelles, en temps opportun, lorsqu’il y a violation de la loi. Évidemment, le système doit aussi être juste pour les entreprises. La performance du CPVP à cet égard, sur une période de 40 ans, est excellente et nous sommes tout à fait ouverts à rendre nos procédures plus transparentes et à consulter pour les bonifier. Nous sommes aussi prêts, si le Parlement nous octroyait le pouvoir d’imposer des sanctions pécuniaires, à devoir prendre en compte tous les facteurs pertinents, au-delà de ceux prévus au paragraphe 94(5), que le Parlement voudra édicter.

À notre avis, la conception du système décisionnel proposé dans la LPVPC va dans le sens contraire de celui souhaité. En ajoutant un tribunal d’appel administratif et en réservant à ce palier le pouvoir d’imposer des sanctions pécuniaires, la LPVPC encourage les organisations à emprunter les voies d’appel plutôt que de chercher un terrain d’entente avec le CPVP lorsque ce dernier s’apprête à rendre une décision défavorable. Les concepteurs du projet de loi veulent que les dossiers se règlent de façon informelle, mais ils soutirent au Commissariat un outil de persuasion important. Et cela, avec une conception hors norme parmi les juridictions comparables.

Compte tenu des considérations qui précèdent, notre principale et vive recommandation est de retirer les dispositions portant sur le Tribunal de la protection des renseignements personnels et des données du projet de loi C-11. Si le Parlement n’est pas d’accord, nous recommandons, comme autre solution, que la composition du Tribunal soit renforcée et que les appels de ses décisions soient interjetés directement devant la Cour d’appel fédérale.

Il existe plusieurs tribunaux fédéraux dont les lois habilitantes exigent expressément que les membres du tribunal aient des connaissances spécialisées ou une expérience dans leur domaine. En voici des exemples : la Commission de révision agricole du Canada, le Conseil canadien des relations industrielles, la Commission des relations de travail et de l’emploi dans le secteur public fédéral, le Tribunal canadien des droits de la personne (« Les membres [du Tribunal] doivent avoir une expérience et des compétences dans le domaine des droits de la personne, y être sensibilisés et avoir un intérêt marqué pour ce domaine ») et le Tribunal d’appel des transports du Canada (« Le gouverneur en conseil nomme au Tribunal des membres – ci-après appelés “conseillers” – possédant collectivement des compétences dans les secteurs des transports ressortissants à la compétence du gouvernement fédéral »).

Afin de réduire les délais dans l’obtention d’un jugement final, le contrôle judiciaire des décisions du Tribunal pourrait être effectué par la Cour d’appel fédérale, plutôt que par la Cour fédérale. Ceci compenserait pour les délais occasionnés du fait que le Tribunal représente une étape supplémentaire. Sur la base de précédents existants, certains membres du Tribunal seraient tenus d’avoir une expérience en tant que juge. Cinq des tribunaux énumérés à l’article 28 de la Loi sur les Cours fédérales sont tenus par la loi d’être formés de juges en fonction ou à la retraite, notamment la Commission du droit d’auteur, le Tribunal de la protection des fonctionnaires divulgateurs d’actes répréhensibles, les évaluateurs nommés en vertu de la Loi sur la Société d’assurance-dépôts du Canada, le Tribunal des revendications particulières et le Tribunal de la concurrence.

Parmi les tribunaux énumérés, le Tribunal de la concurrence est celui qui ressemble le plus au Tribunal sur le plan de la procédure – par exemple, il n’examine pas les plaintes; il instruit plutôt les demandes du commissaire de la concurrence ou, avec autorisation, des parties privées en vertu des articles de la Loi sur la concurrence relatifs aux affaires civiles susceptibles d’examen. Il est également composé d’un maximum de six juges de la Cour fédérale et d’un maximum de huit membres non juges. Il s’agit d’un modèle qui pourrait être repris dans le projet de loi C-11 afin de gagner en efficacité.

Compte tenu de ce qui précède, nous recommanderions – si la création du Tribunal est maintenue et sur la base des exemples précédemment cités, que le Tribunal soit composé d’une majorité de juges en fonction ou à la retraite, avec des membres non juges qui « ont collectivement une expérience » en matière de protection de la vie privée. Des membres de différents horizons et ayant d’autres connaissances spécialisées pourraient bien sûr être nommés, notamment dans le domaine des affaires ou de la protection des consommateurs, mais les membres ayant des connaissances spécialisées en droit ou en matière de protection de la vie privée seraient plus nombreux.

Si la création du Tribunal est maintenue, nous aimerions également soulever la question de la qualité du CPVP pour agir devant ce tribunal. Actuellement, la LPRPDE, la Loi sur la protection des renseignements personnels et la Loi sur l’accès à l’information contiennent chacune des dispositions qui accordent au CPVP la qualité pour agir devant la Cour fédérale. Dans la LPVPC, cependant, la qualité du CPVP pour agir devant le Tribunal peut au mieux être déduite de l’alinéa 94(1)b), qui vise uniquement les situations où le CPVP a recommandé l’imposition d’une pénalité.

La situation pourrait être problématique, car, sans qualité pour agir, le CPVP ne pourrait présenter d’observations dans le cadre des appels de ses ordonnances ni solliciter le contrôle judiciaire des décisions du Tribunal, le cas échéant. Une telle situation soulève des préoccupations, entre autres que cela pourrait exacerber les problèmes d’accès à la justice pour les plaignants, qui pourraient ne pas avoir les moyens ou la capacité de contester les appels interjetés par les organisations ou de demander réparation lorsque le Tribunal a commis une erreur susceptible de révision. Plusieurs lois fédérales prévoient des droits de recours exprès devant les cours et tribunaux dans des circonstances similaires. Nous aimerions faire remarquer que, en plus des tribunaux et des commissions susmentionnées, la Commission canadienne des droits de la personne a le droit exprès de participer aux instances devant le Tribunal canadien des droits de la personne.

Pénalités ou sanctions administratives pécuniaires (SAP)

Le paragraphe 93(1) de la LPVPC précise que s’il conclut, au terme d’une investigation, qu’une organisation a contrevenu à l’une ou à plusieurs des dispositions énumérées dans la courte liste, le commissaire doit décider s’il recommande au Tribunal d’imposer une pénalité. (Le mot « pénalité » doit s’entendre ici au sens d’une sanction administrative pécuniaire (SAP), et non d’une peine criminelle.) On voit mal pourquoi la recommandation d’une pénalité est limitée à une liste de contraventions aussi courte. La liste ne vise pas de contraventions découlant des obligations liées à la forme du consentement, ni des nombreuses exceptions au consentement. Elle ne comprend pas non plus les contraventions aux dispositions relatives à la responsabilité. À notre avis, cela rend le régime de sanctions administratives pécuniaires proposé totalement inefficace.

Selon nos recherches sur les régimes de sanctions administratives pécuniaires au Royaume-Uni, en Australie, à Singapour, au Québec (projet de loi 64), en Ontario (la Loi sur la protection des renseignements personnels sur la santé) et en Californie, cette façon de faire est inhabituelle par rapport à ce qui se fait ailleurs, où la tendance législative récente consiste à conférer aux autorités responsables de la protection des données le pouvoir d’imposer des SAP pour presque toutes les contraventions liées à la collecte, à l’utilisation ou à la communication de renseignements personnels. Nous n’avons relevé aucun autre régime où la liste des contraventions qui peuvent entraîner une pénalité est aussi courte.

De plus, nous n’avons trouvé aucun obstacle juridique précis pouvant empêcher qu’une liste de contraventions plus exhaustive soit ajoutée au paragraphe 93(1). En particulier, nous ne croyons pas que la « théorie de l’imprécision », qui peut rendre une loi ou une disposition législative inconstitutionnelle si elle est trop vague, s’appliquerait dans ce cas-ci. Si une disposition est suffisamment précise pour être valide sur le plan constitutionnel, nous ferions valoir que cette disposition l’est tout autant pour qu’une SAP soit imposée à l’organisation qui commet une contravention.

Dans le même ordre d’idées, il n’y a aucune limite aux dispositions à l’égard desquelles le commissaire peut émettre une ordonnance de conformité en vertu du paragraphe 92(2). D’après ce que nous comprenons, le gouvernement veut que des sanctions pécuniaires puissent être imposées pour des contraventions autres que celles énumérées à l’article 93(1), mais selon le parcours très indirect que voici.

Tout d’abord, le CPVP procéderait à un examen et, ensuite, mènerait une investigation afin de permettre qu’une ordonnance soit rendue. Puis, un appel pourrait être interjeté devant le nouveau Tribunal. Certaines organisations porteraient ensuite l’affaire devant la Cour fédérale. Si l’ordonnance du CPVP était confirmée, l’organisation se verrait alors accorder un certain temps pour s’y conformer. Ce n’est qu’en cas de non-respect d’une ordonnance du CPVP qu’un processus pénal serait engagé, pouvant aboutir à une amende. Ce processus comporterait la préparation du dossier de preuve par le CPVP ou un autre organisme d’enquête. La preuve serait ensuite transmise au Service des poursuites pénales du Canada, qui l’analyserait afin de décider si une poursuite serait dans l’intérêt public. Un procès pénal aurait ensuite lieu, et une amende pourrait être imposée à l’issue du procès.

Comme l’illustre la première figure de l’annexe C, nous estimons que ce processus durerait environ sept ans et demi. Si le CPVP était autorisé à imposer des SAP et qu’il n’y avait pas d’appel devant le tribunal administratif, mais un contrôle judiciaire, le processus prendrait environ trois ans et demi (comme le montre la troisième figure de l’annexe C). Si, comme nous l’avons recommandé précédemment, le CPVP était autorisé à conclure un accord de conformité comprenant des SAP, il n’y aurait pas de contrôle judiciaire, puisque toute pénalité serait mutuellement convenue, et le processus prendrait environ deux ans (selon la deuxième figure de l’annexe C).

La Data Protection Act du Royaume-Uni prévoit une solution intéressante au problème qui pourrait se poser si des pénalités pouvaient être imposées relativement à des dispositions « vagues ». Dans cette loi, le régime de sanctions administratives pécuniaires comprend un processus optionnel à deux volets. Lorsque le commissaire à l’information du Royaume-Uni est [TRADUCTION] « convaincu qu’une personne a commis un manquement » (c.-à-d. qu’il y a eu violation), il peut donner immédiatement [TRADUCTION] « un avis de paiement » obligeant la personne à verser une somme d’argent précise (art. 155). Toutefois, le commissaire peut également donner [TRADUCTION] « un avis d’exécution », qui exige que l’organisation prenne les mesures, ou s’abstienne de prendre les mesures, énoncées dans l’avis (art. 149). À défaut de satisfaire aux conditions énoncées dans l’avis d’exécution, l’organisation pourrait recevoir un avis de paiement. Dans le contexte de la LPVPC, un régime de la sorte permettrait que, lorsque les exigences de conformité à une disposition en particulier peuvent être considérées comme étant « vagues », le commissaire soit habilité à d’abord donner un avis qui précise davantage les exigences de conformité, puis imposer une pénalité si ces exigences précises ne sont pas respectées.

Bien entendu, par souci de transparence, nous sommes ouverts à ce que des critères soient imposés pour que nous en tenions compte avant de recommander l’imposition d’une pénalité. C’est ce que fait en partie le paragraphe 93(2), mais nous recommanderions d’apporter les modifications suivantes à cette disposition :

• Étant donné que (selon le paragraphe 94(6)) l’imposition d’une pénalité ne vise pas à punir, mais à favoriser le respect de la loi, on ne comprend pas pourquoi l’alinéa 93(2)b) – à savoir si l’organisation a fait volontairement un versement à titre de dédommagement – serait un élément applicable.
• Il est difficile d’examiner les antécédents d’une organisation en ce qui concerne le respect de la Loi. Nous suggérons de reformuler l’alinéa 93(2)c) pour y inscrire « antécédents d’une organisation en ce qui concerne le non-respect ».
• On ne comprend pas pourquoi le Tribunal tiendrait compte d’autres éléments (au paragraphe 94(5)) pour déterminer le montant de la pénalité en plus de ceux examinés par le commissaire pour recommander ou non l’imposition d’une pénalité. Comme il n’est pas interdit au CPVP d’examiner ces éléments, nous ne voyons pas pourquoi ceux ci ne seraient pas expressément ajoutés à la liste figurant au paragraphe 93(2), d’autant plus que le Commissariat sera appelé à formuler ses recommandations au tribunal.

Enfin, on ne comprend pas l’objet du paragraphe 93(3), lequel (en résumé) interdit au CPVP de recommander l’imposition d’une pénalité dans le cas où l’organisation se conforme aux exigences d’un programme de certification approuvé.

Suivant le paragraphe 76(2), un code de pratique approuvé prévoit « des pratiques qui permettent de mettre en place une protection des renseignements personnels équivalente ou supérieure » à tout ou partie de celle prévue par la LPVPC. En revanche, par définition, l’imposition d’une pénalité ne serait recommandée que lorsqu’il y a eu violation de la LPVPC. Ainsi, le paragraphe 93(3) semble prévoir les situations où une organisation satisfait aux exigences de la Loi (en se conformant à un code de pratique approuvé) et, en même temps, ne satisfait pas aux exigences de la Loi (s’exposant ainsi à une pénalité).

Le paragraphe 93(3) semble donc envisager que, dans au moins certains cas, le respect par l’organisation d’un code approuvé ne serait pas suffisant pour lui permettre de se conformer à la LPVPC. À notre avis, un tel cas serait inacceptable – le code de pratique devrait viser à fournir aux organisations des précisions sur la façon de se conformer à la Loi, et non à établir une norme de conformité moindre.

Droit privé d’action

L’un des rôles du CPVP est d’offrir un recours relativement rapides et peu coûteux aux consommateurs qui déposent une plainte pour violation de la Loi. Par contre, il ne s’agit pas de son seul rôle et, comme nous l’avons déjà mentionné, pour être un organisme de réglementation efficace, nous devons être stratégique dans nos activités de conformité et de consultation, en appliquant une approche axée sur les risques. Comme nos ressources ne sont pas illimitées, nous ne pouvons être la seule entité à offrir des recours aux consommateurs. Lorsque nous ne pouvons le faire, ces derniers doivent pouvoir s’adresser aux tribunaux.

La recommandation de compléter le pouvoir discrétionnaire de ne pas enquêter sur certaines plaintes par un droit privé d’action est conforme à la procédure en vigueur dans plusieurs pays. Ainsi, plusieurs États permettent aux consommateurs d’exercer un droit privé d’action en matière de vie privée, comme le Royaume-Uni, l’UE et la Californie. De plus, dans les observations récemment formulées par le commissariat à l’information de l’Australie dans le cadre de consultations sur la Privacy Act de ce pays, nos collègues ont formulé une recommandation semblable à la nôtre.

Bien que l’introduction d’un droit privé d’action dans la LPVPC est une bonne chose, nous sommes d’avis que cette mesure est trop restrictive, en ce que le droit ne serait applicable que dans les cas où le Commissariat conclurait de façon définitive à une violation de la LPVPC, ce qui pourrait prendre des années dans l’éventualité d’appels.

De plus, le droit privé d’action, tel qu’il est formulé dans la LPVPC, ferait vraisemblablement augmenter le nombre de plaintes au CPVP puisqu’une décision finale de notre part serait la porte d’entrée de ce droit. Les plaignants pourraient aussi être plus susceptibles de demander le contrôle judiciaire de nos conclusions qui leur seraient défavorables. Cela nous amènerait à devoir nous défendre devant les tribunaux plutôt que de faire notre travail de conformité ou de consultation.

Pour éviter ces conséquences fâcheuses, nous recommandons l’adoption d’un régime semblable à celui établi dans la Loi sur les langues officielles (LLO). L’article 77 de la LLO permet l’exercice d’un recours devant la Cour fédérale, laquelle peut accorder toute réparation convenable dans trois situations, après qu’une personne a formulé une plainte auprès du commissaire :

1. Lorsque le plaignant a reçu les conclusions de l’enquête.
2. Lorsque le plaignant a été informé de la décision du commissaire de refuser d’ouvrir ou de poursuivre l’enquête.
3. Lorsque le plaignant n’a pas été informé des conclusions de l’enquête ou de la décision dans les six mois suivant le dépôt de sa plainte.

En 2015, la Cour fédérale a confirmé la thèse du commissaire aux langues officielles selon laquelle l’intention du législateur, pour les dispositions en cause, était de conférer au plaignant le droit « de saisir les tribunaux pour obtenir une réparation juste et équitable, après que le commissaire a eu la possibilité de régler la plainte ».

Ce régime pourrait être perçu comme un juste milieu entre un droit privé d’action illimité, tel qu’il existe dans d’autres juridictions, et le droit privé d’action très limité actuellement proposé dans la LPVPC. Un droit privé d’action qui dépend toujours d’une plainte au commissaire, mais pas d’une conclusion de violation de la Loi, conférerait à un plus grand nombre d’individus le pouvoir d’intenter une action au civil sur le fondement de la Loi. En même temps, il permettrait au CPVP de conserver son pouvoir discrétionnaire sur la répartition de ses ressources et d’exercer ses pouvoirs visés aux articles 83 (refus d’examiner la plainte), 85 (fin de l’examen), 86 (conclusion d’un accord de conformité) et 88 (pouvoir discrétionnaire de ne pas mener une investigation) sans limiter le droit d’accès à la justice des individus.

Rôle de l’organisme de réglementation

En plus de maintenir les fonctions actuelles du CPVP, le projet de loi C-11 lui impose de nouvelles responsabilités, notamment l’obligation d’examiner des codes de pratique et les programmes de certification et de donner des conseils aux organisations sur leur programme de gestion de la vie privée. La possibilité de collaborer ainsi avec les entreprises afin de rendre leurs activités conformes à la loi est une bonne chose. Cette approche est cohérente avec notre philosophie : un organisme de réglementation efficace préférera aider les entités à respecter la loi plutôt que de recourir rapidement à des pouvoirs d’exécution. Toutefois, l’ajout de nouvelles responsabilités alors que le Commissariat est déjà débordé l’empêcherait d’accorder la priorité à d’autres activités qui, à la lumière de sa connaissance experte de l’environnement des risques pour la vie privée, pourraient viser des activités vraisemblablement plus préjudiciables aux consommateurs.

Aucun organisme de réglementation ne dispose de ressources suffisantes pour traiter toutes les demandes qu’il reçoit des citoyens et des entités réglementées. L’ajout de nouvelles responsabilités non discrétionnaires au CPVP risque d’épuiser ses ressources limitées, ne laissant à celui-ci aucune marge de manœuvre pour mener des activités discrétionnaires visant à lutter contre les activités à haut risque pour les Canadiens. Dans ce contexte, nous estimons que des ressources supplémentaires seront nécessaires. La question est de savoir si la loi donnerait au Commissariat le pouvoir discrétionnaire voulu pour gérer sa charge de travail, répondre aux demandes des organisations et aux plaintes des consommateurs de la façon la plus efficace et la plus efficiente possible, et réserver une partie de son temps aux activités qu’il entreprend, en se fondant sur son évaluation du risque pour les Canadiens.

Dans cette section, nous formulons plusieurs recommandations à ce sujet dans le but de permettre au CPVP d’être un organisme de réglementation qui, à la hauteur de ses moyens, vise à desservir les plaignants et les organisations qui s’adressent à lui, tout en cherchant des moyens efficaces afin de protéger les Canadiens dans leur ensemble.

Pouvoir discrétionnaire en matière d’examen

Au cours des dernières années, le CPVP a souvent soulevé des préoccupations concernant l’incapacité du modèle axé sur les plaintes de la LPRPDE de répondre efficacement, à lui seul, aux questions de vie privée, compte tenu de la complexité et de l’opacité des processus opérationnels et des flux de données qui caractérisent l’économie moderne. Il est peu probable qu’un individu dépose une plainte au sujet d’activités dont il n’a pas connaissance. Dans cet esprit, il est essentiel que l’organisme de réglementation soit en mesure d’agir de façon proactive, y compris en se fondant sur son expertise en matière de pratiques commerciales afin de cibler les activités qui présentent le plus grand risque et qui causent le plus grand préjudice aux droits des individus à la protection de leur vie privée.

Pour être un organisme de réglementation efficace, c’est-à-dire offrir une protection à un plus grand nombre de personnes contre les pires menaces, le CPVP doit être stratégique dans ses activités de conformité et de consultation, en adoptant une méthode axée sur les risques. Malheureusement, la LPVPC ne prévoit aucun pouvoir discrétionnaire qui permettrait au Commissariat de gérer sa charge de travail à cette fin. Le fait que le projet de loi ne prévoit aucun pouvoir discrétionnaire de cette nature signifie que, comme sa capacité est limitée, le CPVP consacrerait vraisemblablement tout son temps à enquêter sur des plaintes de consommateurs, à donner des conseils aux organisations sur leurs programmes de gestion de la protection des renseignements personnels et à approuver des codes de pratique, toutes des activités que le commissaire a l’obligation de compléter sur demande. Le commissaire devrait être en mesure de tirer profit de l’expertise et des connaissances de ses employés et pouvoir investir une partie de ses ressources dans les dossiers prioritaires qu’il veut mener, y compris des examens proactifs ou la rédaction de lignes directrices générales favorisant la conformité.

En général, la LPVPC ne concorde pas avec les lois des autres provinces en ce qui concerne le pouvoir discrétionnaire d’examiner les plaintes. Par exemple, la Personal Information Protection Act de l’Alberta (art. 36), ainsi que la Freedom of Information and Protection of Privacy Act (art. 42) et la Personal Information Protection Act (art. 36) de la Colombie-Britannique, précisent toutes que le commissaire [TRADUCTION] « peut » examiner une plainte, et non « doit ». De plus, la Privacy Act de la Nouvelle-Zélande exige que le commissaire [TRADUCTION] « tienne compte de » toutes les plaintes et décide de la mesure à prendre (y compris examiner la plainte, refuser d’examiner la plainte, la renvoyer à une autre autorité ou envisager la possibilité d’un règlement).

Hormis la manière dont l’obligation d’examiner est définie, la plupart des lois comprennent également une disposition permettant de refuser de procéder à l’examen ou de poursuivre l’examen, pour des motifs limités ou généraux. Voici des exemples de lois qui contiennent des motifs généraux :

• L’alinéa 49.1(1)b) de la Personal Information Protection Act de l’Alberta : [TRADUCTION] « [L]es circonstances justifient le refus de mener ou de poursuivre une enquête ou un examen. »
• Le paragraphe 74(2) de la Privacy Act de la Nouvelle-Zélande : [TRADUCTION] « [L]e commissaire peut […] décider de ne pas enquêter sur une plainte s’il s’avère […] que, eu égard à l’ensemble des circonstances, l’enquête n’est pas nécessaire. »
• L’alinéa 41(1)da) de la Privacy Act de l’Australie : [TRADUCTION] « [L]e commissaire est convaincu qu’une enquête, ou qu’une enquête plus approfondie, sur l’acte ou la pratique n’est pas justifiée eu égard à l’ensemble des circonstances. »

Comme nous l’avons mentionné, afin de s’assurer que le CPVP utilise ses ressources aussi efficacement que possible, nous proposons de modifier la LPVPC en vue d’y ajouter le pouvoir discrétionnaire :

• de traiter les questions avec les moyens qu’il estime les plus adéquats et efficaces dans les circonstances;
• d’allouer des ressources aux questions qui auront la plus grande incidence sur la population canadienne;
• de choisir la procédure à suivre dans la conduite des examens, comme c’est le cas pour les investigations.

Par conséquent, en tenant compte des dispositions mentionnées plus haut, nous recommanderions d’adopter le régime suivant, qui viendrait modifier et fusionner les articles 83, 84 et 85 :

• 83(1) Le commissaire peut tenter de parvenir au règlement de la plainte en ayant recours à un mode de règlement des différends, notamment la médiation et la conciliation.
• (2) Si aucun mode de règlement ne convient ou s’il n’est pas possible de parvenir à un règlement, le commissaire peut procéder à l’examen de toute question qui, selon lui, doit être tranchée pour résoudre des questions de fait et de droit découlant de la plainte.
• (3) Le commissaire peut, à sa discrétion, décider de ne pas examiner une plainte ou de mettre fin à l’examen d’une plainte s’il estime :
  • a – d) [libellé actuel des alinéas 83(1)a-d)]
  • e – j) [libellé actuel des alinéas 85(1)a-e, h)
  • k) eu égard à l’ensemble des circonstances, il n’est pas justifié de procéder à l’examen de la plainte ou de poursuivre l’examen de la plainte.
• (4 – 5) [Libellé actuel des paragraphes 83(3) et 83(4).

Conseils aux organisations concernant leurs programmes de gestion de la protection des renseignements personnels

Conformément à l’alinéa 109e) de la LPVPC, le CPVP serait tenu, sur demande d’une organisation, de conseiller celle-ci au sujet de son programme de gestion de la protection des renseignements personnels. Nous nous attendons à ce que les organisations soient très nombreuses à demander des conseils, puisque ceux-ci leur donneront l’assurance que leurs programmes sont conformes à la Loi. Cette activité présente des avantages importants, tant pour l’organisation que pour les consommateurs, mais nous craignons qu’elle ait pour effet de surcharger nos ressources limitées.

Nous recommandons d’autoriser le CPVP à conseiller les organisations qui pourraient en faire la demande, sans toutefois l’obliger à le faire. Il s’agit essentiellement du modèle que nous avions créé il y a quelques années avec notre nouvelle Direction des services-conseils à l’entreprise.

Codes de pratique et programmes de certification

Les codes de pratique sont un excellent moyen de rendre plus concrets les principes de protection de la vie privée prévus par la Loi, en ajoutant un élément de certitude tant pour les organisations que pour les consommateurs. Dans l’ensemble, nous sommes en faveur de leur intégration dans la LPVPC, bien que nous ayons plusieurs réserves quant aux conséquences que pourrait avoir la méthode proposée sur nos ressources.

Nous cherchons à obtenir un plus grand pouvoir discrétionnaire en ce qui concerne les enquêtes et les conseils aux organisations sur leurs programmes de gestion de la protection des renseignements personnels. Selon nous, il ne serait pas souhaitable, et le gouvernement ne trouverait pas cela acceptable non plus, que nous ayons le pouvoir discrétionnaire de rejeter une demande d’approbation d’un code de pratique ou d’un programme de certification formulée par un secteur de l’industrie ou une autre entité au motif que la demande dépasse notre capacité. Contrairement aux enquêtes et aux conseils, qui concernent principalement les consommateurs et les organisations individuellement, les codes de pratique et les programmes de certification ont un champ d’application plus vaste et pourraient toucher des millions de Canadiens.

Pour ces motifs, nous sommes d’avis que l’approbation des codes de pratique et des programmes de certification devrait s’accompagner d’une politique de recouvrement des coûts. Le processus d’approbation des codes et des programmes de certification profiterait plus directement aux entités et à leurs membres, comme les secteurs de l’industrie, ce qui donne à penser que cette approche serait raisonnable. En fait, les entités verraient probablement le paiement de frais de service modestes comme un investissement qui leur garantirait que l’organisme de réglementation approuve leur code ou leur programme au motif qu’il offre « une protection des renseignements personnels équivalente ou supérieure à » celle prévue dans la LPVPC (par. 76(3)). Pour le CPVP, le recouvrement des coûts lui garantirait qu’il a la capacité d’examiner les codes et les programmes de certification, ainsi que les autres priorités qui pourraient autrement être reléguées au second rang en raison de la nature obligatoire du processus d’approbation.

Même si nous nous attendons, en général, à ce que les demandes d’approbation soient présentées par des associations de l’industrie, le modèle basé sur le recouvrement des coûts devrait être conçu d’une manière qui ne découragerait pas les organismes à but non lucratif de demander l’approbation. On pourrait y parvenir, par exemple, en conférant au CPVP la souplesse de réduire les frais ou d’y renoncer.

Par conséquent, nous recommandons de modifier la LPVPC pour y ajouter le libellé suivant : « Avant que le CPVP examine un code de pratique ou un programme de certification, le demandeur paie les frais prescrits. »

Comme nous l’avons mentionné, la LPVPC oblige le CPVP à procéder à plusieurs contrôles et vérifications, notamment en ce qui concerne les codes de pratique et les programmes de certification.

Nous avons examiné les dispositions relatives aux codes dans des lois récemment mises à jour en matière de protection des renseignements personnels, comme le RGPD de l’UE et la Privacy Act 2020 de la Nouvelle-Zélande. Cet examen a révélé que, bien que le régime proposé dans la LPVPC comporte des similitudes avec ses équivalents internationaux, il présente également plusieurs différences, liées généralement au fait que la LPVPC ne confère à l’organisme de réglementation aucune flexibilité quant aux procédures d’adoption des codes et des programmes de certification. Au lieu de permettre au CPVP d’établir des procédures, des échéanciers et des critères d’application de la norme énoncée dans la loi, le projet de loi prévoit que presque tous les aspects des codes et du modèle de certification seront prescrits par règlement. En examinant d’autres modèles, nous avons constaté qu’il est inhabituel que le rôle de l’organisme de réglementation et les procédures requises d’approbation des codes soient précisés dans les règlements de cette façon. Aucun autre régime comparable examiné ne fait preuve d’un tel encadrement de l’organisme de réglementation.

Bien entendu, nous estimons qu’il est tout à fait juste que l’approbation des codes et des programmes de certification soit assujettie à des normes objectives, prescrites à un certain niveau de généralité, comme celles prévues aux paragraphes 76(2) et 77(1) de la LPVPC. Toutefois, une fois que ces normes générales sont fixées, nous estimons qu’il serait indiqué de laisser l’organisme de réglementation définir le processus et les règles détaillées visant l’application de la Loi. C’est ce que font les pays mentionnés plus haut.

À titre d’organisme de réglementation fédéral en matière de protection des renseignements personnels, le CPVP assume un rôle très difficile, devant appliquer la loi et favoriser le respect de la loi dans une économie numérique qui évolue à une rapidité fulgurante. Nous sommes capables de nous acquitter de cette tâche, mais le Parlement doit nous donner les outils nécessaires, y compris les outils juridiques, pour gérer notre charge de travail et nos procédures, définir nos priorités selon notre évaluation des risques, et mener à bien notre mandat et nos responsabilités de la manière la plus efficace possible. Il ne donne rien d’imposer des règles procédurales détaillées dans les règlements et, conséquemment, de nous retirer le pouvoir discrétionnaire de définir les procédures que nous allons appliquer pour réaliser notre mandat juridique. Nous recommandons que les dispositions de la LPVPC sur les codes de pratique et les programmes de certification confèrent au CPVP le même pouvoir discrétionnaire que celui conféré à nos collègues à l’étranger, soit de définir et d’appliquer des procédures justes pour l’application des normes générales figurant aux paragraphes 76(2) et 77(1) de la Loi.

Article 108

L’article 108 de la LPVPC dispose que, dans l’exercice des attributions que lui confère la présente loi, le commissaire doit tenir compte de la taille et des recettes des organisations, du volume et de la nature délicate des renseignements personnels qui relèvent des organisations, ainsi que de toute question d’intérêt public.

Nous comprenons bien l’objectif de cet article puisque déjà, dans notre application de la loi actuelle, la LPRPDE, le CPVP a toujours examiné attentivement les réalités et la situation des organisations, y compris les PME, un sous ensemble d’organisations pour lesquelles l’article 108 semble taillé sur mesure.

Toutefois, la nature obligatoire et générale de l’article 108, tel qu’il est rédigé actuellement, pourrait créer des difficultés dans sa mise en œuvre. En particulier, l’article 108 semble exiger que le CPVP tienne compte des éléments énumérés, dans l’exercice de toutes les attributions que lui confère la Loi. Nous craignons que cette façon de faire puisse mener à des litiges inutiles, non seulement sur la façon dont le CPVP interprète la loi dans une situation donnée et s’il a dûment tenu compte du contexte, y compris la taille de l’organisation, mais également sur la question de savoir s’il convenait à la base de prendre des mesures à l’endroit d’une organisation, compte tenu des mêmes facteurs. On pourrait nous empêcher d’agir, ou nos procédures pourraient être retardées en invoquant de façon frivole que nous n’avons pas porté toute l’attention qu’il fallait au contexte

En raison de ces préoccupations, nous recommandons que l’article 108 se limite à encourager le commissaire à tenir compte des mêmes facteurs.

À titre subsidiaire, une nouvelle disposition pourrait être ajoutée après l’article 5 de la LPVPC, qui prévoirait que la Loi s’applique de façon contextuelle, y compris en ce qui concerne les facteurs mentionnés à l’article 108. Inclure ces facteurs dans un énoncé d’objet serait utile à son interprétation mais n’exposerait pas le CPVP aux litiges qui viseraient à nous empêcher d’agir.

Notons que notre recommandation 21 tient compte de la taille des entreprises dans l’application des obligations en matière de responsabilité et de tenue de registres.

Paragraphe 82(2) – Responsabilité démontrable et examens proactifs

Dans la deuxième partie du présent mémoire, nous avons parlé de l’importance de la responsabilité démontrable.

Rappelons-le, les vérifications et les examens proactifs, lorsqu’il n’y a pas de violation de la Loi, sont des composantes essentielles du concept de responsabilité démontrable, qui en soi est un élément de plus en plus important des lois modernes sur la protection des renseignements personnels dans une ère où les technologies et les modèles d’affaires sont complexes et où les organisations veulent avoir un plus grand pouvoir de traiter des données personnelles sans consentement. Les consommateurs doivent savoir que l’organisme de réglementation les soutiendra et veillera à ce qu’ils puissent participer à l’économie numérique sans craindre une violation de leurs droits. Pour y parvenir, l’organisme de réglementation ne doit pas seulement examiner les politiques. Les consommateurs doivent également savoir que l’organisme de réglementation aura la capacité d’examiner sérieusement les pratiques de traitement des renseignements personnels, même lorsqu’il agit de manière proactive.

L’article 10 de la LPVPC contribue à un certain point à l’atteinte de ces objectifs en obligeant les organisations, sur demande du commissaire, à donner accès aux politiques, pratiques et procédures comprises dans leur programme de gestion de la protection des renseignements personnels. L’article 110 vient toutefois annuler l’effet de l’article 10 en interdisant au commissaire d’utiliser les renseignements comme motifs pour prendre l’initiative d’une plainte ou procéder à une vérification. En outre, les motifs qui autorisent le commissaire à prendre l’initiative d’une plainte ou à procéder à une vérification (conformément au paragraphe 82(2) et à l’article 96, respectivement) sont plus stricts que ce que l’on voit habituellement ailleurs.

Pour favoriser la responsabilité démontrable, et permettre au CPVP de vérifier la conformité de manière proactive, nous recommandons d’apporter des modifications au paragraphe 82(2) et aux articles 96 et 110, lesquelles seront analysées à tour de rôle dans les sections suivantes.

Nous recommandons fortement de conférer au CPVP le pouvoir de prendre l’initiative d’une plainte de manière proactive pour « s’assurer de la conformité » de la loi, plutôt que « s’il a des motifs raisonnables de croire qu’une enquête devrait être menée », comme le prévoit actuellement le paragraphe 82(2). Il s’agit du seuil établi, par exemple, à l’alinéa 36(1)a) de la Personal Information Protection Act de l’Alberta. L’article 81 de la loi du Québec en matière de renseignements personnels dans le secteur privé permet au commissaire d’enquêter, de sa propre initiative, sur « toute matière relative à la protection des renseignements personnels ». Les lois de pays de common law comme le Royaume-Uni, l’Irlande et l’Australie prévoient des seuils similaires.

À l’instar de nos collègues d’autres juridictions, nous n’exercerions pas nos pouvoirs de manière arbitraire. En fait, prendre l’initiative d’une plainte (et ainsi de procéder à des vérifications de manière proactive) nous permettrait d’évaluer les risques d’une pratique pour la population canadienne et d’agir en conséquence. À titre de modèle, il convient de mentionner la politique sur les mesures réglementaires (PMR) (en anglais seulement) du commissariat à l’information du Royaume-Uni, ainsi que la politique sur les mesures réglementaires en matière de vie privée (en anglais seulement) du commissariat à l’information de l’Australie. La PMR du commissariat à l’information du Royaume-Uni indique clairement que les organisations devraient être en mesure de prédire comment le commissaire exercera ses activités réglementaires et que celles qui font l’objet d’une mesure réglementaire devraient avoir la certitude que le commissaire donnera suite aux manquements à la loi d’une manière transparente, cohérente et proportionnée. Selon la PMR, le commissaire choisira l’outil réglementaire le mieux adapté dans les circonstances en évaluant la nature et la gravité du manquement, la nature délicate de l’affaire, la manière dont les individus ont été touchés, le cas échéant, l’aspect nouveau et la durée des préoccupations, l’intérêt public, ainsi que la question de savoir si d’autres autorités de réglementation ont déjà pris des mesures.

De même, la politique du commissariat à l’information de l’Australie énonce que lorsque le commissariat a le pouvoir discrétionnaire de prendre une mesure réglementaire, il doit accorder la priorité aux questions de vie privée et choisir le pouvoir qui convient le mieux dans les circonstances. Les facteurs dont le commissariat à l’information de l’Australie tiendra compte pour décider s’il doit prendre une mesure réglementaire, et quelle mesure prendre le cas échéant, sont notamment les suivants : la gravité de l’incident ou de la conduite à examiner, le nombre de personnes potentiellement touchées, la question de savoir si l’affaire concerne des renseignements de nature délicate, la question de savoir si la conduite était délibérée ou téméraire, ainsi que le niveau d’intérêt public ou de préoccupation relatif à la conduite, la proposition ou l’activité.

Comme nous l’avons indiqué au début du présent mémoire, la population canadienne doit avoir la certitude que le CPVP est en mesure de s’acquitter efficacement de son mandat qui consiste à s’assurer que les organisations respectent les lois en matière de vie privée. Pour y parvenir, il faut notamment veiller à ce que le CPVP, lorsqu’il croit nécessaire d’agir proactivement dans l’intérêt de la population canadienne, soit en mesure de le faire. Il faut également que les activités proactives pour vérifier la conformité puissent mener à des mesures d’exécution significatives.

Article 96 – Vérifications proactives de conformité

Suivant l’article 96 de la LPVPC, pour procéder à la vérification des pratiques de l’organisation en matière de gestion des renseignements personnels, le commissaire doit avoir « des motifs raisonnables de croire que celle-ci a contrevenu à la partie 1 ». Le CPVP recommande de modifier cette condition et de permettre au CPVP de procéder à la vérification moyennant un préavis raisonnable.

Suivant le paragraphe 97(1), à l’issue de la vérification, le commissaire rédige un rapport dans lequel il présente ses conclusions ainsi que ses recommandations, qui n’ont pas force exécutoire. Il s’agit là d’une conséquence beaucoup moins grave que la conséquence qui peut découler de l’examen d’une plainte puisque, contrairement aux examens :

• Les vérifications ne peuvent servir de fondement à une ordonnance de conformité (bien qu’il soit possible de rendre une ordonnance provisoire en vertu de l’alinéa 98(1)d));
• Les vérifications ne peuvent mener à la recommandation d’une pénalité;
• Les vérifications ne peuvent mener à une investigation;
• Les vérifications ne peuvent faire intervenir un droit privé d’action (telle que la Loi est actuellement rédigée).

De plus, le seuil pour procéder à une vérification diffère considérablement de la norme proposée par le ministère de la Justice dans son document de consultation sur la modernisation de la Loi sur la protection des renseignements personnels, qui dispose :

Actuellement, l’article 37 de la [Loi sur la protection des renseignements personnels] donne au [c]ommissaire à la protection de la vie privée le pouvoir de s’assurer [du respect des] dispositions de la Loi. La Loi pourrait remplacer ce pouvoir par celui de vérifier les pratiques de gestion des renseignements personnels d’un organisme public fédéral, moyennant un préavis raisonnable.

Si l’on regarde ce qui se fait dans d’autres États ou provinces, les vérifications (ou mécanismes d’enquête similaires) peuvent généralement être faites sans qu’il soit nécessaire d’établir l’existence de motifs raisonnables – en Alberta (art. 36(1) de la Personal Information Protection Act), au Québec (art. 81, RLRQ ch. P-39.1), à l’UE (art. 58 du RGPD), en Irlande (art. 136 de la Data Protection Act 2018), au Royaume-Uni (art. 146 de la Data Protection Act 2018), ainsi qu’en Australie (par. 33C(2) de la Privacy Act, 1988).

Les dispositions de la LPVPC en matière de vérification sont décrites comme un outil servant à la « vérification de la conformité ». Or, elles sont limitées dans leur capacité à permettre au CPVP de vérifier de manière proactive la conformité, puisque ce dernier ne peut les invoquer qu’après avoir établi des motifs raisonnables de croire qu’il y a déjà eu non-respect de la Loi. Le fait que les organisations bénéficient d’une grande souplesse sous le régime de la LPVPC – et, en particulier, le fait que les cas où elles sont autorisées à recueillir et à utiliser des renseignements à l’insu ou sans le consentement de l’individu sont de plus en plus nombreux – donne à penser que l’organisme de réglementation doit agir de manière proactive. Comme nous l’avons déjà mentionné dans le contexte de la responsabilité, pour que la responsabilité soit démontrable, il est essentiel que l’organisme de réglementation ait la capacité d’examiner les dossiers de façon proactive.

Comme dans le contexte des enquêtes, il serait important que les vérifications soient menées d’une manière qui est fondée sur les risques, et qui est proportionnée et ciblée^{Note de bas de page 15}.

Retrancher le seuil des motifs raisonnables de l’article 96 harmoniserait la LPVPC avec les suggestions du ministère de la Justice en matière de vérification concernant la Loi sur la protection des renseignements personnels et rapprocherait la LPVPC des lois des autres États et provinces. Plus important encore, cette suppression donnerait au commissaire un outil pour appuyer la vérification proactive de la conformité, qui est un aspect intégral reconnu d’un régime de protection des données efficace.

Article 110 – Interdiction d’utilisation des renseignements fournis par l’organisation

Aux termes de l’article 110 de la LPVPC, le commissaire ne peut utiliser les renseignements demandés ou fournis dans le cadre d’un programme de gestion de la protection des renseignements personnels au titre de l’article 10 ou de l’alinéa 109e) comme motifs pour prendre l’initiative d’une plainte ou procéder à une vérification.

Selon le CPVP, l’interdiction d’utiliser les renseignements obtenus au titre de l’article 10 ou de l’alinéa 109e) est trop restrictive et devrait être supprimée ou modifiée.

En dehors du contexte d’un examen ou d’une vérification, le programme de gestion de la protection des renseignements personnels d’une organisation (ou ses politiques, pratiques et procédures connexes) peut faire l’objet d’une révision de deux façons : sur demande du commissaire au titre de l’article 10 ou sur demande de l’organisation en application de l’alinéa 109e). Hormis la nature obligatoire de l’examen mené au titre de l’alinéa 109e), cette dernière disposition ressemble beaucoup au programme de conseils aux entreprises du CPVP actuellement en place.

Dans le cadre de la création de ce programme, le CPVP a été saisi de la question suivante : « Quel équilibre faut-il établir entre inciter les organisations à collaborer sur une base volontaire avec nos conseillers, d’une part, et conserver la capacité du CPVP à protéger adéquatement les renseignements personnels de la population canadienne, d’autre part? » Pour répondre à cette question, un document sur les conditions d’engagement a été créé, qui mentionne entre autres que si la Direction des services-conseils à l’entreprise prend connaissance d’un cas de non-conformité volontaire, grave ou systémique au cours d’une activité de conseil, l’activité prendrait fin et l’organisation serait renvoyée au Secteur de la conformité du CPVP. En pareil cas, les renseignements obtenus par la Direction peuvent être communiqués, dans la mesure nécessaire, et considérés comme des éléments de preuve pertinents.

Les organisations qui collaborent avec notre groupe des services-conseils à l’entreprise sont satisfaites de ces conditions et, jusqu’à présent, aucune organisation n’a dû être soumise à un enquête. Compte tenu de ce qui précède, il est inutile d’interdire formellement l’ouverture d’une enquête fondée sur des renseignements obtenus dans le cadre d’un engagement volontaire en application de l’alinéa 109e) et inapproprié lorsqu’il s’agit d’une preuve de non-conformité volontaire, grave ou systémique.

Ce raisonnement vaut également pour les renseignements recueillis au titre de l’article 10, particulièrement si cet article sert de base à la responsabilité démontrable. Donner au CPVP l’accès aux pratiques d’une organisation, mais l’empêcher de prendre des mesures pour corriger des pratiques non conformes (sauf peut-être pour formuler des recommandations non contraignantes) nuirait à notre rôle consistant à protéger le droit des individus à la protection de leurs renseignements personnels.

La manière dont les renseignements fournis au titre de l’article 10 ou de l’alinéa 109e) seront traités par le CPVP devrait assurément être claire pour les organisations, principe confirmé à l’article 111.

Enfin, la suppression de cet article serait également en phase avec des lois analogues dans lesquelles un commissaire ou un tribunal exerce des fonctions qui se chevauchent. Par exemple, les lois sur la protection des renseignements personnels de la Colombie-Britannique et de l’Alberta confèrent au commissaire le pouvoir discrétionnaire d’émettre des commentaires sur les répercussions des programmes existants ou proposés d’une organisation sur la protection des renseignements personnels. Cependant, aucune des deux lois n’interdit l’utilisation des renseignements obtenus dans le cadre d’une telle activité en vue de procéder à un examen.

Confidentialité et coopération avec d’autres organismes

Le CPVP recommande d’apporter des modifications aux articles 115 à 117 qui renforceraient sa capacité à coopérer avec les autorités nationales et internationales. Dans ce cas-ci, notre but ultime est non seulement l’efficience, mais également l’efficacité. En effet, la capacité de collaborer avec d’autres autorités gouvernementales ou de leur communiquer des renseignements est essentielle compte tenu du caractère transfrontalier et intersectoriel des utilisations illégales des renseignements personnels. La coopération de longue date du CPVP avec les autorités de protection des données d’ici et d’ailleurs a démontré la valeur globale de la coopération et a prouvé qu’il est possible de coordonner des activités, même lorsque les parties appliquent des lois différentes. Le fait d’élargir ce potentiel de coopération entraînera des gains d’efficacité pour le CPVP, mais plus important encore, sera encore plus bénéfique pour la population canadienne.

Pour atteindre le niveau de coopération souhaité, nous formulons les recommandations suivantes.

Tout d’abord, aux termes du paragraphe 115(1), le commissaire peut conclure des accords et des ententes avec le CRTC et le Bureau de la concurrence en vue d’effectuer des recherches, d’en publier les résultats et d’élaborer la procédure à suivre pour la communication de renseignements. Cependant, il n’existe aucune disposition explicite pour permettre au CPVP de conclure des accords pour collaborer avec le CRTC et le Bureau de la concurrence sur des examens, des investigations et d’autres questions de conformité officielles. Nous recommandons de combler cette lacune, qui nous permettrait de collaborer avec nos collègues canadiens de la même façon que l’on collabore présentement avec les autorités de protection des données étrangères.

Ensuite, nous remarquons une différence entre la portée de l’article 116 (lié aux collaborations à l’échelle nationale) et celle de l’article 117 (lié aux collaborations à l’échelle internationale). Plus précisément, l’article 116 fait référence à « toute personne ayant […] des attributions semblables à celles du commissaire en matière de protection de tels renseignements ». En revanche, l’article 117 comprend le libellé de l’article 116 et une référence à « toute personne ou à tout organisme qui […] est chargé de réprimer des comportements essentiellement semblables à ceux qui constitueraient des contraventions au titre de la présente loi ». Il est difficile de comprendre pourquoi la portée de la coopération est plus vaste à l’échelle internationale qu’à l’échelle nationale. Par conséquent, nous recommandons à tout le moins que la mention ajoutée à l’article 117 le soit également à l’article 116.

Cependant, il serait préférable que le CPVP soit en mesure de coopérer à plus grande échelle. Par exemple, dans le cadre d’un examen, le CPVP aurait parfois pu tirer profit d’une collaboration avec d’autres autorités que des autorités de protection des données, par exemple les commissions provinciales des droits de la personne, les services d’évaluation du crédit ou le Bureau du surintendant des institutions financières. Ainsi, nous recommandons que l’article 116 soit également élargi de manière à habiliter le CPVP à collaborer avec des institutions chargées de l’application ou de l’administration des lois fédérales ou provinciales et à leur communiquer des renseignements. Il est entendu que cette recommandation ne vise pas à élargir la portée des questions pouvant faire l’objet d’un examen de la part du CPVP. Elle vise plutôt à assurer la capacité de travailler avec d’autres organismes dans des zones de chevauchement afin de favoriser l’efficacité et l’efficience.

Infractions

La LPVPC instaure de nouvelles infractions et augmente le montant des amendes. Ces modifications nous ont amenés à examiner le processus lié aux poursuites.

À l’instar du modèle prévu par la LPRPDE, la LPVPC prévoit que dans les cas où, selon le CPVP, il existe des éléments de preuve touchant la perpétration d’infractions, il peut communiquer au procureur général du Canada (PGC) des renseignements qu’il détient à cet égard. Cependant, après discussion avec le Service des poursuites pénales du Canada (SPPC), qui assume les responsabilités du PGC en matière de poursuites relatives aux infractions aux lois fédérales, ce dernier confirme que la disposition ne prévoit pas la voie la plus utile et efficace pour mener à une poursuite. Le SPPC n’enquête pas sur des infractions. Les premières étapes se rapportant à la collecte d’éléments de preuve et au dépôt d’accusations sont accomplies par un organisme d’application de la loi ou un autre organisme d’enquête qui doit être en mesure de recueillir des éléments de preuve qui sont pertinents et admissibles à l’appui d’une poursuite. Plus particulièrement, une enquête visant à obtenir des éléments de preuve en vue d’intenter une poursuite relativement à une infraction nécessiterait des mesures de protection adéquates garanties par la Charte.

Dans le cas des infractions à la LPRPDE ou à la LPVPC, la Gendarmerie royale du Canada (GRC) pourrait mener ces activités. Cependant, la GRC pourrait ne pas toujours être en mesure de consacrer des ressources pour s’occuper des infractions à la loi sur la protection des renseignements personnels et pourrait être aux prises avec d’autres priorités plus urgentes. Selon nous, la voie la plus efficace et efficiente serait que le CPVP soit en grande partie responsable de l’enquête sur les infractions et du dépôt des accusations (en collaboration avec le SPPC, le cas échéant) en vue d’appuyer les poursuites relatives aux infractions à la LPRPDE. À cet égard, en tant qu’expert en protection des renseignements personnels et expert du régime législatif sous-jacent, nous sommes d’avis que le CPVP est le mieux placé pour comprendre les objectifs stratégiques qui sous-tendent les dispositions relatives aux infractions et pour en favoriser l’atteinte.

Nos discussions avec le SPPC viennent confirmer que le CPVP ne pourrait utiliser les pouvoirs d’enquête prévus dans la LPVPC aux fins des examens et des investigations pour exiger la production d’éléments de preuve touchant la perpétration d’infractions. Des outils d’enquête prévoyant des garanties procédurales accrues, par exemple des mandats de perquisition ou des ordonnances de communication assortis d’une autorisation judiciaire préalable, pourraient parfois être nécessaires. Par conséquent, nous recommandons d’envisager d’apporter des modifications à la LPVPC pour faire en sorte que le CPVP dispose de façon claire des pouvoirs et des outils appropriés et nécessaires pour appuyer des poursuites. Il pourrait s’agir par exemple d’un régime pour les enquêtes sur les infractions qui prévoit des pouvoirs permettant le recours aux dispositions en vigueur du Code criminel relatives aux perquisitions et aux saisies ou qui intègre de tels pouvoirs directement dans la LPVPC. Bien qu’il existe déjà quelques modèles fédéraux desquels s’inspirer, nous recommandons également que toute modification soit élaborée en consultation avec le SPPC pour s’assurer que la meilleure approche est adoptée à l’appui des poursuites relatives aux infractions engagées par le SPPC et, finalement, des objectifs stratégiques qui sous-tendent la disposition relative aux infractions de la LPVPC.

Annexe A – Liste complète des recommandations

No	Recommandations
1	Ajouter à la LPVPC le préambule proposé.
2	Modifier l’article 5 de la LPVPC comme suit : Dans une ère où une part importante de l’activité économique repose sur l’analyse, la circulation et l’échange de renseignements personnels et le mouvement de ces renseignements au-delà des frontières provinciales et internationales, la présente loi a pour objet de fixer des règles régissant la protection des renseignements personnels d’accroître la confiance à l’égard du commerce axé sur l’information et, par conséquent, de favoriser la durabilité de ce commerce en fixant des règles régissant la protection des pour assurer la collecte, l’utilisation et la communication licites, justes, proportionnelles, transparentes et responsables de renseignements personnels d’une manière qui tiennent compte : du droit fondamental à la vie privée des individus; quant aux renseignements personnels qui les concernent et du besoin des organisations de recueillir, d’utiliser ou de communiquer des renseignements personnels à des fins et d’une manière qu’une personne raisonnable estimerait acceptables dans les circonstances; du fait que le niveau de protection garanti par le droit canadien ne doit pas être compromis lorsque des renseignements personnels sont transférés à l’extérieur du Canada.
3	Modifier le paragraphe 12(1) de la LPVPC de la façon suivante : L’organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins et que d’une manière qu’une personne raisonnable estimerait acceptables dans les circonstances.
4	Modifier le paragraphe 12(2) de la LPVPC de la façon suivante : Pour établir le caractère acceptable des fins et des moyens visés au paragraphe (1), on peut tenir il est tenu compte notamment des éléments suivants : […] g) tout autre élément pertinent dans les circonstances
5	Modifier les éléments du paragraphe 12(2) de la LPVPC de la façon suivante : la mesure dans laquelle les renseignements personnels sont de nature délicate; [à supprimer si la modification proposée d’ajouter un élément sur la non-exhaustivité au paragraphe 12(2) n’est pas adoptée] le fait que les fins visées correspondent à des besoins commerciaux légitimes de l’organisation; le degré d’efficacité de la collecte, de l’utilisation ou de la communication pour répondre aux besoins commerciaux légitimes de l’organisation; l’existence ou non de moyens portant une atteinte moindre à la vie privée de l’individu et permettant d’atteindre les fins visées à un coût et avec des avantages comparables; la proportionnalité entre l’atteinte à la vie privée de l’individu ou à d’autres droits et intérêts fondamentaux et les avantages pour l’organisation, au regard des moyens, techniques ou autres, mis en place par l’organisation afin d’atténuer les effets de l’atteinte pour l’individu; [L’alinéa pourrait aussi être modifié de la façon suivante : « la proportionnalité entre l’atteinte à la vie privée, à la dignité, à l’autonomie et à l’autodétermination de l’individu et les avantages pour l’organisation. »] [si les paragraphes 12(1) et 12(2) sont modifiés comme nous l’avons proposé, avec l’ajout des moyens employés] les moyens employés pour la collecte, l’utilisation et la communication des renseignements sont justes, licites et transparents; tout autre élément pertinent dans les circonstances.
6	Modifier l’article 13 de la LPVPC de la façon suivante : L’organisation ne peut recueillir que les renseignements personnels qui sont nécessaires aux fins spécifiques, explicites et légitimes qu’elle a établies et consignées en application du paragraphe 12(3).
7	Modifier la définition actuelle des renseignements personnels afin d’inclure expressément les renseignements inférés.
8	Modifier la LPVPC afin d’inclure une définition de l’expression « renseignements de nature sensible » qui établirait un principe général, suivie d’une liste d’exemples non exhaustive.
9	Modifier la définition d’activité commerciale de la façon suivante : Activité commerciale S’entend notamment des activités suivantes : toute activité régulière ainsi que tout acte isolé qui revêt un caractère commercial de par sa nature, qu’il soit commis par une organisation dont les objectifs généraux sont de nature commerciale ou non; ou toute activité régulière qui revêt un caractère commercial de par sa nature, y compris toute activité qui fait partie d’une activité régulière qui revêt un caractère commercial de par sa nature, compte tenu des objectifs de l’organisation qui exerce l’activité ou commet l’acte, et du contexte dans lequel l’activité est exercée ou l’acte est posé, des personnes en cause et des résultats de l’activité ou de l’acte.
10	Assujettir les partis politiques fédéraux à la LPVPC, par exemple en les inscrivant à l’annexe conformément au paragraphe 6(3) et à l’alinéa 119(2)c).
11	Modifier le paragraphe 15(3) de la LPVPC de la façon suivante : Le consentement n’est valide que si l’organisation fournit d’abord à l’individu concerné, dans un langage clair, les renseignements suivants, de manière telle qu’il est raisonnable de s’attendre à ce que la personne comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication envisagée. Ces renseignements doivent être présentés sous une forme intelligible et facilement accessible, dans un langage clair et simple.
12	Modifier le paragraphe 15(4) de la LPVPC de la façon suivante : Le consentement doit être obtenu expressément. Toutefois, compte tenu de la nature délicate des renseignements personnels à qu’elle recueillir, utiliser ou communiquer et des attentes raisonnables de l’individu concerné, une organisation peut conclure que le consentement implicite de l’individu est peut être approprié.
13	Modifier l’article 18 de sorte à limiter la portée de l’exception relative aux « risques commerciaux ».
14	Abroger l’alinéa 18(2)e) et modifier l’article d’une des manières suivantes : Autoriser tout intérêt commercial légitime qui aurait été permis au titre de l’alinéa 18(2)e) par le biais d’une exception au consentement explicite et connue; Ajouter une exception au consentement fondée sur les intérêts commerciaux légitimes si elle est accompagnée de l’ajout d’un régime fondé sur les droits et de conditions préalables telles que l’évaluation des facteurs relatifs à la vie privée et le critère de pondération et si le contrôle de son application était possible par le biais de vérifications proactives de conformité par le CPVP.
15	Modifier l’article 39 de la LPVPC de manière à exiger ce qui suit : Une demande écrite doit être présentée avant que les renseignements soient communiqués afin de veiller à ce qu’ils soient utilisés à des fins socialement bénéfiques au sens de la LPVPC; Une entente d’échange de renseignements doit être conclue et doit interdire au destinataire de repersonnaliser les renseignements et de les utiliser à des fins secondaires qui ne sont pas bénéfiques pour la société; La définition de « à des fins socialement bénéfiques » devrait être modifiée afin d’inclure une limite au pouvoir réglementaire, en indiquant par exemple qu’il doit s’agir des « fins qui sont bénéfiques pour la société et pas simplement des activités pour des intérêts ou des gains personnels ou commerciaux ».
16	Modifier l’article 51 de la LPVPC afin de prévoir, en plus des conditions déjà présentes, que les renseignements personnels sont ceux pour lesquels l’individu n’a pas d’attente raisonnable en matière de vie privée.
17	S’assurer que la LPVPC maintient l’équilibre actuel en accordant aux organisations une certaine souplesse quant à l’utilisation des renseignements dépersonnalisés, tout en conservant les mesures de contrôle et de supervision nécessaires en incluant les renseignements dépersonnalisés dans la portée de la loi. S’assurer également que la loi est modifiée pour indiquer explicitement qu’elle s’applique aux renseignements dépersonnalisés afin de lever toute ambiguïté potentielle dans cette interprétation.
18	Établir des obligations en matière de tenue de registres et de production de rapports concernant la communication de renseignements personnels à des organismes gouvernementaux, et particulièrement à des organismes d’application de la loi.
19	Ajouter une définition précisant la signification d’« autorité légitime » aux fins de l’article 44.
20	Modifier ainsi l’article 9 de la LPVPC afin d’établir une norme objective pour la responsabilité : 9(1) L’organisation met en œuvre un programme de gestion de la protection des renseignements personnels afin d’assurer le respect des obligations qui lui incombent au titre de la présente loi. (2) Un programme de gestion de la protection des renseignements personnels comprend les politiques, les pratiques et les procédures de l’organisation qui servent à assurer le respect de la présente loi, notamment des politiques, des pratiques et des procédures relatives : […]
21	Renforcer le concept de responsabilité démontrable dans la LPVPC en prenant les mesures suivantes : Ajouter une disposition obligeant les organisations à tenir des registres adéquats pour démontrer qu’elles respectent les obligations en matière de protection des renseignements personnels qui leur incombent au titre de la Loi, y compris une obligation expresse de traçabilité dans le contexte de la prise de décision automatisée; Modifier le paragraphe 9(2) afin que la portée de la responsabilité et des obligations en matière de tenue de registres dépende de la nature et de l’importance des renseignements personnels qui relèvent de l’organisation, de sa taille et de ses recettes, ainsi que des menaces et des risques pertinents.
22	Inclure dans les dispositions relatives à la responsabilité deux pratiques proactives importantes qui amélioreront la conformité aux obligations en matière de protection de la vie privée et le respect des droits : Obliger les organisations à appliquer le principe de la protection de la vie privée dès la conception; Exiger que des EFVP soient effectuées pour les activités à risque élevé.
23	Définir les exigences organisationnelles relatives à la circulation transfrontalière des données de manière explicite et distincte, conformément aux recommandations qui figurent à l’annexe B.
24	Remplacer le paragraphe 57(2) de la LPVPC par ce qui suit : En plus de la sensibilité de l'information, les mesures de sécurité établies par l’organisation tiennent également compte des risques pour les consommateurs, en cas d’atteinte, associés à la nature, à la portée et au contexte de l’utilisation que fait l’organisation des renseignements personnels, vu ses activités opérationnelles.
25	Modifier le paragraphe 58(2) de la LPVPC ainsi : La déclaration contient les renseignements réglementaires et est faite, selon les modalités réglementaires dès que possible dans les meilleurs délais, mais au plus tard dans les sept (7) jours civils après que l’organisation a pris connaissance de l’atteinte a conclu qu’il y a eu atteinte. et modifier le paragraphe 58(6) de la LPVPC ainsi : L’avis est donné dès que possible dans les meilleurs délais après que l’organisation a conclu qu’il y a eu atteinte.
26	Modifier la LPVPC pour veiller à ce que les recommandations 3, 4, 5 et 7 de l’annexe B s’appliquent également aux fournisseurs de services canadiens.
27	Renforcer la norme concernant le niveau d’explication requis au paragraphe 63(3) afin de permettre aux individus de comprendre : (i) la nature de la décision dont ils font l’objet, et les renseignements personnels pertinents, et (ii) les règles qui définissent le traitement et les caractéristiques principales de la décision. Lorsque des secrets commerciaux empêchent de fournir une telle explication, communiquer au moins les renseignements suivants : (i) le type de renseignements personnels recueillis ou utilisés; (ii) la raison pour laquelle les renseignements sont pertinents; et (iii) l’incidence probable de la décision sur l’individu.
28	Inclure le droit de contester les décisions automatisées dans la LPVPC.
29	Élargir l’article 55 afin d’inclure tous les renseignements personnels détenus par une organisation concernant l’individu, sous réserve d’un examen des motifs additionnels de refus.
30	Que le Parlement édicte un droit explicite et clair au déréférencement et à la suppression de renseignements personnels des résultats de recherche et d’autres sources en ligne vu les recommandations formulées par le CPVP dans son projet de position de 2018 sur la réputation et l’approche proposée dans le projet de loi 64.
31	Élargir l’article 72 de la LPVPC afin d’inclure tous les renseignements personnels au sujet d’un individu, y compris ceux dérivés ou inférés.
32	Établir un rôle consultatif ou d’approbation clair pour le CPVP à l’égard des cadres de mobilité des données.
33	Modifier les dispositions suivantes relatives aux examens et aux investigations visés par la LPVPC : 98(1)a) : réduire le seuil à partir duquel le CPVP peut exiger la production d’éléments de preuve et remplacer le verbe « contraindre » par « ordonner »; 98(1)h) : préciser que la disposition s’applique aussi aux renseignements stockés sur des serveurs à distance, mais accessibles à partir du local visé; 103(2) : modifier le paragraphe pour rendre les ordonnances visées aux alinéas 98(1)a) et 98(1)e) exécutoires par voie d’homologation; 103(2) et 104 : modifier les dispositions en matière d’appel concernant les ordonnances provisoires rendues en vertu du paragraphe 98(d) pour veiller à ce que les ordonnances ne soient pas indûment retardées ou compromises dans l’attente d’un appel; 90(2) : modifier le paragraphe pour permettre au CPVP de demander et de recevoir des renseignements protégés par le secret professionnel de l’avocat, afin d’évaluer les demandes d’exemptions dans le cadre de plaintes liées à l’accès; 92(2) : supprimer le critère de nécessité, qui ne se retrouve dans aucune loi comparable; 92(4) : supprimer la limite maximale d’un an liée aux prorogations de délai pour mener une investigation.
34	Ajouter au paragraphe 92(2) une disposition pour permettre au CPVP d’ordonner à une organisation de « prendre toute mesure qui permette aux individus d’être indemnisés pour les préjudices subis, d’ordre financier ou autre, résultant d’une atteinte ou d’une violation des mesures de sécurité exigées par la loi ».
35	Modifier la LPVPC relativement aux accords de conformité pour permettre : la conclusion des investigations au moyen d’accords de conformité; l’enregistrement des accords de conformité auprès des tribunaux, les rendant équivalents à une ordonnance judiciaire; l’ajout des sanctions administratives pécuniaires et de toute autre mesure négociée comme modalités possibles dans les accords de conformité.
36	Nous recommandons vivement de ne pas créer le Tribunal de la protection des renseignements personnels et des données et d’accorder au commissaire le pouvoir d’imposer des sanctions administratives pécuniaires à l’issue des investigations. Si le tribunal est créé, nous recommandons subsidiairement de modifier sa composition pour qu’il soit formé d’une majorité de juges, en fonction ou à la retraite, et de membres non juges qui « ont collectivement une expérience » en matière de protection de la vie privée.
37	Si la création du Tribunal devait être maintenue, modifier la LPVPC pour accorder expressément au CPVP le droit de participer aux instances devant le Tribunal.
38	Modifier le paragraphe 93(1) de la LPVPC en vue d’élargir sensiblement la liste des violations pour lesquelles une pénalité peut être imposée, laquelle engloberait possiblement toutes les violations visées à la partie 1 de la LPVPC. Modifier également la LPVPC en vue d’y ajouter des dispositions semblables à celles figurant dans la Data Protection Act du Royaume-Uni, en vertu desquelles le commissaire pourrait, dans les cas qui s’y prêtent, donner à l’organisation un avis d’exécution précisant la nature de la violation avant de recommander l’imposition d’une pénalité.
39	Modifier le paragraphe 93(2) : Par la suppression de l’alinéa 93(2)b); Par la reformulation de l’alinéa 93(2)c) en vue de mettre l’accent sur les antécédents en matière de non-respect; Par l’intégration des alinéas 94(5)b) et c).
40	Supprimer le paragraphe 93(3) de la LPVPC.
41	Modifier l’article 106 de la LPVPC en vue d’élargir le droit privé d’action par la substitution aux alinéas 106(1)a) et 106(1)b) d’exigences semblables à celles de l’article 77 de la Loi sur les langues officielles.
42	Modifier les articles 83 à 85 de la LPVPC en vue de conférer au commissaire un plus grand pouvoir discrétionnaire en ce qui concerne la conduite des examens au titre de la Loi.
43	Modifier l’alinéa 109e) de la LPVPC en vue d’autoriser le commissaire à conseiller les organisations sur demande de celles-ci au sujet de leurs programmes de gestion de la protection des renseignements personnels, sans toutefois l’obliger à le faire.
44	Modifier la LPVPC de façon à ce que l’obligation du commissaire d’examiner une demande d’approbation d’un code de pratique ou d’un programme de certification soit conditionnelle au paiement de frais de service.
45	Supprimer tous les renvois aux règlements des articles 76, 77, 78 et 81 et des alinéas 122 a) à j) de la LPVPC afin de laisser au commissaire le pouvoir, comme c’est la norme dans d’autres États, d’adopter des procédures justes relativement à l’approbation des codes de pratique et des programmes de certification, conformément aux normes prévues aux paragraphes 76(2) et 77(1) de la Loi.
46	Modifier l’article 108 de la LPVPC en vue d’encourager le commissaire, dans l’exercice des attributions que lui confère la Loi, à tenir compte de la taille de l’organisation et des autres facteurs mentionnés. À titre subsidiaire, inclure ces facteurs dans un énoncé d’objet.
47	Modifier le paragraphe 82(2) de la LPVPC de la manière suivante : Le commissaire peut lui-même prendre l’initiative d’une plainte pour s’assurer de la conformité à la présente loi. s’il a des motifs raisonnables de croire qu’une enquête devrait être menée sur une question relative à l’application de la présente loi.
48	Retrancher de l’article 96 la condition « [si le commissaire] a des motifs raisonnables de croire que [l’organisation] a contrevenu à la partie 1 ».
49	Supprimer l’article 110 de la LPVPC. À défaut, modifier l’article 110 de la LPVPC de manière : à éliminer les restrictions à l’utilisation des renseignements obtenus au titre de l’article 10; à ce qu’aucune restriction à l’utilisation des renseignements obtenus en application de l’alinéa 109e) ne soit absolue, mais plutôt que de telles restrictions soient assujetties à une politique rédigée par le CPVP et rendue publique conformément à l’article 111.
50	Modifier le paragraphe 115(1) pour permettre au CPVP de conclure des accords avec le CRTC et le Bureau de la concurrence en vue de collaborer sur des examens, des investigations et d’autres questions de conformité officielles.
51	Modifier l’article 116 de la LPVPC de manière à permettre au CPVP : (préférence) de collaborer avec des institutions chargées de l’application ou de l’administration des lois fédérales ou provinciales et de leur communiquer des renseignements. (autre possibilité) conformément à l’article 117, de collaborer avec toute personne ou tout organisme qui est chargé de réprimer des comportements essentiellement semblables à ceux qui constitueraient des contraventions au titre de la présente loi et de lui communiquer des renseignements.
52	Envisager d’apporter des modifications à la LPVPC pour s’assurer que la structure et les outils appropriés sont prévus pour appuyer efficacement les poursuites relatives aux infractions à la LPVPC.

Annexe B – Recommandations concernant les flux de données transfrontaliers

Les recommandations suivantes sont en grande partie extraites du document de M^me Teresa Scassa intitulé Le traitement des transferts transfrontaliers de renseignements personnels en vertu du projet de loi C-11. Le CPVP a formulé deux autres recommandations (13 et 14) afin de traiter d'autres questions qui, selon nous, devraient être abordées dans le contexte de la circulation transfrontalière des données.

Recommandation 1 :

L’importance et la complexité des flux de données transfrontaliers et la participation croissante des petites et moyennes entreprises sont telles qu’elles doivent être abordées dans un article distinct de la loi, afin que les droits et les obligations soient clairs et accessibles. Cela permettra également d’exprimer le fait que la loi s’applique aux flux de données transfrontaliers. Une telle section devrait contenir une version de l’article 11 de la LPVPC remaniée pour traiter expressément du contexte des transferts transfrontaliers.

Recommandation 2 :

La nature changeante des flux de données transfrontaliers exige un libellé qui reflète clairement ces changements. Il est donc recommandé que les termes utilisés pour décrire les acteurs participant aux flux de données transfrontaliers soient clairs et distincts, et qu’ils soient directement liés aux rôles et aux responsabilités à l’égard des données personnelles. Cette approche reconnaîtra de façon inhérente que, par exemple, une organisation peut être un sous-traitant pour certaines fonctions et un responsable du traitement pour d’autres.

Recommandation 3 :

La LPVPC s’applique à un large éventail d’actions (collecte, utilisation et communication) menées relatives aux données par les organisations et les fournisseurs de services. Toutefois, certaines dispositions utilisent les termes « transfert » et « données transférées » qui ne reflètent pas adéquatement cette vaste portée. Il y a donc une incertitude quant à l’application de ces dispositions dans certaines circonstances. Ces dispositions devraient être revues et reformulées. Voir en particulier les paragraphes 7(2), 11(1) et 11(2), l’article 19 et l’alinéa 62(2)d).

Recommandation 4 :

La définition de « fournisseur de services » prévoit expressément la sous-traitance. La loi devrait indiquer clairement que, dans une situation de sous-traitance, l’organisation/le responsable du traitement demeure responsable en dernier ressort des données personnelles.

Si les organisations sont censées être responsables de ce qui arrive aux données personnelles qui sont entre les mains d’un sous-traitant, la LPVPC devrait prévoir qu’un entrepreneur ne peut pas sous-traiter des services de données personnelles sans le consentement de l’organisation/du responsable du traitement.

Recommandation 5 :

Les fournisseurs de services à l’étranger ne devraient pas pouvoir se prévaloir de l’exception relative aux « activités d’affaires » pour l’avis et le consentement prévue à l’alinéa 18(2)e) lorsqu’ils recueillent et utilisent des données pour leur propre compte.

Recommandation 6 :

À l’heure actuelle, le paragraphe 11(1) de la LPVPC impose aux organisations qui transfèrent des données à des fournisseurs de services la responsabilité d’assurer une protection appropriée « contractuellement ou autrement ». Des mécanismes précis devraient être énumérés dans la loi pour permettre aux organisations de s’assurer qu’une « protection essentiellement équivalente des renseignements personnels » est prévue dans les contrats de transfert transfrontalier de données. Ceux-ci devraient comprendre des clauses contractuelles types prescrites par règlement ou des clauses contractuelles non obligatoires élaborées par le Commissariat en consultation avec les parties intéressées. Une autre option est une liste de considérations dont il faut tenir compte dans la rédaction des clauses contractuelles.

Rien dans la LPVPC ne précise ce que « ou autrement » pourrait signifier dans le paragraphe 11(1). La LPVPC devrait être modifiée de façon à indiquer clairement que des dispositions sur les codes de pratique et les programmes de certification peuvent être utilisées pour établir une « protection essentiellement équivalente des renseignements personnels » dans le contexte des flux de données transfrontaliers. De plus, la loi devrait inclure des options qui correspondent à l’expression « ou autrement », comme des règles ou des régimes d’entreprise contraignants.

Recommandation 7 :

À l’heure actuelle, le paragraphe 11(2) prévoit que les fournisseurs de services sont directement responsables en vertu de la LPVPC de tout renseignement personnel transféré qu’ils recueillent, utilisent ou communiquent à leurs propres fins. Cette responsabilité ne devrait pas se limiter à l’information qui leur est transférée, mais devrait également comprendre l’information que le fournisseur de services recueille, utilise et communique pour son propre compte relativement aux clients de l’organisation.

L’article 11 devrait être modifié pour indiquer clairement que les fournisseurs de services doivent offrir une protection essentiellement équivalente à celle que l’organisation est tenue de fournir pour tous les renseignements personnels sous sa garde, qu’ils soient transférés au fournisseur de services par l’organisation ou qu’ils soient recueillis, utilisés ou communiqués par le fournisseur de services au nom de l’organisation.

Recommandation 8 :

La LPVPC prévoit qu’un fournisseur de services peut recueillir des renseignements personnels au nom d’une organisation. Elle devrait être modifiée pour préciser que lorsque les fournisseurs de services fournissent des renseignements à des organisations qui auraient pu être recueillis par le fournisseur de services avant la relation particulière, l’organisation doit s’assurer que les renseignements ont été recueillis conformément aux lois canadiennes sur la protection des données.

Recommandation 9 :

L’article 61 impose aux fournisseurs de services l’obligation de signaler les atteintes à la protection des données aux organisations/responsables du traitement. Dans le cas des fournisseurs de services à l’étranger, la façon dont cette obligation est exécutoire n’est pas claire. La LPVPC devrait être modifiée pour prévoir que, dans le cas des fournisseurs à l’étranger, l’obligation de donner un avis à l’organisation/au responsable du traitement doit faire partie de leurs ententes contractuelles.

Recommandation 10 :

L’exigence de « transparence » à l’alinéa 62(2)d) est actuellement inadéquate. Elle devrait être modifiée pour atteindre les objectifs suivants :

1. L’ambiguïté entourant l’expression « qu’elle effectue ou non » devrait être corrigée, ainsi que l’incertitude entourant les actes qui ont « des répercussions raisonnablement prévisibles sur la vie privée ».
2. Les organisations devraient être tenues de fournir des renseignements indiquant si elles effectuent un transfert ou une communication de renseignements personnels à l’étranger, et fournir suffisamment de détails sur ces activités pour permettre aux personnes de comprendre les répercussions sur leurs droits et de demander des comptes aux organisations ou aux fournisseurs de services. Cela devrait inclure le ou les pays dans lesquels les fournisseurs de services sont situés.
3. Les organisations devraient être tenues de donner un avis précis de tout risque lié à l’accès aux données personnelles par les autorités du pays du fournisseur de services.
4. Lorsque les fournisseurs de services recueillent et utilisent des données à leurs propres fins, les organisations devraient être tenues de divulguer l’identité du fournisseur de services ainsi que le fait que le fournisseur de services, et non l’organisation, est responsable de ces données personnelles.

Recommandation 11 :

Le projet de loi C-11 devrait inclure une disposition exigeant que les organisations examinent si un contrat conclu avec un fournisseur de services accordera substantiellement la même protection que celle offerte par la LPVPC, en tenant compte du régime juridique de protection des données en place dans le pays d’un fournisseur de services qui recueillera, utilisera ou communiquera des données personnelles en son nom.

Recommandation 12 :

Pour renforcer la protection des droits des Canadiens dans le contexte des flux de données transfrontaliers, pour veiller à ce que le Canada satisfait aux normes établies dans la Convention 108+, et pour permettre au Canada d’adhérer à la Convention 108+, la LPVPC devrait être modifiée pour prévoir que :

1. Le commissaire peut demander à une organisation de démontrer l’efficacité de toute mesure de protection mise en place pour régir les transferts de données;
2. Le commissaire est expressément habilité à interdire, suspendre ou assortir de conditions les transferts de données à l’étranger dans les cas où une protection essentiellement similaire n’est pas en place.

De plus, le Commissariat recommande les deux modifications suivantes pour veiller à ce que les mesures de protection présentées dans la LPVPC s’appliquent de manière adéquate à tous les types de circulation transfrontalière des données et permette de corriger les disparités injustifiées.

Recommandation 13 :

Les mesures de protection présentées dans la LPVPC devraient être élargies pour comprendre non seulement les « transferts » transfrontaliers de renseignements personnels à des fournisseurs de services, mais aussi la « communication » de ces renseignements à des entités situées en dehors du pays, conformément à l’approche adoptée par des pairs du Canada. Les organisations devraient être tenues de mettre en place des mesures de protection avant de communiquer des renseignements personnels à une organisation située en dehors du pays.

Recommandation 14 :

L’obligation de transparence prévue à l’alinéa 62(2)d) devrait être élargie pour s’appliquer aux mouvements de données transfrontaliers autres que le transfert et la communication. Cette obligation devrait particulièrement s’appliquer aux organisations ayant des liens étroits et véritables avec le Canada, qui recueillent des renseignements personnels au Canada, mais qui les stockent ou les traitent dans un autre pays.

Annexe C – Délais de traitement d’une plainte en vertu du projet de loi C-11 selon divers scénarios possibles

Version textuelle des échéanciers et scénarios du projet de loi C-11

C-11 : Procédure pénale pour la majorité des contraventions à la loi

En vertu du projet de loi C-11, seules quelques contraventions à la loi peuvent entraîner l’imposition d’une pénalité administrative (aussi appelée sanction administrative pécuniaire ou SAP), comme le prévoit l’article 93 de la LPVPC. Les autres contraventions, y compris celles relatives au consentement valable ou aux exceptions au consentement, feraient seulement l’objet d’ordonnances; Dans ces situations, ce n’est qu’en cas de violation délibérée d’une ordonnance qu’une organisation pourrait faire l’objet d’une amende, suite à une procédure pénale. Le calendrier serait alors le suivant : le commissaire procède à l’examen d’une plainte, puis à une investigation, qui aboutit à une ordonnance (période estimée à deux ans). L’organisation fait appel de l’ordonnance auprès du Tribunal (un an et demi de plus). En cas d’échec, l’organisation peut porter l’affaire devant la Cour fédérale pour un contrôle judiciaire (encore un an et demi). Si l’ordonnance du CPVP est confirmée, l’organisation dispose alors d’un certain temps pour s’y conformer (estimé ici à six mois). Si l’organisation contrevient sciemment à une ordonnance du CPVP, cela constitue une contravention et une enquête criminelle commence (six mois). Après l'enquête, le dossier est envoyé au Service des poursuites pénales du Canada (SPPC) pour qu’il détermine si une poursuite est dans l’intérêt du public (six mois). Dans l’affirmative, des accusations sont portées et les poursuites commencent (un an). En cas de succès, ce n’est qu’à ce moment que l’organisation peut être condamnée à une amende. L’affaire est réglée, au terme d’un processus très complexe, 7,5 ans après le dépôt initial de la plainte auprès du CPVP.

C-11 : Pénalités administratives pour une courte liste de contraventions

Pour les quelques contraventions passibles de pénalités administratives (SAP), l’échéancier serait le suivant : le commissaire procède à l’examen de la plainte, puis mène une investigation. À la fin de l’investigation, le commissaire émet une ordonnance pour que l’organisation se conforme à la loi et recommande une SAP (période estimée à deux ans). Puisque l’organisation doit comparaître devant le Tribunal pour une audience sur l’imposition éventuelle d’une pénalité, elle fait simultanément appel de l’ordonnance (un an et demi de plus). Si l’appel est rejeté et que le Tribunal impose une SAP, l’organisation dépose alors une demande de contrôle judiciaire. Cette procédure prendrait environ un an et demi de plus. L’affaire est réglée cinq ans après le dépôt initial de la plainte.

Proposition du CPVP : Pénalités administratives pour la plupart des contraventions, sans appel administratif

Pour qu’ils aient confiance en la loi, les consommateurs s’attendent à ce qu’il y ait des conséquences sérieuses, en temps utile, en cas de violations. À notre connaissance, aucune autre autorité ne limite l’imposition d’une SAP à une liste aussi restreinte de contraventions que celles prévues à l’article 93 de la LPVPC. La plupart des contraventions devrait être passible de SAP afin que le régime soit efficace. Si le CPVP était autorisé à imposer des pénalités, avec la possibilité d’un contrôle judiciaire pour garantir la responsabilité et l’équité procédurale, les consommateurs auraient un meilleur accès à des recours rapides et efficaces. Ce scénario se déroulerait comme suit : le commissaire procède à l’examen d’une plainte, puis à une investigation, qui aboutit à une ordonnance et à une pénalité (délai estimé à deux ans). Comme pour toutes les décisions du CPVP, l’organisation peut demander le contrôle judiciaire (délai estimé à un an et demi). Ici, l’affaire est réglée environ 3,5 ans après le dépôt de la plainte auprès du commissaire. Une réduction supplémentaire du délai est également possible par la négociation d’un règlement entre l’organisation et le CPVP, comme l’illustre le scénario qui suit.

Proposition du CPVP : Accord de conformité négocié comprenant une pénalité administrative 

Au titre du projet de loi C-11, la négociation d’une entente de conformité n’est plus possible lorsqu’une investigation a été lancée. La loi prévoit alors que la procédure devient entièrement contradictoire, et l’imposition d’une pénalité (SAP) n’est possible uniquement par l’entremise de la décision du Tribunal. Or, il est dans l’intérêt de toutes les parties que les plaintes puissent se régler de façon négociée au moment le plus opportun. Le contraire n’est pas dans l’intérêt de la justice et en fait crée des dépenses inutiles. En vue d’accroître encore plus l’efficacité de la procédure, le CPVP recommande que le paiement des SAP soit ajouté comme conclusion possible de la négociation des accords de conformité. Par exemple, le scénario pourrait se dérouler comme suit : le commissaire met un terme à l’examen ou à l’investigation en négociant un accord de conformité, lequel comprendrait le paiement d’une SAP. L’accord de conformité serait ensuite enregistré auprès de la Cour fédérale et aurait la même force et le même effet qu’une ordonnance de la cour. Il n’y aurait pas de contrôle judiciaire puisqu’une pénalité a été négociée. L’affaire est réglée dans les deux ans suivant le dépôt initial de la plainte.