Mémoire du Commissariat à la protection de la vie privée du Canada sur le projet de loi C-27, la Loi de 2022 sur la mise en œuvre de la Charte du numérique
April 2023
PAR COURRIEL
Le 26 avril 2023
M. Joël Lightbound
Président
Comité permanent de l’industrie et de la technologie
Chambre des communes
Monsieur le Président,
Comme vous le savez, à la suite de sa deuxième lecture, le projet de loi C-27, Loi de 2022 sur la mise en oeuvre de la Charte du numérique, a été renvoyé au Comité permanent de l’industrie et de la technologie (le Comité) pour une étude plus approfondie.
En tant que Commissaire à la protection de la vie privée du Canada, j’ai le plaisir de présenter le mémoire ci-joint sur le projet de loi C-27 et j’espère que ces documents aideront le Comité et ses membres dans leur étude de cet important projet de loi qui moderniserait la loi sur la protection de la vie privée dans le secteur privé. Je compte donner mon avis au Comité lorsque je serai appelé à venir témoigner dans le cadre de cette étude, et reste disponible à rencontrer le Comité et ses membres à votre convenance.
Veuillez noter que je remettrai également une copie au ministre de l’Innovation, des Sciences et de l'Industrie, l’honorable François-Philippe Champagne, pour son information et sa sensibilisation.
Ce sera pour moi un plaisir d’appuyer le travail de votre comité dans l’atteinte d’une réforme de la loi en matière de protection de la vie privée qui bénéficierait au Canada et à l’ensemble de toutes les Canadiennes et de tous les Canadiens.
Je vous prie d’agréer, Monsieur le président, l’assurance de ma considération distinguée.
Le Commissaire,
(Document original signé par)
Philippe Dufresne
c. c. : M. Michael MacPherson
Greffier du comité
p.j. : Mémoire du Commissariat à la protection de la vie privée du Canada sur le projet de loi C‑27, Loi de 2022 sur la mise en oeuvre de la Charte du numérique
I. Les 15 principales recommandations du Commissariat sur le projet de loi C-27
Recommandation no 1 : Reconnaître la protection de la vie privée comme un droit fondamental.
Recommandation no 2 : Protéger la vie privée des enfants et l’intérêt supérieur de l’enfant.
Recommandation no 3 : Limiter la collecte, l’utilisation et la communication de renseignements personnels par les organisations à des fins explicites et indiquées qui tiennent compte du contexte en question.
Recommandation no 4 : Élargir la liste des contraventions pouvant faire l’objet de sanctions pécuniaires pour y inclure, au minimum, les contraventions aux fins acceptables.
Recommandation no 5 : Prévoir un droit de procéder à l’élimination des renseignements personnels même si une politique de conservation est en vigueur.
Recommandation no 6 : Établir une culture de protection de la vie privée en exigeant des organisations qu’elles intègrent la protection de la vie privée dès la conception des produits et services et qu’elles mènent des évaluations des facteurs relatifs à la vie privée pour les initiatives à risque élevé.
Recommandation no 7 : Renforcer le cadre applicable aux renseignements dépersonnalisés et anonymisés.
Recommandation no 8 : Obliger les organisations à expliquer, sur demande, toutes les prédictions faites, les recommandations formulées, les décisions prises et le profilage effectué à l’aide de systèmes décisionnels automatisés.
Recommandation no 9 : Limiter la capacité du gouvernement à déroger à la loi par voie de règlement.
Recommandation no 10 : Prévoir que les exceptions à la communication de renseignements personnels sans consentement à des fins de recherche ne s’appliquent qu’aux recherches érudites.
Recommandation no 11 : Permettre aux individus d’avoir recours à des représentants autorisés pour les aider à faire valoir leur droit à la vie privée.
Recommandation no 12 : Offrir une plus grande souplesse pour l’utilisation des accords de conformité volontaires en vue de régler les affaires sans avoir recours à des processus litigieux.
Recommandation no 13 : Améliorer la rapidité et réduire les coûts de traitement des plaintes en simplifiant le processus de révision des décisions du commissaire.
Recommandation no 14 : Modifier les délais pour faire en sorte que le régime de protection de la vie privée soit accessible et efficace.
Recommandation no 15 : Renforcer la capacité du commissaire à collaborer avec des organisations nationales afin d’améliorer la coordination et l’efficacité lors du traitement des affaires soulevant des enjeux de vie privée.
II. Introduction
Le Commissariat à la protection de la vie privée du Canada est heureux de présenter un mémoire au Parlement sur le projet de loi C-27, la Loi de 2022 sur la mise en œuvre de la Charte du numérique.
Le projet de loi C-27, déposé le 16 juin 2022, abrogerait la partie 1 de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et édicterait la Loi sur la protection de la vie privée des consommateurs (LPVPC), la Loi sur le Tribunal de la protection des renseignements personnels et des données (LTPRPD) ainsi que la Loi sur l’intelligence artificielle et les données (LIAD). Le projet de loi fait suite à l’ancien projet de loi C-11, la Loi de 2020 sur la mise en œuvre de la Charte du numérique, qui proposait également des modifications à la LPRPDE. Le projet de loi C-11 est mort au feuilleton lorsque le Parlement a été dissous le 15 août 2021 en vue des élections fédérales de 2021.
Le Commissariat accueille favorablement le dépôt du projet de loi C-27. Par ce dépôt, le gouvernement reconnaît que les Canadiennes et les Canadiens doivent pouvoir compter sur des lois modernisées sur la protection des renseignements personnels, qui soutiennent l’innovation et leur permettent de profiter des nombreux avantages de la technologie, tout en ayant l’assurance que leurs renseignements personnels seront protégés. Les Canadiennes et les Canadiens ne devraient pas avoir à choisir entre leur participation à l’économie numérique et leurs droits fondamentaux.
Le projet de loi C-27 est un pas important dans cette direction. Il offre aux individus une meilleure protection de leur vie privée et incite les organisations à se conformer aux lois, tout en leur accordant une plus grande souplesse pour innover. Il s’agit, à plusieurs égards, d’une amélioration par rapport à la LPRPDE et à l’ancien projet de loi C-11. Le projet de loi répond à plusieurs préoccupations et recommandations soulevées par le Commissariat et d’autres organismes. Parmi les changements positifs, mentionnons les suivants :
- L’ajout d’un préambule afin de donner des orientations sur les objectifs généraux de la loi;
- De nouvelles dispositions pour mieux protéger la vie privée des mineurs;
- L’élargissement des renseignements personnels dont les individus peuvent demander le retrait;
- Des modifications afin d’exiger que les renseignements pour obtenir le consentement valide soient présentés dans un langage facile à comprendre;
- Des modifications qui accordent un plus grand pouvoir discrétionnaire au commissaire, par exemple en ce qui concerne les plaintes et les enquêtes;
- Une exigence accrue pour veiller à ce que la manière dont les renseignements personnels sont recueillis, utilisés et communiqués soit acceptable.
- Une modification des mesures de responsabilité obligeant les organisations à tenir à jour des programmes de gestion de la protection des renseignements personnels;
- L’ajout d’une nouvelle exigence en matière de sécurité, soit l’authentification de l’identité;
- L’annulation des modifications problématiques apportées à la définition d’« activité commerciale » dans l’ancien projet de loi C-11;
- Une exigence d’expérience accrue dans le domaine de la protection des renseignements personnels pour les membres du Tribunal de la protection des renseignements personnels et des données qui est proposé;
- L’élargissement de la liste des contraventions auxquelles des sanctions administratives pécuniaires peuvent s’appliquer;
- Des mesures pour réglementer l’intelligence artificielle (IA) grâce à l’adoption de la LIAD.
Grâce à ces modifications, nous croyons que le projet de loi C-27 est un pas dans la bonne direction. Encourager l’innovation tout en protégeant la vie privée des individus améliorera la protection de leurs renseignements personnels et le contrôle qu’ils exercent sur ceux-ci, et renforcera leur confiance envers l’économie numérique et leur capacité à saisir les avantages d’une telle économie.
Toutefois, malgré les aspects positifs du projet de loi, le Commissariat estime qu’il peut et doit être amélioré davantage. Nous estimons qu’un certain nombre de modifications importantes sont nécessaires pour assurer une meilleure protection du droit à la vie privée des Canadiennes et des Canadiens dans l’environnement numérique, pour favoriser l’innovation et pour éviter qu’une trop grande quantité d’éléments doivent être déterminés par règlement.
Le commissaire à la protection de la vie privée du Canada, Philippe Dufresne, a fait part de son intention de promouvoir et de mettre en œuvre une vision de la protection de la vie privée qui fait valoir ce qui suit :
- 1. La protection de la vie privée est un droit fondamental;
- 2. La protection de la vie privée est un moyen pour favoriser l’intérêt public et appuyer l’innovation et la compétitivité du Canada;
- 3. La protection de la vie privée est un moyen pour accentuer la confiance des Canadiennes et des Canadiens envers leurs institutions et la contribution de ceux-ci au monde numérique.
Le Commissariat a examiné et évalué le projet de loi C-27 sous cet angle. En outre, nous avons recueilli des observations de groupes de la société civile et de représentants du secteur privé qui nous ont permis d’étayer nos recommandations visant à améliorer le projet de loi.
La réforme des lois sur la protection des renseignements personnels est nécessaire depuis longtemps et doit se concrétiser. Dans cette optique, le Commissariat formule 15 recommandations qui sont requises pour mieux protéger la vie privée des Canadiennes et des Canadiens tout en favorisant l’économie numérique.
Si on répond aux principales préoccupations soulevées dans le présent mémoire, c’est avec confiance et optimisme que le Commissariat envisage l’avenir : il en ressortira un cadre législatif plus solide qui fera progresser le droit fondamental à la vie privée des individus, permettra à la population canadienne de participer pleinement à l’économie numérique, favorisera l’innovation et contribuera à faire du Canada un leader dans ce domaine important et en constante évolution.
Dans la mesure où le Parlement souhaite envisager d’autres façons d’améliorer le projet de loi, il peut consulter les suggestions proposées par le Commissariat en réponse à l’ancien projet de loi C-11, lesquelles demeurent pertinentes dans le cadre du projet de loi C-27. Ces suggestions sont énumérées à l’annexe A du présent mémoire.
III. La protection de la vie privée est un droit fondamental
Le droit à la vie privée est un droit fondamental en soi, mais il est aussi un droit essentiel à l’exercice d’autres droits. Dans le présent mémoire, le Commissariat formule des recommandations et propose des modifications dans les cinq domaines suivants en lien avec ce thème général :
- La protection de la vie privée est un droit fondamental;
- La protection de la vie privée des enfants et les droits de l’enfant;
- Les fins acceptables;
- Les sanctions administratives pécuniaires;
- Le retrait des renseignements personnels.
La protection de la vie privée est un droit fondamental
Recommandation no 1 : Reconnaître la protection de la vie privée comme un droit fondamental.
Il ne fait aucun doute que l’ajout d’un préambule dans le projet de loi C-27 est un changement positif qui offrira aux tribunaux les orientations nécessaires sur les objectifs et le fondement constitutionnel de la loi. Cela dit, le préambule ne va pas suffisamment loin pour reconnaître le droit fondamental à la vie privée et pourrait poser des difficultés aux tribunaux au moment d’évaluer les intérêts économiques et le respect de la vie privée. Des intervenants de la société civile abondent dans le même sens et sont d’avis que le projet de loi C-27 devrait reconnaître davantage la protection de la vie privée comme un droit fondamental.
Dans la nouvelle version anglaise du préambule, il est reconnu que la protection des « privacy interests » des individus est essentielle à leur autonomie et à leur dignité et à la pleine jouissance des droits et libertés fondamentaux au Canada. En revanche, on utilise l’expression « droit à la vie privée des individus » dans la version française du préambule pour rendre « privacy interests of individuals ». La terminologie employée dans le préambule doit mettre l’accent sur le fait qu’il s’agit de « droits » plutôt que d’« intérêts », et ce, dans les deux langues officielles.
Il est nécessaire de mieux reconnaître l’importance du droit fondamental à la vie privée dans la loi afin de renforcer la confiance des consommateurs à l’égard de l’économie numérique et d’encourager les organisations à utiliser les renseignements personnels d’une manière responsable, qui appuie l’innovation et la croissance économique. Le Commissariat croit que la loi peut permettre à la fois de réaliser des objectifs commerciaux et de protéger la vie privée en vue de favoriser une innovation responsable. Toutefois, dans les rares cas où les deux éléments entreront inévitablement en conflit, le droit à la vie privée devrait prévaloir.
La version anglaise de l’énoncé d’objet porte déjà sur la notion de « right of privacy »; dans la version française, on emploie l’expression « droit à la vie privée ». Faire explicitement référence au « fundamental right to privacy of individuals » dans la version anglaise du préambule du projet de loi C-27 et de l’énoncé d’objet de la LPVPC permettrait de mieux reconnaître l’importance de ce droit. Il en serait de même si l’on ajoutait le qualificatif « fondamental » à l’expression « droit à la vie privée » dans la version française du préambule du projet de loi C-27 et de l’énoncé d’objet de la LPVPC.
Selon le Commissariat, cette modification n’aurait aucune incidence sur la validité constitutionnelle de la Loi et assurerait une plus grande cohérence entre ces deux parties. Considérer le droit à la vie privée comme un droit fondamental serait également conforme aux instruments internationaux en matière de droits de la personne, lesquels reconnaissent le droit à la vie privée, ainsi qu’à la jurisprudence de la Cour suprême du CanadaNote de bas de page 1. Cette dernière a confirmé à maintes reprises qu’une loi visant à protéger les renseignements personnels devrait être qualifiée de « quasi constitutionnelle » en raison du rôle fondamental que joue le respect de la vie privée dans le maintien d’une société libre et démocratiqueNote de bas de page 2.
Nous tenons à signaler que cette modification a été recommandée par le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (ETHI) dans son rapport de novembre 2022 sur les outils d’enquête sur appareil utilisés par la Gendarmerie royale du CanadaNote de bas de page 3.
Le Commissariat fait observer que, dans sa forme actuelle, le préambule figure uniquement dans le texte d’introduction du projet de loi C-27, et non au début de la LPVPC, de la LTPRPD ou de la LIAD. Autrement dit, il semble que, dès lors qu’elles seront édictées, ces lois n’auront pas de préambule. Le Commissariat appuie l’ajout du préambule dans le projet de loi C-27, mais celui-ci devrait être intégré aux parties 1 à 3 inclusivement de la Loi de 2022 sur la mise en œuvre de la Charte du numérique, pour veiller à ne pas en faire abstraction à l’avenir.
Modifications proposées
- Modifier la version anglaise du préambule de la manière suivante :
- Paragraphe 2 : Whereas the protection of the fundamental right to privacy interests of individuals with respect to their personal information is essential […];
- Paragraphe 3 : Whereas Parliament recognizes the importance of the privacy and data protection principles contained in various international instruments including international human rights instruments that recognize privacy as a fundamental right;
- Modifier la version française du préambule de la manière suivante :
- Paragraphe 2 : que la protection du droit fondamental à la vie privée des individus en ce qui a trait à leurs renseignements personnels est essentielle […];
- Paragraphe 3 : que le Parlement reconnaît l’importance des principes de protection de la vie privée et des données qui sont exprimés dans divers instruments internationaux, y compris les instruments internationaux en matière de droits de la personne qui reconnaissent le droit à la vie privée comme un droit fondamental;
- Modifier l’article 5 de la LPVPC comme suit :
- La présente loi a pour objet de fixer, dans une ère où les données circulent constamment au delà des frontières et des limites géographiques et une part importante de l’activité économique repose sur l’analyse, la circulation et l’échange de renseignements personnels, des règles régissant la protection des renseignements personnels d’une manière qui tient compte, à la fois, du droit fondamental à la vie privée des individus […];
- Intégrer le libellé du préambule aux parties 1 à 3 inclusivement de la Loi de 2022 sur la mise en œuvre de la Charte du numérique.
La protection de la vie privée des enfants et les droits de l’enfant
Recommandation no 2 : Protéger la vie privée des enfants et l’intérêt supérieur de l’enfant.
Le préambule devrait également refléter l’importance de protéger les enfants et les mineurs. Des États partout dans le monde ont reconnu que les enfants et les mineurs peuvent être affectés par les technologies différemment des adultes, qu’ils sont plus à risque d’être touchés par des enjeux de vie privée et qu’ils doivent donc bénéficier de mesures de protection spéciales. L’une des améliorations de la LPVPC par rapport à l’ancien projet de loi C-11 concerne les nouvelles mesures qui touchent précisément les mineurs. Cet élément essentiel devrait aussi figurer dans le préambule.
Le Commissariat appuie ces nouvelles mesures, y compris la précision dans la LPVPC selon laquelle les renseignements des mineurs sont de nature sensible, puisqu’elles concordent avec la position qu’il a prise dans le passé à cet égard et avec les attentes exprimées dans ses orientations. Toutefois, du point de vue du Commissariat, ces mesures n’offrent pas de protection suffisante, car elles n’interdiraient pas nécessairement aux organisations d’utiliser les renseignements personnels à mauvais escient, pour inciter les enfants à désactiver les contrôles de confidentialité ou à des fins de publicité comportementale ou ciblée, par exemple.
En l’absence d’interdictions précises ou de « zones interdites » en ce qui concerne les données des mineurs, le Commissariat recommande qu’il soit reconnu dans le préambule que le traitement des données personnelles doit protéger la vie privée des enfants et l’intérêt supérieur de l’enfant.
Mettre le préambule à jour d’une telle manière encouragerait les organisations à intégrer la protection des renseignements personnels des enfants dans leurs produits et services, et ce, dès la conception. Puisque les lois canadiennes régissant la protection des renseignements personnels ont été conçues pour être neutres sur le plan technologique, le nouveau préambule veillerait à ce que l’intérêt supérieur de l’enfant soit considéré dans la conception de technologies nouvelles ou émergentes et dans le contexte d’utilisations futures des données. Le préambule servirait également d’outil d’interprétation dans les cas où un enfant demanderait le retrait de ses renseignements personnels en ligne et lorsque des technologies nouvelles ou émergentes sont envisagées, comme des techniques d’incitation sophistiquées, qui encouragent les enfants à prendre part à des activités préjudiciables (par exemple leur demander de fournir davantage de données ou de désactiver les mesures de contrôle de la confidentialité), ou pour la publicité comportementale ou ciblée. Comme le mentionne l’UNICEF dans ses Orientations stratégiques sur l’IA destinée aux enfantsNote de bas de page 4, les enfants sont biologiquement et psychologiquement différents des adultes et sont donc affectés davantage par ce type de technologies. Protéger les enfants dans le monde numérique, c’est leur donner le droit d’être des enfants dans ce monde grâce à des mesures de protection adéquates pour assurer leur sécurité et préserver leur réputation.
Comme le préambule s’appliquerait à toutes les lois comprises dans le projet de loi C-27, y compris la LPVPC et la LIAD, ajouter le libellé proposé à la disposition qui énonce l’intention de la loi garantirait que l’intérêt supérieur des enfants et des mineurs est la priorité et que celui-ci est pris en compte de façon systématique dans toutes les lois connexes. La loi devrait reconnaître les droits de l’enfant et le droit d’être un enfant. Cela signifie qu’il faut interpréter les dispositions relatives à la protection des renseignements personnels prévues par la loi d’une manière qui est cohérente avec l’intérêt supérieur de l’enfant.
Modifications proposées
- Modifier les versions anglaise et française du préambule pour ajouter le texte suivant :
- que le traitement des données personnelles devrait protéger la vie privée des enfants et l’intérêt supérieur de l’enfant.
Les fins acceptables
Recommandation no 3 : Limiter la collecte, l’utilisation et la communication de renseignements personnels par les organisations à des fins explicites et indiquées qui tiennent compte du contexte en question.
L’article 12 de la LPVPC établit un cadre normatif qui permet aux organisations d’établir ce qui est, et ce qui n’est pas, une collecte, une utilisation ou une communication raisonnable de renseignements personnels.
L’article 12 énonce les éléments dont il faut tenir compte pour établir le caractère acceptable des fins. Le problème avec cette approche est que l’évaluation du caractère acceptable peut varier selon le contexte. La LPRPDE ne prévoit aucune liste d’éléments dont il faut tenir compte. En fait, les éléments ont évolué au fil du temps et de l’expérience et en fonction de la jurisprudence. Le commissaire tient souvent compte de certains éléments, mais pas nécessairement de tous, et il peut y avoir des situations où il y a d’autres éléments à considérer. Il est utile de prévoir une liste d’éléments, mais celle-ci ne devrait pas être exhaustive, car d’autres éléments contextuels pourraient être pris en compte. Le texte législatif devrait permettre cette souplesse en autorisant le commissaire et les tribunaux à prendre en compte tout autre facteur pertinent. De nombreux tribunaux au Canada et un certain nombre de provinces ayant des lois essentiellement similaires ont recours à cette approche qui offre une plus grande souplesse; l’enchâsser dans la LPVPC permettrait également au Commissariat de collaborer plus facilement avec les autres organismes de réglementation.
La LPVPC, comme la LPRPDE, définit également les limites entourant la façon dont les organisations peuvent recueillir, utiliser ou communiquer des renseignements personnels. Toutefois, sous le régime de la LPRPDE, les fins visées par les organisations lorsqu’elles traitent des renseignements personnels doivent être « explicitement indiquées ». Cette exigence importante, que les fins visées soient explicites et indiquées, ne figure pas à l’article 13 de la LPVPC. Sans cette exigence, les organisations sont libres d’indiquer des fins trop générales et ambiguës, comme « améliorer l’expérience du consommateur ».
Modifications proposées
- Modifier le paragraphe 12(2) de la LPVPC comme suit :
- 12(2) Pour établir le caractère acceptable des fins et de la manière, il est peut être tenu compte des éléments suivants :
[…]
f) tout autre élément pertinent.
- 12(2) Pour établir le caractère acceptable des fins et de la manière, il est peut être tenu compte des éléments suivants :
- Modifier l’article 13 de la LPVPC de manière à contraindre les organisations à ne recueillir, utiliser et communiquer des renseignements personnels qu’à des fins explicites et indiquées.
Les sanctions administratives pécuniaires
Recommandation no 4 : Élargir la liste des contraventions pouvant faire l’objet de sanctions pécuniaires pour y inclure, au minimum, les contraventions aux fins acceptables.
Les sanctions administratives pécuniaires (SAP) sont un outil concret et efficace afin d’encourager la conformité et d’intervenir en cas de contraventions à la loi lorsque les circonstances le justifient. À l’heure actuelle, la LPRPDE ne prévoit aucune SAP, ce qui n’incite pas les organisations à se conformer aux lois fédérales sur la protection des renseignements personnels. Le projet de loi C-27 permettrait au commissaire de recommander au Tribunal de la protection des renseignements personnels et des données d’imposer une SAP lorsque cela est justifié, ce qui renforce les outils qui peuvent être utilisés pour favoriser le respect de la loi.
Le paragraphe 94(1) de la LPVPC élargit considérablement la liste des contraventions qui peuvent faire l’objet d’une SAP par rapport à celle qui était proposée dans l’ancien projet de loi C-11. Il s’agit d’un changement positif. Toutefois, cette liste n’est pas exhaustive, ce qui veut dire que les contraventions à plusieurs dispositions de la LPVPC ne feraient toujours pas l’objet d’une SAP, y compris les dispositions relatives aux fins acceptables, qui sont pourtant la pierre angulaire de la loi.
Les dispositions relatives aux fins acceptables obligent les organisations à recueillir, à utiliser et à communiquer des renseignements personnels uniquement à des fins et d’une manière qu’une personne raisonnable estimerait acceptables dans les circonstances, qu’il y ait consentement ou non. Pour établir le caractère acceptable, il faut tenir compte de divers éléments, comme la mesure dans laquelle les renseignements personnels sont de nature sensible et la proportionnalité entre l’atteinte à la vie privée de l’individu et les avantages pour l’organisation.
La contravention à ces dispositions essentielles ne devrait pas être exclue de celles qui peuvent faire l’objet de SAP. Selon le libellé actuel de la LPVPC, si une organisation traite des renseignements personnels à des fins qui ne sont ni acceptables ni raisonnables, cette grave contravention ne serait pas assujettie aux mêmes conséquences que les autres types de contraventions.
Modifications proposées
- Élargir davantage la liste des contraventions qui peuvent faire l’objet d’une SAP énoncée au paragraphe 94(1) de la LPVPC pour y inclure, au minimum, les paragraphes 12(1) et 12(2).
Le retrait des renseignements personnels
Recommandation no 5 : Prévoir un droit de procéder à l’élimination des renseignements personnels même si une politique de conservation est en vigueur.
La LPVPC exige que les organisations procèdent au retrait des renseignements personnels d’un individu, à sa demande écrite, à certaines conditions. Elle énumère également des cas où une organisation peut refuser d’accéder à ce type de demande.
Par exemple, l’alinéa 55(2)f) permettrait à une organisation de refuser de procéder au retrait des renseignements personnels d’un individu si le retrait est déjà prévu conformément à ses politiques de conservation et si elle informe l’individu de la période de conservation restante applicable aux renseignements en question. Ainsi, une organisation dotée d’une politique prévoyant une longue période de conservation pourrait simplement rejeter la demande de retrait d’un individu en l’informant de la période de conservation restante applicable à ces données. Cela pourrait poser problème, puisque l’organisation pourrait être victime d’une atteinte à la sécurité des données.
Les enquêtes du Commissariat ont révélé que certaines organisations sont dotées de politiques prévoyant des périodes de conservation trop longues ou ont des approches trop informelles en ce qui a trait au retrait de renseignements personnels à la fin de leur cycle de vie. Par exemple, une organisation qui a été victime d’une atteinte à la sécurité des données détenait des millions de documents dans des comptes inactifs et disposait de directives de conservation ambiguësNote de bas de page 5.
Permettre aux organisations de refuser de procéder au retrait priverait les individus du retrait en temps opportun de leurs renseignements personnels, minerait leur droit au retrait de leurs renseignements personnels et diminuerait généralement le contrôle qu’ils exercent sur ceux-ci.
Modifications proposées
- Supprimer l’alinéa 55(2)f) de la LPVPC.
IV. La protection de la vie privée est un moyen pour favoriser l’intérêt public et appuyer l’innovation et la compétitivité du Canada
La protection de la vie privée n’est pas un frein à l’innovation; la protection de la vie privée et l’innovation sont complémentaires, puisqu’elles se renforcent mutuellement. Les Canadiennes et les Canadiens ne devraient pas avoir à choisir entre protéger leurs renseignements personnels et participer à l’économie numérique. Tenir compte des répercussions sur la vie privée dès le départ permet la collecte de renseignements d’une manière qui protège la vie privée, d’une part, et encourage l’innovation responsable, d’autre part. Le Commissariat fait des recommandations et propose des modifications dans les cinq domaines suivants en lien avec ce thème général :
- La protection de la vie privée dès la conception et les évaluations des facteurs relatifs à la vie privée;
- La dépersonnalisation et l’anonymisation;
- La prise de décisions automatisée;
- Les activités d’affaires;
- Les exceptions au consentement à des fins de recherche.
La protection de la vie privée dès la conception et les évaluations des facteurs relatifs à la vie privée
Recommandation no 6 : Établir une culture de protection de la vie privée en exigeant des organisations qu’elles intègrent la protection de la vie privée dès la conception des produits et services et qu’elles mènent des évaluations des facteurs relatifs à la vie privée pour les initiatives à risque élevé.
En mettant en œuvre des mesures de protection de la vie privée dès la conception et en menant des évaluations des facteurs relatifs à la vie privée (EFVP), les organisations pourront démontrer qu’elles sont responsables des renseignements personnels qui relèvent d’elles, qu’elles respectent la loi et qu’elles limitent le risque d’atteinte à la sécurité des données.
La protection de la vie privée dès la conception fait référence à l’intégration proactive de mesures de protection de la vie privée dès la conception d’un produit, d’un service ou d’une initiative, à partir des premières phases de développement. Dans un rapport de 2018 et récemment dans son rapport de mai 2022 sur la collecte et l’utilisation de données sur la mobilité, le Comité ETHI a recommandé que la protection de la vie privée dès la conception soit insérée en tant que principe central dans les lois fédérales en matière de protection des renseignements personnelsNote de bas de page 6. Le Commissariat souscrit aux recommandations du Comité ETHI et estime que les dispositions de la LPVPC en matière de responsabilité devraient expressément exiger que les organisations appliquent des mesures de protection de la vie privée dès la conception.
Une EFVP est un processus de gestion des risques qui doit être entrepris au début d’une initiative, nouvelle ou modifiée, qui traite des renseignements personnels. Elle peut aider les organisations à se conformer de manière proactive aux lois sur la protection des renseignements personnels, à mesurer les répercussions sur les renseignements personnels et à atténuer les risques d’atteinte à la vie privée. Les dispositions de la LPVPC en matière de responsabilité devraient expressément exiger que les organisations préparent une EFVP lorsqu’elles mènent des activités à risque élevé, comme celles mettant en cause des renseignements de nature sensible ou des systèmes d’IA à incidence élevée.
Selon le Commissariat, exiger la préparation d’EFVP pour l’ensemble des activités pourrait imposer un fardeau trop lourd aux organisations, particulièrement aux petites et moyennes entreprises. Toutefois, en exigeant la préparation d’une EFVP pour les activités à risque élevé, on s’assure que les risques d’atteinte à la vie privée sont évalués et atténués dans les cas appropriés. Il pourrait s’agir, par exemple, d’un système d’IA qui rend des décisions ayant des répercussions sur les individus, à savoir s’ils recevront une offre d’emploi, s’ils remplissent les conditions requises pour obtenir un prêt, s’ils doivent payer une prime d’assurance plus élevée ou s’ils sont soupçonnés de comportement suspect ou illégal. De plus, le contenu d’une EFVP devrait être prescrit par règlement ou précisé dans des orientations du Commissariat.
Bien que la LIAD exige que les responsables des systèmes d’IA évaluent et atténuent les risques de préjudice des systèmes d’IA à incidence élevée, la définition de préjudice est limitée et ferait en sorte que la protection de la vie privée ne serait pas prise en compte dans le cadre du processus d’évaluation des risques. Exiger dans la LPVPC la réalisation d’une EFVP pour les activités à risque élevé réglerait ce problème.
Modifications proposées
- Ajouter des dispositions dans la LPVPC de manière à obliger les organisations à prévoir des mesures de protection de la vie privée dès la conception et à mener des EFVP pour les activités à risque élevé.
La dépersonnalisation et l’anonymisation
Recommandation no 7 : Renforcer le cadre applicable aux renseignements dépersonnalisés et anonymisés.
Le Commissariat appuie l’introduction d’un nouveau cadre de dépersonnalisation et d’anonymisation dans le projet de loi C-27. Ce cadre a des éléments positifs. Par exemple, il offre une certaine souplesse aux organisations qui utilisent des renseignements dépersonnalisés et apporte des précisions nécessaires sur la manière et les circonstances selon lesquelles les renseignements dépersonnalisés peuvent être utilisés et communiqués. Cela dit, dans sa forme actuelle, il n’offre pas suffisamment de protection aux données dépersonnalisées et anonymisées.
Le projet de loi C-27 n’oblige pas expressément les organisations à appliquer des mesures de dépersonnalisation qui sont proportionnelles au risque que les renseignements soient repersonnalisés. Compte tenu de la définition large de ce qui peut être considéré comme des renseignements dépersonnalisés au paragraphe 2(1), les organisations pourraient, dans certaines circonstances, utiliser et communiquer une grande quantité de renseignements personnels, qui pourraient être repersonnalisés assez facilement, à l’insu ou sans le consentement de l’individu concerné. De plus, suivant le paragraphe 2(3), les individus pourraient ne plus être en mesure d’exercer certains droits à l’égard de renseignements dépersonnalisés, y compris le droit de faire corriger des inexactitudes et de faire retirer leurs renseignements sur demande. Au vu de ces restrictions sur le contrôle qu’exercent les individus sur leurs renseignements personnels, il est important que les organisations réduisent les répercussions que pourraient avoir leurs activités, notamment le risque que les renseignements soient repersonnalisés. Les organisations devraient être expressément tenues de prendre en compte le risque de repersonnalisation lorsqu’elles appliquent des mesures de dépersonnalisation.
De même, le paragraphe 2(3) semble prévoir que les renseignements dépersonnalisés doivent être traités comme des renseignements personnels, sauf dans certaines situations. Bien que nous comprenions et acceptions que certaines exigences en matière de protection de la vie privée puissent ne pas s’appliquer aux renseignements dépersonnalisés, ces renseignements demeurent des renseignements personnels et devraient toujours être considérés comme tels. Pour éviter toute ambiguïté, nous recommandons que ce paragraphe soit modifié pour préciser que tous les renseignements personnels dépersonnalisés demeurent des renseignements personnels.
Il semble y avoir une divergence entre les versions française et anglaise de la définition du verbe « dépersonnaliser » à l’article 2 de la LPVPC. Dans la version anglaise, il est clairement indiqué que dépersonnaliser signifie modifier de façon à ce que personne ne puisse identifier directement un individu à partir de renseignements dépersonnalisés, mais qu’il existe néanmoins un risque de repersonnalisation. Dans la version française, le libellé semble mettre l’accent sur la réduction du risque de repersonnalisation au lieu d’indiquer clairement que l’individu ne devrait pas pouvoir être directement identifié malgré qu’un tel risque ne puisse être complètement éliminé. Pour éviter des divergences d’interprétation, la version française de cette définition devrait être modifiée pour refléter le sens plus rigoureux de la version anglaise.
Il convient de soulever un dernier point en ce qui concerne la nouvelle définition de renseignements anonymisés proposée. Selon le libellé actuel, les organisations peuvent anonymiser des renseignements personnels conformément aux « meilleures pratiques généralement reconnues ». Or, la LPVPC ne donne aucune explication sur la nature de ces pratiques ni sur ce qui serait considéré comme des pratiques « généralement reconnues ». Ce libellé fait en sorte que certaines organisations pourraient se servir de techniques d’anonymisation promues par certains experts ou groupes, mais qui sont insuffisantes pour un ensemble de données en particulier.
Étant donné que les renseignements anonymisés seraient exclus du champ d’application de la LPVPC – et pourraient par conséquent ne pas être protégés du tout –, il est important de s’assurer que le critère applicable à l’anonymisation des renseignements personnels est rigoureux et ne laisse aucune place aux pratiques insuffisantes. Bien qu’un tel critère puisse causer des difficultés pour les entreprises qui souhaitent anonymiser des renseignements personnels, la LPVPC prévoit plusieurs mécanismes qui permettent au Commissariat d’aider les organisations à respecter leurs obligations, notamment en fournissant des orientations sur les programmes de gestion de la protection des renseignements personnels, en élaborant des documents d’orientation, ainsi qu’en examinant et en approuvant des codes de pratique.
Modifications proposées
- Modifier la LPVPC de la façon suivante :
- Article 74 : Lorsque l’organisation dépersonnalise des renseignements personnels, elle veille à ce que les procédés techniques et administratifs utilisés soient proportionnels aux fins auxquelles ces renseignements sont dépersonnalisés, et à la nature sensible des renseignements personnels et au risque de repersonnalisation.
- Paragraphe 2(3) : Pour l’application de la présente loi, à l’exception des articles 20 et 21, des paragraphes 22(1) et 39(1), des articles 55 et 56, du paragraphe 63(1) et des articles 71, 72, 74, 75 et 116, les renseignements personnels qui ont été dépersonnalisés sont considérés comme étant des renseignements personnels.
- Si le Parlement souhaite soustraire les renseignements personnels dépersonnalisés à l’application de certaines dispositions de la LPVPC (tel qu’il est prévu ci-dessus), il doit le faire en ajoutant la mention suivante avant la disposition en question : Les dispositions suivantes ne s’appliquent pas à l’égard des renseignements personnels qui ont été dépersonnalisés […]
- Paragraphe 2(1) : anonymiser Modifier définitivement et irréversiblement, conformément aux meilleures pratiques généralement reconnues, des renseignements personnels afin qu’ils ne permettent pas d’identifier un individu, directement ou indirectement, par quelque moyen que ce soit.
- Modifier la définition du verbe « dépersonnaliser » dans la version française de la LPVPC de la façon suivante, afin de mieux refléter la définition figurant dans la version anglaise :
- Paragraphe 2(1) : dépersonnaliser Modifier des renseignements personnels afin de réduire le risque, sans pour autant l’éliminer, qu’un individu puisse être identifié directement de sorte qu’un individu ne puisse être identifié directement sans pour autant en éliminer le risque.
La prise de décisions automatisée
Recommandation no 8 : Obliger les organisations à expliquer, sur demande, toutes les prédictions faites, les recommandations formulées, les décisions prises et le profilage effectué à l’aide de systèmes décisionnels automatisés.
La LPVPC impose deux nouvelles obligations aux organisations qui utilisent des systèmes décisionnels automatisés. Bien que le Commissariat soit, dans l’ensemble, en faveur de ces nouvelles obligations, la portée de ces dernières, selon leur libellé actuel, est trop limitée dans certains domaines où il devrait y avoir une transparence accrue.
Premièrement, la LPVPC oblige les organisations à fournir une explication générale de l’usage qu’elle fait des systèmes décisionnels automatisés pour faire des prédictions, formuler des recommandations ou prendre des décisions qui pourraient avoir une « incidence importante » sur les individus concernés. Elle contraint également les organisations à expliquer aux individus qui en font la demande les prédictions, les recommandations ou les décisions qui pourraient avoir une « incidence importante » sur ceux-ci.
Le fait de limiter l’obligation de fournir une explication générale aux activités ayant une « incidence importante » permettrait probablement d’établir un équilibre raisonnable entre la transparence et les efforts déployés par les organisations pour se conformer à la loi. Cependant, pareil ajout à l’obligation de fournir une explication pose problème par rapport à l’ancien projet de loi C-11, car il réduit la portée de l’obligation et risque d’exclure les décisions prises dans des domaines comme la publicité en ligne, les fils de nouvelles personnalisés et les environnements numériques. Par conséquent, le fait de limiter cette obligation aux décisions qui pourraient avoir une incidence importante ne permettrait pas d’assurer la transparence des algorithmes.
Il manque également un élément clé dans la LPVPC en ce qui concerne les systèmes décisionnels automatisés. Contrairement au Règlement général sur la protection des données (RGPD) de l’Union européenne et à d’autres lois modernes sur la protection des renseignements personnels en Californie et au Québec, les obligations ne s’appliquent pas explicitement au profilage. Les obligations, selon leur libellé actuel, ne s’appliqueraient qu’aux systèmes décisionnels automatisés qui prennent des décisions, formulent des recommandations ou font des prédictions.
Bien que le profilage puisse être implicitement inclus dans les recommandations ou les prédictions, ne pas le mentionner explicitement dans la LPVPC risque d’ajouter une ambiguïté inutile qui pourrait donner lieu à une lacune importante. En raison de cette omission, l’obligation de transparence pourrait ne pas s’appliquer à des activités souvent opaques comme le courtage de données – vendre ou rendre accessibles d’une autre manière des ensembles de données sur des individus à l’insu de ceux-ci –, alors que ce serait particulièrement nécessaire. On ne sait pas non plus si les obligations s’appliqueraient aux environnements numériques personnalisés, ce qui est une considération importante compte tenu des développements dans le métavers et d’autres technologies immersives.
Modifications proposées
- Supprimer le qualificatif « incidence importante » relativement à l’obligation de fournir une explication prévue au paragraphe 63(3) de la LPVPC pour les systèmes décisionnels automatisés.
- Veiller à ce que le profilage soit explicitement mentionné dans les dispositions relatives aux systèmes décisionnels automatisés (alinéa 62(2)c) et paragraphe 63(3)), en plus des prédictions, des recommandations et des décisions, et que la définition du terme soit semblable à celle figurant au paragraphe 4(4) du RGPD.
Les activités d’affaires
Recommandation no 9 : Limiter la capacité du gouvernement à déroger à la loi par voie de règlement.
La LPVPC autorise la collecte et l’utilisation de renseignements personnels d’un individu à son insu ou sans son consentement pour des activités d’affaires définies, si une personne raisonnable s’attendrait à la collecte ou à l’utilisation en vue de ces activités et si les renseignements personnels ne sont pas recueillis ou utilisés en vue d’influencer le comportement ou les décisions de l’individu. On y trouve également une disposition permettant au gouverneur en conseil d’ajouter, par voie de règlement, toute autre activité à la liste des activités d’affaires.
Les activités d’affaires actuellement énumérées au paragraphe 18(2) de la LPVPC doivent toutes être « nécessaires » à la réalisation d’un objectif donné, ce qui permettra de faire en sorte que l’exception à l’obligation d’obtenir le consentement soit suffisamment restreinte. Or, il manque dans la LPVPC une obligation qui exigerait que toutes les autres activités d’affaires réglementées soient nécessaires à la réalisation d’un objectif précis. L’absence de pareille obligation pourrait donner lieu à l’ajout, par voie réglementaire, d’activités trop larges (par exemple pour « améliorer nos services ») qui n’auraient pas à respecter l’exigence de nécessité.
Selon le libellé actuel du paragraphe 122(1) de la LPVPC, le gouverneur en conseil peut, par règlement, préciser les activités qui sont complètement exclues de l’application de la LPVPC.
Cette situation est très préoccupante, car même lorsqu’une collecte ou une utilisation est exemptée de certaines obligations relatives au consentement, l’organisation devrait demeurer assujettie aux autres exigences de la LPVPC, de sorte que les renseignements personnels demeurent protégés et que le Commissariat conserve son pouvoir de surveillance.
Modifications proposées
- Modifier la LPVPC de façon à exiger que toutes les activités d’affaires réglementées aux fins du paragraphe 18(2) soient des activités nécessaires à la réalisation d’un objectif précis.
- Modifier le paragraphe 122(1) de la LPVPC comme suit : Le gouverneur en conseil peut, par règlement, prendre toute mesure d’application de la présente loi, notamment :
a) régir la portée des activités visées aux alinéas 18(2)a) à c) et préciser celles qui sont exclues de l’application de la présente loi des activités visées à ces alinéas.
Les exceptions au consentement à des fins de recherche
Recommandation no 10 : Prévoir que les exceptions à la communication de renseignements personnels sans consentement à des fins de recherche ne s’appliquent qu’aux recherches érudites.
Pour encourager l’innovation responsable, il faut donner aux organisations une certaine souplesse pour utiliser et communiquer, tant à l’interne qu’à l’externe, les renseignements personnels d’un individu sans son consentement. La LPVPC comprend de telles dispositions, mais les paramètres entourant la protection des renseignements personnels ne sont pas toujours assez stricts pour permettre d’établir un juste équilibre.
En ce qui concerne la recherche, l’analyse et le développement internes, l’article 21 de la LPVPC permet aux organisations d’utiliser les renseignements personnels d’un individu à ces fins, à son insu ou sans son consentement, à condition que les renseignements soient dépersonnalisés avant leur utilisation.
De plus, suivant l’article 35 de la LPVPC, la communication de renseignements personnels à l’extérieur d’une organisation à l’insu ou sans le consentement d’un individu est autorisée, dans certaines circonstances, lorsque la communication est faite à des fins de statistique, d’étude ou de recherche.
L’ancien projet de loi C-11 utilisait auparavant l’expression « d’étude ou de recherche érudites » pour cette exception à l’obligation d’obtenir le consentement, ce qui était conforme à la LPRPDE. Le mot « érudites » a depuis été retiré du projet de loi C-27.
Le Commissariat croit que le retrait du qualificatif « érudites » élargit la portée de l’exception à l’obligation d’obtenir le consentement, qui se voulait restreinte, dans un contexte où il y a peu de mesures de protection. En l’absence de précisions supplémentaires quant au type d’étude ou de recherche qui pourrait être visé par cette exception, ou quant aux organisations qui peuvent recevoir des données personnelles aux termes de cette disposition, le mot « étude » pourrait être interprété de manière à englober un large éventail d’études ou de recherches commerciales, plutôt que le travail effectué par des organisations qui travaillent dans l’intérêt public et qui sont régies par des normes éthiques et des impératifs de protection, comme les universités.
Suivant son libellé actuel, cette disposition pourrait également permettre la communication de renseignements personnels à des institutions gouvernementales, contournant ainsi l’article 39 de la LPVPC, qui limite la communication de tels renseignements au gouvernement à celle faite « pour une fin socialement bénéfique » visée par règlement, plutôt qu’à des fins plus larges de « recherche » ou d’« étude ».
D’autres lois nationales comportent également des dispositions autorisant la communication à des fins de recherche. Par exemple, la Loi sur la protection des renseignements personnels dans le secteur privé (la LPRPSP) du Québec permet la communication à des fins de recherche sans le consentement de la personne concernée, mais prévoit aussi des mesures supplémentaires pour assurer la protection des renseignements personnels, en exigeant qu’une EFVP soit réalisée avant la communication Note de bas de page 7. L’EFVP doit permettre d’en arriver à un certain nombre de conclusions, notamment que des raisons d’intérêt public l’emportent sur les répercussions que la communication de l’étude ou de la recherche pourrait avoir sur la personne concernée, et que les renseignements personnels seront utilisés d’une manière qui en assure le caractère confidentiel. La LPVPC ne prévoit pas de telles mesures de protection.
La réintroduction du mot « érudites » à l’article 35 ferait en sorte que l’exception à l’obligation d’obtenir le consentement à des fins de recherche demeure judicieusement restreinte.
Modifications proposées
- Modifier l’article 35 de la LPVPC comme suit :
- L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, lorsque, à la fois :
a) la communication est faite à des fins de statistique ou d’étude ou de recherche érudites, et ces fins ne peuvent être réalisées sans que les renseignements ne soient communiqués;
- L’organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, lorsque, à la fois :
V. La protection de la vie privée est un moyen pour accentuer la confiance des Canadiennes et des Canadiens envers leurs institutions et la contribution de ceux-ci au monde numérique
Il est possible de renforcer la confiance du public et de favoriser une plus grande participation à l'économie numérique en protégeant la vie privée et en s'assurant que les individus peuvent exercer leurs droits. Des lois solides en matière la protection des renseignements personnels dans le secteur privé comprennent des mécanismes d’application efficaces qui contribuent à inspirer confiance dans une économie axée sur les données. Le Commissariat formule des recommandations et propose des modifications dans les cinq domaines suivants en lien avec ce thème général :
- Les représentants autorisés;
- Les accords de conformité;
- Le contrôle des décisions du commissaire;
- Les délais;
- La collaboration à l’échelle nationale.
Les représentants autorisés
Recommandation no 11 : Permettre aux individus d’avoir recours à des représentants autorisés pour les aider à faire valoir leur droit à la vie privée.
Comme l’ancien projet de loi C-11, le projet de loi C-27 permet à d’autres personnes d’exercer les droits et recours prévus sous le régime de la LPVPC; il indique explicitement à l’article 4 qui peut agir comme représentant autorisé et dans quelles circonstances. Toutefois, l’alinéa 4c) de l’ancien projet de loi C-11, qui aurait permis aux individus d’autoriser par écrit toute autre personne à être leur représentant, a été supprimé. Des intervenants du secteur privé nous ont dit que cette disposition suscitait des préoccupations quant aux risques d’abus ou de fraude. Cependant, puisque cette disposition a été supprimée, il n’est pas clair si les individus pourront toujours obtenir l’aide d’un tiers de leur choix.
Par exemple, on ne saurait dire maintenant si les individus ont toujours la possibilité de déposer des plaintes auprès du Commissariat par l’intermédiaire du représentant qu’ils ont choisi. À l’heure actuelle, la LPRPDE n’aborde cette question que de façon limitée. Par exemple, la loi ne précise pas actuellement si un individu peut déposer une plainte au nom d’un autre individu. Dans la pratique, le Commissariat a accepté des plaintes provenant du représentant personnel d’un individu, avec le consentement écrit de ce dernier.
Plusieurs raisons peuvent inciter un individu à choisir un représentant autorisé pour faire valoir son droit à la vie privée, notamment en raison d’un handicap, d’une barrière linguistique ou du temps dont il dispose. La réintroduction de la disposition figurant initialement dans l’ancien projet de loi C-11 apporterait des éclaircissements à cet égard et garantirait au bout du compte qu’aucun nouvel obstacle dans le projet de loi C-27 ne viendrait limiter la capacité d’un individu à exercer son droit à la vie privée au titre de la LPVPC.
Certains intervenants peuvent craindre que la réintroduction de cette disposition, telle qu’elle est libellée, n’augmente le risque de fraude ou d’autres comportements inappropriés de la part de personnes prétendant être des représentants autorisés. Par conséquent, si cela est jugé opportun, cette disposition pourrait être modifiée pour précisément affronter de tels risques.
Modifications proposées
- Modifier l’article 4 de la LPVPC comme suit : Les droits et recours prévus sous le régime de la présente loi peuvent être exercés […] d) au nom de tout autre individu, par la personne ayant reçu à cette fin une autorisation écrite de cet individu.
Les accords de conformité
Recommandation no 12 : Offrir une plus grande souplesse pour l’utilisation des accords de conformité volontaires en vue de régler les affaires sans avoir recours à des processus litigieux.
Comme la LPRPDE, la LPVPC autorise le commissaire à conclure avec une organisation un accord de conformité dans certaines circonstances, dans le but de faire respecter la LPVPC. L’utilisation des accords de conformité en application de l’article 87 de la LPVPC est plus restrictive que l’utilisation prévue aux termes de la LPRPDE, ce qui limite l’utilisation de ce que le Commissariat considère comme un outil d’application très efficace. Le cadre d’utilisation des accords de conformité dans la LPVPC devrait permettre d’éviter les retards inutiles et d’offrir une plus grande certitude aux organisations.
Contrairement à la LPRPDE, la LPVPC prévoit que les accords de conformité ne peuvent être utilisés que « dans le cadre de l’examen d’une plainte ». Cela signifie que la possibilité d’utiliser des accords de conformité serait beaucoup plus restreinte et moins souple dans la LPVPC que ce qui est actuellement autorisé par la LPRPDE. Par exemple, les accords de conformité ne pourraient plus être utilisés pendant une investigation ou en réponse à un incident qui n’est pas visé par l’examen. Au moment où une investigation est entreprise, le Commissariat devrait poursuivre les démarches jusqu’à ce qu’une ordonnance soit rendue et/ou qu’une SAP soit recommandée, même si les parties concernées préféreraient s’entendre à l’amiable. Ces exigences pourraient entraîner des procédures inutilement longues et coûteuses et dont l’issue serait incertaine. Les organisations ne seraient pas en mesure de conclure des accords de conformité avec le Commissariat comme solution de rechange à l’investigation d’une plainte exigeant des ressources considérables. Le maintien de la souplesse qu’offre la LPRPDE, qui autorise la conclusion d’un accord de conformité à tout moment, contribuerait à assurer une résolution rapide et efficace dans l’intérêt de toutes les parties concernées.
La LPVPC retarde également l’exécution des accords de conformité. Aux termes de la LPRPDE, si le Commissariat croit qu’une organisation ne respecte pas un accord de conformité, il peut immédiatement demander au tribunal de rendre une ordonnance enjoignant à l’organisation de se conformer aux conditions de l’accord de conformité. Aux termes de la LPVPC, le Commissariat ne pourrait le faire qu’après avoir mené une investigation sur le non-respect d’un accord, rendu une ordonnance et constaté que l’organisation visée n’a pas respecté cette ordonnance. Le fait d’autoriser le Commissariat à enregistrer les accords de conformité auprès du tribunal pour que ceux-ci aient le même effet qu’une ordonnance judiciaire permettrait d’éviter ce délai inutile. Cette approche serait similaire à celle applicable aux consentements du commissaire de la concurrence ou aux ordonnances de consentement de la Federal Trade Commission des États-Unis.
La LPVPC devrait également préciser que les accords de conformité peuvent inclure le paiement d’une SAP ainsi que toute autre mesure convenue. Bien que les articles 86 et 87 de la LPVPC puissent être interprétés comme permettant l’inclusion de pareilles modalités, leur mention explicite dans la loi contribuerait à rendre le contexte plus prévisible et moins incertain. Pareille mesure serait également similaire à l’approche adoptée à l’égard des consentements au titre de la Loi sur la concurrence.
Modifications proposées
- Modifier l’article 87 de la LPVPC afin :
- de permettre l’utilisation d’accords de conformité lorsque le commissaire a des motifs raisonnables de croire à l’existence, à l’imminence ou à la probabilité d’un fait — acte ou omission — pouvant constituer une contravention;
- de permettre l’enregistrement des accords de conformité auprès du tribunal, de sorte qu’ils soient équivalents à des ordonnances du tribunal;
- de préciser que le paiement d’une SAP et toute autre mesure négociée peuvent être prévus dans les modalités des accords de conformité.
Le contrôle des décisions du commissaire
Recommandation no 13 : Améliorer la rapidité et réduire les coûts de traitement des plaintes en simplifiant le processus de révision des décisions du commissaire.
Le processus de contrôle établi par la LPVPC risque d’être long et coûteux pour toutes les parties concernées. Selon le libellé actuel, un dossier sera porté devant le Tribunal de la protection des renseignements personnels et des données si le commissaire à la protection de la vie privée recommande l’infliction d’une SAP. Les plaignants et les intimés peuvent également faire appel des conclusions, des ordonnances, des décisions et des ordonnances provisoires du commissaire à la protection de la vie privée devant le Tribunal.
Aux termes de l’article 21 de la LTPRPD, toute décision du Tribunal est définitive et exécutoire, à moins qu’une personne ou une organisation ne soit pas satisfaite de la décision du Tribunal et demande le contrôle judiciaire de cette décision auprès de la Cour fédérale. Si une partie n’est toujours pas satisfaite, elle peut alors porter l’affaire devant la Cour d’appel fédérale et éventuellement, avec une autorisation, devant la Cour suprême du Canada. La création du Tribunal ajoute donc un palier de contrôle supplémentaire dans le processus causant des délais et des coûts additionnels.
Afin d’accélérer les règlements et d’éviter des coûts, les décisions du Tribunal devraient faire l’objet d’un contrôle par la Cour d’appel fédérale plutôt que par la Cour fédérale. En supprimant l’étape de la Cour fédérale, les décisions du Tribunal seraient toujours assujetties à un contrôle judiciaire, mais le processus serait accéléré, ce qui permettrait d’apporter une solution définitive aux plaintes plus rapidement. Subsidiairement, on pourrait accorder au commissaire à la protection de la vie privée le pouvoir d’imposer des SAP, et le contrôle des décisions de celui-ci pourrait être effectué par la Cour fédérale plutôt que par le Tribunal.
Pareilles mesures permettraient également de répondre aux préoccupations concernant les paliers de contrôle dans certaines provinces qui sont différents de ceux à l'échelle fédérale. Les provinces qui ont des lois sur la protection des renseignements personnels dans le secteur privé essentiellement similaires ne disposent pas de ce type de tribunal administratif agissant comme organe de contrôle. Ces dossiers sont plutôt soumis directement à une cour provinciale ou à une cour supérieure et certaines provinces ont moins de paliers de contrôle pour leurs décisions.
Modifications proposées
- Faire en sorte que les décisions du Tribunal de la protection des renseignements personnels et des données puissent faire directement l’objet d’un contrôle judiciaire par la Cour d’appel fédérale plutôt que par la Cour fédérale. Subsidiairement, accorder au commissaire à la protection de la vie privée le pouvoir d’imposer des SAP; et le contrôle des décisions de celui-ci pourrait être effectué par la Cour fédérale plutôt que par le Tribunal.
Les délais
Recommandation no 14 : Modifier les délais pour faire en sorte que le régime de protection de la vie privée soit accessible et efficace.
Le présent mémoire regroupe trois questions concernant la manière dont les délais sont traités dans la LPVPC.
Déclaration des atteintes :
La première question porte sur les délais pour déclarer les atteintes au Commissariat. Comme la LPRPDE, la LPVPC exige que les organisations déclarent au Commissariat les atteintes aux mesures de sécurité qui présentent un risque réel de préjudice grave pour les renseignements personnels. La LPVPC reprend le libellé de la LPRPDE et exige que des rapports soient présentés « dès que possible après que l’organisation a conclu qu’il y a eu atteinte ».
L’expérience du Commissariat dans le contexte de la LPRPDE a démontré que ce libellé laisse trop de place à l’interprétation. En ce moment, 40 % des déclarations d’atteinte en application de la LPRPDE sont reçues plus de trois mois après les faits. Ce retard a une incidence sur la capacité du Commissariat à remplir son rôle de surveillance et à offrir des conseils opportuns sur les mesures d’atténuation aux organisations. Il empêche également les individus de se protéger lorsqu’une atteinte se produit, ce qui laisse leurs renseignements personnels exposés pendant une période inutilement longue.
Une autre question est de savoir qui doit déclarer les atteintes au Commissariat. La LPVPC, selon son libellé actuel, exige que les organisations déclarent au Commissariat toute atteinte qui a trait à des renseignements personnels qui relèvent d’elles. Toutefois, les fournisseurs de services qui sont victimes d’une atteinte ne sont tenus de les déclarer qu’aux organisations auxquelles ils fournissent des services. Ces organisations sont ensuite responsables de déclarer les incidents au Commissariat. Comme les fournisseurs de services tendent à disposer de renseignements clés sur la façon dont une atteinte s’est produite et a été atténuée, les deux parties devraient être tenues de déclarer l’atteinte au Commissariat.
Renvoi des documents :
La deuxième question d’intérêt liée aux délais est l’exigence pour le Commissariat de renvoyer tout document ou toute pièce qu’une organisation produit dans le cadre d’un examen, d’une investigation ou d’une vérification dans un délai ferme – 10 jours sur demande. Ce délai pourrait être problématique, car le Commissariat utilise des techniques de criminalistique numérique pour extraire des éléments de preuve qui peuvent nécessiter plus de 10 jours. Si ces techniques et processus sont interrompus, ils doivent être relancés depuis le début pour maintenir l’intégrité de la preuve en cause. Un délai de 10 jours pourrait complètement entraver l’utilisation de ces techniques. Le Commissariat devrait avoir la possibilité de renvoyer des documents et d’autres pièces après avoir terminé l’examen, l’investigation ou la vérification et au terme de toute procédure connexe.
Poursuites pour infractions sommaires :
La troisième question d’intérêt liée aux délais concerne l’article 128, qui énonce une infraction mixte punissable soit par procédure sommaire, soit par mise en accusation. Dans le cas des infractions punissables par mise en accusation, il n’y a pas de délai de prescription, mais dans le cas des infractions punissables par procédure sommaire, le Code criminel impose un délai de prescription de 12 mois, à moins que le procureur et le défendeur ne conviennent de proroger le délai ou qu’une loi en dispose autrement. Les poursuites auraient très probablement lieu soit une fois les enquêtes réglementaires du Commissariat bien entamées, soit après celles-ci. Puisque pareilles enquêtes sont souvent complexes et peuvent prendre plus de 12 mois, l’imposition d’un délai de prescription sans possibilité de prorogation pose problème. Prévoir la possibilité de proroger les délais de prescription permettrait de résoudre ce problème. De plus, cette approche serait conforme à celle d’autres provinces, comme le Québec et l’Ontario, et ferait en sorte que la Couronne puisse intenter des poursuites par voie de procédure sommaire.
Modifications proposées
- Modifier la LPVPC pour exiger ce qui suit :
- Les déclarations d’atteinte doivent être transmises au commissaire à la protection de la vie privée sans délai déraisonnable, mais au plus tard sept jours civils après que l’organisation a pris connaissance de l’atteinte (paragraphe 58(2)), et les individus touchés, à moins qu’une règle de droit ne l’interdise, doivent être avisés d’une atteinte à la vie privée sans délai déraisonnable après que l’organisation a conclu qu’il y a eu atteinte (paragraphe 58(3)).
- Les fournisseurs de services qui concluent à une atteinte aux mesures de sécurité ayant trait à des renseignements personnels déclarent l’atteinte dans les sept jours à l’organisation de laquelle ces renseignements relèvent, déclarent l’atteinte au commissaire à la protection de la vie privée et transmettent une liste des responsables du traitement des données qui ont été avisés de l’atteinte (article 61).
- Réviser le paragraphe 99(2) de la LPVPC de façon à exiger que le commissaire à la protection de la vie privée renvoie les documents ou les pièces après avoir terminé l’examen, l’investigation ou la vérification et au terme de toutes procédures connexes.
- Prévoir la possibilité de proroger les délais de prescription pour les infractions punissables par procédure sommaire.
La collaboration à l’échelle nationale
Recommandation no 15 : Renforcer la capacité du commissaire à collaborer avec des organisations nationales afin d’améliorer la coordination et l’efficacité lors du traitement des affaires soulevant des enjeux de vie privée.
À l’échelle internationale, la LPVPC offrirait au Commissariat la possibilité de collaborer avec divers partenaires, ce qui contribuerait à l’obtention de résultats probants pour la population canadienne. Par contre, à l’échelle nationale, la LPVPC limiterait les autorités avec lesquelles le Commissariat peut collaborer aux commissaires à l’information et à la protection de la vie privée (CIPVP) provinciaux et territoriaux, au Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) et au Bureau de la concurrence. La collaboration avec des organismes de réglementation nationaux, tant dans le domaine de la protection des renseignements personnels que dans d’autres domaines réglementaires comme la concurrence, la protection des consommateurs et les télécommunications, est devenue de plus en plus importante pour obtenir des résultats probants pour les individus. D’après l’expérience du Commissariat, ces partenaires pourraient englober d’autres organismes de réglementation, comme les services d’évaluation du crédit, le Bureau du surintendant des institutions financières et les commissions des droits de la personne. À l’avenir, le Commissariat peut également envisager la nécessité de travailler avec le commissaire à l’intelligence artificielle et aux données, qui est proposé, concernant les comportements susceptibles d’entraîner l’utilisation abusive de renseignements personnels dans un système d’IA.
Le contraste entre la capacité du Commissariat à collaborer avec des partenaires internationaux et celle qu’il a à collaborer avec des partenaires nationaux est également apparent en ce qui concerne les activités pouvant faire l’objet de telles collaborations. Par exemple, à l’échelle nationale, la LPVPC ne précise pas, comme elle le fait concernant la collaboration avec les CIPVP et les autorités internationales, que le Commissariat peut collaborer avec le CRTC et le Bureau de la concurrence pour traiter des questions liées à la conformité et mener des enquêtes conjointes. Par conséquent, les enquêtes conjointes avec le CRTC ou le Bureau de la concurrence pourraient faire l’objet de contestations, ce qui limiterait l’efficacité de la coopération. Le Commissariat cherche à éviter des situations comme celle qui s’est produite pendant l’enquête sur le site de rencontres pour adultes Ashley Madison, lors de laquelle le Commissariat a pu échanger des renseignements avec la Federal Trade Commission aux États-Unis, mais pas avec le Bureau de la concurrence du Canada.
La possibilité pour le Commissariat de travailler avec d’autres organismes de réglementation serait précieuse dans les cas où la conduite en cause serait du ressort de plusieurs compétences et serait également compatible avec la capacité actuelle du Commissariat à coopérer avec des partenaires internationaux. Une collaboration accrue offre de nombreux avantages; elle permet notamment de réduire les coûts et le dédoublement des efforts pour les organismes de réglementation et les organisations. Cette collaboration permettrait également d’éviter que des conclusions contradictoires ou incohérentes puissent être tirées, ce qui peut rendre la conformité difficile pour les organisations et entraîner des risques supplémentaires pour les consommateurs.
Modifications proposées
- Modifier le paragraphe 118(1) de la LPVPC ainsi :
- Le commissaire peut conclure des accords ou des ententes avec le Conseil de la radiodiffusion et des télécommunications canadiennes, et le commissaire de la concurrence ou le commissaire à l’intelligence artificielle et aux données en vue :
a) de coordonner les activités de leurs organismes respectifs, notamment pour prévoir des mécanismes pour le traitement des examens, des investigations ou d’autres questions de conformité officielles dans lesquelles ils ont un intérêt commun;
ab) d’effectuer des recherches sur des questions dans lesquelles ils ont un intérêt commun et d’en publier les résultats;
bc) d’élaborer la procédure à suivre pour la communication mentionnée au paragraphe (2).
- Le commissaire peut conclure des accords ou des ententes avec le Conseil de la radiodiffusion et des télécommunications canadiennes, et le commissaire de la concurrence ou le commissaire à l’intelligence artificielle et aux données en vue :
- Modifier le paragraphe 119(1) de la LPVPC pour qu’il concorde avec le paragraphe 120(1) en permettant au commissaire à la protection de la vie privée de collaborer avec toute personne ou tout organisme chargé de réprimer des comportements essentiellement semblables à ceux qui constitueraient des contraventions au titre de la présente loi et de lui communiquer des renseignements.
VI. Annexe : Recommandations antérieures du Commissariat sur l’ancien projet de loi C-11
Si le Parlement souhaite envisager d’autres façons d’améliorer le projet de loi C-27, les recommandations suivantes, formulées par le Commissariat en réponse à l’ancien projet de loi C-11, demeurent pertinentes dans le cadre du projet de loi C-27. Le mémoire comprenant ces recommandations a été présenté en mai 2021 au Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique de la Chambre des communesNote de bas de page 8.
- La définition de « renseignements personnels » devrait inclure les inférences (no 7)
Modifier la définition actuelle des renseignements personnels afin d’inclure expressément les renseignements inférés. - Définition de « renseignements de nature sensible » (no 8)
Modifier la LPVPC afin d’inclure une définition de l’expression « renseignements de nature sensible » qui établirait un principe général, suivie d’une liste d’exemples non exhaustive. - Partis politiques (no 10)
Assujettir les partis politiques fédéraux à la LPVPC, par exemple en les inscrivant à l’annexe conformément au paragraphe 6(3) et à l’alinéa 119(2)c) [122(2)c)]. - Fins socialement bénéfiques (no 15)
Modifier l’article 39 de la LPVPC de manière à exiger ce qui suit :- Une demande écrite doit être présentée avant que les renseignements soient communiqués afin de veiller à ce qu’ils soient utilisés à des fins socialement bénéfiques au sens de la LPVPC;
- Une entente d’échange de renseignements doit être conclue et doit interdire au destinataire de repersonnaliser les renseignements et de les utiliser à des fins secondaires qui ne sont pas bénéfiques pour la société;
- La définition de « à des fins socialement bénéfiques » doit être modifiée afin d’inclure une limite au pouvoir réglementaire, en indiquant par exemple qu’il doit s’agir des « fins qui sont bénéfiques pour la société et pas simplement des activités pour des intérêts ou des gains personnels ou commerciaux ».
- Renseignements personnels auxquels le public a accès (no 16)
Modifier l’article 51 de la LPVPC afin de prévoir, en plus des conditions déjà présentes, que les renseignements personnels sont ceux pour lesquels l’individu n’a pas d’attente raisonnable en matière de vie privée. - Communications aux organismes d’application de la loi (no 18, no 19)
(Recommandation no 18) Établir des obligations en matière de tenue de registres et de production de rapports concernant la communication de renseignements personnels à des organismes gouvernementaux, et particulièrement à des organismes d’application de la loi.
(Recommandation no 19) Ajouter une définition précisant la signification d’« autorité légitime » aux fins de l’article 44. - Responsabilité – Norme objective (no 20), tenue de registres, évolutivité (no 21)
(Recommandation no 20) Modifier ainsi l’article 9 de la LPVPC afin d’établir une norme objective pour la responsabilité :
9(1) L’organisation met en œuvre un programme de gestion de la protection des renseignements personnels afin d’assurer le respect des obligations qui lui incombent au titre de la présente loi.
(2) Un programme de gestion de la protection des renseignements personnels comprend les politiques, les pratiques et les procédures de l’organisation qui servent à assurer le respect de la présente loi, notamment des politiques, des pratiques et des procédures relatives : […]
(Recommandation no 21) Renforcer le concept de responsabilité démontrable dans la LPVPC en prenant les mesures suivantes :- Ajouter une disposition obligeant les organisations à tenir des registres adéquats pour démontrer qu’elles respectent les obligations en matière de protection des renseignements personnels qui leur incombent au titre de la Loi, y compris une obligation expresse de traçabilité dans le contexte de la prise de décision automatisée;
- Modifier le paragraphe 9(2) afin que la portée de la responsabilité et des obligations en matière de tenue de registres dépende de la nature et de l’importance des renseignements personnels qui relèvent de l’organisation, de sa taille et de ses recettes, ainsi que des menaces et des risques pertinents.
- Circulation transfrontalière des données et fournisseurs de services (no 23)
Définir les exigences organisationnelles relatives à la circulation transfrontalière des données de manière explicite et distincte, conformément aux recommandations qui figurent à l’annexe B de notre mémoire de mai 2021 sur le projet de loi C-11.Note de bas de page 9 - Mesures de sécurité (no 24)
Remplacer le paragraphe 57(2) de la LPVPC par ce qui suit :
En plus de la sensibilité de l’information, les mesures établies par l’organisation tiennent également compte des risques pour les consommateurs, en cas d’atteinte, associés à la nature, à la portée et au contexte de l’utilisation que fait l’organisation des renseignements personnels, vu ses activités opérationnelles. - Fournisseurs de services canadiens (no 26)
Modifier la LPVPC pour veiller à ce que les recommandations 3, 4, 5 et 7 de l’annexe B de notre mémoire de mai 2021 sur le projet de loi C-11 s’appliquent également aux fournisseurs de services canadiens. - Prise de décision automatisée – niveau d’explication (no 28)
Inclure le droit de contester les décisions automatisées dans la LPVPC. - Droit à la réputation – déréférencement (no 30)
Que le Parlement édicte un droit explicite et clair au déréférencement et à la suppression de renseignements personnels des résultats de recherche et d’autres sources en ligne vu les recommandations formulées par le Commissariat dans son projet de position de 2018 sur la réputation et l’approche adoptée dans la Loi 25 du Québec (l’ancien projet de loi 64). - Mobilité des données (no 31, no 32)
(Recommandation no 31) Élargir l’article 72 de la LPVPC afin d’inclure tous les renseignements personnels au sujet d’un individu, y compris ceux dérivés ou inférés.
(Recommandation no 32) Établir un rôle consultatif ou d’approbation clair pour le Commissariat à l’égard des cadres de mobilité des données. - Règles de procédure et de preuve relatives aux examens, investigations et ordonnances (no 33)
Modifier les dispositions suivantes relatives aux examens et aux investigations visés par la LPVPC :- 98(1)a) [99(1)a)] : réduire le seuil à partir duquel le Commissariat peut exiger la production d’éléments de preuve et remplacer le verbe « contraindre » par « ordonner »;
- 98(1)h) [99(1)h)] : préciser que la disposition s’applique aussi aux renseignements stockés sur des serveurs à distance, mais accessibles à partir du local visé;
- 103(2) [104(2)] : modifier le paragraphe pour rendre les ordonnances visées aux alinéas 98(1)a) et 98(1) [99(1)a) et 99(1)] exécutoires par voie d’homologation;
- 103(2) et 104 [104(2) et 105] : modifier les dispositions en matière d’appel concernant les ordonnances provisoires rendues en vertu de l’alinéa 98(1)d) [99(1)d)] pour veiller à ce que les ordonnances ne soient pas indûment retardées ou compromises dans l’attente d’un appel;
- 90(2) [91(2)] : modifier le paragraphe pour permettre au Commissariat de demander et de recevoir des renseignements protégés par le secret professionnel de l’avocat, afin d’évaluer les demandes d’exemptions dans le cadre de plaintes liées à l’accès;
- 92(2) [93(2)] : supprimer le critère de nécessité, qui ne se retrouve dans aucune loi comparable;
- 92(4) [93(4)] : supprimer la limite maximale d’un an liée aux prorogations de délai pour mener une investigation.
- Atteintes – réparation pour préjudices subis (no 34)
Ajouter au paragraphe 92(2) [93(2)] une disposition pour permettre au Commissariat d’ordonner à une organisation de « prendre toute mesure qui permette aux individus d’être indemnisés pour les préjudices subis, d’ordre financier ou autre, résultant d’une atteinte ou d’une violation des mesures de sécurité exigées par la loi ». - Application des sanctions administratives pécuniaires (no 39 et no 40)
(Recommandation no 39) Modifier le paragraphe 93(2) [94(2)] :- Par la reformulation de l’alinéa 93(2)c) [94(2)d)] en vue de mettre l’accent sur les antécédents en matière de non-respect;
- Par l’intégration des alinéas 94(5)b) et c) [95(5)b) et (c)].
- Droit privé d’action (no 41)
Modifier l’article 106 [107] de la LPVPC en vue d’élargir le droit privé d’action par la substitution aux alinéas 106(1)a) et 106(1)b) [107(1)a) et 107(1)b)] d’exigences semblables à celles de l’article 77 de la Loi sur les langues officielles. - Codes de pratique et programmes de certification (no 44 et no 45)
(Recommandation no 44) Modifier la LPVPC de façon à ce que l’obligation du commissaire d’examiner une demande d’approbation d’un code de pratique ou d’un programme de certification soit conditionnelle au paiement de frais de service.
(Recommandation no 45) Supprimer tous les renvois aux règlements des articles 76, 77, 78 et 81 et des alinéas 122 a) à j) [125 a) à j)] de la LPVPC afin de laisser au commissaire le pouvoir, comme c’est la norme dans d’autres États, d’adopter des procédures justes relativement à l’approbation des codes de pratique et des programmes de certification, conformément aux normes prévues aux paragraphes 76(2) et 77(1) de la Loi. - Article 108 (no 46)
Modifier l’article 108 de la LPVPC [109] en vue d’encourager le commissaire, dans l’exercice des attributions que lui confère la Loi, à tenir compte de la taille de l’organisation et des autres facteurs mentionnés. À titre subsidiaire, inclure ces facteurs dans une disposition d’objet. - Examens proactifs/plaintes déposées par le commissaire (no 47)
Modifier le paragraphe 82(2) de la LPVPC de la manière suivante :
Le commissaire peut lui-même prendre l’initiative d’une plainte pour s’assurer de la conformité à la présente loi s’il a des motifs raisonnables de croire qu’une enquête devrait être menée sur une question relative à l’application de la présente loi. - Vérifications proactives de conformité (no 48)
Retrancher de l’article 96 [97] la condition « [si le commissaire] a des motifs raisonnables de croire que [l’organisation] a contrevenu à la partie 1 ».
Supports de substitution
- PDF (1,4 Mo) Accessibilité non vérifiée
- Date de modification :