Examen de la loi sur la protection des renseignements personnels de l’Alberta
Mémoire du Commissariat à la protection de la vie privée du Canada au Comité permanent sur la gestion des ressources de l’Assemblée législative de l’Alberta
Le 31 mai 2024
PAR COURRIEL
Monsieur Garth Rowswell, M.A.L.
Président du Comité permanent sur la gestion des ressources
Assemblée législative de l’Alberta
9820 – 107 Street, NW
Edmonton (Alberta) T5K 1E7
Monsieur le Président,
Le Commissariat à la protection de la vie privée du Canada se réjouit de l’invitation du Comité permanent sur la gestion des ressources de l’Assemblée législative à participer à son examen de la Personal Information Protection Act (loi sur la protection des renseignements personnels – PIPA) de l’Alberta. Je suis heureux d’avoir l’occasion de vous parler du contexte de la réforme de la législation fédérale en matière de protection des renseignements personnels et de la façon dont l’interopérabilité des lois dans ce domaine profite à la fois aux consommateurs et aux entreprises.
Le Commissariat veille au respect de la Loi sur la protection des renseignements personnels, laquelle porte sur les pratiques de traitement des renseignements personnels utilisées par les ministères et organismes fédéraux, et de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), la loi fédérale sur la protection des renseignements personnels dans le secteur privé.
Il n’a jamais été aussi important et difficile de protéger la vie privée, en particulier dans un environnement en pleine expansion où l’émergence des technologies et les modèles d’entreprise tirent parti de l’utilisation, de la collecte et de la communication de renseignements personnels. Ces progrès présentent de nombreux avantages dans nos vies et pour l’économie, mais ils posent également de nouveaux risques pour la vie privée. Les Canadiennes et les Canadiens doivent pouvoir compter sur des lois modernisées sur la protection des renseignements personnels, qui soutiennent l’innovation et leur permettent de profiter des nombreux avantages de la technologie, tout en ayant l’assurance que leurs renseignements personnels sont protégés.
L’interopérabilité des lois sur la protection des renseignements personnels, tant au pays qu’à l’échelle internationale, est essentielle pour renforcer la confiance des Canadiennes et des Canadiens dans le fait que leurs renseignements personnels seront traités dans le respect de leurs droits et de leurs valeurs, quel que soit l’endroit où les données résident ou sont transférées. De plus, l’interopérabilité est avantageuse pour les organisations, car elle permet de simplifier les exigences réglementaires et de réduire les coûts liés à la conformité, favorisant ainsi l’innovation et la compétitivité des entreprises canadiennes. Les organisations profitent également de la clarté que procurent des orientations communes en matière de réglementation.
La LPRPDE établit les normes nationales de protection des renseignements personnels dans le secteur privé. Les organisations qui recueillent, utilisent et communiquent des renseignements personnels dans une province où s’applique une loi provinciale considérée comme essentiellement similaire à la LPRPDE ne sont pas assujetties à la loi fédérale. L’Alberta, tout comme le Québec et la Colombie-Britannique, dispose actuellement de lois sur la protection des renseignements personnels dans le secteur privé qui ont été jugées essentiellement similaires à la LPRPDE. Cela signifie que, dans de nombreux cas, c’est la loi provinciale qui prévaut et non la loi fédérale.
Ce cadre me permet de collaborer étroitement avec mes homologues du Québec, de la Colombie-Britannique et de l’Alberta sur des activités telles que des enquêtes conjointes et des documents d’orientation destinés aux organisations en vue de les aider à respecter les lois.
L’interopérabilité à l’échelle internationale est également importante, car elle facilite les échanges commerciaux transfrontaliers de renseignements personnels. En janvier dernier, au terme de l’examen du caractère adéquat du Canada au titre du Règlement général sur la protection des données de l’Union européenne, la Commission européenne a conclu que le Canada continue d’assurer un niveau de protection adéquat des renseignements personnels transférés depuis l’Union européenne aux destinataires assujettis à la LPRPDE. Dans son rapport, la Commission recommande d’inscrire dans la loi certaines mesures de protection élaborées au niveau infra-législatif en vue de renforcer la sécurité juridique et de consolider les nouvelles exigences, comme celles concernant les renseignements personnels de nature sensible. La Commission a l’intention de suivre de près l’évolution de la situation au Canada.
Loi de 2022 sur la mise en œuvre de la Charte du numérique
Le 16 juin 2022, le gouvernement du Canada a déposé le projet de loi C-27, la Loi de 2022 sur la mise en œuvre de la Charte du numérique, qui abrogerait la partie 1 de la LPRPDE et édicterait la Loi sur la protection de la vie privée des consommateurs (LPVPC), la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l’intelligence artificielle et les données. Le projet de loi fait actuellement l’objet d’une analyse article par article par le Comité permanent de l’industrie et de la technologie (INDU) de la Chambre des communes.
Le projet de loi C-27 maintiendrait en grande partie l’approche de la LPRPDE à l’égard des lois qui sont essentiellement similaires. Comme pour la LPRPDE, le gouverneur en conseil déterminerait si la loi sur la protection des renseignements personnels d’une province est essentiellement semblable à la LPVPC. En vertu de ce projet de loi, le gouverneur en conseil peut également, par règlement, établir les critères et le processus lui permettant de conclure au caractère essentiellement semblable d’une loi ou de reconsidérer cette conclusion.
À bien des égards, le projet de loi C-27 constitue une amélioration par rapport à la LPRPDE. Il renforce les mesures de protection des renseignements personnels des individus et incite les organisations à se conformer à la loi tout en leur laissant une plus grande marge de manœuvre pour innover. En encourageant l’innovation tout en respectant la vie privée des individus, on les aidera à mieux protéger leurs renseignements personnels et le contrôle qu’ils exercent sur ceux-ci, et on renforcera leur confiance envers l’économie numérique et leur capacité à saisir les avantages d’une telle économie.
En avril 2023, le Commissariat a présenté au Comité INDU un mémoire sur le projet de loi C-27 comprenant 15 recommandations principales qui, selon moi, sont nécessaires afin de mieux protéger la vie privée des Canadiennes et des Canadiens tout en appuyant l’innovation et la compétitivité du Canada. Vous trouverez ci-joint la version intégrale de mon mémoire où sont décrites en détail mes 15 recommandations.
J’aimerais souligner que notre mémoire sur le projet de loi C-27 aborde bon nombre des sujets soulevés dans le document « Emerging Issues: The Personal Information Protection Act » (nouveaux enjeux : la loi sur la protection des renseignements personnels) présenté par le Comité permanent sur la gestion des ressources, notamment le consentement, la dépersonnalisation et l’anonymisation, les évaluations des facteurs relatifs à la vie privée, les sanctions administratives pécuniaires, la prise de décision automatisée, le droit à l’effacement des données et la portabilité des données.
Par exemple, une des recommandations formulées dans notre mémoire était de renforcer le cadre de dépersonnalisation et d’anonymisation des renseignements pour donner une souplesse aux organisations qui utilisent des renseignements dépersonnalisés tout en garantissant la protection de la vie privée.
Nous avons également recommandé d’exiger des organisations qu’elles intègrent la protection de la vie privée dès la conception de leurs produits et services et qu’elles mènent des évaluations des facteurs relatifs à la vie privée (EFVP) pour les initiatives à risque élevé. Les EFVP peuvent aider les organisations à démontrer qu’elles sont responsables des renseignements personnels qui relèvent d’elles, qu’elles respectent la loi et qu’elles limitent le risque d’atteinte à la sécurité des données. Lors de ma comparution du 19 octobre 2023 devant le Comité INDU au sujet du projet de loi C-27, j’ai également fait valoir que les EFVP sont une mesure particulièrement importante dans le contexte de l’intelligence artificielle et d’autres activités à risque élevé susceptibles d’avoir des répercussions importantes sur les individus.
La réalisation d’objectifs commerciaux et la protection de la vie privée ne sont pas incompatibles. La protection de la vie privée peut être un moyen d’accélérer la confiance des Canadiennes et des Canadiens envers l’économie numérique plutôt qu’un obstacle à l’innovation et à la compétitivité. Toutefois, dans les rares cas où ces deux éléments entrent inévitablement en conflit, le droit fondamental à la vie privée devrait prévaloir. C’est pourquoi ma première recommandation concernant le projet de loi C-27 était de reconnaître l’importance du droit fondamental à la vie privée dans la loi, à la fois dans le préambule et dans l’énoncé d’objet de la LPVPC, et d’intégrer le préambule aux lois qui seront adoptées. J’ai été heureux de constater que le Comité INDU a adopté un amendement pour intégrer le préambule dans la LPVPC et pour reconnaître le droit fondamental à la vie privée dans la loi.
Une autre de mes principales recommandations était de modifier le préambule pour insister sur l’importance de protéger la vie privée des enfants et l’intérêt supérieur de l’enfant. Il convient de noter que le Comité INDU a également intégré cette recommandation dans le nouveau préambule de la LPVPC. L’inclusion de l’intérêt supérieur de l’enfant dans le préambule encouragera les organisations à intégrer la protection des renseignements personnels des enfants dans leurs produits et services, et ce, dès la conception, et il s’agit également d’un outil d’interprétation important. Intégrer la protection de la vie privée des enfants dans la loi est particulièrement encourageant, car cela faisait partie des recommandations formulées dans la Résolution des commissaires fédéral, provinciaux et territoriaux à la protection de la vie privée et des ombuds responsables de la protection de la vie privée visant à « mettre l’intérêt supérieur des jeunes à l’avant-plan en matière de vie privée et d’accès aux renseignements personnels ».
Par ailleurs, le Comité INDU a amendé le projet de loi afin d’y inclure les définitions des termes « autorité légitime », « mineur », « profilage » et « renseignements de nature sensible ». Il a également modifié la définition de « renseignements personnels » pour y ajouter les renseignements inférés. Ces amendements permettront de clarifier les obligations auxquelles sont tenues les organisations au titre de la loi.
Alors que l’analyse article par article du projet de loi C-27 se poursuit, j’espère que le Comité INDU continuera à mettre en œuvre mes recommandations.
Conclusion
L’examen de la PIPA par le Comité permanent sur la gestion des ressources survient au cours d’une période charnière pour la réforme des lois sur la protection des renseignements personnels au Canada. Il est essentiel de renforcer la confiance des consommateurs dans le fait que les organisations font un usage responsable des renseignements personnels pour aider à faire du Canada un chef de file mondial en matière de protection de la vie privée. J’estime qu’un régime de protection de la vie privée fédéral-provincial-territorial solide et harmonisé, fondé sur des principes communs, contribuera à l’atteinte de cet objectif.
Je vous prie d’agréer, Monsieur le Président, l’expression de mes meilleurs sentiments.
Le Commissaire,
(Document original signé par)
Philippe Dufresne
- Date de modification :