Principales recommandations pour une nouvelle loi fédérale sur la protection des renseignements personnels dans le secteur privé
Le Commissariat à la protection de la vie privée du Canada a formulé un certain nombre de recommandations relativement à une nouvelle loi fédérale sur la protection des renseignements personnels dans le secteur privé, qui viendrait remplacer l’actuelle Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).
Ces recommandations tiennent compte des propositions mises de l’avant par le gouvernement dans le projet de loi C-11, Loi de 2020 sur la mise en œuvre de la Charte du numérique. Or, ce projet de loi est mort au feuilleton au déclenchement des élections fédérales en 2021. Le gouvernement a indiqué qu’il avait l’intention de déposer un nouveau projet de loi.
Les recommandations visent à appuyer l’élaboration d’une nouvelle loi en faveur d’une innovation numérique responsable dans un cadre juridique qui reconnaît la vie privée comme un droit de la personne. Le mémoire du Commissariat sur le projet de loi C-11 fournit plus de précisions concernant chaque recommandation.
Favoriser l’innovation responsable
Conférer une plus grande souplesse aux organisations en leur permettant d’utiliser les renseignements personnels sans consentement pour des intérêts commerciaux légitimes, dans un régime fondé sur les droits. Ceci remplacerait les exceptions au consentement trop larges du projet de loi C-11. Modifier légèrement la définition des « fins socialement bénéfiques ». (Voir les recommandations 14(ii) et 15 du mémoire du Commissariat sur le projet de loi C-11.)
Conserver les dispositions du projet de loi C-11 sur l’utilisation des renseignements dépersonnalisés. (Recommandation 17)
Créer le droit d’obtenir une explication valable à la suite d’une prise de décision automatisée et le droit de contester ces décisions (transparence des algorithmes). (Recommandations 27 et 28)
Réintégrer parmi les exigences du consentement valable la connaissance et la compréhension des conséquences de la collecte et de l’utilisation des données. (Recommandation 11)
Préciser que la collecte de renseignements personnels ne peut se faire à toute fin définie par une organisation (autoréglementation) mais uniquement pour des « fins spécifiques, explicites et légitimes ». (Recommandation 6)
Adopter un cadre fondé sur les droits
Renforcer le fondement constitutionnel de la loi à l’intérieur du pouvoir fédéral sur le commerce, en précisant explicitement que son objet est d’accroître la confiance à l’égard du commerce axé sur l’information et, par conséquent, de favoriser son caractère durable. (Recommandation 2)
Puis, ajouter un préambule qui donne à la loi une approche fondée sur les droits tout en reconnaissant l’intérêt légitime des organisations de traiter des renseignements personnels. (Recommandation 1)
Remplacer l’énoncé d’objet actuel, qui se fonde sur l’idée que le droit à la vie privée et les intérêts commerciaux constituent des intérêts concurrents qu’il faut soupeser, par de nouveaux articles (5 et 12) qui reconnaîtraient à la fois le droit fondamental à la vie privée et le besoin légitime des organisations de traiter des renseignements personnels à des fins appropriées. Préciser les facteurs que l’organisme de réglementation doit prendre en considération pour établir ce qui est approprié. (Recommandations 2 à 5)
Prévoir que le niveau de protection garanti par le droit canadien ne doit pas être compromis lorsque des renseignements personnels sont transférés à l’extérieur du Canada (adéquation souple). (Recommandations 2c et 23)
Assujettir les partis politiques fédéraux aux lois sur la protection des renseignements personnels. (Recommandation 10)
Prévoir un droit à la réputation. (Recommandations 29 et 30)
Accroître la responsabilité des entreprises
Établir une norme objective pour la responsabilité, soit l’obligation de mettre sur pied un programme de gestion de la protection des renseignements personnels, « afin d’assurer le respect de la loi ». (Recommandation 20)
Permettre au Commissariat, à l’instar d’autres organismes de réglementation de la vie privée, de faire des vérifications proactives pour s’assurer de la conformité à la loi, de sorte que les organisations puissent démontrer leur responsabilité (p. ex. la transparence des algorithmes) et que les consommateurs puissent participer à l’économie numérique sans craindre une violation de leurs droits. (Recommandations 47 et 48)
Imposer deux pratiques proactives importantes, soit la protection de la vie privée dès la conception et la réalisation d’évaluation des facteurs relatifs à la vie privée pour les activités à risque élevé. (Recommandation 22)
Veiller à ce que les lois soient interopérables, tant au niveau international qu’au niveau national
Veiller à ce que le Canada rejoigne ses partenaires commerciaux pour ce qui est des éléments législatifs clés du tableau intitulé « Comparaison entre juridictions ». Agir conformément à la récente déclaration des ministres du G7, qui ont demandé que la reprise post-pandémie soit axée sur l’être humain et qu’elle soit guidée par nos valeurs démocratiques communes de marchés ouverts et concurrentiels, les droits de la personne et la coopération internationale.
Au pays, redonner au Canada son rôle de leader et éviter qu’il ne tire de l’arrière par rapport aux provinces qui ont adopté des lois fondées sur les droits ou qui sont en voie de le faire. Veiller à ce que le Commissariat dispose de pouvoirs de contrôle comparables à ceux de ses homologues provinciaux et tout aussi efficaces (donc des pouvoirs équivalents pour rendre des ordonnances, effectuer des vérifications proactives et imposer des amendes, avec des dispositions d’appel équivalentes), de sorte que ses décisions demeurent influentes dans l’évolution du droit sur la protection des renseignements personnels.
Prévoir des recours rapides et efficaces
Rendre toutes les violations à la loi passibles de pénalités administratives tout en adoptant le régime en vigueur au Royaume-Uni, selon lequel les organisations sont avisées de la nature de la violation avant qu’une pénalité ne soit imposée. (Recommandation 38)
Pour plus de transparence et d’équité, exiger du décideur qu’il considère un plus grand nombre de facteurs avant de recommander ou d’imposer des pénalités administratives. (Recommandation 39)
Autoriser le Commissariat à imposer des pénalités administratives et retirer le droit d’appel suggéré, afin que le consommateur dispose véritablement de recours rapides et que le Commissariat ne soit pas désavantagé par rapport à ses homologues provinciaux et qu’il maintienne son rôle de leader parmi les autorités canadiennes de protection des données. (Recommandation 36)
Renforcer le régime des accords de conformité afin de garantir qu’il puisse accélérer la conclusion des investigations et mener à l’imposition de sanctions administratives négociées. (Recommandation 35)
Refondre le régime de poursuites criminelles, qui est présentement impraticable. (Recommandation 52)
Permettre au Commissariat d’appliquer la loi selon une approche fondée sur les risques tout en étant transparent
Conférer au Commissariat un pouvoir discrétionnaire en ce qui concerne la conduite des examens, comme le prévoient les changements que nous recommandons à l’article 83. (Recommandation 42)
Élargir le droit privé d’action pour éviter que les consommateurs se trouvent sans recours. (Recommandation 41)
Conférer au Commissariat le pouvoir discrétionnaire de choisir les dossiers pour lesquels des services-conseils sont offerts. (Recommandation 43)
Laisser au Commissariat le soin d’adopter des règles de procédure pour l’approbation de codes de pratique. Imposer le recouvrement des coûts afin d’éviter de surcharger les ressources permanentes. (Recommandations 44 et 45)
Afin d’éviter les litiges, encourager le Commissariat à tenir compte de la taille de l’organisation et des autres facteurs mentionnés, sans en faire une obligation contraignante. (Recommandation 46)
Supprimer l’article 110 et maintenir, voire élargir les règles de transparence, comme celles prévues aux articles 91 et 111. (Recommandation 49)
Document connexe
Mémoire du Commissariat à la protection de la vie privée du Canada sur le projet de loi C-11, la Loi de 2020 sur la mise en œuvre de la Charte du numérique
- Date de modification :