Comparaison entre le mémoire du Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique sur la réforme de la PIPA et le mémoire du Commissariat à la protection de la vie privée du Canada sur le projet de loi C-11

Contexte : Le 9 décembre 2020, l’Assemblée législative de la Colombie-Britannique a convenu de nommer un comité spécial chargé d’examiner la Personal Information Protection Act (PIPA)^{Note de bas de page 1} de la Colombie-Britannique (C.-B.). Le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique [Office of the Information and Privacy Commissioner for British Columbia (OIPC)] a soumis trois documents au comité spécial, à savoir un mémoire (en anglais seulement) sur la réforme de la PIPA^{Note de bas de page 2}, un mémoire supplémentaire (en anglais seulement) qui discute de ses recommandations originales dans le contexte du projet de loi C-11, et un tableau (en anglais seulement) qui compare les recommandations principales de la réforme de la PIPA avec le projet de loi C-11.

Aperçu : Le mémoire de l’OIPC présente 12 recommandations relatives à la réforme de la PIPA sur le signalement obligatoire des atteintes, les fournisseurs de services, le consentement, la prise de décision automatisée, le droit à l’oubli, la portabilité des données, les sanctions administratives pécuniaires (SAP), les accords de conformité, la coopération en matière de réglementation et la mise en commun de renseignements, les pouvoirs de surveillance, la relation entre la PIPA et la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), et les renseignements privilégiés.

Dans l’ensemble, les recommandations de l’OIPC s’alignent sur nos recommandations de modifications du projet de loi C-11. Dans certains domaines, ils s’alignent fortement sur nos recommandations (p. ex. sur le Tribunal et les SAP, la prise de décision automatisée, la portabilité des données, certaines des recommandations sur le consentement). Dans d’autres domaines, nous allons plus loin que leur recommandation (p. ex. sur le « droit à l’oubli »). Certaines de leurs recommandations permettraient d’aligner plus étroitement la PIPA sur la LPRPDE (p. ex. en exigeant le signalement obligatoire des violations). Dans ces domaines, comme dans d’autres, nos recommandations sont plus particulières, alors que les leurs sont plus générales. Dans de très rares domaines, ils font des recommandations que nous ne faisons pas (p. ex. exiger une notification écrite pour le consentement et exiger que la notification soit fournie séparément des autres termes juridiques).

	Projet de loi C-11	Mémoire de l’OIPC sur la PIPA	Mémoire du CPVP sur le projet de loi C-11	Harmonisation
1	Déclaration obligatoire des violations La Loi sur la protection de la vie privée des consommateurs (LPVPC) exige que les organisations signalent au Commissaire toute violation des mesures de sécurité qui crée un risque réel de préjudice important pour une personne et qu’elles en informent les personnes concernées.	L’OIPC recommande que la PIPA comprenne des exigences obligatoires de signalement des violations, y compris la notification des personnes et du Commissaire lorsqu’il existe un risque réel de préjudice important. L’OIPC met l’accent sur l’harmonisation entre la LPRPDE et la PIPA de l’Alberta. Il recommande également d’inclure le pouvoir pour le Commissaire d’exiger qu’une organisation informe les personnes concernées lorsque l’organisation ne l’a pas fait. Enfin, l’OIPC recommande que la PIPA contienne des exigences relatives au moment de la notification, au contenu des notifications, aux renseignements utiles qui doivent être fournis au Commissaire, et aux obligations de tenue de dossiers pour l’organisation.	Étant donné que le projet de loi C-11 préserve les exigences en matière de notification et de signalement actuellement prévues par la LPRPDE, notre recommandation porte sur le moment du signalement de l’atteinte à la vie privée, plus précisément sur le fait que le signalement doit être fait « dans les meilleurs délais, mais au plus tard dans les sept (7) jours civils après que l’organisation a pris connaissance de l’atteinte ».	Le mémoire de l’OIPC s’aligne sur notre recommandation, bien que la nôtre soit plus étroite et plus précise.
2	Fournisseurs de services La LPVPC exige des organisations qu’elles veillent, par contrat ou autrement, à ce que les fournisseurs de services offrent une protection sensiblement identique à celle que l’organisation est tenue d’offrir en vertu de la loi.	L’OIPC recommande que la PIPA soit modifiée afin de stipuler que les organisations sont responsables des renseignements personnels qu’elles transfèrent à un tiers aux fins de traitement ou pour fournir des services à l’organisation qui les transfère ou en son nom; et que les organisations doivent utiliser des moyens contractuels ou autres pour assurer la conformité à la PIPA, ou pour fournir un niveau de protection comparable.	Nous pensons que le régime général applicable aux fournisseurs de services en vertu de l’article 11 de la LPVPC est « raisonnable ». Toutefois, nous estimons que dans certains domaines, des détails ou des modifications supplémentaires seraient bénéfiques. Par exemple, les dispositions particulières aux renseignements « transférés » aux fins de traitement sont problématiques dans un environnement où les fournisseurs de services peuvent potentiellement recueillir des renseignements personnels au nom d’une autre organisation. Nous reprochons à la LPVPC de ne pas faire de distinction entre les fournisseurs de services nationaux et internationaux et nous recommandons, entre autres, que les exigences organisationnelles concernant les flux de données transfrontaliers soient énoncées explicitement et séparément.	Le mémoire de l’OIPC s’aligne généralement sur nos recommandations concernant les fournisseurs de services intérieurs.
3	Exigences en matière de consentement Dispositions pertinentes : Consentement valide, paragraphe 15(3) Forme du consentement, paragraphe 15(4) Exceptions au consentement, articles 18 à 39	L’OIPC recommande que la PIPA soit modifiée pour : Exiger des organisations qu’elles donnent un avis écrit pour s’assurer que les personnes comprennent à quoi serviront leurs renseignements personnels, à moins que le consentement ne soit implicite. Exiger des organisations qu’elles fournissent un avis complet, précis, clair et simple de toutes les fins auxquelles les renseignements personnels des personnes seront recueillis, utilisés et communiqués, de sorte qu’il est raisonnable de s’attendre à ce qu’une personne comprenne la nature, le but et les conséquences de la collecte, de l’utilisation ou de la communication à laquelle elle consent. Exiger des organisations qu’elles fournissent un avis distinct des autres conditions légales, et qu’elles aident toute personne à comprendre ce qu’on lui demande d’accepter si elle le demande. Exceptions au consentement L’OIPC mentionne que les exigences de la LPVPC en matière de consentement exprès sont très semblables à ses recommandations relatives au consentement pour la PIPA^{Note de bas de page 3}. Cependant, il émet de « sérieuses réserves » quant aux exceptions au consentement prévues par la LPVPC. L’OIPC affirme que les nouvelles exceptions au consentement prévues par la LPVPC sont trop larges et ambiguës, et qu’elles ne tiennent pas compte du contrôle individuel ou qu’elles éliminent la transparence. L’OIPC exhorte le comité spécial à ne pas recommander l’adoption des nouvelles exemptions au consentement de la LPVPC et à recommander seulement que le gouvernement surveille les progrès de la LPVPC sur cette question. Il recommande également d’affirmer le contrôle individuel au moyen du consentement comme un principe fondamental de la PIPA. Comme exemples d’exceptions trop larges, le Commisssariat mentionne l’utilisation par l’organisation de renseignements dépersonnalisés à des fins de recherche et de développement internes, l’exception pour les « activités d’affaires », y compris la prévention ou la réduction du « risque commercial », et les situations où l’organisation n’a pas de relation directe avec la personne.	Nous recommandons que la LPVPC inclue l’« exigence de compréhension », selon laquelle le consentement de la personne n’est valide que s’il fournit à la personne certains renseignements, d’une manière telle qu’il soit raisonnable de s’attendre à ce que la personne comprenne la nature, le but et les conséquences de la collecte, de l’utilisation ou de la communication envisagée. Nous recommandons également que les organisations soient tenues de présenter les renseignements dans un format compréhensible et facilement accessible, en utilisant un langage clair et simple. Le CPVP ne recommande pas aux organisations de donner un avis écrit aux personnes, de fournir un avis distinct des autres termes juridiques ou d’aider les personnes à comprendre. Exceptions au consentement Dans notre mémoire, nous soulignons qu’il est essentiel que les exceptions au consentement soient définies clairement et qu’elles correspondent aux attentes d’une personne. Nous faisons des recommandations sur les exceptions relatives à une activité qui prévient ou réduit le « risque commercial » de l’organisation, et lorsqu’il serait impossible d’obtenir le consentement de la personne en raison de l’absence d’une relation directe entre l’organisation et la personne. Dans le premier cas, nous recommandons de limiter la portée de l’exception relative au « risque commercial ». Dans le dernier cas, nous recommandons que le paragraphe soit abrogé, et que soit : les intérêts commerciaux légitimes qui auraient été permis par l’alinéa 18(2)e) soient autorisés au moyen d’une exception au consentement explicite et connue; ou une exception au consentement fondée sur des intérêts commerciaux légitimes peut être présentée si elle s’accompagne d’un régime fondé sur les droits et de conditions préalables, comme la réalisation d’une évaluation des facteurs relatifs à la vie privée (EFVP) et la présence de critères de pondération, et si le contrôle de son application est possible grâce à des vérifications de conformité proactives effectuées par le CPVP.	Certains aspects de nos recommandations sont conformes (par exemple, l’inclusion de l’« exigence de compréhension » et la position des deux commissariats selon laquelle certaines des exceptions ont une portée trop large). Toutefois, nos recommandations diffèrent de celles de l’OIPC, qui recommande d’exiger un avis écrit et distinct des autres termes juridiques. L’OIPC exhorte également le Comité spécial à ne pas recommander l’adoption des nouvelles exceptions au consentement prévues au projet de loi C-11 et à surveiller l’évolution du projet de loi, alors que le CPVP cherche à obtenir des modifications ciblées ou le retrait d’exceptions précises.
4	Prise de décision automatisée La LPVPC exige des organisations qu’elles donnent une explication générale de l’usage qu’elle fait des systèmes décisionnels automatisés pour faire des prédictions, formuler des recommandations ou prendre des décisions qui pourraient avoir une incidence importante sur les personnes concernées. De plus, les organisations doivent, sur demande, fournir à la personne concernée une explication et lui préciser la façon dont les renseignements personnels ont été obtenus.	L’OIPC déclare que les dispositions relatives à l’IA contenues dans la LPVPC ne répondent pas aux exigences, puisque la LPVPC exige seulement des organisations qu’elles fournissent une « explication générale » de leur utilisation de l’IA dans leurs politiques et procédures, y compris lorsque son utilisation pourrait avoir des répercussions importantes sur les personnes. Ces dispositions font courir le risque que des renseignements importants soient dissimulés dans les communications standards liées à la transparence ou qu’elles ne soient pas accompagnées de détails précis propres au cas dont les personnes ont raisonnablement besoin pour protéger leur vie privée et leurs autres droits. Au lieu d’adopter l’approche de l’IA proposée dans la LPVPC, l’OIPC a réaffirmé sa recommandation sur l’IA provenant d’un exposé antérieur qui comprend la modification de la PIPA pour exiger qu’une organisation utilisant le traitement automatisé : informe une personne qu’un traitement automatisé sera utilisé pour prendre une décision la concernant; sur demande, communique les raisons et les critères utilisés; reçoive les objections à l’utilisation d’un traitement automatisé par une personne au sein de l’organisation qui a le pouvoir d’examiner et de modifier la décision.	Nous recommandons qu’une norme relative au niveau d’explication requis en vertu de la LPVPC soit améliorée pour permettre aux personnes de comprendre : la nature de la décision dont ils font l’objet et les renseignements personnels pertinents sur lesquels cette décision est fondée; les règles qui définissent le traitement et les principales caractéristiques de la décision. Lorsque les secrets commerciaux empêchent de fournir une telle explication, qu’au moins les éléments suivants soient communiqués : (i) le type de renseignements personnels recueillis ou utilisés; (ii) la raison pour laquelle ces renseignements sont pertinents; (iii) leurs conséquences prévisibles sur la personne. De plus, nous recommandons qu’un droit de contester les décisions automatisées soit inclus dans la LPVPC.	De façon générale, le mémoire de l’OIPC est conforme à nos recommandations.
5	Droit à l’oubli Les organisations doivent éliminer les renseignements personnels qu’ils ont recueillis auprès de la personne concernée, sur demande écrite de cette dernière (sous réserve d’exceptions).	L’OIPC recommande l’adoption d’un droit positif pour les personnes d’exiger l’élimination de leurs renseignements personnels (par opposition à l’obligation « passive » actuelle de la PIPA à laquelle sont soumises les organisations de détruire les renseignements personnels ou de les rendre impossibles à identifier lorsque la conservation de ces renseignements n’est plus justifiée). L’OIPC recommande également au gouvernement de la Colombie-Britannique de continuer de suivre l’évolution du domaine du droit à l’oubli, afin de s’assurer que la PIPA continue de protéger les personnes contre les conséquences de l’utilisation ou de la communication de renseignements personnels périmés, inexacts ou incomplets (y compris par l’indexation des moteurs de recherche sur Internet).	Nous soutenons l’inclusion de la capacité expresse pour les personnes de demander la suppression des renseignements personnels, mais nous trouvons que sa portée est inutilement limitée puisque le paragraphe 55(1) ne fait référence qu’aux renseignements recueillis auprès de la personne. Nous recommandons qu’elle soit élargie pour inclure tous les renseignements personnels détenus par une organisation au sujet de la personne, à condition de tenir compte des motifs supplémentaires de refus. Nous recommandons également au Parlement d’édicter un droit clair et explicite en ce qui concerne la désindexation ou le retrait des renseignements personnels des résultats de recherche et autres sources en ligne.	Les recommandations de l’OIPC rejoignent les nôtres, bien que les nôtres aillent plus loin en préconisant un droit explicite à la désindexation et un élargissement du droit de demander la suppression.
6	Droit à la portabilité des données Sur demande, les organisations doivent communiquer les renseignements personnels recueillis auprès d’une personne à une organisation désignée par cette dernière, si les deux sont soumises à un cadre de mobilité des données prévu par règlement.	L’OIPC recommande que la PIPA soit modifiée pour accorder aux personnes le droit d’obtenir gratuitement leurs renseignements personnels électroniques auprès d’une organisation, dans un format structuré, couramment utilisé et lisible par machine. Les organisations devraient également être tenues de transférer, sur demande, les renseignements personnels à une organisation désignée par la personne concernée s’il est techniquement possible de le faire, sans que cela n’entraîne de coûts excessifs pour l’organisation (pourvu que cela ne fasse pas obstacle à une question d’application de la loi ou ne porte pas atteinte aux droits de l’organisation). L’OIPC reconnaît que le gouvernement de la Colombie-Britannique devra probablement travailler en étroite collaboration avec le gouvernement fédéral afin d’harmoniser les règlements de la LPVPC visant un cadre de portabilité des données et les dispositions de la PIPA sur cette question.	Dans l’ensemble, le CPVP soutient l’adoption de dispositions relatives à la mobilité des données dans la LPVPC; toutefois, nous recommandons d’apporter certaines modifications afin de mieux harmoniser le projet de loi avec les modèles internationaux, notamment : qu’il s’applique à tous les renseignements personnels sur une personne, y compris les renseignements dérivés ou déduits; qu’un rôle clair de consultation ou d’approbation soit établi pour le CPVP en ce qui concerne les cadres de mobilité des données.	Les recommandations de l’OIPC s’harmonisent généralement avec les nôtres, bien qu’elles soient plus précises (par exemple : format structuré, couramment utilisé, lisible par machine, sans frais), tandis que le modèle de la LPVPC sera largement déterminé par règlement.
7	Sanctions administratives pécuniaires (SAP) En vertu de la LPVPC, si le commissaire constate qu’une organisation a enfreint certaines dispositions, il doit décider s’il doit recommander au Tribunal d’imposer une sanction à l’organisation, en tenant compte de certains facteurs.	Quoique l’OIPC demande la création d’un cadre d’application considérablement amélioré, y compris la possibilité pour le commissaire d’imposer des SAP, l’OIPC n’appuie pas l’approche de la LPVPC en matière d’imposition de SAP par l’intermédiaire de la création d’un nouveau tribunal établi par la loi^{Note de bas de page 4}. L’OIPCe Commissariat de la Colombie-Britannique fait valoir que « [la] création d’un nouvel organisme chargé de remplir ce rôle est sans précédent dans le monde de la surveillance de la vie privée au Canada et dans le contexte de l’UE... sans émettre de commentaires sur ce choix politique dans le contexte fédéral, la Colombie-Britannique ne devrait pas suivre ce modèle »^{Note de bas de page 5}. Le Commissariat de la Colombie-Britannique recommande que le commissaire soit en mesure d’imposer des SAP, car le Commissariat de la Colombie-Britannique a déjà une vaste expérience de l’administration des SAP en vertu d’une autre loi^{Note de bas de page 6} et étant donné « qu’il n’y a aucune raison de penser qu’une telle mesure est requise en ce qui concerne la conception institutionnelle ou la nécessité, dans cette province »^{Note de bas de page 7}.	Nous recommandons fortement de ne pas créer le Tribunal de la protection des renseignements personnels et des données et d’accorder au Commissariat du Canada le pouvoir d’imposer des SAP à la fin des enquêtes. Nous recommandons que la LPVPC soit modifiée pour élargir l’éventail des violations pour lesquelles des SAP peuvent être imposées, ce qui pourrait englober toutes les violations en vertu de la partie 1. La LPVPC devrait également être modifiée pour intégrer des dispositions semblables à celles de la Data Protection Act du Royaume-Uni, en vertu desquelles, le cas échéant, le commissaire pourrait présenter un avis d’exécution à une organisation, précisant la nature d’une violation, avant de procéder à la recommandation ou à l’imposition d’une sanction. Nous formulons également diverses recommandations relatives aux facteurs devant faire l’objet d’un examen au moment de recommander l’imposition d’une sanction et à la possibilité de recommander des SAP à l’intention des organisations qui se conforment à un programme de certification.	Les recommandations du Commissariat de la Colombie-Britannique sont fortement harmonisées avec les nôtres.
8	Accords de conformité Le commissaire peut conclure un accord de conformité avec une organisation si, au cours d’une enquête, il a des motifs raisonnables de croire que l’organisation a enfreint, est sur le point d’enfreindre ou est susceptible d’enfreindre la Loi.	Le Commissariat de la Colombie-Britannique recommande que la PIPA soit modifiée afin de permettre au commissaire de conclure un accord de conformité avec une organisation selon les conditions qu’il juge convenables; accord devant être appliqué par le tribunal en cas de non-conformité.	Dans nos observations, nous sommes d’avis que le système d’accord de conformité pourrait être amélioré par l’intermédiaire de la modification de la LPVPC pour permettre ce qui suit : la résolution des demandes de renseignements par l’intermédiaire d’accords de conformité; l’enregistrement des accords de conformité auprès du tribunal, les rendant ainsi équivalents à une ordonnance du tribunal; l’ajout du paiement des SAP et de toutes les autres mesures négociées comme conditions possibles dans les accords de conformité.	Les recommandations du Commissariat de la Colombie-Britannique sont semblables aux nôtres, bien que les nôtres soient plus détaillées. Cette différence témoigne probablement à la fois de l’absence d’accords de conformité dans la PIPA et notre propre expérience en la matière, ainsi que la nécessité d’examiner leur interaction avec d’autres nouvelles mesures d’exécution proposées dans le projet de loi.
9	Amélioration de la mise en commun des renseignements réglementaires et de la coopération Le Commissariat du Canada peut communiquer certains renseignements à ses homologues internationaux.	Le Commissariat de la Colombie-Britannique recommande que la PIPA soit modifiée afin de permettre explicitement au commissaire de conclure des accords de mise en commun des renseignements et de coopération avec des organismes étrangers de réglementation en matière de protection des renseignements personnels.	La LPVPC confère au Commissariat du Canada le pouvoir de communiquer des renseignements à des institutions internationales. Nos commentaires soulignent l’importance de ce travail. Nos recommandations ne concernent que notre collaboration avec les institutions nationales.	La recommandation du Commissariat de la Colombie-Britannique est conforme à l’accent que nous mettons sur l’importance de collaborer avec les organismes de réglementation internationaux.
10	Renforcement et précision des pouvoirs de surveillance Dispositions pertinentes : Plaintes émanant du commissaire, paragraphe 82(2) Ordonnances de conformité : paragraphe 92(2)	Le Commissariat de la Colombie-Britannique recommande que les pouvoirs d’exécution du commissaire soient « complètement remaniés » pour s’harmoniser avec la Freedom of Information and Protection of Privacy Act. Au minimum, la PIPA devrait être modifiée pour : supprimer le seuil des « motifs raisonnables » pour les audits ou les enquêtes découlant du commissaire; préciser le pouvoir d’ordonnance du commissaire dans le cadre des enquêtes découlant du commissaire; et permettre au commissaire de déposer des ordonnances devant les tribunaux. Le Commissariat de la Colombie-Britannique affirme que les éléments proposés de la LPVPC renforceront le cadre de surveillance fédéral (à l’exception de la création du Tribunal, indiquée précédemment).	Nous recommandons vivement la suppression du seuil des « motifs raisonnables » pour l’ouverture d’une enquête. En ce qui concerne les pouvoirs d’ordonnance du Commissariat du Canada, nous recommandons de supprimer une phrase qui stipule que des ordonnances ne peuvent être prises que « dans la mesure où cela est raisonnablement nécessaire pour assurer la conformité avec la présente loi », ce qui ne figure pas dans la PIPA. Nous recommandons également l’ajout d’un paragraphe permettant au Commissariat du Canada d’ordonner à une organisation de « prendre toute mesure qui permette aux individus d’être indemnisés pour les préjudices subis, d’ordre financier ou autre, résultant d’une atteinte ou d’une violation des mesures de sécurité exigées par la loi ».	La recommandation du Commissariat de la Colombie-Britannique en ce qui concerne le seuil des « motifs raisonnables » pour ouvrir une enquête est grandement semblable à la nôtre.
11	Précision de la relation entre la PIPA et la LPRPDE	Le Commissariat de la Colombie-Britannique recommande de modifier la PIPA pour l’harmoniser avec la PIPA de l’Alberta, en abrogeant la restriction liée à l’application de la PIPA lorsque la LPRPDE s’applique.	Cet élément ne figure pas dans nos observations.	S. O.
12	Privilège juridique et accès des personnes	Le Commissariat de la Colombie-Britannique répond aux recommandations de l’Association du Barreau canadien (Division de la Colombie-Britannique) et de la Law Society of BC visant à modifier la PIPA afin de supprimer le rôle du commissaire qui doit décider, sous la supervision du tribunal, si la revendication du privilège procureur-client d’une organisation a été établie. Le Commissariat de la Colombie-Britannique recommande de ne pas apporter de telles modifications. Il ne faut pas non plus supprimer la possibilité pour le commissaire de consulter des documents prétendument visés par le secret professionnel entre l’avocat et son client, en cas de nécessité absolue.	Le Commissariat du Canada recommande que le projet de loi C-11 soit modifié afin de nous permettre, au moins dans le cas des plaintes relatives à l’accès où le privilège est invoqué, de demander et de recevoir des renseignements assujettis au secret professionnel des avocats afin d’évaluer les demandes d’exemptions statutaires dans le contexte des plaintes relatives à l’accès. Nous faisons valoir que des pouvoirs semblables sont prévus en vertu de la PIPA de la Colombie-Britannique.	La recommandation du Commissariat de la Colombie-Britannique est semblable à la nôtre.

Notes de bas de page

Note de bas de page 1

Cet examen fait suite à un examen (en anglais seulement) précédemment commencé au début de 2020, mais qui a pris fin en raison des élections générales et de la dissolution du Parlement en Colombie-Britannique à l’automne 2020.

Retour à la référence de la note de bas de page 1

Note de bas de page 2

Ibid.

Retour à la référence de la note de bas de page 2

Note de bas de page 3