Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Fiches d’enjeu, examen de la Loi sur la protection des renseignements personnels

Table des matières

Déclaration obligatoire des atteintes à la vie privée

Fournisseur de services

Consentement valable

Exceptions en matière de consentement

Prise de décision automatisée

Droit à l’oubli

Droit à la portabilité des données

Sanctions administratives pécuniaires

Pouvoirs de rendre des ordonnances

Accords de conformité

Amélioration de l’échange d’information et de la coopération en matière de réglementation

Pouvoirs d’application de la loi

Privilège juridique et accès individuel

Évolutivité (PME)

Déclaration obligatoire des atteintes à la vie privée - Recommandation 1 de l’OIPC

Messages clés

  • La déclaration obligatoire des atteintes à la vie privée améliore la transparence et la responsabilisation et permet de garantir que les personnes soient mis au courant lorsque leurs renseignements ont été compromis, afin qu’elles puissent prendre des mesures pour se protéger.
  • Nous recommandons que le projet de loi C-11 soit modifié de façon à obliger les organisations à signaler les incidents de confidentialité « dans les meilleurs délais », mais au plus tard dans les sept jours suivant la prise de connaissance de l’incident.
  • Les organisations ne peuvent pas être tenues responsables comme il se doit quand 40 % des rapports sont soumis plus de trois mois après l’atteinte.
  • Le RGPD comporte des exigences semblables : les contrôleurs doivent signaler les violations « dans les meilleurs délais » et, lorsque c’est possible, dans les 72 heures. Les personnes concernées doivent être notifiées dans les meilleurs délais lorsqu’une violation est susceptible d’engendrer un risque élevé pour les droits.

Contexte

  • Le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique [Office of the Information and Privacy Commissioner for British Columbia (OIPC)] recommande que la LPRP soit modifiée de manière à :
    • Obliger les organisations à aviser les personnes touchées et le commissaire de toute perte ou communication non autorisée de renseignements personnels ou de tout accès non autorisé à ceux-ci quand il est raisonnable de croire qu’il existe un risque réel de préjudice grave.
    • Autoriser le commissaire à exiger d’une organisation qu’elle avise les personnes touchées si elle ne l’a pas fait.
    • Inclure des exigences relatives au moment de l’avis, au contenu des avis, aux renseignements à l’appui qui doivent être fournis à l’OIPC et aux fonctions de tenue de dossiers.
  • L’OIPC insiste sur le fait que les modifications devraient être rédigées de manière à s’harmoniser le plus possible avec les dispositions de la PIPA de l’Alberta et de la LPRPDE.
  • La déclaration obligatoire des atteintes à la vie privée sous le régime de la LPRPDE est entrée en vigueur en 2018. Au cours de la première année, les rapports à notre commissariat ont augmenté de près de 500 %. Cela a aussi mené à des enquêtes substantielles, comme celle de Desjardins.

Préparé par : PRAP

Fournisseur de services - Recommandation 2 de l’OIPC

Messages clés

  • Le projet de loi C-11 oblige les organisations qui transfèrent des renseignements à veiller, contractuellement ou autrement, à ce que le fournisseur offre « une protection équivalente » à celle exigée sous le régime de la Loi. Dans l’ensemble, ce régime est raisonnable.
  • Cependant, il serait utile d’ajouter des détails ou de faire des modifications.
    • Par exemple, certaines dispositions ne s’appliquent qu’aux renseignements « transférés » aux fins de traitement. Les règles devraient également s’appliquer quand les fournisseurs de services recueillent des renseignements personnels au nom du contrôleur.
  • De plus, nous avons recommandé que le projet de loi C-11 fasse une distinction entre les fournisseurs de services nationaux et internationaux et que les exigences organisationnelles concernant la circulation transfrontalière des données soient énoncées de façon explicite et distincte.

Contexte

  • À l’heure actuelle, la Personal Information Protection Act (PIPA) ne tient pas expressément les organisations responsables des renseignements personnels qu’elles transfèrent à un fournisseur de services.
  • L’OIPC appuie l’approche du projet de loi C-11 et recommande que la PIPA soit modifiée pour :
    • indiquer que les organisations sont responsables des renseignements personnels qu’elles transfèrent à un tiers pour le traitement ou la prestation de services à l’organisation qui effectue le transfert ou en son nom;
    • obliger les organisations à utiliser des moyens contractuels ou autres pour assurer la conformité à la PIPA ou pour fournir un degré de protection comparable.
  • En vertu du RGPD, les contrôleurs ne doivent utiliser que des processeurs qui garantissent que le traitement répondra aux exigences du RGPD. Ils doivent avoir mis en place des mesures techniques et organisationnelles et le traitement doit être régi par un contrat ou un autre acte juridique.

Préparé par : PRAP

Consentement valable - Recommandation 3 de l’OIPC

Messages clés

  • Le consentement éclairé et valable est un élément essentiel de la LPRPDE.
  • La loi exige que les organisations donnent un avis de façon à ce que les personnes comprennent la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication de renseignements personnels.
  • L’exigence liées à la « compréhension », qui est essentielle à la validité du consentement, est visiblement absente du projet de loi C-11. Le projet de loi cherche plutôt à donner aux consommateurs un plus grand contrôle en prescrivant les éléments qui doivent figurer dans un avis de confidentialité, en langage clair.
  • En supprimant l’exigence liée à la compréhension, la Loi sur la protection de la vie privée des consommateurs (LPVPC) n’atteint pas son objectif de donner aux particuliers un plus grand contrôle sur leurs renseignements personnels; elle en donne moins.

Contexte

  • À l’heure actuelle, la PIPA exige que les organisations fournissent un avis, sous une forme que la personne peut raisonnablement comprendre, selon lequel elle a l’intention de recueillir, d’utiliser ou de communiquer les renseignements personnels de la personne à des fins précisées.
  • L’OIPC recommande que la PIPA :
    • exige que les organisations donnent un avis écrit, à moins que le consentement ne soit implicite;
    • exige que les organisations fournissent un avis complet, précis, clair et simple de toutes les fins auxquelles les renseignements personnels des personnes seront recueillis, utilisés et communiqués, de sorte qu’il soit raisonnable de s’attendre à ce qu’une personne comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication de ces renseignements;
    • exige des organisations qu’elles fournissent un avis distinct des autres documents juridiques et qu’elles aident toute personne qui en fait la demande.
  • La LPRPDE, les lois de l’Alberta et du Québec et le RGPD stipulent que, pour que le consentement soit valide, il doit être raisonnable de s’attendre à ce que les personnes comprennent la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles elles consentent.

Préparé par : PRAP

Exceptions en matière de consentement - Recommandation 3 de l’OIPC

Messages clés

  • Bien que plusieurs des nouvelles exceptions en matière de consentement prévues dans le projet de loi C-11 soient raisonnables, d’autres sont trop générales et ne compensent pas la souplesse accrue par une responsabilisation accrue.
  • Par exemple, certaines activités commerciales pour lesquelles il y a une exception en matière de consentement ne sont pas clairement définies et ne correspondraient pas aux attentes raisonnables d’une personne.
  • Une exception de consentement pour les « risques commerciaux » non définis ouvre la porte à une interprétation large (comme la perte de revenus). De plus, une exception pour les situations où il n’est pas possible d’obtenir un consentement devrait être abrogée, car elle est inappropriée.
  • Une exception relative aux « intérêts commerciaux légitimes » pourrait être accompagnée d’un critère d’équilibre, semblable à celui que l’on trouve dans le RGPD, pour évaluer le but, la nécessité et le caractère proportionnel des mesures et tenir compte des intérêts et des droits des personnes.

Contexte

  • Le paragraphe 18(1) de la LPVPC permet aux organisations de recueillir ou d’utiliser des renseignements personnels à leur insu et sans leur consentement pour certaines activités commerciales. La disposition précise que ces collectes et utilisations devraient être raisonnablement attendues et non dans le but d’influencer le comportement ou les décisions d’une personne.
  • L’OIPC exhorte le Comité à ne pas recommander l’adoption de toutes les exceptions en matière de consentement de la LPVPC. Il recommande plutôt que le gouvernement surveille les progrès réalisés dans ce dossier et affirme également que le contrôle que les personnes exercent sur leurs propres renseignements personnels est, par consentement, un principe fondamental de la PIPA.
  • Dans notre document sur l’IA (novembre 2020) et notre présentation sur le projet de loi C-11, nous recommandons une exception pour les « intérêts commerciaux légitimes », qui devrait être accompagnée d’un régime fondé sur les droits, ainsi que des mesures de protection et de surveillance appropriées.

Préparé par : PRAP

Prise de décision automatisée - Recommandation 4 de l’OIPC

Messages clés

  • Il est encourageant de voir que des dispositions précises de la LPVPC traitent des risques que présente la prise de décision automatisée.
  • Le projet de loi C-11 comprend certaines propositions tirées du document du CPVP sur la réglementation de l’intelligence artificielle, comme la définition de la prise de décision automatisée, l’adoption de la souplesse pour l’utilisation de renseignements dépersonnalisés et la capacité de recevoir une explication pour les décisions automatisées.
  • Toutefois, des amendements au projet de loi C-11 sont nécessaires pour indiquer une norme plus claire pour de telles explications, pour créer un droit de contester les décisions automatisées et pour renforcer la responsabilisation grâce à la protection de la vie privée à l’étape de la conception et à la traçabilité des algorithmes.

Contexte

  • L’OIPC est d’avis que les dispositions du projet de loi C-11 ne sont pas à la hauteur de ce qui est nécessaire, puisqu’elles exigent seulement que les organisations fournissent une « explication générale » dans leurs politiques et procédures, et qu’il est donc possible que les entreprises camouflent des renseignements importants ou qu’ils dépourvoient ces renseignements de détails précis dont les personnes ont raisonnablement besoin pour protéger leurs droits.
  • L’OIPC recommande que la PIPA soit modifiée pour exiger que les organisations qui utilisent le traitement automatisé : (1) avisent les personnes que le traitement automatisé sera utilisé pour prendre une décision à leur sujet; (2) communiquent les raisons et les critères utilisés, sur demande; et (3) veillent à ce que les objections provenant de particuliers soient reçues par une personne de l’organisation ayant le pouvoir d’examiner et de modifier la décision.
  • Dans notre mémoire sur le projet de loi C-11, nous indiquons qu’à notre avis, le niveau d’explication exigé par la LPVPC devrait être amélioré pour inclure : la nature de la décision, les renseignements personnels pertinents sur lesquels on s’appuie, les règles qui définissent le traitement et les principales caractéristiques de la décision. Lorsque les secrets commerciaux empêchent une telle explication, les renseignements suivants devraient à tout le moins être fournis  : (i) le type de renseignements personnels recueillis ou utilisés; (ii) les raisons pour lesquelles les renseignements sont pertinents; et (iii) leur incidence probable sur la personne. Il s’agit de facteurs suggérés par l’ICO du Royaume-Uni.
  • Le droit de contester le recours à la prise de décision automatisée serait conforme à ce qui se fait dans d’autres administrations, y compris dans le RGPD et dans le projet de loi 64 du Québec.

Préparé par : PRAP

Droit à l’oubli - Recommandation 5 de l’OIPC

Messages clés

  • Nous appuyons le droit d’une personne de demander la suppression de ses renseignements personnels prévu dans le projet de loi C-11. Toutefois, l’application, qui y est restreinte aux renseignements recueillis auprès d’une personne devrait être étendue à tous les renseignements sur la personne, conformément à l’approche adoptée dans le RGPD.
  • Le projet de loi C-11 ne traite pas du déréférencement des moteurs de recherche ou du droit des particuliers de demander la suppression de renseignements préjudiciables publiés par autrui.
  • Un droit clair et explicite en matière de désindexation ou de retrait de renseignements personnels des résultats de recherche et d’autres sources en ligne est nécessaire; le projet de loi 64 du Québec est un modèle utile.

Contexte

  • La PIPA oblige une organisation à détruire des renseignements personnels ou à les rendre non identifiables, dès qu’il est raisonnable de supposer que les fins pour lesquelles les renseignements personnels ont été recueillis ne sont plus visées par leur conservation et que la conservation n’est pas nécessaire à des fins juridiques ou commerciales.
  • L’OIPC est d’accord avec la création par la LPVPC d’un droit pour les particuliers d’obliger les organisations à éliminer leurs renseignements personnels et recommande que le gouvernement de la C.-B. continue de surveiller l’évolution du « droit à l’oubli ».
  • L’article 28.1 du projet de loi 64 crée un droit de désindexer ou de retirer des renseignements en ligne lorsque : la diffusion de ce renseignement lui cause un préjudice grave relatif au droit au respect de sa réputation ou de sa vie privée; ce préjudice est manifestement supérieur à l’intérêt du public de connaître ce renseignement ou à l’intérêt de toute personne de s’exprimer librement et la cessation de la diffusion, la réindexation ou la désindexation demandée n’excède pas ce qui est nécessaire pour éviter la perpétuation du préjudice.
  • Les tribunaux sont actuellement saisis de la question de savoir si le droit au désindexation existe. Dans l’arrêt Caplan c. Atas, la Cour supérieure de l’Ontario affirme que la réglementation de la parole comporte le risque d’une surréglementation, voire d’une tyrannie, tandis que l’absence de réglementation entraîne un risque d’anarchie et de désintégration de l’ordre.

Préparé par : PRAP

Droit à la portabilité des données - Recommandation 6 de l’OIPC

Messages clés

  • Le projet de loi C-11 prévoit un droit à la mobilité des données qui permet à une personne de demander à une organisation de communiquer à une autre organisation désignée les renseignements personnels qu’elle a recueillis, si les deux sont assujetties à un cadre de mobilité.
  • Nous recommandons que ce droit s’applique à tous les renseignements personnels d’une personne, y compris les renseignements dérivés ou inférés.
  • Nous serions également favorables à l’élargissement du droit pour permettre aux particuliers, quand cela est techniquement possible, de recevoir cette information dans un format structuré, couramment utilisé et lisible par machine, comme l’a recommandé mon collègue de la Colombie-Britannique.
  • Cela permettrait d’harmoniser le projet de loi C-11 avec d’autres lois internationales et aiderait à maximiser le contrôle qu’ont les personnes sur leurs renseignements personnels.

Contexte

  • En Australie, la Consumer Data Right Act établit un processus par lequel le gouvernement désigne les secteurs qui sont assujettis à la mobilité des données. Cette loi énonce des exigences selon lesquelles le commissaire à l’information doit être consulté quant à la désignation des secteurs et à la conception des règles et prévoit également que le commissaire peut recommander des secteurs à désigner. De plus, la loi précise que les données dérivées sont assujetties à des obligations de mobilité.
  • Le droit à la portabilité des données en vertu du RGPD (article 20) et du projet de loi 64 (article 112) ne couvre que les données lorsque le traitement est effectué par des moyens automatisés. Par conséquent, le droit des particuliers de recevoir ces renseignements dans un format lisible par machine est facile à respecter étant donné que le traitement est électronique. Le RGPD et le projet de loi 64 exigent que les données soient fournies dans un format lisible par machine.
  • L’OIPC recommande que la PIPA soit modifiée pour permettre aux particuliers de recevoir leurs renseignements personnels dans un format structuré, couramment utilisé et lisible par machine. Étant donné que le droit à la mobilité des données prévu dans le projet de loi C-11 s’applique à toutes les données recueillies, et pas seulement aux données recueillies par voie électronique, une approche semblable à l’amendement du projet de loi C-11 harmoniserait les lois du Canada avec les normes internationales pour les droits modernes en matière de données.

Préparé par : PRAP

Sanctions administratives pécuniaires/tribunal - Recommandation 7 de l’OIPC

Messages clés

  • Les restrictions imposées par le projet de loi C-11 sur l’imposition directe d’une sanction administrative pécuniaire et l’ajout d’un tribunal d’appel administratif limiteront l’accès des particuliers à des recours rapides et efficaces.
  • Nous avons demandé que des amendements soient apportées au projet de loi C-11 afin d’élargir considérablement l’éventail des infractions pour lesquelles des SAP peuvent être imposées, lequel pourrait englober toutes les infractions prévues à la partie 1 du projet de loi.
  • En ce qui concerne un tribunal, le CPVP a indiqué qu’il est favorable à l’obligation de rendre compte de ses actes, mais laisse entendre respectueusement qu’un tribunal est inutile pour assurer une plus grande responsabilisation et équité – un rôle déjà joué par les tribunaux.

Contexte

  • L’OIPC n’appuie pas l’approche du projet de loi C-11 à l’égard des SAP et d’un tribunal. L’OIPC a recommandé que la PIPA permette au commissaire d’imposer une sanction pécuniaire et que ce pouvoir soit assorti de dispositions rigoureuses en matière d’application régulière de la loi et de surveillance judiciaire.
    • En ce qui concerne les tribunaux, l’OIPC a déclaré dans ses observations que la création d’un nouvel organisme chargé de s’acquitter de ce rôle est sans précédent dans le monde de la surveillance de la protection des renseignements personnels au Canada et dans le Contexte de l’UE. Ce modèle ne devrait absolument pas être suivi en Colombie-Britannique.
  • L’OIPC recommande également que le commissaire puisse imposer des SAP en vertu de la PIPA, car il a déjà de l’expérience dans l’administration de SAP en vertu de la Lobbying Transparency Act de la Colombie-Britannique. Il a déclaré qu’il n’y a pas de raison de croire qu’une telle mesure est nécessaire sur le plan de la conception institutionnelle ou de la nécessité dans cette province.
  • Le Canada, l’Australie, la Nouvelle-Zélande, le Royaume-Uni et l’Union européenne n’ont pas de tribunal administratif qui se consacre uniquement à la protection de la vie privée (c.-à-d. et non à la fois à la protection de la vie privée et à l’accès à l’information).

Préparé par : PRAP

Pouvoirs de rendre des ordonnances - Recommandation 7 de l’OIPC

Messages clés

  • Bien que la PIPA prévoit un pouvoir de rendre des ordonnances, ce n’est pas le cas de la LPRPDE.
  • Le projet de loi C-11 établit de nouveaux pouvoirs de rendre des ordonnances pour le CPVP, mais le critère « dans la mesure où cela est raisonnablement nécessaire pour assurer la conformité avec la présente loi » est exceptionnel et inutile.
  • Nous avons recommandé que ce critère soit supprimé pour harmoniser le projet de loi C-11 avec la PIPA et d’autres lois nationales et internationales sur la protection des renseignements personnels.

Contexte

  • À l’heure actuelle, l’OIPC a le pouvoir de rendre des ordonnances en vertu de l’article 52 de la PIPA. Dans son mémoire, l’OIPC a laissé entendre que son pouvoir de rendre des ordonnances est « insuffisant » parce qu’il n’a pas la capacité d’imposer des sanctions financières, et les Britanno-Colombiens s’attendent à ce que leur droit à la vie privée soit protégé par des sanctions concrètes.
  • Notre commissariat est d’avis que les pouvoirs précis de rendre des ordonnances prévus au paragraphe 92(2) du projet de loi C-11 sont assortis de critères suffisants.
  • Le critère « dans la mesure où cela est raisonnablement nécessaire pour assurer la conformité avec la présente loi » utilisé dans le projet de loi C-11 ne figure pas dans les lois sur la protection des renseignements personnels dans le secteur privé de l’Alberta, de la Colombie-Britannique ou du Québec, ni dans la Data Protection Act de 2018 du Royaume-Uni, la Privacy Act de 2020 de la Nouvelle-Zélande et la Data Protection Act de 2018 de l’Irlande.
  • Dans son mémoire, le CPVP demande également la capacité d’ordonner à une organisation de prendre toute mesure qui permette aux individus d’être indemnisés pour les préjudices subis, d’ordre financier ou autre, résultant d’une atteinte ou d’une violation des mesures de sécurité exigées par la loi.

Préparé par : PRAP

Accords de conformité - Recommandation 8 de l’OIPC

Messages clés

  • Le CPVP considère les accords de conformité comme un moyen important de régler les questions efficacement.
  • Cela dit, nous croyons que les accords de conformité prévus dans le projet de loi C-11 doivent être modifiés pour en améliorer l’efficacité.
  • Par exemple, le projet de loi C-11 devrait permettre l’ajout aux accords de conformité du paiement d’une sanction administrative pécuniaire convenue et d’autres mesures négociées.
  • Nous avons également demandé que le projet de loi C-11 soit amendé de manière à permettre le règlement des demandes de renseignements au moyen d’un accord de conformité ou d’un autre règlement négocié.

Contexte

  • L’OIPC a recommandé que la PIPA soit modifiée pour permettre au commissaire de conclure un accord de conformité avec une organisation aux conditions qu’il juge appropriées, avec application par le tribunal en cas de non-conformité.
  • Bien que notre commissariat ait déjà le pouvoir de conclure des accords de conformité en vertu de la LPRPDE, et que ce pouvoir persiste dans le projet de loi C-11, nous avons demandé que des amendements soient apportés au projet de loi C-11 pour permettre :
    • la résolution des demandes de renseignements au moyen d’accords de conformité;
    • l’enregistrement des accords de conformité auprès des tribunaux, ce qui les rend équivalents à une ordonnance du tribunal;
    • l’ajout du paiement des SAP et de toutes les autres mesures négociées à titre de modalités pouvant être incluses dans les accords de conformité.

Préparé par : PRAP

Amélioration de l’échange d’information et de la coopération en matière de réglementation - Recommandation 9 de l’OIPC

Messages clés

  • La capacité de travailler ou d’échanger des renseignements avec d’autres autorités gouvernementales est essentielle compte tenu du caractère transfrontalier et intersectoriel de l’utilisation illégale de renseignements personnels.
  • La LPRPDE et le projet de loi C-11 permettent au CPVP de conclure des accords d’échange de renseignements et des accords de coopération avec des organismes de réglementation étrangers et nationaux en matière de protection de la vie privée.
  • Le projet de loi C-11 permettrait également au CPVP de conclure des ententes avec le CRTC et le Bureau de la concurrence afin de publier des recherches et d’élaborer des procédures pour la communication de renseignements.
  • Le projet de loi C-11 doit être modifié pour permettre au CPVP de collaborer avec un plus grand nombre d’organismes de réglementation et de partenaires nationaux, notamment en permettant la collaboration avec le CRTC et le Bureau de la concurrence sur des questions officielles, y compris les examens et les enquêtes.

Contexte

  • L’OIPC recommande que la PIPA soit modifiée de façon à permettre explicitement au commissaire de conclure des accords d’échange de renseignements et de coopération avec des organismes de réglementation étrangers en matière de protection de la vie privée, ainsi qu’avec des organismes de réglementation nationaux dont les compétences se chevauchent.
  • Les recommandations du CPVP visent à nous permettre de conclure des ententes avec le Bureau de la concurrence et le Conseil de la radiodiffusion et des télécommunications canadiennes afin de collaborer dans le cadre d’examens, d’enquêtes ou d’autres questions officielles.
  • Nous avons vu des situations où, dans le cadre d’une enquête, le CPVP aurait pu tirer profit d’une collaboration avec des organismes de protection des données, comme les commissions provinciales des droits de la personne, les organismes de réglementation de l’évaluation du crédit ou le Bureau du surintendant des institutions financières.

Préparé par : PRAP

Pouvoirs d’application de la loi - Recommandation 10 de l’OIPC

Messages clés

  • Un organisme de réglementation efficace est un organisme qui peut agir de façon proactive et qui a la capacité de se fier à son expertise pour axer les mesures d’application de la loi sur les activités commerciales qui posent le plus grand risque et causent le plus de tort aux droits à la vie privée des personnes.
  • Mon commissariat demande que le projet de loi C-11 soit amendé pour nous donner le pouvoir de déposer des plaintes de façon proactive pour garantir la conformité avec la loi. Dans sa forme actuelle, le projet de loi ne permet au Commissariat à la protection de la vie privée de lancer des enquêtes que s’il existe des motifs raisonnables d’enquêter sur une affaire.
  • Notre demande de nouveaux seuils de vérification dans le projet de loi C-11 (ou d’outils d’enquête semblables) est conforme à d’autres régimes comme ceux de l’Alberta, du Québec, du RGPD, de l’Irlande, du Royaume-Uni et de l’Australie.

Contexte

  • L’OIPC recommande que les pouvoirs d’application de la loi du commissaire soient entièrement harmonisés avec ceux de la Freedom of Information and Protection of Privacy Act de la Colombie-Britannique. Au minimum, on devrait modifier la PIPA de manière à :
    • supprimer le seuil des « motifs raisonnables » pour les vérifications ou les enquêtes menées par le commissaire;
    • clarifier le pouvoir de rendre des ordonnances du commissaire dans le cadre des enquêtes qu’il lance;
    • permettre au commissaire de déposer des ordonnances devant un tribunal.
  • L’OIPC affirme que les propositions dans la LPVPC renforceront le cadre de surveillance fédéral (à l’exception notable de la création du Tribunal).

Préparé par : PRAP

Privilège juridique et accès individuel - Recommandation 12 de l’OIPC

Messages clés

  • Le CPVP croit que les organismes de réglementation devraient, au moins dans le cas de plaintes en matière d’accès à l’information où le secret professionnel est invoqué, pouvoir demander et recevoir des documents protégés par le secret professionnel de l’avocat afin d’évaluer les motifs d’exemption au titre de la loi.
  • Nous avons demandé que des amendements soient apportées au projet de loi C-11 à cet effet.
  • Des pouvoirs semblables existent actuellement en vertu de la PIPA de la C.-B., ainsi que de la PIPA de l’Alberta et de la Loi sur la protection des renseignements personnels du Canada.
  • Quand de telles capacités existent en droit, elles devraient être maintenues.

Contexte

  • L’Association du Barreau canadien (section de la Colombie-Britannique) et la Law Society of British Columbia ont demandé que des modifications soient apportées à la façon dont les revendications du secret professionnel de l’avocat sont faites en vertu de la PIPA :
    • La Law Society of British Columbia a demandé que ces revendications soient tranchées par les tribunaux, et non par le commissaire.
    • L’ABC souhaite que le commissaire ne puisse plus exiger et consulter des documents assujettis au secret professionnel de l’avocat.
  • La présentation de l’OIPC de septembre 2020 a répondu à ces appels en indiquant qu’il ne devrait pas y avoir de modifications qui :
    • élimineraient le rôle du commissaire de décider, sous surveillance judiciaire, si le fait qu’une organisation invoque le secret professionnel de l’avocat est justifié;
    • retireraient au commissaire la capacité de consulter des documents prétendument protégés par le secret professionnel quand cela est indéniablement nécessaire.
  • L’OIPC affirme que les dispositions actuelles de la PIPA assurent une protection adéquate du secret professionnel de l’avocat et que ses politiques sont justes, rigoureuses et efficaces.

Préparé par : PRAP

Évolutivité/Petites et moyennes entreprises (PME)

Messages clés

  • La modernisation des lois sur la protection des renseignements personnels aidera les PME en soutenant l’innovation, en atténuant le déficit de confiance actuel dans l’économie numérique et en facilitant la participation des PME au commerce international.
  • Le projet de loi C-11 exige que le CPVP tienne compte de facteurs comme la taille, les revenus et le volume de renseignements dans l’exercice de ses pouvoirs et de ses fonctions. Dans le cadre de notre travail, nous tenons déjà compte des réalités et de la situation des organisations, y compris des PME.
  • Certaines de nos recommandations pour le projet de loi C-11, y compris sur la protection de la vie privée dès la conception, les EFVP et la tenue de dossiers, seraient échelonnables, ce qui devrait aider les PME qui participent à des activités à faible risque.

Contexte

  • Le projet de loi C-11 contient des dispositions qui tiennent compte des PME au-delà de celles de l’article 108, notamment les suivantes :
    • 9(2) – Les exigences du programme de gestion de protection des renseignements personnels tiennent compte du volume et la nature délicate des renseignements qui relèvent d’une organisation.
    • 76-80 – Codes et programmes de certification (bien qu’ils ne soient pas explicites dans la Loi).
    • 94(5)B) – Le Tribunal doit tenir compte des répercussions sur les entreprises et la capacité de payer lorsqu’il détermine les sanctions appropriées.
    • 109(e) – Le CPVP doit fournir, sur demande, des conseils aux organisations sur leurs programmes de gestion de la vie privée.
  • Un examen du Global Innovation Index (GII) 2020 de l’Organisation mondiale de la propriété intellectuelle (OMPI) porte à croire que plusieurs des 10 pays les plus innovateurs sont assujettis à des lois modernes et récemment mises à jour sur la protection de la vie privée : 5 États membres de l’UE (Suède, Danemark, Finlande, Pays-Bas et Allemagne), en plus du Royaume-Uni, de Singapour et de la Corée du Sud. Cela montre que les administrations qui ont mis en œuvre des lois modernes sur la protection des renseignements personnels n’ont pas vu une baisse de l’innovation.

Préparé par : PRAP

Table des matières

Déclaration obligatoire des atteintes à la vie privée

Fournisseur de services

Consentement valable

Exceptions en matière de consentement

Prise de décision automatisée

Droit à l’oubli

Droit à la portabilité des données

Sanctions administratives pécuniaires

Pouvoirs de rendre des ordonnances

Accords de conformité

Amélioration de l’échange d’information et de la coopération en matière de réglementation

Pouvoirs d’application de la loi

Privilège juridique et accès individuel

Évolutivité (PME)

Date de modification :