Lettre au comité d’examen de la PIPA

Le 30 juillet 2020

M^me Rachna Singh, députée, présidente
M. Dan Ashton, député, vice-président
Comité spécial d’examen de la Loi sur la protection des renseignements personnels
a.s. Bureau des comités parlementaires
Salle 224, Édifices du Parlement
Victoria (Colombie-Britannique) V8V 1X4

Madame Singh, Monsieur Ashton,

Je vous remercie de votre invitation à participer à la consultation publique menée par le Comité spécial chargé d’examiner la Personal Information Protection Act (loi sur la protection des renseignements personnels) de la Colombie-Britannique.

En tant que Commissaire à la protection de la vie privée du Canada, je suis chargé de veiller au respect des lois fédérales canadiennes sur la protection de la vie privée dans les secteurs public et privé. La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) établit les règles selon lesquelles les entreprises privées peuvent recueillir, utiliser et communiquer des renseignements personnels dans le cadre d’activités commerciales. La LPRPDE s’applique aussi aux entreprises fédérales à l’égard des renseignements personnels des employés et des candidats à un emploi.

En général, la LPRPDE s’applique aux activités commerciales des organisations dans toutes les provinces et les territoires, à l’exception des organisations qui recueillent, utilisent ou communiquent des renseignements personnels exclusivement dans les provinces ayant leurs propres lois en matière de protection de la vie privée qui ont été déclarées essentiellement similaires à la loi fédérale. Dans ces cas, comme c’est le cas de la Personal Information Protection Act (PIPA) de la Colombie-Britannique, c’est la loi provinciale essentiellement similaire qui s’applique au lieu de la LPRPDE, même si la LPRPDE continue de s’appliquer aux entreprises fédérales et aux transferts interprovinciaux ou internationaux de renseignements personnels.

La protection de la vie privée dans l’économie numérique actuelle nécessite une coordination à l’échelle nationale et internationale. Le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique et mon bureau ont collaboré sur un certain nombre de questions, notamment la récente enquête mixte contre Facebook et Aggregate IQ, rendue possible par l’adoption d’un protocole d’entente permanent entre nos deux bureaux.^{Note de bas de page 1}

De plus, nos organisations, en partenariat avec nos homologues provinciaux et territoriaux, ont récemment publié une déclaration commune pour demander aux gouvernements de s’assurer que les applications de traçage de contacts relatives à la COVID-19 respectent les grands principes de protection de la vie privée.^{Note de bas de page 2}

Mon collègue, le commissaire Michael McEvoy, a discuté de son expérience et de son point de vue sur la réforme de la loi sur la protection des renseignements personnels de la Colombie-Britannique avec votre comité le 2 juin 2020, et je crois savoir qu’il fournira des commentaires supplémentaires cet automne. Je vous écris pour vous faire part de mon soutien aux recommandations formulées par le commissaire McEvoy et pour offrir mon expérience et mon point de vue concernant les principales mesures législatives qu’il a exposées.

Suivre le rythme

Dans son dernier rapport annuel au Parlement, mon bureau a souligné les graves lacunes de notre cadre législatif actuel en matière de protection de la vie privée.^{Note de bas de page 3} Si le Canada a déjà été un précurseur de la protection des renseignements personnels, malheureusement, d’autres pays sont désormais plus avancés que nous en la matière. D’innombrables juridictions à l’échelle mondiale ont pris des mesures pour améliorer leurs lois en matière de protection de la vie privée afin de mieux protéger leurs citoyens. Le Règlement général sur la protection des données (RGPD) de l’Union européenne (UE) est l’exemple le plus notable de la modernisation législative des dernières années, ayant fait passer la notion de protection des renseignements personnels au niveau supérieur à l’échelle mondiale.

Aux États-Unis, la California Consumer Privacy Act (loi sur la protection de la vie privée des consommateurs de la Californie) et de récentes propositions législatives en vue d’une loi fédérale complète sur la protection des données, contenant des droits réalisables pour les particuliers et des sanctions pour les entreprises qui ne respectent pas la loi, sont le signe d’un pas s’éloignant de l’autoréglementation des entreprises. Il n’y a aucune raison de ne pas protéger les Canadiens d’une manière semblable et de ne pas imposer des conséquences de la sorte aux entreprises canadiennes qui ne respectent pas la loi.

Le Canada devrait prendre des mesures sérieuses à l’échelle fédérale et provinciale pour améliorer ses lois en matière de protection de la vie privée et pour regagner sa réputation de chef de file mondial en matière de protection des renseignements personnels. Cette démarche améliorerait la protection des droits des particuliers et favoriserait la confiance à l’égard des activités commerciales, en plus de promouvoir l’interopérabilité entre les juridictions, ce qui favorise la prévisibilité et peut se solder en économies pour les entreprises canadiennes. Le Québec a récemment pris des mesures pour modifier ses lois sur la protection de la vie privée avec l’introduction du projet de loi 64, et nous espérons que cela inspirera d’autres juridictions canadiennes à prendre des mesures similaires.

Comme l’a fait remarquer le commissaire McEvoy, la crise sanitaire de la COVID-19 a rendu encore plus évidente la nécessité de disposer de lois robustes en matière de protection de la vie privée, adaptées aux besoins du numérique. La crise sanitaire actuelle a clairement montré que la technologie peut contribuer à servir des objectifs légitimes d’intérêt public, mais qu’elle peut aussi présenter de sérieux risques pour le droit à la vie privée. Nous avons besoin de lois qui fixent des limites claires quant aux utilisations autorisées des données et qui mettent en œuvre des mécanismes d’application efficaces, plutôt que de se fier au bon vouloir des entreprises pour agir de manière responsable. Ceci permettrait une innovation responsable et favoriser la confiance envers le gouvernement et les entreprises. Les individus auraient ainsi la confiance nécessaire pour participer pleinement à l’ère numérique.

Déclaration obligatoire des atteintes à la vie privée

La déclaration obligatoire des atteintes à la vie privée est un élément fondamental des lois mondiales modernes sur la protection de la vie privée, qui renforce la transparence et la responsabilité dans la manière dont les organisations du secteur privé gèrent les renseignements personnels. La notification et la déclaration des atteintes sont devenues obligatoires en 2018, aux termes de la LPRPDE. La notification obligatoire des atteintes aux personnes permet de garantir que les personnes soient informées des cas en cas de risque ou de préjudice à l’égard de leurs renseignements personnels. Les exigences en matière de tenue de registres et l’obligation de déclarer les atteintes à un commissaire à la protection de la vie privée garantissent la responsabilité et la surveillance de la gestion des atteintes et de leur prévention par les organisations.

Depuis l’entrée en vigueur de ces obligations au titre de la LPRPDE, nous avons constaté une forte augmentation des atteintes déclarées à notre bureau, ce qui est positif. La connaissance de ces atteintes, dont beaucoup se seraient produites à l’insu du Commissariat ou des personnes avant l’entrée en vigueur de ces exigences, nous permet de mieux comprendre la nature des violations de la LPRPDE et nous aide à déterminer les problèmes systémiques, les tendances et les solutions. Nous sommes également mieux préparés à élaborer des outils de sensibilisation et d’éducation pour aider à informer les Canadiens et les entreprises à atténuer les risques futurs qui en découlent.

L’expérience acquise jusqu’à présent a montré que les dispositions de la LPRPDE relatives aux atteintes à la vie privée pourraient être améliorées si elles étaient modifiées de manière à exiger des organisations qu’elles incluent une évaluation des risques d’atteinte à la vie privée et une description des mesures de sécurité dans les déclarations des atteintes à la vie privée qu’elles présentent au Commissariat. De plus, nous avons constaté que les dispositions relatives à la tenue de registres sur les atteintes dans ce domaine doivent exiger des organisations qu’elles conservent des renseignements tels que la date de l’incident, une description générale des circonstances entourant la violation, la nature des renseignements personnels en cause et un résumé de l’évaluation globale des risques pour l’organisation. Selon nous, ces informations sont essentielles pour permettre à l’organisme de réglementation de vérifier la conformité aux exigences de déclaration et de notification connexes.

Sanctions administratives pécuniaires

Comme le commissaire McEvoy, mon bureau a fait valoir qu’il est essentiel d’être habilité à infliger des sanctions administratives pécuniaires pour les transgressions de la loi. Il est impératif qu’il y ait de réelles conséquences pour les entreprises qui enfreignent la loi, ainsi que des incitations à se conformer. Nous avons constaté que les entreprises ne souhaitent pas toujours répondre aux résultats de nos enquêtes, en particulier lorsque l’omission de répondre n’entraîne pas de réelles conséquences.

Jusqu’à récemment, aucun Commissaire canadien à la protection de la vie privée n’avait le pouvoir d’imposer des sanctions administratives pécuniaires. La Loi sur la protection des renseignements personnels sur la santé (LPRPS) de l’Ontario a changé la donne et le projet de loi 64 du Québec pourrait donner à notre homologue québécois des pouvoirs encore plus étendus à cet égard. Les organismes de réglementation de la protection de la vie privée de tout le Canada ont demandé à leurs gouvernements respectifs d’inclure ces pouvoirs dans une loi modernisée sur la protection de la vie privée.

Presque partout ailleurs dans le monde, notamment dans l’Union européenne et aux États-Unis, les lois prévoient l’imposition de lourdes sanctions administratives pécuniaires par l’organisme de réglementation.

Les mécanismes d’application de la loi devraient offrir aux individus des recours rapides et efficaces et assurer une conformité générale et constante des organisations et des institutions. Un pouvoir de rendre des ordonnances et d’imposer des amendes aurait un effet sur la dynamique des échanges avec les entreprises dans le cadre d’enquêtes, ce qui mènerait à des règlements plus rapides pour le compte des Canadiens. Comme nous l’avons vu dans notre enquête sur Facebook menée avec la Colombie-Britannique, actuellement, une organisation qui se trouve en infraction avec la loi peut simplement faire fi de nos recommandations et « attendre que les choses se calment ».

Pouvoir de rendre des ordonnances

Bien que mon bureau ne dispose pas actuellement de pouvoirs de prise de décision, nous avons longtemps plaidé en faveur de la nécessité de tels pouvoirs. Les pouvoirs d’ordonnance permettraient de résoudre plus rapidement les plaintes relatives à la protection de la vie privée des Canadiens. Le temps et les efforts que notre bureau consacre à négocier avec les organisations pour mettre en œuvre des recommandations non contraignantes entraînent des retards importants dans les délais de résolution. Justice différée, justice refusée.

La possibilité pour un commissariat d’ouvrir une enquête sans plainte est une mesure clé pour la protection du droit à la vie privée. Dans un monde où les modèles d’affaires sont opaques et où les flux d’information sont de plus en plus complexes, les individus ne sont guère susceptibles de déposer une plainte s’ils ne sont pas au courant des pratiques qui peuvent leur porter préjudice. L’impossibilité d’émettre des ordonnances dans ces cas entraîne un déséquilibre dans l’application de la loi et crée une lacune dans la protection efficace du droit à la vie privée. La possibilité d’émettre une ordonnance à la fin d’une enquête lorsque cela est justifié devrait s’étendre à toutes les enquêtes qui peuvent être menées par un commissaire à la protection de la vie privée.

Conclusion

Nous vous remercions à nouveau de nous avoir donné l’occasion de participer à cette importante consultation. J’ai hâte de lire les conclusions de l’étude du Comité.

Je vous prie d’agréer, Madame Singh, Monsieur Ashton, l’expression de mes sentiments les meilleurs.