Le droit à la protection de la vie privée est reconnu au Canada comme étant un droit quasi constitutionnel. À l'échelle fédérale, deux lois offrent certaines protections en matière de protection des renseignements personnels : la Loi sur la protection des renseignements personnels, qui s'applique au secteur public, et la Loi sur la protection des renseignements personnels et documents électroniques, qui s'applique au secteur privé.
La présente étude générale offre un aperçu de ces deux lois, en s'attardant entre autres à leur historique et aux efforts déployés au fil des ans pour les moderniser, alors que la société canadienne adopte un mode de vie qui repose de plus en plus sur les technologies numériques.
Interprétée traditionnellement comme le droit d'être laissé en paix, la notion de protection de la vie privée a pris nombre de nouvelles dimensions dans le monde actuel des technologies de pointe. Les experts l'assimilent au droit de jouir d'un espace privé, d'avoir des communications privées, de ne pas être surveillé et de voir respecter le caractère sacré de son corps. Pour la plupart des gens, il s'agit avant tout de pouvoir contrôler ce que l'on sait à leur sujet et qui a accès à ces renseignements.
Dans notre pays, les lois sur la protection de la vie privée concernent principalement les renseignements personnels. S'inspirant de pratiques équitables en matière de renseignements personnels généralement acceptées, les lois fédérales sur la protection des données – nommément la Loi sur la protection des renseignements personnels (LPRP) 1 et la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) 2 – visent, dans toute la mesure possible, à permettre à chacun de décider à qui il souhaite communiquer les renseignements personnels le concernant, dans quelles circonstances et à quelles fins. Par conséquent, ce qui constitue pour quelqu'un une ingérence intolérable dans sa vie privée peut être jugé acceptable par quelqu'un d'autre.
La LPRP régit le secteur public fédéral. Elle oblige environ 260 institutions fédérales à respecter les droits de chaque personne en la matière en limitant la collecte, l'utilisation et la communication des renseignements personnels la concernant. Elle donne aussi à chaque personne le droit de demander l'accès aux renseignements personnels la concernant détenus par les institutions fédérales. Si une personne estime que ces renseignements sont inexacts ou incomplets, elle peut en demander la correction.
La LPRPDE, quant à elle, établit des règles de base pour la gestion des renseignements personnels dans le secteur privé. Elle vise à concilier le droit individuel au respect de la vie privée et le besoin des organisations de recueillir, d'utiliser ou de communiquer des renseignements personnels à des fins commerciales légitimes. Elle s'applique aux organisations qui exercent des activités commerciales au Canada dans les provinces qui n'ont pas édicté une loi « essentiellement similaire » sur la protection des renseignements personnels dans le secteur privé, et dans toutes les provinces et tous les territoires dans le cas des organisations qui sont de compétence fédérale (p. ex, les banques ou les entreprises de télécommunications). Enfin, elle protège aussi les renseignements personnels des employés, mais seulement dans les secteurs sous réglementation fédérale.
On trouve dans le présent document une vue d'ensemble des lois fédérales sur la protection de la vie privée, ainsi que leur historique et des explications sur la nécessité de les moderniser afin qu'elles soient mieux adaptées à l'ère numérique.
Au Canada, c'est vers la fin des années 1960 et le début des années 1970 que l'on commence à se préoccuper de la protection des renseignements personnels, alors que les ordinateurs deviennent des outils importants pour le gouvernement et les grandes entreprises. En réponse au rapport d'un groupe d'étude fédéral sur l'ordinateur et la vie privée 3, le Canada édicte, en 1977, dans la partie IV de la Loi canadienne sur les droits de la personne, la première disposition fédérale sur le respect de la vie privée dans le secteur public. Cette disposition prévoyait la création du poste de commissaire à la protection de la vie privée du Canada. À l'époque, ce commissaire est membre de la Commission canadienne des droits de la personne et a pour mandat de recevoir les plaintes du grand public, de mener des enquêtes et de présenter des recommandations au Parlement.
Il semble, toutefois, que les dispositions anti-discrimination de la Loi canadienne sur les droits de la personne s'appliquent mal au droit à la vie privée. Il subsiste alors un vide législatif qui est comblé par l'actuelle LPRP et la Loi sur l'accès à l'information 4, entrées en vigueur en 1983. Toutes deux sont issues du même projet de loi (C‑43) et découlent de la conviction que la protection des données et la liberté d'accès à l'information sont complémentaires en tant que composantes essentielles d'une démocratie saine et vigoureuse.
Pendant que le Canada s'attaque au problème de la protection des données dans un monde réseauté, la Communauté européenne répond pour sa part à la menace que représente, selon elle, pour le droit fondamental au respect de la vie privée l'arrivée des ordinateurs en réseau, facilement utilisables pour échanger des renseignements. Par conséquent, diverses lois sur la protection des données apparaissent en Europe au cours des années 1970, au sein des États et à l'échelle de l'Union et, en janvier 1981, le Conseil de l'Europe ouvre à la signature la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel 5. Aux termes de cette convention, les États membres du Conseil de l'Europe doivent se doter de lois sur la protection des données conformes à un ensemble de principes-cadres concernant la collecte, l'utilisation, l'accessibilité, l'exactitude et l'élimination des renseignements personnels.
Le 23 septembre 1980, l'Organisation de coopération et de développement économiques (OCDE) adopte les Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel (les Lignes directrices de l'OCDE) afin d'harmoniser les pratiques des pays membres en matière de protection des données personnelles par l'application de normes minimales quant au traitement de ces données 6. Bien que leur application soit volontaire et qu'elles n'aient pas force de loi, les Lignes directrices de l'OCDE servent de fondement aux dispositions législatives sur les pratiques équitables en matière de renseignements au Canada et dans bien d'autres pays. Une révision effectuée en juillet 2013 a permis de moderniser la version originale de 1980 des Lignes directrices de l'OCDE pour la rendre plus conforme aux réalités nouvelles de la protection de la vie privée dans une économie fondée sur les données 7.
La grande majorité des pays membres de l'OCDE a adopté des lois sur la protection des données qui s'appliquent aux secteurs public et privé. Toutefois, lorsque le Canada a affirmé son engagement à l'égard des Lignes directrices de l'OCDE, en 1984, les lois canadiennes visaient uniquement l'action des gouvernements et des organismes gouvernementaux 8. À cette époque, le gouvernement fédéral de même que le commissaire fédéral à la protection de la vie privée se contentent d'encourager le secteur privé à élaborer et à adopter des codes de respect de la vie privée d'application volontaire, mais, à la fin des années 1980, préoccupé par le manque de progrès à ce chapitre, le commissaire demande l'adoption d'une loi fédérale pour obliger les entreprises sous réglementation fédérale à se doter de tels codes.
Devant l'absence de normes nationales en matière de protection des données au Canada, un comité formé de représentants des consommateurs, des entreprises, du gouvernement, des syndicats et des professionnels définit, sous l'égide de l'Association canadienne de normalisation (CSA), un ensemble de principes que le Conseil canadien des normes approuve à titre de norme nationale en 1996. Le Code type sur la protection des renseignements personnels de la CSA (voir l'annexe du présent document) devait servir de modèle aux entreprises, qui étaient libres de l'adapter à leur situation.
À peu près à la même époque, le ministre de l'Industrie crée le Comité consultatif sur l'autoroute de l'information qui doit le conseiller sur la meilleure façon d'exploiter le commerce électronique. En réponse à un document de travail public, la plupart des représentants des consommateurs, des commissaires à la protection de la vie privée et des défenseurs du respect de la vie privée réclament une loi sur la protection des renseignements personnels, alors que la grande majorité des entreprises préfère une autoréglementation conforme à la norme de la CSA. Enfin, le Comité consultatif recommande au gouvernement d'élaborer une loi-cadre souple en se fondant sur la norme de la CSA.
Par ailleurs, la directive de 1995 de l'Union européenne sur la protection des données, qui exige que tous les pays membres adoptent ou adaptent des règles nationales conformes à ses dispositions 9, incite également le Canada à envisager d'adopter une loi applicable au secteur privé. L'article 25 de cette directive interdit aux pays membres de l'Union européenne (et aux entreprises se trouvant dans ces pays) de communiquer des données à caractère personnel à des pays non membres dont les lois ne garantissent pas suffisamment la protection de ces renseignements.
En 2016, l'Union européenne a adopté le Règlement général de la protection des données (RGPD), qui remplace la directive de 1995. Les pays membres de l'Union européenne disposaient alors de deux ans pour rendre le RGPD pleinement applicable sur leur territoire 10. Le RGPD est officiellement entré en vigueur en mai 2018. Le chapitre V du RGPD porte sur les transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales. L'article 45 de ce chapitre prévoit entre autres qu'un transfert peut avoir lieu sans autorisation spécifique s'il est établi que le pays ou l'organisation en question assure un niveau adéquat de protection.
En janvier 1998, le Groupe de travail sur le commerce électronique d'Industrie Canada publie un document d'orientation intitulé La protection des renseignements personnels – Pour une économie et une société de l'information au Canada, dans lequel le Ministère souligne que la confiance du consommateur est indispensable à la croissance de l'économie de l'information 11. D'après les auteurs, une loi définissant un ensemble de règles communes pour la protection des renseignements personnels aiderait à renforcer cette confiance et à instaurer un système équitable où l'utilisation abusive des renseignements personnels ne peut conférer un avantage concurrentiel. Ce processus consultatif débouche sur un régime législatif visant le secteur privé, inspiré des lois d'autres pays. Fait inhabituel, il reprend le texte du Code type de la CSA. Le projet de loi C‑54, Loi sur la protection des renseignements personnels et les documents électroniques est déposé à la Chambre des communes en octobre 1998, mais meurt au Feuilleton à la suite de la prorogation du Parlement. En octobre 1999, il est de nouveau déposé, avec le numéro C‑6, et il entre en vigueur le 1er janvier 2001.
Bien qu'entrées en vigueur à 18 ans d'intervalle et bien que considérées comme des lois sur la protection de la vie privée de « première et deuxième génération », respectivement, la LPRP et la LPRPDE partent toutes deux du principe fondamental selon lequel chacun devrait, dans toute la mesure du possible, avoir le contrôle sur ce que l'on sait à son sujet et sur qui le sait.
La Loi sur la protection des renseignements personnels (LPRP) a déjà été qualifiée de « code déontologique destiné aux utilisateurs de renseignements 12 ». Elle remplit trois rôles fondamentaux :
La LPRP s'applique aux ministères et organismes fédéraux répertoriés dans son annexe, ainsi qu'aux sociétés d'État et filiales à cent pour cent de ces sociétés, telles que définies à l'article 83 de la Loi sur la gestion des finances publiques 14.
Selon l'article 3 de la LPRP, « renseignements personnels » s'entend de tout renseignement concernant un individu identifiable, enregistré sous quelque forme que ce soit (p. ex. bande vidéo ou audio, ou autre moyen électronique), y compris les renseignements sur son âge, ses études, son dossier médical, son casier judiciaire ou ses antécédents professionnels (p. ex. dossiers d'impôt et demandes de prêt étudiant). Par ailleurs, l'article 4 précise que les institutions fédérales ne sont autorisées à recueillir que les renseignements personnels qui ont un lien direct avec leurs programmes ou activités. De plus, l'article 5 de la LPRP prévoit que, chaque fois que cela est possible, les renseignements doivent être recueillis auprès de l'individu lui-même et ce dernier doit être informé des fins auxquelles les renseignements recueillis sont destinés. En outre, pour plus de transparence et d'ouverture, les institutions fédérales doivent, en vertu des articles 10 et 11, publier un répertoire de tous les fichiers de renseignements personnels dont elles disposent.
Le principe fondamental de la LPRP, selon l'article 8, est que, à défaut du consentement de l'individu concerné, les renseignements personnels qui relèvent d'une institution fédérale ne peuvent servir à cette dernière qu'aux fins auxquelles elle les a recueillis ou préparés ou pour des utilisations compatibles avec ces fins. Cependant, la LPRP énumère 13 cas d'utilisation et de communication susceptibles d'être autorisés sans le consentement de l'individu (p. ex. pour des raisons de sécurité nationale, d'application de la loi ou dans l'intérêt public).
En vertu des articles 12 à 17 de la LPRP, au Canada, tout individu a le droit de demander à avoir accès aux renseignements personnels le concernant que détient l'administration fédérale. En outre, conformément à l'alinéa 12(2)a), une personne qui n'est pas satisfaite de l'exactitude des renseignements obtenus peut demander que des corrections y soient apportées. Si sa demande de correction est rejetée, elle peut, en vertu de l'alinéa 12(2)b), exiger qu'il soit fait mention des corrections qui ont été demandées mais non effectuées. La LPRP prévoit également, aux articles 18 à 28, des exceptions que peut invoquer une institution fédérale pour empêcher un demandeur d'accéder à une partie ou à la totalité des renseignements personnels le concernant qu'elle détient.
Aussi, conformément aux articles 29 et 30, un demandeur insatisfait d'une mesure prise par une institution fédérale peut déposer une plainte auprès du commissaire à la protection de la vie privée. Ce dernier effectue alors une enquête et présente ses conclusions.
En vertu du paragraphe 35(1) de la LPRP, s'il conclut au bien-fondé de la plainte, le commissaire adresse au responsable de l'institution fédérale de qui relèvent les renseignements personnels un rapport où il présente ses conclusions et formule les recommandations qu'il juge indiquées. Le commissaire peut également demander au responsable de lui donner avis, dans un délai déterminé, soit des mesures prises ou envisagées pour la mise en œuvre de ses recommandations, soit des motifs invoqués pour ne pas y donner suite.
En vertu du paragraphe 37(1), le commissaire peut aussi, de son propre gré, mener des enquêtes auprès de certaines institutions fédérales afin d'assurer le respect des articles 4 à 8 de la LPRP (les règles relatives à la collecte, à la conservation, au retrait et à la protection des renseignements personnels). Les conclusions qu'il estime d'intérêt public sont publiées, en vertu du paragraphe 37(4), dans le rapport annuel présenté au Parlement 15.
L'individu qui s'est fait refuser la communication de renseignements personnels par une institution fédérale, peut, après que le processus de plainte auprès du commissariat soit complété, déposer une demande de révision judiciaire auprès de la Cour fédérale, comme le prévoient les articles 41 à 52.
En plus de faire enquête sur les plaintes relatives à l'application de la LPRP, le commissaire à la protection de la vie privée peut, en vertu de l'article 60, réaliser des études spéciales à la demande du ministre de la Justice 16.
En juin 2006, en réponse à une invitation du Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique de la Chambre des communes (le Comité), la commissaire à la protection de la vie privée du Canada de l'époque, Jennifer Stoddart, a présenté une série complète de propositions de modifications à la LPRP 17. Dans ce document, après avoir souligné l'évolution technologique rapide dans toutes les sphères du gouvernement et dans les activités qu'il régit, elle précisait les principaux aspects de la LPRP qui pourraient être renforcés et modernisés pour accroître la responsabilité et la reddition de comptes du gouvernement à l'égard des renseignements personnels qu'il détient. Mme Stoddart a ensuite publié un addenda audit document, dans lequel elle formulait d'autres observations entourant la sécurité nationale, la circulation transfrontalière des données, la notification des atteintes à la protection des données et le champ d'application de la LPRP 18.
En réponse à ces documents et compte tenu de la nécessité d'une réforme, le Comité a entrepris, au printemps 2008, un examen de la LPRP.
En 2016, le Comité a entrepris un nouvel examen de la LPRP. Pendant cet examen, le successeur de Mme Stoddart au poste de commissaire à la protection de la vie privée, Daniel Therrien, a fait connaître au Comité ses nombreuses recommandations en vue de la réforme de la LPRP, dont plusieurs faisaient écho à celles de sa prédécesseure.
En juin 2009, le Comité a publié un rapport dans lequel il appuyait bon nombre des « améliorations rapides » à apporter à la LPRP que proposait la commissaire, soit les changements les plus importants et les plus nécessaires pouvant être apportés rapidement en attendant la tenue d'un examen approfondi de la LPRP 19. En plus de reconnaître qu'« une réforme complète de la loi est effectivement justifiée », il recommandait notamment les mesures précises suivantes :
Dans son rapport, le Comité appuyait également la recommandation de la commissaire d'éliminer la restriction aux termes de laquelle la LPRP ne s'appliquait qu'aux renseignements « consignés ». Comme l'a expliqué la commissaire, les nouvelles technologies, telles que le signal en direct de caméras de surveillance et les renseignements provenant d'échantillons d'ADN prélevés sur des individus, n'entraient pas dans cette description alors dépassée.
Le Comité a étudié les autres recommandations, mais fait remarquer qu'une étude plus approfondie serait nécessaire avant que ces dernières puissent faire l'objet d'un projet de loi. Citons notamment l'instauration d'un critère de nécessité, semblable à celui mentionné dans la LPRPDE, afin de s'assurer que les ministères et organismes gouvernementaux démontrent la nécessité de recueillir les renseignements.
Par ailleurs, la commissaire proposait d'élargir les motifs de recours à la Cour fédérale et les recours judiciaires possibles. À l'heure actuelle, la LPRP permet aux plaignants ou au commissaire à la protection de la vie privée de s'adresser à la Cour fédérale seulement en cas de refus d'accès à des renseignements personnels. Autrement dit, il n'existe pas de recours devant les tribunaux pour les personnes qui estiment que des institutions gouvernementales ont recueilli, utilisé ou communiqué des renseignements personnels de façon inappropriée. De plus, la LPRP n'autorise pas actuellement la Cour fédérale à accorder des dommages-intérêts à la charge des institutions contrevenantes, situation qui, de l'avis de la commissaire et d'autres parties intéressées, aurait intérêt à changer.
Les autres changements importants à la LPRP proposés en 2008-2009 concernaient la communication de renseignements personnels par le gouvernement du Canada à des États étrangers. Présentement, la LPRP autorise le gouvernement du Canada à communiquer à des gouvernements étrangers des renseignements personnels relatifs à ses citoyens en vertu d'une entente, pour autant que ces renseignements servent aux fins de l'application d'une loi ou dans le cadre d'une enquête. Les défenseurs du respect de la vie privée demandent depuis plusieurs années déjà que la LPRP soit renforcée, et citent en exemple l'Union européenne, qui limite la communication des renseignements détenus par le gouvernement aux États dotés d'une protection équivalente. Aucune disposition semblable n'a encore été ajoutée à la LPRP.
Dans sa réponse au rapport et aux recommandations du Comité, lesquels ont été présentés en juin 2009, le gouvernement a souligné que la LPRP était robuste et qu'« [i]l [était] essentiel d'examiner attentivement l'incidence qu'une modification de la Loi pourrait avoir sur les activités des institutions fédérales qui sont assujetties à la Loi 20 ».
Aucun projet de loi visant à modifier la LPRP de façon substantielle n'a été déposé à la suite de l'examen législatif de 2008-2009.
En mars 2016, le Comité a entrepris un nouvel examen de la LPRP. Dans un rapport publié en décembre 2016, le Comité a appuyé la majorité des recommandations de modifications à la loi suggérées par l'actuel commissaire à la protection de la vie privée dans le cadre de cet examen législatif 21. Plusieurs des recommandations de M. Therrien faisaient écho à celles que sa prédécesseure avait formulées dans le cadre de l'examen législatif de 2008-2009. Dans son rapport, le Comité a recommandé, entre autres, de prendre les mesures suivantes :
- élargir la disposition de déclaration d'objet de la LPRP afin de renforcer la nature quasi constitutionnelle du droit à la vie privée;
- modifier la définition de « renseignements personnels » énoncée dans la LPRP pour s'assurer qu'elle est neutre du point de vue technologique et y inclure les renseignements non consignés;
- modifier la LPRP afin d'obliger explicitement les institutions à protéger les renseignements personnels qu'elles détiennent et de préciser les conséquences liées au défaut de protéger ces renseignements;
- imposer aux institutions fédérales un régime de déclaration d'atteinte à la sécurité des renseignements personnels similaire à celui prévu dans la LPRPDE;
- modifier la LPRP – laquelle permet à une institution fédérale de recueillir des renseignements personnels qui « ont un lien direct avec ses programmes ou ses activités » – afin d'exiger la conformité aux critères de la nécessité et de la proportionnalité dans le cadre de la collecte et de la conservation de renseignements personnels par les institutions fédérales;
- conférer au commissaire à la protection de la vie privée le pouvoir discrétionnaire de mettre fin à l'examen d'une plainte ou de la rejeter pour des motifs précis, notamment si elle est frivole, vexatoire ou faite de mauvaise foi.
Le Comité s'est également penché sur la question du modèle de surveillance approprié. Malgré les divers points de vue exprimés, un consensus s'est dégagé des différents témoignages : l'actuel modèle de l'ombudsman, lequel comporte des pouvoirs en matière de recommandations, n'est pas efficace.
En vertu du modèle de l'ombudsman, une fois son enquête terminée, le commissaire ne peut que formuler des recommandations non contraignantes à l'attention d'une institution fédérale. Le commissaire Therrien a recommandé l'adoption d'un modèle exécutoire grâce auquel le commissaire à la protection de la vie privée aurait le pouvoir de rendre des ordonnances à l'égard des institutions fédérales qui ne respectent pas leurs obligations en vertu de la LPRP. Un tel modèle rendrait possible, pour les institutions fédérales qui souhaiteraient contester une ordonnance du commissaire, la présentation d'une demande de contrôle judiciaire auprès de la Cour fédérale.
D'autres témoins préconisaient un modèle hybride de surveillance. Ce modèle permettrait au commissariat de formuler des recommandations contraignantes au gouvernement, sans toutefois être en mesure d'ordonner la prise de mesures précises. Un modèle hybride conférerait également le droit à l'institution fédérale qui décide de ne pas se conformer aux recommandations de demander à la Cour fédérale d'émettre une déclaration selon laquelle l'institution en question n'est pas tenue de se conformer à ces recommandations. Le modèle hybride maintiendrait donc le caractère plus informel et flexible de l'actuel modèle de l'ombudsman.
Dans son rapport de 2016, le Comité a recommandé l'adoption d'un modèle exécutoire. Il a également recommandé d'autres modifications à la LPRP, notamment l'ajout de mesures pour assurer une transparence accrue à l'égard des échanges de renseignements personnels effectués en vertu d'accord ou d'ententes (p. ex. entre le gouvernement du Canada et le gouvernement d'une province ou d'un État étranger). En outre, il a recommandé d'exiger que ces échanges soient régis par des accords écrits pouvant faire l'objet d'un examen par le commissaire, ainsi que de prévoir, dans la LPRP, l'obligation de consulter le Commissariat au sujet des projets de loi et des règlements qui ont une incidence sur la protection de la vie privée.
Enfin, le Comité a encouragé le gouvernement du Canada à envisager la possibilité d'élargir les motifs de recours en vertu de la LPRP, d'étendre l'application de la LPRP à toutes les institutions du gouvernement fédéral, y compris aux cabinets des ministres et à celui du premier ministre, d'étendre les droits d'accès aux étrangers et de limiter les exceptions relatives aux demandes d'accès aux renseignements personnels prévues dans la LPRP.
En avril 2017, dans sa réponse au rapport et aux recommandations du Comité, le gouvernement a précisé qu'il « t[enai]t compte des avertissements du Commissaire concernant les risques posés par la désuétude du droit dans ce domaine » et indiqué qu'il menait un « examen approfondi en vue de moderniser la Loi sur la protection des renseignements personnels » afin, notamment, « d'examiner les possibilités de réformer cette loi quasi constitutionnelle qui touche presque l'ensemble des fonctions du gouvernement » 22.
Aucun projet de loi visant à modifier sensiblement la LPRP n'a été déposé à la suite de l'examen législatif de 2016. Toutefois, en 2019, le gouvernement a annoncé qu'il déployait des efforts en vue de moderniser la LPRP. Il a réalisé un engagement technique préliminaire sur la modernisation de la LPRP à l'été et à l'automne 2019, puis, le 16 novembre 2020, il a lancé une consultation publique la LPRP 23.
Au moment de publier la présente étude générale, aucun projet de loi visant à modifier la LPRP n'avait été déposé à la Chambre des communes.
La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) établit les règles relatives à la collecte, à l'utilisation et à la communication de renseignements personnels par les organisations du secteur privé, mais uniquement dans le cadre d'activités commerciales 24. Elle cherche avant tout à concilier le droit individuel au respect de la vie privée et le besoin raisonnable qu'ont les organisations de recueillir, d'utiliser et de communiquer des renseignements à des fins économiques. La LPRPDE s'applique aussi à la collecte, à l'utilisation et à la communication de renseignements personnels concernant les employés d'organismes sous réglementation fédérale. Elle ne vise toutefois ni les institutions fédérales auxquelles s'applique la LPRP, ni les renseignements personnels recueillis, utilisés ou communiqués par un particulier à des fins personnelles ou privées, ni les organisations qui recueillent, utilisent ou communiquent des renseignements personnels à des fins journalistiques, artistiques ou littéraires.
En raison des questions soulevées dans le secteur de la santé en lien avec l'application des dispositions de la LPRPDE aux renseignements personnels sur la santé 25, la mise en œuvre de la LPRPDE s'est faite en trois étapes, à compter du 1er janvier 2001 :
Toutefois, les organisations visées par la législation provinciale peuvent être soustraites à l'application de la législation fédérale si la province a adopté une loi jugée par décret « essentiellement similaire » à la LPRPDE. À ce jour, seuls l'Alberta, la Colombie-Britannique et le Québec ont adopté des lois « essentiellement similaires » à la LPRPDE. Dans ces trois provinces, la LPRPDE ne s'applique qu'aux organisations du secteur privé sous réglementation fédérale ainsi qu'aux renseignements personnels obtenus dans le cadre d'opérations interprovinciales et internationales. Les autres organisations sont assujetties aux lois provinciales.
Pour leur part, le Nouveau-Brunswick, la Nouvelle-Écosse, l'Ontario et Terre-Neuve-et-Labrador ont des lois essentiellement similaires à la LPRPDE en matière de conservation des renseignements personnels sur la santé La LPRPDE ne s'applique donc pas dans ces provinces en ce qui concerne la protection des renseignements personnels sur la santé, mais elle s'applique aux autres organisations du secteur privé et à toute organisation sous réglementation fédérale ou qui s'adonne à des opérations qui dépasse les frontières d'une province.
Les organisations assujetties à la LPRPDE doivent se conformer aux dix principes du Code type sur la protection des renseignements personnels de la CSA (Code type) (art. 5 et annexe 1 de la LPRPDE; voir l'annexe du présent document). Essentiellement, les organisations doivent protéger les renseignements personnels et en assurer le traitement équitable en tout temps, à l'intérieur de leurs structures et dans leurs relations avec des tiers. À quelques exceptions près, elles doivent obtenir le consentement de l'intéressé lors de la collecte, de l'utilisation et de la communication des renseignements personnels le concernant (art. 7). Les fins pour lesquelles les organisations peuvent recueillir, utiliser ou communiquer des renseignements personnels se limitent à celles « qu'une personne raisonnable estimerait acceptables dans les circonstances » (art. 3 et par. 5(3)). Les organisations peuvent utiliser les renseignements personnels aux seules fins pour lesquelles ils ont été recueillis; si elles souhaitent les utiliser à d'autres fins, un nouveau consentement doit être obtenu. Elles doivent également donner aux personnes concernées l'assurance que les renseignements les concernant seront protégés par des garanties précises, notamment dans des classeurs verrouillés, par des mots de passe informatiques ou au moyen du chiffrement (par. 5(1) et septième principe du Code type).
En vertu de la LPRPDE, le commissaire à la protection de la vie privée a le pouvoir de recevoir les plaintes au sujet de tout aspect de la conformité d'une organisation aux dispositions législatives sur la protection des données, d'enquêter sur ces plaintes et de tenter de les régler. Il peut aussi prendre l'initiative d'une plainte (art. 11 et 12). En général, il essaie de régler l'affaire par la persuasion et la négociation, mais en cas d'échec de cette approche, il peut s'adresser à la Cour fédérale et lui demander, entre autres, de rendre une ordonnance de conformité et de paiement de dommages-intérêts (par. 12.1, art. 14 et 16).
Les pouvoirs suivants sont également conférés au commissaire :
En décembre 2010, le Parlement a adopté une loi anti-pourriel afin de décourager l'envoi de communications électroniques non sollicitées 26. Cette loi a modifié la LPRPDE en conférant des pouvoirs élargis au commissaire à la protection de la vie privée, qui est maintenant habilité à prendre des mesures en cas de collecte non sollicitée de renseignements personnels par hameçonnage ou de commerce illicite d'adresses électroniques 27. La loi anti-pourriel complète la LPRPDE en réglementant certaines pratiques commerciales en ligne, comme l'envoi de messages électroniques commerciaux (en obligeant les expéditeurs à obtenir le consentement préalable des destinataires), ainsi que la collecte d'adresses électroniques et l'installation sur les ordinateurs de logiciels malveillants. Aux termes de la LPRPDE, le Commissariat à la protection de la vie privée partage avec le Conseil de la radiodiffusion et des télécommunications canadiennes et le Bureau de la concurrence les responsabilités en matière d'application de la loi anti-pourriel.
En juin 2015, le Parlement a adopté le projet de loi S-4, Loi sur la protection des renseignements personnels numériques, lequel a modifié la LPRPDE 28. Ce projet de loi précisait le libellé de la LPRPDE concernant le consentement. Il a ajouté une disposition selon laquelle le consentement n'est valable que « s'il est raisonnable de s'attendre à ce qu'un individu visé par les activités de l'organisation comprenne la nature, les fins et les conséquences de la collecte, de l'utilisation ou de la communication des renseignements personnels auxquelles il a consenti » (art. 6.1 de la LPRPDE). Quelques nouveaux pouvoirs ont également été conférés au commissaire, notamment la capacité de conclure des accords de conformité avec les organisations visées par la LPRPDE de manière à s'assurer que ces dernières s'acquittent de leurs obligations en vertu de cette loi.
Le projet de loi S-4 a également mené à l'ajout d'un nouvel article à la LPRPDE, créant un régime de déclaration obligatoire des atteintes à la sécurité des renseignements personnels (art. 10.1 de la LPRPDE). En vertu de ce régime, les organisations assujetties à la Loi doivent prendre diverses mesures en cas d'atteinte à la sécurité des renseignements personnels sous leur gestion (p. ex. aviser le commissaire). Le manquement aux obligations prévues à l'article 10.1 de la LPRPDE constitue une infraction à la Loi et est susceptible d'une amende maximale de 100 000 $ par infraction (art. 28 de la LPRPDE). Le régime est en vigueur depuis le 1er novembre 2018.
Le projet de loi S-4 a par ailleurs rendu possible la collecte, l'utilisation ou la communication de renseignements personnels sans le consentement de la personne concernée dans plusieurs nouvelles situations (p. ex. dans le cadre d'enquêtes ou d'activités de détection et de prévention des fraudes, ou de transactions commerciales). Il a également permis de prolonger de 45 jours à un an la période de temps dont un plaignant dispose pour demander à la Cour fédérale d'entendre une question qui a fait l'objet d'une plainte ou qui est mentionnée dans un rapport du commissaire (art. 14 de la LPRPDE).
Conformément à l'article 29 de la LPRPDE, un comité de la Chambre des communes ou un comité mixte doit examiner tous les cinq ans la partie 1 de la LPRPDE, Protection des renseignements personnels dans le secteur privé 29. Toutefois, la LPRPDE n'a fait l'objet que de deux examens législatifs depuis son entrée en vigueur, en 2001.
Le premier examen de la LPRPDE a été mené par le Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique de la Chambre des communes (le Comité) de novembre 2006 à février 2007. Un rapport comportant 25 recommandations a été présenté en mai 2007 30.
Dans son rapport, le Comité n'a recommandé aucune modification importante à la LPRPDE. Il a toutefois fait remarquer que, cette loi n'étant pleinement entrée en vigueur qu'en janvier 2004, il n'a pas pu en examiner comme il se doit tous les aspects. Par conséquent, il s'est limité, principalement, à recommander une plus grande harmonisation du texte de loi avec celui des lois essentiellement similaires sur la protection des données dans le secteur privé qui existent au Québec, en Alberta et en Colombie-Britannique.
À titre d'exemple, le Comité a fait référence aux lois sur la protection des renseignements personnels de l'Alberta et de la Colombie-Britannique pour recommander que soient clarifiées les exigences applicables à la forme et au caractère adéquat du consentement – pierre angulaire de la plupart des lois sur le sujet – et qu'une distinction soit établie entre les différentes formes de consentement – explicite, implicite et présumé ou refusé. En outre, le Comité a souligné qu'il faudrait établir si le modèle de consentement prévu par la LPRPDE et conçu pour les entreprises commerciales devait s'appliquer dans le contexte de l'emploi. Après avoir examiné les mesures prises au Québec, en Colombie-Britannique et en Alberta en matière de protection de la vie privée en milieu de travail, le Comité a conclu qu'il fallait élaborer un modèle fédéral distinct relatif à l'emploi.
En ce qui concerne les questions relatives à l'application de la loi et à la sécurité nationale, le Comité a recommandé la suppression d'une disposition controversée ajoutée à la LPRPDE en 2002, après les événements du 11 septembre 2001. L'alinéa 7(1)e) de la LPRPDE autorise la collecte et l'utilisation de renseignements personnels à l'insu de l'intéressé ou sans son consentement à des fins auparavant permises uniquement lorsque leur communication visait la sécurité nationale, la défense du Canada, la conduite des affaires internationales ou lorsqu'elle était exigée par la loi 31. Le nouveau pouvoir en matière de collecte accordé en vertu de l'alinéa 7(1)e) était source d'inquiétudes pour les défenseurs du droit à la vie privée, y compris la commissaire à la protection de la vie privée du Canada de l'époque, Jennifer Stoddart, qui avait déclaré que cette disposition avait pour effet pervers de déléguer au secteur privé des activités d'application de la loi sans l'obligation correspondante de rendre compte dont doivent s'acquitter les institutions publiques 32. Cette disposition de la LPRPDE est toujours en vigueur.
La recommandation la plus détaillée du rapport de 2007 concerne l'obligation pour le secteur privé de signaler aux particuliers les cas d'atteinte à la sécurité de leurs renseignements personnels. Sans approuver une obligation d'informer inscrite dans la Loi, le Comité s'est déclaré favorable à un modèle qui obligerait les organisations à signaler certaines atteintes à la sécurité bien définies au commissaire à la protection de la vie privée, qui analyserait ensuite la situation afin d'établir la nécessité d'aviser les personnes visées et la forme que prendrait cet avis, le cas échéant.
Enfin, dans son rapport de 2007, le Comité souligne également la nécessité de consacrer davantage de ressources aux mesures visant à informer les particuliers et les organisations de leurs droits et responsabilités respectifs en vertu de la LPRPDE. De l'avis du Comité, le succès de toute modification proposée à la LPRPDE et, en définitive, de la LPRPDE elle-même, se mesurera à la capacité des particuliers de faire des choix éclairés au sujet de leurs renseignements personnels et, en ce qui concerne les organisations, à leur pleine connaissance de leurs obligations légales.
Dans sa réponse à ce rapport du Comité, le gouvernement s'est dit en accord avec le fait qu'aucune modification importante à la LPRPDE n'était alors nécessaire. Il a accepté la plupart des 25 recommandations formulées et s'est engagé à mener des consultations sur plusieurs questions avant de soumettre au Parlement des propositions législatives et stratégiques 33.
Le 25 mai 2010, le gouvernement a déposé le projet de loi C‑29, Loi modifiant la Loi sur la protection des renseignements personnels et les documents électroniques, mais ce dernier est mort au Feuilleton à la dissolution de la 40e législature. Le 29 septembre 2011, le gouvernement dépose un projet de loi très similaire, le projet de loi C‑12 34.
Le projet de loi C‑12 comprenait plusieurs des modifications à la LPRPDE proposées par le Comité, dont des changements visant à clarifier le consentement de l'intéressé et à le rendre valide uniquement
s'il est raisonnable de s'attendre à ce que [l'intéressé] comprenne la nature, les fins et les conséquences de la collecte, de l'utilisation ou de la communication des renseignements personnels auxquelles il a consenti 35.
Ce projet de loi visait également à modifier les modalités du consentement relatif aux renseignements personnels concernant les employés d'une entreprise fédérale, de manière à autoriser une telle entreprise à recueillir, utiliser et communiquer les renseignements personnels de ses employés sans leur consentement si cela devenait nécessaire pour « établir ou gérer la relation d'emploi […] ou y mettre fin », pour autant que les personnes concernées aient été informées au préalable des raisons justifiant la collecte, l'utilisation ou la communication des renseignements en question 36.
Le projet de loi C-12 prévoyait également d'autres exceptions à l'obligation d'obtenir le consentement, y compris dans le cas de renseignements personnels demandés pour l'exercice de fonctions de police. Il visait aussi à accroître le nombre et le type d'organisations à qui peuvent être communiqués des renseignements personnels sans le consentement de l'intéressé, autres que les organismes gouvernementaux, les organismes d'application de la loi et les agents de la sécurité nationale, tout en limitant les situations où l'intéressé doit être informé de la communication de ses renseignements personnels 37.
Surtout, le projet de loi C-12 prévoyait l'ajout de nouvelles dispositions sur la déclaration des atteintes aux mesures de sécurité, obligeant les organisations à signaler les cas où il y a eu atteinte aux mesures de sécurité concernant les renseignements personnels qu'elles détiennent 38. Comme il est précisé précédemment, l'adoption du projet de loi S-4, en 2015, a mené à la mise en place d'un régime de déclaration obligatoire des cas d'atteintes à la sécurité des renseignements personnels. Au nombre des obligations relatives à la déclaration des atteintes à la sécurité, mentionnons l'obligation d'aviser les personnes visées « s'il est raisonnable de croire, dans les circonstances, que l'atteinte présente un risque réel de préjudice grave à [leur] endroit » (par. 10.1(3) de la LPRPDE).
Le projet de loi C‑12 n'a franchi que l'étape de la première lecture après son dépôt en septembre 2011. En effet, il est mort au Feuilleton à la fin de la 1re session de la 41e législature, le 13 septembre 2013. Plusieurs des éléments du projet de loi C-12 ont été repris dans le projet de loi S-4 qui a mené à l'inclusion, dans la LPRPDE, d'un régime de déclaration d'atteintes à la sécurité des renseignements personnels 39.
En mai 2013, la commissaire à la protection de la vie privée de l'époque, Jennifer Stoddart, a publié un document complet dans lequel elle préconisait une réforme en profondeur de la LPRPDE allant au-delà des modifications proposées dans le projet de loi C‑12 40. Elle y recommandait de conférer de plus grands pouvoirs en matière d'application de la loi, d'imposer l'obligation de signaler les atteintes aux mesures de protection des renseignements personnels, de prévoir la production de rapports publics sur le nombre de communications effectuées à des autorités chargées de l'application de la loi, et de modifier les principes de responsabilité énoncés à l'annexe 1 de la LPRPDE.
Le second examen de la LPRPDE a été mené par le Comité de février 2017 à février 2018. Un rapport comportant 19 recommandations a été présenté à l'issue de cet examen 41.
Le Comité s'est penché sur l'avenir du consentement valable comme principe de base de la LPRPDE. Pour ce faire, il s'est appuyé sur les témoignages entendus ainsi que sur une étude sur le consentement menée par le Commissariat à la protection de la vie privée en 2016 42. Au cœur du débat se trouvait la pertinence du consentement explicite à l'ère numérique, alors que la complexification des interactions en ligne et la multiplication des types d'utilisation des renseignements personnels peuvent rendent le consentement valable plus difficile à obtenir.
Certains témoins étaient d'avis que le consentement valable était un peu illusoire dans les transactions en ligne, puisque les conditions d'utilisation sont généralement enfouies dans de longs et vagues textes juridiques et sont à prendre ou à laisser. De leur côté, les représentants d'entreprises estimaient que le modèle du consentement est problématique, car il risque de freiner l'innovation et de priver les consommateurs de bénéfices potentiels en matière d'utilisation des données (p. ex. la personnalisation des produits et services).
Néanmoins, la plupart des témoins étaient d'avis que le consentement, sous une forme ou une autre, doit demeurer un élément important de la LPRPDE. Certains prônaient une approche davantage axée sur les éléments de consentement explicite, et suggéraient un modèle de consentement fondé sur le risque, où le consentement n'est nécessaire que lorsqu'il y a un risque de tort pour la personne concernée. D'autres craignaient qu'un tel modèle puisse mener à une collecte excessive de renseignements personnels. Un grand nombre de témoins ont proposé le maintien du modèle du consentement en vertu de la LPRPDE, soulignant que le principe du consentement, tel qu'il s'inscrit dans la LPRPDE, est suffisamment rigoureux et flexible pour s'adapter aux nouvelles utilisations des renseignements personnels dans l'ère numérique.
Le Comité a notamment recommandé que le consentement demeure au cœur du régime de protection des renseignements personnels, mais qu'il soit renforcé et clarifié par des moyens additionnels lorsque cela s'avère possible ou nécessaire. Il a également recommandé que des modifications soient apportées à la LPRPDE afin d'y prévoir explicitement l'adhésion facultative (« opt-in ») par défaut pour l'utilisation des renseignements personnels à des fins secondaires.
En ce qui concerne les pouvoirs du commissaire en vertu de la LPRPDE, le Comité a fait mention de la recommandation qu'il avait faite dans son rapport relatif à la LPRP en 2016, soit d'adopter un modèle de surveillance exécutoire permettant au commissaire de rendre des ordonnances.
La majorité des témoins, dont le commissaire à la protection de la vie privée, se sont prononcés en faveur d'une modification au modèle de l'ombudsman afin d'accorder au commissaire certains pouvoirs, tels que le pouvoir de rendre des ordonnances ou d'imposer des sanctions pécuniaires ou des amendes en cas de non-conformité importante ou systémique aux obligations prévues dans la LPRPDE. Plusieurs organisations assujetties à la LPRPDE se sont pour leur part dites en faveur du maintien de l'actuel modèle de l'ombudsman et contre l'octroi de pouvoirs d'exécution au commissaire. Toutefois, si de tels pouvoirs devaient être conférés, elles seraient en faveur d'un encadrement rigoureux de manière à en limiter la portée.
À la lumière des témoignages entendus, le Comité a recommandé que la LPRPDE soit modifiée afin d'accorder au commissaire à la protection de la vie privée des pouvoirs d'exécution, y compris le pouvoir de rendre des ordonnances et celui d'imposer des amendes en cas de non-respect d'obligations prévues dans la Loi.
Le Comité a formulé plusieurs autres recommandations au gouvernement, dont les suivantes :
Enfin, le Comité s'est penché sur la question du caractère adéquat de la LPRPDE au regard du RGPD de l'Union européenne. Le Canada maintient pour l'instant son statut d'adéquation, mais il est possible qu'une nouvelle évaluation mène à un résultat différent compte tenu du fait que les lois fédérales en matière de protection des renseignements personnels du Canada n'ont pas été modernisées malgré plusieurs appels à la réforme. Par ailleurs, les lacunes entourant le pouvoir d'exécution du commissaire semblent constituer l'une des faiblesses les plus importantes de la LPRPDE si l'on veut qu'elle soit perçue comme offrant un niveau de protection adéquat selon les normes de l'Union européenne.
Dans sa réponse au rapport du Comité, le gouvernement a dit partager le point de vue du Comité « qu'il faut apporter des changements à notre régime de protection de la vie privée », mais souligne que, pour veiller à ce que le Canada puisse stimuler l'innovation tout en suscitant la confiance des citoyens, le gouvernement doit poursuivre le dialogue avec les diverses parties prenantes. Au sujet des pouvoirs du commissaire, le gouvernement a précisé qu'il devait étudier les options offertes par d'autres modèles de conformité et d'exécution ainsi que les répercussions potentielles de ces modèles sur le mandat du Commissariat, les principes de justice fondamentale et les risques liés à l'accroissement des pouvoirs d'exécution (p.ex. l'impact possible sur le dialogue ouvert entre le Commissariat et les organisations assujetties à la LPRPDE) 43.
Le Comité a également réitéré ses recommandations relatives à la modernisation de la LPRPDE dans les rapports préliminaire et final de l'étude portant sur l'atteinte à la sécurité des renseignements personnels associée à Cambridge Analytica et à Facebook, publiés en décembre 2018 et en juin 2019 respectivement. Il a en outre formulé d'autres recommandations de modifications pour corriger certaines lacunes de la LPRPDE 44.
Le 17 novembre 2020, le ministre de l'Innovation, des Sciences et de l'Industrie a présenté à la Chambre des communes le projet de loi C-11, Loi édictant la Loi sur la protection de la vie privée des consommateurs et la Loi sur le Tribunal de la protection des renseignements personnels et des données et apportant des modifications corrélatives et connexes à d'autres lois, qui vise à réformer la LPRPDE et à mettre en œuvre la Charte numérique canadienne 45.
L'actuel commissaire à la protection de la vie privée, M. Daniel Therrien, réclame depuis longtemps des modifications aux lois fédérales en matière de protection des renseignements personnels.
En novembre 2019, le commissaire et ses homologues provinciaux et territoriaux ont présenté une résolution conjointe dans laquelle ils exhortaient les gouvernements à moderniser les lois sur l'accès à l'information et les lois sur la protection des renseignements personnels. Dans cette résolution le commissaire et ses homologues provinciaux et territoriaux ont notamment signalé ce qui suit :
La plupart des lois canadiennes sur l'accès à l'information et la protection de la vie privée n'ont pas été fondamentalement modifiées depuis leur adoption, certaines il y a plus de 35 ans. Elles sont malheureusement en retard sur les lois de nombreux autres pays en ce qui concerne le niveau de protection de la vie privée accordé aux citoyens 46.
En décembre 2019, le Commissariat à la protection de la vie privée du Canada a publié son rapport annuel pour l'année 2018-2019 intitulé Réforme des lois sur la vie privée : Pour faire respecter les droits et rétablir la confiance envers le gouvernement et l'économie numérique. Dans ce rapport, le commissaire Therrien a rappelé qu'à l'instar de ses prédécesseurs, il réclame depuis plusieurs années une réforme fondamentale des lois sur la protection des renseignements personnels dans les secteurs privé et public au Canada. Il a ajouté que la vie privée est une condition préalable à l'exercice d'autres droits fondamentaux tels que la liberté, l'égalité et la démocratie. Ce faisant, il a affirmé qu'il estimait que de nouvelles lois sur la protection des renseignements personnels devraient être fondées sur les droits, et que la protection de la vie privée devrait être définie dans son sens le plus large, par exemple, en la décrivant comme l'absence d'une surveillance injustifiée 47.
Selon le commissaire :
À l'heure actuelle, les lois fédérales en matière de protection des renseignements personnels mettent l'accent sur la protection de données plutôt que sur l'exercice de droits en matière de protection de la vie privée. Le commissaire a donc suggéré de modifier les lois fédérales en matière de protection des renseignements personnels afin qu'elles deviennent axées sur le droit à la vie privée en tant que droit de la personne, comme le fait par exemple le RGPD de l'Union européenne. Il a rappelé que les « lois sur la protection des renseignements personnels modernisées devraient reconnaître de prime abord la portée réelle du droit à la vie privée et son statut quasi constitutionnel 49 ».
Enfin, le commissaire a souligné que, parmi les améliorations aux lois fédérales en matière de protection des renseignements personnels requises, on retrouve celle de donner au commissaire à la protection de la vie privée du Canada les moyens nécessaires pour effectuer des inspections proactives (plutôt qu'après le signalement d'une violation), rendre des ordonnances exécutoires et imposer des sanctions en cas de non-conformité à la législation. Il a noté que de tels pouvoirs existent déjà dans certaines provinces au Canada, comme en Colombie-Britannique et en Alberta en ce qui concerne les ordonnances, ainsi qu'à l'étranger, comme aux États-Unis et dans l'Union européenne (en ce qui concerne les ordonnances et les sanctions).
Dans le rapport annuel pour l'année 2018-2019, le commissaire a également proposé d'accorder aux Canadiens un droit de recours indépendant devant les tribunaux pour demander réparation en cas de non-respect de leur droit à la vie privée 50.
Plus récemment, en mai 2020, le commissaire et ses homologues provinciaux et territoriaux ont publié une déclaration commune visant à présenter certains principes qui devraient être respectés pour le développement de toute application technologique de traçage de contact en réponse à la pandémie de maladie à coronavirus 2019 (COVID-19). Parmi ces principes, mentionnons le critère de nécessité et proportionnalité ainsi que la transparence. Dans la résolution, il est précisé que « [b]ien que les lois applicables sur la protection des renseignements personnels doivent être respectées, certaines d'entre elles ne prévoient pas un degré de protection adapté à l'environnement numérique 51 ». Lors d'une comparution devant un comité permanent de la Chambre des communes en mai 2020, le commissaire a expliqué que, en général, plusieurs des principes énoncés dans la déclaration commune de mai 2020 ne sont pas inscrits dans la législation fédérale actuelle et que, selon lui, ces principes devraient avoir force de loi 52.
Enfin, le commissaire a réitéré, dans son rapport annuel pour 2019-2020 publié en octobre 2020, le besoin de moderniser les lois canadiennes sur la protection des renseignements personnels pour mieux protéger la population canadienne à l'ère du numérique. Il note, entre autres, que la pandémie de COVID-19 a plus que jamais fait ressortir les lacunes du cadre législatif actuel 53.
Mis à part quelques modifications techniques, dont les changements imposés à la LPRPDE à la suite de l'adoption du projet de loi S-4, les lois fédérales du Canada sur la protection de la vie privée n'ont fait l'objet d'aucune réforme complète depuis leur adoption. Malgré plusieurs appels à la réforme au fil des ans, ces lois demeurent donc, pour l'instant, semblables à leur version originale.
Les progrès technologiques facilitant de plus en plus la collecte, la conservation et la recherche des renseignements personnels, la nécessité de protéger la confidentialité de ces renseignements reste un défi pour les législateurs. Même la définition de la protection de la vie privée fait l'objet de débats. En effet, certains défenseurs du respect de la vie privée prétendent que celle-ci est une valeur humaine et sociale fondamentale qui va au-delà du contrôle des renseignements personnels ou du droit d'être laissé en paix. D'autres estiment pour leur part qu'il est inévitable, à l'ère d'Internet, que les frontières entre les renseignements du domaine personnel et ceux du domaine public soient floues, alors que les attitudes changent quant aux renseignements que l'on est disposé à communiquer et à quelles personnes ou organisations l'on est disposé à les communiquer.
Bien que l'utilisation des renseignements personnels crée des possibilités d'un point de vue commercial, il est important de ne pas perdre de vue le droit des personnes à la vie privée. De plus, pour protéger les renseignements personnels, la législation doit tenir compte de l'incidence des mesures de protection de la vie privée sur l'application de la loi et sur la sécurité nationale. Enfin, il reste à déterminer dans quelle mesure les lois peuvent suivre le rythme rapide de l'évolution des technologies.
Entre-temps, la souplesse et l'adaptabilité des lois fédérales canadiennes en matière de protection des renseignements personnels sont plus que jamais mises à l'épreuve. Peu importe comment on définit ou protège le droit à la vie privée au Canada, de nouvelles questions en la matière continueront de se poser pour les législateurs, les entreprises et les citoyens.
† Les études générales de la Bibliothèque du Parlement sont des analyses approfondies de questions stratégiques. Elles présentent notamment le contexte historique, des informations à jour et des références, et abordent souvent les questions avant même qu’elles deviennent actuelles. Les études générales sont préparées par le Service d’information et de recherche parlementaires de la Bibliothèque, qui effectue des recherches et fournit des informations et des analyses aux parlementaires ainsi qu’aux comités du Sénat et de la Chambre des communes et aux associations parlementaires, et ce, de façon objective et impartiale. [ Retour au texte ]
* Source : Commissariat à la protection de la vie privée du Canada, Principes relatifs à l'équité dans le traitement de l'information de la LPRPDE. [ Retour au texte ]
© Bibliothèque du Parlement