Dans ce résumé législatif, tout changement d’importance depuis la dernière publication est indiqué en caractères gras.
Le projet de loi S-4, Loi modifiant la Loi sur la protection des renseignements personnels et les documents électroniques et une autre loi en conséquence (titre abrégé : « Loi sur la protection des renseignements personnels numériques ») a été présenté au Sénat et lu pour la première fois le 8 avril 2014 1.
Le projet de loi modifie de plusieurs façons importantes la Loi sur la protection des renseignements personnels et les documents électroniques 2, la loi fédérale qui protège les renseignements personnels dans le secteur privé, afin, notamment :
Après la deuxième lecture au Sénat, le projet de loi a été renvoyé au Comité sénatorial permanent des transports et des communications (le « Comité sénatorial ») le 8 mai 2014. Le 10 juin 2014, ce comité a présenté au Sénat un rapport comportant un amendement (voir la rubrique 2.4.1 du présent résumé législatif).
La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) a vu le jour après de vastes consultations. Exemple de coopération entre de multiples parties intéressées, un comité formé de représentants des consommateurs, des entreprises, des pouvoirs publics, des syndicats et de professionnels a mis au point une série de principes de protection de la vie privée qui, en 1996, ont été approuvés comme normes nationales par le Conseil canadien des normes sous le titre Code type sur la protection des renseignements personnels (le « Code type ») 3. La publication du Code type a été suivie de consultations et de documents de discussion prônant la mise en œuvre de ces principes au moyen d’une loi. L’évolution de la situation internationale concernant la protection des données, notamment dans l’Union européenne, a renforcé l’idée d’adopter une loi sur la protection des renseignements personnels du secteur privé au Canada 4.
Adoptée en 2000, la LPRPDE est entrée en vigueur en trois étapes entre 2001 et 2004 5. Cette loi s’applique à la collecte, à l’usage ou à la communication de renseignements personnels dans le cadre d’activités commerciales par une organisation du secteur privé et par des installations, des ouvrages, des entreprises ou des secteurs d’activité relevant de la compétence fédérale. Elle régit ces activités non seulement au niveau fédéral et dans les territoires, mais aussi dans toutes les provinces, à moins que celles-ci aient adopté une loi semblable obligeant le secteur privé à accorder une protection comparable (on parle alors d’une « loi essentiellement similaire »). À ce jour, le Québec, la Colombie-Britannique, l’Alberta et, dans les questions liées à la santé, l’Ontario, le Nouveau-Brunswick et Terre-Neuve-et-Labrador ont adopté une loi réputée essentiellement similaire à la LPRPDE 6.
La première partie de la LPRPDE concerne la protection des renseignements personnels dans le secteur privé 7. L’objet de cette loi, selon son article 3, reconnaît le lien entre la nécessité de protéger les renseignements personnels et celle de les utiliser dans un monde de plus en plus dominé par la technologie de l’information :
La présente partie a pour objet de fixer, dans une ère où la technologie facilite de plus en plus la circulation et l’échange de renseignements, des règles régissant la collecte, l’utilisation et la communication de renseignements personnels d’une manière qui tient compte du droit des individus à la vie privée à l’égard des renseignements personnels qui les concernent et du besoin des organisations de recueillir, d’utiliser ou de communiquer des renseignements personnels à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances 8.
S’appuyant sur le travail réalisé par les parties prenantes dans la rédaction du Code type, la LPRPDE intègre ce dernier dans la législation en obligeant les organisations assujetties à la LPRPDE à se conformer aux exigences qui y sont énoncées. Le Code type est reproduit à l’annexe 1 de la LPRPDE 9.
Le contrôle d’application de la LPRPDE incombe au commissaire à la protection de la vie privée du Canada, qui est habilité à entendre les plaintes du public ou de toute organisation concernant des violations de cette loi et à faire enquête sur ces plaintes 10. Le commissaire a généralement recours à la médiation et à la conciliation pour régler les plaintes. S’il ne dispose pas du pouvoir de rendre des ordonnances définitives à l’égard d’organisations, le commissaire peut assigner des témoins à comparaître devant lui, faire prêter serment et forcer la production de preuves si l’intéressé ne collabore pas. Dans les affaires non résolues, le commissaire peut demander à la Cour fédérale de rendre une ordonnance pour résoudre la question 11.
En outre, le commissaire a le pouvoir de procéder à la vérification des pratiques d’une organisation en matière de gestion des renseignements personnels, de rendre public tout renseignement concernant ces pratiques si cela est dans l’intérêt public 12 et de coordonner diverses activités avec ses homologues provinciaux, notamment l’élaboration de contrats types portant sur la protection des renseignements personnels recueillis dans les transactions interprovinciales ou internationales 13. Le commissaire a aussi pour fonction de faire connaître la LPRPDE au grand public 14.
La LPRPDE dispose que sa première partie, qui porte sur la protection de la vie privée et des renseignements personnels, doit faire l’objet d’un examen parlementaire tous les cinq ans. Le rapport du premier examen parlementaire, qui comportait 25 recommandations de modification de la LPRPDE, a été déposé à la Chambre des communes en mai 2007 par le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique de la Chambre des communes (le « Comité permanent de la Chambre ») 15. Le gouvernement a répondu aux recommandations de ce comité en octobre 2007 16.
En mai 2010, le ministre de l’Industrie a présenté le projet de loi C-29, Loi modifiant la Loi sur la protection des renseignements personnels et les documents électroniques 17. Ce projet de loi aurait ajouté de nouvelles exceptions aux exigences de consentement, précisé ce qu’il faut entendre par « validité du consentement » et obligé les organisations à déclarer toute atteinte aux mesures de sécurité des données. Le projet de loi est mort au Feuilleton à la dissolution de la 40e législature, le 26 mars 2011. Le 29 septembre 2011, le gouvernement a déposé le projet de loi de nouveau avec le numéro C-12 au début de la 41e législature 18. Le projet de loi n’a pas été débattu à la Chambre des communes avant la prorogation du 13 septembre 2013, date où il est mort au Feuilleton.
En plus des projets de loi du gouvernement, Charmaine Borg, députée de Terrebonne-Blainville, a présenté le projet de loi C-475, Loi modifiant la Loi sur la protection des renseignements personnels et documents électroniques (pouvoir de rendre des ordonnances), pendant la première session de la 41e législature. Cette mesure d’initiative parlementaire visant à modifier la LPRPDE aurait également imposé des obligations en matière de déclaration des atteintes aux mesures de sécurité et conféré au commissaire à la protection de la vie privée le pouvoir de rendre des ordonnances de conformité 19.
En 2012, le Comité permanent de la Chambre a réalisé une étude sur la protection des renseignements personnels et les médias sociaux. Durant cette étude, il « a entendu une grande diversité de témoignages sur le cadre législatif canadien et particulièrement sur la LPRPDE ». Dans son rapport, le Comité permanent de la Chambre précise que :
[b]ien que la présente étude porte sur les médias sociaux et la protection de la vie privée - et non sur un examen législatif de la LPRPDE -, les témoignages entendus devraient servir de fondement à tout futur débat sur l’examen ou la modification de la LPRPDE 20.
Depuis, aucun examen législatif de la LPRPDE n’a eu lieu 21. Cependant, le 23 mai 2013, le commissariat à la protection de la vie privée a présenté son point de vue sur la réforme de la LPRPDE dans un document intitulé Arguments en faveur de la réforme de la Loi sur la protection des renseignements personnels et les documents électroniques 22.
Dans ce document, la commissaire à la protection de la vie privée de l’époque, Jennifer Stoddart, a recommandé
Le projet de loi S-4 reprend un certain nombre de dispositions du projet de loi C-12 qui l’a précédé. En outre, il semble donner suite à certaines des recommandations formulées par des témoins durant l’étude de la protection de la vie privée et des médias sociaux réalisée par le Comité permanent de la Chambre en 2012, et par l’ex-commissaire à la protection de la vie privée, Mme Stoddart, dans son exposé de principes de mai 2013.
Le projet de loi S-4 ajoute plusieurs nouvelles définitions à l’article 2 de la LPRPDE. Il maintient la définition actuelle de « renseignement personnel », à savoir « [t]out renseignement concernant un individu identifiable ». Cependant, il supprime l’énoncé excluant les coordonnées d’affaires des employés (nom, titre, adresse et numéro de téléphone) et crée une nouvelle définition pour les coordonnées d’affaires (par. 2(1) et (3) du projet de loi). Le projet de loi précise aussi que les dispositions de la LPRPDE relatives aux renseignements personnels ne s’appliquent pas aux coordonnées d’affaires (art. 4, qui crée le nouvel art. 4.01 de la LPRPDE).
De plus, le projet de loi crée de nouvelles définitions pour les « atteintes aux mesures de sécurité », relativement aux nouvelles dispositions créées à l’article 10 du projet de loi, dont il est question plus loin dans le présent résumé législatif, et pour les « transactions commerciales », relativement aux nouvelles exceptions prévues à l’article 7, dont il est également question plus loin (par. 2(3) du projet de loi).
Par ailleurs, le projet de loi élargit la portée de la LPRPDE pour qu’elle s’applique aux renseignements personnels non seulement des employés, mais encore des personnes qui postulent un emploi dans une entreprise fédérale (art. 3 du projet de loi).
Les articles 2 à 4 du projet de loi, sauf de légères différences dans le libellé de certaines définitions, sont identiques à ceux du projet de loi C-12.
L’article 5 du projet de loi ajoute à la LPRPDE le nouvel article 6.1, qui précise que le consentement de l’intéressé pour la collecte, l’utilisation ou la communication de ses renseignements personnels n’est valide que « s’il est raisonnable de s’attendre à ce qu’un individu visé par les activités de l’organisation comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles il a consenti ». Cette disposition est semblable à celle que l’on trouve dans le projet de loi C-12, à la différence que la disposition proposée dans ce projet de loi ne précisait pas que l’intéressé devait être « visé par les activités de l’organisation ».
Selon cet article, les politiques concernant la protection des renseignements personnels et les pratiques de communication des organisations régies par la LPRPDE doivent informer clairement et directement les intéressés des ramifications du partage de renseignements personnels avec ces organisations. Ces politiques et usages ne doivent pas non plus forcer les intéressés à communiquer des renseignements personnels aux organisations ou les y amener de manière trompeuse.
Alors que l’article 5 du projet de loi clarifie ce que signifie un consentement valide, les articles 6 et 7 ajoutent des exceptions au titre desquelles des renseignements personnels peuvent être recueillis, utilisés ou communiqués sans le consentement de l’intéressé.
En premier lieu, une nouvelle exception est ajoutée pour les renseignements personnels donnés dans une déclaration de témoin et dont la collecte, l’utilisation ou la communication sont nécessaires à l’évaluation, au traitement et au règlement d’une réclamation d’assurance. Une autre exception concerne les renseignements personnels produits par l’intéressé dans le cadre de son emploi, de son entreprise ou de sa profession, et dont la collecte, l’utilisation ou la communication sont « compatibles » avec les fins auxquelles ils ont été produits (par. 6(3), (5) et (11) du projet de loi ajoutant les nouveaux al. 7(1)b.1) et b.2), 7(2)b.1) et b.2), et 7(3)e.1) et e.2) à la LPRPDE). Les mêmes dispositions figuraient dans le projet de loi C-12.
Le projet de loi S-4 prévoit de nouvelles circonstances où des renseignements personnels peuvent être communiqués sans le consentement de l’intéressé, à savoir afin d’entrer en contact avec le plus proche parent ou avec le représentant autorisé d’une personne blessée, malade ou décédée (par. 6(7) du projet de loi ajoutant le nouveau sous-al. 7(3)c.1)(iv) à la LPRPDE), ou afin d’identifier la personne blessée, malade ou décédée. Toutefois, si la personne est vivante, l’organisation doit l’informer par écrit et sans délai de la communication (par. 6(10) ajoutant l’al. 7(3)d.4) à la LPRPDE). Ces éléments se trouvaient aussi dans le projet de loi C-12 24.
Le paragraphe 6(10) du projet de loi permet la communication de renseignements personnels à une autre organisation (p. ex. d’une entreprise à une autre) sans le consentement de l’intéressé en vue d’une enquête sur la violation d’un accord ou sur une contravention au droit fédéral ou provincial qui a été commise ou est en train ou sur le point de l’être, s’il est raisonnable de s’attendre à ce que l’obtention du consentement de l’intéressé compromettrait l’enquête (nouvel al. 7(3)d.1) de la LPRPDE).
En outre, une disposition semblable est ajoutée pour la communication de renseignements personnels en vue de la détection d’une fraude ou de sa suppression (nouvel al. 7(3)d.2)). Enfin, le nouvel alinéa 7(3)d.3) autorise la communication de renseignements personnels sans le consentement de l’intéressé à une institution gouvernementale ou à une subdivision d’une telle institution, au plus proche parent de l’intéressé ou à son représentant autorisé, si l’organisation a des motifs raisonnables de croire que l’intéressé a été victime d’« exploitation financière » et s’il est raisonnable de s’attendre à ce que la communication effectuée avec le consenement de l’intéressé compromettrait la capacité de prévenir l’exploitation ou d’enquêter sur celle-ci.
Le paragraphe 6(10) est semblable au paragraphe 6(9) du projet de loi C-12, sauf que ce dernier ne comportait pas la condition que la communication à l’intéressé compromette la capacité de prévenir la fraude ou l’exploitation financière, de la détecter ou d’y mettre fin. En outre, le critère pour la communication de renseignements personnels entre organisations n’est pas le même dans les projets de loi S-4 (« raisonnable ») et C-12 (« nécessaire »).
L’article 7 du projet de loi autorise les organisations à communiquer des renseignements personnels sans le consentement de l’intéressé si elles sont engagées avec la diligence voulue dans un processus menant à une « éventuelle transaction commerciale » où de tels renseignements sont nécessaires pour décider si la transaction aura lieu et, le cas échéant, pour l’effectuer.
L’organisation qui obtient les renseignements personnels doit :
Une fois la transaction commerciale effectuée, les organisations qui ont échangé des renseignements personnels peuvent les utiliser et les communiquer à l’insu de l’intéressé ou sans son consentement s’ils sont nécessaires à la poursuite de l’entreprise ou des activités faisant l’objet de la transaction, pourvu qu’elles aient conclu un accord aux termes duquel elles se sont engagées à n’utiliser et à ne communiquer les renseignements qu’aux fins auxquelles ils ont été recueillis. L’accord doit aussi prévoir la prise de mesures de sécurité appropriées et stipuler que les organisations doivent donner effet à tout retrait du consentement des intéressés. De plus, ces derniers doivent être informés, dans un délai raisonnable après que la transaction a été effectuée, du fait qu’elle l’a été et que leurs renseignements personnels ont été communiqués (nouveau par. 7.2(2) de la LPRPDE).
Tout accord conclu sous le régime de l’article 7 du projet de loi par des organisations qui échangent des renseignements personnels est contraignant selon la LPRPDE (nouveau par. 7.2(3) de la LPRPDE).
Toutefois, l’échange de renseignements personnels sans le consentement de l’intéressé ou à son insu ne peut avoir lieu, quels que soient les accords conclus, si l’objectif premier ou le résultat principal de la transaction est l’achat, la vente ou toute autre forme d’acquisition ou de disposition de renseignements personnels, ou leur location (nouveau par. 7.2(4) de la LPRPDE).
L’article 7 du projet de loi modifie aussi les obligations en matière de consentement pour la collecte, l’utilisation et la communication de renseignements personnels d’employés d’entreprises fédérales. Les employeurs pourront maintenant recueillir, utiliser ou communiquer des renseignements personnels sans le consentement de l’intéressé si cela est nécessaire pour établir ou gérer la relation d’emploi entre eux et lui, ou pour y mettre fin, et s’ils ont au préalable informé l’intéressé que ses renseignements personnels seront ou pourraient être recueillis, utilisés ou communiqués à ces fins (nouvel art. 7.3 de la LPRPDE).
Les dispositions de l’article 7 du projet de loi S-4 sont identiques à celles du même article du projet de loi C-12.
Deux séries de dispositions du projet de loi C-12 concernant les exceptions aux obligations relatives au consentement n’ont pas été reprises dans le projet de loi S-4.
En premier lieu, le projet de loi S-4 ne contient pas de disposition qui redéfinit la notion « d’autorité légitime » pour limiter la collecte, l’utilisation et la communication de renseignements personnels par les autorités chargées de l’application des lois sans le consentement de l’intéressé 25. L’absence d’une telle disposition pourrait tenir à d’autres faits nouveaux sur le plan législatif, comme l’affirmait Tim Banks, partenaire et principal expert canadien de la législation internationale en matière de protection de la vie privée et de sécurité des données au cabinet d’avocats international Dentons, dans un blogue en avril 2014. M. Banks remarquait que :
Le gouvernement est sûrement d’avis que les modifications proposées au Code criminel accordant l’immunité aux organisations pour ce qui est de collecter et de communiquer volontairement des renseignements personnels suffisent à dissiper tout doute que pourraient avoir les organisations au sujet des paramètres encadrant la façon de répondre aux demandes d’information pré-mandat 26.
En second lieu, le projet de loi S-4 ne comporte pas de dispositions restreignant la capacité qu’ont les organisations d’informer des personnes que leurs renseignements personnels ont été communiqués aux autorités chargées de l’application des lois ou d’autres institutions gouvernementales dans des cas, par exemple, où il y a eu assignation à comparaître, mandat ou ordonnance de production de documents ou si une institution gouvernementale demande l’information en vertu de l’une des exceptions existantes prévues dans la LPRPDE pour la sécurité nationale, l’application des lois ou les services de police (même sans ordonnance d’un tribunal) 27.
L’article 10 du projet de loi S-4 crée la section 1.1 de la LPRPDE, qui porte sur les « atteintes aux mesures de sécurité » et contient les nouveaux articles 10.1 à 10.3 de cette loi. Bien que le projet de loi C-12 ait lui aussi prévu l’obligation d’aviser les intéressés en cas d’atteinte aux mesures de sécurité touchant leurs renseignements personnels, le projet de loi S-4 aborde la question différemment.
En premier lieu, l’article 10 du projet de loi S-4, au nouvel article 10.1 de la LPRPDE, prévoit, pour la déclaration des atteintes, un critère qui diffère de celui proposé dans le projet de loi C-12.
Comme le souligne Tim Banks :
[le] critère utilisé dans le projet de loi C-12 pour ce qui est de déclarer au commissariat à la protection de la vie privée du Canada une atteinte aux mesures de sécurité faisait appel à une analyse de la question de savoir si l’atteinte était « substantielle » relativement à une liste non exhaustive de facteurs 28.
Dans le projet de loi S-4, toutefois, le critère proposé s’inspire de celui que l’on retrouve dans la Personal Information Protection Act de l’Alberta, la seule loi au Canada qui, à l’heure actuelle, contient des dispositions sur la divulgation d’atteintes aux mesures de sécurité 29. Ainsi, aux termes du projet de loi, une organisation doit déclarer une atteinte au commissaire et aviser l’intéressé « s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un risque réel de préjudice grave à l’endroit d’un individu ».
Sinon, la définition de « préjudice grave » est la même dans les deux projets de loi. C’est une définition ouverte qui :
vise notamment la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte, et la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles (nouveau par. 10.1(7) de la LPRPDE).
Les facteurs servant à établir s’il y a un risque réel de préjudice grave sont les mêmes dans les deux projets de loi (« le degré de sensibilité des renseignements personnels en cause » et « la probabilité que les renseignements aient été mal utilisés ou soient en train ou sur le point de l’être »), quoique le projet de loi S-4 comprenne la possibilité d’ajouter « tout autre élément prévu par règlement » (nouveau par. 10.1(8) de la LPRPDE).
Enfin, la teneur, la forme et le délai d’émission d’un avis dans le projet de loi S-4 sont, de façon générale, semblables à ceux que prévoit le projet de loi C-12 :
Fait à noter, le projet de loi C-475, qui lui aussi aurait créé un système de déclaration obligatoire des atteintes, prévoyait une norme différente pour la déclaration au commissaire à la protection de la vie privée et aux personnes touchées par l’atteinte. En effet, une organisation aurait dû aviser le commissaire de tout incident ayant entraîné la perte ou la communication de renseignements personnels ou l’accès non autorisé à ceux-ci, « lorsqu’une personne raisonnable conclurait à l’existence d’un risque de préjudice pour une personne en raison de cette perte ou communication ou de cet accès non autorisé ». L’organisation aurait alors dû aviser les personnes touchées par l’atteinte si celle-ci était « susceptible de constituer un risque appréciable de préjudice pour 31 » ces personnes.
Selon le nouvel article 10.2 de la LPRPDE, une organisation qui avise une personne d’une atteinte aux mesures de sécurité doit aviser aussi toute autre organisation ou institution gouvernementale capable de réduire le risque de préjudice pouvant résulter de l’atteinte ou d’atténuer ce préjudice. L’organisation peut aussi leur communiquer, en respectant certaines limites, des renseignements personnels à l’insu de l’intéressé ou sans son consentement si la communication n’est faite que pour réduire le risque de préjudice qui pourrait résulter de l’atteinte ou atténuer ce préjudice. Ces éléments se trouvaient aussi dans le projet de loi C-12.
Le nouvel article 10.3 de la LPRPDE renferme un élément qui n’était pas dans le projet de loi C-12 et qui oblige les organisations à tenir et à conserver un registre de toutes les atteintes aux mesures de sécurité qui ont trait à des renseignements personnels dont elles ont la gestion. Ces dossiers sont communiqués au commissaire sur demande.
Les articles 11 et 12 du projet de loi S-4 apportent des modifications corrélatives à la LPRPDE concernant les accords de conformité. L’article 11 du projet de loi ajoute à l’article 11 de la LPRPDE (relatif au dépôt des plaintes) un renvoi à la nouvelle section 1.1, et l’article 12 du projet de loi ajoute à l’article 12 de la LPRPDE (relatif à l’examen des plaintes) un renvoi au nouvel article 17.1.
L’article 13 du projet de loi modifie l’article 14 de la LPRPDE quant au moment où un plaignant peut demander une audience à la Cour fédérale après avoir reçu le rapport du commissaire (s’il est toujours insatisfait) ou avoir été informé de la fin de l’examen de la plainte. Il convient de noter que l’article 13 prolonge de 45 jours à un an le délai durant lequel le plaignant peut faire une demande à la Cour après la transmission du rapport ou de l’avis 32. Cette disposition ne figurait pas dans le projet de loi C-12.
L’article 15 du projet de loi, qui ajoute les nouveaux articles 17.1 et 17.2 à la LPRPDE, accorde au commissaire à la protection de la vie privée de nouveaux pouvoirs pour conclure des accords de conformité avec des organisations qu’il soupçonne, pour des motifs raisonnables, d’avoir contrevenu ou d’être sur le point de contrevenir aux dispositions des sections 1 ou 1.1, ou d’avoir omis de mettre en œuvre une recommandation énoncée à l’annexe 1 de la LPRPDE (nouveau par. 17.1(1) de la LPRPDE).
L’accord de conformité est assorti des conditions que le commissaire estime nécessaires pour faire respecter la LPRPDE (nouveau par. 17.1(2) de la LPRPDE).
Si une organisation respecte un accord de conformité conclu avec le commissaire, celui-ci ne peut ensuite demander une audience à la Cour fédérale sur cette question (nouveau par. 17.1(3) de la LPRPDE). Toutefois, la conclusion d’un accord de conformité n’a pas pour effet d’empêcher les poursuites pour infraction à la LPRPDE ni d’empêcher un plaignant de demander une audience à la Cour fédérale aux termes de la LPRPDE (nouveau par. 17.1(4) de la LPRPDE).
Cependant, s’il estime que l’organisation n’a pas respecté l’accord de conformité, le commissaire doit en aviser l’organisation et peut ensuite demander à la Cour fédérale de rendre une ordonnance enjoignant à l’organisation de se conformer aux conditions de l’accord de conformité, en plus des autres recours que peut accorder la Cour. Le commissaire peut aussi demander à la Cour de rétablir l’audience qui a été suspendue en raison de l’accord de conformité (nouveau par. 17.2(2) de la LPRPDE).
Les dispositions relatives aux accords de conformité devraient renforcer la capacité qu’a le commissaire de faire respecter la LPRPDE. De fait, elles semblent donner suite à la recommandation faite par l’ex-commissaire à la protection de la vie privée Jennifer Stoddart, soit de modifier la LPRPDE pour permettre au commissaire de conclure des « ententes exécutoires » avec les organisations afin de s’assurer que celles-ci remplissent leurs engagements de se conformer aux recommandations du commissaire après les enquêtes.
L’article 17 du projet de loi S-4 modifie l’article 20 de la LPRPDE concernant ce que le commissaire peut divulguer. À quelques exceptions près, le commissaire ne peut divulguer l’information dont il prend connaissance dans l’exercice de ses attributions (par. 20(1) de la LPRPDE) ou figurant dans une déclaration relative à une atteinte aux mesures de sécurité ou dans un registre des atteintes aux mesures de sécurité tenu par une organisation (par. 20(1.1) de la LPRPDE).
L’article 20 prévoit d’autres exceptions permettant la divulgation :
L’article 20 du projet de loi modifie l’article 25 de la LPRPDE pour préciser que le commissaire doit présenter son rapport annuel au Parlement sur la LPRPDE dans les trois mois suivant la fin de chaque exercice. À l’heure actuelle, il n’existe aucun délai ferme.
L’article 21 du projet de loi élargit les pouvoirs de réglementation énoncés à l’article 26 de la LPRPDE en permettant au gouverneur en conseil de « prendre toute mesure d’application de la présente partie » et en ajoutant le mot « notamment » pour indiquer que les pouvoirs de réglementation énoncés à l’article 26 ne sont pas limités. L’article 21 prévoit aussi que le gouverneur en conseil peut « prendre toute mesure d’ordre réglementaire prévue par la présente partie ». Les pouvoirs de réglementation plus larges donneront une plus grande latitude au gouvernement pour clarifier les questions susceptibles de découler de l’application de la LPRPDE.
L’article 24 du projet de loi modifie l’article 28 de la LPRPDE pour prévoir que toute organisation qui contrevient sciemment aux nouvelles dispositions de cette loi obligeant les organisations à déclarer les atteintes aux mesures de sécurité et à tenir un registre de ces dernières ou qui entrave l’action du commissaire dans le cadre d’une vérification ou de l’examen d’une plainte commet une infraction et encourt une amende d’au plus 100 000 $ en cas de déclaration de culpabilité par mise en accusation ou d’au plus 10 000 $ en cas de déclaration de culpabilité par procédure sommaire.
L’article 26 du projet de loi renferme des dispositions de coordination avec d’autres lois qui entreront prochainement en vigueur, notamment la nouvelle loi canadienne anti-pourriel, Loi visant à promouvoir l’efficacité et la capacité d’adaptation de l’économie canadienne par la réglementation de certaines pratiques qui découragent l’exercice des activités commerciales par voie électronique et modifiant la Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes, la Loi sur la concurrence, la Loi sur la protection des renseignements personnels et les documents électroniques et la Loi sur les télécommunications 33. Comme le signale le site Web anti-pourriel du gouvernement fédéral, cette loi entrera en vigueur le 1er juillet 2014, exception faite de ses articles liés à l’installation non sollicitée de programmes informatiques ou de logiciels, qui prendront effet le 15 janvier 2015 34.
L’article 27 du projet de loi prévoit que les articles 10, 11 et 14, les paragraphes 17(1) et 17(4) ainsi que les articles 19 et 22 à 25 entreront en vigueur le jour fixé par décret. Les dispositions du projet de loi qui ne sont pas mentionnées aux articles 26 ou 27 entreront en vigueur, par défaut, le jour où le projet de loi recevra la sanction royale 35.
La réaction initiale au projet de loi S-4 a été généralement favorable aux dispositions exigeant la déclaration obligatoire des atteintes aux mesures de sécurité et l’imposition d’amendes pour défaut de déclaration et d’enregistrement de telles atteintes 36. En outre, la disposition permettant au commissaire à la protection de la vie privée de conclure des accords de conformité avec les organisations, ce que l’on considère comme une étape vers l’accroissement des pouvoirs d’application de la loi, a reçu un bon accueil.
Par exemple, dans ses observations préliminaires sur le projet de loi, Chantal Bernier, qui était alors commissaire à la protection de la vie privée par intérim, a dit :
particulièrement, j’accueille avec satisfaction les propositions relatives au signalement obligatoire des atteintes à la vie privée, ainsi qu’aux nouvelles pénalités et aux dispositions qui faciliteront le travail de mon bureau lorsqu’il s’agira de veiller à ce que les entreprises respectent les mesures envers lesquelles elles se sont engagées au cours de nos enquêtes [...] C’est aussi un plaisir de constater que nous disposerons d’une plus grande latitude afin de diffuser publiquement davantage de renseignements auprès des Canadiennes et Canadiens à propos de nos enquêtes 37.
Le commissariat à la protection de la vie privée du Canada a exprimé un avis semblable dans son mémoire présenté au Comité sénatorial le 4 juin 2014 :
Globalement, les modifications proposées renforceront le droit des Canadiens à la vie privée en ce qui a trait à leurs interactions avec les entreprises du secteur privé, amélioreront la reddition des comptes et prévoiront des mesures propres à inciter les organisations à se conformer à la loi 38.
La principale préoccupation initialement exprimée à propos du projet de loi portait sur l’ajout de nouvelles dispositions permettant la collecte, l’utilisation et la communication de renseignements personnels par les organisations sans le consentement des intéressés. Par exemple, le professeur de droit de l’Université d’Ottawa Michael Geist a dit craindre que le projet de loi ait pour effet d’élargir la possibilité de la communication sans mandat de renseignements personnels à n’importe qui, et non seulement aux responsables de l’application de la loi (allusion au projet de loi C-13). Il a ajouté :
Si l’on décode le jargon juridique, on constate que les organisations pourront communiquer des renseignements personnels sans le consentement des intéressés (et sans ordonnance du tribunal) à toute organisation enquêtant sur une rupture de contrat ou la contravention possible à une loi, tant dans le passé que dans l’avenir. Qui plus est, la communication se fera en secret, à l’insu de l’intéressé (qui ne pourra pas contester la communication faute de savoir qu’elle s’est produite) 39.
Il a réitéré cette préoccupation lorsqu’il a témoigné devant le Comité sénatorial le 4 juin 2014 40.
Des observations semblables ont été formulées par Peter Murphy, partenaire au cabinet d’avocats canadien Gowling Lafleur Henderson LLP : « le projet de loi S-4 propose certains changements souhaitables à la LPRPDE, mais il suscite aussi des inquiétudes sérieuses concernant la vie privée des particuliers ». M. Murphy s’est arrêté en particulier aux dispositions permettant le partage de renseignements personnels, sans le consentement des intéressés, entre organisations dans le cadre d’enquêtes sur des violations de lois ou d’accords ou des cas de fraude ou d’exploitation financière. Il a souligné que :
Ce changement semble permettre des coups de sonde par des entreprises souhaitant poursuivre des particuliers. Par exemple, les titulaires de droits d’auteur auraient des motifs pour obtenir librement des listes d’adresses Internet de particuliers afin de trouver et de poursuivre ceux qui téléchargent des œuvres illégalement. Cela pourrait être une intrusion grave dans la vie privée des gens sans l’ajout de contrôles raisonnables au libellé proposé 41.
D’autres témoins entendus par le Comité sénatorial, notamment des fonctionnaires du Commissariat à la protection de la vie privée du Canada ainsi que des représentants de l’Association du Barreau canadien, du Centre pour la défense de l’intérêt public et de l’Association de la recherche et de l’intelligence marketing ont exprimé des préoccupations semblables 42.
Des révélations faites à la fin d’avril 2014 au sujet de la mesure dans laquelle les sociétés de télécommunications divulguent sur demande des renseignements au sujet de leurs clients à des organismes gouvernementaux semblent avoir aggravé les préoccupations relatives à la communication sans mandat 43.
Les parties intéressées du secteur commercial semblent toutefois estimer que les nouvelles exigences de consentement contenues dans le projet de loi en constituent l’élément le plus problématique. Comme l’a affirmé Adam Kardash, partenaire au cabinet d’avocats Osler Hoskin and Harcourt LLP de Toronto, la disposition relative au consentement pourrait représenter l’aspect le plus important et le plus problématique du projet de loi 44. Cependant, cette question n’a pas beaucoup retenu l’attention au cours des audiences que le Comité sénatorial a tenues sur le projet de loi S-4 45.
* Avertissement : Par souci de clarté, les propositions législatives du projet de loi décrit dans le présent résumé législatif sont énoncées comme si elles avaient déjà été adoptées ou étaient déjà en vigueur. Il ne faut pas oublier, cependant, qu’un projet de loi peut faire l’objet d’amendements au cours de son examen par la Chambre des communes et le Sénat, et qu’il est sans effet avant d’avoir été adopté par les deux chambres du Parlement, d’avoir reçu la sanction royale et d’être entré en vigueur. [ Retour au texte ]
34.1(1) L’organisation qui a la charge de renseignements personnels doit, dans un délai raisonnable, informer le commissaire de toute perte de renseignements personnels, de tout accès non autorisé à pareils renseignements ou de toute communication desdits renseignements lorsqu’une personne raisonnable croirait qu’il existe un risque réel de préjudice grave pour l’intéressé en raison de la perte, de l’accès non autorisé ou de la communication [traduction]. [ Retour au texte ]
© Bibliothèque du Parlement