Résumé législatif du Projet de loi S-4

Résumé Législatif
Résumé législatif du projet de loi S-4 : Loi modifiant la Loi sur la protection des renseignements personnels et les documents électroniques et une autre loi en conséquence
Dara Lithwick, Division des affaires juridiques et sociales
Publication no 41-2-S4-F
PDF 423, (21 Pages) PDF
2014-06-11

Table des matières

Dans ce résumé législatif, tout changement d’importance depuis la dernière publication est indiqué en caractères gras.


1 Contexte

Le projet de loi S-4, Loi modifiant la Loi sur la protection des renseignements personnels et les documents électroniques et une autre loi en conséquence (titre abrégé : « Loi sur la protection des renseignements personnels numériques ») a été présenté au Sénat et lu pour la première fois le 8 avril 2014 1.

Le projet de loi modifie de plusieurs façons importantes la Loi sur la protection des renseignements personnels et les documents électroniques 2, la loi fédérale qui protège les renseignements personnels dans le secteur privé, afin, notamment :

  • de permettre la communication de renseignements personnels à l’insu de l’intéressé ou sans son consentement dans certaines circonstances;
  • d’obliger les organisations à prendre diverses mesures dans les cas d’atteinte à la sécurité des données;
  • d’ériger en infraction le fait de ne pas remplir ses obligations en cas d’atteinte à la sécurité des données;
  • de permettre au commissaire à la protection de la vie privée, dans certaines circonstances, de conclure un accord de conformité avec une organisation.

Après la deuxième lecture au Sénat, le projet de loi a été renvoyé au Comité sénatorial permanent des transports et des communications (le « Comité sénatorial ») le 8 mai 2014. Le 10 juin 2014, ce comité a présenté au Sénat un rapport comportant un amendement (voir la rubrique 2.4.1 du présent résumé législatif).

1.1 La Loi sur la protection des renseignements personnels et les documents électroniques

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) a vu le jour après de vastes consultations. Exemple de coopération entre de multiples parties intéressées, un comité formé de représentants des consommateurs, des entreprises, des pouvoirs publics, des syndicats et de professionnels a mis au point une série de principes de protection de la vie privée qui, en 1996, ont été approuvés comme normes nationales par le Conseil canadien des normes sous le titre Code type sur la protection des renseignements personnels (le « Code type ») 3. La publication du Code type a été suivie de consultations et de documents de discussion prônant la mise en œuvre de ces principes au moyen d’une loi. L’évolution de la situation internationale concernant la protection des données, notamment dans l’Union européenne, a renforcé l’idée d’adopter une loi sur la protection des renseignements personnels du secteur privé au Canada 4.

Adoptée en 2000, la LPRPDE est entrée en vigueur en trois étapes entre 2001 et 2004 5. Cette loi s’applique à la collecte, à l’usage ou à la communication de renseignements personnels dans le cadre d’activités commerciales par une organisation du secteur privé et par des installations, des ouvrages, des entreprises ou des secteurs d’activité relevant de la compétence fédérale. Elle régit ces activités non seulement au niveau fédéral et dans les territoires, mais aussi dans toutes les provinces, à moins que celles-ci aient adopté une loi semblable obligeant le secteur privé à accorder une protection comparable (on parle alors d’une « loi essentiellement similaire »). À ce jour, le Québec, la Colombie-Britannique, l’Alberta et, dans les questions liées à la santé, l’Ontario, le Nouveau-Brunswick et Terre-Neuve-et-Labrador ont adopté une loi réputée essentiellement similaire à la LPRPDE 6.

La première partie de la LPRPDE concerne la protection des renseignements personnels dans le secteur privé 7. L’objet de cette loi, selon son article 3, reconnaît le lien entre la nécessité de protéger les renseignements personnels et celle de les utiliser dans un monde de plus en plus dominé par la technologie de l’information :

La présente partie a pour objet de fixer, dans une ère où la technologie facilite de plus en plus la circulation et l’échange de renseignements, des règles régissant la collecte, l’utilisation et la communication de renseignements personnels d’une manière qui tient compte du droit des individus à la vie privée à l’égard des renseignements personnels qui les concernent et du besoin des organisations de recueillir, d’utiliser ou de communiquer des renseignements personnels à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances 8.

S’appuyant sur le travail réalisé par les parties prenantes dans la rédaction du Code type, la LPRPDE intègre ce dernier dans la législation en obligeant les organisations assujetties à la LPRPDE à se conformer aux exigences qui y sont énoncées. Le Code type est reproduit à l’annexe 1 de la LPRPDE 9.

Le contrôle d’application de la LPRPDE incombe au commissaire à la protection de la vie privée du Canada, qui est habilité à entendre les plaintes du public ou de toute organisation concernant des violations de cette loi et à faire enquête sur ces plaintes 10. Le commissaire a généralement recours à la médiation et à la conciliation pour régler les plaintes. S’il ne dispose pas du pouvoir de rendre des ordonnances définitives à l’égard d’organisations, le commissaire peut assigner des témoins à comparaître devant lui, faire prêter serment et forcer la production de preuves si l’intéressé ne collabore pas. Dans les affaires non résolues, le commissaire peut demander à la Cour fédérale de rendre une ordonnance pour résoudre la question 11.

En outre, le commissaire a le pouvoir de procéder à la vérification des pratiques d’une organisation en matière de gestion des renseignements personnels, de rendre public tout renseignement concernant ces pratiques si cela est dans l’intérêt public 12 et de coordonner diverses activités avec ses homologues provinciaux, notamment l’élaboration de contrats types portant sur la protection des renseignements personnels recueillis dans les transactions interprovinciales ou internationales 13. Le commissaire a aussi pour fonction de faire connaître la LPRPDE au grand public 14.

1.2 Examen parlementaire de la Loi sur la protection des renseignements personnels et les documents électroniques et tentatives de réforme législative

La LPRPDE dispose que sa première partie, qui porte sur la protection de la vie privée et des renseignements personnels, doit faire l’objet d’un examen parlementaire tous les cinq ans. Le rapport du premier examen parlementaire, qui comportait 25 recommandations de modification de la LPRPDE, a été déposé à la Chambre des communes en mai 2007 par le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique de la Chambre des communes (le « Comité permanent de la Chambre ») 15. Le gouvernement a répondu aux recommandations de ce comité en octobre 2007 16.

En mai 2010, le ministre de l’Industrie a présenté le projet de loi C-29, Loi modifiant la Loi sur la protection des renseignements personnels et les documents électroniques 17. Ce projet de loi aurait ajouté de nouvelles exceptions aux exigences de consentement, précisé ce qu’il faut entendre par « validité du consentement » et obligé les organisations à déclarer toute atteinte aux mesures de sécurité des données. Le projet de loi est mort au Feuilleton à la dissolution de la 40e législature, le 26 mars 2011. Le 29 septembre 2011, le gouvernement a déposé le projet de loi de nouveau avec le numéro C-12 au début de la 41e législature 18. Le projet de loi n’a pas été débattu à la Chambre des communes avant la prorogation du 13 septembre 2013, date où il est mort au Feuilleton.

En plus des projets de loi du gouvernement, Charmaine Borg, députée de Terrebonne-Blainville, a présenté le projet de loi C-475, Loi modifiant la Loi sur la protection des renseignements personnels et documents électroniques (pouvoir de rendre des ordonnances), pendant la première session de la 41e législature. Cette mesure d’initiative parlementaire visant à modifier la LPRPDE aurait également imposé des obligations en matière de déclaration des atteintes aux mesures de sécurité et conféré au commissaire à la protection de la vie privée le pouvoir de rendre des ordonnances de conformité 19.

En 2012, le Comité permanent de la Chambre a réalisé une étude sur la protection des renseignements personnels et les médias sociaux. Durant cette étude, il « a entendu une grande diversité de témoignages sur le cadre législatif canadien et particulièrement sur la LPRPDE ». Dans son rapport, le Comité permanent de la Chambre précise que :

[b]ien que la présente étude porte sur les médias sociaux et la protection de la vie privée - et non sur un examen législatif de la LPRPDE -, les témoignages entendus devraient servir de fondement à tout futur débat sur l’examen ou la modification de la LPRPDE 20.

Depuis, aucun examen législatif de la LPRPDE n’a eu lieu 21. Cependant, le 23 mai 2013, le commissariat à la protection de la vie privée a présenté son point de vue sur la réforme de la LPRPDE dans un document intitulé Arguments en faveur de la réforme de la Loi sur la protection des renseignements personnels et les documents électroniques 22.

Dans ce document, la commissaire à la protection de la vie privée de l’époque, Jennifer Stoddart, a recommandé

  • que l’on confère au commissariat à la protection de la vie privée de plus grands pouvoirs en matière d’application de la loi 23;
  • que l’on oblige les organisations à signaler au commissariat les atteintes à la protection des renseignements personnels et, lorsqu’il y a lieu, à en informer les personnes touchées;
  • que l’on ajoute des exigences de déclaration afin d’accroître la transparence relativement au recours à une exception prévue dans la LPRPDE permettant aux agences et organismes de l’État d’obtenir des renseignements personnels auprès d’organisations sans le consentement des intéressés pour différentes raisons, notamment la sécurité nationale et le contrôle d’application des lois;
  • que l’on modifie la LPRPDE afin de permettre au commissariat de conclure des « ententes exécutoires » avec des organisations pour faire en sorte qu’elles remplissent leurs engagements à se conformer aux recommandations faites par le commissariat à l’issue des enquêtes.

Le projet de loi S-4 reprend un certain nombre de dispositions du projet de loi C-12 qui l’a précédé. En outre, il semble donner suite à certaines des recommandations formulées par des témoins durant l’étude de la protection de la vie privée et des médias sociaux réalisée par le Comité permanent de la Chambre en 2012, et par l’ex-commissaire à la protection de la vie privée, Mme Stoddart, dans son exposé de principes de mai 2013.

2 Description et analyse

2.1 Définitions et application (art. 2 à 4)

Le projet de loi S-4 ajoute plusieurs nouvelles définitions à l’article 2 de la LPRPDE. Il maintient la définition actuelle de « renseignement personnel », à savoir « [t]out renseignement concernant un individu identifiable ». Cependant, il supprime l’énoncé excluant les coordonnées d’affaires des employés (nom, titre, adresse et numéro de téléphone) et crée une nouvelle définition pour les coordonnées d’affaires (par. 2(1) et (3) du projet de loi). Le projet de loi précise aussi que les dispositions de la LPRPDE relatives aux renseignements personnels ne s’appliquent pas aux coordonnées d’affaires (art. 4, qui crée le nouvel art. 4.01 de la LPRPDE).

De plus, le projet de loi crée de nouvelles définitions pour les « atteintes aux mesures de sécurité », relativement aux nouvelles dispositions créées à l’article 10 du projet de loi, dont il est question plus loin dans le présent résumé législatif, et pour les « transactions commerciales », relativement aux nouvelles exceptions prévues à l’article 7, dont il est également question plus loin (par. 2(3) du projet de loi).

Par ailleurs, le projet de loi élargit la portée de la LPRPDE pour qu’elle s’applique aux renseignements personnels non seulement des employés, mais encore des personnes qui postulent un emploi dans une entreprise fédérale (art. 3 du projet de loi).

Les articles 2 à 4 du projet de loi, sauf de légères différences dans le libellé de certaines définitions, sont identiques à ceux du projet de loi C-12.

2.2 Le consentement (art. 5)

L’article 5 du projet de loi ajoute à la LPRPDE le nouvel article 6.1, qui précise que le consentement de l’intéressé pour la collecte, l’utilisation ou la communication de ses renseignements personnels n’est valide que « s’il est raisonnable de s’attendre à ce qu’un individu visé par les activités de l’organisation comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles il a consenti ». Cette disposition est semblable à celle que l’on trouve dans le projet de loi C-12, à la différence que la disposition proposée dans ce projet de loi ne précisait pas que l’intéressé devait être « visé par les activités de l’organisation ».

Selon cet article, les politiques concernant la protection des renseignements personnels et les pratiques de communication des organisations régies par la LPRPDE doivent informer clairement et directement les intéressés des ramifications du partage de renseignements personnels avec ces organisations. Ces politiques et usages ne doivent pas non plus forcer les intéressés à communiquer des renseignements personnels aux organisations ou les y amener de manière trompeuse.

2.3 Exceptions aux obligations de consentement (art. 6 et 7)

Alors que l’article 5 du projet de loi clarifie ce que signifie un consentement valide, les articles 6 et 7 ajoutent des exceptions au titre desquelles des renseignements personnels peuvent être recueillis, utilisés ou communiqués sans le consentement de l’intéressé.

2.3.1 Assurance et emploi

En premier lieu, une nouvelle exception est ajoutée pour les renseignements personnels donnés dans une déclaration de témoin et dont la collecte, l’utilisation ou la communication sont nécessaires à l’évaluation, au traitement et au règlement d’une réclamation d’assurance. Une autre exception concerne les renseignements personnels produits par l’intéressé dans le cadre de son emploi, de son entreprise ou de sa profession, et dont la collecte, l’utilisation ou la communication sont « compatibles » avec les fins auxquelles ils ont été produits (par. 6(3), (5) et (11) du projet de loi ajoutant les nouveaux al. 7(1)b.1) et b.2), 7(2)b.1) et b.2), et 7(3)e.1) et e.2) à la LPRPDE). Les mêmes dispositions figuraient dans le projet de loi C-12.

2.3.2 Communication à propos d’une personne blessée, malade ou décédée

Le projet de loi S-4 prévoit de nouvelles circonstances où des renseignements personnels peuvent être communiqués sans le consentement de l’intéressé, à savoir afin d’entrer en contact avec le plus proche parent ou avec le représentant autorisé d’une personne blessée, malade ou décédée (par. 6(7) du projet de loi ajoutant le nouveau sous-al. 7(3)c.1)(iv) à la LPRPDE), ou afin d’identifier la personne blessée, malade ou décédée. Toutefois, si la personne est vivante, l’organisation doit l’informer par écrit et sans délai de la communication (par. 6(10) ajoutant l’al. 7(3)d.4) à la LPRPDE). Ces éléments se trouvaient aussi dans le projet de loi C-12 24.

2.3.3 Violations d’accords ou de lois, fraudes et exploitation financière

Le paragraphe 6(10) du projet de loi permet la communication de renseignements personnels à une autre organisation (p. ex. d’une entreprise à une autre) sans le consentement de l’intéressé en vue d’une enquête sur la violation d’un accord ou sur une contravention au droit fédéral ou provincial qui a été commise ou est en train ou sur le point de l’être, s’il est raisonnable de s’attendre à ce que l’obtention du consentement de l’intéressé compromettrait l’enquête (nouvel al. 7(3)d.1) de la LPRPDE).

En outre, une disposition semblable est ajoutée pour la communication de renseignements personnels en vue de la détection d’une fraude ou de sa suppression (nouvel al. 7(3)d.2)). Enfin, le nouvel alinéa 7(3)d.3) autorise la communication de renseignements personnels sans le consentement de l’intéressé à une institution gouvernementale ou à une subdivision d’une telle institution, au plus proche parent de l’intéressé ou à son représentant autorisé, si l’organisation a des motifs raisonnables de croire que l’intéressé a été victime d’« exploitation financière » et s’il est raisonnable de s’attendre à ce que la communication effectuée avec le consenement de l’intéressé compromettrait la capacité de prévenir l’exploitation ou d’enquêter sur celle-ci.

Le paragraphe 6(10) est semblable au paragraphe 6(9) du projet de loi C-12, sauf que ce dernier ne comportait pas la condition que la communication à l’intéressé compromette la capacité de prévenir la fraude ou l’exploitation financière, de la détecter ou d’y mettre fin. En outre, le critère pour la communication de renseignements personnels entre organisations n’est pas le même dans les projets de loi S-4 (« raisonnable ») et C-12 (« nécessaire »).

2.3.4 Transactions commerciales et renseignements personnels de l’employé (art. 7)

L’article 7 du projet de loi autorise les organisations à communiquer des renseignements personnels sans le consentement de l’intéressé si elles sont engagées avec la diligence voulue dans un processus menant à une « éventuelle transaction commerciale » où de tels renseignements sont nécessaires pour décider si la transaction aura lieu et, le cas échéant, pour l’effectuer.

L’organisation qui obtient les renseignements personnels doit :

  • ne les utiliser et ne les communiquer qu'aux fins liées à la transaction;
  • les protéger au moyen de mesures de sécurité appropriées;
  • les remettre à l’organisation qui les lui a communiqués ou les détruire dans un délai raisonnable, si la transaction n’a pas lieu (nouveau par. 7.2(1) de la LPRPDE).

Une fois la transaction commerciale effectuée, les organisations qui ont échangé des renseignements personnels peuvent les utiliser et les communiquer à l’insu de l’intéressé ou sans son consentement s’ils sont nécessaires à la poursuite de l’entreprise ou des activités faisant l’objet de la transaction, pourvu qu’elles aient conclu un accord aux termes duquel elles se sont engagées à n’utiliser et à ne communiquer les renseignements qu’aux fins auxquelles ils ont été recueillis. L’accord doit aussi prévoir la prise de mesures de sécurité appropriées et stipuler que les organisations doivent donner effet à tout retrait du consentement des intéressés. De plus, ces derniers doivent être informés, dans un délai raisonnable après que la transaction a été effectuée, du fait qu’elle l’a été et que leurs renseignements personnels ont été communiqués (nouveau par. 7.2(2) de la LPRPDE).

Tout accord conclu sous le régime de l’article 7 du projet de loi par des organisations qui échangent des renseignements personnels est contraignant selon la LPRPDE (nouveau par. 7.2(3) de la LPRPDE).

Toutefois, l’échange de renseignements personnels sans le consentement de l’intéressé ou à son insu ne peut avoir lieu, quels que soient les accords conclus, si l’objectif premier ou le résultat principal de la transaction est l’achat, la vente ou toute autre forme d’acquisition ou de disposition de renseignements personnels, ou leur location (nouveau par. 7.2(4) de la LPRPDE).

L’article 7 du projet de loi modifie aussi les obligations en matière de consentement pour la collecte, l’utilisation et la communication de renseignements personnels d’employés d’entreprises fédérales. Les employeurs pourront maintenant recueillir, utiliser ou communiquer des renseignements personnels sans le consentement de l’intéressé si cela est nécessaire pour établir ou gérer la relation d’emploi entre eux et lui, ou pour y mettre fin, et s’ils ont au préalable informé l’intéressé que ses renseignements personnels seront ou pourraient être recueillis, utilisés ou communiqués à ces fins (nouvel art. 7.3 de la LPRPDE).

Les dispositions de l’article 7 du projet de loi S-4 sont identiques à celles du même article du projet de loi C-12.

2.3.5 Exceptions aux obligations relatives au consentement dans le projet de loi C-12, mais absentes du projet de loi S-4

Deux séries de dispositions du projet de loi C-12 concernant les exceptions aux obligations relatives au consentement n’ont pas été reprises dans le projet de loi S-4.

En premier lieu, le projet de loi S-4 ne contient pas de disposition qui redéfinit la notion « d’autorité légitime » pour limiter la collecte, l’utilisation et la communication de renseignements personnels par les autorités chargées de l’application des lois sans le consentement de l’intéressé 25. L’absence d’une telle disposition pourrait tenir à d’autres faits nouveaux sur le plan législatif, comme l’affirmait Tim Banks, partenaire et principal expert canadien de la législation internationale en matière de protection de la vie privée et de sécurité des données au cabinet d’avocats international Dentons, dans un blogue en avril 2014. M. Banks remarquait que :

Le gouvernement est sûrement d’avis que les modifications proposées au Code criminel accordant l’immunité aux organisations pour ce qui est de collecter et de communiquer volontairement des renseignements personnels suffisent à dissiper tout doute que pourraient avoir les organisations au sujet des paramètres encadrant la façon de répondre aux demandes d’information pré-mandat 26.

En second lieu, le projet de loi S-4 ne comporte pas de dispositions restreignant la capacité qu’ont les organisations d’informer des personnes que leurs renseignements personnels ont été communiqués aux autorités chargées de l’application des lois ou d’autres institutions gouvernementales dans des cas, par exemple, où il y a eu assignation à comparaître, mandat ou ordonnance de production de documents ou si une institution gouvernementale demande l’information en vertu de l’une des exceptions existantes prévues dans la LPRPDE pour la sécurité nationale, l’application des lois ou les services de police (même sans ordonnance d’un tribunal) 27.

2.4 Atteintes aux mesures de sécurité (art. 10)

L’article 10 du projet de loi S-4 crée la section 1.1 de la LPRPDE, qui porte sur les « atteintes aux mesures de sécurité » et contient les nouveaux articles 10.1 à 10.3 de cette loi. Bien que le projet de loi C-12 ait lui aussi prévu l’obligation d’aviser les intéressés en cas d’atteinte aux mesures de sécurité touchant leurs renseignements personnels, le projet de loi S-4 aborde la question différemment.

2.4.1 Le critère pour la déclaration d’une atteinte aux mesures de sécurité : le « risque réel de préjudice grave »

En premier lieu, l’article 10 du projet de loi S-4, au nouvel article 10.1 de la LPRPDE, prévoit, pour la déclaration des atteintes, un critère qui diffère de celui proposé dans le projet de loi C-12.

Comme le souligne Tim Banks :

[le] critère utilisé dans le projet de loi C-12 pour ce qui est de déclarer au commissariat à la protection de la vie privée du Canada une atteinte aux mesures de sécurité faisait appel à une analyse de la question de savoir si l’atteinte était « substantielle » relativement à une liste non exhaustive de facteurs 28.

Dans le projet de loi S-4, toutefois, le critère proposé s’inspire de celui que l’on retrouve dans la Personal Information Protection Act de l’Alberta, la seule loi au Canada qui, à l’heure actuelle, contient des dispositions sur la divulgation d’atteintes aux mesures de sécurité 29. Ainsi, aux termes du projet de loi, une organisation doit déclarer une atteinte au commissaire et aviser l’intéressé « s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un risque réel de préjudice grave à l’endroit d’un individu ».

Sinon, la définition de « préjudice grave » est la même dans les deux projets de loi. C’est une définition ouverte qui :

vise notamment la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte, et la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles (nouveau par. 10.1(7) de la LPRPDE).

Les facteurs servant à établir s’il y a un risque réel de préjudice grave sont les mêmes dans les deux projets de loi (« le degré de sensibilité des renseignements personnels en cause » et « la probabilité que les renseignements aient été mal utilisés ou soient en train ou sur le point de l’être »), quoique le projet de loi S-4 comprenne la possibilité d’ajouter « tout autre élément prévu par règlement » (nouveau par. 10.1(8) de la LPRPDE).

Enfin, la teneur, la forme et le délai d’émission d’un avis dans le projet de loi S-4 sont, de façon générale, semblables à ceux que prévoit le projet de loi C-12 :

  • L’avis doit contenir « suffisamment d’information » pour permettre à l’intéressé de comprendre l’importance, pour lui, de l’atteinte et de prendre, si cela est possible, des mesures pour réduire le risque de préjudice qui pourrait en résulter ou pour atténuer un tel préjudice. Il doit contenir aussi « tout autre renseignement réglementaire » susceptible d’être demandé à l’avenir (nouveau par. 10.1(4) de la LPRPDE).
  • L’avis doit être « manifeste » et donné à l’intéressé directement, dans la mesure du possible (nouveau par. 10.1(5) de la LPRPDE).
  • L’avis doit être donné « le plus tôt possible » après qu’il y a eu atteinte. Cependant, si une institution gouvernementale demande un délai à l’organisation pour mener une enquête en matière criminelle relative à l’atteinte aux mesures de sécurité, l’avis n’est donné qu’une fois que l’institution l’autorise à le faire (nouveau par. 10.1(6) de la LPRPDE). Ce dernier élément, qui ne se trouvait pas dans le projet de loi C-12, a été supprimé par le Comité sénatorial pendant son étude article par article du projet de loi S-4 30.

Fait à noter, le projet de loi C-475, qui lui aussi aurait créé un système de déclaration obligatoire des atteintes, prévoyait une norme différente pour la déclaration au commissaire à la protection de la vie privée et aux personnes touchées par l’atteinte. En effet, une organisation aurait dû aviser le commissaire de tout incident ayant entraîné la perte ou la communication de renseignements personnels ou l’accès non autorisé à ceux-ci, « lorsqu’une personne raisonnable conclurait à l’existence d’un risque de préjudice pour une personne en raison de cette perte ou communication ou de cet accès non autorisé ». L’organisation aurait alors dû aviser les personnes touchées par l’atteinte si celle-ci était « susceptible de constituer un risque appréciable de préjudice pour 31 » ces personnes.

2.4.2 Avis relatif à une atteinte à toute autre organisation ou institution gouvernementale

Selon le nouvel article 10.2 de la LPRPDE, une organisation qui avise une personne d’une atteinte aux mesures de sécurité doit aviser aussi toute autre organisation ou institution gouvernementale capable de réduire le risque de préjudice pouvant résulter de l’atteinte ou d’atténuer ce préjudice. L’organisation peut aussi leur communiquer, en respectant certaines limites, des renseignements personnels à l’insu de l’intéressé ou sans son consentement si la communication n’est faite que pour réduire le risque de préjudice qui pourrait résulter de l’atteinte ou atténuer ce préjudice. Ces éléments se trouvaient aussi dans le projet de loi C-12.

2.4.3 Registre des atteintes aux mesures de sécurité

Le nouvel article 10.3 de la LPRPDE renferme un élément qui n’était pas dans le projet de loi C-12 et qui oblige les organisations à tenir et à conserver un registre de toutes les atteintes aux mesures de sécurité qui ont trait à des renseignements personnels dont elles ont la gestion. Ces dossiers sont communiqués au commissaire sur demande.

2.5 Recours (art. 11 à 15)

Les articles 11 et 12 du projet de loi S-4 apportent des modifications corrélatives à la LPRPDE concernant les accords de conformité. L’article 11 du projet de loi ajoute à l’article 11 de la LPRPDE (relatif au dépôt des plaintes) un renvoi à la nouvelle section 1.1, et l’article 12 du projet de loi ajoute à l’article 12 de la LPRPDE (relatif à l’examen des plaintes) un renvoi au nouvel article 17.1.

L’article 13 du projet de loi modifie l’article 14 de la LPRPDE quant au moment où un plaignant peut demander une audience à la Cour fédérale après avoir reçu le rapport du commissaire (s’il est toujours insatisfait) ou avoir été informé de la fin de l’examen de la plainte. Il convient de noter que l’article 13 prolonge de 45 jours à un an le délai durant lequel le plaignant peut faire une demande à la Cour après la transmission du rapport ou de l’avis 32. Cette disposition ne figurait pas dans le projet de loi C-12.

2.5.1 Accord de conformité (art. 15)

L’article 15 du projet de loi, qui ajoute les nouveaux articles 17.1 et 17.2 à la LPRPDE, accorde au commissaire à la protection de la vie privée de nouveaux pouvoirs pour conclure des accords de conformité avec des organisations qu’il soupçonne, pour des motifs raisonnables, d’avoir contrevenu ou d’être sur le point de contrevenir aux dispositions des sections 1 ou 1.1, ou d’avoir omis de mettre en œuvre une recommandation énoncée à l’annexe 1 de la LPRPDE (nouveau par. 17.1(1) de la LPRPDE).

L’accord de conformité est assorti des conditions que le commissaire estime nécessaires pour faire respecter la LPRPDE (nouveau par. 17.1(2) de la LPRPDE).

Si une organisation respecte un accord de conformité conclu avec le commissaire, celui-ci ne peut ensuite demander une audience à la Cour fédérale sur cette question (nouveau par. 17.1(3) de la LPRPDE). Toutefois, la conclusion d’un accord de conformité n’a pas pour effet d’empêcher les poursuites pour infraction à la LPRPDE ni d’empêcher un plaignant de demander une audience à la Cour fédérale aux termes de la LPRPDE (nouveau par. 17.1(4) de la LPRPDE).

Cependant, s’il estime que l’organisation n’a pas respecté l’accord de conformité, le commissaire doit en aviser l’organisation et peut ensuite demander à la Cour fédérale de rendre une ordonnance enjoignant à l’organisation de se conformer aux conditions de l’accord de conformité, en plus des autres recours que peut accorder la Cour. Le commissaire peut aussi demander à la Cour de rétablir l’audience qui a été suspendue en raison de l’accord de conformité (nouveau par. 17.2(2) de la LPRPDE).

Les dispositions relatives aux accords de conformité devraient renforcer la capacité qu’a le commissaire de faire respecter la LPRPDE. De fait, elles semblent donner suite à la recommandation faite par l’ex-commissaire à la protection de la vie privée Jennifer Stoddart, soit de modifier la LPRPDE pour permettre au commissaire de conclure des « ententes exécutoires » avec les organisations afin de s’assurer que celles-ci remplissent leurs engagements de se conformer aux recommandations du commissaire après les enquêtes.

2.6 Dispositions générales (art. 17, 20, 21 et 24)

2.6.1 Confidentialité (art. 17)

L’article 17 du projet de loi S-4 modifie l’article 20 de la LPRPDE concernant ce que le commissaire peut divulguer. À quelques exceptions près, le commissaire ne peut divulguer l’information dont il prend connaissance dans l’exercice de ses attributions (par. 20(1) de la LPRPDE) ou figurant dans une déclaration relative à une atteinte aux mesures de sécurité ou dans un registre des atteintes aux mesures de sécurité tenu par une organisation (par. 20(1.1) de la LPRPDE).

L’article 20 prévoit d’autres exceptions permettant la divulgation :

  • Le commissaire peut rendre publique toute information dont il prend connaissance (dans l’exercice de ses attributions) s’il estime que cela est dans l’intérêt public (par. 20(2)).
  • Le commissaire peut communiquer toute information nécessaire pour examiner une plainte ou procéder à une vérification ou motiver les conclusions et recommandations contenues dans les rapports (par. 20(3)).
  • Le commissaire peut communiquer des renseignements dans le cadre de procédures judiciaires (p. ex. une procédure intentée pour une infraction, ou une audience de la Cour fédérale (par. 20(4)).
  • Le commissaire peut communiquer au procureur général du Canada ou à celui d’une province des renseignements concernant la perpétration d’une infraction au droit fédéral ou provincial (par. 20(5)).
  • Enfin, le commissaire peut communiquer à une institution gouvernementale tout renseignement figurant dans une déclaration d’atteinte aux mesures de sécurité ou dans un registre des atteintes aux mesures de sécurité s’il a des motifs raisonnables de croire que le renseignement pourrait être utile à une enquête sur une contravention au droit fédéral ou provincial (par. 20(6)).

2.6.2 Rapport annuel au Parlement (art. 20)

L’article 20 du projet de loi modifie l’article 25 de la LPRPDE pour préciser que le commissaire doit présenter son rapport annuel au Parlement sur la LPRPDE dans les trois mois suivant la fin de chaque exercice. À l’heure actuelle, il n’existe aucun délai ferme.

2.6.3 Règlement (art. 21)

L’article 21 du projet de loi élargit les pouvoirs de réglementation énoncés à l’article 26 de la LPRPDE en permettant au gouverneur en conseil de « prendre toute mesure d’application de la présente partie » et en ajoutant le mot « notamment » pour indiquer que les pouvoirs de réglementation énoncés à l’article 26 ne sont pas limités. L’article 21 prévoit aussi que le gouverneur en conseil peut « prendre toute mesure d’ordre réglementaire prévue par la présente partie ». Les pouvoirs de réglementation plus larges donneront une plus grande latitude au gouvernement pour clarifier les questions susceptibles de découler de l’application de la LPRPDE.

2.6.4 Infractions et peines (art. 24)

L’article 24 du projet de loi modifie l’article 28 de la LPRPDE pour prévoir que toute organisation qui contrevient sciemment aux nouvelles dispositions de cette loi obligeant les organisations à déclarer les atteintes aux mesures de sécurité et à tenir un registre de ces dernières ou qui entrave l’action du commissaire dans le cadre d’une vérification ou de l’examen d’une plainte commet une infraction et encourt une amende d’au plus 100 000 $ en cas de déclaration de culpabilité par mise en accusation ou d’au plus 10 000 $ en cas de déclaration de culpabilité par procédure sommaire.

2.7 Dispositions de coordination et entrée en vigueur (art. 26 et 27)

L’article 26 du projet de loi renferme des dispositions de coordination avec d’autres lois qui entreront prochainement en vigueur, notamment la nouvelle loi canadienne anti-pourriel, Loi visant à promouvoir l’efficacité et la capacité d’adaptation de l’économie canadienne par la réglementation de certaines pratiques qui découragent l’exercice des activités commerciales par voie électronique et modifiant la Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes, la Loi sur la concurrence, la Loi sur la protection des renseignements personnels et les documents électroniques et la Loi sur les télécommunications 33. Comme le signale le site Web anti-pourriel du gouvernement fédéral, cette loi entrera en vigueur le 1er juillet 2014, exception faite de ses articles liés à l’installation non sollicitée de programmes informatiques ou de logiciels, qui prendront effet le 15 janvier 2015 34.

L’article 27 du projet de loi prévoit que les articles 10, 11 et 14, les paragraphes 17(1) et 17(4) ainsi que les articles 19 et 22 à 25 entreront en vigueur le jour fixé par décret. Les dispositions du projet de loi qui ne sont pas mentionnées aux articles 26 ou 27 entreront en vigueur, par défaut, le jour où le projet de loi recevra la sanction royale 35.

3 Commentaire

La réaction initiale au projet de loi S-4 a été généralement favorable aux dispositions exigeant la déclaration obligatoire des atteintes aux mesures de sécurité et l’imposition d’amendes pour défaut de déclaration et d’enregistrement de telles atteintes 36. En outre, la disposition permettant au commissaire à la protection de la vie privée de conclure des accords de conformité avec les organisations, ce que l’on considère comme une étape vers l’accroissement des pouvoirs d’application de la loi, a reçu un bon accueil.

Par exemple, dans ses observations préliminaires sur le projet de loi, Chantal Bernier, qui était alors commissaire à la protection de la vie privée par intérim, a dit :

particulièrement, j’accueille avec satisfaction les propositions relatives au signalement obligatoire des atteintes à la vie privée, ainsi qu’aux nouvelles pénalités et aux dispositions qui faciliteront le travail de mon bureau lorsqu’il s’agira de veiller à ce que les entreprises respectent les mesures envers lesquelles elles se sont engagées au cours de nos enquêtes [...] C’est aussi un plaisir de constater que nous disposerons d’une plus grande latitude afin de diffuser publiquement davantage de renseignements auprès des Canadiennes et Canadiens à propos de nos enquêtes 37.

Le commissariat à la protection de la vie privée du Canada a exprimé un avis semblable dans son mémoire présenté au Comité sénatorial le 4 juin 2014 :

Globalement, les modifications proposées renforceront le droit des Canadiens à la vie privée en ce qui a trait à leurs interactions avec les entreprises du secteur privé, amélioreront la reddition des comptes et prévoiront des mesures propres à inciter les organisations à se conformer à la loi 38.

La principale préoccupation initialement exprimée à propos du projet de loi portait sur l’ajout de nouvelles dispositions permettant la collecte, l’utilisation et la communication de renseignements personnels par les organisations sans le consentement des intéressés. Par exemple, le professeur de droit de l’Université d’Ottawa Michael Geist a dit craindre que le projet de loi ait pour effet d’élargir la possibilité de la communication sans mandat de renseignements personnels à n’importe qui, et non seulement aux responsables de l’application de la loi (allusion au projet de loi C-13). Il a ajouté :

Si l’on décode le jargon juridique, on constate que les organisations pourront communiquer des renseignements personnels sans le consentement des intéressés (et sans ordonnance du tribunal) à toute organisation enquêtant sur une rupture de contrat ou la contravention possible à une loi, tant dans le passé que dans l’avenir. Qui plus est, la communication se fera en secret, à l’insu de l’intéressé (qui ne pourra pas contester la communication faute de savoir qu’elle s’est produite) 39.

Il a réitéré cette préoccupation lorsqu’il a témoigné devant le Comité sénatorial le 4 juin 2014 40.

Des observations semblables ont été formulées par Peter Murphy, partenaire au cabinet d’avocats canadien Gowling Lafleur Henderson LLP : « le projet de loi S-4 propose certains changements souhaitables à la LPRPDE, mais il suscite aussi des inquiétudes sérieuses concernant la vie privée des particuliers ». M. Murphy s’est arrêté en particulier aux dispositions permettant le partage de renseignements personnels, sans le consentement des intéressés, entre organisations dans le cadre d’enquêtes sur des violations de lois ou d’accords ou des cas de fraude ou d’exploitation financière. Il a souligné que :

Ce changement semble permettre des coups de sonde par des entreprises souhaitant poursuivre des particuliers. Par exemple, les titulaires de droits d’auteur auraient des motifs pour obtenir librement des listes d’adresses Internet de particuliers afin de trouver et de poursuivre ceux qui téléchargent des œuvres illégalement. Cela pourrait être une intrusion grave dans la vie privée des gens sans l’ajout de contrôles raisonnables au libellé proposé 41.

D’autres témoins entendus par le Comité sénatorial, notamment des fonctionnaires du Commissariat à la protection de la vie privée du Canada ainsi que des représentants de l’Association du Barreau canadien, du Centre pour la défense de l’intérêt public et de l’Association de la recherche et de l’intelligence marketing ont exprimé des préoccupations semblables 42.

Des révélations faites à la fin d’avril 2014 au sujet de la mesure dans laquelle les sociétés de télécommunications divulguent sur demande des renseignements au sujet de leurs clients à des organismes gouvernementaux semblent avoir aggravé les préoccupations relatives à la communication sans mandat 43.

Les parties intéressées du secteur commercial semblent toutefois estimer que les nouvelles exigences de consentement contenues dans le projet de loi en constituent l’élément le plus problématique. Comme l’a affirmé Adam Kardash, partenaire au cabinet d’avocats Osler Hoskin and Harcourt LLP de Toronto, la disposition relative au consentement pourrait représenter l’aspect le plus important et le plus problématique du projet de loi 44. Cependant, cette question n’a pas beaucoup retenu l’attention au cours des audiences que le Comité sénatorial a tenues sur le projet de loi S-4 45.


Notes

*  Avertissement : Par souci de clarté, les propositions législatives du projet de loi décrit dans le présent résumé législatif sont énoncées comme si elles avaient déjà été adoptées ou étaient déjà en vigueur. Il ne faut pas oublier, cependant, qu’un projet de loi peut faire l’objet d’amendements au cours de son examen par la Chambre des communes et le Sénat, et qu’il est sans effet avant d’avoir été adopté par les deux chambres du Parlement, d’avoir reçu la sanction royale et d’être entré en vigueur.Retour au texte ]

  1. Projet de loi S-4, Loi modifiant la Loi sur la protection des renseignements personnels et les documents électroniques et une autre loi en conséquence, 2e session, 41e législature. [ Retour au texte ]
  2. Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), L.C. 2000, ch. 5. [ Retour au texte ]
  3. Miguel Bernal-Castillero, Les lois fédérales du Canada sur la protection de la vie privée, publication no 2007-44-F, Ottawa, Service d’information et de recherche parlementaires, Bibliothèque du Parlement, 1er octobre 2013. [ Retour au texte ]
  4. En 1998, l’Union européenne (UE) a adopté une directive assurant la protection des renseignements personnels tout en permettant leur libre circulation au sein de l’UE. La directive obligeait tous les pays membres à s’y conformer en adoptant une loi sur la protection des données ou en modifiant leur législation existante. L’art. 25 de la directive étendait la portée de celle-ci au-delà de l’UE en interdisant aux pays membres (et aux entreprises s’y trouvant) de transférer des renseignements personnels à tout pays non membre dont les lois ne protègent pas assez ces renseignements. Voir Parlement européen, Conseil de l’Union européenne, Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, 24 octobre 1995. [ Retour au texte ]
  5. Le 1er janvier 2001, la LPRPDE s’appliquait au secteur privé réglementé par le gouvernement fédéral (c.-à-d. les banques, les télécommunications, le transport interprovincial), puis le 1er janvier 2002, aux renseignements personnels en santé, et enfin, le 1er janvier 2004, à l’ensemble du secteur privé, même aux organisations qui recueillent, utilisent ou communiquent des renseignements personnels dans une province seulement. Les organisations exerçant leur activité dans les Territoires du Nord-Ouest, le Yukon et Nunavut sont considérées comme des entreprises fédérales au sens de la LPRPDE. [ Retour au texte ]
  6. Commissariat à la protection de la vie privée du Canada, Se conformer à la Loi sur laprotection des renseignements personnels et les documents électroniques, fiche d’information. [ Retour au texte ]
  7. La partie 2 de la LPRPDE porte sur les documents électroniques et vise principalement à les assimiler à des documents juridiques et à préciser à quel moment ils ont force de loi au même titre que les versions sur papier. [ Retour au texte ]
  8. LPRPDE, art. 3. [ Retour au texte ]
  9. La portée constitutionnelle fédérale de la LPRPDE est largement fondée sur la compétence fédérale en matière de commerce, bien que l’on ait souligné que « la partie 1 de la LPRPDE a des caractéristiques à la fois fédérales et provinciales, ce qui découle nécessairement de son objet consistant à réglementer la circulation des renseignements personnels au pays et hors du pays ». (Josh Nisker, « PIPEDA: A Constitutional Analysis pdf (80 ko, 27 pages) », La revue du barreau canadien, vol. 85, 2006, p. 342 [traduction].)

    En décembre 2003, le procureur général du Québec a contesté la constitutionnalité de la LPRPDE, soutenant qu’elle empiétait sur la compétence provinciale. Cette affaire est en cours, mais ne progresse guère. Voir Michael Geist, « State Farm challenges Canada’s privacy law in court », The Toronto Star, 5 avril 2010.

    Le 9 juillet 2010, la Cour fédérale a restreint la portée de la définition d’« activité commerciale » dans la LPRPDE par suite d’une contestation constitutionnelle soulevée par une organisation du secteur privé, la State Farm Mutual Automobile Insurance Company. Celle-ci contestait l’application des dispositions de la LPRPDE aux renseignements recueillis par un assureur, au nom d’un assuré, dans une action en responsabilité civile délictuelle. Le juge Robert Mainville a statué que la LPRPDE ne s’applique pas à ce genre de preuves puisqu’aucun caractère commercial n’est associé à cette activité, qui ne concerne que deux personnes (la LPRPDE s’applique aux activités commerciales). Cette décision limite effectivement l’applicabilité des lois sur les renseignements personnels à la collecte de renseignements personnels par une personne ou au nom de personnes. Voir State Farm Mutual Automobile Insurance Company c. Commissaire à la protection de la vie privée, 2010 CF 736. [ Retour au texte ]
  10. LPRPDE, art. 11. [ Retour au texte ]
  11. Ibid., art. 14 à 17. [ Retour au texte ]
  12. Ibid., art. 18. [ Retour au texte ]
  13. Ibid., art. 23 et 23.1. [ Retour au texte ]
  14. Ibid., art. 24. [ Retour au texte ]
  15. Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique de la Chambre des communes (ETHI), Examen, prévu par la loi, de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ), quatrième rapport, 1re session, 39e législature, mai 2007. [ Retour au texte ]
  16. ETHI, Réponse du gouvernement au quatrième rapport du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique : Examen, prévu par la loi, de la Loi sur la protection des renseignements personnels et de l’éthique (LPRPDE), 1re session, 39e législature, octobre 2007. [ Retour au texte ]
  17. Projet de loi C-29, Loi modifiant la Loi sur la protection des renseignements personnels et les documents électroniques, 3e session, 40e législature. [ Retour au texte ]
  18. Projet de loi C-12, Loi modifiant la Loi sur la protection des renseignements personnels et les documents électroniques, 1re session, 41e législature. [ Retour au texte ]
  19. Projet de loi C-475, Loi modifiant la Loi sur la protection des renseignements personnels et documents électroniques (pouvoir de rendre des ordonnances), 1re session, 41e législature (reporté à la 2e session, 41e législature, rejeté à la deuxième lecture le 29 janvier 2014). Le projet de loi C-475 aurait certes imposé l’obligation de déclarer les atteintes à la sécurité, mais selon une norme et une démarche différentes de celles prévues dans le projet de loi C-29. [ Retour au texte ]
  20. ETHI, Protection de la vie privée et médias sociaux à l’ère des mégadonnées pdf (1 Mo, 118 pages), cinquième rapport, 1re session, 41e législature, avril 2013, p. 37. Un certain nombre de témoins qui ont comparu durant l’étude ont fait des observations sur le projet de loi C-12.

    Par exemple, selon Tamir Israel, de la Clinique d’intérêt public et de politique d’Internet du Canada Samuelson-Glushko de l’Université d’Ottawa, le projet de loi C-12 « prévoit un cadre raisonnable pour la notification des atteintes à la protection des données, sous réserve de quelques ajustements et d’un engagement à imposer des pénalités pour la non-conformité, afin d’en assurer l’efficacité » (p. 38).

    Jennifer Stoddart, alors commissaire à la protection de la vie privée, s’est dite inquiète que « dans sa forme actuelle, le projet de loi C-12 n’était pas une réponse adéquate à la menace continue et grandissante que constituent la fuite de données et les bris de confidentialité relatifs aux données » (p. 39). Elle a suggéré qu’une façon de renforcer la mesure législative serait d’établir un système de pénalités « qui inciterait les entreprises à investir dans la protection des données et qui aurait un effet dissuasif à l’égard des violations de confidentialité, tout en restant souple pour ne pas nuire aux petites organisations » (p. 39). [ Retour au texte ]
  21. Aux termes de l’art. 29 de la LPRPDE, un examen prévu par la loi aurait dû avoir lieu en 2011-2012 (cinq ans après l’examen précédent). [ Retour au texte ]
  22. Commissariat à la protection de la vie privée du Canada, Arguments en faveur de la réforme de la Loi sur la protection des renseignements personnels et les documents électroniques, 23 mai 2013. [ Retour au texte ]
  23. Des options possibles sont des dommages-intérêts prévus par la loi administrés par la Cour fédérale, ainsi que le fait de conférer au commissaire à la protection de la vie privée le pouvoir de rendre des ordonnances, d’imposer des pénalités pécuniaires administratives, ou les deux, lorsque les circonstances l’exigent. [ Retour au texte ]
  24. Cependant, le projet de loi C-12 comportait une autre disposition permettant la communication aux fins « de l’exercice de fonctions de police » qui ne figurent pas ailleurs dans l’art. 7. Les circonstances exceptionnelles existantes dans lesquelles des renseignements personnels peuvent être communiqués sur demande (et par une autorité légitime) en vertu de la LPRPDE sans le consentement de l’intéressé comprennent déjà :
    • la sécurité nationale, la défense et les affaires internationales;
    • l’application de toute loi du Canada, d’une province ou d’un pays étranger;
    • la collecte de renseignements de sécurité relativement à l’application de toute loi du Canada, d’une province ou d’un pays étranger;
    • l’administration de toute loi du Canada ou d’une province. [ Retour au texte ]
  25. Projet de loi C-12, par. 6(12). [ Retour au texte ]
  26. Tim Banks, « Canada’s Digital Privacy Rethink: Fines, Enforceable Compliance Agreements and More! », Dentons Privacy and Data Security Law (blogue), 9 avril 2014 [traduction]. M. Banks fait allusion au projet de loi C-13, Loi modifiant le Code criminel, la Loi sur la preuve au Canada, la Loi sur la concurrence et la Loi sur l’entraide juridique en matière criminelle, 2e session, 41e législature (version de la première lecture, 20 novembre 2013).

    Selon l’art. 20 du projet de loi C-13, un fournisseur de services de télécommunications peut volontairement conserver des données et les communiquer à une agence chargée de l’application de la loi, même s’il n’y a pas eu demande ou ordonnance de préservation, sans s’exposer à des sanctions civiles ou pénales (nouvel art. 487.0195 du Code criminel). Pour en savoir plus sur ce projet de loi, voir Julia Nicol et Dominique Valiquet, Résumé législatif du projet de loi C-13 : Loi modifiant le Code criminel, la Loi sur la preuve au Canada, la Loi sur la concurrence et la Loi sur l’entraide juridique en matière criminelle, publication no 41-2-C13-F, Ottawa, Service d’information et de recherche parlementaires, Bibliothèque du Parlement, 11 décembre 2013. [ Retour au texte ]
  27. Projet de loi C-12, art. 8. [ Retour au texte ]
  28. Banks (2014) [traduction]. [ Retour au texte ]
  29. Les organisations qui sont assujetties à la Personal Information Protection Act, S.A. 2003, ch. P-6.5, sont tenues de déclarer toute atteinte à la sécurité des renseignements personnels au commissaire à l’information et à la protection de la vie privée de l’Alberta de la façon suivante :
    34.1(1) L’organisation qui a la charge de renseignements personnels doit, dans un délai raisonnable, informer le commissaire de toute perte de renseignements personnels, de tout accès non autorisé à pareils renseignements ou de toute communication desdits renseignements lorsqu’une personne raisonnable croirait qu’il existe un risque réel de préjudice grave pour l’intéressé en raison de la perte, de l’accès non autorisé ou de la communication [traduction]. [ Retour au texte ]
  30. Voir Sénat, Comité permanent des transports et des communications, Témoignages, 2e session, 41e législature, 10 juin 2014. Après avoir entendu des témoins, le Comité sénatorial était d’avis qu’il ne fallait pas retarder la transmission de l’avis, même en cas d’enquête au criminel, en raison des conséquences négatives que pourrait avoir tout retard pour les personnes dont les renseignements sont compromis par une atteinte aux mesures de sécurité des données. [ Retour au texte ]
  31. Projet de loi C-475, art. 1 (art. 10.01 et 10.02 proposés de la LPRPDE). [ Retour au texte ]
  32. Au 22e Congrès annuel de l’Association sur l’accès à l’information et la protection de la vie privée tenu le 16 avril 2014 à Québec, la commissaire de la protection de la vie privée par intérim Chantal Bernier a souligné, dans sa déclaration préliminaire, que le délai d’un an correspond mieux au temps qu’il faut en réalité pour négocier la question. Voir Patrick Cormier, « Protection de la vie privée au Canada: Finalement, des dents plus longues! », Slaw, 16 avril 2014. [ Retour au texte ]
  33. Loi visant à promouvoir l’efficacité et la capacité d’adaptation de l’économie canadienne par la réglementation de certaines pratiques qui découragent l’exercice des activités commerciales par voie électronique et modifiant la Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes, la Loi sur la concurrence, la Loi sur la protection des renseignements personnels et les documents électroniques et la Loi sur les télécommunications, L.C. 2010, ch. 23. [ Retour au texte ]
  34. Gouvernement du Canada, « Faits en bref », La Loi canadienne anti-pourriel. [ Retour au texte ]
  35. Loi d’interprétation, L.R.C. 1985, ch. I-21, art. 5. [ Retour au texte ]
  36. Voir par exemple, Emily Chung, « New privacy rules target data breaches, fraud: Privacy commissioner would get new enforcement powers under Digital Privacy Act », CBC News, 10 avril 2014. [ Retour au texte ]
  37. Chantal Bernier, commissaire à la protection de la vie privée par intérim du Canada, Déclaration de la commissaire à la protection de la vie privée du Canada par intérim concernant le Projet de loi S-4, la Loi sur la protection des renseignements numériques, communiqué, 8 avril 2014. [ Retour au texte ]
  38. Commissariat à la protection de la vie privée du Canada, Projet de loi S-4, Loi modifiant la Loi sur la protection des renseignements personnels et les documents électroniques et une autre loi en conséquence - Mémoire présenté au Comité sénatorial permanent des transports et des communications, 4 juin 2014. [ Retour au texte ]
  39. Michael Geist, Why the Digital Privacy Act Undermines Our Privacy: Bill S-4 Risks Widespread Warrantless Disclosure, blogue, 10 avril 2014 [traduction]. [ Retour au texte ]
  40. Michael Geist, Diving Into the Digital Privacy Act: My Appearance Before Senate Transport & Comm Committee on S-4, blogue, 5 juin 2014. [ Retour au texte ]
  41. « Canada: PIPEDA reforms propose breach notification, CAN $100,000 fines », Privacy This Week, 17 avril 2014 [traduction]. [ Retour au texte ]
  42. Sénat, Comité permanent des transports et des communications, Témoignages, 2e session, 41e législature, 3 et 4 juin 2014. [ Retour au texte ]
  43. Steven Chase et Colin Freeze, « Reports of massive public surveillance badly timed for Conservatives’ cyberbills », The Globe and Mail [Toronto], 1er mai 2014. [ Retour au texte ]
  44. Mark Burgess, « Business lobby set to take on government’s Digital Privacy Act: Lobbyists are lining up in response to the government’s digital privacy bill », The Hill Times, 28 avril 2014. [ Retour au texte ]
  45. Selon un groupe, le Centre pour la défense de l’intérêt public, la disposition serait redondante et pourrait prêter à confusion. Voir Sénat, Comité permanent des transports et des communications, Témoignages, 2e session, 41e législature, 4 juin 2014 (John Lawford, avocat et directeur général, Centre pour la défense de l’intérêt public). [ Retour au texte ]

© Bibliothèque du Parlement