Résumé législatif du projet de loi C-11 : Loi édictant la Loi sur la protection de la vie privée des consommateurs et la Loi sur le Tribunal de la protection des renseignements personnels et des données et apportant des modifications corrélatives et connexes à d'autres lois

Résumé Législatif
Résumé législatif du projet de loi C-11 : Loi édictant la Loi sur la protection de la vie privée des consommateurs et la Loi sur le Tribunal de la protection des renseignements personnels et des données et apportant des modifications corrélatives et connexes à d'autres lois
Sabrina Charland, Division des affaires juridiques et sociales
Alexandra Savoie, Division de l'économie, des ressources et des affaires internationales
Ryan van den Berg, Division de l'économie, des ressources et des affaires internationales
Publication no 43-2-C11-F
PDF 2044, (31 Pages) PDF
2020-12-10

Table des matières

Dans ce résumé législatif, tout changement d’importance depuis la dernière publication est indiqué en caractères gras.


1  Contexte

Le 17 novembre 2020, le ministre de l'Innovation, des Sciences et de l'Industrie a déposé à la Chambre des communes le projet de loi C-11 1. Le projet de loi vise à créer deux nouvelles lois : la Loi sur la protection de la vie privée des consommateurs (LPVPC) et la Loi sur le tribunal de la protection des renseignements personnels et des données (Loi sur le Tribunal). Le projet de loi abroge la partie 1 de la Loi sur la protection des renseignements personnels et documents électroniques (LPRPDE) et remplace le titre abrégé de cette loi par Loi sur les documents électroniques.

Il s'agit du premier projet de loi visant la réforme complète de la loi fédérale en matière de protection des renseignements personnels dans le secteur privé depuis l'adoption de la LPRPDE en 2000 2.

De façon générale, la LPVPC :

  • codifie le contenu des principes relatifs à l'équité dans le traitement de l'information que l'on retrouve à l'annexe 1 de la LPRPDE en les reformulant sous forme de dispositions législatives;
  • maintient le consentement valide comme fondement juridique de la collecte, de l'utilisation ou de la communication de renseignements personnels par une organisation (art. 15);
  • comprend plusieurs exceptions au consentement, dont deux nouvelles exceptions portant sur les activités d'affaires d'une organisation et la communication de renseignements personnels à des fins socialement bénéfiques (art. 18 et 39);
  • comprend un droit à l'effacement (art. 55);
  • intègre le concept de transparence algorithmique, sous la forme d'un droit à l'explication à l'égard de décisions prises par un système décisionnel automatisé (art. 62 et 63);
  • intègre le concept de portabilité des données, en permettant à deux organisations de se communiquer des renseignements personnels conformément à un cadre de mobilité des données prévu par règlement (art. 72);
  • prévoit des obligations à l'égard de la dépersonnalisation des renseignements personnels (art. 74 et 75);
  • confère au commissaire à la protection de la vie privée (le commissaire) des pouvoirs additionnels, dont la capacité de rendre des décisions et d'émettre des ordonnances, et le pouvoir de recommander au nouveau tribunal administratif créé par le projet de loi d'infliger une pénalité d'un montant maximal de 10 millions de dollars ou de 3 % des recettes globales brutes d'une organisation, si ce montant est plus élevé (art. 92 à 94);
  • prévoit, dans le cas d'une condamnation pour infraction à certaines dispositions spécifiques de la LPVPC ou en cas d'obstruction du travail du commissaire, la possibilité d'une amende maximale de 25 millions de dollars ou, s'il est supérieur, d'un montant égal à 5 % des recettes globales brutes de l'organisation (art. 125).

La Loi sur le Tribunal, de son côté, prévoit la constitution du Tribunal de la protection des renseignements personnels et des données (le Tribunal) et en définit le fonctionnement interne ainsi que les principes sur lesquels se fondent ses procédures.

1.1  Charte du numérique du Canada

Le titre abrégé du projet de loi est Loi de 2020 sur la mise en œuvre de la Charte du numérique. La Charte numérique du Canada (la Charte) a été dévoilée par Innovation, Sciences et Développement économique Canada (ISDE) en 2019 3. Cette charte est le résultat de consultations lancées en juin 2018 auprès de nombreuses parties prenantes 4. Parmi les 10 principes de la Charte, mentionnons les suivants :

  • le contrôle et le consentement;
  • la transparence, la portabilité et l'interopérabilité;
  • une application rigoureuse et une réelle responsabilité par l'imposition de sanctions claires et sévères pour toute violation des lois et l'adoption de règlements à l'appui des principes de la Charte.

Après la publication de la Charte, ISDE a publié, pour discussion, un document de travail sur la réforme de la LPRPDE dans lequel il énonçait des questions et des possibilités de modifications législatives 5. Le projet de loi semble découler de ces consultations.

1.2  Appels à la réforme de la Loi sur la protection des renseignements personnels et les documents électroniques

Le projet de loi fait suite à plusieurs appels à la réforme, entre autres par le commissaire et par le Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique de la Chambre des communes (le Comité).

Par exemple, dans son rapport annuel 2018-2019 portant sur la réforme des lois sur la vie privée, le commissaire recommande la modernisation des lois fédérales en matière de protection des renseignements personnels, dont la LPRPDE. Il recommande, entre autres, une approche fondée sur les droits pour protéger la vie privée des Canadiens, un pouvoir d'inspection proactive sans motifs et l'obligation de tenir compte du droit à la vie privée dès la conception 6.

Dans son rapport annuel 2019-2020 portant sur la vie privée en temps de pandémie, le commissaire réaffirme le besoin de réformer les lois fédérales en matière de protection des renseignements personnels, dont la LPRPDE. Il souligne que « [l]orsqu'il s'agit de protéger nos droits dans un environnement numérique, la législation n'est tout simplement pas à la hauteur 7 ». Plus récemment, il a présenté des propositions pour réglementer l'intelligence artificielle, dont des suggestions de modifications à la LPRPDE 8.

Pour sa part, le Comité a recommandé de nombreuses modifications à la LPRPDE dans les dernières années, entre autres dans son rapport sur l'examen de la LPRPDE publié en 2018 9. De nombreuses recommandations visant la modernisation de la LPRPDE ont aussi été formulées dans les deux rapports que le Comité a publiés en 2018 dans le cadre de son étude sur l'atteinte à la sécurité des renseignements personnels associée à Cambridge Analytica et à Facebook 10.

Le projet de loi semble donner suite à certaines des recommandations formulées par le commissaire ou le Comité dans le passé, notamment en conférant davantage de pouvoirs au commissaire, en introduisant un régime de sanctions monétaires plus sévère et en intégrant les concepts de portabilité des données et de transparence algorithmique dans la LPVPC.

1.3  Adéquation avec l'Union européenne

En vertu du Règlement général de la protection des données (RGPD) de l'Union européenne (UE), le transfert de données à caractère personnel vers un pays tiers ou une organisation internationale peut avoir lieu lorsque la Commission européenne (CE) a constaté que ce pays tiers ou cette organisation internationale assure un niveau de protection adéquat 11.

En 2001, la CE a reconnu, en vertu de la Directive 95/46/EC alors en vigueur, que la LPRPDE protégeait adéquatement les données personnelles en ce qui concerne la communication de renseignements personnels dans le cadre d'activités commerciales. Cette adéquation a été réaffirmée en 2006 12.

Le RGPD remplace cette directive. Il est entré en vigueur le 25 mai 2018 et prévoit la continuité des décisions d'adéquation existantes de l'UE, jusqu'à ce qu'une nouvelle évaluation soit réalisée 13. Le Canada maintient donc son statut d'adéquation pour l'instant. Toutefois, l'UE doit prochainement réévaluer le statut d'adéquation de la loi fédérale en matière de protection des renseignements personnels dans le secteur privé avec le RGPD.

Le statut d'adéquation fait en sorte que les données traitées en conformité avec le RGPD peuvent être transférées de l'UE au Canada, ou vice-versa, sans que des garanties supplémentaires relatives à la protection des données soient nécessaires (p. ex. une entente contractuelle) 14.

Depuis 2016, la CE est tenue de suivre l'évolution du cadre juridique canadien afin d'évaluer si le Canada continue d'assurer un niveau de protection adéquat. En outre, le gouvernement du Canada remet des rapports d'étape à la CE concernant les évolutions en matière de législation sur la protection des données au Canada 15. La date exacte de la réévaluation du statut d'adéquation du Canada n'est pas connue, mais le RGPD prévoit qu'une réévaluation doit avoir lieu tous les quatre ans, ce qui voudrait dire au plus tard en 2022 16.

2  Description et analyse

Le projet de loi contient 37 articles. Il est divisé en trois parties :

  • partie 1 : contient le texte complet de la nouvelle LPVPC, les modifications corrélatives et connexes, les modifications terminologiques et les dispositions transitoires et de coordination (art. 2 à 34);
  • partie 2 : contient le texte de la Loi sur le Tribunal et une modification connexe (art. 35 et 36);
  • partie 3 : contient la disposition d'entrée en vigueur (art. 37).

Sauf en ce qui concerne l'article 34 du projet de loi, qui contient des dispositions de coordination, l'entrée en vigueur des dispositions du projet de loi a lieu à une date fixée par décret.

La description qui suit met l'accent sur certains aspects du projet de loi, sans toutefois passer en revue toutes ses dispositions ni celles des deux lois que crée le projet de loi.

2.1  Loi sur la protection de la vie privée des consommateurs et autres dispositions (art. 2 du projet de loi)

L'article 2 du projet de loi présente la LPVPC comme étant une loi « visant à faciliter et à promouvoir le commerce électronique au moyen de la protection des renseignements personnels recueillis, utilisés et communiqués dans le cadre d'activités commerciales ». Cette loi est divisée en deux parties.

La partie 1 de la LPVPC traite des obligations des organisations en matière de protection des renseignements personnels (art. 7 à 75). La partie 2 de la LPVPC traite des attributions du commissaire et contient les dispositions générales (art. 76 à 126).

La LPVPC reprend plusieurs éléments de la LPRPDE, mais dans une structure qui ressemble davantage à un texte législatif habituel. Dans son libellé, la LPRPDE fait référence à des principes relatifs à l'équité dans le traitement de l'information, lesquels sont énoncés à l'annexe 1 (les principes énoncés à l'annexe 1 de la LPRPDE). Ces principes ne sont pas présentés dans un libellé législatif 17. Dans la LPVPC, ces principes sont intégrés dans le texte de la loi, dans un libellé législatif conventionnel 18.

La LPVPC impose de nombreuses obligations aux organisations auxquelles elle s'applique, dont l'établissement d'un programme de gestion des renseignements personnels et des obligations en matière de minimisation des données.

Les dispositions pertinentes de la LPVPC sont décrites plus en détail ci-dessous.

2.1.1  Personnes autorisées (art. 4 de la LPVPC)

Selon la LPVPC, les droits et recours qui y sont prévus peuvent être exercés par une personne autorisée par la loi à gérer les affaires ou les biens d'un mineur ou d'un individu décédé, ou par une personne qui a reçu une autorisation écrite. La LPRPDE ne contient aucune disposition de la sorte.

2.1.2  Objet (art. 5 de la LPVPC)

L'objet de la LPVPC demeure essentiellement le même que celui de la LPRPDE, soit de fixer des règles régissant la protection des renseignements personnels d'une manière qui tient compte du droit à la vie privée des individus, mais également du besoin des organisations de recueillir, d'utiliser ou de communiquer des renseignements personnels à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances (art. 5).

Dans sa déclaration relative au dépôt du projet de loi, le commissaire a toutefois indiqué ceci :

Le projet de loi C-11 ouvre la porte à de nouveaux usages commerciaux des renseignements personnels, sans consentement, sans préciser que cette autorisation est donnée à la condition que le droit à la vie privée soit respecté. Le projet de loi reprend plutôt la clause d'objet de la loi actuelle, qui donne la même importance à la protection de la vie privée et aux besoins commerciaux des organisations 19.

Bien que l'objet demeure essentiellement le même, le contexte dans lequel ces règles régissant la protection des renseignements personnels sont fixées a été modifié pour indiquer qu'elles le sont « dans une ère où les données circulent constamment au-delà des frontières et des limites géographiques et une part importante de l'activité économique repose sur l'analyse, la circulation et l'échange de renseignements personnels » (art. 5).

2.1.3  Champ d'application (art. 6 de la LPVPC)

La LPVPC s'applique à une organisation à l'égard des renseignements personnels qu'elle recueille, utilise ou communique dans le cadre d'activités commerciales, ainsi qu'à l'égard des renseignements personnels concernant ses employés ou des personnes qui postulent (par. 6(1)). Le champ d'application de la LPVPC est le même que celui de la LPRPDE.

Toutefois, en vertu de la LPVPC, la définition d'« activité commerciale » a changé. En effet, activité commerciale signifie « [t]oute activité régulière ainsi que tout acte isolé qui revêtent un caractère commercial, compte tenu des objectifs de l'organisation qui exerce l'activité ou commet l'acte, du contexte dans lequel l'activité est exercée ou l'acte est posé, des personnes en cause et des résultats de l'activité ou de l'acte » (art. 2).

Le titre de la LPVPC identifie le « consommateur » comme bénéficiaire des protections qui y sont prévues. Toutefois, c'est plutôt le terme « individu » qui est utilisé dans les dispositions de la LPVPC.

La LPVPC précise qu'elle s'applique aussi « à la collecte, à l'utilisation et à la communication de renseignements personnels, par une organisation, à l'échelle interprovinciale, internationale » et, sauf si l'organisation est exclue de l'application de la LPVPC en vertu de l'alinéa 119(2)b), à l'intérieur d'une province (par. 6(2)). L'alinéa 119(2)b) énonce le processus par lequel une province peut faire reconnaître sa loi provinciale comme étant « essentiellement semblable » à la LPVPC 20.

La LPVPC ne comprend aucune de disposition explicite en ce qui concerne son application extraterritoriale à des organisations qui ne sont pas établies pas au Canada 21.

2.1.4  Responsabilités des organisations (art. 7 à 11 de la LPVPC)

Suivant la LPVPC, toute organisation est responsable des renseignements personnels qui relèvent d'elle 22. Les renseignements relèvent d'une organisation lorsque celle-ci établit les fins pour lesquelles ils sont recueillis, utilisés ou communiqués. La LPVPC précise que l'organisation conserve cette responsabilité même si un fournisseur de services mène les activités pour elle. Les obligations prévues à la LPVPC ne s'appliquent pas au fournisseur de services pour ce qui est des renseignements qui lui sont transférés par une organisation (sauf s'il les recueille, utilise ou communique à d'autres fins que celles pour lesquelles ils lui ont été transférés). L'organisation s'assure également que tout fournisseur de services à qui elle transfère des renseignements personnels offre une protection équivalente à celle qu'elle offre elle-même (art. 7 et 11).

Chaque organisation désigne au moins un individu chargé des questions relatives aux obligations de l'organisation sous le régime de la LPVPC et elle met en œuvre un programme de gestion de la protection des renseignements personnels. Ce programme comprend les politiques, pratiques et procédures que l'organisation a mises en place afin de respecter les obligations qui lui incombent en vertu de la LPVPC. Il tient compte du volume et de la nature délicate des renseignements personnels qui relèvent de l'organisation (art. 8 et 9).

L'organisation donne aussi accès au contenu du programme au commissaire, lorsque ce dernier en fait la demande (art. 10).

2.1.5  Fins acceptables pour la collecte, l'utilisation et la communication de renseignements personnels, et limites applicables (art. 12 à 14 de la LPVPC)

Les articles 12 à 14 de la LPVPC appliquent un critère de nécessité et de proportionnalité quant à la collecte, à l'utilisation et à la communication de renseignements personnels 23.

La LPVPC prévoit qu'une organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels « qu'à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances » (par. 12(1)). Elle énonce les éléments à prendre en compte pour déterminer si les fins sont acceptables :

  • la mesure dans laquelle les renseignements personnels sont de nature délicate;
  • le fait que les fins visées correspondent à des besoins commerciaux légitimes de l'organisation;
  • le degré d'efficacité de la collecte, de l'utilisation ou de la communication pour répondre à ces besoins;
  • l'existence ou l'absence de moyens portant une moins grande atteinte à la vie privée de l'individu et permettant d'atteindre les fins visées à un coût et avec des avantages comparables;
  • la proportionnalité entre l'atteinte à la vie privée de l'individu et les avantages pour l'organisation.

L'établissement des fins acceptables se fait avant la collecte ou au plus tard au moment où elle a lieu, et ces fins doivent être consignées (par. 12(3)). La LPVPC ne précise pas comment la consignation doit être faite.

L'organisation peut recueillir, utiliser ou communiquer uniquement les renseignements personnels qui sont nécessaires aux fins établies pour la collecte. Si elle désire utiliser ou communiquer des renseignements recueillis pour une fin nouvelle, elle consigne cette dernière et obtient le consentement valide de l'individu concerné, sauf si une exception au consentement s'applique (par. 12(4) et art. 13 et 14).

2.1.6  Consentement (art. 15 à 17 de la LPVPC)

Le consentement demeure le fondement juridique par défaut qui permet à une organisation de recueillir, d'utiliser et de communiquer des renseignements personnels sous le régime de la LPVPC (art. 15). Faute de consentement, une organisation justifie la collecte, l'utilisation ou la communication des renseignements personnels par une exception. Les exceptions au consentement prévues en vertu de la LPVPC sont nombreuses et sont résumées à la section 2.1.7 ci-dessous.

Aux termes de la LPVPC, le consentement n'est valide que si l'organisation fournit, dans un langage clair, certains renseignements à l'individu concerné (par. 15(3)). Ces renseignements sont les suivants :

  • les fins de la collecte, de l'utilisation ou de la communication des renseignements personnels;
  • la façon dont les renseignements personnels seront recueillis, utilisés ou communiqués;
  • les conséquences raisonnablement prévisibles de la collecte, de l'utilisation ou de la communication des renseignements personnels;
  • le type précis de renseignements personnels que l'organisation recueillera, utilisera ou communiquera;
  • le nom des tiers ou les catégories de tiers auxquels les renseignements personnels pourraient être communiqués.

À titre de comparaison, la LPRPDE prévoit que le consentement « n'est valable que s'il est raisonnable de s'attendre à ce qu'un individu visé par les activités de l'organisation comprenne la nature, les fins et les conséquences de la collecte, de l'utilisation ou de la communication des renseignements personnels auxquelles il a consenti » (art. 6.1 de la LPRPDE).

Sous le régime de la LPVPC, une organisation peut déterminer que le consentement implicite est approprié dans certaines circonstances, compte tenu de la nature délicate des renseignements personnels et des attentes raisonnables de l'individu concerné (par. 15(4)). Il est interdit d'obtenir ou de tenter d'obtenir le consentement d'un individu par l'entremise de pratiques trompeuses ou mensongères (art. 16). De plus, l'individu concerné peut retirer son consentement à tout moment en avisant l'organisation de son intention suffisamment à l'avance, sous réserve de la LPVPC, du droit fédéral ou provincial, ou de toute restriction contractuelle « raisonnable » (art. 17).

2.1.7  Exceptions au consentement (art. 18 à 52 de la LPVPC)

Les exceptions qui permettent la collecte, l'utilisation ou la communication de renseignements personnels à l'insu ou sans le consentement de l'individu concerné, se déclinent en six catégories :

  • activités d'affaires d'une organisation (art. 18 à 28);
  • intérêt public (art. 29 à 39);
  • enquêtes (art. 40 à 42);
  • communication à une institution gouvernementale (art. 43 à 48);
  • exigence de la loi (art. 49 et 50);
  • renseignements publics (art. 51).

Les exceptions énoncées aux articles 23 à 38 et 40 à 51 reprennent en substance le contenu des articles 7 et 7.2 à 7.4, et des paragraphes 10.2(3) et 10.2(4) de la LPRPDE. Nous nous attardons ci-dessous aux nouvelles exceptions qui se trouvent dans la LPVPC.

Une nouvelle exception au consentement liée aux « activités d'affaires » permet à une organisation de recueillir ou d'utiliser les renseignements personnels d'un individu à son insu ou sans son consentement si la collecte ou l'utilisation est faite en vue d'une activité d'affaires. La collecte ou l'utilisation doit aussi remplir deux conditions : une personne raisonnable s'attendrait à une telle collecte ou utilisation; et les renseignements personnels ne sont pas recueillis ou utilisés pour influencer le comportement ou les décisions de l'individu (par. 18(1)).

Les activités d'affaires visées par cette exception comprennent notamment les activités de l'organisation nécessaires à la fourniture ou à la livraison d'un produit, ou à la prestation d'un service demandé par un individu, mais également « les activités dans le cadre desquelles il est pratiquement impossible pour l'organisation d'obtenir le consentement de l'individu, en raison de l'absence de lien direct avec celui-ci » (par. 18(2)).

Aux termes de la LPVPC, une organisation peut aussi transférer à un fournisseur de services les renseignements personnels d'un individu à son insu ou sans son consentement (art. 19). Elle peut aussi utiliser les renseignements personnels d'un individu, à son insu ou sans son consentement, pour les dépersonnaliser (art. 20). Le terme « dépersonnaliser » est ainsi défini à l'article 2 de la LPVPC :

Modifier des renseignements personnels – ou créer des renseignements à partir de renseignements personnels – au moyen de procédés techniques afin que ces renseignements ne permettent pas d'identifier un individu ni ne puissent, dans des circonstances raisonnablement prévisibles, être utilisés, seuls ou en combinaison avec d'autres renseignements, pour identifier un individu.

Une organisation peut utiliser des renseignements dépersonnalisés à des fins de recherche et de développement internes, à l'insu ou sans le consentement de l'individu concerné (art. 21). Elle peut aussi utiliser ou communiquer des renseignements personnels sans consentement dans le cadre d'une transaction commerciale éventuelle, mais, en vertu de la LPVPC, ces renseignements doivent être dépersonnalisés et doivent être nécessaires pour décider si la transaction aura lieu. L'organisation qui reçoit les renseignements personnels doit également s'engager, en vertu d'un accord entre les deux organisations qui seront partie à une éventuelle transaction commerciale, à ne les utiliser et à ne les communiquer qu'à des fins liées à la transaction ainsi qu'à les protéger, et si la transaction n'a pas lieu, à les remettre à l'organisation qui les lui a communiqués ou à procéder à leur retrait dans un délai raisonnable (art. 22).

La LPVPC prévoit aussi une nouvelle exception au consentement qui permet à une organisation de communiquer les renseignements personnels d'un individu à son insu ou sans son consentement pour une « fin socialement bénéfique ». Cette fin s'entend de « toute fin relative à la santé, à la fourniture ou à l'amélioration des services et infrastructures publics, à la protection de l'environnement ou de toute autre fin réglementaire » (art. 39). La communication des renseignements à des fins socialement bénéfique ne peut se faire que si les conditions suivantes sont remplies :

  • les renseignements sont dépersonnalisés;
  • les renseignements sont communiqués à un organisme public (une institution gouvernementale, un établissement de soins de santé ou d'enseignement postsecondaire, ou une bibliothèque publique au Canada), une organisation mandatée en vertu d'une loi fédérale ou provinciale ou une entité réglementaire;
  • la communication est faite pour réaliser une fin socialement bénéfique.

L'article 52 prévoit quant à lui qu'une organisation ne peut se prévaloir de certaines exceptions au consentement si elle recueille l'adresse électronique d'un individu, à son insu ou sans son consentement, à l'aide d'un programme d'ordinateur spécialisé ou si elle utilise une adresse électronique ainsi recueillie. Une organisation ne peut également pas se prévaloir d'une exception si elle recueille les renseignements personnels d'un individu, à son insu ou sans son consentement, en utilisant ou faisant utiliser un ordinateur en violation d'une loi fédérale. Il reprend en substance le libellé de l'article 7.1 de la LPRPDE.

2.1.8  Conservation, retrait et exactitude des renseignements personnels (art. 53 à 56 de la LPVPC)

Les articles 53 à 56 de la LPVPC portent sur les limites qui s'appliquent à la durée de conservation des renseignements personnels et à leur exactitude 24 :

  • les renseignements personnels ne sont conservés que le temps nécessaire pour réaliser les fins auxquelles ils ont été recueillis, utilisés ou communiqués, ou pour respecter toute exigence de la loi, du droit fédéral ou provincial, ou toute restriction contractuelle raisonnable (art. 53);
  • s'agissant de renseignements personnels qui ont servi à prendre une décision, l'organisation les conserve suffisamment longtemps pour permettre à l'individu concerné de lui présenter une demande d'information ou d'accès (art. 54);
  • l'organisation prend toutes les mesures raisonnables pour que les renseignements personnels qui relèvent d'elle soient à jour, exacts et complets, et la mesure dans laquelle les renseignements doivent être mis à jour, exacts et complets tient compte des intérêts de l'individu concerné et d'autres facteurs, notamment la possibilité que les renseignements servent à prendre une décision concernant l'individu; le fait que les renseignements sont utilisés sur une base régulière; et le fait que les renseignements sont communiqués à des tiers (art. 56).

La LPVPC introduit un nouveau droit explicite au retrait des renseignements personnels qu'une organisation a recueillis auprès d'un individu (droit à l'effacement). À la demande d'un individu, l'organisation procède au retrait à moins qu'il n'entraîne le retrait de renseignements personnels d'un autre individu qui ne peuvent être retranchés des siens ou qu'une exigence de la loi ou une restriction contractuelle raisonnable l'en empêche. Si l'organisation refuse de procéder au retrait des renseignements personnels d'un individu, elle motive son refus par écrit et avise l'individu de son droit de déposer une plainte auprès de l'organisation ou du commissaire. L'organisation avise également tout fournisseur de services à qui les renseignements ont été transférés qu'une demande de retrait a été présentée, et obtient la confirmation de ce dernier qu'il a procédé à leur retrait (art. 55).

2.1.9  Mesures de sécurité (art. 57 à 61 de la LPVPC)

Sous le régime de la LPVPC, une organisation doit protéger les renseignements personnels qu'elle détient 25. La protection se fait au moyen de mesures de sécurité matérielles, organisationnelles ou techniques, et le degré de protection doit être proportionnel à la nature délicate de ces renseignements. Les mesures doivent également tenir compte de la quantité de renseignements et de leur répartition, format et méthode de stockage (art. 57).

La LPVPC reprend également le contenu des articles 10.1 à 10.3 de la LPRPDE, qui prévoient un régime de déclaration d'atteinte aux mesures de sécurité (art. 58 à 60).

Ce régime fait en sorte qu'une organisation doit déclarer au commissaire toute atteinte aux mesures de sécurité concernant des renseignements personnels qui relèvent d'elle, lorsqu'il est « raisonnable de croire que, dans les circonstances, l'atteinte présente un risque réel de préjudice grave à l'endroit d'un individu ». Elle avise également l'individu concerné dès que possible (art. 58). Un préjudice grave peut prendre différentes formes, comme la lésion corporelle, l'humiliation et le dommage à la réputation ou aux relations (par. 58(7)).

L'organisation qui avise un individu d'une atteinte aux mesures de sécurité qui le concerne en avise aussi toute autre organisation ou institution gouvernementale qui peut être en mesure de réduire le risque de préjudice pouvant résulter de cette atteinte ou d'atténuer ce préjudice (art. 59). Elle tient un registre des atteintes aux mesures de sécurité qui ont trait à des renseignements personnels et en donne l'accès au commissaire, à la demande de ce dernier (art. 60). Tout fournisseur de services qui conclut à une atteinte aux mesures de sécurité ayant trait à des renseignements personnels en avise dès que possible l'organisation de laquelle ces renseignements relèvent (art. 61).

2.1.10  Ouverture et transparence (art. 62 de la LPVPC)

La LPVPC oblige une organisation à rendre facilement accessible des renseignements sur ses politiques et pratiques visant le respect de cette loi 26. Parmi les renseignements qu'une organisation doit rendre accessibles, mentionnons les suivants :

  • le fait qu'elle effectue ou non des transferts ou des communications de renseignements personnels interprovinciaux ou internationaux pouvant avoir des répercussions raisonnablement prévisibles sur la vie privée;
  • une explication générale de l'usage qu'elle fait des systèmes décisionnels automatisés pour faire des prédictions, formuler des recommandations ou prendre des décisions qui pourraient avoir une incidence importante sur les individus concernés.

Au sujet de la première catégorie de renseignements susmentionnée, une organisation doit rendre disponible l'information à l'égard des échanges de données transfrontaliers qu'elle effectue, mais seulement si elle a déterminé que ces échanges peuvent avoir des répercussions sur la vie privée des individus concernés.

En ce qui concerne la deuxième catégorie de renseignements à fournir, le terme « système décisionnel automatisé » est défini comme suit à l'article 2 de la LPVPC :

Technologie qui appuie ou remplace le jugement de décideurs humains au moyen de techniques telles que l'usage de systèmes basés sur des règles, l'analyse de régression, l'analytique prédictive, l'apprentissage automatique, l'apprentissage profond et l'usage de réseaux neuronaux.

L'article 62 introduit donc le concept de transparence algorithmique dans la LPVPC, sous la forme d'un droit à l'explication. Ce droit à l'explication est aussi présent à l'article 63 de la LPVPC.

2.1.11  Accès et rectification (art. 63 à 71 de la LPVPC)

À la demande d'un individu, une organisation lui indique si elle détient des renseignements personnels qui le concernent et, le cas échéant, l'usage qu'elle en a fait et s'ils ont été communiqués. Dans le cas où l'organisation a utilisé un système décisionnel automatisé pour faire une prédiction, formuler une recommandation ou prendre une décision concernant un individu, ce dernier peut demander à l'organisation une explication de la prédiction, de la recommandation ou de la décision. L'organisation doit alors indiquer la provenance des renseignements personnels utilisés pour faire la prédiction, formuler la recommandation ou prendre la décision. L'individu présente sa demande par écrit. (art. 63 et 64) 27.

La LPVPC introduit l'obligation de fournir l'information demandée dans un langage clair (art. 66). Cela devrait permettre d'éviter la transmission de documents volumineux rédigés en termes juridiques complexes.

L'organisation répond à la demande d'information au plus tard 30 jours après sa réception, à moins qu'elle n'informe le demandeur, dans les 30 jours suivant la réception de la demande, que ce délai sera prorogé (pour un maximum de 30 jours additionnels) ou qu'une période plus longue est nécessaire au transfert des renseignements personnels sur un support de substitution. Tout refus d'acquiescer à une demande d'information doit être motivé. Le cas échéant, l'organisation avise le demandeur et l'informe des recours qui s'offrent à lui (art. 67). L'organisation peut par ailleurs exiger des droits minimes pour le traitement d'une demande (art. 68). Les renseignements personnels visés par une demande d'information ou d'accès doivent être conservés le temps nécessaire pour permettre au demandeur d'épuiser tous les recours qui s'offrent à lui en vertu de la LPVPC (art. 69).

L'organisation ne peut mettre à la disposition d'un demandeur des renseignements personnels qui révèlent ceux d'un autre individu, sauf s'ils peuvent être retranchés, si l'autre individu consent à leur divulgation ou si le demandeur en a besoin parce que la vie, la santé ou la sécurité d'un individu est en danger (par. 70(1) et 70(2)).

Si un individu demande à une organisation de l'aviser de toute communication qu'elle a faite à une institution gouvernementale en vertu des exceptions au consentement que l'on retrouve aux articles 44 à 48 ou 50 de la LPVPC ou de l'existence de renseignements qu'elle détient à l'égard d'une telle communication, l'organisation notifie l'institution gouvernementale concernée. Dans les 30 jours suivant la date à laquelle la demande lui est notifiée, l'institution avise l'organisation du fait qu'elle s'oppose ou non à ce que cette dernière communique l'information recherchée au demandeur. Elle ne peut s'opposer à la demande que dans certaines circonstances, par exemple si elle est d'avis que faire droit à la demande d'information ou d'accès risquerait de nuire à la sécurité nationale ou au contrôle d'application du droit (par. 70(3) à 70(5)).

En cas d'opposition de la part de l'institution concernée, l'organisation refuse d'acquiescer à la demande d'information et d'accès, en avise le commissaire par écrit et ne met aucune information relative à la communication avec une institution gouvernementale à la disposition du demandeur. Dans un tel cas, l'organisation ne fournit pas au demandeur le nom de l'institution gouvernementale qu'elle a notifiée et ne l'informe pas du fait qu'il y a eu notification de la demande ni que l'institution s'oppose à ce que l'organisation y acquiesce (par. 70(6)).

L'organisation peut aussi refuser la communication de renseignements personnels à l'individu qui fait une demande d'information dans les cas suivants (par. 70(7)) :

  • les renseignements sont protégés par le secret professionnel de l'avocat ou du notaire ou par le privilège relatif au litige;
  • leur divulgation révélerait des renseignements commerciaux confidentiels;
  • leur divulgation risquerait de nuire à la vie ou la sécurité d'un autre individu;
  • les renseignements ont été recueillis à l'insu ou sans le consentement de l'individu concerné dans le cadre d'une enquête sur la violation d'un accord ou la violation du droit fédéral ou provincial et faire la collecte autrement aurait compromis l'exactitude des renseignements ou l'accès à ceux-ci;
  • les renseignements n'ont été produits qu'à l'occasion d'un règlement officiel des différends;
  • les renseignements ont été créés en vue de faire une divulgation au titre de la Loi sur la protection des fonctionnaires divulgateurs d'actes répréhensibles ou dans le cadre d'une enquête à l'égard d'une telle divulgation.

En ce qui concerne la modification des renseignements personnels, si un individu consulte ses renseignements personnels et démontre à une organisation qu'ils sont désuets, inexacts ou incomplets, cette dernière apporte les modifications requises et les transmet, s'il y a lieu, à tout tiers qui y a accès. S'il y a désaccord entre l'organisation et l'individu quant aux changements à apporter, ce désaccord est consigné et les tiers en sont informés, s'il y a lieu (art. 71).

2.1.12  Mobilités des renseignements personnels (art. 72 de la LPVPC)

La LPVPC intègre le concept de portabilité des données dans la loi, sous la forme d'un droit à la mobilité des renseignements personnels. Ce droit permet à un individu de demander que les renseignements personnels qu'une organisation a recueillis auprès de lui soient transmis à une autre organisation de son choix. Cependant, ce transfert n'est permis que lorsque les deux organisations en question sont soumises à un cadre de mobilité des données prévu par un règlement à venir.

2.1.13  Renseignements dépersonnalisés (art. 74 et 75 de la LPVPC)

La LPVPC précise que lorsqu'une organisation dépersonnalise des renseignements personnels, elle doit utiliser des procédés techniques et administratifs qui sont proportionnels aux fins auxquelles ces renseignements sont dépersonnalisés et à la nature délicate des renseignements personnels. Elle ne définit pas ce qu'elle entend par « procédés techniques et administratifs » (art. 74). Elle interdit également l'utilisation de renseignements dépersonnalisés, seuls ou en combinaison avec d'autres renseignements, afin d'identifier un individu, c'est-à-dire de personnaliser à nouveau des renseignements personnels (art. 75).

2.1.14  Codes de pratique et programmes de certification (art. 76 à 81 de la LPVPC)

Aux termes de l'article 24 de la LPRPDE, le commissaire encourage les organisations à élaborer des politiques détaillées – notamment des codes de pratiques – en vue de se conformer aux exigences de cette loi.

La LPVPC contient pour sa part un régime plus complet permettant à une organisation de demander au commissaire d'approuver un code de pratique ou un programme de certification en vertu de critères qui seront établis par règlement. Le programme de certification doit comprendre plusieurs éléments, dont un code de pratique, des lignes directrices sur l'interprétation et la mise en œuvre du code, et un mécanisme de vérification indépendante de la conformité d'une organisation au code. La décision du commissaire d'approuver un code de pratique ou un programme de certification est rendue publique (art. 76 à 79). Le fait de se conformer aux exigences d'un code de pratique ou d'un programme de certification n'exempte pas une organisation de ses obligations prévues par la LPVPC (art. 80). Sous ce régime, le commissaire dispose de certains pouvoirs qui lui permettent, par exemple, de demander des renseignements à toute entité qui gère un programme de certification ou de révoquer un programme de certification conformément aux règlements (art. 81).

2.1.15  Examen des plaintes, investigations, pénalités et appels (art. 82 à 95 et 100 à 105 de la LPVPC)

Les articles 82 à 87 de la LPVPC établissent le processus de plainte en vertu de la LPVPC ainsi que les circonstances dans lesquelles le commissaire peut refuser d'examiner une plainte ou en cesser l'examen. Ils reprennent en substance le contenu des articles 11, 12 et 12.2 de la LPRPDE 28. La LPVPC contient toutefois un nouveau motif pour lequel le commissaire peut refuser d'examiner une plainte s'il la juge irrecevable, à savoir si « la question soulevée dans la plainte fait l'objet d'un programme de certification approuvé par le commissaire […] et l'organisation concernée est certifiée dans le cadre de ce programme » (al. 83(1)d)). En outre, le commissaire peut mettre fin à l'examen d'une plainte si la circonstance prévue à l'alinéa 83(1)d) existe (art. 85).

Le commissaire peut tenter de parvenir au règlement d'une plainte par la médiation ou la conciliation, et il peut conclure un accord de conformité avec une organisation afin de lui faire respecter la LPVPC (art. 84 et 86). S'il met fin à l'examen d'une plainte ou s'il conclut, à l'issue de son examen, qu'il ne mènera pas d'investigation, le commissaire doit en aviser le plaignant et l'organisation visée par la plainte, et fournir des motifs à cet égard (art. 87).

Le processus d'investigation sous le régime de la LPVPC remplace les articles 14 à 17 de la LPRPDE, lesquels prévoyaient la possibilité d'un recours devant la Cour fédérale à la suite de l'examen d'une plainte par le commissaire et du rapport de ce dernier résumant ses conclusions et ses recommandations non contraignantes.

En vertu de la LPVPC, une fois l'examen de la plainte terminé, le commissaire peut aviser le plaignant et l'organisation visée qu'il va mener une investigation sur la plainte. Il peut aussi mener une telle investigation s'il a des motifs raisonnables de croire qu'un accord de conformité n'a pas été respecté (art. 88 et 89). Dans le cadre d'une investigation menée en vertu de la LPVPC, le commissaire n'est pas lié par les règles juridiques ou techniques en matière de preuve. Il tente plutôt d'agir rapidement et sans formalisme, et il est libre d'établir la procédure à suivre dans la conduite de l'investigation. Par ailleurs, il rend cette procédure publique (art. 90 et 91).

À la fin de l'investigation, le commissaire prend une décision qui expose ses conclusions quant à savoir si l'organisation a contrevenu à la LPVPC ou à un accord de conformité, toutes ordonnances rendues ou toutes recommandations au Tribunal d'infliger une pénalité. Le commissaire précise également les motifs de ses conclusions, de ses ordonnances ou de sa décision de faire des recommandations (art. 92). Suivant le paragraphe 92(2) de la LPVPC, le commissaire peut ordonner à une organisation ce qui suit :

  • prendre une mesure afin de se conformer à la LPVPC;
  • cesser une action qui contrevient à la LPVPC;
  • respecter un accord de conformité qu'elle a conclu;
  • rendre publiques ses actions qui visent à corriger ses politiques, pratiques ou procédures en matière de protection des renseignements personnels.

L'ordonnance rendue par le commissaire (ou par le Tribunal à l'issue d'un appel) peut être homologuée par la Cour fédérale en vue de son exécution (art. 103 à 105).

La LPVPC ne donne pas au commissaire le pouvoir d'imposer une pénalité. Seul le Tribunal peut infliger une pénalité sur recommandation du commissaire ou, de son propre chef à l'issue d'un appel, si le commissaire n'a pas formulé de recommandation en ce sens.

Le commissaire recommande une pénalité s'il conclut qu'une organisation a contrevenu à une ou plusieurs dispositions spécifiques de la LPVPC 29. Il doit tenir compte de certains éléments, dont la nature et la portée de la violation, tout versement volontaire de l'organisation à l'individu concerné à titre de dédommagement et les antécédents de l'organisation en matière de respect de la LPVPC. Il ne peut pas recommander une pénalité s'il est d'avis qu'au moment de la violation d'une disposition de la LPVPC, l'organisation se conformait aux exigences d'un programme de certification approuvé qui concerne cette disposition (art. 93).

L'appel de toute décision, conclusion ou ordonnance du commissaire se fait devant le Tribunal, qui peut rejeter l'appel ou y faire droit et substituer sa propre conclusion, ordonnance ou décision à celle en cause. La norme de contrôle applicable dans le cadre d'un appel est celle prévue dans la LPVPC (art. 100 à 102).

Le Tribunal peut, par ordonnance, infliger une pénalité à une organisation s'il a reçu une recommandation du commissaire ou si, à l'issue d'un appel en vertu du paragraphe 100(1) de la LPVPC, il décide qu'il est indiqué d'en infliger une même si le commissaire n'en a pas fait la recommandation. Pour décider s'il va infliger une pénalité à une organisation, le Tribunal se fonde sur les conclusions exposées dans la décision du commissaire (ou dans la sienne s'il la substitue à celle du commissaire à l'issue d'un appel) (par. 94(1) et 94(2)). Une pénalité ne peut être infligée à une organisation pour violation de la LPVPC si une poursuite a été engagée contre elle pour l'action ou l'omission qui constitue la violation en question ou si elle démontre qu'elle a pris les précautions voulues pour éviter une violation de la LPVPC (par. 94(3)).

Le montant maximal de la pénalité pour l'ensemble des violations est le plus élevé de « dix millions de dollars ou de 3 % des recettes globales brutes de l'organisation au cours de son exercice précédant celui pendant lequel la pénalité est infligée » (par. 94(4)). Pour déterminer le montant de la pénalité, le Tribunal doit tenir compte des éléments suivants :

  • les éléments que doit considérer le commissaire avant de faire sa recommandation au Tribunal;
  • la capacité de l'organisation à payer la pénalité et l'effet probable du paiement sur la capacité de celle-ci à exercer ses activités;
  • tout avantage financier que l'organisation a retiré de la violation de la LPVPC.

La LPVPC précise que le but de la pénalité n'est pas de punir, mais de favoriser le respect de la présente loi (par. 94(6)).

2.1.16  Vérifications (art. 96 et 97 de la LPVPC)

Le commissaire peut, avec préavis, mener une vérification des pratiques d'une organisation en matière de gestion des renseignements personnels s'il a des motifs raisonnables de croire que l'organisation a contrevenu à la partie 1 de la LPVPC. À l'issue de la vérification, il présente à l'organisation ses conclusions et les recommandations qu'il juge indiquées (art. 96 et 97).

2.1.17  Pouvoirs et attributions du commissaire (art. 98, 99 et 108 à 118 de la LPVPC)

La plupart des pouvoirs et attributions du commissaire sous le régime de la LPVPC demeurent les mêmes qu'en vertu de la LPRPDE.

Par exemple, en matière d'examens, d'investigations et de vérifications, le commissaire peut assigner et contraindre des témoins à comparaître devant lui, ou visiter tout local occupé par l'organisation. Toutefois, aux termes de la LPVPC, il peut aussi rendre une ordonnance provisoire ou ordonner à une organisation de conserver un renseignement pertinent pour le temps nécessaire à l'examen d'une plainte, d'une investigation ou d'une vérification (art. 98 et 99).

Par ailleurs, dans l'exercice de ses attributions, le commissaire tient compte, en plus de l'objet de la loi, de la taille et des recettes de l'organisation, du volume et de la nature délicate des renseignements personnels qui en relèvent et de toute question d'intérêt public (art. 108).

Le commissaire conserve son mandat de promotion de l'objet de la LPVPC, auquel sont ajoutés les conseils qu'il peut offrir à une organisation au sujet de son programme de gestion de la protection des renseignements personnels (art. 109). Le commissaire doit aussi rendre public du contenu explicatif sur la manière dont il exerce les attributions que la LPVPC lui confère (art. 111).

Aux termes de l'article 112, le commissaire et les personnes qui agissent en son nom ou sous son autorité sont tenus au secret en ce qui concerne les renseignements dont ils prennent connaissance dans le cadre de l'exercice de presque toutes leurs attributions prévues par la LPVPC. Le commissaire peut cependant rendre publique toute information dont il prend connaissance dans le cadre de l'exercice de ses attributions, s'il estime que cela est dans l'intérêt public (par. 112(3)). Il peut aussi communiquer des renseignements ou autoriser leur communication dans certaines circonstances, par exemple lors d'une audience ou d'un appel devant le Tribunal, ou au procureur général du Canada ou si le commissaire est d'avis qu'il existe des éléments de preuve touchant la perpétration d'infractions au droit fédéral ou provincial par un cadre ou un employé d'une organisation (par. 112(4) à 112(8)).

Le commissaire et les personnes agissant en son nom ou sous son autorité peuvent être appelés à témoigner à l'égard de questions venues à leur connaissance dans l'exercice des attributions que la LPVPC confère au commissaire, mais uniquement dans trois circonstances : dans le cadre de procédures intentées pour l'infraction visée à l'article 125 de la LPVPC; dans le cadre de procédures intentées en application du Code criminel (parjure) se rapportant à une déclaration faite en vertu de la LPVPC; ou dans le cadre d'une audience ou d'un appel devant le Tribunal (art. 113).

Le commissaire et les personnes agissant en son nom ou sous son autorité ne peuvent faire l'objet d'une poursuite au civil ou au criminel pour les actes accomplis de bonne foi dans le cadre de leurs fonctions. Ils bénéficient également d'une immunité contre les poursuites en diffamation (art. 114).

Aux termes de la LPVPC, le commissaire peut conclure des accords ou ententes avec le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) ou le commissaire à la concurrence en vue d'effectuer des recherches sur des questions d'intérêt commun et d'en publier les résultats (art. 115). Il peut consulter ses homologues provinciaux pour veiller à ce que les renseignements personnels soient protégés de la façon la plus uniforme possible et conclure des accords ou ententes avec eux, notamment pour coordonner les activités de leurs bureaux respectifs en prévoyant un mécanisme pour instruire une plainte dans laquelle ils ont un intérêt mutuel. En vertu de la procédure établie dans l'accord ou l'entente, le commissaire peut aussi communiquer des renseignements qui pourraient être utiles à ses homologues ou les aider à exercer leurs attributions en matière de protection des renseignements personnels (art. 116).

Le commissaire peut aussi communiquer certains renseignements à une personne ou à un organisme qui, au titre d'une loi d'un État étranger, a des attributions semblables aux siennes ou est chargé de réprimer des comportements semblables à ceux qui constitueraient une violation de la LPVPC. La communication de renseignements ne peut avoir lieu que si les deux parties ont conclu une entente écrite (art. 117).

Le commissaire dépose devant chaque Chambre du Parlement un rapport annuel sur l'application de la LPVPC, sur la mesure dans laquelle les provinces ont édicté des lois essentiellement semblables à la LPVPC et sur l'application de ces lois provinciales (art. 118).

2.1.18  Droit privé d'action (art. 106 de la LPVPC)

La LPVPC introduit un droit privé d'action. Ce droit donne à l'individu touché par les actes ou omissions d'une organisation qui a contrevenu à la LPVPC, une cause d'action en dommages-intérêts. Le recours ne peut être exercé que si le commissaire ou le Tribunal a conclu que l'organisation a contrevenu à la LPVPC ou si cette dernière est condamnée à payer une amende pour infraction à cette loi en vertu de l'article 125. Un délai de prescription de deux ans s'applique à ce droit.

2.1.19  Amendes (art. 125 de la LPVPC)

L'article 125 prévoit que toute organisation qui contrevient à certaines dispositions spécifiques de la LPVPC (art. 58, par. 60(1), art. 69 et 75, et par. 124(1)) ou à une ordonnance émise par le commissaire, ou qui fait obstruction au travail du commissaire pendant une investigation ou une vérification commet une infraction et encourt :

  1. par mise en accusation, une amende maximale de 25 millions de dollars ou, s'il est supérieur, d'un montant égal à 5 % des recettes globales brutes de l'organisation au cours de son exercice précédant celui pendant lequel elle a été condamnée;
  2. par procédure sommaire, une amende maximale de 20 millions de dollars ou, s'il est supérieur, d'un montant égal à 4 % des recettes globales brutes de l'organisation au cours de son exercice précédant celui pendant lequel elle a été condamnée.

Cela marque une augmentation considérable des amendes prévues à l'article 28 de la LPRPDE, selon lequel le montant maximal d'une amende pour infraction à cette loi s'élève à 100 000 $. Ces amendes ne sont pas imposées par le Tribunal, mais par une cour, à la suite d'une poursuite pour infraction, à la discrétion du procureur général du Canada.

2.1.20  Dispositions générales (art. 119 à 124 et 126 de la LPVPC)

Le gouverneur en conseil peut, par règlement, prendre toute mesure d'application de la LPVPC, par exemple pour régir la portée des activités d'affaires décrites à l'article 18 (al. 119(1)a)). Il peut aussi prévoir certaines choses par décret, notamment quelles organisations, activités ou catégories d'organisations sont soustraites à l'application de la LPVPC lorsqu'une loi provinciale qui a été reconnue comme étant essentiellement semblable à elle s'y applique (par. 119(2)). Il peut par ailleurs établir, par règlement, les critères et le processus qui permettent de conclure qu'une province a adopté une loi essentiellement semblable ainsi que les critères et processus qui lui permettent de reconsidérer cette conclusion (par. 119(3)).

Le gouverneur en conseil peut aussi prendre des règlements concernant les cadres de mobilités de données prévus à l'article 72 et les codes de pratique et programmes de certification prévus aux articles 76 à 81 de la LPVPC (art. 120 et 122). Les mesures d'application de la LPVPC prises par règlement au titre du paragraphe 119(1) ou de l'article 120 peuvent traiter de façon différente les catégories d'activités, d'institutions gouvernementales et de subdivisions de telles organisations, de renseignements, d'organisations ou d'entités (art. 121).

Une personne qui a des motifs raisonnables de croire qu'une autre personne a contrevenu à la partie 1 de la LPVPC ou a l'intention d'y contrevenir, peut dénoncer cette personne au commissaire et exiger l'anonymat (art. 123). La LPVPC interdit à un employeur de congédier, de suspendre, de rétrograder, de punir ou de harceler un employé ou de lui faire subir tout autre inconvénient lorsque cet employé, de bonne foi, informe le commissaire d'une violation de la LPVPC; refuse d'accomplir un acte qui va à l'encontre de la partie 1 de la LPVPC; ou a accompli ou fait part de son intention d'accomplir un acte nécessaire pour empêcher une violation de la partie 1 de la LPVPC. L'interdiction s'applique également si l'employeur croit que l'employé accomplira l'un des trois actes susmentionnés (art. 124).

Un examen de la LPVPC par un comité parlementaire est prévu tous les cinq ans (art. 126).

2.2  Modifications corrélatives et connexes, modifications terminologiques et dispositions transitoires ou de coordination (art. 3 à 34 du projet de loi)

Le projet de loi apporte des modifications corrélatives et connexes à d'autres lois. Il modifie la LPRPDE en en abrogeant plusieurs parties et en remplaçant son titre abrégé par Loi sur les documents électroniques. La modification réduit le champ d'application de la LPRPDE à l'utilisation, par le gouvernement fédéral, des moyens électroniques pour enregistrer ou communiquer de l'information (art. 3 à 8). Le contenu des parties abrogées de la LPRPDE est reflété dans les parties 1 et 2 de la LPVPC.

Des modifications corrélatives et connexes sont aussi apportées à d'autres lois afin que celles-ci fassent référence à la LPVPC et à ses dispositions pertinentes ou au Tribunal. Par exemple :

  • L'annexe II de la Loi sur l'accès à l'information, où sont énoncées les dispositions d'autres lois qui restreignent la communication de renseignements personnels et peuvent donc justifier le refus d'une institution fédérale de communiquer certains documents, est modifiée afin de supprimer la référence à la LPRPDE et à son paragraphe 20(1.1), et la remplacer par une référence à la LPVPC et à son paragraphe 112(2).
  • Le paragraphe 4.83(1) de la Loi sur l'aéronautique, qui porte sur les demandes de renseignements par des États étrangers, est modifié afin de remplacer la référence à la LPRPDE par une référence à la partie 1 de la LPVPC.
  • Les articles 14 et 17 de l'annexe de la Loi sur la preuve du Canada (qui dresse la liste des entités désignées pour l'application d'autres lois) sont modifiés. La référence à la LPRPDE aux articles 14 et 17 de cette annexe est remplacée par une référence à la LPVPC. L'article 17 de la même annexe nomme le Tribunal de la protection des renseignements personnels et des données comme entité désignée pour l'application de la LPVPC en remplacement de la Cour fédérale.

Le projet de loi modifie aussi la Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes et la Loi sur la concurrence pour conférer au CRTC et au commissaire de la concurrence le pouvoir de conclure des accords de recherche avec le commissaire à la protection de la vie privée, et d'élaborer la procédure à suivre pour communiquer des renseignements à ce dernier (art. 13 et 14).

Le projet de loi modifie quelques autres lois afin de remplacer toute référence à la LPRPDE par une référence à la LPVPC et à ses parties ou dispositions pertinentes (art. 15 à 31). Il apporte aussi des modifications terminologiques à 13 lois afin de remplacer toute référence à la LPRPDE par une référence à la Loi sur les documents électroniques (art. 32).

Les dispositions transitoires de la LPVPC précisent comment une plainte en instance sera traitée une fois que son article 82 entrera en vigueur. Par exemple, une plainte initiée avant l'entrée en vigueur de l'article 82 de la LPVPC est traitée en conformité avec la LPRPDE. Si le commissaire a des motifs raisonnables de croire que la violation en cause se poursuit au-delà de la date initiale du dépôt de la plainte, elle est traitée en conformité avec la LPVPC (art. 33).

2.3  Loi sur le tribunal de la protection des renseignements personnels et des données (art. 35 et 36 du projet de loi)

La partie 2 du projet de loi comprend deux articles. Le premier édicte la Loi sur le Tribunal, constituant ainsi le Tribunal (art. 35). Le deuxième prévoit une modification connexe à Loi sur le Service canadien d'appui aux tribunaux administratifs afin d'ajouter le Tribunal à la liste des tribunaux administratifs se trouvant à l'annexe de cette loi (art. 36).

2.3.1  Dispositions introductives et définitions (art. 2 et 3 de la Loi sur le Tribunal)

Selon la Loi sur le Tribunal, le ministre chargé de son application est le membre du Conseil privé de la Reine pour le Canada désigné, par décret, par le gouverneur en conseil ou, à défaut de désignation, le ministre de l'Industrie.

2.3.2  Constitution et compétence du tribunal (art. 4 et 5 de la Loi sur le Tribunal)

L'article 4 de la Loi sur le Tribunal constitue le Tribunal, dont la compétence est limitée. En effet, le Tribunal ne peut statuer que sur les appels interjetés en vertu des articles 100 ou 101 de la LPVPC, où à l'égard de l'infliction de pénalités en vertu de l'article 94 de cette loi (art. 5).

Le Tribunal entend tout appel interjeté en lien avec une investigation du commissaire, une ordonnance de conformité donnée par le commissaire à une organisation ou une décision du commissaire de ne pas recommander qu'une pénalité soit infligée à l'organisation qui aurait contrevenu à la LPVPC (art. 100 de la LPVPC). Le Tribunal peut aussi autoriser tout appel découlant d'une ordonnance provisoire que le commissaire juge indiquée dans le cadre d'une plainte, d'une investigation ou d'une vérification (art. 101 de la LPVPC). Finalement, le Tribunal a la compétence voulue pour infliger une pénalité à une organisation lorsque les conditions prévues à l'article 94 de la LPVPC sont réunies.

Il semble donc impossible pour un plaignant ou une organisation de s'adresser au Tribunal sans d'abord s'adresser au commissaire.

2.3.3  Composition du Tribunal (art. 6 à 12 de la Loi sur le Tribunal)

Le Tribunal est formé de trois à six membres à temps plein – ou d'une combinaison de membres à temps plein et à temps partiel – qui sont désignés par le gouverneur en conseil sur recommandation du ministre. Au moins un de ces membres possède de l'expérience dans le domaine du droit à l'information et à la protection des renseignements personnels (art. 6).

2.3.4  Président et vice-président (art. 7 à 9 de la Loi sur le Tribunal)

Le gouverneur en conseil désigne un président parmi les membres nommés à temps plein (art. 7). Le président assure la direction du Tribunal et en contrôle les activités. Par exemple, il est chargé de la répartition des affaires et du travail entre les membres, de la conduite des travaux du Tribunal et de son administration (par. 8(1)).

Le gouverneur en conseil peut également désigner un vice-président responsable d'exercer les fonctions du président en cas d'absence ou d'empêchement de ce dernier, ou en cas de vacance du poste de président (par. 8(2)). Si le président et le vice-président ne sont pas en mesure d'exercer leurs fonctions, un membre désigné par le ministre assure l'intérim pour une période ne dépassant pas 90 jours. Tout renouvellement de cette période nécessite l'approbation du gouverneur en conseil (art. 9).

2.3.5  Membres du Tribunal (art. 10 à 12 de la Loi sur le Tribunal)

La Loi sur le Tribunal garantit l'indépendance et l'impartialité des décideurs administratifs et prévoit des mesures qui permettent aux membres de conclure certaines affaires en cours malgré l'expiration de leur mandat.

Les membres du Tribunal sont nommés à titre inamovible pour un premier mandat maximal de cinq ans, sous réserve de révocation motivée par le gouverneur en conseil (art. 10). La Loi sur le Tribunal ne précise pas les conditions qui justifient une telle révocation.

Le mandat des membres du Tribunal peut être renouvelé plus d'une fois pour une période d'au plus trois ans chacune (par. 10(2)). Un membre dont le mandat est échu peut voir son mandat être prolongé d'un maximum de six mois à la demande du président pour lui permettre de participer aux décisions à rendre sur les affaires qu'il avait entendues, auquel cas il est réputé être un membre à temps partiel du Tribunal (par. 10(3)).

Les membres du Tribunal reçoivent une rémunération que fixe le gouverneur en conseil, en plus d'avoir droit aux frais de déplacement et de séjour associés à leurs fonctions dans certaines conditions. Ainsi, les membres à temps plein ont droit au paiement de leurs frais de déplacement et de séjour lorsqu'ils exécutent leurs fonctions hors de leur lieu de travail habituel, tandis que les membres à temps partiel y ont droit lorsqu'ils exécutent leurs fonctions hors de leur lieu de résidence habituel. Les membres peuvent aussi recevoir des indemnisations particulières pour maladies, blessures ou accident en leur qualité d'agents de l'État ou d'employé de l'administration publique fédérale. Seuls les membres à temps plein du Tribunal sont des employés de la fonction publique aux fins de la Loi sur la pension de la fonction publique.

Un membre qui a un intérêt pécuniaire ou autre dans une affaire en cours susceptible d'être incompatible avec l'exercice de ses attributions ne peut entendre l'affaire, que ce soit seul ou en comité, et en avise sans délai le président du Tribunal (art. 12).

2.3.6  Audiences et décisions du tribunal (art. 13 à 21 de la Loi sur le Tribunal)

2.3.6.1  Sièges et séances (art. 13 et 14 de la Loi sur le Tribunal)

Selon la Loi sur le Tribunal, le siège du Tribunal est fixé au lieu désigné par le gouverneur en conseil ou, à défaut de désignation, il se trouve dans la région de la capitale nationale (art. 13). Les dates, les heures et la manière de siéger sont établies par le président du Tribunal (art. 14).

2.3.6.2  Audiences et règles de la preuve (art. 15 de la Loi sur le Tribunal)

Le Tribunal n'est pas lié par les règles et techniques formelles applicables en matière de preuve lors des audiences, permettant ainsi une administration de la preuve beaucoup plus souple. Notamment, le Tribunal se fie à l'équité et à la justice naturelle afin d'agir rapidement, avec liberté et sans formalisme dans la mesure où les circonstances de l'audience le permettent. La charge de la preuve repose sur la norme de prépondérance des probabilités. Cependant, le Tribunal ne peut recevoir ni admettre en preuve tout élément qui serait normalement inadmissible devant un tribunal judiciaire. Par ailleurs, les parties peuvent choisir de se représenter elles-mêmes devant le Tribunal ou nommer un représentant, comme un conseiller juridique.

2.3.6.3  Procédures, décisions et motifs (art. 16 à 21 de la Loi sur le Tribunal)

Le Tribunal et ses membres disposent des mêmes pouvoirs d'enquête que ceux conférés aux commissaires nommés en vertu de la partie I de la Loi sur les enquêtes et ils peuvent rendre des décisions provisoires. Ils peuvent également assigner et contraindre des témoins à comparaître devant le Tribunal de manière verbale ou par procédure écrite, ou exiger la production de documents jugés nécessaires à l'enquête (art. 16).

Le Tribunal communique ses décisions par écrit aux parties et précise les motifs qui les appuient. Le Tribunal se charge de rendre publiques ses décisions ainsi que ses motifs, tout en garantissant l'anonymat de tout plaignant qui n'a pas accordé son consentement à la divulgation de renseignements personnels qui peuvent être utilisés pour l'identifier (art. 17 et 18).

Le Tribunal peut, avec l'agrément du gouverneur en conseil, établir ses propres règles de procédures en conformité avec la Loi sur le Tribunal ou la LPVPC. Plus particulièrement, le Tribunal établit lui-même les règles concernant le moment où il rend ses décisions publiques ainsi que les éléments qui seront pris en considération afin de décider s'il dévoile le nom d'une organisation touchée par une décision. Le Tribunal rend publiques les règles de procédure qu'il établit (art. 19).

Le Tribunal peut adjuger des dépens, à sa discrétion, pourvu que le tout soit fait en conformité avec ses règles (art. 20) 30.

Les décisions du Tribunal sont définitives et exécutoires. Elles ne sont pas susceptibles d'appel ou de révision en justice, sous réserve du contrôle judiciaire prévu par la Loi sur les Cours fédérales (art. 21).


Notes

*  Avertissement : Par souci de clarté, les propositions législatives du projet de loi décrit dans le présent résumé législatif sont énoncées comme si elles avaient déjà été adoptées ou étaient déjà en vigueur. Il ne faut pas oublier, cependant, qu’un projet de loi peut faire l’objet d’amendements au cours de son examen par la Chambre des communes et le Sénat, et qu’il est sans effet avant d’avoir été adopté par les deux chambres du Parlement, d’avoir reçu la sanction royale et d’être entré en vigueur.Retour au texte ]

  1. Projet de loi C-11, Loi édictant la Loi sur la protection de la vie privée des consommateurs et la Loi sur le Tribunal de la protection des renseignements personnels et des données et apportant des modifications corrélatives et connexes à d'autres lois, 43e législature, 2e session. Le ministère de la Justice a déposé un énoncé concernant la Charte à la Chambre des communes le 2 décembre 2020. [ Retour au texte ]
  2. Pour un historique plus complet de la Loi sur la protection des renseignements personnels et documents électroniques (LPRPDE) et des appels à la réforme des 20 dernières années, voir Alexandra Savoie et Maxime-Olivier Thibodeau, Les lois fédérales du Canada sur la protection de la vie privée, publication nº 2007-44-F, Bibliothèque du Parlement, 17 novembre 2020. [ Retour au texte ]
  3. Innovation, Sciences et Développement économique Canada (ISDE), Charte canadienne du numérique : La confiance dans un monde numérique. La Charte canadienne du numérique est un plan illustrant la façon dont le gouvernement prévoit établir la confiance qui est le fondement de l'économie axée sur le numérique et les données. Il ne s'agit pas d'un instrument législatif ayant force exécutoire, mais plutôt d'un ensemble de principes dont le gouvernement tiendra compte dans l'élaboration des politiques, des lois et des programmes futurs relatifs à l'économie numérique. [ Retour au texte ]
  4. ISDE, La Charte numérique du Canada en action : un plan par des Canadiens, pour les Canadiens. [ Retour au texte ]
  5. ISDE, Renforcer la protection de la vie privée dans l'ère numérique. [ Retour au texte ]
  6. Commissariat à la protection de la vie privée du Canada (CPVP), Réforme des lois sur la vie privée : Pour faire respecter les droits et rétablir la confiance envers le gouvernement et l'économie numérique pdf (2,14 Mo, 87 pages), rapport annuel 2018-2019, 2019. Le concept de vie privée dès la conception signifie la prise en compte du droit à la vie privée depuis la conception initiale d'un produit ou d'un service jusqu'au déploiement et à la mise en œuvre à long terme, par exemple, à l'aide d'une évaluation des facteurs relatifs à la vie privée. [ Retour au texte ]
  7. CPVP, La vie privée en temps de pandémie, rapport annuel 2019-2020. [ Retour au texte ]
  8. CPVP, Le commissaire émet des propositions pour réglementer l'intelligence artificielle, communiqué, 12 novembre 2020; et CPVP, Un cadre réglementaire pour l'IA : recommandations pour la réforme de la LPRPDE, novembre 2020. [ Retour au texte ]
  9. Chambre des communes, Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique (ETHI), Vers la protection de la vie privée dès la conception : Examen de la Loi sur la protection des renseignements personnels et les documents électroniques pdf (9,15 Mo, 120 pages), douzième rapport, février 2018. [ Retour au texte ]
  10. ETHI, Aborder les vulnérabilités de la vie privée numérique et les menaces potentielles au processus électoral démocratique canadien pdf (7,26 Mo, 62 pages), seizième rapport, juin 2018; et ETHI, Démocratie menacée : risques et solutions à l'ère de la désinformation et du monopole des données pdf (1,13 Mo, 104 pages), dix-septième rapport, décembre 2018. [ Retour au texte ]
  11. EUR-Lex, Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l'intérêt pour l'EEE), art. 45. [ Retour au texte ]
  12. EUR-Lex, Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données; et Gouvernement du Canada, Règlement général sur la protection des données (RGPD) de l'Union européenne. [ Retour au texte ]
  13. EUR-Lex, Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l'intérêt pour l'EEE), art. 45, par. 9. [ Retour au texte ]
  14. Commission européenne, Adequacy decisions [disponible en anglais seulement]. [ Retour au texte ]
  15. Gouvernement du Canada, Sixième rapport d'étape sur les évolutions en matière de législation sur la protection des données au Canada, rapport à la Commission européenne, décembre 2019. [ Retour au texte ]
  16. EUR-Lex, Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l'intérêt pour l'EEE), art. 45, par. 3. [ Retour au texte ]
  17. Voir, par exemple, Johnson c. Bell Canada, 2008 CF 1086 (CanLII), par. 21; et Fahmy c. Banque de Montréal, 2016 CF 479 (CanLII), par. 49. [ Retour au texte ]
  18. Pour savoir où les principes énoncés à l'annexe 1 de la LPRPDE ont été intégrés dans la Loi sur la protection de la vie privée des consommateurs (LPVPC) et quelles dispositions de la LPRPDE sont reprises en tout ou partie dans la LPVPC, voir Teresa Scassa, « Comparison Chart for Bill C-11's CPPA and PIPEDA », Scholars Portal Dataverse, 2020 [disponible en anglais seulement]. [ Retour au texte ]
  19. CPVP, Déclaration du commissaire à la protection de la vie privée du Canada suite au dépôt du projet de loi C-11, 19 novembre 2020. [ Retour au texte ]
  20. À l'heure actuelle, l'Alberta, la Colombie-Britannique et le Québec ont adopté des lois qui sont essentiellement semblables à la LPRPDE. Dans ces provinces, la LPRPDE ne s'applique pas, sauf en ce qui concerne les activités commerciales d'une entreprise fédérale (telle que définie dans la loi). Il est à noter que le terme utilisé dans la LPVPC est « essentiellement semblable » alors que celui utilisé dans la LPRPDE est « essentiellement similaire ». [ Retour au texte ]
  21. La LPRPDE ne contient pas de disposition relative à l'application extraterritoriale de la loi, mais la décision de la Cour fédérale dans l'affaire A.T. c. Globe24h.com a confirmé qu'elle peut s'appliquer à l'extérieur du pays lorsqu'il y a un lien réel et substantiel entre les activités transfrontalières d'une organisation et le Canada. Le même raisonnement devrait s'appliquer à la LPVPC. Voir A.T. c. Globe24h.com, 2017 CF 114 (CanLII), par. 50. [ Retour au texte ]
  22. Les dispositions relatives à la responsabilité des organisations aux art. 7 à 11 de la LPVPC reflètent le contenu du premier principe énoncé à l'annexe 1 de la LPRPDE. [ Retour au texte ]
  23. Les art. 12 à 14 de la LPVPC reflètent le contenu des deuxième, quatrième et cinquième principes énoncés à l'annexe 1 de la LPRPDE. [ Retour au texte ]
  24. Les art. 53 à 56 de la LPVPC reflètent le contenu des cinquième et sixième principes énoncés à l'annexe 1 de la LPRPDE, lesquels portent sur les limites applicables à l'utilisation, à la communication et à la conservation des renseignements personnels ainsi qu'à leur exactitude. [ Retour au texte ]
  25. L'obligation prévue à l'art. 57 de la LPVPC reflète le contenu du septième principe énoncé à l'annexe 1 de la LPRPDE, qui porte sur les mesures de sécurité. [ Retour au texte ]
  26. L'art. 62 de la LPVPC reflète le contenu du huitième principe énoncé à l'annexe 1 de la LPRPDE, qui porte sur la transparence. [ Retour au texte ]
  27. Les art. 63 à 71 de la LPVPC reflètent le contenu du neuvième principe énoncé à l'annexe 1 de la LPRPDE, qui porte sur l'accès aux renseignements personnels. [ Retour au texte ]
  28. Les art. 82 à 87 de la LPVPC reflètent le contenu du dixième principe énoncé à l'annexe 1 de la LPRPDE. [ Retour au texte ]
  29. Art. 13, par. 14(1) et 15(5), art. 16 et 53 et par. 55(1), 55(3), 57(1), 58(1) et 58(3) de la LPVPC. [ Retour au texte ]
  30. Les dépens sont des frais que la partie qui a gain de cause peut se faire payer par l'autre partie. Voir, par exemple, Ministère de la Justice, Frais de justice : dépens et autres frais. [ Retour au texte ]

© Bibliothèque du Parlement