Le Projet de loi C-27 vient modifier de façon substantielle la loi fédérale sur la protection de la vie privée des consommateurs, dans un sens davantage protecteur des données à caractère personnel.

Le 16 juin 2022, le Parlement du Canada présentait le nouveau Projet de loi C-27 : Loi édictant la loi sur la protection de la vie privée des consommateurs, la loi sur le tribunal de la protection des renseignements personnels et des données et la Loi sur l’intelligence artificielle et les données et apportant des modifications corrélatives et connexes à d’autres lois (ci-après « projet de loi C-27 »). Certains considèrent qu’il s’agit d’une version améliorée du projet de loi C-11, présenté au gouvernement en 2020, mais qui ne fut jamais adopté.

Le nouveau projet de loi 27 vise la protection des données à caractère personnel dans le secteur privé et vise à modifier de manière importante la loi fédérale actuelle, la loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). S’il est adopté, ce nouveau texte législatif résulterait en l’entrée en vigueur de trois nouvelles lois :
1) La loi sur la protection de la vie privée des consommateurs (LPVPC) ;
2) La loi sur le tribunal de la protection des renseignements personnels et des données (LTPRPD) ;
3) La loi sur l’intelligence artificielle et les données et apportant des modifications corrélatives et connexes à d’autres lois (LIA).

Dans cet article nous passons en revue quelques éléments importants introduits par la partie 1 du projet de loi C-27, c.-à-d. la LPVPC.

Changements proposés par la LPVPC.

D’emblée, signalons que les contrevenants aux nombreuses obligations qu’introduirait la LPVPC si le projet de loi C-27 est adopté risquent de se voir imposer des amendes salées. En effet, la LPVPC permettra au commissaire à la protection de la vie privée du Canada (ci-après « le commissaire ») d’imposer des amendes allant jusqu’à 10 millions de dollars canadiens (CAD) ou 3% des recettes globales brutes de l’organisation au cours de son exercice précédent, si ce montant est plus élevé [1].

En cas d’infraction plus importante, ce montant pourra s’élever à un maximum de 25 millions CAD ou 5% des recettes globales brutes de l’organisation au cours de son exercice précédent [2]. A titre d’exemple, une telle amende accrue pourrait être imposée dans le cas où une organisation ne déclarerait pas au commissaire une atteinte aux mesures de protection des données à caractère personnel qui relèvent de sa responsabilité s’il est raisonnable de croire que, dans les circonstances, l’atteinte présente un risque réel de préjudice grave à l’endroit d’un individu [3].

De plus, toute organisation qui traite des données à caractère personnel [4] aura des obligations de transparence plus étendues. Elle devra entre autres désigner un ou plusieurs individus chargés de veiller à sa conformité aux obligations qui lui incombent sous la nouvelle loi [5]. L’organisation devra également mettre en place un programme de gestion de la protection des données à caractère personnel. Ce programme devra inclure notamment des politiques, des pratiques et des procédures relatives à la protection des données à caractère personnel, à la réception et au traitement des demandes d’accès et des réclamations, à la formation et à l’information fournies à son personnel relativement à ses politiques, à ses pratiques et à ses procédures, et à l’élaboration de contenu expliquant ses politiques et ses procédures [6].

En outre, il est intéressant de souligner que s’il est adopté, le projet de loi C-27 ne permettra le traitement des données à caractère personnel qu’à des fins acceptables, peu importe que le consentement de la personne concernée soit requis ou non par la loi [7]. Cette détermination doit être faite au plus tard au moment du traitement des données à caractère personnel (c.-à-d., au plus tard au moment où l’organisation établit et consigne les finalités pour lesquelles ces informations sont recueillies, utilisées ou communiquées [8]).

Les éléments suivants seront à prendre en compte pour déterminer s’il s’agit d’une finalité acceptable :
 la nature sensible ou non des données à caractère personnel ;
 le fait que les finalités visées correspondent à des besoins commerciaux légitimes de l’organisation ;
 le degré d’efficacité de la collecte, de l’utilisation ou de la communication pour répondre aux besoins commerciaux légitimes de l’organisation ;
 l’existence ou non de moyens portant une atteinte moindre à la vie privée de l’individu et permettant d’atteindre les finalités visées pour un coût et avec des avantages comparables ;
 la proportionnalité entre l’atteinte à la vie privée de l’individu et les avantages pour l’organisation, au regard des moyens, techniques ou autres, mis en place par l’organisation afin d’atténuer les effets de l’atteinte pour l’individu [9].

Les données à caractère personnel ne pourront être recueillies que si elles sont nécessaires pour les finalités établies et qu’elles sont consignées par l’organisation [10].

Le consentement, principe central de la nouvelle loi.

Tel que c’est déjà le cas sous la loi actuelle, le consentement de la personne concernée par les données à caractère personnel que l’organisation considère traiter demeure central dans le texte du Projet de loi C-27. Ainsi, le consentement valide de la personne est requis pour tout traitement, sauf dans quelques cas précis. Afin qu’il soit considéré valide, l’organisation doit fournir de nombreux renseignements à la personne concernée [11], telles les finalités de la collecte, de l’utilisation ou de la communication des données à caractère personnel, tels qu’établis par l’organisation et consignés [12], par exemple.

Les exceptions au principe du consentement comme base légale du traitement des données à caractère personnel incluent : un traitement dans le cadre des activités d’affaires [13], lors du transfert à des fournisseurs de services [14], au cas où les données sont anonymisées [15], dans le cadre d’une transaction commerciale éventuelle [16], etc.

Ainsi, d’importants changements dans le secteur de la protection des données à caractère personnel s’annoncent au Canada. Si vos activités vous amènent à collecter les données de résidents canadiens (rappelons que la LPVPC est d’application extra-territoriale), il est temps d’adopter les mesures internes vous permettant de vous confirmer aux nouvelles obligations sur le territoire canadien.

Stéphane Grynwajc Avocat aux barreaux de Paris, de New-York, et du Québec Solicitor (England and Wales) Cabinet S. Grynwajc www.transatlantic-lawyer.com/fr [->stephane@avocat-transatlantique.com]