Il y a eu des discussions au Canada pendant près de deux ans sur l'initiation d'une réforme législative globale du paysage de la protection des données personnelles du pays. Le processus a récemment accéléré en juin avec l'introduction d'un projet de loi pour adopter la Loi sur la mise en œuvre de la Charte du numérique. Il s'agit d'une loi exhaustive qui non seulement promulguerait une nouvelle loi sur la protection des données personnelles (appelée la Loi sur la protection de la vie privée des consommateurs/CPPA), mais aussi des lois visant à créer un tribunal de protection des données et à réglementer le développement de l'intelligence artificielle (IA). Le projet de loi devrait rester en attente pendant un an ou deux, car il doit passer par le reste du processus législatif et est ensuite sujet à une période d'attente pour que les organisations puissent créer des initiatives de conformité. Si elle est adoptée telle que proposée, elle rejoindrait le rang du RGPD avec certaines dispositions plus strictes et des amendes lourdes, il est donc important de surveiller le processus et de commencer à se préparer dès maintenant.

La Vieille Loi

Depuis plus de vingt ans, le Canada s'appuie sur la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) pour réguler la protection des données. Pendant ce temps, le monde a radicalement changé en termes de communication électronique et d'échanges de données. Presque tout est maintenant numérique, ce qui rend la LPRPDE extrêmement obsolète et met en péril les données des consommateurs canadiens. Les lacunes majeures qui existent sous la LPRPDE offrent une plus grande opportunité pour l'utilisation abusive des données et un risque accru de violation. Cela comprend l'absence d'un contrôle accru des consommateurs - comme un droit ferme à l'effacement - et l'absence d'exigences de supervision pour éliminer le traitement inutile ou le stockage prolongé des données personnelles.

La Nouvelle Loi

Si la Loi de mise en œuvre de la Charte numérique est adoptée, la LPPC remplacerait effectivement la LPRPDE et donnerait aux consommateurs canadiens plus de contrôle sur leurs données. La loi s'applique au traitement des données au niveau fédéral, ce qui est nécessaire car certaines provinces comme le Québec ont déjà modernisé leur paysage de la vie privée. Avoir une norme fédérale fournira des orientations plus claires pour les organisations opérant dans plusieurs juridictions et servira également de modèle pour les futures provinces souhaitant créer leur propre législation.

En plus du traitement des données concernant les activités commerciales, la loi s'applique également aux données traitées pour les employés fédéraux ou les candidats à un emploi. Les données des employés du secteur privé ne sont pas spécifiquement délimitées, ce qui tend à être la norme avec d'autres lois sur la vie privée dans le monde.

Voici certaines dispositions importantes de la LPPC à ne pas oublier :

Consommateurs

• Les droits clés des consommateurs comprennent l'effacement, l'accès, l'élimination, la correction et la portabilité. Ces droits apparaissent généralement dans la majorité des nouvelles lois sur la protection des données.

• Le consentement individuel est requis avant qu'une organisation puisse légalement collecter des données. Les exceptions comprennent les activités de traitement des données pour les fins suivantes : intérêts publics tels qu'une urgence sanitaire ; informations publiquement disponibles ; informations personnelles anonymisées ; enquête sur une violation d'un accord en vertu du droit fédéral, du droit provincial ou des mesures de sécurité ; lorsqu'il serait raisonnable de supposer que les informations sont collectées à des fins commerciales ; et à un fournisseur de services lorsque une protection égale est établie, souvent par contrat. Ces exceptions visent à assurer un meilleur équilibre entre les droits des consommateurs et les intérêts d'une organisation à utiliser les données. Cette liste n'est pas exhaustive.

Organisations

• Avant de collecter des données, les organisations doivent déterminer et enregistrer le but. La mise en balance des intérêts avec les droits des consommateurs fait partie de ce processus, qui est similaire aux évaluations d'impact du RGPD.

• Les organisations doivent désigner un individu ou une équipe unique pour superviser les efforts de conformité. Si les organisations ont déjà nommé un délégué à la protection des données pour la conformité au RGPD, les obligations se chevaucheront sans aucun doute.

• Les organisations doivent créer un programme de gestion de la confidentialité prenant en compte toutes les obligations de la CPPA. S'il en existe déjà un, l'équipe de conformité doit préparer un audit afin d'identifier toute lacune dans les politiques ou les processus. Par exemple, la CPPA indique clairement aux sujets de supprimer les données personnelles une fois que l'objectif d'utilisation est atteint. Cela peut nécessiter des modifications des programmes de conservation existants.

• La capacité à collecter et à traiter des données pour les mineurs sera limitée, car la CPPA classe clairement ces informations comme sensibles. Cela a été vivement débattu dans la version précédente du projet de loi.

Pénalités et Application des Règles

• Les pénalités attribuées seront le plus élevé des montants suivants : cinq pour cent du chiffre d'affaires global brut d'une organisation ou 25 millions CAD pour les infractions pénales ou graves; trois pour cent ou 10 millions CAD pour les infractions administratives. C'est significatif, car les amendes maximales prévues par le RGPD sont inférieures. Le tribunal de protection des données sera en mesure d'entendre les appels concernant les amendes que le Commissaire à la protection de la vie privée émet.

• Le Commissaire à la protection de la vie privée peut également émettre des ordres de conformité, exiger des audits de tiers, approuver des programmes de certification internes, et imposer le partage d'informations avec d'autres organismes de régulation lorsque cela est approprié.

Il est important de prendre en compte la composante IA de la Loi sur la mise en œuvre de la Charte numérique, car cela semble être une préoccupation croissante. Si elle est adoptée, entre autres, cette loi exigerait des opérateurs de systèmes d'IA à fort impact de réduire le risque associé aux biais et d'accélérer la transparence avec le public. Il y aura une liste de comportements interdits et un commissaire distinct pour assurer l'application de la loi. L'UE et le Royaume-Uni ont également proposé des lois concernant certaines régulations de l'IA, il sera donc intéressant de voir les différences au fur et à mesure que les lois sont adoptées dans différentes régions du monde.

Réflexions Finales

Les protections décrites ci-dessus illustrent comment la nouvelle loi canadienne vise à trouver un équilibre entre les intérêts des entreprises et les droits des consommateurs, tout en parallélisant les protections strictes sous des lois comme le RGPD. Alors qu'elle continue à avancer dans le processus législatif, surveillez toute modification ou guidance interprétative. La manière dont le système de pénalités se déroulera sera particulièrement intéressante, car il pourrait y avoir des amendes record. Rester informé aidera les organisations à créer de manière proactive des feuilles de route de conformité et à être mieux préparées lorsque la loi entrera en vigueur. Enfin, assurez-vous d'obtenir des conseils juridiques avant de prendre toute décision.