skip to content

Protection des renseignements personnels au Canada : les changements apportés et leurs répercussions

Article

Au cours des dernières années, la protection des renseignements personnels s’est révélée un enjeu de plus en plus préoccupant au Canada, ce qui a entraîné la transformation des méthodes de cueillette, de stockage et d’utilisation des renseignements personnels.

À l’échelle du pays, les autorités provinciales et fédérales procèdent actuellement à la refonte de leurs lois en matière de protection de la vie privée dans le but de les renforcer, notamment la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé au Québec (aussi appelée « loi 25 »), le projet de loi 22 en Colombie-Britannique et le projet de loi C-27 déposé par le gouvernement fédéral. Ces modifications visent à harmoniser la législation relative à la protection de la vie privée et des données au Canada avec les autres lois en la matière à l’échelle internationale en renforçant les droits et la protection des personnes, notamment par l’imposition d’amendes et de pénalités. Quels facteurs ont entraîné une telle refonte du cadre législatif?

Les progrès rapides de la technologie, le recours accru à la sous-traitance, la hausse des menaces liées à la cybersécurité, l’augmentation des transferts de données transfrontaliers et les changements apportés aux normes internationales sont quelques-unes des principales raisons ayant motivé cette mise à jour des lois sur la protection de la vie privée au Canada. Un exemple concret de ces tendances est illustré par l’interdiction de l’installation de la populaire application de partage de vidéo TikTok sur tous les appareils fournis par le gouvernement en raison des enjeux relatifs à la vie privée, à la sécurité et à la désinformation à l’échelle mondiale. Des mesures similaires ont d’ailleurs été adoptées par l’Union européenne (« UE »), aux États-Unis et en Inde. En outre, cette décision s’inscrit dans le cadre d’une plus vaste initiative de protection des renseignements sensibles et de prévention des atteintes potentielles à la sécurité nationale du gouvernement canadien. Dans l’ensemble, la transformation de la protection de la vie privée au Canada témoigne d’une reconnaissance croissante de l’importance de protéger les renseignements personnels dans un monde de plus en plus numérique.

Dans la foulée des changements majeurs apportés au cadre de protection des renseignements personnels par les gouvernements provinciaux et fédéral, qui devaient s’adapter à cette transformation numérique, nos experts se sont penchés sur des développements qui ont marqué cette année pleine de rebondissements.

Sur la scène fédérale

En juin 2022, le gouvernement fédéral canadien a déposé le projet de loi C-27, Loi de 2022 sur la mise en œuvre de la Charte du numérique, qui introduit des propositions législatives relatives à la protection des données des consommateurs ainsi que les premières mesures législatives détaillées régissant les systèmes d’intelligence artificielle au pays.

L’adoption du projet de loi C-27 permettra l’introduction de mesures qui aligneront le droit canadien en matière de protection de la vie privée sur le Règlement général sur la protection des données (« RGPD ») de l’UE et les réformes instaurées au Québec par la récente promulgation de la loi 25. Grâce à cette harmonisation, le Canada pourra probablement conserver son statut « adéquat » en vertu du RGPD, et son cadre législatif pourra être considéré comme essentiellement similaire à la loi 25. Ainsi, les entreprises canadiennes seront autorisées à transférer des données personnelles de l’UE vers le Canada et du Québec vers les autres provinces sans recourir à des mesures de sécurité supplémentaires pour assurer la protection des données.

Au Québec

Au Québec, la nouvelle loi 25 (auparavant, le projet de loi no 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) apporte d’importantes modifications à la législation québécoise sur la protection des renseignements personnels dans les secteurs privé et public. Toutes les organisations établies au Québec qui y traitent des renseignements personnels doivent absolument comprendre les nouvelles exigences et mettre en place des processus adéquats pour s’y conformer. L’entrée en vigueur de cette loi est échelonnée, ses dispositions devenant progressivement exécutoires en septembre 2022, septembre 2023 et septembre 2024.

Voici les principales obligations en vigueur depuis septembre 2022 :

  • Nomination d’une personne responsable des renseignements personnels : Désignation d’un responsable de la protection des renseignements personnels et publication des coordonnées de cette personne ou délégation de cette fonction à une autre personne au sein de l’organisation.
  • Déclaration obligatoire des atteintes à la sécurité des données : Dans le cas des atteintes sévères qui présentent un risque de préjudice grave, déclaration à la Commission d’accès à l’information du Québec, notification des personnes touchées et consignation dans un registre des incidents de confidentialité.
  • Biométrie : Divulgation à la Commission d’accès à l’information du Québec avant d’utiliser des mesures biométriques pour vérifier ou confirmer l’identité d’une personne. Les organisations sont tenues d’aviser la Commission d’accès à l’information dans les soixante jours suivant la création d’une base de banque de caractéristiques ou de mesures biométriques.

Les principales obligations qui entreront en vigueur en septembre 2023 sont les suivantes :

  • Politique de confidentialité : Élaboration d’une politique de confidentialité exhaustive rédigée en termes simples et clairs qui décrit vos pratiques en matière de protection des données. La politique de confidentialité doit être publiée sur le site Web de l’entreprise.
  • Évaluation des facteurs relatifs à la vie privée : Une évaluation des facteurs relatifs à la vie privée (« EFVP ») obligatoire requise pour le transfert de renseignements personnels hors du Québec lors de la création ou de l’acquisition de systèmes numériques.
  • Objet, collecte et consentement : Examen exhaustif des pratiques de cueillette, de stockage et de diffusion des renseignements de consommateurs et harmonisation de ces pratiques avec les nouveaux droits des personnes concernées.
  • Destruction des renseignements personnels : Mise en œuvre d’un système assurant la destruction ou l’anonymisation des renseignements personnels une fois le but pour lequel ils ont été recueillis atteint.
  • Droit à l’oubli : Mise en place d’un système pour répondre aux demandes des personnes qui souhaitent que des renseignements les concernant cessent d’être diffusés.

Finalement, l’obligation clé suivante entrera en vigueur en septembre 2024 :

  • Portabilité des données : Mise en place de la technologie nécessaire à la production, sur demande, d’une copie numérique de tous les renseignements personnels détenus.

En plus de ces exigences, dont l’application est graduelle, la loi 25 augmente les amendes infligées en cas de non-respect des lois en matière de protection de la vie privée. Les entités du secteur privé sont assujetties à des amendes allant de 15 000 $ à 25 millions de dollars canadiens ou un montant correspondant à 4 % de leur chiffre d’affaires mondial pour l’exercice précédent (selon le montant le plus élevé).

La compréhension de ces exigences et la mise en place de processus en vue d’y répondre permettront aux entreprises et aux organismes de s’assurer de se conformer à cette loi et de protéger les renseignements personnels de leurs clients et de leurs employés.

Nouveautés en Colombie-Britannique

Le gouvernement de la Colombie-Britannique a déposé le projet de loi 22, Freedom of Information and Protection of Privacy Act, en novembre 2021. L’objectif déclaré du projet de loi 22 était de veiller à ce que le gouvernement rende davantage de comptes et fasse preuve de plus de transparence, d’améliorer la protection des renseignements personnels au sein du secteur public et d’accroître le partage d’information avec les peuples autochtones tout en limitant les divulgations préjudiciables. Le projet de loi vise à encadrer la façon dont les organismes publics provinciaux de la Colombie-Britannique (p. ex., les ministères et les organismes provinciaux, les municipalités, les sociétés d’État, les établissements postsecondaires, les conseils scolaires, les autorités sanitaires et les organismes d’autoréglementation professionnels) recueillent, utilisent, présentent et conservent des renseignements personnels.

Le projet de loi 22 apporte les principaux changements suivants à la Freedom of Information and Protection of Privacy Act :

  • Exigence que chaque organisme public élabore un programme de gestion de la protection de la vie privée;
  • Exigence que chaque organisme public informe une personne touchée et le commissaire à la protection de la vie privée en cas d’atteinte à la vie privée qui pourrait raisonnablement causer un préjudice considérable à la personne;
  • Levée de l’interdiction de stockage des renseignements personnels à l’étranger et de leur accès;
  • Introduction de nouvelles infractions et sanctions en matière de renseignements personnels qui s’appliquent aux particuliers, aux fournisseurs de services ainsi qu’à leurs employés et associés;
  • Permission donnée aux autorités d’exiger des frais pour toute demande d’accès aux renseignements.

Priorités des entreprises

La plupart des entreprises considèrent les données comme un actif essentiel, tout particulièrement les renseignements personnels des clients qui génèrent des ventes et sous-tendent les activités de marketing. Ce sont aussi les données qui présentent les risques les plus importants. Les entreprises doivent veiller à la gestion efficace de tous les renseignements personnels traités tout au long de leur cycle de vie, de la collecte des données à leur élimination. Pour se conformer aux dispositions encadrant la protection de la vie privée et des données, comme la loi 25 au Québec et de la Colombie-Britannique, ainsi qu’à d’autres obligations internationales en la matière, les entreprises devront investir dans des stratégies de protection des données telles que les suivantes :

  1. Mise en place d’un programme de protection des renseignements personnels : Les entreprises devront mettre en place un programme de protection de la vie privée pour se conformer aux nouvelles exigences. Celui-ci devra comporter des politiques, des procédures et des lignes directrices visant la protection des données personnelles, le traitement des droits des personnes concernées, la gestion des atteintes aux données et la réponse aux demandes relatives aux renseignements personnels.
  2. Évaluation des facteurs relatifs à la vie privée : Les EFVP sont une composante essentielle de tout programme de protection des renseignements personnels. Elles consistent en l’évaluation de l’incidence des activités, des produits et des services d’une entreprise sur le droit à la vie privée des personnes. Les entreprises pourraient devoir mettre en œuvre des EFVP pour cibler les risques liés à la protection de la vie privée et adopter des mesures d’atténuation.
  3. Nomination d’un responsable des renseignements personnels : La nomination d’un responsable de la protection de la vie privée est une autre exigence en matière de protection de la vie privée. Le responsable de la protection de la vie privée supervise le programme de protection des renseignements personnels d’une entreprise, veille au respect du cadre législatif et répond aux demandes relatives aux renseignements personnels.
  4. Mise à jour des procédures de gestion et de traitement des données : Les entreprises pourraient être tenues de mettre à jour leurs procédures de gestion et de traitement des données afin de respecter les nouvelles règles en matière protection de la vie privée. Elles pourraient notamment devoir instaurer de nouvelles politiques de conservation des données, obtenir un consentement explicite pour les activités de traitement des données, mettre en place des processus de déclaration des atteintes à la vie privée et assurer un plus grand contrôle des données personnelles des employés.
  5. Programmes de formation et de sensibilisation : L’entrée en vigueur de nouvelles règles en matière de protection des renseignements personnels peut obliger les entreprises à offrir des programmes de formation et de sensibilisation à leurs employés. Ces formations doivent aborder les politiques et procédures de l’entreprise en matière de protection des renseignements personnels ainsi que les nouvelles exigences. Les programmes de formation et de sensibilisation contribuent à renseigner les employés à l’égard de leurs responsabilités et à prévenir les atteintes aux données ou à la confidentialité.

BDO peut vous aider

La façon dont vous exploitez votre entreprise et utilisez les renseignements personnels est à la base du soutien que nous sommes à même de vous offrir. Nous nous engageons à investir temps et ressources pour comprendre votre entreprise dans son ensemble de même que la manière dont vous utilisez les renseignements personnels et gérez les données à l’échelle de celle-ci.

L’équipe de BDO spécialisée dans la protection des renseignements personnels et des données propose une approche globale en matière de gestion des renseignements personnels pour vous aider à relever les défis actuels dans ce domaine. Nos professionnels disposent notamment de compétences et d’une expertise en cybersécurité, en gestion du cycle de vie de l’information et en analyse de données. Nous possédons également une vaste expérience en matière de gouvernance, d’exploitation, de technologie, de conformité et de gestion de risques, ce qui nous permet de nous concentrer sur vos préoccupations immédiates en matière de confidentialité et de protection des données tout en assurant le maintien de votre disponibilité opérationnelle.

Communiquez avec nous pour en savoir plus :

Ziad Akkaoui
Associé et chef national, Services-conseils en risque
[email protected]

Dishank Rustogi
Chef national, Services-conseils en cybersécurité, Gestion et transformation des cyberrisques
[email protected]

Chathurya Pandurangan
Directrice, Services-conseils en cybersécurité, Gestion et transformation des cyberrisques
[email protected]

Bobbi Birk
Consultant principal, Services-conseils en risque
[email protected]

Notre site utilise des témoins nous permettant de vous offrir un service plus réactif et personnalisé. En consultant notre site, vous acceptez l'utilisation des témoins. Veuillez lire notre déclaration de confidentialité pour en savoir plus sur les témoins que nous utilisons et sur la façon de les bloquer ou de les supprimer.

Accepter et fermer