skip to content

Modernisation des dispositions sur la protection des renseignements personnels au Canada : les changements apportés et leurs répercussions

Article

Au cours des dernières années, la protection des renseignements personnels s’est révélée un enjeu de plus en plus préoccupant au Canada, ce qui a entraîné la transformation des méthodes de cueillette, de stockage et d’utilisation des renseignements personnels.

À l’échelle du pays, les autorités provinciales et fédérales ont procédé à la refonte de leurs lois en matière de protection de la vie privée dans le but de les renforcer. Les changements visent à harmoniser la législation relative à la protection de la vie privée et des données au Canada avec les autres lois en la matière à l’échelle internationale en renforçant les droits et la protection des personnes et en imposant des amendes et des pénalités. Quels facteurs ont entraîné une telle refonte du cadre législatif?

Parmi les raisons pour lesquelles les lois sur la protection de la vie privée ont été mises à jour, on trouve les rapides avancées technologiques en matière d’intelligence artificielle (« IA »), la complexification des relations avec les fournisseurs tiers, la hausse des menaces liées à la cybersécurité, l’augmentation des transferts de données transfrontaliers ainsi que les changements apportés aux normes internationales. 

Un bon exemple de ces tendances est la multiplication rapide des technologies d’amélioration de la confidentialité axées sur la confiance des utilisateurs et la transparence. 

Citons aussi l’interdiction d’installer l’application de partage de vidéo TikTok sur tous les appareils fournis par le gouvernement en raison des enjeux relatifs à la vie privée et à la sécurité aux États-Unis, en Europe, en Inde et au Canada. Cette décision s’inscrit dans le cadre d’une vaste initiative de protection des renseignements sensibles et de prévention des atteintes potentielles à la sécurité nationale des gouvernements. 

La transformation de la protection de la vie privée au Canada témoigne d’une reconnaissance croissante de l’importance de protéger les renseignements personnels dans un monde de plus en plus numérique.

Depuis quelques années, de nombreuses modifications ont été apportées aux lois sur la protection de la vie privée au Canada par les gouvernements provinciaux et fédéral, qui devaient s’adapter à cette transformation numérique. Notre équipe spécialisée dans la protection des renseignements personnels et des données s’est penchée sur des développements qui ont marqué les dernières années.

Sur la scène fédérale

En juin 2022, le gouvernement fédéral canadien a déposé le projet de loi C-27, Loi de 2022 sur la mise en œuvre de la Charte du numérique, qui introduit des propositions législatives relatives à la protection des données des consommateurs ainsi que les premières mesures législatives détaillées régissant les systèmes d’IA au pays. 

Le projet est étudié par le Comité permanent de l’industrie et de la technologie et pourrait bien être adopté en 2024. Il remplacerait la Loi sur la protection des renseignements personnels et les documents électroniques

Son adoption permettrait l’introduction de mesures qui aligneront le droit canadien en matière de protection de la vie privée sur le Règlement général sur la protection des données (« RGPD ») de l’Union européenne (« UE ») et les réformes instaurées au Québec par la récente promulgation de la loi 25 (auparavant, le projet de loi no 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels). 

Grâce à cette harmonisation, le Canada pourra probablement conserver son statut « adéquat » en vertu du RGPD, et son cadre législatif devrait être considéré comme semblable à la loi 25. Ainsi, les entreprises canadiennes seront autorisées à transférer des données personnelles de l’UE vers le Canada et du Québec vers les autres provinces sans recourir à des mesures de sécurité supplémentaires pour assurer la protection des données.

 En outre, cette loi permettra de confier aux tribunaux administratifs plus de pouvoirs dont celui d’imposer des pénalités et des amendes en cas de violation de la vie privée et de réglementer les répercussions de l’IA sur les applications des consommateurs. 

Au Québec

Au Québec, la loi 25 apporte d’importantes modifications à la législation québécoise sur la protection des renseignements personnels dans les secteurs privé et public. Toutes les entités établies au Québec qui y traitent des renseignements personnels doivent absolument comprendre les nouvelles exigences et mettre en place des processus adéquats pour s’y conformer. 

L’entrée en vigueur de cette loi est échelonnée, ses dispositions devenant progressivement exécutoires en septembre 2022, septembre 2023 et septembre 2024.

Voici les principales obligations en vigueur depuis septembre 2022 :

  • Nomination d’une personne responsable des renseignements personnels : Désignation d’un responsable de la protection des renseignements personnels et publication des coordonnées de cette personne ou délégation de cette fonction à une autre personne au sein de l’entité.
  • Déclaration obligatoire des atteintes à la sécurité des données : Dans le cas des atteintes sévères qui présentent un risque de préjudice grave, déclaration à la Commission d’accès à l’information du Québec, notification des personnes touchées et consignation dans un registre des incidents de confidentialité.
  • Biométrie : Divulgation à la Commission d’accès à l’information du Québec avant d’utiliser des mesures biométriques pour vérifier ou confirmer l’identité d’une personne. Les entités sont tenues d’aviser la Commission d’accès à l’information dans les soixante jours suivant la création d’une base de banque de caractéristiques ou de mesures biométriques.

Voici les principales obligations en vigueur depuis septembre 2023 :

  • Politique de confidentialité : Élaboration d’une politique de confidentialité exhaustive rédigée en termes simples et clairs qui décrit les pratiques des entreprises en matière de protection des données. La politique de confidentialité doit être publiée sur le site Web de l’entreprise.
  • Évaluation des facteurs relatifs à la vie privée : Une évaluation des facteurs relatifs à la vie privée (« EFVP ») obligatoire requise pour le transfert de renseignements personnels hors du Québec lors de la création ou de l’acquisition de systèmes numériques.
  • Objet, collecte et consentement : Examen exhaustif des pratiques de cueillette, de stockage et de diffusion des renseignements de consommateurs et harmonisation de ces pratiques avec les nouveaux droits des personnes concernées.
  • Destruction des renseignements personnels : Mise en œuvre d’un système assurant la destruction ou l’anonymisation des renseignements personnels une fois le but pour lequel ils ont été recueillis atteint.
  • Droit à l’oubli : Mise en place d’un système pour répondre aux demandes des personnes qui souhaitent que des renseignements les concernant cessent d’être diffusés. 

Finalement, l’obligation clé suivante entrera en vigueur en septembre 2024 :

  • Portabilité des données : Mise en place de la technologie nécessaire à la production, sur demande, d’une copie numérique de tous les renseignements personnels détenus.

En plus de ces exigences, dont l’application est graduelle, la loi 25 augmente les amendes infligées en cas de non-respect des lois en matière de protection de la vie privée. Les entités du secteur privé sont assujetties à des amendes allant de 15 000 $ à 25 millions de dollars canadiens ou un montant correspondant à 4 % de leur chiffre d’affaires mondial pour l’exercice précédent (selon le montant le plus élevé).

La compréhension de ces exigences et la mise en place de processus en vue d’y répondre permettront aux entreprises et aux organismes de s’assurer de se conformer à cette loi et de protéger les renseignements personnels de leurs clients et de leurs employés.

En Colombie-Britannique

En novembre 2021, le gouvernement de la Colombie-Britannique a déposé le projet de loi 22, qui modifie la Freedom of Information and Protection of Privacy Act (« FIPPA »). Le principal objectif du projet de loi 22 est de veiller à ce que le gouvernement rende davantage de comptes et fasse preuve de plus de transparence, d’améliorer la protection des renseignements personnels au sein du secteur public et d’accroître le partage d’information avec les peuples autochtones tout en limitant les divulgations préjudiciables. 

Il vise à encadrer la façon dont les organismes publics provinciaux de la Colombie-Britannique (p. ex., les ministères et les organismes provinciaux, les municipalités, les sociétés d’État, les établissements postsecondaires, les conseils scolaires, les autorités sanitaires et les organismes d’autoréglementation professionnels) recueillent, utilisent, présentent et conservent des renseignements personnels.

Le projet de loi 22 apporte les principaux changements suivants à la FIPPA :

  • Exigence que chaque organisme public élabore un programme de gestion de la protection de la vie privée;
  • Exigence que chaque organisme public informe une personne touchée et le commissaire à la protection de la vie privée en cas d’atteinte à la vie privée qui pourrait causer un préjudice considérable à la personne;
  • Levée de l’interdiction de stockage des renseignements personnels à l’étranger et de leur accès;
  • Introduction de nouvelles infractions et sanctions en matière de renseignements personnels qui s’appliquent aux particuliers, aux fournisseurs de services ainsi qu’à leurs employés et associés;
  • Permission donnée aux autorités d’exiger des frais pour toute demande d’accès aux renseignements.

Priorités des entreprises

La plupart des entreprises considèrent les données, en particulier les renseignements personnels des clients, comme un actif essentiel qui influence énormément les stratégies de vente et les activités de marketing. Toutefois, elles présentent aussi d’importants risques. Les entreprises doivent absolument gérer de façon efficace tous les renseignements personnels traités tout au long de leur cycle de vie, de la cueillette des données à leur élimination. 

Pour se conformer aux dispositions encadrant la protection de la vie privée et des données, comme la loi 25 au Québec et le projet de loi 22 de la Colombie-Britannique, ainsi qu’à d’autres obligations internationales en la matière, les entreprises doivent investir dans des stratégies de protection des données telles que les suivantes :

  1. Mise en place d’un programme de protection des renseignements personnels : Les entreprises devront mettre en place un programme de protection de la vie privée pour se conformer aux nouvelles exigences. Celui-ci devra comporter des politiques, des procédures et des lignes directrices visant la protection des données personnelles, le traitement des droits des personnes concernées, la gestion des atteintes aux données et la réponse aux demandes relatives aux renseignements personnels.
  2. Évaluation des facteurs relatifs à la vie privée : Les EFVP sont une composante essentielle de tout programme de protection des renseignements personnels. Elles consistent en l’évaluation de l’incidence des activités, des produits et des services d’une entreprise sur le droit à la vie privée des personnes. Les entreprises pourraient devoir mettre en œuvre des EFVP pour cibler les risques liés à la protection de la vie privée et adopter des mesures d’atténuation.
  3. Nomination d’une personne responsable des renseignements personnels : La nomination d’un responsable de la protection de la vie privée est une autre exigence en matière de protection de la vie privée. Le responsable de la protection de la vie privée supervise le programme de protection des renseignements personnels d’une entreprise, veille au respect du cadre législatif et répond aux demandes relatives aux renseignements personnels.
  4. Mise à jour des procédures de gestion et de traitement des données : Les entreprises pourraient être tenues de mettre à jour leurs procédures de gestion et de traitement des données afin de respecter les nouvelles règles en matière protection de la vie privée. Elles pourraient notamment devoir instaurer de nouvelles politiques de conservation des données, obtenir un consentement explicite pour les activités de traitement des données, mettre en place des processus de déclaration des atteintes à la vie privée et assurer un plus grand contrôle des données personnelles des employés.
  5. Programmes de formation et de sensibilisation : L’entrée en vigueur de nouvelles règles en matière de protection des renseignements personnels peut obliger les entreprises à offrir des programmes de formation et de sensibilisation à leurs employés. Ces formations doivent aborder les politiques et procédures de l’entreprise en matière de protection des renseignements personnels ainsi que les nouvelles exigences. Les programmes de formation et de sensibilisation contribuent à renseigner les employés à l’égard de leurs responsabilités et à prévenir les atteintes aux données ou à la confidentialité.

BDO peut vous épauler

Notre équipe spécialisée dans la protection des renseignements personnels et des données propose une approche globale en matière de gestion des renseignements personnels pour vous permettre de relever les défis actuels les plus complexes.

Nous nous engageons à consacrer le temps et les ressources nécessaires pour bien comprendre les subtilités de votre entreprise de même que la manière dont vous utilisez les renseignements personnels et gérez globalement vos données.

Les membres de notre équipe détiennent un éventail de compétences en cybersécurité, en gestion du cycle de vie des renseignements et en analyse de données. Ils possèdent également une vaste expérience en matière de gouvernance, d’exploitation, de technologie, de conformité et de gestion des risques, ce qui leur permet de se concentrer sur vos préoccupations immédiates en matière de confidentialité et de protection des données tout en assurant le maintien de votre disponibilité opérationnelle.

Communiquez avec nous pour en savoir plus :

Ziad Akkaoui
Associé et chef national, Services-conseils en risque
[email protected] 

Dishank Rustogi
Chef national, Services-conseils en cybersécurité, Gestion et transformation des cyberrisques
[email protected] 

Chathurya Pandurangan
Directrice, Services-conseils en cybersécurité, Gestion et transformation des cyberrisques
[email protected] 

Bobbi Birk
Directrice, Services-conseils en risque
[email protected]

Notre site utilise des témoins nous permettant de vous offrir un service plus réactif et personnalisé. En consultant notre site, vous acceptez l'utilisation des témoins. Veuillez lire notre déclaration de confidentialité pour en savoir plus sur les témoins que nous utilisons et sur la façon de les bloquer ou de les supprimer.

Accepter et fermer