Photo by Guillaume Jaillet on Unsplash

Amorce d’une révolution en matière de renseignements personnels au Canada? Entreprises, prenez note!

On publiait il y a quelques jours un rapport que je qualifierais d’important provenant du Parlement canadien* et confirmant le besoin criant de modifier la Loi canadienne en matière de renseignements personnels (la « LPRPDE », ou « PIPEDA »).

Après un examen de la situation actuelle de la LPRPDE, le rapport vient à son tour conclure au besoin d’accorder plus de pouvoirs au Commissariat à la protection de la vie privée du Canada (le « Commissariat »). La LPRPDE devrait être modifiée de façon urgente afin de protéger la vie privée des Canadiens et des Canadiennes, relativement à une série de dispositions et de sujets. Pour ce faire, le rapport propose d’apporter une vingtaine de modifications à la LPRPDE, notamment pour :

  • Intégrer comme principe fondamental de notre loi le concept de Protection de la vie privée dès la conceptionprivacy by design», en anglais) – c’est majeur!;
  • Munir notre Commissariat de pouvoirs accrus, y compris pour faire appliquer la LPRPDE en délivrant lui-même des ordonnances et en imposant des amendes aux entreprises délinquantes – ce serait aussi une révolution au Canada;
  • Prévoir que l’option d’adhésion (« opt-in », en anglais) devrait généralement s’avérer LA façon d’obtenir le consentement d’un individu;
  • Ajouter un droit à la portabilité de ses données;
  • Intégrer dans la loi un droit exprès à l’effacement de ses données, en particulier pour ce qui est publié par des mineurs;
  • Favoriser la transparence des algorithmes qu’utilisent les entreprises;
  • Clarifier dans quelle mesure une entreprise peut utiliser, sans consentement, des renseignements personnels à des fins commerciales légitimes;
  • Clarifier les obligations des entreprises relativement à la destruction de données.

Fait intéressant, selon plusieurs, l’une des motivations des changements proposés vise à s’assurer que la loi canadienne demeure acceptable en vertu du droit européen qui, jusqu’à maintenant, considérait notre loi comme équivalant juridiquement à la leur. Compte tenu des lacunes de la LPRPDE qui émergent (et des changements imminents à la loi européenne), cet état de fait pourrait bien changer, ce qui compliquerait la vie pour nos entreprises et celles qui désirent faire affaire avec des entreprises européennes.

À ce sujet, plusieurs croient que nous avons de bonnes chances de maintenir la pertinence et le statut de notre loi SI le Canada modifie effectivement sa loi pour adopter le concept de la « protection de la vie privée dès la conception » ET qu’on dote notre commissaire de réels pouvoirs de contraindre les entreprises et de les mettre à l’amende. Continuer à faire autrement n’est plus une option – à la bonne heure!, ajouterais-je.

À voir maintenant si et avec quelle rapidité notre gouvernement réagira à ces recommandations. Chose à peu près certaine : le droit canadien s’achemine vers un régime touchant les renseignements personnels qui sera obligatoire pour les entreprises et non plus, comme c’est actuellement le cas, l’équivalent d’une simple suggestion.

 

*Le rapport en question émane du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique.