Loi sur la protection de la vie privée des consommateurs (LPVPC)

Principales répercussions pour les organisations

Si la LPVPC est adoptée, les sociétés devront se conformer aux principes suivants :

1. Consentement valable : Fournir aux particuliers l'information en langage clair dont ils ont besoin pour faire des choix judicieux sur l'utilisation de leurs renseignements personnels. Les particuliers bénéficieront ainsi de plus de transparence en ce qui a trait à la façon dont leurs données sont recueillies.
2. Mobilité des données : Donner aux particuliers le droit de communiquer leurs renseignements personnels à une autre organisation. L’organisation sera responsable d’effectuer le transfert.
3. Retrait des renseignements personnels et retrait du consentement : Répondre aux demandes reçues de particuliers visant le retrait de leurs renseignements personnels, et, dans la plupart des cas, permettre aux particuliers de retirer leur consentement à l’utilisation de leurs renseignements personnels.
4. Transparence des algorithmes : Respecter les nouvelles règles exigeant l'utilisation transparente des systèmes automatisés qui aident à prendre des décisions, comme les algorithmes et l'intelligence artificielle. Les entreprises devront faire preuve de transparence au sujet de l'utilisation qu'elles font de tels systèmes dans le but de faire des prédictions et des recommandations ou de prendre des décisions ayant des répercussions importantes sur telle ou telle personne. Ces personnes auront le droit de demander que l'entreprise explique de quelle manière elle en est venue à ces prévisions, recommandations ou décisions en s'appuyant sur un système automatisé, et aussi comment cette information a été obtenue.

De plus, les sociétés seront habilitées à faire ce qui suit :

1. Utiliser des renseignements dépersonnalisés sans consentement dans certaines circonstances. Bien que plusieurs organisations utilisent déjà les renseignements dépersonnalisés pour mieux protéger la vie privée, la loi précisera que cette information peut être utilisée sans le consentement des particuliers, dans certaines circonstances. 
2. Utiliser des données pour le bien commun. La LPVPC permettra aux entreprises de divulguer des données dépersonnalisées à des organismes publics (en certaines circonstances) pour le bien commun. Il est important pour les entreprises de reconnaître que de faciliter l’accès aux données et leur partage entre les secteurs publics et privés peut aider à résoudre d’importants problèmes. L’équipe des services-conseils en protection des renseignements personnels de PwC Canada a été et demeure très engagée dans ce domaine en tant que participant clé du projet de responsabilisation à l’égard des données dirigé par l’Information Accountability Foundation et membre du comité directeur du Canadian Anonymization Network (CANON).
3. S’appuyer davantage sur les codes de pratique et des régimes de certification : Pour aider les organismes à comprendre leurs obligations sous le régime de la LPVPC, et afin de démontrer la conformité, la loi permettra aux organisations de demander au commissaire à la vie privée d'approuver les codes de pratiques et les régimes de certification qui établissent comment la LPVPC s'applique à certaines activités et à certains secteurs ou modèles d'entreprise.

Pour s’assurer du respect de la loi, le gouvernement a aussi précisé quels seront les outils de contrôle et de surveillance en vertu de la LPVPC :

• Pouvoirs accrus pour le commissaire fédéral à la vie privée :
  • Pouvoirs accrus pour rendre des ordonnances, notamment pour forcer un organisme à respecter ses exigences.
  • Capacité de demander à une entreprise de cesser de recueillir des données ou d'utiliser des renseignements personnels.
  • Capacité de recommander que le (nouveau) Tribunal de la protection des renseignements personnels et des données impose des sanctions.
• Lourdes sanctions :
  • Sanctions administratives pécuniaires pourraient aller jusqu'à 3 % des recettes globales ou 10 millions de dollars pour les organisations délinquantes. 
  • Sanctions maximales de 5 % du revenu global ou 25 millions de dollars pour les manquements les plus sévères.

Informations complémentaires et étapes à venir.

Le nouveau cadre réglementaire ressemblera au modèle de la loi canadienne sur la concurrence, qui exige que les autorités de réglementation qui veulent imposer des sanctions obtiennent l’approbation d’un organisme quasi judiciaire. Dans ce cas, l’organisme serait le Tribunal de la protection des renseignements personnels et des données nouvellement créé.

Le gouvernement fédéral a présenté sa vision de la protection de la vie privée sous la forme de la Charte canadienne du numérique en mai 2019. Cette charte promet aux Canadiens une plus grande protection en matière de vie privée, tout en rassurant les sociétés que les réformes seront justes, souples et claires afin de continuer à soutenir l’innovation.

Le processus législatif pour l’adoption de cette loi peut être long. Les projets de loi passent généralement par de nombreuses étapes d’approbation à la Chambre des communes et au Sénat. Ces étapes comprennent l’« étape du comité », au cours de laquelle les représentants élus peuvent inviter les représentants du gouvernement et d’autres experts à formuler des commentaires sur les répercussions de la loi et y proposer des changements. Ce processus peut prendre plusieurs mois, voire des années. Une fois le projet de loi C-11 adopté, nous prévoyons qu’une période d’ajustement sera accordée afin de permettre aux organisations de comprendre leurs nouvelles obligations en matière de vie privée avant que la loi n’entre en vigueur.

Mots clés

• Politiques
• Protection des données
• Confidentialité des données