Les lois sur la protection de la vie privée

I. Lois et règlements provinciaux

(a) Le Code civil

Le Code civil contient des dispositions portant sur le traitement des renseignements sur une personne et la protection de la réputation et de la vie privée de celle ci. Les articles 35 à 41 du Code civil et la Loi québécoise sur les renseignements personnels consacrent le droit à toute personne au respect de sa réputation et de sa vie privée et prohibent toute atteinte à ce droit.

Il est intéressant de noter que le Code civil donne quelques exemples non exhaustifs d’atteinte à la vie privée d’une personne.

Ces exemples comprennent le fait d’intercepter ou d’utiliser volontairement une communication privée et de surveiller la vie privée d’une personne par quelque moyen que ce soit. Ces articles viennent limiter, par exemple, la capacité qu’a un employeur d’enregistrer ou de filmer un employé dans le but d’amasser des preuves, même si ces agissements peuvent être permis dans certaines circonstances.

Le Code civil prévoit deux critères pour qu’un dossier puisse être constitué sur une personne : i) la personne qui constitue un dossier sur une autre personne doit avoir « un intérêt sérieux et légitime à le faire » et ii) elle ne peut recueillir que les renseignements pertinents à l’objet déclaré du dossier.³ Le terme « pertinents » a été interprété de façon restrictive et renvoie à la notion de « renseignements nécessaires » dans la Loi québécoise sur les renseignements personnels.⁴ Plus précisément, la constitution d’un dossier est réputée nécessaire uniquement lorsque le fait d’agir ainsi permettrait d’atteindre un « objectif légitime et important » énoncé avant la constitution du dossier.⁵ Le Code civil énonce certains principes généraux en matière de protection de la vie privée alors que la Loi québécoise sur les renseignements personnels prévoit un ensemble plus complet de règles applicables aux personnes exploitant une entreprise au sens de l’article 1525, CcQ.

(b) La Loi québécoise sur les renseignements personnels

Objet, portée et définitions

La Loi québécoise sur les renseignements personnels a pour objet premier de créer un ensemble de règles visant la protection des i) renseignements personnels qu’une personne recueille, détient, utilise ou communique à des tiers à l’occasion de ii) l’exploitation d’une entreprise. Une distinction additionnelle est faite lorsqu’il s’agit de iii) renseignements personnels sensibles.

i) Renseignements personnels | Dans le contexte de la Loi québécoise sur les renseignements personnels, est un renseignement personnel, tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l’identifier. Bien que chaque cas soit un cas d’espèce, cette définition ne s’applique qu’aux renseignements concernant une personne physique et non aux renseignements commerciaux plus sensibles, comme les renseignements financiers ou les secrets commerciaux d’une entreprise.

ii) Exploitation d’une entreprise | Ce terme est défini à l’article 1525 du Code civil comme « l’exercice, par une ou plusieurs personnes, d’une activité économique organisée, qu’elle soit ou non à caractère commercial, consistant dans la production ou la réalisation de biens, leur administration ou leur aliénation, ou dans la prestation de services ».

iii) Renseignements personnels sensibles | Un renseignement est réputé sensible de par sa nature, notamment médicale ou biométrique, ou en raison du contexte dans lequel il est recueilli ou encore lorsqu’il suscite un haut degré d’attente raisonnable en matière de vie privée. Les renseignements personnels détenus par un ordre professionnel sont également visés par la Loi québécoise sur les renseignements personnels.

Collecte

Toute personne qui exploite une entreprise et qui, en raison d’un intérêt sérieux et légitime, recueille des renseignements personnels sur autrui doit, avant la collecte, déterminer les fins de celle ci et ne peut recueillir que les renseignements nécessaires aux fins déterminées. Les renseignements personnels recueillis en vertu de la Loi québécoise sur les renseignements personnels ne peuvent être utilisés qu’aux fins déclarées au moment de la collecte. Toutefois, le consentement de la personne concernée peut être obtenu afin d’utiliser ces renseignements personnels à toute autre fin ou avant qu’ils soient communiqués à des tiers. Le consentement de la personne doit être manifeste, libre, éclairé et être donné à des fins spécifiques. Les renseignements personnels concernant une personne mineure de moins de 14 ans ne peuvent être recueillis auprès de celle-ci sans le consentement du titulaire de l’autorité parentale ou du tuteur, sauf lorsque cette collecte est manifestement au bénéfice de cette personne mineure.

Accès par la personne concernée et communication à des tiers

En vertu de la Loi québécoise sur les renseignements personnels, les entreprises qui recueillent des renseignements personnels sont tenues d’informer les personnes des fins auxquelles ces renseignements sont recueillis, des moyens par lesquels les renseignements sont recueillis, des droits d’accès et de rectification prévus par la loi et de leur droit de retirer leur consentement à la communication ou à l’utilisation des renseignements recueillis. Les dispositions de la Loi québécoise sur les renseignements personnels confèrent à la personne concernée des droits d’accès aux renseignements personnels la concernant et de rectification de tout renseignement inexact par l’ajout d’information ou d’un commentaire ou la suppression d’information. Dans certains cas, la personne qui exploite une entreprise aura le droit de refuser l’accès, en partie ou en totalité. Tout différend découlant du droit d’une personne d’accéder aux renseignements personnels la concernant doit être soumis à la Commission d’accès à l’information (CAI), un tribunal administratif spécialisé.

Règle générale, il est interdit de communiquer ou de divulguer des renseignements personnels à des tiers sans le consentement de la personne concernée. Toutefois, la Loi québécoise sur les renseignements personnels prévoit que, dans certaines situations exceptionnelles, une entreprise pourra, sans le consentement de la personne concernée, communiquer ou divulguer un renseignement personnel qu’elle détient sur autrui à un tiers (notamment au procureur de la personne détenant le dossier, à une personne chargée en vertu de la loi de prévenir, de détecter ou de réprimer le crime ou les infractions aux lois, qui le requiert dans l’exercice de ses fonctions, si le renseignement est nécessaire pour la poursuite d’une infraction, ou à une personne à qui il est nécessaire de communiquer le renseignement). D’autres exceptions s’appliquent, comme la communication d’un renseignement personnel :

• à une personne à qui il est nécessaire de communiquer le renseignement dans le cadre d’une loi applicable ou pour l’application d’une convention collective et qui le requiert dans l’exercice de ses fonctions;
• à un organisme public dans l’exercice de ses attributions ou la mise en œuvre d’un programme;
• à une personne ou à un organisme qui a le pouvoir de contraindre sa communication;
• en raison d’une situation d’urgence mettant en danger la vie, la santé ou la sécurité de la personne concernée;
• à une personne autorisée à des fins d’étude, de recherche ou de production de statistiques;
• à une personne qui, en vertu de la loi, peut recouvrer des créances;
• à des tiers à qui des listes nominatives sont communiquées conformément à la Loi québécoise sur les renseignements personnels.
  

Les membres du personnel autorisés au sein d’une entreprise, les agents, les mandataires et les parties à un contrat de service ou d’entreprise ont accès, sans l’autorisation de la personne concernée, aux renseignements personnels nécessaires à l’exercice de leurs fonctions. De plus, la Loi québécoise sur les renseignements personnels confère à une personne qui exploite une entreprise le droit d’utiliser ou de communiquer une liste nominative (par exemple, une liste de clients). Elle prévoit des règles permettant l’utilisation de listes nominatives aux fins de l’expansion des affaires. S’il y a lieu, les personnes doivent être informées du nom des tiers à qui il est nécessaire de communiquer les renseignements et de la possibilité que ceux ci soient communiqués à l’extérieur du Québec. L’information doit être fournie en termes simples et clairs. Le consentement tacite est possible dans certains cas.

Mesures de protection : Politiques et pratiques de gouvernance, évaluations des facteurs relatifs à la vie privée et confidentialité par défaut

La Loi québécoise sur les renseignements personnels exige dorénavant que les entreprises désignent un responsable de la protection des renseignements qui sera chargé de la mise en œuvre des mesures de protection des renseignements personnels conformément à la loi. Par défaut, la personne ayant la plus haute autorité au sein de l’entreprise exerce cette fonction; néanmoins, elle peut déléguer cette fonction par écrit à une personne salariée. De plus, une personne qui exploite une entreprise doit prendre des mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support. De plus, la Loi québécoise sur les renseignements personnels incorpore maintenant la confidentialité par défaut, puisque les entreprises offrant un produit ou un service technologique disposant de paramètres de confidentialité doivent s’assurer que, par défaut, ces paramètres assurent le plus haut niveau de confidentialité, sans aucune intervention de la personne concernée. Cette exigence applicable aux paramètres ne vise pas les témoins de connexion. Les entreprises qui recueillent par un moyen technologique des renseignements personnels doivent publier sur leur site Internet, le cas échéant, une politique de confidentialité rédigée en termes simples et clairs.

Depuis le 22 septembre 2023, les entreprises se doivent de mieux comprendre les renseignements personnels qu’elles détiennent et l’utilisation qu’elles en font. Elles doivent notamment procéder à une évaluation des facteurs relatifs à la vie privée de tout projet d’acquisition, de développement ou de refonte d’un système informatique impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels. De plus, les entreprises doivent procéder à une évaluation des facteurs relatifs à la vie privée avant de communiquer un renseignement personnel à l’extérieur du Québec. Cette évaluation doit tenir compte de la sensibilité du renseignement, de la finalité de son utilisation, des mesures de protection, y compris les mesures contractuelles, dont le renseignement bénéficierait, et le régime juridique applicable dans l’État où ce renseignement serait communiqué. En outre, la communication d’un renseignement personnel à l’extérieur du Québec doit faire l’objet d’une entente écrite qui tient compte des faiblesses relevées dans le cadre de cette évaluation et des modalités convenues dans le but d’atténuer les risques identifiés dans le cadre de cette évaluation.

Avis d’incident de confidentialité

Depuis le 22 septembre 2022, la Loi québécoise sur les renseignements personnels impose l’obligation de transmettre un avis en cas d’incident de confidentialité présentant un risque de préjudice sérieux. On entend, par incident de confidentialité, l’accès à un renseignement qu’une entreprise détient ou son utilisation, sa communication et sa perte ou encore toute autre atteinte à la protection d’un tel renseignement sans autorisation. L’entreprise doit aviser, avec diligence, la CAI de même que les personnes touchées par l’incident à moins que cela soit susceptible d’entraver une enquête criminelle ou une enquête visant une infraction aux lois. Le Règlement sur les incidents de confidentialité précise les renseignements qu’un tel avis doit contenir si l’entreprise n’utilise pas le formulaire fourni par la CAI pour déclarer un manquement. L’entreprise doit tenir un registre de tous les incidents de confidentialité, y compris ceux ne répondant pas au critère du « risque de préjudice sérieux », et transmettre à la CAI une copie de ce registre sur demande. Le registre doit être tenu à jour et conservé pendant une période minimale de cinq ans après la survenance de l’incident.

Mécanismes d’application

Des mécanismes plus stricts d’application sont maintenant prévus par la Loi québécoise sur les renseignements personnels.

Le nouveau régime donne à la CAI le pouvoir d’imposer une sanction administrative pécuniaire d’un montant maximal de 10 M$, ou du montant correspondant à 2 % du chiffre d’affaires mondial de l’exercice financier précédent. De telles sanctions peuvent être imposées dans de nombreux cas, notamment le défaut de déclarer une atteinte à la vie privée. La CAI dispose également du droit d’intenter une poursuite pour infraction en vertu de la Loi québécoise sur les renseignements personnels. Une telle poursuite pourrait mener à l’imposition d’une amende d’un montant maximal de 25 M$, ou du montant correspondant à 4 % du chiffre d’affaires mondial de l’exercice financier précédent. En cas de récidive, ces amendes sont portées au double.

(c) Le Règlement sur l’anonymisation des renseignements personnels

Le Règlement sur l’anonymisation des renseignements personnels est entré en vigueur le 30 mai 2024. Ce règlement prescrit le processus d’anonymisation des renseignements personnels que doit suivre une organisation, tel qu’il est exigé par la Loi québécoise sur les renseignements personnels, lorsque les renseignements personnels ne sont pas retirés. Tout comme pour l’évaluation des facteurs relatifs à la vie privée, l’organisation doit effectuer une analyse des risques avant, pendant et après le processus d’anonymisation. Elle doit aussi consigner les renseignements suivants dans un registre :

• une description des renseignements personnels qui ont été anonymisés;
• les fins auxquelles elle entend utiliser ces renseignements anonymisés;
• les techniques d’anonymisation utilisées;
• les mesures de protection et de sécurité établies;
• la date à laquelle la dernière analyse des risques de réidentification a été effectuée.

Il n’est pas nécessaire de démontrer un risque nul de réidentification. Cependant, il faut démontrer que les risques résiduels de réidentification sont très faibles. Les techniques d’anonymisation utilisées doivent être conformes aux pratiques exemplaires généralement reconnues et établir des mesures de protection et de sécurité raisonnables pour diminuer les risques de réidentification. Les moyens choisis découlent d’une analyse préliminaire des risques de réidentification.

II. Lois et règlements fédéraux

(a) La LPRPDE

Portée et application

La LPRPDE fédérale est très semblable à la version de la Loi québécoise sur les renseignements personnels avant les modifications apportées par la Loi 25. Elle s’applique à toute organisation (c.-à-d. une association, une société de personnes, une personne et une organisation syndicale) à l’égard des renseignements personnels qu’elle recueille, détient, utilise ou communique dans le cadre d’activités commerciales. De nombreuses dispositions de la loi fédérale ressemblent à celles de la Loi québécoise sur les renseignements personnels, la loi fédérale s’appliquera donc lorsque des renseignements personnels sont communiqués à l’extérieur du Québec et visera toutes les organisations de compétence fédérale (comme les banques, les compagnies de chemin de fer et les entreprises de transport aérien). Cette loi s’applique à un « renseignement personnel », défini comme tout renseignement concernant un individu identifiable, à l’exception du nom, du titre ou des coordonnées d’affaires (adresse ou numéro de téléphone) d’un employé d’une organisation.

Principes relatifs à l’équité dans le traitement de l’information de la LPRPDE

La LPRPDE énonce dix principes relatifs à l’équité dans le traitement de l’information qui régissent la collecte, l’utilisation et la communication des renseignements personnels. Ces principes se résument comme suit :

• Sous réserve uniquement de certaines exceptions, les renseignements ne peuvent être recueillis, utilisés ou communiqués à l’insu de l’intéressé ou sans son consentement.
• Règle générale, les organisations seront tenues de recueillir des renseignements personnels uniquement des personnes à qui ces renseignements se rapportent et uniquement après avoir informé cette personne de la manière dont les renseignements seront utilisés et communiqués.
• Les renseignements ne peuvent être utilisés ou communiqués que de la manière indiquée au moment de la collecte sauf si un consentement est de nouveau obtenu de la personne concernée. Une personne peut retirer son consentement en tout temps.
• La personne à laquelle les renseignements se rapportent pourra, sur demande écrite, obtenir des informations quant à l’existence, à l’utilisation et à la communication des renseignements personnels la concernant. Sous réserve de quelques exceptions, elle pourra consulter ces renseignements, en contester l’exactitude et y faire apporter les corrections appropriées.
• Les renseignements personnels ne doivent être conservés qu’aussi longtemps que nécessaire pour la réalisation des fins pour lesquelles ils ont été recueillis, ou suffisamment longtemps pour permettre à une personne d’exercer son droit d’accès à l’information.
• Les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. Ces mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification sans autorisation. Ces méthodes de protection devraient comprendre des moyens matériels, administratifs ou techniques. La LPRPDE crée un régime de déclaration obligatoire des atteintes entré en vigueur en 2018 par la voie du Règlement sur les atteintes aux mesures de sécurité.
• Une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne. En outre, une organisation est responsable des renseignements personnels dont elle a la gestion et doit désigner une ou des personnes qui devront veiller au respect de la LPRPDE.

Mode de règlement des différends

Tout différend découlant du droit d’accès d’une personne ou d’une plainte en vertu de la LPRPDE doit être soumis pour enquête au Commissariat à la protection de la vie privée du Canada. À la réception du rapport du Commissaire à la protection de la vie privée du Canada (Commissaire) portant sur le différend ou la plainte, le plaignant peut demander que la Cour fédérale entende sa plainte. Moyennant un préavis raisonnable, le Commissaire peut aussi procéder à la vérification des pratiques de l’organisation en matière de gestion des renseignements personnels.

(b) Le projet de loi C-27

En juin 2022, l’honorable François-Philippe Champagne, ministre de l’Innovation, des Sciences et de l’Industrie, a déposé le projet de loi C-27. Le 16 juin 2024, ont eu lieu le dépôt et la première lecture de ce projet de loi, qui était, en date de juin 2024, rendu à l’étape de l’examen en comité à la Chambre des communes.

La Loi sur la protection de la vie privée des consommateurs (LPVPC)

S’il est adopté, le projet de loi C-27 édicterait la LPVPC, transformant ainsi l’approche du gouvernement fédéral en matière de réglementation relative à la protection des renseignements personnels dans le secteur privé et abrogeant certaines parties de la LPRPDE relatives au traitement des renseignements personnels. Aux termes de la LPVPC, les dispositions de l’annexe de la LPRPDE traitant des principes relatifs à la protection des renseignements personnels seraient réécrites et deviendraient des dispositions de droit substantif, et nombre des obligations aux termes de la LPRPDE seraient intégrées dans la LPVPC. Par contre, la LPVPC créerait également de nouvelles obligations plus strictes pour les organisations du secteur privé, notamment :

• l’obligation de mettre en œuvre un programme de gestion de la protection des renseignements personnels qui comprend des politiques, des pratiques et des procédures pour se conformer à la LPVPC et l’obligation de donner accès à celles-ci au Commissaire sur demande;
• des exigences de fournir des explications claires sur le traitement des renseignements personnels, tant pour l’obtention du consentement valide qu’aux fins du respect des exigences de transparence en vertu de la LPVPC;
• des droits visant la mobilité des données afin de donner aux individus un plus grand contrôle sur la communication de leurs renseignements personnels entre les organisations;
• l’obligation de permettre aux individus de demander le retrait des renseignements personnels qui les concernent, sous réserve de certaines exceptions;
• de nouvelles exigences relatives à la transparence applicables aux systèmes décisionnels automatisés, comme les algorithmes et l’intelligence artificielle (IA), voulant que les entreprises expliquent l’usage qu’elles font de ces systèmes;
• des règles régissant la manière dont les renseignements dépersonnalisés tirés de renseignements personnels peuvent être créés, utilisés et communiqués et les fins auxquelles ils peuvent l’être;
• l’obligation pour les organisations de dépersonnaliser les renseignements personnels avant de les communiquer à des tiers dans le cadre d’une transaction commerciale éventuelle, par exemple, à l’étape de la vérification diligente;
• un statut particulier désigné pour les renseignements personnels des mineurs.

Application de la LPVPC

L’amende maximale pouvant être imposée dans le cadre des sanctions administratives s’élève à 10 M$ ou, s’il est supérieur, à un montant égal à 3 % des recettes globales brutes de l’organisation au cours de l’exercice précédent. Lorsqu’il détermine la pénalité à infliger, le Commissaire tient compte, entre autres, des éléments suivants :

• la nature et la portée de la contravention;
• la preuve que l’organisation a pris toutes les précautions voulues pour empêcher la contravention;
• les efforts raisonnables que l’organisation a déployés pour atténuer ou neutraliser les incidences de la contravention;
• la capacité de l’organisation à payer la pénalité et si le paiement de celle-ci aura des conséquences sur sa capacité à exercer ses activités.

Le plafond des sanctions pénales pourrait se chiffrer à 25 M$ ou, s’il est supérieur, à un montant égal à 5 % des recettes globales brutes de l’organisation au cours de l’exercice précédent.

Le projet de loi C-27 édicterait également la Loi sur le Tribunal de la protection des renseignements personnels et des données, qui créerait un tribunal administratif chargé d’instruire les appels de certaines décisions rendues par le Commissaire au titre de la LPVPC et d’infliger des sanctions pécuniaires en cas de contravention à certaines dispositions de cette loi. Le plaignant disposerait d’un délai d’appel de 30 jours après le jour où le Commissaire rendrait sa décision. 

Loi sur l’intelligence artificielle et les données (LIAD)

Le projet de loi C-27 édicte la LIAD, qui réglemente les échanges et le commerce internationaux et interprovinciaux en matière de systèmes d’intelligence artificielle en exigeant que certaines personnes adoptent des mesures pour atténuer les risques de préjudices et de résultats biaisés liés aux systèmes à incidence élevée. La définition du terme « système à incidence élevée » sera établie par règlement, lequel tiendra vraisemblablement compte des éléments suivants dans l’évaluation d’un système d’IA⁶: 

• des preuves de l’existence de risques de préjudices pour la santé et sécurité;
• un risque d’impact négatif sur les droits de la personne;
• la gravité des préjudices potentiels;
• l’ampleur de l’utilisation;
• la nature des préjudices ou des impacts négatifs qui ont déjà eu lieu.

III. La Loi canadienne anti-pourriel (LCAP)

La LCAP a instauré des mesures pour répondre aux problèmes découlant des courriels commerciaux non sollicités (pourriels), de l’hameçonnage ainsi que des logiciels espions et malveillants.

Portée et définitions

Il est interdit en vertu de la LCAP d’envoyer à une adresse électronique des messages électroniques commerciaux (MEC) au moyen d’un ordinateur situé au Canada sans le consentement du destinataire du message. Cette interdiction vise toutes les formes de télécommunications (courriel, messagerie instantanée ou téléphone) ainsi que toutes les formes de messages (messages textuels, sonores, vocaux ou visuels). Un MEC s’entend d’un message destiné à encourager la participation à une « activité commerciale ». Il convient de noter que l’envoi d’un message électronique comportant une demande de consentement en vue de la transmission d’un MEC est également interdit par la LCAP.

Le consentement du destinataire peut être exprès ou tacite dans certaines situations. Le consentement tacite est réputé lorsque le destinataire et l’expéditeur ont une « relation d’affaires en cours », par exemple une relation découlant de l’achat ou du louage par le destinataire, au cours des deux ans précédant la date d’envoi du message, d’un bien, d’un produit ou d’un service de l’expéditeur. Le consentement tacite peut aussi découler d’un contrat conclu entre le destinataire et l’expéditeur ou de l’acceptation par le destinataire d’une possibilité d’affaires, d’investissement ou de jeu offerte par l’expéditeur au cours d’une période de six mois précédant la date d’envoi du message. De plus, la LCAP prévoit que le consentement ne serait pas requis dans certaines circonstances « limitées » avant l’envoi d’un message électronique commercial.

Lorsqu’il y a consentement exprès ou tacite, tout MEC doit comporter un mécanisme d’exclusion permettant au destinataire de s’exclure en utilisant la méthode qui a été employée pour envoyer le message ou, si cela est pratiquement impossible, toute autre méthode électronique qui lui permet de communiquer sa volonté de s’exclure. Le message doit aussi fournir un lien à la page du Web ou une adresse électronique à laquelle le destinataire peut communiquer sa volonté de s’exclure. Tout MEC qui ne respecte pas cette exigence, entre autres exigences, contrevient à la loi dès que la transmission est amorcée peu importe que ce message parvienne ou non à destination.

Application de la LCAP

Un droit privé d’action est créé au titre de la LCAP pour les personnes touchées par les contraventions à la loi. Ce droit privé d’action devait entrer en vigueur le 1er juillet 2017, mais n’a toujours pas été mis en œuvre. Les demandes visant l’exercice d’un droit privé d’action peuvent être adressées à la Cour fédérale du Canada ou à la Cour supérieure d’une province. Lorsque la preuve de la contravention à la LCAP a été faite, le demandeur a droit de toucher une somme pour les dommages qu’il a subis en raison de cette contravention et, selon le type de contravention, une somme maximale de 200 $ à l’égard de chaque contravention, jusqu’à concurrence de 1 M$ par jour.

LCAP, LPRPDE et projet de loi C-27

La LCAP modifie également les dispositions de la LPRPDE en interdisant la collecte de l’adresse électronique d’une personne au moyen d’un programme informatique conçu à cette fin, la collecte de renseignements personnels en accédant sans autorisation à un système informatique et l’utilisation des renseignements recueillis de manière illicite. Le droit privé d’action créé par la LCAP s’appliquera également à ces interdictions, ce qui ajoutera du mordant à la LPRPDE, qui ne prévoyait qu’un seul recours jusqu’à présent, soit le dépôt d’une plainte au Commissariat à la protection de la vie privée.

Sur recommandation du ministre de l’Industrie, le Gouverneur général en conseil a pris le Règlement sur la protection du commerce électronique (Règlement). Ce règlement prévoit de nouvelles exemptions applicables à certaines activités commerciales qui se retrouvent maintenant à l’extérieur de la portée de la LCAP.

Le Règlement propose une définition plus large du terme « liens personnels » et comprend maintenant ce qui suit :

• des exemptions plus larges à l’égard des messages envoyés dans un contexte interentreprises;
• une clarification des circonstances où la LCAP ne s’appliquera pas aux messages envoyés de l’extérieur du Canada;
• une exemption visant les messages envoyés pour répondre à une obligation juridique;
• une exemption visant les messages sollicités ou envoyés en réponse à des plaintes ou des demandes;
• des conditions d’utilisation du consentement obtenu par un tiers;
• des dispositions relatives à l’installation de certains programmes informatiques par des télécommunicateurs.