Conseils pratiques pour aider les entreprises à se conformer au projet de loi C-27 : partie 2

Dans un précédent bulletin, nous vous avons présenté un résumé des principaux éléments de la Loi sur la protection de la vie privée des consommateurs (LPVPC) projetée que les entreprises doivent connaître. Nous y avons aussi donné des conseils pratiques pour aider les entreprises à se conformer à ces nouvelles exigences. Sous sa forme actuelle, la LPVPC codifie un certain nombre de pratiques exemplaires et recommandations publiées par le Commissariat à la protection de la vie privée du Canada en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques.

Dans ce bulletin, nous nous attardons aux exigences de la LPVPC en matière de collecte et de traitement de renseignements personnels et plus spécialement aux éléments suivants : 

• les exigences plus strictes relatives au consentement;
• les fins et l’utilisation acceptables des renseignements personnels; 
• l’utilisation de renseignements personnels dans la prise de décision automatisée.

Les exigences plus strictes relatives au consentement

La LPVPC prescrit que l’entreprise qui recueille, utilise ou communique des renseignements personnels doive obtenir le consentement valide de la personne concernée. Ce consentement doit être obtenu au plus tard au moment de la collecte des renseignements personnels. Le consentement n’est valide que si l’entreprise fournit à la personne concernée, lorsqu’elle lui demande son consentement, certains renseignements comme : 

• la liste des types de renseignements personnels que l’entreprise recueillera, utilisera ou communiquera;
• les fins de la collecte, de l’utilisation ou de la communication des renseignements personnels
• la manière dont les renseignements personnels seront recueillis, utilisés ou communiqués et les conséquences raisonnablement prévisibles de la collecte, de l’utilisation ou de la communication des renseignements personnels, s’il y a lieu; 
• le nom des tiers ou les catégories de tiers auxquels les renseignements personnels pourraient être communiqués.

De plus, ces renseignements doivent être fournis dans un langage clair qu’une personne raisonnable devrait comprendre. Règle générale, il est exigé en vertu de la LPVPC que le consentement soit obtenu expressément auprès de la personne concernée, à moins qu’il ne soit possible de conclure que le consentement implicite de celle ci est approprié. 

Cela dit, afin de conclure que le consentement implicite est approprié, l’entreprise doit tenir compte des attentes raisonnables en matière de respect de la vie privée de la personne concernée et de la mesure dans laquelle les renseignements personnels sont de nature délicate. En d’autres mots, si les attentes en matière de respect de la vie privée sont élevées ou que les renseignements personnels sont jugés de nature délicate, l’entreprise aura davantage de difficulté à conclure que le consentement implicite de la personne concernée est suffisant. (Se reporter au blogue que nous avons publié [en anglais seulement] pour plus de détails sur ce que le Commissariat à la protection à la vie privée du Canada considère comme des renseignements sensibles.) 

Un certain nombre d’exceptions aux règles générales en matière de consentement sont également prévues aux termes de la LPVPC. En effet, une entreprise peut recueillir, utiliser et communiquer des renseignements personnels sans le consentement de la personne concernée si, par exemple, les renseignements sont nécessaires en vue d’une activité d’affaires ou pour une question d’intérêt public. 

Les « activités d’affaires » comprennent, entre autres, les activités nécessaires à la fourniture d’un produit ou à la prestation d’un service demandé par la personne ou encore les activités nécessaires à la sécurité de l’information, des systèmes ou des réseaux de l’entreprise. Toutefois, les entreprises devront s’assurer qu’une personne raisonnable s’attendrait à une telle collecte ou à une telle utilisation et que les renseignements personnels ne sont pas recueillis ou utilisés en vue d’influencer le comportement ou les décisions de cette personne. 

Les fins et l’utilisation acceptables des renseignements personnels

Il est indiqué dans la LPVPC que les renseignements personnels ne peuvent être recueillis qu’à des fins qu’une personne raisonnable estimerait acceptables, peu importe que le consentement soit nécessaire ou pas. Les éléments suivants doivent être pris en compte pour établir le caractère acceptable de l’utilisation des renseignements personnels ou des fins auxquelles ils sont recueillis :

• la mesure dans laquelle les renseignements personnels sont de nature délicate;
• les besoins commerciaux légitimes et le degré d’efficacité de l’approche proposée pour répondre à ces besoins;
• le degré d’atteinte à la vie privée par rapport aux fins visées; 
• la proportionnalité entre l’atteinte à la vie privée de la personne et les avantages pour l’entreprise. 

L’entreprise doit établir les fins auxquelles elle souhaite recueillir, utiliser ou communiquer les renseignements personnels avant la collecte ou au plus tard au moment de celle ci. Si, après la collecte, une fin nouvelle est établie, l’entreprise doit consigner cette fin nouvelle avant d’utiliser ou de communiquer des renseignements personnels à cette fin. Sauf si elle bénéficie d’une exception relative à l’obtention du consentement, l’entreprise qui recueille des renseignements personnels à une fin nouvelle doit d’abord obtenir le consentement valide de la personne concernée avant de les utiliser à cet égard.  

L’utilisation de renseignements personnels dans la prise de décision automatisée

La LPVPC prévoit aussi des exigences particulières lorsque les renseignements personnels sont utilisés dans le cadre de la prise de décision automatisée qui pourrait avoir une incidence importante sur les personnes concernées. Dans de tels cas, l’entreprise devra donner une explication générale de l’usage qu’elle fait de tels systèmes aux personnes concernées, y compris de l’usage qu’elle fait des renseignements personnels et des systèmes décisionnels automatisés pour faire des prédictions, formuler des recommandations ou prendre des décisions. 

Pour l’instant, il n’y a aucune indication quant à la forme que prendra cette explication générale. Sur demande, l’entreprise devra également indiquer le type de renseignements personnels utilisés pour faire des prédictions, formuler des recommandations ou prendre des décisions de même que les raisons ayant motivé ces prédictions, recommandations ou décisions ou les principaux facteurs y ayant mené.

En outre, les renseignements personnels utilisés par une entreprise pour prendre une décision concernant une personne doivent être conservés suffisamment longtemps pour permettre à cette personne de demander l’accès à ces renseignements. Le délai à l’intérieur duquel la demande doit être présentée n’est pas précisé dans la LPVPC. Par ailleurs, à titre comparatif, la nouvelle Loi 25 du Québec exige que les entreprises conservent pendant au moins un an suivant la décision les renseignements utilisés pour prendre une telle décision. 

Enfin, soulignons que le projet de loi C-27 est à l’étape de la deuxième lecture devant la Chambre des communes depuis le 4 novembre 2022, mais qu’il n’a pas encore progressé à l’étape suivante, à savoir l’examen en comité. Nous prévoyons que le projet de loi sera modifié au cours du processus législatif et vous tiendrons informés en temps et lieu.