La Chambre des communes a récemment déposé le projet de loi C-27, qui présente trois nouvelles lois : la Loi sur la protection de la vie privée des consommateurs (LPVPC), la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l’intelligence artificielle et les données (LIAD), qui remplaceraient l’actuelle Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Le projet de loi C-27 remplace le projet de loi C-11, qui est mort au feuilleton à la dissolution du Parlement à l’automne 2021.

Pour obtenir de plus amples renseignements sur la LIAD, veuillez consulter notre plus récente actualité sur le sujet. 


Dans la présente actualité, nous examinons de plus près les principaux éléments dont les entreprises doivent prendre connaissance sur les exigences proposées en vertu de la LPVPC et nous donnons des conseils pratiques pour se conformer à ces exigences.

Bien que certains grands thèmes de la LPRPDE soient repris et éclaircis dans la LPVPC, de nombreuses pratiques exemplaires suggérées par le Commissariat à la protection de la vie privée du Canada ont été codifiées. Compte tenu des pouvoirs accrus d’application et de sanction proposés en vertu du projet de loi C-27, les entreprises devraient revoir attentivement leurs programmes de protection de la vie privée pour se conformer à ces nouvelles obligations.

Responsabilité

Comme en vertu de la LPRPDE, les entreprises demeurent responsables des renseignements qui relèvent d’elles. Cette notion a été éclaircie en vertu de la LPVPC – les renseignements personnels relèveront d’une entreprise lorsqu’elle 1) décide de les recueillir ou non, et 2) établit les fins pour lesquelles ils sont recueillis, utilisés ou communiqués.

À cet effet, la LPVPC présente la notion de « fournisseur de services », qui est un tiers qui traite des renseignements personnels pour le compte d’une autre entreprise. Il est important de noter qu’en règle générale, les obligations aux termes de la LPVPC ne s’appliqueront pas directement aux fournisseurs de services, mais plutôt aux entreprises dont relèvent les renseignements.

Prochaine étape proposée à suivre par les entreprises : définir et répertorier les types de renseignements personnels que l’entreprise recueille, utilise, communique ou met en mémoire pour cerner et différencier les circonstances dans lesquelles l’entreprise agit en tant que fournisseur de services par rapport à une entité dont relèvent les renseignements.

Programme de gestion de la vie privée

L’un des changements les plus importants apportés par le projet de loi C-27 est l’obligation pour les entreprises de mettre en œuvre et de tenir à jour un programme de gestion de la protection des renseignements personnels. Ce programme doit inclure les politiques, les pratiques et les procédures qu’une entreprise met en place pour se conformer aux obligations qui lui incombent en vertu de la loi, notamment à l’égard de la protection des renseignements personnels, du traitement des demandes de renseignements et des plaintes formulées par des particuliers et des procédures de formation des employés. Dans le cadre de l’élaboration de leur programme, les entreprises devront tenir compte du volume et de la nature sensible des renseignements personnels qui relèvent d’elle.

Un ajout apporté par la LPVPC est que le Commissariat à la protection de la vie privée du Canada (CPVP) a la possibilité de demander l’accès au programme de gestion de la protection de la vie privée d’une entreprise et de formuler des lignes directrices et proposer des mesures correctives. Ce changement semble viser à doter le CPVP de pouvoirs d’application accrus.

Prochaines étapes proposées à suivre par les entreprises :

  • Si votre entreprise ne dispose pas actuellement d’un programme de gestion de la protection des renseignements personnels, envisagez d’en créer un et de le mettre en œuvre conformément aux exigences proposées de la LPVPC.
  • Si un programme de gestion de la protection des renseignements personnels a déjà été mis en place, l’examiner et le réviser au besoin pour s’assurer qu’il soit conforme aux exigences de la LPVPC, y compris l’examen de l’ensemble des politiques et des processus pertinents.

Recours à des fournisseurs de services  

La LPVPC exige qu’une entreprise s’assure que les fournisseurs de services retenus pour le traitement de renseignements personnels pour le compte de l’entreprise offre un niveau de protection équivalent à celui exigé de l’entreprise elle-même. Bien que le CPVP le recommande généralement pour assurer la conformité à la LPRPDE, cette exigence précise est maintenant incluse comme exigence en vertu de la LPVPC.

Prochaines étapes proposées à suivre par les entreprises :

En tant que client, 

  • Passez en revue les ententes intervenues avec des fournisseurs de services existants pour vous assurer qu’une protection équivalente est offerte pour tout renseignement personnel traité par le fournisseur de services. 
  • Au besoin, renégociez les ententes existantes pour lier les fournisseurs de services aux obligations contractuelles.
  • Préparez un programme de vérification diligente pour les fournisseurs dans le cadre du processus d’accueil et d’intégration des tiers.
  • Préparez des clauses modèles et des fiches techniques qui peuvent être utilisées pour de futures ententes.

En tant que fournisseur de services,

  • Vérifiez si vos politiques et vos pratiques sont conformes aux exigences applicables.
  • Révisez les modèles d’ententes pour vous assurer que des clauses relatives à la protection des données et à la conformité aux lois sont incluses pour assurer la conformité aux exigences de la LPVPC. 

Durées de conservation 

La LPVPC est très claire sur les durées de conservation – les entreprises ne peuvent conserver des renseignements personnels que le temps nécessaire pour réaliser les fins auxquelles ils ont été recueillis ou pour respecter les exigences légales. De plus, les entreprises doivent pouvoir justifier les motifs pour lesquels les renseignements personnels doivent être conservés pendant la période proposée.

Les entreprises devront tenir compte de la nature sensible des renseignements personnels lorsqu’elles établiront leur durée de conservation. Dès que possible après cette période, les renseignements personnels doivent être détruits, par leur suppression définitive et irréversible ou leur anonymisation. Les renseignements personnels doivent être anonymisés, et ce, de manière définitive et irréversible afin qu’ils ne permettent pas d’identifier un individu.

Prochaines étapes proposées à suivre par les entreprises :

  • Examinez les durées de conservation à l’égard des catégories de renseignements personnels recueillis et traités, en tenant compte de la nature sensible des renseignements.
  • Mettez en œuvre ou examinez et révisez les politiques de conservation de données au besoin.
  • Assurez-vous que les mécanismes de destruction ou d’anonymisation sont définitifs et irréversibles.
  • Passez en revue les obligations contractuelles des fournisseurs de services afin qu’ils soient également tenus de détruire les renseignements personnels qui relèvent de vous ou de vous les retourner. 

Mesures de sécurité

Comme en vertu de la LPRPDE, les entreprises doivent utiliser des mesures de sécurité matérielles, organisationnelles et technologiques appropriées pour protéger les renseignements personnels qui relèvent d’elles. La LPVPC apporte une nouvelle exigence, en ce sens que les entreprises doivent disposer d’un moyen d’authentifier l’identité d’un individu auquel ces renseignements personnels se rapportent. Aucune autre directive concernant la manière d’authentification requise n’est actuellement prévue.

Les exigences de la LPRPDE relatives à la déclaration au CPVP et à la remise d’un avis aux individus touchés concernant toute atteinte à ces mesures de sécurité restent généralement inchangées, et le critère du risque réel de préjudice grave (critère du RRPG) continue de s’appliquer lorsqu’il s’agit de déterminer si les obligations de remise d’un avis ont été déclenchées.

Un ajout important en vertu de la LPVPC, toutefois, est que les fournisseurs de services seront tenus d’aviser les entreprises dont relèvent les renseignements d’une atteinte à leurs mesures de sécurité ayant des répercussions sur les renseignements personnels traités pour le compte de ces entreprises.

Prochaines étapes proposées à suivre par les entreprises :

  • Examinez les mesures de sécurité existantes : la principale considération doit être la nature sensible des renseignements personnels, mais également des éléments tels que la quantité, le format et la méthode de stockage des renseignements personnels.
  • Assurez-vous d’avoir des moyens pour authentifier l’identité des individus ou envisagez des processus qui pourraient devoir être mis en place afin de respecter cette exigence.
  • Passez en revue votre plan d’intervention existant et les processus connexes pour vous assurer qu’ils sont conformes aux exigences légales.
  • En tant que client, assurez-vous que des obligations contractuelles sont en place, selon lesquelles les fournisseurs de services sont tenus de remettre les avis appropriés. En tant que fournisseur de services, assurez-vous que des politiques et des processus sont en place pour permettre la remise de tels avis.

Transparence

Les entreprises doivent mettre à la disposition du public les renseignements concernant les mesures prises pour se conformer à la LPVPC. La plupart des entreprises peuvent se conformer à cette exigence en créant une politique détaillée sur la protection de la vie privée, comprenant des éléments tels que les types de renseignements personnels qui relèvent d’elles et l’usage qui en est fait, le fait qu’elles effectuent ou non des transferts de données interprovinciaux/internationaux et les périodes de conservation. Ces renseignements doivent être mis à la disposition du public en « langage clair », ce qui signifie qu’ils doivent être raisonnablement compréhensibles pour des personnes ordinaires.

Prochaines étapes proposées à suivre par les entreprises :

  • Préparez une politique sur la protection de la vie privée accessible au public ou révisez votre politique actuelle pour vous assurer que tous les éléments requis y sont inclus.
  • Assurez-vous que vos politiques sont rédigées en langage clair.
  • Mettez à jour votre site Web pour vous assurer que ces renseignements sont facilement accessibles.


Personnes-ressources

Associé et cochef canadien, Cybersécurité et confidentialité des données
Associé, chef canadien, Technologies et cochef canadien, Cybersécurité et confidentialité des données
Associée
Avocate-conseil

Publications récentes

Abonnez-vous et restez à l’affût des nouvelles juridiques, informations et événements les plus récents...