Questions et réponses
Le gouvernement du Canada réintroduit des modifications à la loi canadienne sur la protection des renseignements personnels applicable au secteur privé
Q1. Qu'est-ce que la Loi sur la protection des renseignements personnels et les documents électroniques?
R. La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) établit les règles que les organisations doivent respecter lorsqu'elles recueillent, utilisent ou communiquent des renseignements personnels dans le cadre de leurs activités commerciales (appelée Partie 1). La Loi reconnaît aussi la validité des signatures électroniques et crée une solution de rechange électronique aux rapports commerciaux avec le gouvernement fédéral (appelée Partie 2-5).
La LPRPDE est un mécanisme important pour le maintien de la confiance au sein de l'économie numérique. Le cybermarché doit s'appuyer sur des règles claires et stables en matière de protection des renseignements personnels. La Loi a reçu des appuis importants au Canada. À l'échelle internationale, l'approche que nous souhaitons adopter en matière de protection de la vie privée est perçue comme étant efficace et équilibrée.
Q2. Comment la LPRPDE est-elle appliquée?
R. La LPRPDE désigne le Commissaire à la protection de la vie privée du Canada comme ombudsman du citoyen pour les plaintes en matière de vie privée et comprend des mécanismes de contrôle et de recours par l'intermédiaire du Commissaire à la protection de la vie privée du Canada et de la Cour fédérale.
Q3. Pourquoi la LPRPDE a-t-elle été révisée?
R. La Partie 1 de la LPRPDE prévoit un examen par la Parlement tous les cinq ans. La Loi est entrée en vigueur le 1er janvier 2001 et le premier cet examen statutaire a été effectué de novembre 2006 à mai 2007.
L'examen a été mené par le Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique de la Chambre des communes. Cet exercice a permis au Parlement et au gouvernement d'entendre les observations de nombreux représentants des consommateurs et du monde des affaires, ainsi que des universitaires et des commissaires à la protection de la vie privée, sur l'incidence et l'efficacité de la Loi en matière de protection de la vie privée des Canadiens.
Q4. Quelles conclusions le Comité a-t-il tirées?
R. À la suite des audiences du Comité et de l'examen des diverses présentations faites par des intervenants, le Comité a publié un rapport, en mai 2007, qui soulignait l'importance d'adopter un cadre juridique efficace dans le but d'assurer la protection des renseignements personnels au Canada. Dans son rapport, le Comité indiquait qu'il n'était pas nécessaire d'apporter des modifications majeures à la Loi, mais que celle-ci pourrait bénéficier de modifications mineures visant à peaufiner certaines de ses dispositions, et à mieux s'harmoniser aux lois provinciales en matière de protection de la vie privée et des renseignements personnels. Ainsi, le Comité a formulé 25 recommandations en réponse aux enjeux soulevés par les intervenants au cours de l'examen de la Loi.
Q5. Quel processus a-t-on suivi pour élaborer les modifications proposées?
R. Dans sa réponse au rapport présenté d'examen, le gouvernement était d'accord avec les conclusions du Comité voulant que des changements radicaux à la législation n'étaient pas nécessaires pour l'instant. Le gouvernement était également d'accord avec le Comité sur la nécessité de peaufiner la Loi, et s'était engagé à collaborer avec les intervenants pour faire en sorte que les modifications apportées à la LPRPDE soient le plus efficace possible. Les modifications proposées tiennent compte des commentaires formulés par les intervenants de façon formelle, par l'intermédiaire de la Gazette du Canada, et de façon informelle, par l'intermédiaire de consultations bilatérales et multilatérales auprès des intervenants.
Q6. Quels objectifs poursuivent les modifications proposées?
R. Les modifications proposées tiennent compte des recommandations formulées par le Comité ainsi que des résultats générés à la suite de consultations menées par Industrie Canada. Elles visent à mieux protéger et à habiliter les consommateurs, à clarifier et à moderniser les règles applicables aux entreprises, à faciliter les enquêtes menées par les organismes d'application de la loi et de sécurité, et à apporter des corrections d'ordre linguistique et de rédaction technique.
Q7. Des modifications majeures sont-elles proposées?
R. La plupart des modifications proposées visent à « peaufiner » la législation et à mettre à jour ses dispositions dans le but de l'adapter aux changements générés par les marchés et par la technologie. Cependant, un des changements importants apportés concerne l'obligation qu'ont les entreprises de déclarer au Commissariat à la protection de la vie privée toute atteinte à la protection des données (appelée « atteintes aux mesures de sécurité » dans le projet de loi) en matière de renseignements personnels, et de notifier les personnes concernées lorsqu'il y a un risque important de préjudice, comme dans les cas de vol d'identité ou de fraude.
Q8. Qui décidera si un consommateur doit être notifié lorsque ses données personnelles ont été compromises?
R. Industrie Canada a travaillé avec les intervenants afin d'élaborer une approche efficace et pratique en matière de déclaration des atteintes à la protection des données au Canada. Nous avons convenu, et les modifications proposées reflètent cette entente, d'utiliser un modèle fondé sur la gestion du risque. Ainsi, l'organisme qui a le contrôle des données au moment de l'atteinte est responsable de décider si les consommateurs doivent être notifiés ou non. Nous sommes d'avis que l'organisme est mieux placé que quiconque pour évaluer la portée du préjudice potentiel que cette atteinte peut occasionner aux consommateurs.
Q9. Comment les entreprises canadiennes seront-elles touchées par ces nouvelles exigences visant la notification des atteintes à la protection des données?
R. La majorité des entreprises notifient déjà les personnes dont les données ont été compromises et qui risquent de subir un préjudice. Elles ne seront donc pas démesurément concernées par ces nouvelles exigences. En adoptant ces nouvelles dispositions en matière de notification, nous établirons des « règles de jeu plus équitables », puisque tous les organismes devront y satisfaire.
Les nouvelles exigences s'appuieront sur l'actuel cadre réglementaire de la LPRPDE et sur l'approche actuelle prévue par la Loi de recours possible à un ombudsman. Cela encouragera les organismes à solliciter l'aide et les conseils du Commissariat à la protection de la vie privée, dans leurs efforts pour se conformer aux dispositions de la Loi.
Q10. Comment le Commissariat à la protection de la vie privée du Canada pourra-t-il intervenir?
R. Les organismes victimes d'une atteinte à la protection des données concernant les renseignements personnels auront aussi la responsabilité de déclarer cette atteinte à la protection des données au Commissariat à la protection de la vie privée. La décision de déclarer au Commissariat une atteinte sera fondée sur des facteurs relatifs aux circonstances particulières de cette infraction, tels que le caractère sensible des données et le nombre de personnes touchées.
Q11. Comment les mesures relatives aux atteintes à la protection des données seront-elles mises en application?
R. Le nouveau régime du gouvernement en ce qui a trait aux atteintes à la protection des données s'appuiera sur le cadre juridique actuel de la LPRPDE, ainsi que sur l'approche actuelle prévue par la Loi de recours possible à un ombudsman.
Le commissaire à la protection de la vie privée est déjà habilité à rendre public le nom des organisations qui contreviennent à la loi s'il estime que l'intérêt public le justifie.
Le deuxième examen statutaire de la LPRPDE, qui devrait avoir lieu une fois que ces modifications auront été adoptées, permettra de poursuivre les discussions sur le régime de conformité dans son ensemble.
Q12. Est-ce que les modifications proposées apaisent les inquiétudes exprimées par les consommateurs dans le cadre des vols d'identité?
R. Les nouvelles exigences en matière de déclaration des atteintes à la protection des données s'ajouteront aux nouvelles dispositions relatives au vol d'identité du Code criminel, puisque celles-ci donneront aux consommateurs l'information dont ils ont besoin pour se protéger contre le vol d'identité et d'autres types de fraudes occasionnées par la perte ou le vol de leurs renseignements personnels. Elles donneront aussi au commissaire à la protection de la vie privée l'information requise pour qu'il puisse évaluer l'ampleur du problème.
Q13. Est-ce que les modifications entraîneront une plus grande harmonisation avec les lois provinciales?
R. Puisque plusieurs des modifications proposées s'inspirent d'approches législatives adoptées par les provinces en matière de protection de la vie privée, elles favoriseront une plus grande harmonisation des lois fédérales et provinciales en matière de protection à la vie privée et des renseignements personnels. De plus, les nouvelles exigences relatives à la déclaration des atteintes à la protection des données sont harmonisées aux nouvelles dispositions ajoutées à la loi de l'Alberta sur la protection des renseignements personnels.
Q14. Comment ces changements influenceront-ils l'harmonisation des lois en matière de protection de la vie privée dans toutes les régions du Canada?
R. Comme ces nouvelles mesures ne modifient pas de façon radicale l'ensemble des objectifs de la LPRPDE, elles n'exerceront pas d'influence sur la désignation des lois provinciales essentiellement similaires de l'Alberta, de la Colombie-Britannique, de l'Ontario et du Québec.
Q15. Comment ces nouvelles modifications contribueront-elles à simplifier les règles à suivre pour les entreprises?
R. Le gouvernement s'est engagé à appuyer les entreprises en fournissant plus de précisions et de certitudes sur des dispositions clés de la LPRPDE et en assurant que la Loi puisse satisfaire aux besoins légitimes des entreprises en matière de renseignements personnels. Le projet de loi propose certaines exceptions au régime basé sur le consentement dans le cadre de la collecte, de l'utilisation et de la communication de renseignements qui sont nécessaires, entre autres, à la gestion des relations avec le personnel et à la collecte d'information dans le contexte du travail (« produit du travail »), et qui sont utilisés diligemment dans le cadre de transactions commerciales. Les organismes pourront aussi partager et utiliser les coordonnées d'affaires qui sont nécessaires à la conduite de leurs activités quotidiennes.
De plus, une nouvelle disposition permettrait la communication de renseignements personnels dans le cadre d'enquêtes menées par le secteur privé et pour la prévention des fraudes, et ce, sans l'obtention préalable du consentement. Cette disposition remplacera le processus réglementaire que les petites et moyennes entreprises jugeaient trop onéreux.
Q16. Comment les modifications proposées appuient-elles une application efficace de la loi?
R. Un autre objectif important du projet de loi est de favoriser une application plus efficace des lois. Le gouvernement considère que la sécurité des citoyens canadiens est d'une importance primordiale. Les modifications proposées visent à réaffirmer la notion voulant que les besoins en matière d'information destinés aux organismes d'application de la loi et de sécurité puissent être satisfaits, tout en respectant le droit à la protection de la vie privée des Canadiens. Les modifications proposées clarifient le fait que les organismes peuvent collaborer avec les institutions gouvernementales — notamment les organismes d'application de la loi et de sécurité — qui ont fait des demandes de renseignements personnels sans mandat, assignation ou ordonnance. Pour ne pas nuire aux enquêtes, de nouvelles dispositions interdiront aux organismes de notifier de façon proactive les personnes concernées de la communication de leurs renseignements personnels à des organismes d'application de la loi et de sécurité, lorsqu'une institution gouvernementale à laquelle on a communiqué les renseignements s'y oppose.
Q17. Quand la Loi fera-t-elle l'objet d'un autre examen?
R. Aux termes de la Loi, la LPRPDE doit faire l'objet d'un examen tous les cinq ans. Le prochain examen devrait avoir lieu en 2011. Toutefois, on prévoit que celui-ci ne commencera pas avant que les modifications actuelles n'aient été adoptées. Les modifications actuelles fourniront un point de départ solide pour le prochain examen statutaire. Cet examen pourra ainsi cibler d'autres secteurs à améliorer et porter une attention plus particulière aux enjeux d'importance, comme l'efficacité et l'application de la Loi.
