Addenda au Rapport d'étape sur les évolutions en matière de législation sur la protection des données au Canada (2001-2017)

Rapport à la Commission européenne
Septembre 2017

Version PDF

Table des matières

  1. 1.0 Introduction
  2. 2.0 Politiques et procédures d'application de la loi (LPRPDE) du CPVP
  3. 3.0 Lois provinciales essentiellement similaires
  4. 4.0 Accords de conformité

1.0 Introduction

1.1 Le 13 juillet 2017, des représentants du gouvernement du Canada et de la Commission européenne ont tenu une vidéoconférence pour examiner le rapport d'étape de mai 2017 au sujet des évolutions en matière de législation sur la protection des données au Canada (2001-2017). Au cours de cette séance, les représentants de la CE ont demandé des précisions sur plusieurs éléments du rapport. Le présent addenda vise à fournir des renseignements et des éclaircissements supplémentaires sur les éléments qui ont trait au rôle de surveillance du Commissariat à la protection de la vie privée du Canada (CPVP), l'organisme de réglementation en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). L'addenda comprend de plus amples renseignements sur les politiques et les procédures d'application de la loi du CPVP, un résumé des tendances liées aux enquêtes en vertu de la LPRPDE, un aperçu de la désignation « essentiellement similaire » en vertu de la Loi et une explication des accords de conformité et de leur mode d'utilisation.

1.2 D'autres questions découlant du rapport d'étape, celles qui ne se limitent pas à l'application de la LPRPDE, seront traitées dans le prochain rapport d'étape régulier.

2.0 Politiques et procédures d'application de la loi du CPVP

2.1 En réponse à la demande de renseignements supplémentaires sur les politiques et procédures d'application de la Loi sur la protection des renseignements personnels et les documents électroniques du CPVP, dont il est question à la section 3.1 du rapport d'étape de mai 2017, nous offrons les renseignements suivants au sujet du CPVP, de ses fonctions de surveillance et d'application de la loi, de ses enquêtes et de la façon dont les plaintes ont été réglées ainsi que des tendances importantes en la matière.

2.2 Le Commissariat à la protection de la vie privée du Canada (CPVP) surveille la conformité à la partie 1 de la LPRPDE, qui énonce les obligations en matière de protection des renseignements personnels que les organisations du secteur privé doivent respecter lorsqu'elles traitent des renseignements personnels dans le cadre de leurs activités commerciales. Dans le cas des organisations sous réglementation fédérale, la LPRPDE s'applique également aux renseignements personnels des employés de celles-ci et des personnes qui postulent pour le devenir.

2.3 Le CPVP surveille la conformité à la LPRPDE de diverses façons, y compris en prenant des mesures officielles et officieuses de nature réactive et proactive. Ces activités comprennent : l'enquête sur les plaintes relatives à la protection de la vie privée qui sont déposées par des personnes ou dont le commissaire a pris l'initiative; le suivi des rapports d'atteinte à la vie privée; le règlement rapide des plaintes; l'examen des pratiques de traitement des renseignements personnels des organisations; l'envoi de lettres d'intérêt aux organisations; et la participation à des ratissages sectoriels ou internationaux pour la protection de la vie privée. Pour obtenir des renseignements détaillés sur le processus de plainte, veuillez consulter https://www.priv.gc.ca/biens-assets/compliance-framework/fr/index#.

2.4 L'article 24 de la LPRPDE exige que le commissaire fasse la promotion de l'objet de la Loi. Cela se fait par divers moyens, dont la sensibilisation du public, la publication de documents d'orientation et la tenue d'activités de sensibilisation (à l'intention des organisations et des consommateurs), la réalisation et la publication de recherches sur les questions de protection de la vie privée et le financement de recherches universitaires ou autres sur de telles questions, par exemple dans le cadre du Programme des contributions du Commissariat.

2.5. En ce qui concerne le traitement et le règlement des plaintes, le CPVP suit le processus ci dessous :

2.6 Pour connaître les tendances récentes dans les enquêtes liées à la LPRPDE, veuillez consulter le rapport annuel du CPVP, qui a été déposé au Parlement le 21 septembre 2017. Les rapports annuels antérieurs se trouvent ici.

3.0 Lois provinciales essentiellement similaires

3.1 En réponse à la demande de renseignements supplémentaires sur la désignation « essentiellement similaire » accordée aux lois provinciales et territoriales sur la protection des renseignements personnels en vertu de la LPRPDE ainsi que sur les rôles et responsabilités des autorités chargées de la protection des données dans et entre les provinces et territoires, nous apportons les précisions suivantes aux sections 3.3 à 3.5 du rapport d'étape de mai 2017.

3.2 En vertu de l'alinéa 26(2)b) de la LPRPDE, le gouverneur en conseil peut exclure une organisation, une catégorie d'organisations, une activité ou une catégorie d'activités de l'application de la LPRPDE à l'égard de la collecte, de l'utilisation ou de la communication de renseignements personnels dans une province qui a adopté une loi réputée être essentiellement similaire à la LPRPDE.

3.3 Une loi provinciale doit respecter trois exigences fondamentales pour être dite essentiellement similaire à la LPRPDE.

3.4 Les organisations assujetties aux lois provinciales jugées essentiellement similaires sont exemptées de la LPRPDE en l'égard à la collecte, l'utilisation ou la communication de renseignements personnels qui s'effectuent à l'intérieur de la province en cause. La LPRPDE continue de s'appliquer lorsqu'il n'y a pas de lois essentiellement similaires, lorsque des renseignements personnels font l'objet de communications transfrontalières pour examen, et lorsque la collecte, l'utilisation ou la communication de renseignements personnels est effectuée par des entreprises sous réglementation fédérale, quelle que soit la province.

3.5 Il incombe au gouverneur en conseil, sur recommandation du ministre de l'IndustrieNote de bas de page 1, de déterminer la nature essentiellement similaire d'une loi provinciale sur la protection des renseignements personnels dans le secteur privé. Le 3 août 2002, Industrie Canada a publié le Processus de détermination du caractère « essentiellement similaire » d'une loi provinciale par le gouverneur en conseilNote de bas de page 2, qui, en plus de décrire la politique et les critères utilisés pour déterminer si les lois provinciales seront considérées comme étant essentiellement similaires, stipule que le ministère de l'IndustrieNote de bas de page 3 demandera l'avis du Commissariat à la protection de la vie privée du Canada, et considérera et inclura les vues de celui-ci en préparant sa recommandation au gouverneur en conseil. Plus précisément :

« À titre de haut fonctionnaire du Parlement, indépendant du Gouvernement, le Commissaire à la protection de la vie privée peut, s'il le juge approprié, présenter ses vues concernant une loi provinciale/territoriale, y compris un projet de loi, sur la protection des renseignements personnels. Aux termes du paragraphe 25(1) de la Loi sur la protection des renseignements personnels et les documents électroniques, le Commissaire doit déposer un rapport annuel au Parlement, et faire un compte rendu plus précisément "sur la mesure dans laquelle les provinces ont édicté des lois essentiellement similaires à celle-ci et sur l'application de ces lois". Avant de publier son rapport annuel, le Commissaire à la protection de la vie privée peut consulter directement son (ses) homologue(s) ou toute autre personne susceptible de l'aider dans les provinces pertinentes.

Afin de permettre au Commissaire à la protection de la vie privée de s'acquitter de son mandat aux termes du paragraphe 25(1) de la Loi sur la protection des renseignements personnels et les documents électroniques, le ministre de l'Industrie l'informera d'une demande présentée aux termes du paragraphe 26(2) dès qu'il la recevra et il demandera au Commissaire à la protection de la vie privée de lui dire si, à son avis, la loi est "essentiellement similaire" à la Loi sur la protection des renseignements et les documents électroniques. Le ministre considérera et inclura les vues du Commissaire à la protection de la vie privée pour toutes les demandes qui seront soumises au gouverneur en conseil. »

3.6 L'article 23 de la LPRPDE donne au commissaire le pouvoir de consulter ses homologues provinciaux sur diverses questions de protection des renseignements personnels. Par exemple, le CPVP peut communiquer avec les commissariats provinciaux ayant des lois essentiellement similaires pour discuter de questions de compétence afin de déterminer quel commissariat est le mieux placé pour traiter une plainte particulière.

3.7 Les commissaires à l'information et à la protection de la vie privée de la Colombie-Britannique et de l'Alberta et le CPVP ont signé un protocole d'entente qui établit un cadre pour la consultation, la collaboration et l'échange de renseignements pertinents sur les questions relatives à la protection des renseignements personnels dans le secteur privé, y compris en ce qui a trait aux enquêtes sur des questions d'intérêt commun qui touchent les Canadiens dans chacun de nos champ de compétence administrations. Vous trouverez ici un exemple d'enquête fédérale-provinciale conjointe.

3.8 Le CPVP a également signé un protocole d'entente avec le commissaire à l'information et à la protection de la vie privée de l'Ontario au sujet de l'exécution et de l'application de la LPRPDE et de la Loi sur la protection des renseignements personnels sur la santé (LPRPS).

3.9 Conformément au protocole d'entente entre le CPVP, la Colombie-Britannique et l'Alberta, le Forum sur la protection des renseignements personnels dans le secteur privé (Forum), composé de représentants des bureaux de surveillance de la protection de la vie privée de la Colombie-Britannique et de l'Alberta et du CPVP, est le principal outil pour atteindre les objectifs énoncés dans le protocole d'entente. Les exemples d'activités du Forum peuvent comprendre la discussion de questions telles que les changements législatifs, les questions en matière de recherche et de politiques et la collaboration à l'élaboration de documents d'orientation. Un programme de gestion de la protection de la vie privée : la clé de la responsabilité est un exemple de document d'orientation fédéral-provincial conjoint. Bien que le Québec ne soit pas signataire du protocole d'entente, il participe aux discussions du Forum sur les questions générales de protection de la vie privée.

3.10 Un sous-groupe du Forum, le Forum national de collaboration sur l'application de la loi (FNCAL), offre aux représentants des bureaux de surveillance de la protection de la vie privée de la Colombie-Britannique et de l'Alberta et du Commissariat à la protection de la vie privée du Canada l'occasion de collaborer sur des questions d'application de la loi. Le FNCAL met l'accent sur les activités suivantes : 1) cerner les nouvelles plaintes ou les nouveaux incidents d'intérêt en matière de collaboration; 2) présenter des mises à jour et des conseils stratégiques sur les enquêtes collaboratives et les incidents en cours; 3) discuter d'enquêtes clés et d'autres questions informelles d'application de la loi intéressant les participants.

3.11 La collaboration en cas d'incident d'atteinte à la sécurité est l'un des principaux objectifs que s'est donnés le FNCAL pour veiller à ce qu'une évaluation exhaustive et efficace soit faite de l'incident dans l'intérêt de tous les Canadiens. En plus des infractions, chaque commissariat participant est encouragé à souligner toute enquête en cours qui serait, selon lui, susceptible d'intéresser les autres commissariats ou de les amener à collaborer. Les discussions ont mené à des activités de collaboration dans certains dossiers tout en permettant de renforcer la démarche à l'égard de certaines positions. Le FNCAL discute également de tendances générales, d'approches et de pratiques exemplaires en matière de plaintes et d'enquêtes.

3.12 Le CPVP peut également collaborer avec les commissariats provinciaux sur des questions de protection des renseignements personnels dans le secteur privé dans le cadre du Global Privacy Enforcement Network (GPEN), par exemple lors de l'initiative annuelle de ratissage du GPEN. Pour obtenir de plus amples renseignements sur les ratissages du GPEN, veuillez consulter les sites Web du GPEN et du CPVP.

4.0 Accords de conformité

4.1 En réponse à la demande de renseignements supplémentaires sur les accords de conformité en vertu de la LPRPDE et sur leur rapport avec les poursuites en justice et le rôle du commissaire à la protection de la vie privée, nous offrons les renseignements suivants en guise de complément à la section 3.14 du rapport d'étape de mai 2017.

4.2 La Loi sur la protection des renseignements personnels numériques de 2015 renferme des dispositions permettant au commissaire à la protection de la vie privée de conclure des accords de conformité visant à s'assurer que les organisations respectent la LPRPDE. Les accords de conformité prévus à l'article 17.1 de la LPRPDE peuvent être invoqués lorsque le commissaire a des motifs raisonnables de croire à l'existence, à l'imminence ou à la probabilité d'un fait — acte ou omission — pouvant constituer une contravention à la LPRPDE ou une omission de mettre en œuvre une recommandation énoncée dans l'annexe 1 de la LoiNote de bas de page 4.

4.3 Dans son mémoire au comité sénatorial chargé d'étudier le projet de loi S-4, le CPVP décrivait les avantages qu'offrent les accords de conformité pour veiller à ce que les organisations respectent leurs engagements d'améliorer les pratiques en matière de protection des renseignements personnels sans que le CPVP ait à recourir aux tribunaux.

4.4 Les accords de conformité sont un outil relativement nouveau en vertu de la LPRPDE. Si une organisation ne respecte pas les engagements d'un accord de conformité, le CPVP peut demander à la Cour fédérale une ordonnance obligeant ladite organisation à respecter les modalités de l'accord. L'Unité de la vérification de la conformité assure le suivi interne de l'exécution des accords de conformité. Après avoir déterminé qu'une organisation a donné suite à tous ses engagements en vertu d'un accord de conformité, le CPVP l'en avise. Voici deux exemples d'accords de conformité :

https://www.priv.gc.ca/fr/mesures-et-decisions-prises-par-le-commissariat/enquetes/enquetes-visant-les-entreprises/2016/lprpde-2016-003/#appendix-d

https://www.priv.gc.ca/fr/mesures-et-decisions-prises-par-le-commissariat/enquetes/enquetes-visant-les-entreprises/2016/2016_005_ca/

4.5 Vous trouverez d'autres renseignements sur les accords de conformité dans le tableau Application de la LPRPDE.

Date de modification :