En pleine pandémie durant laquelle la transformation numérique s’accélère et le nombre de cyberattaques et de brèches informatiques croît, le gouvernement fédéral a présenté le projet de loi C-11, la Loi de 2020 sur la mise en œuvre de la Charte du numérique pour refondre la Loi sur la protection des renseignements personnels du Canada.
Le projet de loi vise à abroger les dispositions sur la protection de la vie privée de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et à introduire de nouvelles obligations pour les organisations du secteur privé. Il offrira également à la population un meilleur contrôle de ses renseignements personnels.
Le projet de loi propose aussi de créer une nouvelle loi, la Loi sur la protection de la vie privée des consommateurs (LPVPC) ainsi qu’un nouveau tribunal administratif, le Tribunal de la protection des renseignements personnels et des données.
Une fois la loi adoptée, toute entreprise qui collecte et partage les renseignements personnels de ses clients et employés devra s’y conformer sous peine de sanctions sévères.
Ce projet de loi est semblable à de nombreux autres adoptés dans des provinces canadiennes et dans plusieurs pays pour actualiser les lois sur la protection des données et les harmoniser avec le Règlement général sur la protection des données (RGPD) de l’Union européenne, actuellement la loi la plus stricte au monde en matière de sécurité et de protection de la vie privée.
La Colombie-Britannique, l’Ontario et le Québec ont récemment proposé des mises à jour de leurs lois sur la protection de la vie privée. De l’autre côté de la frontière, la California Privacy Rights and Enforcement Act (CPRA), qui renforcera les droits à la protection de la vie privée dans cet État, a été adoptée le 3 novembre 2020.
Comme les Canadiens dépendent de plus en plus de la technologie, nous avons besoin d’un système où ils savent comment leurs données sont utilisées et où ils ont le contrôle sur la façon dont elles sont traitées. Pour que le Canada réussisse et pour que nos entreprises puissent innover dans cette nouvelle réalité, nous avons besoin d’un système fondé sur la confiance, avec des règles claires et une mise en application. Cette législation représente une étape importante vers la réalisation de cet objectif.
– Navdeep Bains, ancien ministre de l’Innovation, des Sciences et de l’Industrie
Le projet de loi C-11 apporte de nouvelles réglementations et exigences que les dirigeants d’entreprise devront aborder. Voici certaines des dispositions importantes :
- Les pouvoirs du Commissaire à la protection de la vie privée seront augmentés, particulièrement en ce qui concerne les ordonnances mandatoires et les sanctions pécuniaires.[1]
- Un nouveau droit d’action privé permettra aux personnes de déposer une réclamation contre une organisation en raison d’une atteinte à la vie privée.
- Les entreprises auront besoin de plus qu’une politique de protection de la vie privée : pour remplir leurs obligations en vertu de la Loi, elles devront mettre en œuvre un « programme de gestion de la protection de la vie privée » qui comprendra des politiques, des pratiques et des procédures.[2]
- Les politiques des entreprises devront être facilement accessibles, transparentes et clairement formulées. Elles devront également mentionner d’autres détails que ceux exigés par la LPRPDE, notamment le transfert des renseignements personnels à l’international ou entre les provinces et l’utilisation de systèmes automatisés de prise de décisions comme l’intelligence artificielle.[3]
- Les sanctions en cas de défaut de se conformer aux exigences gonfleront jusqu’à 10 millions de dollars canadiens ou 3 % du revenu total brut d’une organisation
- Il y aura également une augmentation des amendes en cas d’infractions comme la violation de l’obligation de notification des atteintes ou de tenue des dossiers pouvant aller jusqu’à 25 millions de dollars canadiens ou 5 % du revenu total d’une entreprise.
- Alors que la LPRPDE exige un consentement exprès uniquement pour les données critiques, la nouvelle loi exige un consentement exprès par défaut[4]
Les organisations du secteur privé devront se conformer à de nombreuses autres exigences.
Le temps est venu d’examiner et d’actualiser votre cadre de sécurité et de protection des données pour vous assurer qu’il est conforme à cette loi détaillée et pour protéger votre avantage concurrentiel.
Auteure : Adriana Gliga-Belavic
Adriana Gliga-Belavic, CISSP, CIPM et PCIP, est associée, membre du groupe Cybersécurité et leader en protection de la vie privée de MNP à Toronto. Grâce à son intérêt marqué pour la sécurité et la protection de la vie privée, Adriana aide les organisations des secteurs public et privé à bâtir des stratégies pragmatiques et des programmes de protection de la vie privée pour renforcer la confiance des clients et trouver le bon équilibre entre les résultats commerciaux, la cyberrésilience proactive et l’amélioration de la confidentialité.
Sources
-
[1] Privacy modernization with a northern touch: the proposed Digital Charter Implementation Act (en anglais seulement)
-
[3] Repackaging PIPEDA for a GDPR world(en anglais seulement)
-
[4] Une nouvelle loi canadienne concernant la protection de la vie privée : le gouvernement dépose la Loi de 2020 sur la mise en œuvre de la Charte du numérique