Le gouvernement du Canada a répondu au rapport de février 2018 du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (le « Comité ETHI » ou le « Comité ») sur l’examen de la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE »). Comme nous l’avons résumé dans un précédent bulletin, le rapport du Comité, intitulé « Vers la protection de la vie privée dès la conception », aborde de nombreux sujets et énonce des recommandations visant à assurer que la LPRPDE soit considérée comme offrant une protection adéquate par rapport au Règlement général sur la protection des données (« RGPD ») européen, qui est en vigueur depuis le 25 mai 2018.
Dans sa réponse, le ministre de l’Innovation, des Sciences et du Développement économique, Navdeep Bains, a déclaré de façon générale que le gouvernement du Canada partageait l’avis du Comité ETHI sur la nécessité d’apporter des changements au régime de protection des renseignements personnels canadien. Ainsi, le gouvernement a annoncé qu’en raison de la complexité des questions touchant les renseignements personnels et de l’impératif pour le Canada de stimuler l’innovation tout en s’assurant la confiance de ses citoyens, il amorcera un dialogue national sur les enjeux liés aux données et au numérique. Au cours de cette discussion seront notamment abordées les mesures, comme celle entourant la protection des renseignements personnels, qui doivent être mises en place pour que les Canadiens accordent leur confiance à une économie axée sur les données, l’adoptent et y participent.
Plus précisément, la lettre du gouvernement traite de plusieurs recommandations contenues dans le rapport du Comité ETHI, qu’il a classées selon les quatre thèmes dont il est question ci-dessous : le consentement en vertu de la LPRPDE, la réputation en ligne, les pouvoirs exécutoires du Commissariat à la protection de la vie privée du Canada (le « CPVP ») et l’incidence du RGPD.
Consentement en vertu de la LPRPDE
Le gouvernement est d’accord avec la conclusion du Comité ETHI selon laquelle le consentement doit demeurer au cœur du modèle de protection de la vie privée de la LPRPDE puisqu’il respecte le libre arbitre de chacun quant à l’utilisation de ses renseignements personnels. Le gouvernement partage également l’avis du Comité selon lequel le régime de consentement peut être amélioré et éclairci; il a d’ailleurs noté l’initiative prise par le CPVP à cet égard.
Par contre, il n’a pas retenu la recommandation du Comité ETHI d’élargir la portée des exceptions existantes qui s’appliquent au consentement requis pour la divulgation de renseignements personnels liés à la prévention d’activités relatives aux crimes financiers, exprimant ainsi sa réticence quant à la création d’exceptions propres à certains secteurs. À la lumière de certains incidents rendus publics récemment lors desquels des renseignements personnels obtenus sur des médias sociaux avaient été utilisés à des fins inattendues, le gouvernement a également souligné la nécessité d’étudier de près les éventuelles incidences de la redéfinition du terme « renseignements auxquels le public a accès » aux fins de la LPRPDE, suivant les recommandations du Comité, particulièrement pour ce qui touche les renseignements de mineurs.
En ce qui concerne les mineurs, toutefois, il a souligné les défis liés à l’application de protections explicites les visant en vertu de la loi fédérale étant donné que, pour ce faire, il doit se référer à la définition de « mineur » qui, elle, est de compétence provinciale.
Réputation en ligne
En janvier 2018, le CPVP a publié son projet de position sur la réputation en ligne, dont nous avons déjà traité dans un bulletin, qui établissait essentiellement que la LPRPDE prévoyait déjà une protection s’apparentant au « droit à l’oubli » européen (ou, comme le nomme le RGPD, au « droit à l’effacement »). Le Comité ETHI a couvert ce sujet de façon très détaillée dans son rapport.
La réponse du gouvernement mentionne également le travail du CPVP sur la réputation en ligne et souligne que le rapport de ce dernier faisait état d’inquiétudes légitimes quant aux incidences que cette position pourrait avoir sur d’autres droits, notamment le droit à la liberté d’expression. Le gouvernement a également indiqué qu’étant donné les répercussions potentiellement vastes d’un droit à l’oubli ou à l’effacement et d’un droit au déréférencement sur de multiples aspects, notamment la liberté de parole et les registres publics, et puisque la LPRPDE ne s’appliquait que dans le contexte commercial, il lui faudrait déterminer si la loi en question constitue le texte réglementaire le plus approprié pour régir ces questions.
Pouvoirs exécutoires du CPVP
Le gouvernement du Canada a fait savoir qu’il abondait dans le sens du Comité ETHI, selon lequel le moment est venu de se pencher les façons dont il est possible d’améliorer le modèle exécutoire de la LPRPDE, notamment en envisageant d’autres modèles de conformité et d’application de la loi. Par ailleurs, il a déclaré qu’il devrait étudier les incidences éventuelles de ces modèles sur le mandat plus large du CPVP, les principes de justice fondamentale et les risques liés à des pouvoirs exécutoires plus étendus, notamment l’incidence sur le dialogue ouvert entre les entreprises et le CPVP. Selon le gouvernement, puisque la modification du modèle exécutoire pourrait donner lieu à la nécessité d’apporter des changements à d’autres aspects et vice versa, la question de savoir si le modèle doit être révisé pourrait dépendre d’autres modifications potentielles à la LPRPDE.
Le gouvernement a indiqué son intention d’étudier davantage l’éventail des options possibles pour assurer le respect de la LPRPDE.
Incidence du RGPD
En vertu du RGPD, il est interdit aux organisations de l’Union européenne (l’« UE ») de transférer des données personnelles à tout autre État non membre dont les lois n’en prévoient pas une protection adéquate. L’UE devra donc évaluer la conformité de la LPRPDE à son RGPD. Dans son rapport, le Comité ETHI a formulé les recommandations suivantes compte tenu de ce contexte :
- Le gouvernement doit travailler de concert avec ses homologues de l’UE afin de déterminer le caractère adéquat du niveau de protection des données offert par la LPRPDE en vertu du nouveau RGPD;
- Le gouvernement doit établir les modifications à apporter à la LPRPDE, le cas échéant, pour que la protection qu’elle offre demeure adéquate en vertu du RGPD;
- S’il est établi que les changements devant être apportés pour que la protection demeure adéquate ne sont pas dans l’intérêt des Canadiens, le gouvernement doit mettre en place des mécanismes pour permettre le transfert harmonieux de données entre le Canada et l’Union européenne;
- Le gouvernement doit travailler main dans la main avec les provinces et les territoires pour s’assurer que toutes les autorités voulues soient au fait des exigences devant être respectées pour que l’UE confirme le caractère adéquat de la protection offerte par la LPRPDE.
Dans sa réponse, le gouvernement du Canada a indiqué appuyer ces recommandations. Il y a affirmé être engagé dans des pourparlers avec des États et des institutions de l’UE sur le partage transfrontalier de données et l’interopérabilité des régimes de protection de la vie privée et mentionné que des représentants travaillaient étroitement avec la Commission européenne pour comprendre les exigences à respecter afin que le caractère adéquat du niveau de protection offert par le Canada aux termes du RGPD soit maintenu. Le gouvernement prévoit que cet examen aura lieu d’ici 2020.
Le gouvernement a également déclaré dans sa réponse que plusieurs recommandations du Comité ETHI visaient à harmoniser la LPRPDE avec certaines dispositions du RGPD (notamment en ce qui concerne la transparence algorithmique, la protection de la vie privée dès la conception de même que la dépersonnalisation et la portabilité des données). Cependant, il a indiqué que l’UE avait adopté le concept d’« équivalence essentielle » plutôt qu’égale pour examiner l’adéquation des régimes de pays non membres, comme le Canada. Par conséquent, il ne ressort pas clairement que les exigences de la LPRPDE doivent refléter l’ensemble des mesures de protection du RGPD pour conserver à la Loi son caractère adéquat. Néanmoins, le gouvernement convient que ces concepts énoncés dans le RGPD pourraient améliorer la protection de la vie privée et entend mener des consultations à grande échelle sur les avantages de les intégrer à la LPRPDE.
Conclusion et points importants à retenir pour les entreprises
Bien que cette réponse ne donne pas l’analyse complète des recommandations du Comité ETHI par le gouvernement fédéral, elle laisse toutefois penser qu’il pourrait prioriser les questions liées à la réputation en ligne, les pouvoirs exécutoires du CPVP et l’importation des droits à la vie privée et des protections connexes prévues par le RGPD, comme la transparence algorithmique, la protection dès la conception, la dépersonnalisation des données et leur portabilité. Les organisations qui mènent des activités au Canada, et particulièrement celles qui traitent d’importantes quantités de renseignements personnels sur des Canadiens, devraient envisager de prendre part aux futures consultations du gouvernement sur ces sujets de même qu’à celles du CPVP sur l’interprétation de la LPRPDE.
