Attention à vos pratiques en matière de protection des renseignements personnels au Canada : de grands changements à l’horizon!
Par Mme Erin Schachter | Attaques par rançon, fuites de données, vol d’identité, fraude…autant de sujets qui suscitent un vif intérêt et qui font régulièrement du bruit dans les médias.
Pourquoi ces sujets devraient-ils vous inquiéter? Parce que l’importance de la protection des renseignements personnels est devenue une question d’intérêt national et international.
Au Canada, les gouvernements fédéraux et du Québec veulent renforcer leurs législations sur la façon dont les entreprises privées traitent les renseignements personnels, suivant ainsi la tendance principalement initiée par l’Union européenne que l’on retrouve dans le règlement général sur la protection des données (ci-après « RGPD »).
Le RGPD a été adopté le 14 avril 2016, et est devenu applicable à partir du 25 mai 2018. Le règlement était très novateur pour l’époque et, après son adoption, il est devenu un modèle pour de nombreuses lois nationales en dehors de l’UE. Il semble que le Canada suive désormais les traces du RGPD en adoptant une nouvelle législation qui présente de nombreuses similitudes avec le RGPD. Au Québec, l’Assemblée nationale a approuvé en juin 2020 le projet de loi 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels.
Au Canada, le Parlement a approuvé en novembre 2020 le projet de loi C-11, Loi édictant la Loi sur la protection des renseignements personnels des consommateurs et la Loi sur le Tribunal de la protection des renseignements personnels et des données, et apportant des modifications corrélatives et connexes à d’autres lois.
S’ils sont adoptés, ces projets de lois renforceront la protection des renseignements personnels recueillis par les institutions privées. Même si ces projets de lois ne sont pas adoptés tels quels, nous pouvons nous attendre à ce qu’un certain nombre de ces mesures soient entérinées, et ce, dans les prochaines années.
Les projets de lois comprennent les mesures suivantes :
- Des restrictions plus strictes concernant le consentement à l’utilisation des renseignements personnels d’un individu, et la garantie que les informations ne seront utilisées qu’aux fins prévues.
- Des exigences plus strictes concernant la formulation de la demande de consentement qui doit être rédigée de manière à être facile à comprendre.
- Des règles spéciales concernant le consentement lorsqu’il s’agit d’informations « sensibles ». Les informations sont désignées comme « sensibles » si, en raison de leur nature ou du contexte de leur utilisation ou de leur diffusion, elles impliquent un niveau élevé d’attente raisonnable en matière de respect de la vie privée.
- Obligation de nommer une personne au sein de l’organisation qui sera responsable de la conformité à la législation applicable.
- Des droits accrus sont accordés aux individus pour déterminer comment leurs informations sont traitées et pour déterminer s’ils veulent que leurs informations soient détruites ou ne soient plus diffusées. Ces droits diffèrent selon la législation proposée.
Les nouvelles restrictions imposées aux transferts de données entre juridictions constituent un autre élément important. Au Québec, lorsque l’on cherche à transférer des données à l’extérieur de la province, une évaluation de la protection accordée doit être effectuée afin de déterminer si les données exportées bénéficieront d’un niveau de protection similaire à celle à l’intérieur. S’il s’avère que le transfert potentiel ne fournit pas un niveau de protection équivalent, le transfert des données sera interdit. Lorsque les transferts sont autorisés à la suite de l’évaluation, ils doivent être accompagnés d’une entente écrite entre les parties. Cette exigence est beaucoup plus stricte que sous la législation fédérale, qui prévoit l’obligation générale d’utiliser des ententes ou d’autres méthodes pour assurer des niveaux de protection comparables aux informations transférées à des tiers, sans nécessairement procéder à une évaluation préliminaire.
Dans les deux cas, si les juridictions étrangères ne disposent pas de mesures de protection adéquates, il sera nécessaire de mettre en place des contrats rigoureux pour garantir la protection des informations. Dans le cas contraire, l’entreprise qui a transféré les informations pourrait être tenue responsable en cas d’incident.
Globalement, les projets de lois au Canada et au Québec prévoient une législation plus rigoureuse sur le traitement des renseignements personnels, une plus grande responsabilité incombant aux entreprises, des mécanismes de contrôle plus importants de la part des autorités de réglementation en cas d’incident, ainsi que des sanctions plus sévères pour les entreprises qui ne respectent pas la loi.
Les sanctions dépassent de loin celles qui existaient auparavant. Si elles sont adoptées, les entreprises pourraient se voir imposer des amendes allant de 10 à 25 millions de dollars ou un pourcentage de leurs revenus, encore une fois suivant l’initiative de l’Union européenne. Le RGPD fixe une amende maximale de 20 millions d’euros ou de 4 % du chiffre d’affaires annuel mondial pour les infractions. Ces pourcentages et leur mode de calcul diffèrent selon les projets de lois. Dans la législation provinciale proposée, le montant se situe entre 2 et 4 % des revenus annuels de l’entreprise, alors que dans la législation fédérale proposée, ce montant est de 3 à 5 %.
En cas d’infraction, divers niveaux de régulateurs tels que la U.S. Securities and Exchange Commission ou l’Office of the Comptroller of the Currency émettent des pénalités, qui peuvent être assez importantes, mais il n’existe pas de législation ou d’autorité unifiée dans l’ensemble des États-Unis, de sorte que les pénalités peuvent varier considérablement. Toutefois, il est important de noter qu’il y a eu une tendance vers des amendes plus sévères aux États-Unis ces dernières années.
Les autorités des États-Unis évaluent actuellement la nécessité d’une législation nationale globale. Certains groupes de consommateurs et de l’industrie ont plaidé en faveur d’une approche des États-Unis similaire à celle du RGPD. Comme de nombreux pays adaptent leur législation pour suivre les tendances du RGPD, y compris le Canada, on peut se demander si cela aura une influence sur les États-Unis. De nos jours, les entreprises sont très dépendantes des technologies, et encore plus depuis la pandémie mondiale. Les renseignements personnels sont omniprésents et peu d’entreprises peuvent fonctionner sans eux. Les autorités au Canada entendent bien restreindre l’utilisation et le traitement des renseignements personnels. Les conséquences du non-respect de ces nouvelles restrictions, une fois entrées en vigueur, pourraient être catastrophiques pour les entreprises.
Notre cabinet dispose de professionnels pouvant vous aider en matière de protection des renseignements personnels et en mesure de vous éclairer sur les législations auxquelles êtes et serez dans l’avenir confrontés comme entreprises, et ce, non seulement au Canada, mais dans de nombreux pays grâce à nos réseaux de cabinets affiliés à travers le monde.
© 2021, Mme Erin Sachachter, Avocate en litige commercial et droit des affaires
erin.schachter@groupetcj.ca