La Loi du Canada sur la protection de la vie privée des consommateurs (LPVPC) est actuellement à l’étude dans la Chambre des communes (projet de loi C-27). Bien que cette loi n’ait pas encore été promulguée, les entreprises ont tout intérêt à s’y préparer dès maintenant. Ce nouveau projet de loi « vise à protéger la vie privée des Canadiens et à fournir des règles claires aux entreprises novatrices à une époque où les technologies ne cessent d’évoluer ».
Poursuivez la lecture pour découvrir tout ce que vous devez savoir sur cette future loi et pour y préparer votre entreprise.
DERNIÈRE MISE À JOUR Septembre 2022
La LPVPC est la future loi du Canada sur la protection de la vie privée, encore à l’état de projet. Elle est actuellement à l’étude dans la Chambre des communes. Un projet de loi doit être approuvé par les deux chambres du Parlement avant de devenir une loi. Si la LPVPC est promulguée, elle remplacera la partie 1 de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui régit le traitement des données des utilisateurs par le secteur privé.
La LPVPC s’appliquera à toute entreprise qui recueille, utilise ou communique des données personnelles au Canada ou dans le monde entier.
Elle s’appliquera aussi à tout traitement ayant lieu dans une province canadienne qui n’aura pas adopté de loi essentiellement similaire.
Par ailleurs, cette loi étendra et renforcera les pouvoirs du Commissaire à la protection de la vie privée pour s’assurer que les entreprises respectent les règles de la LPVPC.
En résumé, le projet de loi C-27 (qui inclut la LPVPC du Canada) prévoit :
💡 Votre entreprise sera concernée par :
En outre, le Commissaire à la protection de la vie privée du Canada bénéficiera de « pouvoirs étendus pour rendre des ordonnances, notamment pour ordonner à une entreprise de cesser de recueillir des données ou d’utiliser des renseignements personnels ».
La LPVPC propose par ailleurs d’établir un Tribunal de la protection des renseignements personnels et des données, un aspect essentiel de la protection de la vie privée des Canadiens. Le Tribunal recevra les recommandations du Commissaire à la protection de la vie privée du Canada visant à imposer des amendes administratives aux entreprises pour certaines infractions à la LPVPC. Il sera aussi compétent pour réviser les décisions du Commissaire.
En vertu des sections 7 à 11, votre entreprise sera responsable des renseignements personnels qu’elle contrôlera. Elle devra désigner un ou plusieurs individus chargés des questions relatives à la LPVPC. Elle sera également tenue de mettre en place un programme de gestion de la protection des renseignements personnels qui comprendra des informations sur la façon dont elle :
Note : si le Commissaire vous le demande, vous devrez lui donner accès aux politiques, aux pratiques et aux procédures figurant dans votre programme de gestion de la protection des renseignements personnels.
En vertu des sections 58 à 61, les entreprises doivent déclarer toute violation de données au Commissaire à la protection de la vie privée et, sauf interdiction légale, en aviser les individus concernés. La LPVPC ne précise aucun délai, mais indique que la déclaration doit être faite dès que possible. La tenue d’un registre des violations survenues est aussi exigée.
En vertu des sections 13 à 17, la LPVPC impose à votre entreprise d’obtenir le consentement explicite et valide d’un utilisateur au plus tard au moment de recueillir, d’utiliser ou de communiquer les renseignements personnels le concernant. Pour qu’un consentement soit jugé valide, vous devez fournir aux utilisateurs les informations suivantes dans un « langage clair » :
Imaginons que votre entreprise reçoive une demande de cessation de la collecte, de l’utilisation ou de la communication des renseignements personnels d’un utilisateur. Dans ce cas, vous devrez informer cet utilisateur des conséquences de cette cessation et interrompre toute activité de traitement à laquelle cet utilisateur a retiré son consentement.
Si la collecte ou l’utilisation des données de cet utilisateur est réalisée à l’une des fins suivantes, votre entreprise pourra l’effectuer à l’insu et sans le consentement de l’utilisateur :
À l’égard de l’utilisation de leurs renseignements personnels, les Canadiens disposent des droits énoncés dans la LPRPDE. En vertu des sections 17, 63 et 71, la LPVPC améliore et étend ces droits. Les changements accorderont aux utilisateurs :
Lorsque votre entreprise reçoit une demande d’un utilisateur, vous devez :
Note : les utilisateurs disposeront d’un « droit privé d’action » qui leur permettra de formuler des réclamations à l’encontre de votre entreprise si vous contrevenez à la LPVPC, sous réserve que le Commissaire à la protection de la vie privée ou le Tribunal conclue, après enquête, à une atteinte à la vie privée.
Les utilisateurs pourront avoir droit à la réparation de toute perte (notamment financière) ou de tout préjudice subi du fait de cette violation.
En vertu de la LPVPC, votre entreprise devra :
En vertu de la section 12, vous pourrez uniquement recueillir, utiliser ou communiquer des renseignements personnels « à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances ». Pour déterminer si une fin est acceptable, vous devrez prendre en compte :
En cas de violation, les entreprises pourront se voir infliger des sanctions très importantes. Les amendes prévues par la LPVPC se rapprocheront des montants prévus par d’autres textes juridiques internationaux consacrés à la protection de la vie privée.
Pour la plupart des infractions, le montant maximal de l’amende pourra atteindre entre 10 millions de dollars canadiens ou 3 % des recettes globales annuelles et 25 millions de dollars canadiens ou 5 % des recettes globales annuelles.
Imaginons que vous soyez soupçonné de violation des nouvelles règles. Vous pourrez alors faire l’objet d’une enquête à l’initiative du Commissaire à la protection de la vie privée. Vous vous exposerez à des sanctions considérables pouvant être infligées par le Tribunal de la protection des renseignements personnels et des données.
Le Commissaire procèdera aux évaluations essentielles, définira des directives juridiquement contraignantes, proposera des pénalités au Tribunal et supervisera les procédures d’application.
Vous ne devriez pas vous baser sur des hypothèses pour vous conformer à la LPVPC. À la place, votre entreprise devrait prendre les mesures nécessaires pour se préparer à l’entrée en vigueur de la LPVPC.
Grâce à iubenda, les entreprises peuvent démontrer une conformité exceptionnelle avec les règles internationales relatives aux données.
Nous aidons déjà des entreprises du monde entier à se conformer à la loi CCPA, à la LGPD et au RGPD. Vous pouvez avoir la certitude que iubenda intègrera les règles de la LPVPC à son modèle de protection de la vie privée dès que cette loi entrera en vigueur.
🗣 Vous souhaitez vous tenir à jour de l’évolution de ce projet de loi ? Assurez-vous de recevoir nos e-mails.
En 2019, le Commissariat à la protection de la vie privée (CPVP) avait déjà mené un premier sondage auprès des entreprises pour évaluer le degré de sensibilisation des entreprises aux préoccupations concernant la protection des renseignements personnels, les types de politiques et de pratiques en matière de protection des renseignements personnels qu’elles ont mis en place et leur niveau de conformité avec la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).
Entre le 12 janvier et le 18 février 2022, des représentants de 751 entreprises ont répondu à un nouveau sondage téléphonique de 15 minutes. Le Commissariat a publié le rapport complet : Sondage de 2021-2022 auprès des entreprises canadiennes concernant les enjeux liés à la protection des renseignements personnels. Vous trouverez ci-dessous un résumé des résultats :
Les pratiques en matière de protection des renseignements personnels ont évolué depuis 2019 :
⬇️ Les entreprises sont désormais moins nombreuses (34 % en 2022 contre 39 % en 2019) à donner régulièrement à leur personnel une formation et de l’information sur la protection des renseignements personnels.
⬆️ Les entreprises affirment désormais à 70 % fournir aux utilisateurs un accès facilité à leurs politiques de protection des renseignements personnels, contre 51 % en 2019.
➡️ 74 % des entreprises déclarent avoir pris des mesures pour assurer leur conformité avec les lois canadiennes régissant la protection des renseignements personnels. La probabilité de prendre des mesures pour s’assurer de respecter les lois augmente en fonction de la taille de l’entreprise. D’après le sondage, 85 % des grandes et 82 % des moyennes entreprises ont pris des mesures, contre 73 % des petites entreprises.
Tous les deux ans, le Commissariat sonde les entreprises pour en savoir plus sur leur sensibilisation et leurs pratiques en matière de protection des renseignements personnels. Le Commissariat utilise les résultats du sondage pour améliorer ses efforts de sensibilisation des entreprises et des individus en matière de protection des renseignements personnels.
💡 Le respect de la nouvelle LPVPC sera obligatoire, si bien que de nombreuses entreprises devront prendre des mesures pour améliorer leur conformité en matière de protection des données. Découvrez à quelles lois votre entreprise doit se conformer en répondant à notre quiz de 2 minutes !