Iubenda logo
Générer dès maintenant

Documentation

Sommaire

La LPVPC du Canada : votre entreprise est-elle prête ?

La LPVPC du Canada

La Loi du Canada sur la protection de la vie privée des consommateurs (LPVPC) est actuellement à l’étude dans la Chambre des communes (projet de loi C-27). Bien que cette loi n’ait pas encore été promulguée, les entreprises ont tout intérêt à s’y préparer dès maintenant. Ce nouveau projet de loi « vise à protéger la vie privée des Canadiens et à fournir des règles claires aux entreprises novatrices à une époque où les technologies ne cessent d’évoluer ». 

Poursuivez la lecture pour découvrir tout ce que vous devez savoir sur cette future loi et pour y préparer votre entreprise.

DERNIÈRE MISE À JOUR Septembre 2022

Qu’est-ce que la LPVPC ?

La LPVPC est la future loi du Canada sur la protection de la vie privée, encore à l’état de projet. Elle est actuellement à l’étude dans la Chambre des communes. Un projet de loi doit être approuvé par les deux chambres du Parlement avant de devenir une loi. Si la LPVPC est promulguée, elle remplacera la partie 1 de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui régit le traitement des données des utilisateurs par le secteur privé. 

La LPVPC s’appliquera aux données personnelles et aux informations sur les individus identifiables. Elle offrira aux utilisateurs plus de contrôle sur la façon dont les entreprises recueillent, utilisent et communiquent leurs données et, ainsi, renforcera leur droit à la vie privée. La LPVPC encouragera également les entreprises à faire preuve de transparence lors du traitement des données personnelles.

La LPVPC s’appliquera à toute entreprise qui recueille, utilise ou communique des données personnelles au Canada ou dans le monde entier.

Elle s’appliquera aussi à tout traitement ayant lieu dans une province canadienne qui n’aura pas adopté de loi essentiellement similaire.

Par ailleurs, cette loi étendra et renforcera les pouvoirs du Commissaire à la protection de la vie privée pour s’assurer que les entreprises respectent les règles de la LPVPC.

Que prévoit la LPVPC du Canada ? 

En résumé, le projet de loi C-27 (qui inclut la LPVPC du Canada) prévoit : 

  1. plus de contrôle et de transparence à l’égard du traitement des données personnelles
  2. des informations claires sur les droits des utilisateurs et les obligations des entreprises
  3. la liberté pour les utilisateurs de transférer leurs données personnelles en toute sécurité d’une entreprise à une autre
  4. la possibilité pour les utilisateurs de demander la suppression de leurs renseignements personnels lorsqu’ils ne sont plus nécessaires

💡 Votre entreprise sera concernée par : 

  1. le renforcement des mesures de protection des enfants, car votre capacité à recueillir ou à utiliser des renseignements relatifs à des enfants sera limitée et vous devrez respecter des normes plus strictes à l’égard du traitement de ces renseignements
  2. de lourdes amendes en cas de manquement, les infractions les plus graves pouvant donner lieu à des amendes allant jusqu’à 5 % des recettes globales ou 25 millions de dollars canadiens, le montant le plus élevé prévalant.

En outre, le Commissaire à la protection de la vie privée du Canada bénéficiera de « pouvoirs étendus pour rendre des ordonnances, notamment pour ordonner à une entreprise de cesser de recueillir des données ou d’utiliser des renseignements personnels ». 

La LPVPC propose par ailleurs d’établir un Tribunal de la protection des renseignements personnels et des données, un aspect essentiel de la protection de la vie privée des Canadiens. Le Tribunal recevra les recommandations du Commissaire à la protection de la vie privée du Canada visant à imposer des amendes administratives aux entreprises pour certaines infractions à la LPVPC. Il sera aussi compétent pour réviser les décisions du Commissaire. 

📌 Responsabilité

En vertu des sections 7 à 11, votre entreprise sera responsable des renseignements personnels qu’elle contrôlera. Elle devra désigner un ou plusieurs individus chargés des questions relatives à la LPVPC. Elle sera également tenue de mettre en place un programme de gestion de la protection des renseignements personnels qui comprendra des informations sur la façon dont elle :

  1. protège les renseignements personnels
  2. reçoit et traite les demandes de renseignements et les plaintes
  3. forme et informe ses employés en ce qui concerne ses politiques, ses pratiques et ses procédures
  4. élabore les contenus expliquant ses politiques et ses procédures

Note : si le Commissaire vous le demande, vous devrez lui donner accès aux politiques, aux pratiques et aux procédures figurant dans votre programme de gestion de la protection des renseignements personnels.

📌 Violations de données

En vertu des sections 58 à 61, les entreprises doivent déclarer toute violation de données au Commissaire à la protection de la vie privée et, sauf interdiction légale, en aviser les individus concernés. La LPVPC ne précise aucun délai, mais indique que la déclaration doit être faite dès que possibleLa tenue d’un registre des violations survenues est aussi exigée.

📌 Définitions du consentement valide

En vertu des sections 13 à 17, la LPVPC impose à votre entreprise d’obtenir le consentement explicite et valide d’un utilisateur au plus tard au moment de recueillir, d’utiliser ou de communiquer les renseignements personnels le concernant. Pour qu’un consentement soit jugé valide, vous devez fournir aux utilisateurs les informations suivantes dans un « langage clair » :

  1. les types de données personnelles qui seront recueillis, traités ou communiqués
  2. la façon dont la collecte, l’utilisation et la communication seront réalisées
  3. les fins de la collecte, de l’utilisation et de la communication des données
  4. une évaluation des conséquences « raisonnablement prévisibles »
  5. les catégories ou l’identité des tiers auxquels les renseignements personnels pourront être communiqués

Imaginons que votre entreprise reçoive une demande de cessation de la collecte, de l’utilisation ou de la communication des renseignements personnels d’un utilisateur. Dans ce cas, vous devrez informer cet utilisateur des conséquences de cette cessation et interrompre toute activité de traitement à laquelle cet utilisateur a retiré son consentement.

Si la collecte ou l’utilisation des données de cet utilisateur est réalisée à l’une des fins suivantes, votre entreprise pourra l’effectuer à l’insu et sans le consentement de l’utilisateur :

  • un utilisateur raisonnable s’attendrait à la collecte ou à l’utilisation en vue d’une telle activité
  • les renseignements personnels ne sont pas recueillis ou utilisés en vue d’influencer le comportement ou les décisions de l’individu
  • la collecte ou l’utilisation est nécessaire à la fourniture d’un produit ou à la prestation d’un service demandé par l’utilisateur à votre entreprise
  • la collecte ou l’utilisation est nécessaire à la sécurité de l’information, des systèmes ou des réseaux de votre entreprise
  • la collecte ou l’utilisation est nécessaire à la sécurité d’un produit ou d’un service que votre entreprise fournit
  • toute autre activité réglementaire

📌 Droits de vos utilisateurs en vertu de la LPVPC

À l’égard de l’utilisation de leurs renseignements personnels, les Canadiens disposent des droits énoncés dans la LPRPDE. En vertu des sections 17, 63 et 71, la LPVPC améliore et étend ces droits. Les changements accorderont aux utilisateurs :

  • le droit de retirer leur consentement
  • le droit d’accéder à leurs renseignements personnels et de demander la modification des renseignements incomplets ou inexacts

Lorsque votre entreprise reçoit une demande d’un utilisateur, vous devez :

  1. cesser la collecte des données de l’utilisateur concerné si celui-ci retire son consentement ou 
  2. permettre à l’utilisateur d’accéder à ses renseignements
  3. mettre à jour toute donnée obsolète, incomplète ou inexacte
  4. traiter toute demande dans les 30 jours suivant sa réception et
  5. écrire dans un langage clair

Note : les utilisateurs disposeront d’un « droit privé d’action » qui leur permettra de formuler des réclamations à l’encontre de votre entreprise si vous contrevenez à la LPVPC, sous réserve que le Commissaire à la protection de la vie privée ou le Tribunal conclue, après enquête, à une atteinte à la vie privée.

Les utilisateurs pourront avoir droit à la réparation de toute perte (notamment financière) ou de tout préjudice subi du fait de cette violation.

📌 Obligations des entreprises en vertu de la LPVPC

En vertu de la LPVPC, votre entreprise devra :

  • faire preuve de clarté et de précision lors de l’obtention du consentement au traitement des données, en veillant à ce que le consentement soit éclairé et explicite et à ce qu’il puisse être prouvé
  • indiquer aux utilisateurs comment vous contacter pour toute demande
  • veiller à l’exactitude des renseignements personnels
  • mettre en œuvre des mesures de sécurité efficaces

📌 Fins du traitement des données

En vertu de la section 12, vous pourrez uniquement recueillir, utiliser ou communiquer des renseignements personnels « à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances ». Pour déterminer si une fin est acceptable, vous devrez prendre en compte :

  1. le degré de sensibilité des données personnelles
  2. l’alignement (ou non) des objectifs sur les besoins commerciaux légitimes de votre entreprise
  3. le degré d’efficacité de la collecte, de l’utilisation ou de la communication des données pour répondre aux besoins commerciaux légitimes de votre entreprise
  4. l’existence (ou non) de moyens moins intrusifs qui permettraient d’atteindre les fins visées à un coût et avec des avantages comparables
  5. le rapport entre l’atteinte à la vie privée de l’utilisateur et les avantages pour votre entreprise, au regard des mesures de protection (notamment techniques) mises en place par votre entreprise afin d’atténuer les effets de l’atteinte pour l’individu

📌 Pénalités et action en justice

En cas de violation, les entreprises pourront se voir infliger des sanctions très importantes. Les amendes prévues par la LPVPC se rapprocheront des montants prévus par d’autres textes juridiques internationaux consacrés à la protection de la vie privée. 

Pour la plupart des infractions, le montant maximal de l’amende pourra atteindre entre 10 millions de dollars canadiens ou 3 % des recettes globales annuelles et 25 millions de dollars canadiens ou 5 % des recettes globales annuelles.

Imaginons que vous soyez soupçonné de violation des nouvelles règles. Vous pourrez alors faire l’objet d’une enquête à l’initiative du Commissaire à la protection de la vie privée. Vous vous exposerez à des sanctions considérables pouvant être infligées par le Tribunal de la protection des renseignements personnels et des données.

Le Commissaire procèdera aux évaluations essentielles, définira des directives juridiquement contraignantes, proposera des pénalités au Tribunal et supervisera les procédures d’application.

Comment se préparer à la LPVPC du Canada

Vous ne devriez pas vous baser sur des hypothèses pour vous conformer à la LPVPC. À la place, votre entreprise devrait prendre les mesures nécessaires pour se préparer à l’entrée en vigueur de la LPVPC.

Grâce à iubenda, les entreprises peuvent démontrer une conformité exceptionnelle avec les règles internationales relatives aux données.

Nous aidons déjà des entreprises du monde entier à se conformer à la loi CCPA, à la LGPD et au RGPD. Vous pouvez avoir la certitude que iubenda intègrera les règles de la LPVPC à son modèle de protection de la vie privée dès que cette loi entrera en vigueur.

🗣 Vous souhaitez vous tenir à jour de l’évolution de ce projet de loi ? Assurez-vous de recevoir nos e-mails.

🗳 Sondage de 2022 auprès des entreprises canadiennes concernant les enjeux liés à la protection des renseignements personnels  

En 2019, le Commissariat à la protection de la vie privée (CPVP) avait déjà mené un premier sondage auprès des entreprises pour évaluer le degré de sensibilisation des entreprises aux préoccupations concernant la protection des renseignements personnels, les types de politiques et de pratiques en matière de protection des renseignements personnels qu’elles ont mis en place et leur niveau de conformité avec la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

Entre le 12 janvier et le 18 février 2022, des représentants de 751 entreprises ont répondu à un nouveau sondage téléphonique de 15 minutes. Le Commissariat a publié le rapport complet : Sondage de 2021-2022 auprès des entreprises canadiennes concernant les enjeux liés à la protection des renseignements personnels. Vous trouverez ci-dessous un résumé des résultats :

Les pratiques en matière de protection des renseignements personnels ont évolué depuis 2019 :

  1. ⬇️ 57 % des entreprises comptent désormais un chef de la protection des renseignements personnels, contre 62 % l’année précédente. 
  2. ⬇️ 51 % ont mis en place des politiques internes à l’intention du personnel pour aborder leurs obligations en matière de protection des renseignements personnels, contre 55 % en 2019.
  3. ⬇️ 51 % ont déclaré avoir mis en place des procédures pour répondre aux demandes des utilisateurs concernant l’accès à leurs données personnelles, contre 60 % l’année précédente.

⬇️ Les entreprises sont désormais moins nombreuses (34 % en 2022 contre 39 % en 2019) à donner régulièrement à leur personnel une formation et de l’information sur la protection des renseignements personnels.

  1. Les entreprises sont également moins nombreuses (59 %) que lors du sondage précédent (65 %) à affirmer avoir une politique de protection des renseignements personnels. Comme lors des sondages précédents, la probabilité d’avoir mis en place cette politique était plus élevée chez les grandes entreprises : 79 % des grandes entreprises en disposent, contre 66 % des moyennes et 58 % des petites entreprises.
  2. Les entreprises de l’Ouest canadien (64 %) sont plus susceptibles que les entreprises du Québec (39 %) de disposer d’une politique sur la protection des renseignements personnels.

  1. Les entreprises disposant d’une politique de protection des renseignements personnels sont désormais 43 % à aviser les utilisateurs lorsque des modifications ont lieu, contre 36 % en 2019. 
  2. ⬆️ Lors de la modification de leurs pratiques en matière de protection des renseignements personnels, 43 % des entreprises demandent le consentement de leurs clients, contre 34 % en 2019.

⬆️ Les entreprises affirment désormais à 70 % fournir aux utilisateurs un accès facilité à leurs politiques de protection des renseignements personnels, contre 51 % en 2019.

  1. ➡️ En 2022 comme en 2019, 94 % des entreprises signalent n’avoir subi aucune atteinte à la protection des données.
  2. ⬇️ Les entreprises préoccupées par les atteintes à la protection des données sont passées de 37 % en 2019 à 28 % aujourd’hui.

➡️ 74 % des entreprises déclarent avoir pris des mesures pour assurer leur conformité avec les lois canadiennes régissant la protection des renseignements personnels. La probabilité de prendre des mesures pour s’assurer de respecter les lois augmente en fonction de la taille de l’entreprise. D’après le sondage, 85 % des grandes et 82 % des moyennes entreprises ont pris des mesures, contre 73 % des petites entreprises.

Tous les deux ans, le Commissariat sonde les entreprises pour en savoir plus sur leur sensibilisation et leurs pratiques en matière de protection des renseignements personnels. Le Commissariat utilise les résultats du sondage pour améliorer ses efforts de sensibilisation des entreprises et des individus en matière de protection des renseignements personnels.

💡 Le respect de la nouvelle LPVPC sera obligatoire, si bien que de nombreuses entreprises devront prendre des mesures pour améliorer leur conformité en matière de protection des données. Découvrez à quelles lois votre entreprise doit se conformer en répondant à notre quiz de 2 minutes ! 

Voir aussi