L’année dernière aura été elle aussi une année chargée au chapitre des réformes visant les lois canadiennes en matière de protection de la vie privée. Bien que le fort attendu projet de loi C-11 soit mort au feuilleton en raison du déclenchement des élections fédérales en septembre, le Québec et la Colombie-Britannique (la « C.-B. ») ont apporté des modifications importantes à leur régime respectif de protection des données. Pour souligner la Journée de la protection des données, nous faisons la lumière sur ces développements et proposons un aperçu de ce qui pourrait se produire en 2022.
LE POINT SUR LA SITUATION AU QUÉBEC
En septembre, l’Assemblée nationale du Québec a adopté le projet de loi no 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, ce qui a fait du Québec la première province canadienne à remanier en profondeur son régime de protection de la vie privée en modifiant un certain nombre de lois portant sur la protection des renseignements personnels. Il est à noter que le projet de loi no 64 a apporté d’importantes modifications à la législation québécoise sur la protection de la vie privée dans le secteur privé, notamment en obligeant les entreprises à établir des politiques et des pratiques encadrant leur gouvernance à l’égard des renseignements personnels et à publier des résumés de ces politiques et pratiques sur leur site Web, à réaliser une évaluation des facteurs relatifs à la vie privée dans certaines circonstances et à s’assurer que les paramètres par défaut de leurs produits et services technologiques procurent le plus haut niveau de confidentialité (voir Le point sur la protection de la vie privée : le projet de loi no 64 reçoit la sanction royale | Blakes). Le projet de loi prévoit également des amendes élevées et de nouvelles sanctions administratives pécuniaires. Si la plupart de ces modifications entreront en vigueur en septembre 2023, quelques-unes prendront plutôt effet en 2022 ou en 2024. Par exemple, le 22 septembre 2022, entrera en vigueur l’obligation de prendre certaines mesures en cas d’« incident de confidentialité », notamment celle d’aviser la Commission d’accès à l’information (la « CAI ») ainsi que les personnes concernées par un « incident de confidentialité » qui présente un risque de préjudice sérieux, et celle de tenir un registre des incidents de confidentialité.
LE POINT SUR LA SITUATION EN COLOMBIE-BRITANNIQUE
En novembre, l’Assemblée législative de la C.-B. a adopté le projet de loi 22, qui a modifié la Freedom of Information and Protection of Privacy Act (la « FIPPA »), laquelle régit la collecte, l’utilisation et la communication de renseignements personnels par les organismes publics. Le projet de loi 22 établit une nouvelle obligation selon laquelle les organismes publics doivent mettre en œuvre un programme de gestion de la protection des renseignements personnels et signaler toute atteinte à la protection de la vie privée au Office of the Information and Privacy Commissioner for British Columbia et aux personnes concernées lorsque l’incident est raisonnablement susceptible de causer un préjudice sérieux. Le projet de loi 22 introduit également de nouvelles infractions, notamment dans le cas où une personne collecte, utilise ou communique sciemment des renseignements personnels, sauf lorsque la collecte, l’utilisation ou la communication est autorisée en vertu de la FIPPA. Les entités qui fournissent des services au secteur public de la C.-B. doivent savoir que le projet de loi 22 supprime par ailleurs l’interdiction de communiquer et de stocker des renseignements personnels à l’extérieur du Canada ainsi que de permettre d’accéder à de tels renseignements à l’extérieur du pays.
PROCHAINES ÉTAPES
En décembre 2021, l’Assemblée nationale du Québec a déposé le projet de loi no 19, Loi sur les renseignements de santé et de services sociaux et modifiant diverses dispositions législatives, qui, s’il est adopté, établira un cadre régissant la collecte, l’utilisation et la communication de renseignements de santé et de services sociaux. Le projet de loi vise à « moderniser et décentraliser » la façon dont les renseignements de santé sont partagés dans la province et, surtout, il créerait de nouvelles obligations pour les personnes qui exploitent des établissements privés de soins de santé, dont les centres de procréation assistée, les laboratoires médicaux, les résidences privées pour aînés et les entités qui ont conclu une entente avec des intervenants du secteur de la santé et des services sociaux. Les nouvelles obligations comprennent également des obligations de signalement des incidents de confidentialité et des règles spéciales pour les chercheurs qui utilisent des renseignements de santé. Le projet de loi no 19 devrait être envoyé en commission parlementaire ou plénière, puis être de nouveau examiné par l’Assemblée nationale au cours de l’année.
Le comité spécial de l’Assemblée législative de la C.-B. nommé pour étudier la Personal Information Protection Act (« PIPA ») de la province a également publié un rapport et des recommandations, y compris concernant l’harmonisation de la PIPA avec la législation provinciale, fédérale et internationale en matière de protection de la vie privée, des protections explicites visant les renseignements sensibles, comme les données biométriques, la déclaration obligatoire des atteintes à la protection de la vie privée, et le renforcement des pouvoirs d’application du commissaire à l’information et à la protection de la vie privée (Information and Privacy Commissioner de la C.-B.). Même si les modifications à la PIPA n’ont pas encore été déposées, les nouvelles dispositions législatives devraient être présentées bientôt.
Également en décembre, le premier ministre du Canada a remis une lettre de mandat au ministre de l’Innovation, des Sciences et de l’Industrie concernant la nouvelle session parlementaire. Cette lettre renferme l’engagement de « [p]résenter un projet de loi pour promouvoir la Charte du numérique, renforcer la protection de la vie privée des consommateurs et établir des règles claires assurant une concurrence loyale sur le marché numérique ». On s’attend généralement à ce que le ministre Champagne dépose cette année un nouveau projet de loi pour la réforme du régime de protection de la vie privée dans le secteur privé qui sera semblable (sans être identique) au projet de loi C-11. Même si le projet de loi C-11 avait beaucoup progressé, la nouvelle initiative du gouvernement fédéral pourrait prendre encore plusieurs mois avant de voir le jour. Cela dit, les organisations exerçant des activités au Canada devraient s’attendre à des propositions similaires à celles contenues dans le projet de loi C-11 et commencer à se préparer à composer avec des obligations et des pénalités accrues. En outre, si le projet de réformes fédéral correspond aux nouvelles obligations imposées en vertu du projet de loi no 64 du Québec, les organisations auxquelles s’appliquent les deux projets de loi ont intérêt à s’informer au sujet des changements proposés et à adapter en conséquence leurs pratiques concernant la protection de la vie privée.
Plus tôt en 2021, en réponse aux nombreuses lacunes relevées dans le projet de loi C-11, le gouvernement de l’Ontario a publié sans préavis un livre blanc présentant des propositions à l’égard d’une loi provinciale distincte sur la protection de la vie privée dans le secteur privé. Ces propositions, si elles sont adoptées et deviennent loi, apporteraient d’importants changements aux obligations en matière de protection de la vie privée qu’ont les entreprises qui recueillent, utilisent et communiquent des renseignements personnels en Ontario. Toutefois, étant donné que des élections provinciales se tiendront le 1er juin 2022 et qu’une nouvelle loi fédérale en matière de protection de la vie privée est attendue sous peu, il est peu probable que le gouvernement ontarien dépose le projet de loi C-11 dans un proche avenir.
Enfin, en août 2021, le ministre des Finances a publié le rapport final du Comité consultatif sur le système bancaire ouvert. Le Comité a recommandé au gouvernement d’adopter une approche hybride et canadienne en matière de système bancaire ouvert et a fourni au gouvernement un plan s’échelonnant sur 18 mois pour la mise en œuvre d’un système bancaire ouvert au Canada. Compte tenu de l’approche sectorielle proposée à l’égard de la portabilité des données dans le projet de loi C-11, nous prévoyons que le gouvernement fédéral donnera suite aux recommandations du rapport final du Comité sur le système bancaire ouvert parallèlement à ses propositions relatives au redémarrage de ses initiatives visant la réforme du régime de protection de la vie privée.
Pour en savoir davantage, communiquez avec :
Wendy Mee 416-863-3161
Ellie Marshall 416-863-3053
ou un autre membre de notre groupe Protection de la vie privée et des données.
Ressources connexes
Les communications de Blakes et de Classes affaires de Blakes sont publiées à titre informatif uniquement et ne constituent pas un avis juridique ni une opinion sur un quelconque sujet. Nous serons heureux de vous fournir d’autres renseignements ou des conseils sur des situations particulières si vous le souhaitez.
Pour obtenir l'autorisation de reproduire les articles, veuillez communiquer avec le service Marketing et relations avec les clients de Blakes par courriel à l'adresse communications@blakes.com.
© 2024 Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l.