En 2022, le droit canadien de la protection de la vie privée et de la cybersécurité a continué d’évoluer considérablement. Comme dans les années passées, afin de souligner la Journée de la protection des données, nous résumons les faits marquants de la dernière année afin de vous permettre de demeurer au fait des derniers développements.
LE GOUVERNEMENT FÉDÉRAL PROPOSE DE NOUVELLES LOIS RELATIVES À LA PROTECTION DES DONNÉES ET À LA CYBERSÉCURITÉ
Le 16 juin 2022, le ministre de l’Industrie, de la Science et de l’Innovation du Canada a déposé le projet de loi C-27, Loi de 2022 sur la mise en œuvre de la Charte du numérique (le « projet de loi C-27 »). Ce projet de loi succède à la proposition précédente du gouvernement fédéral, le projet de loi C‑11, qui avait été présenté en 2020, mais était mort au feuilleton en raison du déclenchement des élections fédérales de 2021. À l’instar de la proposition de 2020, s’il était adopté, le projet de loi C-27 :
-
abrogerait les parties de la Loi sur la protection des renseignements personnels et les documents électroniques qui réglementent le traitement des renseignements personnels, et édicterait une nouvelle loi, soit la Loi sur la protection de la vie privée des consommateurs (la « LPVPC »);
-
édicterait la Loi sur le Tribunal de la protection des renseignements personnels et des données devant constituer un tribunal administratif chargé d’entendre les appels interjetés à l’encontre de certaines décisions rendues par le commissaire à la protection de la vie privée du Canada en vertu de la LPVPC et d’infliger des pénalités en cas de contravention à certaines de ses dispositions;
-
introduirait des règles en vue de réglementer les systèmes d’intelligence artificielle à incidence élevée sous le régime de la nouvelle Loi sur l’intelligence artificielle et les données (la « LIAD »).
Le projet de loi C-27 est actuellement à l’étape de la deuxième lecture à la Chambre des communes. Il devrait ensuite être renvoyé devant un comité en vue d’être de nouveau examiné au cours des prochains mois.
Pour en savoir davantage au sujet du projet de loi C-27 et de la LIAD, consultez nos Bulletins Blakes de juin 2022 intitulés Nouveau projet de loi fédéral modernisant les exigences de protection des renseignements personnels dans le secteur privé et Réglementation des systèmes d’intelligence artificielle : le gouvernement fédéral propose une nouvelle loi.
Le 14 juin 2022, le ministre de la Sécurité publique a déposé le projet de loi C-26, lequel prévoit l’imposition de diverses obligations en matière de cybersécurité aux organisations désignées exerçant des activités dans quatre secteurs clés sous réglementation fédérale : les télécommunications, les finances, l’énergie et le transport. Par ailleurs, s’il est adopté, le projet de loi C-26 édicterait la Loi sur la protection des cybersystèmes essentiels, laquelle établirait un cadre de protection visant les cybersystèmes qui sont considérés comme faisant partie intégrale de l’infrastructure canadienne et de la sécurité publique au Canada. Le projet de loi C-26 est actuellement à l’étape de la deuxième lecture à la Chambre des communes.
Pour en savoir davantage au sujet du projet de loi C-26, consultez notre Bulletin Blakes de juin 2022 intitulé La Chambre des communes dépose le projet de loi C-26 pour encadrer la cybersécurité dans certains secteurs.
LES LOIS QUÉBÉCOISES SUR LA PROTECTION DES DONNÉES CONTINUENT DE SE DÉVELOPPER
En septembre 2022, le projet de loi no 64 a donné lieu à la première série de modifications visant la Loi sur la protection des renseignements personnels dans le secteur privé (Québec) (la « Loi québécoise »). Dorénavant, les organisations sont notamment tenues de faire ce qui suit :
-
déléguer par écrit la fonction de responsable de la protection des renseignements personnels. En l’absence de délégation, la personne ayant la plus haute autorité au sein de l’organisation est réputée responsable de la protection des renseignements personnels.
-
aviser la Commission d’accès à l’information du Québec et toute personne concernée de l’existence d’un « incident de confidentialité » impliquant un renseignement personnel qui présente un risque de préjudice sérieux.
Consultez notre Bulletin Blakes d’août 2022 intitulé Protection des renseignements personnels au Québec : votre entreprise est-elle prête pour les nouvelles règles en vigueur en septembre? pour connaître les nouvelles obligations entrées en vigueur au Québec en septembre 2022.
La plupart des modifications apportées par suite du projet de loi no 64 entreront en vigueur le 22 septembre 2023. Elles imposeront des obligations considérablement renforcées aux organisations du secteur privé. Elles prévoient également des pouvoirs accrus en matière d’application de la loi, y compris des sanctions administratives pécuniaires pouvant aller jusqu’à 10 M$ CA ou, si ce montant est plus élevé, un montant correspondant à 2 % du chiffre d’affaires mondial de l’organisation pour l’exercice financier précédent.
Le 12 décembre 2022, le gouvernement du Québec a déposé le projet de loi no 3, Loi sur les renseignements de santé et de services sociaux et modifiant diverses dispositions législatives (le « projet de loi no 3 »), devant l’Assemblée nationale du Québec. Ce projet de loi vise à combler une lacune législative dans l’infrastructure relative à la protection de la vie privée du Québec en établissant le premier grand cadre législatif axé sur les renseignements de santé et de services sociaux expressément prévu pour mieux protéger, utiliser et gérer les renseignements de santé. Le projet de loi no 3 propose un cadre semblable à ceux des lois provinciales relatives à la protection des renseignements médicaux personnels dans d’autres territoires canadiens, sauf en ce qui concerne des obligations et des sanctions en phase avec les récentes modifications apportées aux lois québécoises relatives à la protection de la vie privée. Le projet de loi doit encore être débattu à l’Assemblée nationale.
L'EXAMEN LÉGISLATIF DE LA PIPA DE L’ALBERTA EST EN COURS
Le 25 mai 2022, l’Assemblée législative de l’Alberta a adopté la motion no 29 émanant du gouvernement, laquelle a renvoyé la loi albertaine intitulée Personal Information Protection Act (la « PIPA ») devant le Comité permanent sur l’avenir économique de l’Alberta (le « Comité ») aux fins d’un examen législatif. Ensuite, le Comité a adopté une motion visant à proposer la tenue d’une séance d'information technique sur la PIPA par le ministère responsable de l’administration de cette loi et l’Office of the Information and Privacy Commissioner of Alberta. Une transcription des travaux du Comité ayant eu lieu le 27 septembre 2022 peut être consultée ici.
ENTRÉE EN VIGUEUR DE L’OBLIGATION RELATIVE À LA POLITIQUE SUR LA SURVEILLANCE ÉLECTRONIQUE DES EMPLOYÉS EN ONTARIO
Depuis le 11 octobre 2022, les employeurs ayant 25 employés ou plus en Ontario doivent s’assurer d’avoir mis en place une politique écrite sur la surveillance électronique des employés et d’avoir remis une copie écrite de celle-ci à tous leurs employés. La politique doit notamment préciser si les employés font l’objet d’une surveillance électronique et, le cas échéant, quels sont les moyens utilisés, les circonstances dans lesquelles la surveillance peut avoir lieu et les renseignements recueillis. Pour en savoir davantage, consultez notre Bulletin Blakes d’octobre 2022 intitulé Politique sur la surveillance électronique des employés en Ontario : nouvelles obligations pour les employeurs.
LA COUR D’APPEL DE L’ONTARIO LIMITE LE CHAMP D’APPLICATION DU DÉLIT D’INTRUSION DANS L’INTIMITÉ DANS LES AFFAIRES RELATIVES À LA CYBERSÉCURITÉ
Le 25 novembre 2022, la Cour d’appel de l’Ontario a déclaré, dans son arrêt Owsianik v. Equifax Canada Co. (l’« arrêt Owsianik »), que le délit d’intrusion dans l’intimité ne constitue pas une cause d’action viable contre un défendeur qui est la victime, et non l’auteur, d’une cyberattaque. L’arrêt Owsianik confirme que le défaut allégué d’un défendeur d’empêcher une atteinte à la vie privée par une tierce partie ne constitue pas une cause d’action aux termes de ce délit. Pour en savoir davantage, consultez notre Bulletin Blakes de novembre 2022 intitulé Court of Appeal for Ontario Limits Intrusion Upon Seclusion Claims in Cybersecurity Cases (en anglais seulement).
ENTRÉE EN VIGUEUR DES EXIGENCES DE DÉCLARATION DES ATTEINTES À LA PROTECTION DE LA VIE PRIVÉE DANS LE SECTEUR PUBLIC EN COLOMBIE-BRITANNIQUE
À compter du 1er février 2023, les organismes publics en Colombie-Britannique seront tenus de déclarer les atteintes à la protection de la vie privée et d’avoir en place un programme de gestion de la vie privée. Ces exigences découlent des modifications apportées à la loi britanno-colombienne intitulée Freedom of Information and Protection of Privacy Act en novembre 2021. Pour en savoir davantage, consultez notre Bulletin Blakes de janvier 2023 intitulé Mandatory Privacy-Breach Reporting Coming to B.C. Public Sector (en anglais seulement).
Pour en savoir davantage, communiquez avec :
Marie-Hélène Constantin 514-982-4031
Wendy Mee 416-863-3161
Ellie Marshall 416-863-3053
ou un autre membre de notre groupe Protection de la vie privée et des données.
Ressources connexes
Les communications de Blakes et de Classes affaires de Blakes sont publiées à titre informatif uniquement et ne constituent pas un avis juridique ni une opinion sur un quelconque sujet. Nous serons heureux de vous fournir d’autres renseignements ou des conseils sur des situations particulières si vous le souhaitez.
Pour obtenir l'autorisation de reproduire les articles, veuillez communiquer avec le service Marketing et relations avec les clients de Blakes par courriel à l'adresse [email protected].
© 2024 Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l.