Le nouveau projet de loi canadien sur la protection des renseignements personnels dĂ©posĂ© le 17 novembre 2020 corrige certains des dĂ©fauts flagrants du rĂ©gime actuel, notamment la protection des renseignements personnels fondĂ©e sur le modèle de l’ombudsman, et ce qui est devenu, au fil des ans, une structure souvent des plus extravagantes. Cependant, nous devons nous demander si ce projet de loi règle la question cruciale qu’est la capacitĂ© du Canada Ă maintenir un statut d’adĂ©quation acceptable pour l’Union europĂ©enne.
ĂŠtre adĂ©quat, qu’est-ce que ça donne?
L’une des raisons d’ĂŞtre du projet de loi C-11, soit le maintien du statut d’adĂ©quation, permet aux organisations rĂ©gies par la Loi sur la protection des renseignements personnels et les documents Ă©lectroniques (LPRPDE) d’Ă©changer des renseignements personnels avec des entitĂ©s de l’Union europĂ©enne sans avoir Ă mettre en Ĺ“uvre une sĂ©rie de mesures de conformitĂ© d’entreprise telles que des règles d’entreprise contraignantes ou des clauses contractuelles normalisĂ©es; mesures qui coĂ»tent cher en argent et en temps. L’UE accorde le statut d’adĂ©quation aux pays qui possèdent un rĂ©gime de protection des renseignements personnels similaire au Règlement gĂ©nĂ©ral sur la protection des donnĂ©es (RGPD) ou au moins « adĂ©quat ». En thĂ©orie, ce statut est assujetti Ă un examen et passible de rĂ©vocation si un pays ne satisfait pas aux critères de l’UE.
En ce moment, les organisations rĂ©gies en vertu de notre loi fĂ©dĂ©rale, la LPRPDE, jouissent du statut d’adĂ©quation. Cependant, ce n’est pas le cas de celles qui sont assujetties Ă la Personal Information Protection Act de la Colombie-Britannique ou de l’Alberta ou Ă la Loi sur la protection des renseignements personnels dans le secteur privĂ© en vigueur au QuĂ©bec (en cours de modification par le projet de loi 64). D’ailleurs, en 2014, le Groupe de travail 29 de l’UE a rĂ©putĂ© la lĂ©gislation quĂ©bĂ©coise inadĂ©quate, dĂ©clenchant la refonte actuelle de la lĂ©gislation de cette province sur la protection des donnĂ©es tant dans le secteur privĂ© que public.
Bref, cela vaut la peine de maintenir l’adĂ©quation, car elle rĂ©duit les coĂ»ts et les incertitudes connexes Ă la conformitĂ©. Toutefois, le projet de loi C-11 est-il assez rigoureux pour permettre au Canada de conserver son statut? Voici quelques-unes des caractĂ©ristiques du projet de loi qui suscitent des prĂ©occupations.
Droits individuels et renseignements confidentiels
Le RGPD a crĂ©Ă© et renforcĂ© une sĂ©rie de droits dont une personne pourrait se prĂ©valoir contre une entitĂ© qui a traitĂ© ses renseignements personnels. En Europe, une personne peut accĂ©der Ă ses renseignements personnels et les corriger. Elle peut exiger qu’une entitĂ© transfère ses renseignements personnels Ă une autre dans un format lisible par machine (droit Ă la portabilitĂ©). La personne peut demander Ă une entitĂ© d’effacer ses donnĂ©es personnelles et toute donnĂ©e personnelle qu’elle a rendue publique et d’informer toute entitĂ© Ă laquelle les renseignements ont Ă©tĂ© transfĂ©rĂ©s qu’elle doit faire de mĂŞme (droit Ă l’oubli). Une personne a Ă©galement le droit de limiter tout traitement de ses donnĂ©es dans certains cas et le droit de s’opposer Ă la prise de dĂ©cision automatisĂ©e utilisant ses renseignements personnels.
Les droits individuels confĂ©rĂ©s par le projet de loi C-11 sont dĂ©risoires si on les compare Ă ceux octroyĂ©s par le RGPD. Le projet de loi reconnaĂ®t les droits dĂ©jĂ existants d’obtenir accès aux renseignements personnels et de les modifier. Bien qu’il contienne une disposition intitulĂ©e « MobilitĂ© des renseignements personnels », selon le droit qu’elle dĂ©crit, une organisation communique Ă une organisation que la personne dĂ©signe les renseignements personnels qu’elle a recueillis auprès d’elle, Ă condition que les deux organisations soient assujetties Ă un cadre de portabilitĂ© des donnĂ©es prĂ©vu par règlement. Les modalitĂ©s de l’accession d’un droit d’accès aux renseignements au statut de droit Ă la portabilitĂ© des donnĂ©es tel que le GDPR le conçoit ne sont pas claires. De mĂŞme, le projet de loi rĂ©pond Ă la question du droit Ă l’oubli en accordant Ă la personne le droit de demander qu’une organisation efface ses renseignements personnels. L’organisation n’est aucunement tenue d’effacer quelque renseignement que ce soit qu’elle a mis Ă la disposition du public ou de demander Ă des tiers auxquels elle a transmis ces renseignements de le faire. Le projet de loi ne contient aucune indication que la personne puisse ĂŞtre autorisĂ©e Ă limiter le traitement de ses renseignements personnels par une organisation, et la personne n’a pas le droit de s’opposer Ă la prise de dĂ©cision automatisĂ©e; elle ne possède que le droit d’ĂŞtre informĂ©e que ladite prise de dĂ©cision a lieu.
Le RGPD et le projet de loi C-11 diffèrent dans un autre domaine; diffĂ©rence d’autant plus criante qu’il s’agit de l’une des omissions qui a motivĂ© la conclusion selon laquelle la lĂ©gislation du QuĂ©bec n’est pas « adĂ©quate », Ă savoir l’absence de dĂ©finition des donnĂ©es sensibles ou « catĂ©gories particulières » de renseignements personnels dont le traitement exige une protection accrue.
Divulgation aux entités gouvernementales
L’article 44 est l’un des Ă©lĂ©ments particulièrement surprenants du projet de loi C-11, surtout Ă la lumière du rĂ©cent arrĂŞt Schrems II rendu par la Cour de justice de l’Union europĂ©enne (CJUE) cet Ă©tĂ©. Il autorise une organisation Ă divulguer des renseignements personnels d’une personne Ă son insu ou sans son consentement
Ă l’institution gouvernementale — ou Ă la subdivision d’une telle institution — qui les a demandĂ©s en mentionnant la source de l’autoritĂ© lĂ©gitime Ă©tayant son droit de les obtenir et le fait que la communication est demandĂ©e aux fins du contrĂ´le d’application du droit fĂ©dĂ©ral, provincial ou Ă©tranger, de la tenue d’enquĂŞtes liĂ©es Ă ce contrĂ´le d’application ou de la collecte de renseignements en matière de sĂ©curitĂ© en vue de ce contrĂ´le d’application.
Bien que la LPRPDE comporte actuellement une telle disposition (s.-al. 7(3)c.1)ii)) dont les tribunaux se sont servis pour justifier les transferts de renseignements personnels vers les États-Unis Ă l’insu et en l’absence de consentement de la personne Ă laquelle ils se rapportent, l’art. 44 Ă©nonce prĂ©cisĂ©ment le comportement visĂ© par la CJUE dans son arrĂŞt Schrems II. En l’espèce, la CJUE a affirmĂ© que les clauses contractuelles types (CCT) utilisĂ©es par Facebook, bien que conformes au RGPD, ne protègent pas suffisamment les renseignements personnels en transit entre l’Europe et les États-Unis. Les sociĂ©tĂ©s amĂ©ricaines demeurent ouvertes aux demandes de divulgation du gouvernement des États-Unis; demandes qui prĂ©valent sur toute protection contractuelle fournie par les CCT. Si l’art. 44 du projet de loi C-11 n’est pas modifiĂ© pour en exclure les demandes Ă©manant d’une entitĂ© Ă©trangère, les organisations rĂ©gies par la LPRPDE pourraient devoir se conformer aux demandes du gouvernement des États-Unis, ce qui se traduit par leur incapacitĂ© Ă offrir la protection des renseignements personnels exigĂ©e par l’UE.
Organisations et fournisseurs de services
La relation qu’Ă©tablit le projet de loi C-11 entre les organisations et les fournisseurs de services est un troisième Ă©lĂ©ment qui pourrait compromettre le statut d’adĂ©quation du Canada. Le projet de loi tend vers une plus grande reconnaissance europĂ©enne de l’organisation en tant que responsable des renseignements qu’elle traite, Ă condition que ladite organisation dĂ©termine les fins de la collecte, de l’utilisation et de la divulgation. L’organisation doit protĂ©ger les renseignements personnels de la personne et veiller Ă ce que tout fournisseur de service avec lequel elle traite offre le mĂŞme degrĂ© de protection.
Toutefois, le projet de loi autorise l’organisation Ă transfĂ©rer des renseignements personnels Ă ses fournisseurs de services Ă l’insu et sans le consentement de la personne, en contradiction directe avec les dispositions du RGPD qui exigent que l’entitĂ© responsable du traitement (soit l’homologue europĂ©enne de l’organisation) divulgue le nom de toute entitĂ© Ă laquelle elle transfère des renseignements personnels. Cependant, de rĂ©centes dĂ©cisions rendues par la CJUE, notamment dans les affaires Fashion Id et Wirtschaftakademie, ont dĂ©montrĂ© Ă quel point cette divulgation est importante, mĂŞme si elle implique de dĂ©crire toutes les utilisations que Facebook pourrait faire des renseignements personnels pour la simple raison qu’une entitĂ© responsable du traitement a installĂ© un bouton « aimer » sur son site Web.
Le pari du projet de loi C-11
Alors que le projet de loi C-11 pourrait sembler plus accessible que la LPRPDE, avec des amendes plus salĂ©es et une structure plus coercitive, il demeure un pari sur la mesure des concessions que l’UE est prĂŞte Ă faire pour dĂ©clarer notre loi adĂ©quate. C’est un pari mal avisĂ© Ă©tant donnĂ© le message vĂ©hiculĂ© dans les rĂ©centes dĂ©cisions de la CJUE selon lequel non seulement l’Europe prend très au sĂ©rieux la protection des donnĂ©es, mais elle est dĂ©terminĂ©e Ă imposer ses normes Ă ses partenaires commerciaux. Si le Canada perd son pari, ce sont les entreprises canadiennes qui paieront le prix.
Danielle Miller Olofsson est Chef, accès Ă l'information et vie privĂ©e Ă Hydro-QuĂ©bec. Avant de se joindre Ă l’Ă©quipe d’Hydro QuĂ©bec, en sa qualitĂ© d’avocate elle a conseillĂ© des clients en matière de conformitĂ© quant Ă la protection des renseignements personnels. Elle est titulaire de certificats dĂ©livrĂ©s par l'Association internationale des professionnels de la vie privĂ©e en droit canadien, amĂ©ricain et de l’Union europĂ©enne de la protection des renseignements personnels.