Le projet de loi C-27 au Canada : Tout ce qu'il faut savoir

L'évolution constante de la Privacy et la démocratisation de nouvelles technologies telles que l'intelligence artificielle (IA) et le machine learning posent de nouveaux défis aux autorités de protection des données, et les confrontent à la nécessité de moderniser les lois existantes afin de rester en phase avec ces nouveaux développements.

À cet égard, le Canada a présenté un nouveau projet de loi fédéral sur la protection des données, le projet de loi C-27, qui est sur le point de remplacer la loi sur la protection des données en vigueur, la LPRPDE.

Cet article présente le projet de loi C-27 et ses exigences afin que vous puissiez vous préparer en conséquence.

Sommaire

• Qu'est-ce que le projet de loi C-27 du Canada ?

• Quelles sont les principales exigences du projet de loi C-27 et comment s'y conformer ?

• Comment Didomi peut vous aider à vous préparer au projet de loi C-27 ?

• Foire à Questions (FAQ)

Qu'est-ce que le projet de loi C-27 du Canada ?

Le projet de loi C-27 est le projet de loi sur la protection de la vie privée au Canada. Une fois promulgué, il réglementera la collecte, l'utilisation et la divulgation des informations personnelles au Canada au niveau fédéral et s'appliquera aux organisations du secteur privé. 

Il est donc essentiel que les entreprises opérant au Canada se familiarisent avec les exigences du projet de loi.  

Par exemple, la nouvelle loi clarifie les règles et les exceptions relatives à l'obtention du consentement des consommateurs, introduit de nouveaux droits tels que le droit à la portabilité des données, et exige des entreprises qu'elles mettent en œuvre un programme de gestion de protection des renseignements personnels.

En outre, la nouvelle loi introduit de nouvelles exigences pour l'utilisation des systèmes d'intelligence artificielle (IA) et confère au commissaire à l'information et au tribunal de nouveaux pouvoirs, allant de la vérification des entreprises à l'imposition d'amendes pour un éventail plus large de questions de non-conformité.

Le projet de loi C-27 se compose de trois lois distinctes : 

Loi sur la protection de la vie privée des consommateurs 

La loi sur la protection de la vie privée des consommateurs (partie du projet de loi C-27) révisera et remplacera la loi actuelle sur la protection de la vie privée, la LPRPDE. 

Loi sur le Tribunal de la protection des renseignements personnels

Cette loi institue le Tribunal de la protection des renseignements personnels et des données ("le Tribunal") et lui confère le pouvoir d'imposer des amendes aux entreprises qui ne se conforment pas aux exigences de la Loi sur la protection de la vie privée des consommateurs.

Loi sur l'intelligence artificielle et les données 

Cette nouvelle loi vise à introduire de nouvelles limites à l'utilisation des systèmes d'IA tels que les technologies basées sur le machine learning et le deep learning.

Quelles sont les principales exigences du projet de loi C-27 et comment s'y conformer ?

Dans cette section, nous vous aiderons à comprendre les principales exigences de conformité que vous devez respecter en vertu du projet de loi C-27.

Exigences renforcées en matière de consentement

En vertu de la loi sur la protection de la vie privée des consommateurs, la règle générale est qu'une organisation doit obtenir le consentement explicite des personnes avant de collecter, de partager ou de divulguer des informations personnelles.

Toutefois, avant d'obtenir un consentement valable de la part des personnes concernées, vous devez d'abord les informer des points suivants :

• La liste des types d'informations personnelles que vous collectez, utilisez ou divulguez;

• Les finalités de la collecte, de l'utilisation ou de la divulgation des informations personnelles ;

• La manière dont vous collecterez, utiliserez et divulguerez les données à caractère personnel, ainsi que les conséquences raisonnablement prévisibles de ces activités de traitement, le cas échéant ;

• Les noms ou catégories de tiers auxquels vous divulguerez les données à caractère personnel.

Une autre condition essentielle pour obtenir le consentement est de fournir les informations susmentionnées dans un langage clair afin qu'elles soient faciles à comprendre pour une personne raisonnable.

En ce qui concerne le délai, le consentement doit être obtenu avant ou au moment de la collecte des données à caractère personnel.

Programme de gestion de la protection des renseignements personnels

L'article 9 de la loi sur la protection de la vie privée des consommateurs impose aux organisations de mettre en œuvre et de maintenir un programme de gestion de la protection des renseignements personnels qui doit comprendre "les politiques, les pratiques et les procédures que l'organisation a mises en place pour s'acquitter de ses obligations en vertu de la présente loi".

La Loi sur la protection de la vie privée des consommateurs stipule que ces politiques, pratiques et procédures peuvent être liées à :

• La protection des renseignements personnels;

• La façon dont les demandes d'information et les plaintes sont reçues et traitées ;

• La formation et l'information fournies au personnel de l'organisation concernant ses politiques, pratiques et procédures ;

• L'élaboration de documents destinés à expliquer les politiques et procédures de l'organisation.

Par exemple, une politique de traitement des personnes concernées, une politique de sécurité informatique ou une politique de transfert des données à l'échelle de l'organisation peuvent vous aider à vous conformer à cette exigence.

Lors de la mise en place de ces politiques et procédures, vous devez tenir compte du degré de sensibilité des informations personnelles et de la quantité d'informations personnelles que vous traitez.

Transparence

L'article 62 de la loi sur la protection de la vie privée des consommateurs impose aux organisations d'être transparentes quant aux informations personnelles qu'elles collectent et utilisent et à la manière dont elles traitent ces données, en rendant ces informations facilement accessibles. Elles doivent également informer les personnes de la manière dont elles divulguent les informations personnelles à des tiers.

En tant qu'organisation, vous devez mettre les informations suivantes à la disposition de vos utilisateurs :

• Le type d'informations personnelles dont vous avez le contrôle ;

• La manière dont vous utilisez ces informations personnelles et dont vous appliquez les exceptions au consentement (intérêt légitime, par exemple);

• Votre utilisation de tout système de décision automatisé pour faire des prédictions, des recommandations ou des décisions sur des personnes qui pourraient avoir un impact significatif sur elles ;

• La manière dont vous effectuez tout transfert ou toute communication internationale ou interprovinciale d'informations personnelles pouvant raisonnablement avoir des répercussions sur la vie privée ;

• Vos périodes de conservation des informations personnelles sensibles ;

• La manière dont les utilisateurs peuvent faire une demande d'élimination ou d'accès ;

• Les coordonnées des personnes à contacter en cas de plainte ou de demande d'information.

Il est vivement recommandé de mettre en œuvre une politique publique de protection de la vie privée rédigée dans un langage clair.

Finalité appropriée

En vertu de l'article 12 de la loi sur la protection de la vie privée des consommateurs, vous ne pouvez légalement traiter des données à caractère personnel que si la manière et la finalité de la collecte, du partage et de l'utilisation de ces données sont considérés comme appropriés. Ce caractère approprié sera évalué du point de vue d'une personne raisonnable.

Pour déterminer si les modalités et les finalités de la collecte et de l'utilisation des données sont appropriées, les éléments suivants seront pris en compte : 

• La sensibilité des informations personnelles ;

• La question de savoir si les finalités correspondent à des besoins professionnels légitimes de l'organisation ;

• L'efficacité de la collecte, de l'utilisation ou de la divulgation pour répondre aux besoins professionnels légitimes de l'organisation ;

• S'il existe des moyens moins intrusifs d'atteindre ces objectifs à un coût et avec des avantages comparables ;

• La question de savoir si l'atteinte à la vie privée de l'individu est proportionnelle aux avantages, compte tenu des mesures, techniques ou autres, mises en œuvre par l'organisation pour atténuer l'impact de l'atteinte à la vie privée sur l'individu.

Mesures de sécurité

Pour se conformer à la loi sur la protection de la vie privée des consommateurs, les organisations doivent mettre en œuvre des mesures organisationnelles, techniques, contractuelles et physiques appropriées pour garantir la sécurité des informations personnelles.

Elles doivent notamment mettre en place un mécanisme permettant d'authentifier l'identité des personnes dont elles collectent et traitent les données.

Pénalités et amendes

Le projet de loi C-27 confère au Tribunal le pouvoir d'imposer des amendes aux entreprises qui ne respectent pas leurs obligations en matière de protection des renseignements personnels en vertu de la Loi. 

En vertu du projet de loi C-27, les organisations peuvent se voir imposer les catégories d'amendes suivantes en fonction de la violation commise. L'amende maximale est de 10 000 000 $ ou de 3 % du revenu mondial brut de l'organisation au cours de l'exercice précédent (selon le montant le plus élevé).

Toute organisation qui enfreint sciemment la loi ou fait obstruction au commissaire dans le cadre d'une enquête peut se rendre coupable :

• D'un acte criminel et est passible d'une amende de 25 000 000 $ ou de 5 % du revenu mondial brut de l'organisation au cours de l'exercice précédent (le montant le plus élevé étant retenu)

ou

• D'une infraction punissable sur déclaration de culpabilité par procédure sommaire, et passible d'une amende de 20 000 000 $ ou de 4 % du revenu mondial brut de l'organisation au cours de l'exercice précédent (le montant le plus élevé étant retenu).

En outre, l'article 107 de la loi sur la protection des consommateurs permet aux particuliers de réclamer des dommages-intérêts lorsque leur entreprise ne se conforme pas aux exigences. 

Comment Didomi peut vous aider à vous préparer au projet de loi C-27 ?

En vertu du projet de loi C-27, le consentement est le principal fondement de la collecte, de l'utilisation et du partage des renseignements personnels. 

Dans le projet de loi C-27, le consentement est soumis à des exceptions étroites telles que les intérêts légitimes (sous certaines conditions), les transferts à un fournisseur de services et des activités commerciales définies telles que la recherche interne. 

Par exemple, lorsque vos clients s'inscrivent à vos services sur votre site web ou lorsque vous affichez des publicités ciblées sur votre plateforme ou votre application mobile, vous devez obtenir un consentement valide pour collecter et partager des informations personnelles, à moins que des exceptions ne s'appliquent.

Afin de découvrir comment notre Consent Management Platform (CMP) peut vous aider à reccueillir, stocker et utiliser un consentement valide en accord avec le projet loi C-27, contactez notre équipe:

Foire à Questions (FAQ)

Quand le projet de loi C-27 prendra il effet ?

Le projet de loi C-27 est toujours en cours d'examen au Parlement et n'est pas encore entré en vigueur.

Quelles sont les amendes prévues par le projet de loi C-27 ?

Les organisations peuvent se voir infliger plusieurs catégories d'amendes en fonction de la violation commise, jusqu'à 25 000 000 $ ou 5 % du revenu mondial brut de l'organisation au cours de l'exercice précédent, le montant le plus élevé étant retenu.

Quelles sont les différents composants du projet de loi C-27 ?

Le projet de loi comprend trois parties :

1. La loi sur la protection de la vie privée des consommateurs

2. La loi sur le Tribunal de la protection des renseignements personnels

3. La loi sur l'intelligence artificielle et les données 

Qui impose des sanctions en cas de violation du projet de loi C-27 ?

Le nouveau Tribunal de la protection des données peut imposer des amendes en vertu de la Loi sur le Tribunal de la protection des renseignements personnels et des données (projet de loi C-27).

Le projet de loi C-27 comprend-t-il un droit à la portabilité des données ?

À l'instar du règlement général sur la protection des données (RGPD) de l'UE, le projet de loi C-27 prévoit un droit à la portabilité des données.