La Loi sur la protection des renseignements personnels numériques et la LPRPDE

Novembre 2015

Sommaire des principales modifications apportées à la Loi sur la protection des renseignements personnels et les documents électroniques

La Loi sur la protection des renseignements personnels numériques (anciennement le « projet de loi S-4 ») a reçu la sanction royale en juin 2015, ce qui a entraîné de nombreuses modifications importantes à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), loi fédérale s’appliquant aux organisations du secteur privé au Canada.

Nombre de modifications sont entrées en vigueur au moment de la sanction royale, mais celles se rapportant aux « atteintes aux mesures de sécurité » (qui incluent généralement les incidents communément appelés « atteintes à la sécurité des données ») entreront en vigueur lorsque le gouvernement fédéral aura élaboré et mis en œuvre les règlements connexes.

Validité du consentement

  • Le nouveau libellé de la LPRPDE concernant le consentement précise en quoi consiste un consentement valable.
  • Le consentement n’est considéré comme valable que s’il est raisonnable de s’attendre à ce qu’un individu visé par les activités de l’organisation comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles il a consenti.

Pouvoirs du commissaire

Accords de conformité

  • En vertu d’une nouvelle disposition, s’il a des motifs raisonnables de croire à l’existence, à l’imminence ou à la probabilité d’un fait – acte ou omission – pouvant constituer une contravention à la LPRPDE ou une omission de mettre en œuvre une recommandation énoncée dans son annexe 1, le commissaire à la protection de la vie privée peut conclure des accords de conformité pour s’assurer que les organisations se conforment à la LPRPDE.
  • En concluant un accord de conformité, une organisation s’engage à prendre certaines mesures en vue de se conformer à la LPRPDE. Ce type d’accord empêcherait le commissaire à la protection de la vie privée d’entreprendre ou de poursuivre une procédure judiciaire sous le régime de la LPRPDE à l’égard de toute question visée par l’accord.
  • Toutefois, si l’organisation n’a pas respecté les engagements pris en vertu d’un accord de conformité, le commissaire pourrait, après avoir lui envoyé un avis de défaut, soit demander à la Cour une ordonnance enjoignant à l’organisation de se conformer aux conditions de l’accord de conformité, soit intenter ou rétablir une procédure judiciaire sous le régime de la LPRPDE s’il y a lieu.

Communication d’information d’intérêt public

  • Les dispositions de la LPRPDE portant sur la confidentialité continuent de s’appliquer, mais l’éventail de renseignements que le commissaire peut communiquer dans l’intérêt public a été élargi. Le commissaire n’est plus tenu au secret en ce qui concerne les renseignements dont il prend connaissance par suite de l’exercice des attributions que la Loi lui confère s’il estime que cela est dans l’intérêt public. Auparavant, ce pouvoir discrétionnaire s’appliquait uniquement à l’information « relative aux pratiques d’une organisation en matière de gestion des renseignements personnels ».

Champ d’application

Coordonnées d’affaires

  • Les dispositions modifiées précisent que la LPRPDE ne s’applique pas aux coordonnées d’affaires – y compris les adresses de courriel – qu’une organisation recueille, utilise ou communique uniquement pour entrer en contact avec une personne dans le cadre de son emploi, de son entreprise ou de sa profession.

Élargissement de la définition d’« entreprises fédérales »

  • La définition d’« entreprises fédérales » a été remaniée pour englober « les banques étrangères autorisées ».

Individus qui postulent un emploi au sein d’une entreprise fédérale

  • La LPRPDE s’applique maintenant aux renseignements personnels des individus qui postulent un emploi au sein d’une entreprise fédérale, et non plus seulement aux employés de ces institutions.

Exceptions concernant le consentement

La collecte, l’utilisation ou la communication de renseignements personnels sans consentement est autorisée dans plusieurs situations nouvelles.

Enquêtes ou détection et prévention des fraudes

  • Les organisations peuvent maintenant communiquer des renseignements personnels à une autre organisation sans le consentement de l’intéressé dans certaines situations. Premièrement, la communication doit être raisonnable :
    • en vue d’une enquête sur la violation d’un accord ou sur la contravention à une loi qui a été commise ou est en train ou sur le point de l’être; ou
    • en vue de la détection d’une fraude ou de sa suppression ou en vue de la prévention d’une fraude dont la commission est vraisemblable.
  • Selon une exigence supplémentaire, en pareil cas, il doit être raisonnable de s’attendre à ce que la communication effectuée au su ou avec le consentement de l’intéressé compromette l’enquête ou la capacité de prévenir la fraude, de la détecter ou d’y mettre fin.
  • Les dispositions antérieures de la LPRPDE qui autorisaient la communication sans consentement aux organismes d’enquête désignés ont été abrogées.

Transactions commerciales

  • De nouvelles dispositions autorisent l’utilisation et la communication sans consentement de renseignements personnels associés aux transactions commerciales, sous réserve de certaines conditions. La notion de « transaction commerciale » est définie dans la Loi. Elle comprend, par exemple, la vente d’une entreprise, une fusion ou la location d’éléments d’actif d’une entreprise.
  • Les organisations qui sont parties à une éventuelle transaction commerciale peuvent utiliser ou communiquer des renseignements personnels seulement si ces renseignements sont nécessaires pour décider si la transaction aura lieu et, le cas échéant, pour l’effectuer. De plus, l’organisation qui reçoit les renseignements personnels doit s’être engagée à ne les utiliser et à ne les communiquer qu’à des fins liées à la transaction, à les protéger et, si la transaction n’a pas lieu, à les remettre à l’organisation qui les lui a communiqués ou à les détruire.
  • Si la transaction commerciale est effectuée, les parties doivent conclure un accord aux termes duquel elles s’engagent à limiter l’utilisation et la communication des renseignements aux fins auxquelles ils ont été recueillis, à les protéger et à donner effet à tout retrait de consentement. En outre, les renseignements doivent être nécessaires à la poursuite des activités faisant l’objet de la transaction et les parties doivent aviser les intéressés que leurs renseignements personnels ont été transférés à un nouveau propriétaire.
  • Ces dispositions ne s’appliquent pas à l’égard des transactions commerciales dont l’objectif premier est l’achat ou la location de renseignements personnels.

Déclarations de témoins pour les besoins de réclamations d’assurance

  • Les dispositions modifiées autorisent la collecte, l’utilisation et la communication des renseignements personnels sans consentement lorsqu’elles sont « nécessaires en vue de l’évaluation d’une réclamation d’assurance, de son traitement ou de son règlement ».

Identification d’un intéressé qui est blessé, malade ou décédé et prise de contact avec le plus proche parent

  • La communication sans consentement à une institution gouvernementale, à un proche parent de l’intéressé ou à son représentant autorisé est permise si elle est nécessaire aux fins d’identification d’un intéressé qui est blessé, malade ou décédé. Si l’intéressé est vivant, il faut l’informer par écrit que les renseignements ont été communiqués.
  • En outre, une organisation peut, à sa discrétion, communiquer des renseignements personnels sans le consentement de l’intéressé à une institution gouvernementale qui a demandé à obtenir les renseignements en mentionnant la source de l’autorité légitime étayant son droit de les obtenir et qui a indiqué que la communication est demandée afin d’entrer en contact avec le plus proche parent d’un individu blessé, malade ou décédé ou avec son représentant autorisé.

Exploitation financière

  • Les organisations telles que les banques ont désormais le pouvoir de communiquer des renseignements personnels sans consentement à une institution gouvernementale, au plus proche parent d’un individu ou à son représentant autorisé si elles ont des motifs raisonnables de croire que l’intéressé « a été, est ou pourrait être victime d’exploitation financière ».
  • La communication doit être faite uniquement à des fins liées à la prévention de l’exploitation ou à une enquête y ayant trait, et ce, uniquement s’il est raisonnable de s’attendre à ce que la communication effectuée au su ou avec le consentement de l’intéressé compromettrait la capacité de prévenir l’exploitation ou d’enquêter sur celle-ci.

Relation d’emploi dans les lieux de travail sous réglementation fédérale

  • Une entreprise fédérale (par exemple une société de télécommunications, de radiodiffusion ou de télédiffusion, un transporteur aérien ou une banque) peut recueillir, utiliser ou communiquer des renseignements personnels sans le consentement de l’intéressé si cela est nécessaire pour établir ou gérer la relation d’emploi ou pour y mettre fin et si elle a au préalable informé l’intéressé que ses renseignements personnels pourraient être recueillis, utilisés ou communiqués à ces fins.

Renseignements personnels produits dans le cadre d’un emploi, d’une entreprise ou d’une profession

  • Les organisations peuvent recueillir, utiliser ou communiquer sans le consentement de l’intéressé les renseignements personnels produits par celui-ci dans le cadre de son emploi, de son entreprise ou de sa profession – à condition que la collecte, l’utilisation et la communication soient compatibles avec les fins auxquelles ces renseignements ont été produits.

Limite de temps pour les demandes à la Cour

  • La limite de temps pour que le plaignant demande à la Cour d’entendre une question est passée de 45 jours à un an (ou tout délai supérieur autorisé par la Cour).

Atteintes aux mesures de sécurité – déclaration, avis et tenue d’un registre

IMPORTANT : Toutes les autres nouvelles dispositions sont entrées en vigueur au moment où la Loi a reçu la sanction royale, mais celles imposant l’obligation de déclarer les atteintes aux mesures de sécurité, d’en aviser les intéressés et de tenir un registre des atteintes entreront en vigueur uniquement lorsque les règlements définissant des exigences précises auront été élaborés et mis en œuvre. Si vous souhaitez en savoir plus sur le processus d’établissement des règlements, veuillez vous adresser à Industrie Canada.

  • Lorsqu’elle entrera en vigueur, une modification majeure fera en sorte que les organisations seront tenues de déclarer au Commissariat toute « atteinte aux mesures de sécurité » qui « présente un risque réel de préjudice grave » à l’endroit d’individus et d’en aviser les intéressés et les tierces parties concernées (dans certaines situations). La notion d’« atteinte aux mesures de sécurité », qui est définie dans la LPRPDE, comprend généralement ce que l’on appelle « atteinte à la sécurité des données ».
  • La notion de « préjudice grave » comprend notamment la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles, la perte financière et le vol d’identité. Les éléments que les organisations devront prendre en compte pour établir si une atteinte aux mesures de sécurité présente un risque réel de préjudice grave sont notamment le degré de sensibilité des renseignements personnels en cause et la probabilité que les renseignements aient été mal utilisés ou sur le point de l’être (ainsi que tout autre élément prévu par règlement).
  • Les organisations devront déclarer les atteintes au Commissariat et en aviser les intéressés le plus tôt possible après avoir conclu qu’il y a eu atteinte. Elles seront également tenues d’en aviser toute autre organisation ou toute institution gouvernementale si elles croient que celle-ci peut être en mesure de réduire le risque ou d’atténuer le préjudice. Par exemple, un détaillant pourrait aviser une banque émettrice de cartes de crédit ou un organisme chargé de l’application de la loi. En pareil cas, le consentement des intéressés ne serait pas requis.
  • Les organisations devront également tenir un registre de toutes les atteintes à la sécurité des renseignements personnels et, sur demande du Commissariat, lui en remettre copie. Les organisations qui omettent sciemment de déclarer au Commissariat une atteinte présentant un risque réel de préjudice grave, d’en aviser les intéressés ou de tenir un registre de toutes les atteintes s’exposeront à des amendes pouvant atteindre 100 000 $.
  • Dans les règlements connexes qu’il élaborera, le gouvernement fédéral énoncera des exigences plus précises concernant les atteintes.
  • Jusqu’à l’entrée en vigueur des dispositions, la déclaration des atteintes demeurera volontaire. Nous continuons d’exhorter les organisations à déclarer les atteintes au Commissariat en se rendant sur notre page Web consacrée au signalement des atteintes à la vie privée et d’en aviser les clients touchés s’il y a lieu comme le prévoient nos lignes directrices sur les étapes à suivre par les organisations en cas d’atteintes à la vie privée.
Date de modification :