L’année 2015 a été marquée par plusieurs nouveautés dans le domaine de la protection de la vie privée, qui pourraient se répercuter sur les organisations faisant affaire au Canada dans les années à venir.

UN  | CONSENTEMENT ET PUBLICITÉ COMPORTEMENTALE EN LIGNE

En avril, le Commissariat à la protection de la vie privée du Canada (le « CPVP ») a fait paraître son rapport d’enquête sur le Programme de publicité pertinente (le « PPP ») de Bell. Cette dernière créait des profils des clients de Bell Mobilité à l’aide de leurs données démographiques, de l’information sur leur compte ainsi que de certains renseignements sur leur utilisation du réseau, comme les sites Web consultés et les applications utilisées. Bell voulait se servir de ces profils pour permettre à des tiers de diffuser des publicités, facturant ainsi des frais aux annonceurs.

Le CPVP a conclu que le formulaire de consentement négatif qu’utilisait Bell dans le cadre du programme n’était pas adéquat vu la sensibilité des renseignements (notamment des adresses URL) et les attentes raisonnables des clients de Bell. Selon le CPVP, les clients de la société, ayant payé un montant considérable pour leurs services de téléphonie mobile, ne devaient raisonnablement pas s’attendre à ce que Bell tire un avantage financier de leurs renseignements sans qu’ils y aient expressément consenti. Le rapport précisait aussi qu’en l’absence du consentement du client, Bell ne pouvait pas créer le profil de ce dernier, et qu’il ne suffirait pas de simplement arrêter d’utiliser le profil à des fins de publicité ciblée. Le rapport cadre en grande partie avec les conclusions antérieures du CPVP ainsi qu’avec les lignes directrices en matière de publicité comportementale en ligne et de formulaires de consentement adéquats. Il aura néanmoins une incidence importante sur les entreprises œuvrant dans le domaine du suivi, du profilage et du ciblage en ligne, notamment dans le secteur de l’« Internet des objets », en pleine expansion.

DEUX  | LOI SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS NUMÉRIQUES

La Loi sur la protection des renseignements personnels numériques a reçu la sanction royale en juin dernier. Elle renferme des modifications apportées à la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE »), qui est la loi canadienne régissant la protection des renseignements personnels dans le secteur privé. Parmi les principales modifications d’intérêt pour les entreprises figurent les dispositions prévoyant la création d’un mécanisme de signalement obligatoire des atteintes à la protection des données. Même si elles ne sont pas encore en vigueur, ces modifications exigeront, dès leur prise d’effet, que les organisations informent le CPVP si une atteinte à la protection des données présente un « risque réel de préjudice grave » à l’endroit des intéressés.

Les organisations devront aussi aviser les institutions gouvernementales et d’autres organisations dans certaines circonstances, notamment si ces entités peuvent être en mesure de réduire ou d’atténuer le risque de préjudice à l’endroit des intéressés. En outre, les organisations devront conserver un registre de toutes les atteintes aux mesures de sécurité survenues, y compris celles ne satisfaisant pas au critère de préjudice. Toute organisation qui omet sciemment de déclarer une atteinte ou de la consigner dans un registre commet une infraction passible d’une amende pouvant aller jusqu’à 100 000 $ CA.

Ces dispositions n’entreront en vigueur qu’à la fin de 2016, mais les organisations devraient d’ores et déjà commencer à réfléchir aux politiques et procédures qu’elles doivent avoir en place pour se conformer aux exigences en matière de déclarations obligatoires et de tenue de dossiers.

TROIS  | PROTECTION DES RENSEIGNEMENTS PERSONNELS

En octobre, la Cour de justice de l’Union européenne (la « CJUE ») a rendu sa décision dans l’affaire Maximillian Schrems contre Data Protection Commissioner. Elle y a infirmé la décision de la Commission européenne permettant le transfert de données à caractère personnel entre l’Union européenne (l’« UE ») et une organisation des États-Unis, qui s’était engagée à respecter les principes de la « sphère de sécurité » entre l’UE et les États-Unis. Bien que cette décision ne s’applique pas directement au Canada, elle pourrait toucher les sociétés canadiennes exerçant des activités à l’échelle internationale. Elle ouvre aussi la porte à une contestation similaire de la décision de la Commission européenne selon laquelle la LPRPDE protège adéquatement les données à caractère personnel provenant de l’UE, qui est le mécanisme par lequel la plupart des transferts de données personnelles entre l’UE et le Canada sont sanctionnés par les lois européennes en la matière.