Le projet de loi S-4 : Loi modifiant la Loi sur la protection des renseignements personnels et les documents électroniques et une autre loi en conséquence (titre abrégé : Loi sur la protection des renseignements personnels numériques) a été déposé au Sénat le 8 avril 2014, et a été adopté avec une seule modification à la troisième lecture le 16 juin 2014.

Le projet de loi a été adopté à la première lecture à la Chambre des communes et a été remis au Comité permanent de l’industrie, des sciences et de la technologie le 20 octobre 2014. Le rapport du Comité a été adopté et présenté à la Chambre des communes le 22 avril 2015. (Pour voir le statut actuel du projet de loi, cliquez ici.)

Le projet de loi S-4 modifie la LPRPDE de plusieurs façons notamment en :

  • Permettant la divulgation des renseignements personnels d’un individu à leur insu ou sans leur consentement dans certaines circonstances, y compris le paragraphe 6(10), qui permet la divulgation sans le consentement de l’intéressé à une autre organisation afin d’enquêter sur la violation d’un accord ou sur la contravention au droit fédéral ou provincial qui a été commise ou est en train ou sur le point de l’être, s’il est raisonnable de s’attendre à ce que la communication effectuée au su ou avec le consentement de l’intéressé compromettrait l’enquête.
     
  • Exigeant des organisations qu’elles prennent diverses mesures dans les cas d’atteintes aux mesures de sécurité : l’article 10 comporte une nouvelle division 1.1 de la LPRPDE, traitant les « atteintes aux mesures de sécurité » et comportant les nouveaux articles 10.1 à 10.3 de la Loi. Le nouvel article 10.1 contient un critère d’avis d’atteinte aux mesures de sécurité qui s’inspire de celui trouvé dans la Personal Information Protection Act de l’Alberta, la seule loi au Canada qui contient actuellement des dispositions liées à un avis d’atteinte aux mesures de sécurité. 

    Une organisation doit rapporter toute violation au commissaire et aviser la personne concernée « s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un risque réel de préjudice grave à l’endroit d’un individu ». La définition de « préjudice grave » est large et comprend la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte, et la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles.
     
  • Créant des offenses pour le défaut de se conformer aux obligations liées aux atteintes à la sécurité des données, et permettant au commissaire à la protection de la vie privée, dans certaines circonstances, de conclure des accords de conformité avec des organisations.

Dispositions relatives à des sanctions plus sévères

L’article 24 du projet de loi S-4 modifie également l’article 28 de la LPRPDE afin de stipuler que chaque organisation qui contrevient sciemment aux nouveaux articles de la LPRPDE exigeant des organisations qu’elles maintiennent un registre et rapportent toute atteinte aux mesures de sécurité ou entrave l’action du commissaire dans le cadre de l’examen d’une plainte ou d’une vérification, s’expose à des amendes pouvant aller jusqu’à 100 000 $ pour des offenses punissables par mise en accusation ou des amendes pouvant aller jusqu’à 10 000 $ pour des offenses punissables par procédure sommaire. Cette disposition rapproche ainsi la LPRDPE de la Loi canadienne anti-pourriel (LCAP) qui prévoit des sanctions pécuniaires pour des violations de la Loi pouvant aller jusqu’à 1 000 000 $ pour les individus et à 10 000 000 $ pour les autres entités.

Réactions au projet de loi

Le Commissariat à la protection de la vie privée (CPVP) a soutenu le projet de loi dans sonmémoire présenté au Comité sénatorial permanent des transports et des communicationsdatant du 4 juin 2014, énonçant qu’en général, les modifications proposées vont renforcer la protection des droits de la vie privée des Canadiens en ce qui a trait à leurs interactions avec des entreprises du secteur privé, relever le niveau de responsabilité des entreprises et inciter les organisations à se conformer à la loi.

Dans son mémoire présenté au Comité sénatorial permanent de l’industrie, des sciences, de la technologie du 12 février 2015, le CPVP a  appuyé son mémoire de 2014, tout en fournissant des commentaires supplémentaires à la lumière de l’arrêt fondamental de la Cour suprême du Canada dans le dossier R. c. Spencer. Le CPVP a noté qu’il était très complexe de mener une analyse sur l’attente raisonnable en matière de respect de la vie privée selon la LPRPDE, et que cela dépend grandement du contexte, ce qui plonge les organisations dans l’incertitude et l’ambiguïté lorsqu’il s’agit de savoir quand elles peuvent ou non communiquer des renseignements personnels sans mandat.

Ainsi, le CPVP a enjoint le Comité de clarifier dans quelles circonstances les pouvoirs de common law pour obtenir des renseignements sans mandat peuvent être utilisés. Le CPVP a notamment recommandé qu’un cadre juridique, basé sur l’arrêt Spencer, est nécessaire à des fins de clarté et d’orientation afin d’aider les organisations à respecter la LPRPDE et pour s’assurer que les autorités gouvernementales respectent l’arrêt de la Cour suprême du Canada. Le CPVP a conclu que l’adoption du projet de loi S-4 avec quelques ajustements renforcera la LPRPDE et aidera le CPVP à mieux protéger la population canadienne tout en traitant les nouvelles questions touchant la protection de la vie privée au XXIe siècle.

Par ailleurs, des intervenants et des témoins devant le Comité ont soulevé diverses préoccupations relatives à la protection de la vie privée des particuliers. En avril 2014, le professeur de droit de l’Université d’Ottawa Michael Geist a affirmé (en anglais seulement) que le projet de loi augmenterait les possibilités de divulguer des renseignements personnels sans mandat à n’importe qui, et non pas seulement à la police. Me Geist a également fait une présentation devant le Comité permanent de l’industrie, des sciences et de la technologie (en anglais seulement) le 10 mars 2015, et a fait remarqué que l’exception sur la divulgation volontaire dont le libellé est en termes généraux, va à l’encontre de décisions des tribunaux canadiens, y compris de l’arrêt Spencer, dans lequel la Cour a tranché que les Canadiens ont une attente raisonnable en ce qui a trait à la protection de leurs renseignements personnels.

Me Geist a également souligné que le projet de loi manque de transparence et d’exigences en fait de production de rapports liés à la divulgation de renseignements personnels. Il estime que cette omission pourrait être rectifiée en ajoutant des dispositions qui exigeraient des organisations de produire des rapports sur le nombre de divulgations effectuées sans consentement ou surveillance de la cour et d’en aviser les personnes touchées.