Après de longs débats, le projet de loi S-4, soit la Loi sur la protection des renseignements personnels numériques, a reçu la sanction royale le 18 juin 2015 et a maintenant force de loi. Le gouvernement fédéral a présenté le projet de loi S-4 le 8 avril 2014; il s’agissait de sa troisième tentative depuis 2010 de modifier la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE ») du Canada. Malgré l’adoption du projet de loi, les dispositions relatives au signalement obligatoire des atteintes à la sécurité des données n’entreront pas en vigueur avant l’adoption des règlements décrivant les exigences prescrites par la loi. Les principales modifications à la LPRPDE sont présentées ci-dessous.

EN VIGUEUR

  • La LPRPDE a été modifiée afin de clarifier la notion de consentement valable ainsi : « le consentement de l’intéressé n’est valable que s’il est raisonnable de s’attendre à ce qu’un individu visé par les activités de l’organisation comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles il a consenti. »
  • La LPRPDE contient désormais une exemption visant les « transactions commerciales » qui permet aux organisations d’utiliser et de communiquer des renseignements personnels sans le consentement de l’intéressé dans le cadre de fusions, d’acquisitions, de financements, etc. (à des fins de diligence raisonnable et après la clôture), dans la mesure où certaines conditions sont respectées.
  • Les coordonnées d’affaires ne sont plus exclues de la définition de « renseignement personnel ». Cependant, les dispositions de la LPRPDE relatives aux renseignements personnels ne s’appliqueront pas « à une organisation à l’égard des coordonnées d’affaires d’un individu qu’elle recueille, utilise ou communique uniquement pour entrer en contact — ou pour faciliter la prise de contact — avec lui dans le cadre de son emploi, de son entreprise ou de sa profession ». En outre, la définition de « coordonnées d’affaires » est vaste et comprend les adresses électroniques au travail, qui n’étaient auparavant pas exclues de la définition de « renseignement personnel » en vertu de la LPRPDE. En dépit de cette exemption, les organisations devraient garder à l’esprit le fait que toute communication transmise par courriel doit remplir les exigences prescrites par la nouvelle loi canadienne anti-pourriel (consultez notreBulletin Blakes de décembre 2013 intitulé L’heure a sonné : La loi canadienne anti-pourriel modifiera le paysage des communications électroniques).
  • Le commissaire à la protection de la vie privée (le « commissaire ») peut maintenant conclure avec une organisation un accord de conformité s’il a des motifs raisonnables de croire à l’existence, à l’imminence ou à la probabilité d’une contravention à la LPRPDE. L’accord de conformité est assorti des conditions que le commissaire estime nécessaires pour faire respecter la LPRPDE. En cas de manquement d’une organisation aux conditions d’un accord de conformité, le commissaire pourrait intenter des recours en Cour fédérale notamment en vue d’obtenir une ordonnance enjoignant à l’organisation de se conformer, ou une audience.
  • Il existe plusieurs nouvelles exceptions à l’exigence de consentement de la LPRPDE, notamment :
    • les renseignements produits par l’intéressé dans le cadre de son emploi, de son entreprise ou de sa profession peuvent être recueillis, utilisés et communiqués sans le consentement de l’intéressé, pourvu que la collecte, l’utilisation ou la communication soient compatibles avec les fins auxquelles les renseignements ont été produits (une exemption visant les « renseignements sur le produit du travail »);
    • une organisation peut communiquer des renseignements personnels à une autre organisation sans le consentement de l’intéressé si la communication est raisonnable en vue d’une enquête sur la violation d’un accord ou sur une contravention au droit fédéral ou provincial, ou en vue de la détection d’une fraude ou de sa suppression ou en vue de la prévention d’une fraude, s’il est raisonnable de s’attendre à ce que la communication effectuée au su ou avec le consentement de l’intéressé puisse compromettre la capacité de prévenir la fraude, de la détecter ou d’y mettre fin, le cas échéant;
    • les renseignements contenus dans la déclaration d’un témoin peuvent être recueillis, utilisés ou communiqués sans le consentement de l’intéressé, pourvu que la collecte, l’utilisation ou la communication soient nécessaires en vue de l’évaluation d’une réclamation d’assurance, de son traitement ou de son règlement.

NON ENCORE EN VIGUEUR

Une fois que les dispositions du projet de loi S-4 relatives au signalement obligatoire des atteintes à la sécurité des données entreront en vigueur, elles exigeront qu’une organisation avise les intéressés et le commissaire de toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels dont elle assure la gestion, lorsque « l’atteinte présente un risque réel de préjudice grave à l’endroit » des intéressés. Les institutions gouvernementales et d’autres organisations devront également être avisées dans certaines circonstances prévues par la loi, notamment si l’organisation croit que l’institution ou l’autre organisation peut être en mesure de réduire ou d’atténuer le risque de préjudice à l’endroit des intéressés. Notons que la Personal Information Protection Act de l’Alberta fixe une norme semblable pour ce qui est des atteintes à déclarer. Par contre, les organisations devront également conserver un registre de toutes les atteintes aux mesures de sécurité, y compris celles qui ne satisfont pas au critère de préjudice, et, sur demande du commissaire, lui en remettre une copie. Une organisation qui omet sciemment de déclarer une atteinte ou de la consigner dans un registre conformément à la LPRPDE commet une infraction punissable d’amendes pouvant s’élever jusqu’à 100 000 $ CA.