Dans le cadre de son projet de loi intitulé Loi de 2020 sur la mise en œuvre de la Charte du numérique (LMCN), le gouvernement du Canada entend établir une nouvelle loi sur la vie privée, la Loi sur la protection de la vie privée des consommateurs (LPVPC), qui est destinée au secteur privé. Si elle est adoptée, la LPVPC aura pour effet d'accroître considérablement les mécanismes de protection des renseignements personnels des Canadiens. Les Canadiens pourront mieux contrôler le traitement de leurs renseignements personnels et bénéficier d'une transparence accrue en ce qui a trait à l'utilisation de ces renseignements par le secteur privé. La LMCN prévoit aussi de nouvelles conséquences majeures pour le non-respect de la loi, y compris des sanctions pécuniaires élevées dans les cas de violation.
Que signifie la Loi de 2020 sur la mise en œuvre de la Charte du numérique pour moi?
- Consentement valable : La réforme des règles sur le consentement permettra de fournir aux particuliers l'information en langage clair dont ils ont besoin pour faire des choix judicieux sur l'utilisation de leurs renseignements personnels.
- Portabilité des données : Les particuliers pourront mieux contrôler leurs renseignements personnels et demander le transfert de ces renseignements d'une organisation à l'autre. Par exemple, ils pourront demander à leur banque de communiquer leurs renseignements personnels à d'autres institutions financières.
- Élimination des renseignements personnels et retrait du consentement : Vu l'accessibilité de l'information en ligne, il est difficile pour les particuliers de contrôler leur identité numérique. La loi permettra aux particuliers de demander aux organisations d'éliminer leurs renseignements personnels et, dans la plupart des cas, de retirer leur consentement à l'utilisation de leurs renseignements.
- Transparence des algorithmes : La LPVPC contient de nouvelles règles exigeant l'utilisation transparente des systèmes automatisés qui aident à prendre des décisions, comme les algorithmes et l'intelligence artificielle. Les entreprises devront faire preuve de transparence au sujet de l'utilisation qu'elles font de tels systèmes dans le but de faire des prédictions et des recommandations ou de prendre des décisions ayant des répercussions importantes sur telle ou telle personne. Ces personnes auront le droit de demander que l'entreprise explique de quelle manière elle en est venue à ces prévisions, recommandations ou décisions en s'appuyant sur un système automatisé de prise de décisions, et aussi comment cette information a été obtenue.
- Renseignements dépersonnalisés : La pratique du retrait des identificateurs directs (comme le nom) des renseignements personnels est de plus en plus fréquente, mais les règles qui gouvernent l'utilisation subséquente de cette information ne sont pas claires. La loi clarifiera que ces renseignements doivent être protégés et qu'ils peuvent être utilisés sans le consentement de la personne seulement en certains cas très précis.
La nouvelle loi va-t-elle limiter l'innovation?
Le Canada doit évoluer au même rythme que les autres pays qui prennent des mesures rigoureuses pour soutenir la confiance et protéger la vie privée. Par exemple, l'Union européenne et les États-Unis ont de nouvelles lois sur la vie privée et la protection en ligne. La LPVPC proposée est une étape importante. Nous voulons que les Canadiens sachent que leurs données sont en sécurité et que leur vie privée est respectée. L'innovation, qui est le moteur de toute économie robuste, sera aussi bien encadrée. Les changements en faveur de l'innovation en entreprises incluent les suivants :
- Consentement simplifié : Dans l'économie numérique, l'utilisation des renseignements personnels est souvent essentielle à la livraison d'un produit ou à la prestation d'un service. Les consommateurs comprennent bien que leurs renseignements peuvent être utilisés à cette fin. À l'heure actuelle, les organisations doivent obtenir le consentement de leurs clients pour de telles utilisations, ce qui allonge et rend inaccessibles les politiques sur la vie privée et augmente le fardeau bureaucratique. La loi éliminera le fardeau de devoir obtenir le consentement quand ce consentement ne procure pas de protection significative de la vie privée.
- Données pour le bien commun : Améliorer l'accès aux données et la communication des données entre les secteurs privé et public peut contribuer à résoudre certains de nos problèmes les plus importants dans des secteurs comme la santé publique, l'infrastructure et la protection de l'environnement. La loi permettra aux entreprises de divulguer des données dépersonnalisées à des organismes publics (en certaines circonstances) pour le bien commun.
- Reconnaissance des codes de pratique et des régimes de certification : Pour aider les organismes à comprendre leurs obligations sous le régime de la LPVPC, et afin de démontrer la conformité, la loi permettra aux organisations de demander au commissaire à la vie privée d'approuver les codes de pratiques et les régimes de certification qui établissent comment la LPVPC s'applique à certaines activités et à certains secteurs ou modèles d'entreprise.
Application de la loi et contrôles renforcés
Modèle d'application exhaustif et accessible : En vertu de la LPVPC, le commissaire à la vie privée disposera de pouvoirs accrus pour rendre des ordonnances, notamment pour forcer un organisme à respecter les exigences de la LPVPC et pour demander à une entreprise de cesser de recueillir des données ou d'utiliser des renseignements personnels. De plus, le commissaire à la vie privée pourra aussi recommander que le Tribunal de la protection des renseignements personnels et des données impose des amendes. Pour les organisations délinquantes, la loi prévoit que les sanctions administratives pécuniaires pourraient aller jusqu'à 3 % du revenu global ou 10 millions de dollars. Elle prévoit aussi une gamme plus élevée de sanctions pour les manquements les plus sévères, soit jusqu'à 5 % du revenu global ou 25 millions de dollars.
Qu'en est-il des médias sociaux?
Les plateformes de médias sociaux sont déjà soumises aux mêmes lois que les autres organisations présentes sur le marché canadien. En vertu de la LPVPC, les Canadiens pourront demander que tous leurs renseignements affichés sur ces plateformes soient supprimés de manière permanente. S'ils souhaitent retirer leur consentement ou si leurs renseignements ne sont plus nécessaires, les Canadiens pourront demander à ce que ces renseignements soient détruits, d'autant plus que le commissaire à la vie privée aura le pouvoir d'ordonner à la compagnie de média social de se conformer, y compris de lui ordonner de cesser de recueillir des données ou d'utiliser des renseignements personnels.