Sixième rapport d'étape sur les évolutions en matière de législation sur la protection des données au Canada

Rapport à la Commission européenne, décembre 2019

Les informations sur la publication

Cette publication est également offerte en ligne http://www.ic.gc.ca/eic/site/113.nsf/fra/accueil

Pour obtenir un exemplaire de cette publication ou un format substitut (Braille, gros caractères, etc.), veuillez remplir le formulaire de demande de publication : www.ic.gc.ca/demande-publication ou communiquer avec:

Centre de services Web
Innovation, Sciences et Développement économique Canada
Édifice C.D. Howe
235, rue Queen
Ottawa (Ontario) K1A 0H5
Canada

Téléphone (sans frais au Canada) : 1-800-328-6189
Téléphone (international) : 613-954-5031
TTY (pour les personnes malentendantes) : 1-866-694-8389
Les heures de bureau sont de 8 h 30 à 17 h (heure de l'Est)
Courriel : ISDE@Canada.ca

Autorisation de reproduction

À moins d'indication contraire, l'information contenue dans cette publication peut être reproduite, en tout ou en partie et par quelque moyen que ce soit, sans frais et sans autre permission du ministère de l'Industrie, pourvu qu'une diligence raisonnable soit exercée afin d'assurer l'exactitude de l'information reproduite, que le ministère de l'Industrie soit mentionné comme organisme source et que la reproduction ne soit présentée ni comme une version officielle ni comme une copie ayant été faite en collaboration avec le ministère de l'Industrie ou avec son consentement.

Pour obtenir l'autorisation de reproduire l'information contenue dans cette publication à des fins commerciales, veuillez demander l'affranchissement du droit d'auteur de la Couronne : www.ic.gc.ca/demande-droitdauteur ou communiquer avec le Centre de services Web aux coordonnées ci-dessus.

© Sa Majesté la Reine du Chef du Canada, représentée par le ministre de l'Industrie, (2018).

N° de catalogue Iu37-8/6-2020F-PDF
ISBN 978-0-660-33943-6

N.B. Dans cette publication, la forme masculine désigne tant les femmes que les hommes.

Also available in English under the title Sixth Update Report on Developments in Data Protection Law in Canada.

1.0 Introduction

1.1 En décembre 2001, la Commission européenne (CE) a rendu la Décision 2002/2/CE en vertu du paragraphe 25(6) de la Directive 95/46/CE. L'on y considère que le Canada assure un niveau de protection adéquat des données à caractère personnel transférées de l'Union européenne (UE) aux destinataires assujettis à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). La décision d'adéquation a été réaffirmée en 2006.

1.2 Conformément à l'article 2 de la Décision d'exécution (UE) 2016/2295, qui a modifié la Décision 2002/2/CE, la CE est maintenant tenue de suivre en permanence les évolutions du cadre juridique canadien, y compris les évolutions concernant l'accès des autorités publiques aux données à caractère personnel, afin d'évaluer si le Canada continue d'assurer un niveau adéquat de protection des données à caractère personnel.

1.3 En mai 2017, dans le cadre des efforts continus qui sont déployés pour aider la Commission à s'acquitter de ses obligations de surveillance, les fonctionnaires ont transmis à la CE le premier d'une série de rapports semestriels traitant des évolutions du cadre canadien de la protection des donnéesFootnote 1.

1.4 L'obligation de surveillance de la CE a été réaffirmée en mai 2018 par l'application du paragraphe 45(4) du Règlement général sur la protection des données (RGPD), qui oblige la Commission à continuellement surveiller les évolutions liées à la vie privée au Canada qui sont susceptibles d'avoir une incidence sur le fonctionnement de la décision d'adéquation existante. Reconnaissant que cette activité de surveillance se poursuit dans le cadre de l'évaluation et de l'examen du RGPD, qui doit inclure tous les quatre ans à compter de mai 2020 un examen des décisions existantes en matière d'adéquation, le présent rapport fait état des évolutions du cadre de protection des données au Canada qui ont été observées depuis le cinquième rapport d'étape, préparé en juin 2019.

2.0 Évolutions en matière de législation sur la protection des renseignements personnels dans le secteur privé au Canada

Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)

2.1 La Loi n'a fait l'objet d'aucune évolution ou modification législative depuis le dernier rapport.

Loi canadienne anti-pourriel (LCAP)

2.2 Le Rapport de la mesure du rendement 2018-2019 de la LCAP, le deuxième de ces rapports annuels, sera disponible en ligneFootnote 2. Le rapport annuel donne un aperçu des éléments de gouvernance et de conformité de la LCAP et fournit des renseignements statistiques provenant du Centre de notification des pourriels.

2.3 La Loi n'a fait l'objet d'aucune évolution ou modification législative depuis le dernier rapport.

3.0 Initiatives législatives

Entrée en vigueur d'une loi contenant des mesures d'examen et de surveillance en matière de sécurité nationale

3.1 Le projet de loi C-59, Loi de 2017 sur la sécurité nationale, a créé un nouvel organe d'examen, l'Office de surveillance des activités en matière de sécurité nationale et de renseignement, et un nouvel organisme de surveillance, le Bureau du commissaire au renseignement. Les deux ont été établis en juillet 2019. L'Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSASNR) a été établi aux termes de la Loi sur l'Office de surveillance des activités en matière de sécurité nationale et de renseignement, et il a le pouvoir d'examiner la légalité, le caractère raisonnable et la nécessité de toute activité gouvernementale ayant trait au renseignement de sécurité nationale et d'en faire rapport. L'OSASNR enquête également sur les plaintes qui sont déposées contre le Service canadien du renseignement de sécurité (SCRS) et le Centre de la sécurité des télécommunications (CST) ainsi que sur les plaintes relatives à la sécurité nationale qui sont déposées contre la Gendarmerie royale du Canada. Il reçoit également des plaintes au sujet de refus ou de révocations d'habilitations de sécurité. L'Office de surveillance jouit d'un accès sans entraves à tous les renseignements, sauf les documents confidentiels du Cabinet.

3.2 Le Bureau du commissaire au renseignement a été constitué en vertu de la Loi sur le commissaire au renseignement. Le commissaire, qui doit être un juge à la retraite d'une cour supérieure, assure une surveillance accrue de certaines activités de renseignement et de cybersécurité énoncées dans les lois régissant le CST et le SCRS. Il approuve certaines autorisations accordées et déterminations effectuées par le ministre de la Défense nationale et le ministre de la Sécurité publique après avoir examiné le caractère raisonnable de leurs conclusions.

Rapports du Comité des parlementaires sur la sécurité nationale et le renseignement

3.3 Le Comité des parlementaires sur la sécurité nationale et le renseignement (CPSNR), dont le travail est complémentaire à l'examen de la conformité qu'effectue l'OSASNR, réalise des examens stratégiques des activités de sécurité nationale et de renseignement à l'échelle du gouvernement fédéral. Le CPSNR a présenté au premier ministre son rapport spécial de 2019 sur la collecte, l'utilisation, la conservation et la diffusion de renseignements sur les Canadiens par le ministère de la Défense nationale et les Forces armées canadiennes. Ce rapport spécial et le deuxième rapport annuel du Comité devraient être déposés au Parlement au début de 2020.

4.0 Activités des comités parlementaires

Étude sur la protection des données personnelles dans les services gouvernementaux numériques

4.1 Le 18 juin 2019, le Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique de la Chambre des communes a publié le rapport de son étude sur les services gouvernementaux numériquesFootnote 3 pour comprendre ce que le gouvernement peut faire pour améliorer les services aux Canadiens tout en protégeant leur vie privée et leur sécurité. Le Comité a entendu trente-trois témoins et reçu quatre mémoires. Son rapport fait huit recommandations au gouvernement fédéral sur la protection des renseignements personnels et les services gouvernementaux numériques :

  • Moderniser la Loi sur la protection des renseignements personnels et la Loi sur la protection des renseignements personnels et les documents électroniques en adoptant les recommandations du Comité relatives à ces lois dans les rapports précédents.
  • S'engager à respecter la minimisation des données, à dépersonnaliser tous les renseignements personnels à la source lorsqu'ils sont recueillis à des fins de recherche ou à des fins semblables et à clarifier les règles de consentement concernant l'échange de renseignements personnels entre ministères et organismes gouvernementaux.
  • S'efforcer d'informer les Canadiens au sujet du passage prochain au gouvernement numérique et de les faire participer à l'élaboration et au développement de l'infrastructure nécessaire à la prestation des services gouvernementaux numériques.
  • S'efforcer d'assurer la collaboration et le partage d'information entre les ministères et organismes gouvernementaux en matière d'implantation de services gouvernementaux numériques afin d'assurer le déploiement plus efficace de ces services à grande échelle.
  • Encourager la connexion des diverses bases de données détenues par des ministères et organismes gouvernementaux à un réseau fédérateur afin d'assurer le partage sécurisé et contrôlé de données.
  • Veiller à ce qu'un accès fiable et abordable à Internet soit étendu aux régions rurales et éloignées, même si les services sont numérisés dans les régions déjà desservies.
  • Consulter les peuples autochtones dans le cadre de l'élaboration et du développement des services gouvernementaux numériques.
  • Établir, en partenariat avec les gouvernements provinciaux, municipaux et autochtones, des principes directeurs relatifs à la protection des renseignements personnels, à la cybersécurité et à la littéracie numérique dans des projets de ville intelligente.

4.2 Le Comité insiste sur l'idée que le passage au gouvernement numérique ne devrait pas se faire au détriment de la protection de la vie privée des Canadiens. Le gouvernement étudiera les recommandations du Comité dans le cadre de l'examen qu'il est à faire de la Loi sur la protection des renseignements personnels et de la Loi sur la protection des renseignements personnels et les documents électroniques.

5.0 Décisions judiciaires récentes

Il n'y a aucune mise à jour à signaler.

6.0 Activités du Commissariat à la protection de la vie privée

Rapport annuel au Parlement

6.1 En décembre 2019, le Commissariat à la protection de la vie privée (CPVP) a publié son rapport annuel pour 2018-2019Footnote 4. Le rapport fait état des enquêtes du CPVP sur Facebook et Equifax, et fait une mise à jour des principales tendances opérationnelles du CPVP. Par exemple, le CPVP a vu le nombre de signalements d'atteintes à la protection des données augmenter de 500 % depuis novembre 2018, date à laquelle la déclaration de ces atteintes est devenue obligatoire en vertu de la LPRPDE. Fait à noter, le CPVP est d'avis que cette augmentation spectaculaire tient en partie au fait que de nombreuses entreprises jouent trop de prudence et font trop de déclarations. Par exemple, le CPVP a constaté que 33 % des rapports qu'il avait reçus en mars 2019 n'atteignaient pas le seuil de déclaration du « risque réel de préjudice grave » exigé par la Loi.

6.2 Le rapport annuel comprend également des recommandations pour réformer la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et la Loi sur la protection des renseignements personnels en plus des résultats de plusieurs enquêtes très médiatisées lancées en vertu de ces lois. Dans le rapport, le commissaire estime que le point de départ de la réforme législative consiste à donner aux nouvelles lois sur la protection des renseignements personnels des assises juridiques. Le commissaire demande également la mise en place de nouveaux mécanismes d'application de la loi afin de pouvoir rendre des ordonnances exécutoires et imposer des sanctions en cas de non-respect de la loi. Le CPVP croit également que la LPRPDE devrait donner aux particuliers un droit privé d'action.

Réputation en ligne/Google

6.3 Le 22 juillet 2019, la Cour fédérale a rendu une ordonnance refusant à Google d'élargir la portée du renvoi visé par celle-ci pour y inclure des questions constitutionnellesFootnote 5. La Cour a rejeté l'argument de Google selon lequel la question de la constitutionnalité est « inextricablement liée » aux questions du renvoi. La Cour a conclu qu'il est possible de répondre à la question de la compétence, à savoir si la LPRPDE s'applique au service de moteur de recherche de Google, sans répondre à la question constitutionnelle relative à la liberté d'expression (alinéa 2b) de la Charte. La question de la compétence consiste simplement à savoir si la LPRPDE s'applique, et non à établir si elle porte atteinte aux droits de Google.

6.4 Par conséquent, le renvoi du CPVP devant la Cour fédérale continue à porter sur les deux questions suivantes :

1) Dans l'exploitation de son service de moteur de recherche, est-ce que Google recueille, utilise ou communique des renseignements personnels dans le cadre d'activités commerciales, au sens de l'alinéa 4(1)a) de la LPRPDE, lors de l'indexation de pages Web et de la présentation des résultats de recherches concernant le nom d'un individu?

2) L'exploitation du service de moteur de recherche de Google est-elle exclue du champ d'application de la partie 1 de la LPRPDE, selon les termes de l'alinéa 4(2)c) de la LPRPDE, parce que par une telle exploitation Google recueille, utilise et communique des renseignements personnels à des fins journalistiques, artistiques ou littéraires et à aucune autre fin?

Avec la portée du renvoi établie, la Cour se prononcera sur diverses requêtes d'intervention et sur la requête de Google de déposer des éléments de preuve supplémentaires.

Consultation sur la circulation transfrontalière des données

6.5 En avril 2019, Le CPVP a annoncé la tenue d'une consultation sur la circulation transfrontalière des donnéesFootnote 6 en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), proposant dans le document de consultation que les organisations soient tenues d'obtenir le consentement lorsqu'elles transfèrent des renseignements à caractère personnel à des tiers aux fins de traitement. En juin 2019, le CPVP a annoncé le recadrement de sa consultationFootnote 7 et publié son document de discussion réviséFootnote 8, qui posait trois questions additionnelles aux intervenants et reportait l'échéance au 6 août 2019.

6.6 Le 23 septembre 2019, le CPVP a conclu sa consultation sur les transferts de renseignements personnels aux fins de traitement, annonçant que ses lignes directrices sur le transfert transfrontalier de renseignements personnels « demeureront les mêmes en vertu de la loi actuelle »Footnote 9. Les lignes directrices avaient été élaborées afin d'expliquer la façon dont la LPRPDE s'applique aux transferts de renseignements personnels à de tierces parties, y compris à de tierces parties exerçant des activités à l'extérieur du Canada, aux fins de traitement.

Résolution conjointe sur une législation efficace sur la protection des renseignements personnels et l'accès à l'information dans une société guidée par les données

6.7 En novembre 2019, les commissaires et les ombudsmans du Canada chargés de protéger les renseignements personnels et la vie privée ont publié une résolution conjointe. Celle-ci, intitulée Pour une législation efficace sur la protection des renseignements personnels et l'accès à l'information dans une société guidée par les donnéesFootnote 10, reconnaît que certaines administrations canadiennes ont amélioré leurs lois, mais que « des travaux sont encore nécessaires pour parvenir à une modernisation cohérente » afin de mieux protéger les personnes. Elle demande au gouvernement de moderniser les lois sur l'accès à l'information et sur la protection des renseignements personnels, réclamant plus particulièrement :

  • qu'un encadrement législatif soit établi pour assurer le développement et l'utilisation responsables de technologies d'intelligence artificielle et d'apprentissage automatique;
  • que toutes les organisations des secteurs public et privé participant au traitement des renseignements personnels soient assujetties aux lois sur la protection des renseignements personnels;
  • que des pouvoirs de contrôle soient accordés, comme des pouvoirs de rendre des ordonnances et d'imposer des pénalités, des amendes ou des sanctions;
  • que le droit d'accès devrait s'appliquer à tous les renseignements détenus par les organismes publics, quelle qu'en soit la forme.

6.8 La résolution conjointe a également servi à réaffirmer leur engagement à collaborer, à faire des recommandations au gouvernement et à continuer d'étudier les répercussions des lois sur l'accès à l'information et la protection des renseignements personnels sur tous les Canadiens et d'en informer le public.

Conférence internationale des commissaires à la protection des données et de la vie privée (ICDPPC)

6.9 Dans le cadre de la 41e Conférence internationale, tenue en octobre 2019 en Albanie, le CPVP a parrainé une résolution sur la protection de la vie privée en tant que droit de la personne fondamental et condition préalable à l'exercice d'autres droits fondamentauxFootnote 11, résolution que les membres de l'ICDPPC ont adoptée. Le CPVP a également corédigé une résolution sur la coopération entre les autorités chargées de la protection des données et les autorités responsables de la protection des consommateurs et de la concurrence en plus de coparrainer quatre autres résolutions présentées lors de l'événement :

7.0 Autres sujets d'intérêt Charte canadienne du numérique

7.1 Après les élections fédérales d'octobre 2019, le ministre de l'Innovation, des Sciences et de l'Industrie a reçu le mandat d'instaurer la Charte canadienne du numérique et de rehausser les pouvoirs du commissaire à la protection de la vie privée. En ce qui a trait à la série de propositions visant à moderniser la LPRPDE qui sont présentées dans le document Renforcer la protection de la vie privée dans l'ère numériqueFootnote 12, le gouvernement a récemment consulté un certain nombre d'intervenants pour mieux comprendre leurs points de vue sur les propositions et pour aider à définir les choix à venir. Jusqu'à maintenant, une foule d'intervenants, parmi lesquels figurent des associations commerciales, des organisations du secteur privé, y compris des entreprises sur Internet, la société civile et le milieu universitaire, ont été consultés.

Consultations sur un système bancaire ouvert

7.2 En 2018, le gouvernement a annoncé la tenue d'un examen sur un système bancaire ouvert et la mise sur pied du Comité consultatif sur un système bancaire ouvertFootnote 13. Un document public de consultation a été publié en janvier 2019, et des tables rondes ont eu lieu pour consulter les Canadiens. Le Comité consultatif a terminé la première phase de l'examen et le ministère des Finances examine actuellement ses conclusions.

Intelligence artificielle

7.3 Le Conseil consultatif en matière d'intelligence artificielle du Canada, lancé le 14 mai 2019, réunit des experts de l'industrie et du milieu universitaire chargés d'aider le Gouvernement du Canada à définir sa vision à long terme en matière d'intelligence artificielle, et ce, tant au pays qu'à l'étranger. Le Conseil a mis sur pied un groupe de travail pour se pencher et faire rapport sur la façon de commercialiser l'IA et les analyses de données appartenant à des intérêts canadiens. Un deuxième groupe de travail s'intéressera aux moyens de mieux faire connaître l'IA à la population et de lui inspirer confiance en celle-ci pour mieux ancrer le discours canadien dans une compréhension mesurée de la technologie, de ses utilisations potentielles et des risques qui y sont associés.

7.4 En août 2019, les dirigeants du G7 ont salué le travail du Canada, de la France et de ses partenaires en vue de la création d'un Partenariat mondial sur l'intelligence artificielle (PMIA), un centre d'expertise multipartite voué à l'adoption responsable de l'intelligence artificielle. Les pays et partenaires intéressés – dont l'UE – continuent à travailler de concert en vue du lancement du PMIA au début de 2020 et du lancement de son Secrétariat, dont l'OCDE sera l'hôte.

7.5 Le Canada et la France ont annoncé que les centres d'expertise de Montréal et de Paris appuieront les travaux des groupes de travail du PMIA et planifieront l'assemblée plénière multipartite du groupe d'experts du PMIA. La première plénière aura lieu au Canada à l'automne 2020. En plus d'appuyer le PMIA, le Centre d'expertise de Montréal, créé en partenariat avec le gouvernement du Québec, analysera des mesures pour renforcer la capacité du Canada de commercialiser et d'adopter les technologies liées à l'IA.

Conseil canadien des normes

7.6 Le Collectif canadien de normalisation en matière de gouvernance des données, établi en mai 2019 dans le cadre de la Charte canadienne du numérique, est un organisme de coordination intersectoriel composé de représentants de l'industrie, du gouvernement, de la société civile, du milieu universitaire et des organismes de normalisation. Son objectif est d'accélérer l'élaboration de normes et de spécifications de gouvernance des données à l'échelle de l'industrie. Un comité directeur et des groupes de travail ont été mis sur pied afin d'aider à définir une feuille de route qui mènera à l'adoption, pour la gouvernance des données, d'une approche axée sur le cycle de vie allant de la collecte, de l'analyse et de la commercialisation des données en passant par l'accès à celles-ci et leur communication. La publication de la feuille de route finale, prévue pour la fin de 2020, permettra de mieux comprendre les priorités en matière de normalisation pour la gouvernance des données au Canada.

Engagement international

7.7 Le Canada continue de participer à des instances internationales telles que l'Organisation de coopération et de développement économiques (OCDE) et le forum de la Coopération économique Asie- Pacifique (APEC) qui participent activement à des initiatives visant à améliorer et à étendre l'interopérabilité mondiale des cadres de protection de la vie privée. Dans le cadre de ce travail, le Canada continue de participer à l'examen de la Recommandation du Conseil concernant les Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnelFootnote 14 de l'OCDE en tant que membre du groupe d'experts sur la vie privée de l'OCDE, lequel est chargé de conseiller l'OCDE sur l'examen de la mise en œuvre de cette recommandation. Au sein de l'APEC, le Canada est membre du sous-groupe de protection des données personnelles, qui met à jour le système de règles transfrontalières de protection de la vie privée (RTPVP) pour rendre compte de la mise à jour apportée au cadre de protection de la vie privée de l'APEC (2015)Footnote 15. De plus, le Canada participe aux discussions de l'APEC et de l'UE visant à mettre à jour le référentiel de 2014 concernant les exigences de protection des données à caractère personnel et de la vie privée des REC et des RTPVPFootnote 16 et à explorer le concept de certification entourant le RGPD et les RTPVP.

8.0 Coordonnées

8.1 Pour de plus amples renseignements sur tout aspect du présent rapport, veuillez communiquer avec Charles Taillefer, directeur, Direction de la politique sur la vie privée et la protection des données, Direction générale des politiques-cadres du marché, Innovation, Sciences et Développement économique Canada, au 235, rue Queen, Ottawa (Ontario) K1A 0H5, Canada.

8.2 Les prochains rapports devraient paraître à intervalles réguliers, environ tous les six mois.