Qu’est-ce que la LPVPC – Loi sur la protection de la vie privée des consommateurs du Canada?

Suivant les traces d’autres législateurs, en novembre 2020, la Chambre des communes du Canada a déposé la Loi de mise en œuvre de la Charte numérique (LPCI), également connue sous le nom de projet de loi C-11. À l’instar de lois similaires sur la confidentialité des données, la DCIA vise à réglementer la collecte, la distribution, l’utilisation et la divulgation des informations sur les consommateurs utilisées dans le cadre d’activités commerciales.

En vertu de la LCDI, il est proposé de mettre à jour la LPVPC afin de moderniser les règlements désuets du Canada et d’assurer une protection robuste des données personnelles canadiennes.

Si vous traitez les données personnelles des Canadiens à des fins commerciales, cette loi vous concerne. Par conséquent, il est essentiel de vous familiariser avec les détails fondamentaux.

Qu’est-ce que la LPVPC?

La LPVPC ou Loi sur la protection de la vie privée des consommateurs est incluse dans la Loi de mise en œuvre de la Charte numérique. Après l’adoption récente du RGPD de l’UE et de la LPVPC de la Californie, la LPVPC met également à jour les lois canadiennes sur la confidentialité des données, les alignant ainsi sur les nouvelles normes internationales.

Fondamentalement, cette nouvelle loi imposera une plus grande transparence de l’utilisation des données personnelles par les entreprises et renforcera le contrôle individuel.

Fait intéressant, dans sa forme actuelle, le projet de loi C-11 fait référence aux « particuliers » et ne précise ni « citoyens » canadiens ni « résidents ». Par conséquent, il peut s’appliquer à presque tous ceux qui résident à l’intérieur des frontières canadiennes.

Comment la LPVPC modifie-t-elle la législation existante?

Principalement, il établira une nouvelle loi sur la protection des données dans le secteur privé, car l’ancienne Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) a grandement besoin d’être remplacée. De plus, la Loi sur le Tribunal de la protection des renseignements personnels et des données (TPIDP) – une autre facette de la LCDI – vise à créer un organisme de tribunal ayant le pouvoir d’imposer des amendes importantes à toute personne ou entreprise jugée non conforme à la LPVPC.

Comparativement à la LPRPDE, la LPVPC ne modifie pas la portée de ce qui est protégé. Il offre plutôt aux particuliers la possibilité de poursuivre les entreprises pour violation (droit d’action). La LPVPC élargit également les exigences en matière de consentement, qui doivent être explicites et éclairées – reflétant le RGPD de l’UE. Enfin, une organisation doit démontrer ses objectifs de collecte et d’utilisation des données. Il ne peut également transférer des données à l’extérieur du Canada que selon de nouveaux critères rigoureux.

À l’heure actuelle, la loi n’a pas été promulguée – bien qu’elle devrait être adoptée à la fin de 2021. Veuillez trouver la proposition actuelle ici.

Quelles sont les exigences de la LPVPC?

Il s’agit d’un changement majeur dans les lois canadiennes sur la protection des données qui nécessite des modifications importantes aux pratiques actuelles de l’entreprise.

Voici les principales exigences de la LPVPC :

Traitement approprié des données

Selon l’article 12(2) de la LPVPC, la collecte, l’utilisation et la divulgation de données personnelles sont limitées aux circonstances « appropriées », concernant :

  • la sensibilité des renseignements personnels;
  • si les fins représentent des besoins opérationnels légitimes de l’organisation;
  • l’efficacité de la collecte, de l’utilisation ou de la communication pour répondre aux besoins opérationnels légitimes de l’organisation;
  • s’il existe des moyens moins intrusifs d’atteindre ces objectifs à un coût comparable et avec des avantages comparables; et
  • si l’atteinte à la vie privée de la personne est proportionnelle aux avantages à la lumière des mesures, techniques ou autres, mises en œuvre par l’organisation pour atténuer les répercussions de l’atteinte à la vie privée sur la personne.
Consentement valable

Comme le RGPD, en vertu de la LPVPC, le consentement obtenu d’une personne doit être valide. Cela signifie qu’elles ont été obtenues avant la collecte des données et divulguent la manière dont l’organisation recueillera, utilisera ou divulguera les données personnelles.

Pour que le consentement soit considéré comme valide, les renseignements suivants doivent être fournis dans un « langage simple » :

  • les fins de la collecte, de l’utilisation ou de la communication des renseignements personnels déterminées par l’organisation et consignées en application des paragraphes 12(3) ou (4);
  • la façon dont les renseignements personnels doivent être recueillis, utilisés ou communiqués;
  • toute conséquence raisonnablement prévisible de la collecte, de l’utilisation ou de la divulgation des renseignements personnels;
  • le type précis de renseignements personnels qui doivent être recueillis, utilisés ou communiqués; et
  • le nom de tout tiers ou de tout type de tiers auquel l’organisation peut communiquer les renseignements personnels.

Il existe toutefois quelques exemptions notables au consentement.

  1. Les entreprises doivent recueillir le consentement si les données sont essentielles à la fourniture ou à la fourniture d’un produit, d’un service, d’un système ou d’un réseau.
  2. Les données personnelles peuvent également être collectées à des « fins raisonnables », mais pas pour influencer le comportement d’une personne concernée.
  3. Certains cas de transfert de données à un fournisseur de services.

Les personnes peuvent maintenant également annuler leur consentement ou refuser le partage de renseignements en tout temps. Tout ce qu’une personne concernée doit faire est de fournir un préavis raisonnable à l’organisation concernée, après quoi toute collecte et divulgation de données personnelles doit cesser.

Droit d’action

La LPVPC prévoit un renforcement des pouvoirs du commissaire à la protection de la vie privée. Cela comprend les enquêtes et les vérifications des activités commerciales liées à la protection de la vie privée. De plus, ils peuvent également lancer des enquêtes sur les violations présumées de la LPVPC.

C’est là que le droit privé d’action est applicable. Il permet aux personnes concernées de poursuivre une organisation devant la Cour fédérale ou une cour provinciale supérieure si le commissaire à la protection de la vie privée confirme les violations.

À l’heure actuelle, la Loi ne définit pas les dommages-intérêts. Ainsi, les particuliers peuvent réclamer des dommages-intérêts pour la perte ou le préjudice subi à la suite de la violation.

Sanctions et exécution

Toute violation de la LPVPC pourrait entraîner des pénalités importantes, jusqu’à 4 % du chiffre d’affaires mondial total d’une entreprise pour l’année précédente ou 25 millions de dollars CA – selon le montant le plus élevé. La plupart des violations ne seront probablement perçues qu’à hauteur de 3 % du chiffre d’affaires mondial total d’une entreprise pour l’année précédente ou de 10 millions de dollars CA – selon le montant le plus élevé.

Il s’agit d’une augmentation substantielle par rapport aux amendes prévues par la LPRPDE (un maximum de 100 000 $ CA par violation).

C’est pourquoi il est essentiel de se conformer à la LPVPC lorsqu’elle entre en vigueur. Il n’est pas trop tôt pour commencer la préparation.

Sources:

https://parl.ca/DocumentViewer/en/43-2/bill/C-11/first-reading#ID0E0XB0BA
https://parl.ca/DocumentViewer/en/43-2/bill/C-11/first-reading#ID0ECCCA
https://www.transatlantic-lawyer.com/canadas-consumer-privacy-protection-act-what-the-changes-mean-for-you/

Sales & Support