Le 17 novembre 2020, le projet de loi C-11, Loi édictant la Loi sur la protection de la vie privée des consommateurs et la Loi sur le Tribunal de la protection des renseignements personnels et des données et apportant des modifications corrélatives et connexes à d’autres lois, est déposé et fait l’objet d’une première lecture à la Chambre des communes du Canada par le ministre de l’Innovation, des Sciences et de l’Industrie. À ce sujet, le 1^er décembre 2020, l’Observatoire international sur les impacts sociétaux de l’IA et du numérique propose une conférence modérée par les professeurs Vincent Gautrais (Université de Montréal) et Florian Martin-Bariteau (Université d’Ottawa). Le présent billet de blogue vise à effectuer une brève présentation du projet de loi C-11 sous ses principales facettes avec l’aide des commentaires et points de vue des quatre panélistes invités à en apprécier la portée dans le cadre de cette conférence. 

Le projet de loi C-11 et sa place dans le portrait législatif canadien sur la protection de la privée

Le projet de loi C-11 se divise en deux parties. D’abord, le projet de loi C-11 abroge la partie 1 de la Loi sur la protection des renseignements personnels et les documents électroniques (ci-après « LPRDE ») et remplace le titre abrégé de cette loi par le titre Loi sur les documents électroniques.

Ainsi, la partie 1 du projet de loi C-11 édicte la Loi sur la protection de la vie privée des consommateurs afin de protéger les renseignements personnels des individus tout en reconnaissant le besoin des organisations de recueillir, d’utiliser ou de communiquer de tels renseignements dans le cadre de leurs activités commerciales. La partie 2 édicte la Loi sur le Tribunal de la protection des renseignements personnels et des données.  

Le ministre de l’Innovation, Navdeep Bains, déclarait à son sujet :

 « La pandémie a accéléré la transformation numérique, et de plus en plus de Canadiens déplacent leurs activités en ligne. Les Canadiens utilisent plus de services numériques et échangent plus de données en ligne que jamais auparavant. Ils veulent avoir l’assurance que leurs renseignements personnels seront protégés.

[…] Grâce à ces principes, la Charte pourra viser trois grands objectifs: permettre aux consommateurs d’assurer un contrôle significatif de leurs données, favoriser l’innovation responsable et créer un modèle d’application et de surveillance rigoureux et réfléchi. »

Pour le Pr. Pierre Trudel, professeur titulaire à la Faculté de droit de l’Université de Montréal, le projet de loi C-11 représente une reconnaissance attendue de l’importance pour l’activité économique de l’échange de renseignements personnels et amorce ainsi la mise sur pied d’un régime de régulation des processus d’analyse et de prise de décision des entreprises qui doit intégrer de plus en plus la prise en charge des renseignements personnels.

Cette Loi sur la protection de la vie privée des consommateurs possède notamment un certain caractère de prépondérance puisqu’elle s’applique malgré toute disposition édictée après le 31 décembre 2000 (article 6 (5)).

Quant à l’harmonisation entre le droit provincial et fédéral, le ministre Bains souligne que le projet de loi C-11 respecte le Règlement général sur la protection des données et les lois et compétences provinciales. À ce propos, il sera intéressant de comparer l’évolution de ce projet de loi et celle du projet de loi n° 64 au Québec. Au sujet de l’application des deux lois, soit au niveau provincial et fédéral, la Cour supérieure du Québec mentionnait, dans son jugement du 30 avril 2020 dans l’affaire D’Allaire c. Transport Robert (Québec) 1973 ltée, que :

« Selon une conception moderne du fédéralisme coopératif, il faut favoriser, dans la mesure du possible, l’application régulière des lois adoptées par les deux paliers de gouvernement. Ainsi, les entreprises fédérales demeurent assujetties aux lois provinciales d’application générale. »

Ainsi, l’évolution des deux projets de lois représente effectivement un sujet de grand intérêt pour de telles entreprises concernées.

Contrôle des données et innovation responsable : Encadrement et définition du consentement à l’accès aux données personnelles

En premier lieu, le projet de loi C-11 vise à établir certaines règles de protection des renseignements personnels lorsqu’une organisation recueille, utilise ou communique dans le cadre d’activités commerciales de tels renseignements. Le projet de loi édicte que cette organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins raisonnables et établit certains critères pour établir cette raisonnabilité (article 12 (1 et 2)).

Selon le ministre de l’Innovation, le projet de loi permettra aux consommateurs de mieux contrôler leurs données en exigeant des organismes qu’ils obtiennent le consentement éclairé des Canadiens. En effet, l’article 15 (1) mentionne que, sous les restrictions établies à la loi, l’organisation devra doit d’abord obtenir le consentement valide de l’individu concerné quant à ses renseignements. L’information pertinente devra ainsi leur être présentée en termes précis, clairs et simples (article 15 (3)) et le consentement demeure révocable (article 17 (1)). L’individu est ainsi habilité à formuler une demande écrite visant à ce que l’entreprise procède au retrait des renseignements personnels qu’elle a recueillis auprès de lui (article 55 (1)). Le projet de loi établit toutefois certaines restrictions quant à l’obtention du consentement, notamment la nouvelle exception concernant certaines activités d’affaires pour lesquelles une personne raisonnable s’attendrait à une telle collecte ou à une telle utilisation de ses données (article 18 (1)).

Pour les conférencières, la Pre. Céline Castets-Renard (Professeure titulaire à la Faculté de droit – Section de droit civil de l’Université d’Ottawa) ainsi que Me Éloïse Gratton (avocate et cochef national du groupe « Respect de la vie privée et protection des données », Borden Ladner Gervais LLP), le régime du consentement contenu au projet de loi C-11 se voit renforcé, mais demeure tout de même peu innovateur. La suppression du régime divisé quant à la collecte, l’utilisation et la communication des renseignements possède l’avantage d’être plus clair et conscrit, mais les nombreuses exceptions et restrictions en limitent la portée. Pour la Pre. Céline Castets-Renard, la notion de la « personne raisonnable » telle que mentionnée précédemment pourrait se révéler une réelle « boite de Pandore » pour l’exception au consentement.

Pour encourager l’innovation responsable, le projet de loi C-11 prévoit la création d’un dispositif reconnaissant l’utilisation des codes de pratique et des systèmes de certification.  Effectivement, l’article 76 (2) prévoit que toute entité peut demander au commissaire d’approuver un code prévoyant des pratiques qui permettent de mettre en place une protection des renseignements personnels équivalente ou supérieure à tout ou partie de celle prévue sous le régime de la présente loi.

Exécution de la loi et surveillance : Pouvoir de rendre des ordonnances pour le commissaire à la protection de la vie privée et pénalités de non-conformité

Le projet de loi C-11 accorde au commissaire à la protection de la vie privée le pouvoir de procéder à l’examen de toute plainte formulée par un individu contre une organisation qui contrevient à ses obligations (article 82 (1)). Le commissaire obtient par la suite le pouvoir de rendre des ordonnances (article 92 (2)), y compris le pouvoir d’obliger une organisation à cesser de collecter ou d’utiliser des renseignements. Le commissaire pourra recommander qu’une pénalité soit infligée à l’organisation par le tribunal de la protection des renseignements personnels et des données (article 93 et 94), laquelle sera d’un montant maximal, pour l’ensemble des contraventions visées par la recommandation, de dix millions de dollars ou de 3 % des recettes globales brutes de l’organisation au cours de son exercice précédant celui pendant lequel la pénalité est infligée, si ce montant est plus élevé.

Tribunal de la protection des renseignements personnels et des données

Finalement, la seconde partie du projet de loi C-11 prévoit la création d’un nouveau tribunal de la protection des renseignements personnels et des données (article 4), qui examinera les appels interjetés au sujet des ordonnances du commissaire, soit en vertu des articles 100 ou 101 de la Loi sur la protection de la vie privée des consommateurs et sur l’infliction de pénalités en vertu de l’article 94 de cette loi (article 5).

Selon le ministre de l’Innovation, ce nouveau tribunal administratif contribuera à garantir l’équité procédurale dans le fonctionnement des nouveaux pouvoirs d’exécution accrus du commissaire. Il permettra aux personnes et aux organismes d’accéder plus facilement à la justice grâce à un mécanisme moins formel d’appel des décisions.

Toutefois, à ce sujet, Me Jennifer Stoddart, ancienne commissaire à la protection de la vie privée du Canada et conseillère stratégique, identifie certaines faiblesses. Par exemple, la loi ne prévoit aucun dédommagement direct pour consommateur et le droit d’action demeure limité aux seuls cas de conclusion de contravention à la loi par le commissaire ou le tribunal ; un élargissement de ce droit d’action serait bénéfique pour des individus qui ne possèdent pas de droit privé d’action par la suite devant la Cour supérieure de leur province, notamment lorsque leur plainte initiale au commissaire n’est pas retenue.

D’un autre côté, pour Me Éloïse Gratton, il serait bénéfique de retarder de quelques années le droit privé d’action pour permettre aux entreprises d’interpréter les nouvelles dispositions contenues au projet de loi C-11, de la même façon que la prise de position adoptée dans le décret du 14 juin 2017 ayant retardé l’entrée en vigueur de dispositions similaires contenues initialement à la Loi canadienne antipourriel.

Conclusion

Le jour de la présentation du projet de loi C-11, le groupe Openmedia, organisation canadienne de défense non partisane et sans but lucratif qui œuvre pour encourager des systèmes de communication ouverts et innovants au Canada, formulait une opinion positive à son sujet :

« L’introduction de pouvoirs exécutoires contraignants pour le commissaire à la protection de la vie privée et d’importantes sanctions financières en cas de non-conformité renforcent grandement les exigences canadiennes en matière de protection de la vie privée. »

Par contre, certaines facettes de la protection des renseignements auraient été mises de côté par le projet de loi C-11, comme soulevé lors des Débats de la Chambre des communes du 24 novembre 2020 par les représentants du Bloc Québécois (Mme Marie-Hélène Gaudreau et M. Simon-Pierre Savard-Tremblay). Selon ces derniers, le projet de loi C-11 n’aborde pas le cas particulier de la protection de l’identité en ligne pour éviter la fraude par vol d’identité, en particulier lors de transactions financières, une préoccupation particulièrement sensible depuis les vols de données survenus chez les clients de Desjardins. À cet effet, les représentants mentionnent qu’en 2016, l’Europe a adopté une réglementation qui oblige les institutions financières à utiliser au moins deux de ces trois façons d’identifier quelqu’un avant d’autoriser une transaction (la Directive sur les Services de Paiement – DSP2).

Finalement, il nous semble juste de reproduire le commentaire final de Me Jennifer Stoddart à l’occasion de la conférence de l’Observatoire international sur les impacts sociétaux de l’IA et du numérique : le chemin vers l’adoption du projet de loi C-11 sera long, fluide et sinueux. À cet effet, tous les conférenciers s’entendent pour souligner que les nombreux règlements d’application à adopter et les différents points de vue à négocier à propos de la protection des renseignements personnels constitueront des défis pour un projet de loi qui comporte essentiellement du rattrapage face aux tendances internationales dans le domaine, mais qui représente une mise à jour législative attendue et positive.