English | French Canada
La prochaine étape pour la LPRPDE : le document de travail « Renforcer la protection de la vie privée dans l’ère numérique » du Canada
Perspectives Aon

La prochaine étape pour la LPRPDE : le document de travail « Renforcer la protection de la vie privée dans l’ère numérique » du Canada

 

Le 21 mai 2019, le gouvernement fédéral publiait son document de travail intitulé « Renforcer la protection de la vie privée dans l’ère numérique » (le document), qui présente diverses propositions visant à modifier la législation canadienne relative à la protection de la vie privée dans le secteur privé de ressort fédéral. L’impulsion en faveur de ces modifications trouve sa source dans plusieurs éléments, ce qui n’est peut-être pas étonnant compte tenu de la position prise par le Commissariat à la protection de la vie privée du Canada (le Commissariat) dans son rapport publié relativement à l’enquête d’Equifax Canada.

Le document récemment publié par le gouvernement dans le contexte de son initiative liée à la Charte du numérique est axé sur la modernisation de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) au moyen de quatre principaux secteurs d’intervention. Le premier vise à faire en sorte que les personnes aient un plus grand contrôle sur leurs renseignements identificatoires grâce à des mécanismes tels une plus grande transparence, le droit à la mobilité des données et le droit de demander la suppression des renseignements identificatoires. Le deuxième secteur d’intervention privilégié consiste à favoriser l’innovation. Entre autres mesures, le gouvernement a proposé de se servir de fiducies de données en tant que mécanisme permettant d’établir un équilibre entre l’utilisation des données et l’innovation. Un autre secteur d’intervention porte sur l’augmentation des pouvoirs de contrainte du Commissariat, qui lui conférerait le pouvoir d’émettre des ordonnances de cessation ou de conservation de documents, tout en augmentant le montant et en élargissant la gamme des amendes qu’il peut imposer en vertu de la LPRPDE. La clarification de la LPRPDE vient compléter ces secteurs d’intervention, le gouvernement envisageant d’élargir la portée de la législation pour qu’elle s’applique à diverses activités de collecte de données non commerciales. Le gouvernement a également indiqué qu’il avait l’intention de mettre à jour et de clarifier l’application de la LPRPDE, notamment sa façon de traiter les flux de données transfrontaliers.

Au moment de la diffusion du document, le Commissariat suspendait sa consultation actuelle sur les flux de données transfrontaliers. Le Commissariat prévoit lancer une série de consultations après avoir examiné le document. Le Commissariat à la protection de la vie privée a indiqué que, dans l’intervalle, il ne s’attendait pas à ce que les organisations modifient leurs pratiques actuelles en matière de flux de données transfrontaliers. Les juristes supposent que les modifications proposées à la LPRPDE témoignent d’une tendance croissante visant à harmoniser le régime législatif canadien en matière de protection de la vie privée et celui du Règlement général sur la protection des données (RGPD) de l’Union européenne. C’est particulièrement vrai alors que le Canada cherche à maintenir sa décision en matière d’adéquation avec l’Union européenne, qui pourrait être soumise à une révision en 2020.

En ces temps incertains, il est plus important que jamais que les organisations examinent leurs mécanismes de gouvernance interne et que ceux qu’ils adoptent soient robustes afin d’éviter de se retrouver dans collimateur d’une foule de mesures réglementaires en pleine évolution en matière de protection de la vie privée au Canada. Une police d’assurance cyberresponsabilité peut contribuer à transférer certains des risques financiers liés non seulement aux atteintes à la vie privée, mais également au non-respect de certaines lois relatives à la protection de la vie privée. Si la police comporte un libellé robuste, elle pourrait procurer une couverture pour les frais de défense juridique et les amendes assurables qui pourraient découler d’une enquête réglementaire. Si l’assuré faisait l’objet d’une réclamation ou d’une poursuite découlant d’une atteinte à la vie privée qui compromet des renseignements identificatoires de tiers qui lui ont été confiés ou qui ont été placés à ses soins ou sous sa surveillance, les frais liés au règlement et au jugement, de même que les frais de défense juridique, pourraient également être couverts. De plus, la police d’assurance cyberresponsabilité pourrait procurer une couverture pour divers coûts engagés par l’assuré en vue de gérer les répercussions d’une atteinte, notamment les frais d’expertise judiciaire en informatique, les frais de notification et de centre d’appel, ainsi que ceux liés à la surveillance du vol de crédit et de l’identité, de même que les dépenses engagées pour embaucher une société de relations publiques afin d’atténuer les répercussions négatives de l’atteinte sur la réputation de l’assuré.