Le Canada modifie sa législation sur la protection de la vie privée au moyen du dépôt du projet de loi S-4 – Loi sur la protection des renseignements personnels numériques

Le 8 avril, le gouvernement fédéral a déposé le projet de loi S-4, Loi sur la protection des renseignements personnels numériques. Le projet de loi S-4 a été renvoyé au comité sénatorial permanent des transports et des communications après la seconde lecture le 8 mai. S’il est adopté, le projet de loi S-4 modifiera la loi fédérale intitulée Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et imposera de nouvelles exigences pour la collecte, l’utilisation et la communication de renseignements personnels par une organisation.

Parmi les modifications proposées, la plus importante est peut-être le régime relatif aux atteintes aux mesures de sécurité. Le projet de loi S-4 définit une telle atteinte comme la communication non autorisée ou perte de renseignements personnels, ou accès non autorisé à ceux-ci, par suite d’une atteinte aux mesures de sécurité d’une organisation ou du fait que ces mesures n’ont pas été mises en place. 

S’il y a atteinte et qu’il est raisonnable de croire qu’il y a risque de préjudice grave à une personne, l’organisation sera tenue de conserver des registres de l’atteinte et de la déclarer en détail au Commissaire à la protection de la vie privée du Canada. L’expression « préjudice grave » est définie largement et vise notamment la lésion corporelle, l’humiliation, la perte financière, la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles, le vol d’identité, l’effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte, et même le dommage à la réputation ou aux relations. Les organisations seront tenues d’évaluer le risque de préjudice grave en fonction du degré de sensibilité des renseignements personnels en cause et de la probabilité que les renseignements soient mal utilisés. Lors d’une atteinte aux mesures de sécurité, les organisations seront également tenues d’informer les personnes dont les renseignements personnels ont été compromis. Lorsqu’une organisation fera sciemment défaut de conserver les registres prévus par règlement ou de déclarer les atteintes, elle sera passible d’une amende maximale de 100 000 $.

Pour les employeurs de régime fédéral, le projet de loi S-4 changera la façon dont les renseignements personnels des employés sont recueillis, utilisés et communiqués. Plus particulièrement, la définition de « renseignements personnels » sera modifiée de manière à abroger l’exclusion à l’égard du nom, du titre, et des adresse et numéro de téléphone au travail d’un employé. En vertu des modifications prévues par le projet de loi S-4, ces renseignements seront considérés personnels. Les modifications proposées élargiront également l’application de la LPRPDE pour englober ceux qui postulent pour un emploi. Le projet de loi S-4 créera une exception aux exigences de la LPRPDE relativement aux coordonnées d’affaires d’une personne qu’une organisation recueille, utilise ou communique uniquement pour entrer en contact avec elle dans le cadre de son emploi, de son entreprise ou de sa profession.

Le projet de loi S-4 énonce également des cas additionnels dans lesquels les organisations peuvent communiquer des renseignements personnels à l’insu de la personne, notamment dans le cadre d’enquêtes portant sur l’inexécution de contrat, l’illégalité, la fraude et l’exploitation financière.

Le Commissaire à la protection de la vie privée se fait conférer par le projet de loi S-4 le nouveau pouvoir de conclure des ententes de conformité avec des organisations s’il estime que celles-ci pourraient contrevenir aux exigences de la LPRPDE. Le Commissaire aura le pouvoir d’intégrer à une entente de conformité toute condition qu’il estime nécessaire et pourra forcer la conformité à cette entente au moyen d’une ordonnance judiciaire.        

Les organisations devraient entreprendre un examen de leurs politiques sur la vie privée et de la manière dont les renseignements personnels sont recueillis, utilisés et communiqués en vue de garantir leur conformité au projet de loi.

Pour davantage d’information, veuillez communiquer avec Sarah Lapointe au (613) 940-2738.

Related Articles

La CSPAAT impose désormais un délai de 3 jours ouvrables pour la déclaration initiale d’un accident par les employeurs

Le 29 septembre 2023, la Commission de la sécurité professionnelle et de l’assurance contre les accidents du travail (« CSPAAT ») a…

Le gouvernement de l’Ontario propose d’importantes modifications à diverses lois dans le secteur de l’éducation

En avril, le gouvernement de l’Ontario a déposé le projet de loi 98, Loi de 2023 sur l’amélioration des écoles et…

La Cour supérieure de justice de l’Ontario déclare la Loi 124 nulle et sans effet

Le 29 novembre 2022, la Cour supérieure de justice de l’Ontario a publié une décision très attendue sur dix demandes…