Le 18 juin 2015, le Gouverneur général du Canada a donné la sanction royale au projet de loi S-4 – Loi sur la protection des renseignements personnels numériques. Ce projet de loi apporte un certain nombre de modifications importantes à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) dont la plupart sont entrées en vigueur le 18 juin 2015.
La LPRPDE et le Québec
Au Québec, la Loi sur la protection des renseignements personnels dans le secteur privé du Québec, RLRQ c P-39.1 (la « Loi dans le secteur privé ») applicable aux organisations du secteur privé est reconnue comme étant essentiellement similaire à la LPRPDE[1]. Ceci signifie que les organisations assujetties à la Loi dans le secteur privé sont exclues de l'application des dispositions de la LPRPDE à l'égard de la collecte, de l'utilisation et de la communication de renseignements personnels lorsque ces activités s'effectuent à l'intérieur de la province.
Ces organisations doivent néanmoins continuer à se conformer à la LPRPDE lorsqu'elles se livrent à des opérations commerciales présentant des aspects interprovinciaux ou internationaux (p. ex., clients à l'extérieur de la province, impartition de renseignements personnels à des tiers situés à l'étranger, etc.). Les entreprises du secteur privé sous juridiction fédérale établies au Québec (banques, sociétés de télécommunications, etc.) demeurent quant à elles assujetties à la LPRPDE. D'où l'importance pour bon nombre d'entreprises québécoises d'être au fait des récentes modifications apportées à la loi fédérale.
Déclaration obligatoire d'une atteinte aux mesures de sécurité
Résumé des nouvelles règles
La LPRPDE prévoit que les organisations sont désormais tenues d'aviser les personnes intéressées et de déclarer au Commissariat à la protection de la vie privée du Canada (le « commissaire ») une atteinte à la sécurité des données dans certaines circonstances. Ces dispositions entreront en vigueur à une date ultérieure une fois que la réglementation sera parachevée.
L'article 10.1 de la LPRPDE prévoit que les organisations seront tenues d'aviser les personnes intéressées (à moins qu'une règle de droit ne l'interdise) et de déclarer au commissaire toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels, s'il est raisonnable de croire que l'atteinte présente un « risque réel de préjudice grave à l'endroit [d'une personne] ».
Au sens de la LPRPDE, un « préjudice grave » vise notamment l'humiliation, le dommage à la réputation ou aux relations et le vol d'identité. Les éléments qui servent à établir si une atteinte aux mesures de sécurité présente un « risque réel » sont le degré de sensibilité des renseignements personnels, la probabilité d'une mauvaise utilisation de ces renseignements et tout autre élément prévu par règlement.
La communication de l'avis aux personnes intéressées et de la déclaration au commissaire doit être faite selon les modalités réglementaires « le plus tôt possible » après que l'organisation a conclu qu'il y a eu une atteinte aux mesures de sécurité. Le commissaire peut rendre publique toute information à l'égard de cette communication, s'il estime que cela est dans l'intérêt public.
L'avis doit contenir suffisamment d'information pour permettre à la personne intéressée de comprendre l'importance de l'atteinte, pour elle, et de prendre, si cela est possible, des mesures pour réduire le risque de préjudice qui pourrait en résulter. L'avis doit être manifeste et donné à la personne intéressée directement, ou indirectement dans certaines circonstances (p. ex. publication sur un site Web) qui sont permises.
Lorsqu'une organisation avise une personne intéressée d'une atteinte aux mesures de sécurité, l'article 10.2 de la LPRPDE prévoit qu'elle est tenue d'en aviser toute autre organisation (p. ex. les agences d'évaluation du crédit) et institution gouvernementale, si elle croit que l'autre organisation ou institution gouvernementale peut être en mesure de réduire le risque de préjudice pouvant résulter de l'atteinte ou d'atténuer ce préjudice. Cette communication peut être faite sans le consentement de la personne intéressée.
Incidences pour les organisations
Sous réserve de ce que prévoira la réglementation, l'exigence relative à la déclaration d'une atteinte aux mesures de sécurité qui est imposée aux organisations en vertu de la LPRPDE s'apparente aux obligations qui existent déjà depuis plusieurs années en Alberta, où les déclarations sont une pratique courante pour les organisations assujetties à la législation en matière de protection des renseignements personnels. Cela dit, puisque la LPRPDE couvre beaucoup plus d'organisations et d'activités dans l'ensemble du Canada, on envisage que cette nouvelle obligation augmentera considérablement le nombre de déclarations au Canada.
La déclaration obligatoire d'une atteinte aux mesures de sécurité entraînera de nouveaux frais, risques et défis pour les petites et les grandes organisations. Par exemple, l'expérience aux États-Unis et au Canada démontre que cette obligation peut augmenter le risque de poursuites et de recours collectifs par suite de la déclaration d'une atteinte à la sécurité des données.
Les nouvelles règles peuvent également accroître l'intérêt déjà croissant que suscite l'assurance en matière de cyber-responsabilité au Canada (qui couvre souvent les frais de responsabilité, les frais de défense et les autres frais d'intervention à l'égard d'une atteinte à la sécurité des données). Les organisations et les assureurs seraient avisés de prendre connaissance des nouvelles règles.
Les organisations devront veiller à mettre en place des mesures, des politiques et des procédures internes de protection des renseignements personnels qui sont adéquates pour qu'elles détectent les incidents en matière de sécurité des renseignements personnels, qu'elles les soumettent à un échelon hiérarchique supérieur et qu'elles les gèrent. Par exemple, il importe que les organisations élaborent un plan de gestion des incidents et une formation destinée aux employés sur la nécessité de soumettre et de rapporter à un échelon hiérarchique supérieur toutes les atteintes suspectes aux mesures de sécurité. Comme mentionné ci-dessous, une violation aux dispositions en matière de déclaration d'une atteinte aux mesures de sécurité peut mener à une infraction et à une amende.
Tenue obligatoire d'un registre de toutes les atteintes aux mesures de sécurité
L'article 10.3 de la LPRPDE (qui entrera en vigueur à une date ultérieure) exigera que les organisations tiennent et conservent, conformément aux règlements, un registre de toutes les atteintes aux mesures de sécurité qui ont trait à des renseignements personnels dont elles ont la gestion.
De plus, sur demande du commissaire, les organisations devront lui remettre une copie de leur registre des atteintes aux mesures de sécurité. Le commissaire peut rendre publique toute information contenue dans ce registre, s'il estime que cela est dans l'intérêt public.
Il n'y a aucun critère établi relativement à l'obligation de tenir un registre – seule la tenue d'un registre de toutes les atteintes aux mesures de sécurité est obligatoire, que les atteintes présentent ou non un risque réel de préjudice grave. L'organisation ne doit pas non plus se conformer à un critère quelconque avant que le commissaire ne lui demande une copie de son registre des atteintes aux mesures de sécurité.
Sous réserve de ce que prévoira la réglementation, qui pourrait par ailleurs préciser les périodes de conservation du registre des atteintes aux mesures de sécurité et ses formalités ainsi que les détails à inclure dans ce registre, la LPRPDE prévoit une nouvelle exigence qui sera potentiellement onéreuse pour les organisations et, par conséquent, elle augmentera leurs coûts et leurs risques. Nous sommes en droit de nous attendre à ce que l'avocat du plaignant demande la production du registre des atteintes aux mesures de sécurité pendant le processus de communication de la preuve dans le cadre d'un litige portant sur une atteinte aux mesures de sécurité qui a trait à des renseignements personnels. Les cyberassureurs éventuels peuvent également demander l'accès au registre des atteintes aux mesures de sécurité dans le cadre de leur processus de souscription pour l'évaluation du risque, en plus de poser leurs questions usuelles sur l'historique des atteintes aux mesures de sécurité et des incidents.
Renforcement de l'exigence de consentement
L'article 6.1 de la LPRPDE prescrit une nouvelle exigence cruciale en matière de consentement. Aux termes de cet article, le consentement de la personne intéressée à l'égard des renseignements personnels n'est valable que s'il est raisonnable de s'attendre à ce qu'une personne visée comprenne la « nature, les fins et les conséquences » de la collecte, de l'utilisation ou de la communication des renseignements personnels auxquelles elle a consenti.
Cette nouvelle exigence de consentement met l'accent sur ce que les organisations disent aux personnes intéressées à propos des renseignements qu'elles recueillent, de la manière dont elles les utilisent et des destinataires à qui elles les communiquent, plus particulièrement lorsque ceux-ci touchent les enfants et les autres personnes vulnérables. Cette nouvelle exigence complète l'exigence actuelle prévue à l'article 4.3.2 de l'annexe 1 de la LPRPDE, qui oblige les organisations à déployer un effort raisonnable pour que la personne, au sujet de laquelle les renseignements sont recueillis, puisse être informée des fins auxquelles ils seront utilisés, et que ces fins soient énoncées dans le consentement de façon à ce qu'elle puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués.
Compte tenu de la nouvelle exigence, lorsque les formulaires de consentement et les conditions d'utilisation des renseignements personnels s'avèrent inadéquats, ou pis encore, induisent les personnes en erreur, les organisations peuvent constater que les consentements obtenus d'un grand nombre de personnes (p. ex. consommateurs, patients, employés, etc.) ne sont pas valides. Cela peut entraîner de lourdes conséquences pour les organisations qui dépendent de la validité de ces consentements pour l'exploitation de leurs activités.
Il est essentiel que toutes les organisations, qui comptent sur ces consentements, envisagent la révision immédiate de leurs formulaires de consentement, de leurs énoncés sur la protection des renseignements personnels formulés sur le Web et de leurs autres conditions d'utilisation des renseignements personnels pour déterminer si leurs consentements sont valides et y apporter des modifications s'il y a lieu. Ces consentements comprennent ceux des clients et des employés.
Notons toutefois que la Loi dans le secteur privé prévoit déjà que le consentement doit être « manifeste, libre, éclairé et donné à des fins spécifiques » pour être considéré valide. Ainsi, on peut penser que la hausse des exigences en ce qui concerne le consentement n'aura vraisemblablement pas d'impact significatif pour les entreprises québécoises qui se conforment déjà aux exigences de la Loi dans le secteur privé en la matière. Cette modification constitue toutefois un rappel des exigences élevées à respecter pour l'obtention d'un consentement valide.
Nouvelles exceptions relatives au consentement
Le Canada a aboli le régime des « organismes d'enquête » de la LPRPDE, qui permettait à certaines entités de partager des renseignements à l'insu des personnes intéressées. Cependant, plusieurs nouvelles exceptions relatives au consentement ont été introduites :
- Enquêtes et fraude : Les nouveaux alinéas 7(3)d.1) et d.2) de la LPRPDE introduisent de nouvelles exceptions générales qui permettent la communication de renseignements personnels à une autre organisation sans le consentement de la personne intéressée en vue a) d'une enquête sur la violation d'un accord ou sur la contravention à une loi qui a été commise ou est en train ou sur le point de l'être; b) de la détection d'une fraude ou de sa suppression ou en vue de la prévention d'une fraude dont la commission est vraisemblable. Ces exceptions s'appliquent seulement s'il est raisonnable de s'attendre à ce que l'obtention du consentement de la personne intéressée compromette l'enquête ou la capacité de prévenir la fraude, de la détecter ou d'y mettre fin.
- Il convient de noter que ces exceptions sont seulement permissives; elles ne confèrent pas à une organisation le pouvoir de communiquer des renseignements personnels à l'insu d'une personne intéressée. Dans plusieurs cas, l'organisation qui communique un renseignement a, d'ailleurs, probablement peu à gagner de le faire et cette communication peut l'exposer à un risque d'atteinte aux mesures de sécurité. Dans ces cas, ou en cas de doute sur l'application de l'exception, il est souvent préférable d'obtenir le consentement ou une ordonnance du tribunal avant la communication d'un renseignement. Lorsque les exceptions s'appliquent, elles aideront les organisations dans leurs efforts de lutte contre la fraude, la violation d'accords et la contravention à des lois.
- Gestion d'employés : La LPRPDE s'applique aux renseignements personnels des employés d'entreprises fédérales (c.-à-d. : les banques, les sociétés de chemins de fer, etc.). Conformément aux articles 7.3 et 7.4 de la LPRPDE, une entreprise fédérale peut recueillir, utiliser ou communiquer des renseignements personnels sans le consentement de la personne intéressée si cela est nécessaire pour établir ou gérer la relation d'emploi de cette dernière, ou pour y mettre fin, si l'entreprise fédérale a au préalable informé la personne intéressée que ses renseignements personnels seront recueillis, utilisés ou communiqués à ces fins. Cette modification rend la LPRPDE comparable aux lois en matière de protection des renseignements personnels dans le secteur privé en Colombie-Britannique et en Alberta et elle permettra plus de flexibilité concernant les renseignements personnels d'employés en milieu de travail.
- Renseignements produits dans le cadre d'un emploi : L'article 7 de la LPRPDE permet la collecte, l'utilisation et la communication de renseignements personnels sans le consentement de la personne intéressée lorsqu'il s'agit de renseignements produits par cette dernière dans le cadre de son emploi ou de son entreprise, et dont la collecte et l'utilisation sont compatibles avec les fins auxquelles ils ont été produits. Cette exception contribuera à l'élimination de certains obstacles concernant les renseignements personnels produits par les employés dans le cadre de leur emploi lorsque leur consentement n'a pas nécessairement été obtenu. Toutefois, dans plusieurs cas, les organisations voudront probablement s'assurer que les renseignements produits par leurs employés ne constituent pas des « renseignements personnels » et donc qu'ils ne sont pas visés par la LPRPDE.
Dispenses relatives aux transactions commerciales
Les organisations ont souvent besoin de recueillir, d'utiliser ou de communiquer des renseignements personnels, y compris des renseignements personnels de leurs employés, afférents à un processus de vérification diligente et à la clôture d'une transaction commerciale. Désormais, la LPRPDE autorise ces activités sans le consentement de la personne intéressée, si, à la fois :
- les organisations ont conclu un accord aux termes duquel l'organisation recevant des renseignements personnels s'est engagée a) à ne les utiliser qu'à des fins liées à la transaction; b) à les protéger; c) si la transaction n'a pas lieu, à les remettre à l'organisation qui les lui a communiqués ou à les détruire;
- les renseignements personnels sont nécessaires pour décider si la transaction aura lieu et, le cas échéant, pour l'effectuer;
- pour les transactions commerciales effectuées, les organisations ont conclu un accord aux termes duquel chacune d'entre elles s'est engagée a) à n'utiliser et à ne communiquer les renseignements personnels qu'aux fins auxquelles ils ont été recueillis, utilisés ou communiqués avant que la transaction ne soit effectuée; b) à les protéger; c) à donner effet à tout retrait de consentement. De plus, les renseignements doivent être nécessaires à la poursuite des activités faisant l'objet de la transaction et, dans un délai raisonnable après que la transaction a été effectuée, l'une des parties doit aviser la personne intéressée du fait que la transaction a été effectuée et que ses renseignements personnels ont été communiqués.
Cette dispense ne s'applique pas à l'égard de la transaction dont l'objectif premier ou le résultat principal est l'achat, la vente ou toute autre forme d'acquisition ou de disposition de renseignements personnels, ou leur location. La dispense codifie la pratique courante et elle s'inspire de dispositions similaires prévues par la législation en matière de protection des renseignements personnels en Colombie-Britannique et en Alberta.
Application et sanctions
Une contravention aux exigences relatives à la déclaration d'une atteinte aux mesures de sécurité et à celles relatives à la tenue d'un registre des atteintes aux mesures de sécurité (p. ex. camouflage d'une atteinte, omission de faire une déclaration ou de donner un avis ou omission de tenir un registre) peut mener a) à une infraction punissable sur déclaration de culpabilité par procédure sommaire et une amende de 10 000 $; b) à une infraction par mise en accusation et une amende maximale de 100 000 $. L'interprétation de ces dispositions n'est toutefois pas claire à ce moment-ci (p. ex. imposition d'une amende pour chaque personne intéressée qui est touchée par une atteinte ou non).
L'article 17.1 de la LPRPDE introduit le concept de la conclusion d'un « accord de conformité », entre l'organisation et le commissaire (exécutoire par un tribunal) aux fins de faire respecter la LPRPDE. Cet accord constitue une forme restreinte d'« immunité relative » pour les organisations qui ont commis ou qui sont susceptibles de commettre une contravention à la LPRPDE.
Lorsqu'un accord de conformité a été conclu, le commissaire ne peut pas demander à la Cour fédérale d'entendre une question visée par l'accord. Toutefois, les accords de conformité ne constituent pas une immunité absolue; elles n'empêcheront pas les poursuites pour infraction ni les plaignants de présenter une demande devant la Cour fédérale.
Étant donné que les plaignants, à l'exclusion du commissaire, portent généralement les questions relatives à la LPRPDE devant la Cour fédérale, les organisations devront examiner attentivement si la conclusion d'un accord de conformité sert au mieux leurs intérêts. Par exemple, un accord de conformité peut être interprété comme étant une admission à une contravention à la LPRPDE. Quoiqu'un accord de conformité ne freine pas un plaignant dans ses démarches, la conclusion de cet accord peut l'influencer à ne pas aller plus loin avec sa question, et constituer un élément favorable pour l'organisation lorsque la Cour appréciera la manière dont l'organisation a géré un incident. Les tribunaux ont maintes fois évoqué qu'une gestion adéquate des incidents relatifs à la protection des renseignements personnels peut diminuer la probabilité d'accorder des dommages-intérêts et le quantum des dommages-intérêts en réparation d'une atteinte aux mesures de sécurité.
Autres modifications
L'article 20 de la LPRPDE prévoit que le commissaire et ses représentants sont tenus au secret en ce qui concerne les renseignements (y compris ceux figurant dans la déclaration d'une atteinte aux mesures de sécurité et dans le registre des atteintes aux mesures de sécurité) dont ils prennent connaissance par suite de l'exercice des attributions qui leur sont conférées en vertu de la LPRPDE. Toutefois, les organisations doivent être conscientes que le commissaire peut rendre publique toute information, s'il estime que cela est dans l'intérêt public. Ils peuvent également communiquer ces renseignements au gouvernement dans certaines circonstances liées à la violation d'accords et à la contravention à des lois.
La LPRPDE ne s'applique pas à l'égard des « coordonnées d'affaires » d'une personne (p. ex. son nom, son titre, les coordonnées de son lieu de travail) recueillies, utilisées ou communiquées uniquement pour entrer en contact avec elle dans le cadre de son emploi, de son entreprise ou de sa profession (paragraphe 2(1)).
La LPRPDE s'applique maintenant aux renseignements personnels des employés des succursales de banques étrangères autorisées (alinéa 2(1)g)).
En plus des dispenses relatives à l'exigence d'obtenir le consentement dans les cas énoncés ci-dessus, en voici d'autres :
- Exploitation financière : La communication de renseignements personnels au gouvernement, ou au plus proche parent de la personne intéressée ou à son représentant autorisé, s'il y a des motifs raisonnables de croire que la personne intéressée a été, est ou pourrait être victime d'exploitation financière. La dispense s'applique si la communication est faite uniquement à des fins liées à la prévention de l'exploitation ou à une enquête y ayant trait et s'il est raisonnable de s'attendre à ce que l'obtention du consentement de la personne intéressée compromette la capacité de prévenir l'exploitation ou d'enquêter sur celle-ci.
- Déclaration d'un témoin : La collecte, l'utilisation et la communication de renseignements personnels contenus dans la déclaration d'un témoin lorsque cela est nécessaire en vue de l'évaluation d'une réclamation d'assurance, de son traitement ou de son règlement.
- Communication avec le plus proche parent : La communication de renseignements personnels au gouvernement lorsqu'elle est demandée afin d'entrer en contact avec le plus proche parent d'une personne blessée, malade ou décédée, ou avec son représentant autorisé et que le gouvernement a mentionné la source de l'autorité légitime étayant son droit.
- Identification d'une personne intéressée qui est blessée ou décédée : La communication de renseignements au gouvernement ou au plus proche parent de la personne intéressée ou à son représentant autorisé aux fins d'identification de la personne intéressée qui est blessée, malade ou décédée (et si la personne intéressée est vivante, l'organisation l'en informe par écrit et sans délai).
Les organisations ne sont pas tenues de communiquer des renseignements qui sont protégés, en droit civil, par le secret professionnel liant l'avocat ou le notaire à son client (alinéa 9(3)a)).
Conclusions
Par suite de l'adoption de la Loi sur la protection des renseignements personnels numériques, et plus particulièrement des dispositions à venir relativement à la déclaration d'une atteinte aux mesures de sécurité et à la tenue d'un registre des atteintes aux mesures de sécurité, le Canada marque une ère nouvelle en ce qui concerne la législation en matière de protection des renseignements personnels. Les organisations qui sont assujetties à la législation canadienne en matière de protection des renseignements personnels feraient bien de prendre des mesures aujourd'hui pour s'assurer d'être conformes aux nouvelles règles et le demeurer.
Les changements législatifs apportés à la loi fédérale soulèvent toutefois des enjeux juridictionnels relativement à l'interaction entre la LPRPDE et la Loi dans le secteur privé.
Prenons l'exemple d'une entreprise québécoise qui ferait face à un bris de sécurité impliquant des renseignements personnels et qui présenterait « un risque réel de préjudice grave » à l'endroit d'individus situés majoritairement au Québec, mais aussi ailleurs au Canada. À l'heure actuelle, il n'y a pas d'obligation dans la loi québécoise de notifier les individus concernés par une telle atteinte. Si un tel bris de sécurité survient au Québec, doit-on comprendre que l'organisation serait tenue d'aviser les personnes situées à l'extérieur des frontières du Québec afin de se conformer à la LPRPDE, mais pas nécessairement celles situées au Québec, en dépit du fait que le plus grand nombre d'individus visés par le bris de sécurité y soient présents? Et qu'en serait-il si une entreprise étrangère faisant affaires au Canada était victime d'un bris de sécurité, pourrait-elle valablement considérer qu'elle n'a pas à aviser les personnes touchées ni le Commissaire à la protection de la vie privée si les seuls individus pour lesquels il y a un risque réel de préjudice grave sont situés au Québec?
De la même manière, on peut penser à une entreprise québécoise qui dans le cours de ses affaires transfère des renseignements personnels à un co-contractant situé aux États-Unis. Advenant la survenance d'un bris de sécurité impliquant des renseignements personnels détenus par la société américaine, l'entreprise faisant affaire au Québec aurait-elle l'obligation de notifier l'ensemble des individus situés au Canada, même ceux situés au Québec, compte tenu que le bris de sécurité serait survenu à l'occasion d'une communication de renseignements personnels outre frontière?
La LPRPDE introduit aussi plusieurs exceptions relatives à l'exigence de l'obtention du consentement qui ne se retrouvent pas dans la Loi dans le secteur privé. C'est le cas notamment des parties qui souhaitent procéder à un processus de vérification diligente avant de déterminer si elles concluront une transaction commerciale. L'application de ces exemptions pose les mêmes enjeux juridictionnels. À titre d'exemple, une entreprise québécoise ayant un établissement en Ontario pourrait-elle valablement se prévaloir de cette nouvelle disposition en faisant le choix de procéder à la vérification diligente dans l'un de ses établissements ontariens? À l'inverse, une entreprise située en Ontario pourrait-elle se prévaloir de cette nouvelle disposition sans égard au fait que la vérification diligente implique la divulgation de renseignements personnels de personnes situées au Québec n'ayant pas donné leur consentement à une telle divulgation?
Ces questions nous apparaissent d'autant plus importantes vu les sanctions auxquelles s'exposent les entreprises qui auront sciemment contrevenu aux obligations de notification et de tenue d'un registre recensant les bris de sécurité. Vu les conséquences en jeu pour les organisations, il n'est pas exclu que les nouvelles dispositions de la loi fédérale fassent éventuellement l'objet de débats devant les tribunaux, ce qui mènera à des éclaircissements sur les questions qui précèdent.
Le gouvernement du Québec a annoncé au printemps que la Loi dans le secteur privé fera éventuellement l'objet d'une consultation auprès des intervenants concernés dans le but d'y apporter certaines modifications. À l'époque, la Loi dans le secteur privé au Québec a précédé d'une décennie la mise en vigueur de la LPRPDE. C'est maintenant au tour de la réforme de la LPRPDE de devancer la modernisation de la Loi dans le secteur privé. À cet égard, il sera intéressant de voir si et dans quelle mesure les solutions adoptées au fédéral sauront inspirer le législateur québécois.
[1] Décret d'exclusion visant des organisations de la province de Québec, DORS/2003-374.
