Loi sur la protection de la vie privée des consommateurs du Canada : incidences sur les entreprises

Le 17 novembre 2020, le ministre de l’Innovation, des Sciences et de l’Industrie Navdeep Bains a présenté le projet de loi C-11, intitulé Loi édictant la Loi sur la protection de la vie privée des consommateurs et la Loi sur le Tribunal de la protection des renseignements personnels et des données et apportant des modifications corrélatives et connexes à d’autres lois ou, de son titre abrégé, Loi de 2020 sur la mise en œuvre de la Charte du numérique. Ce projet de loi a pour objectif de moderniser et, à certains égards, de renforcer la législation canadienne relative à la protection des renseignements personnels dans le secteur privé. Pour arriver à ces fins, le projet de loi accroît les exigences de transparence et de contrôle des renseignements personnels détenus par les entreprises et impose de nouvelles pénalités, potentiellement onéreuses, en cas de non-respect des dispositions qu’il contient. Nous avons préparé un article qui se concentre sur les principales différences entre le cadre actuel de protection des renseignements personnels du palier fédéral, la Loi sur la protection des renseignements personnels et les documents électroniques, et la loi destinée à la remplacer, à savoir la Loi sur la protection de la vie privée des consommateurs (la « LPVPC ») ainsi que leur incidence sur les entreprises canadiennes:

  • Nouveaux mécanismes de pénalités :
    • Attribution au Tribunal de la protection des renseignements personnels et des données nouvellement constitué du pouvoir d’imposer, sur recommandation du Commissariat à la protection de la vie privée du Canada (le « Commissaire »), des sanctions administratives pécuniaires d’un montant pouvant aller jusqu’à 10 000 000 $ CA ou 3 % des recettes globales brutes de l’organisation au cours de son exercice précédent, selon le plus élevé des deux montants.
    • Augmentation des amendes susceptibles d’être imposées dans le cadre de poursuites pénales jusqu’à un montant maximum de 25 000 000 $ CA, ou, s’il est supérieur, à un montant correspondant à 5 % des recettes globales brutes de l’organisation au cours de son exercice précédent.
    • Nouveau recours civil, le « droit privé d’action », pour les particuliers.
    • Nouvelles dispositions permettant la création de « codes de pratique » et de « programmes de certification ».
  • Nouveaux droits individuels inspirés du droit européen : droit d’être informé des décisions automatisées, droit de retrait et droit à la mobilité.
  • Règles de responsabilité renforcées :
    • Nouvelle définition de la notion de « relève ».
    • Nouvelle obligation d’établir, de mettre en œuvre et de rendre disponible un programme de gestion de la protection des renseignements personnels.
    • Clarification du rôle et des responsabilités des fournisseurs de services.
  • Exigences renforcées en matière de consentement, notamment une clarification de la notion de consentement valide.
  • Certaines règles moins strictes : nouvelles exceptions au consentement concernant les renseignements dépersonnalisés, les fins socialement bénéfiques et les pratiques commerciales légitimes.

Notre article complet est disponible en français et en anglais.

This content has been updated on December 1, 2020 at 13 h 57 min.