La refonte proposée de la loi canadienne sur la protection des renseignements personnels dans le secteur privé « un pas dans la bonne direction » : commissaire

Le commissaire à la protection de la vie privée du Canada affirme que les propositions du gouvernement visant à moderniser la loi fédérale sur la protection de la vie privée dans le secteur privé sont « un pas dans la bonne direction », mais doivent aller plus loin pour protéger les droits fondamentaux à la vie privée.

La déclaration du commissaire à la protection de la vie privée Phillipe Dufesne a été présentée dans un mémoire sur le projet de loi C-27, la Loi sur la protection de la vie privée des consommateurs (CPPA), la nouvelle loi sur la protection de la vie privée du secteur privé proposée par le gouvernement, au comité permanent de l’industrie et de la technologie de la Chambre des communes.

Dans le cadre de son mémoire, Dufresne a réitéré l’appel de son bureau pour que la législation reconnaisse la vie privée comme un droit fondamental et que la loi limite la collecte, l’utilisation et la divulgation de renseignements personnels par les organisations à des fins spécifiques et explicites qui tiennent compte du contexte pertinent.

C-27 a été déposé au Parlement en juin dernier. Il a été récemment transmis au Comité de l’industrie pour témoignage et analyse détaillée. Aucune date n’a encore été fixée pour le début des audiences.

La loi fédérale sur la protection des renseignements personnels dans le secteur privé s’applique aux industries et aux entreprises sous réglementation fédérale dans les provinces et les territoires qui n’ont pas leur propre loi. Cela inclut toutes les juridictions sauf la Colombie-Britannique, l’Alberta et le Québec.

Alors que C-27 inclut le projet de loi sur les données d’intelligence artificielle (AIDA) pour réglementer l’IA, les commentaires de Dufresne ne traitent que de la CPPA. Certains experts espèrent que le gouvernement séparera l’ACRA de C-27, arguant qu’il a besoin d’une analyse distincte. D’autres soutiennent qu’un projet de loi défectueux sur l’IA vaut mieux que rien.

Dufresne a déclaré que la CPPA est une amélioration par rapport à la loi existante, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), ainsi qu’une version antérieure du projet de loi réformiste (connu à l’époque sous le nom de C-11) qui est mort au déclenchement des dernières élections.

« Je salue et suis encouragé par la prochaine étude du comité sur le projet de loi C-27 », a déclaré Dufresne. « Ce projet de loi est un pas dans la bonne direction, mais il peut et doit aller plus loin pour protéger les droits fondamentaux à la vie privée des Canadiens tout en soutenant l’intérêt public et l’innovation.

Dans sa présentation écrite au comité, Dufresne a énuméré 15 recommandations clés pour améliorer et renforcer la loi proposée.

Ils sont:

1. 1. reconnaître la vie privée comme un droit fondamental;
   2. protéger la vie privée des enfants et l’intérêt supérieur de l’enfant ;
   3. limiter la collecte, l’utilisation et la divulgation de renseignements personnels par les organisations à des fins précises et explicites qui tiennent compte du contexte pertinent;
   4. élargir la liste des infractions donnant droit à des sanctions financières pour inclure, au minimum, les infractions à des fins appropriées ;
   5. donner le droit de disposer des informations personnelles même lorsqu’une politique de conservation est en place ;
   6. créer une culture de confidentialité en exigeant des organisations qu’elles intègrent la confidentialité dans la conception des produits et services et qu’elles effectuent des évaluations d’impact sur la vie privée pour les initiatives à haut risque ;
   7. renforcer le cadre des informations dépersonnalisées et rendues anonymes ;
   8. exiger des organisations qu’elles expliquent, sur demande, toutes les prédictions, recommandations, décisions et profils effectués à l’aide de systèmes de décision automatisés ;
   9. limiter la capacité du gouvernement à faire des exceptions à la loi au moyen de règlements;
   10. prévoir que l’exception pour la divulgation de renseignements personnels sans consentement à des fins de recherche ne s’applique qu’à la recherche savante;
   11. permettre aux individus d’utiliser des représentants autorisés pour aider à faire progresser leurs droits à la vie privée ;
   12. offrir une plus grande flexibilité dans l’utilisation des accords de conformité volontaire pour aider à résoudre les problèmes sans avoir besoin de processus plus contradictoires ;
   13. rendre le processus de traitement des plaintes plus rapide et économique en simplifiant l’examen des décisions du commissaire;
   14. modifier les échéanciers pour s’assurer que le régime de protection de la vie privée est accessible et efficace;
   15. accroître la capacité du commissaire à collaborer avec des organisations nationales afin d’assurer une plus grande coordination et efficacité dans le traitement des questions soulevant des questions de protection de la vie privée.

Parmi les améliorations apportées par C-27 par rapport à C-11, a déclaré Dufresne, figure l’ajout d’un préambule pour offrir des orientations sur les objectifs plus larges de la loi; de nouvelles dispositions pour aider à protéger la vie privée des mineurs; une extension des informations personnelles dont les individus peuvent demander la suppression ; des modifications visant à exiger que les informations fournies pour obtenir un consentement valide soient présentées dans un langage compréhensible ; et des modifications qui accordent un pouvoir discrétionnaire accru au Commissariat à la protection de la vie privée, par exemple, en ce qui concerne les plaintes et les enquêtes.

D’autres différences entre C-27 et la version précédente que Dufresne aime comprennent une exigence élargie pour s’assurer que la manière dont les renseignements personnels sont recueillis, utilisés et divulgués est appropriée; une modification aux mesures de responsabilisation obligeant les organisations à maintenir des programmes de gestion de la confidentialité; et une nouvelle exigence d’authentification de l’identité dans le cadre des exigences de protection de la sécurité.

Les entreprises peuvent concentrer leur attention sur l’insistance du commissaire à ce que l’ACPP limite la collecte, l’utilisation et la divulgation de renseignements personnels par les organisations à des fins précises et explicites qui tiennent compte du contexte pertinent.

La CPPA, comme la LPRPDE, fixe des limites quant à la manière dont une entreprise peut collecter, utiliser ou divulguer des informations personnelles, indique le mémoire. Toutefois, il ajoute, sous LPRPDE, les objectifs des organisations pour le traitement des informations personnelles doivent être «explicitement spécifiés». Cette exigence importante, à savoir que les objectifs soient à la fois explicites et spécifiques, est absente de la CPPA. “Sans cela”, explique Dufresne, “la porte est ouverte aux organisations identifiant des objectifs trop larges et ambigus, tels que” l’amélioration de l’expérience client “.”

Dufrense a également déclaré que des dispositions devraient être ajoutées au CPPA exiger des organisations qu’elles pratiquent la protection de la vie privée dès la conception et qu’elles effectuent des évaluations d’impact sur la vie privée pour les activités à haut risque.

Ses recommandations pour modifier le CPPA traitent également des systèmes logiciels de prise de décision automatisée, comme l’apprentissage automatique et l’IA. Le CPPA impose deux nouvelles obligations aux organisations utilisant des systèmes décisionnels automatisés. Cependant, Dufresne dit que leur portée est trop limitée dans les domaines où il devrait y avoir une transparence accrue.

Par exemple, le mémoire de Dufresne dit, contrairement au UERèglement général sur la protection des données (RGPD) et d’autres lois modernes sur la protection de la vie privée en Californie et au Québec, les obligations ne s’appliquent pas explicitement au profilage. Telles qu’elles sont rédigées, les obligations ne s’appliqueraient qu’aux systèmes de décision automatisés qui prennent des décisions, des recommandations ou des prédictions. Le profilage devrait être ajouté à cette liste, indique la soumission.

Le CPPA exige également que les organisations fournissent un compte rendu général de l’utilisation de tout système de décision automatisé qui fait des prédictions, des recommandations ou des décisions qui pourraient avoir un «impact significatif» sur les individus. Ce qualificatif devrait être supprimé, indique la soumission.