Cet article fait partie d’une série rédigée à l’intention d’entités internationales qui souhaitent lancer ou exploiter une entreprise au Canada, ou encore investir dans une société canadienne. Du droit de l’emploi au droit fiscal, chaque article couvre un secteur juridique fondamental au Canada et fait l’objet d’une mise à jour annuelle. Vous trouverez toute la série sur la page Faire affaire au Canada : Guide pratique de A à Z.
Au Canada, le cadre applicable de protection des données varie légèrement en fonction de la province où sont exercées les activités, et selon que les entreprises relèvent du fédéral ou du provincial et qu’elles traitent ou non des renseignements personnels de clients ou d’employés. Notons que des modifications d’envergure ont été récemment apportées à la législation québécoise, dont certaines sont déjà en vigueur. De plus, une refonte de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est à l’étude par le Parlement du Canada et devrait être adoptée au cours de la prochaine année. Le projet de loi présentant cette réforme contient aussi des propositions qui pourraient constituer le tout premier texte législatif encadrant le développement, l’utilisation et le déploiement de l’intelligence artificielle au Canada. Enfin, les entreprises qui acheminent des renseignements personnels à l’extérieur du pays doivent garder à l’esprit que la législation canadienne leur impose un devoir de transparence.
Législation en matière de protection des renseignements personnels
Les lois canadiennes sur le respect de la vie privée et la protection des données présentent les droits et les devoirs des secteurs public et privé en la matière, en plus de fixer des règles quant aux renseignements personnels sur la santé.
Elles peuvent s’appliquer à toute organisation, physiquement présente ou non au pays, qui collecte de l’information sur des résidents canadiens.
Selon la province dans laquelle elles exercent leurs activités, les organisations du secteur privé au Canada sont assujetties aux lois provinciales ou fédérales pour ce qui est de la collecte, de l’utilisation et de la communication de renseignements personnels. Ces lois visent à concilier le droit d’un particulier à la vie privée et le besoin des organisations d’obtenir et d’utiliser des renseignements personnels à des fins raisonnables. Elles couvrent également la conservation et le retrait ou la destruction des données, ainsi que les mesures de sécurité à prendre pour préserver la confidentialité de l’information.
Entités auxquelles la LPRPDE s’applique :
- les « entreprises fédérales » (qui exercent leurs activités dans des secteurs comme la navigation, le transport maritime, ferroviaire ou aérien, le transport interprovincial, les communications, les télécommunications et les banques); dans ce cas, la LPRPDE s’applique à tous les renseignements personnels que l’entreprise recueille, utilise ou communique, y compris l’information sur ses propres employés;
- les organisations qui collectent, utilisent ou divulguent des renseignements personnels « dans le cadre d’activités commerciales » et qui exercent leurs activités dans une province n’ayant pas édicté de loi reconnue par Ottawa comme étant « essentiellement similaire » à la LPRPDE;
- les organisations qui acheminent des données personnelles, contre rémunération, à l’extérieur de la province où elles les ont recueillies.
Des lois jugées « essentiellement similaires » à la LPRPDE ont été adoptées au Québec (la Loi sur la protection des renseignements personnels dans le secteur privé ou LPRPSP), en Alberta (la Personal Information Protection Act ou PIPA de l’Alberta) et en Colombie-Britannique (Personal Information Protection Act ou PIPA de la Colombie-Britannique). Par conséquent, la LPRPDE ne s’applique pas à la collecte, à l’utilisation ou à la communication de renseignements personnels dans ces provinces, bien qu’elle continue de s’appliquer aux transactions interprovinciales ou internationales comportant des renseignements personnels ainsi qu’aux activités et entreprises de compétence fédérale dans ces provinces.
En vertu de toutes ces lois, l’expression « renseignements personnels » est définie de façon générale comme étant « toute information sur une personne identifiable », sauf exception. Par exemple, selon la LPRPDE, les renseignements collectés, utilisés ou divulgués uniquement pour entrer en contact — ou faciliter la prise de contact — avec une personne dans un cadre professionnel, tel que son nom, son poste ou son titre, l’adresse ou les numéros de téléphone ou de télécopieur de son lieu de travail ou son adresse électronique au travail, ne sont pas des renseignements personnels. Les PIPA de l’Alberta et de la Colombie-Britannique contiennent des dispositions similaires, et la seconde exclut également le produit du travail d’un employé des renseignements personnels. Au Québec, de récentes modifications à la LPRPSP ont soustrait les « renseignements personnels qui concernent l’exercice par la personne concernée d’une fonction au sein d’une entreprise » des obligations relatives aux avis et au consentement que prévoit cette même loi.
En outre, les entités appartenant à la deuxième catégorie présentée ci-dessus (c’est-à-dire les entités de compétence provinciale) ne sont pas assujetties à la LPRPDE en ce qui concerne les renseignements de leurs employés. En effet, en vertu de la constitution canadienne, le gouvernement fédéral n’a pas l’autorité nécessaire pour légiférer sur les relations d’emploi, lesquelles sont régies par les provinces. Cela dit, les lois adoptées par le Québec, l’Alberta et la Colombie-Britannique couvrent les renseignements personnels des employés.
Par ailleurs, toutes les provinces (à l’exception de la Colombie-Britannique) disposent de lois visant la collecte et la communication de renseignements personnels sur la santé. Certaines de ces lois sont d’ailleurs reconnues comme étant « essentiellement similaires » à la LPRPDE à certaines fins. Bien que la législation en question s’applique principalement aux praticiens et aux organisations du secteur de la santé (comme les médecins et les hôpitaux), elle peut également viser l’employeur qui détient des renseignements personnels sur la santé d’un employé (ayant trait, par exemple, à une incapacité ou au retour au travail de l’employé après un accident ou une maladie). Québec est la toute dernière province à avoir légiféré pour protéger les renseignements personnels sur la santé; le projet de loi no 3, Loi sur les renseignements de santé et de services sociaux et modifiant diverses dispositions législatives, a été adopté en avril 2023 et est entré en vigueur par décret gouvernemental.
La LPRPDE et les lois provinciales équivalentes exigent généralement le respect des principes ci-dessous.
- Responsabilisation : Une organisation est responsable des renseignements personnels dont elle a la gestion et doit désigner une ou des personnes qui devront s’assurer du respect de la loi. Contrairement à l’administrateur de la protection des données mentionné dans le Règlement général sur la protection des données (RGPD), la personne qui exerce les fonctions de responsable aux termes de la loi fédérale n’a pas à être indépendante.
- Détermination des fins de la collecte de renseignements : Les fins auxquelles les renseignements personnels sont recueillis doivent être déterminées par l’organisation avant la collecte ou au moment de celle-ci.
- Consentement : Sauf exception, toute personne doit être informée de la collecte, de l’utilisation ou de la divulgation de ses renseignements personnels et y consentir. Le consentement peut être exprès ou implicite, selon les circonstances et le type d’information visée. Le Commissariat à la protection de la vie privée (CPVP) fédéral et ceux de l’Alberta et de la Colombie-Britannique ont publié des directives en vigueur depuis janvier 2019 sur l’obtention du consentement éclairé.
- Limitation de la collecte : Une organisation ne doit recueillir que l’information strictement nécessaire aux fins préalablement déterminées.
- Limitation de l’utilisation, de la communication et de la conservation des données : Les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis, à moins que la personne concernée n’y consente ou que la loi ne l’exige. De plus, ils ne doivent pas être conservés au-delà du temps nécessaire à l’atteinte des fins déterminées.
- Exactitude : Les renseignements personnels doivent être aussi exacts, complets et à jour que l’exigent les fins auxquelles ils sont destinés.
- Protection : Les renseignements personnels doivent être protégés par des mesures de sécurité physiques, organisationnelles et technologiques correspondant à leur niveau de confidentialité. La notion d’information sensible a fait l’objet d’un bulletin d’interprétation du CPVP.
- Transparence : Les organisations doivent rendre facilement accessibles l’information sur leurs politiques et leurs pratiques de gestion des renseignements personnels.
- Accès d’une personne à ses renseignements personnels : Sur demande, une personne doit être informée de l’existence, de l’utilisation ou de la divulgation de renseignements qui la concernent, et être autorisée à les consulter. Elle doit aussi être en mesure de contester l’exactitude et l’exhaustivité des renseignements et d’y faire apporter les corrections appropriées.
- Possibilité de porter plainte pour non-respect des principes : Toute personne doit être en mesure de se plaindre du non-respect des principes précédents en communiquant avec le ou les responsables nommés par l’organisation.
Si une organisation canadienne envoie des renseignements personnels à l’extérieur du pays (par exemple, à une société mère internationale ou à un fournisseur de services hors Canada), elle est tenue de le divulguer dans ses politiques sur la vie privée pour respecter ses obligations de protection et de transparence. Bien qu’on l’ait jugée implicite dans diverses lois sur la protection des renseignements personnels au Canada, l’Alberta a rendu cette obligation explicite dans la PIPA. Au Québec, la LPRPSP modifiée contient des exigences de transparence claires et restreint davantage le transfert de renseignements personnels hors province en exigeant que le territoire de destination protège les données adéquatement, ce qui doit être confirmé par une évaluation des facteurs relatifs à la vie privée. Cette évaluation doit tenir compte de différents facteurs, comme le niveau de confidentialité et les fins d’utilisation des données, les mesures de sécurité en place et le cadre législatif du territoire de destination. Les organisations et leurs fournisseurs de services étrangers doivent aussi conclure des ententes contractuelles détaillant les mesures de sécurité à prendre pour garantir un niveau de protection comparable des renseignements personnels des Canadiens.
La LPRPDE, la PIPA de l’Alberta et la LPRPSP du Québec obligent les entreprises à déclarer toute atteinte aux mesures de sécurité pouvant présenter un risque réel de préjudice grave à l’endroit d’un individu. La LPRPDE et la LPRPSP du Québec les forcent aussi à tenir et conserver un registre de toutes les atteintes aux mesures de sécurité ayant trait à des renseignements personnels dont elles ont la gestion. En Colombie-Britannique, l’organisme de réglementation en matière de protection de la vie privée recommande aux organisations de lui rapporter de telles atteintes et d’en informer les particuliers touchés.
Autres obligations en matière de respect de la vie privée
Outre celles prévues par la LPRPDE et les lois provinciales traitant de la collecte, de l’utilisation et de la communication des renseignements personnels dans le secteur privé, d’autres obligations législatives en la matière peuvent incomber aux entreprises. Ainsi, plusieurs provinces ont promulgué des lois rendant passible de pénalités toute personne qui, sciemment et sans droit, viole la vie privée d’une autre. La Privacy Act de la Colombie-Britannique en est un bon exemple. En vertu de cette loi, le type et le degré de respect de la vie privée auxquels une personne a droit dans une situation donnée dépend de ce qui est jugé raisonnable à la lumière des intérêts légitimes d’autres personnes; de la nature, de l’incidence et des circonstances de l’action ou de la conduite et des liens entre les parties.
Au Québec, le Code civil, la Charte des droits et libertés de la personne et la Loi concernant le cadre juridique des technologies de l’information prévoient d’autres obligations en matière de respect de la vie privée, de même qu’un délit civil pour violation de la vie privée. En Ontario, le délit d’intrusion dans l’intimité a été reconnu en 2012.
Les entreprises qui traitent avec des organismes gouvernementaux doivent aussi prendre connaissance d’autres lois régissant l’accès aux renseignements personnels, à savoir les lois sur l’accès à l’information et la protection de la vie privée des diverses provinces et, au fédéral, la Loi sur l’accès à l’information et la Loi sur la protection des renseignements personnels. Sous réserve de certaines exceptions, ces lois restreignent la capacité des entités gouvernementales à communiquer des renseignements personnels à des tiers et, en Colombie-Britannique, elles imposent des obligations aux entreprises du secteur privé qui fournissent des services à l’État. Comme elles font aussi peser d’importantes contraintes sur les organismes gouvernementaux – mais pas sur les entreprises privées –, il importe d’en tenir compte avant de leur divulguer quelconque renseignement personnel.
Loi canadienne anti-pourriel (LCAP)
Très contraignante, la LCAP régit bien plus que les simples pourriels. Elle s’applique à tous les messages électroniques commerciaux envoyés à des clients ou des partenaires d’affaires, et oblige les expéditeurs de ces messages à obtenir le consentement exprès des destinataires, sauf dans de rares situations où l’acceptation est jugée implicite. Toute violation de la LCAP est passible de lourdes amendes.
Entrée en vigueur en 2014, la LCAP énonce les règles exhaustives à suivre pour envoyer des messages électroniques au Canada ou à des destinataires qui se trouvent au Canada. Il s’agit probablement de la loi la plus stricte et la plus complète au monde entourant les communications électroniques. Le Canada a aussi adopté des règles sur les télécommunications non sollicitées, qui s’appliquent au télémarketing.
En effet, la LCAP interdit l’envoi de messages électroniques commerciaux (ce qui comprend les courriels et les messages texte) à moins que les destinataires n’aient donné leur consentement à les recevoir. Elle prévoit également que le message doit comporter certains renseignements réglementaires ainsi qu’un mécanisme de « désabonnement ». Nonobstant son nom, la loi agit bien au-delà des pourriels; elle couvre tous les messages électroniques envoyés à des clients ou échangés entre des entreprises qui sont expédiés ou ouverts à partir d’un appareil situé au Canada. Enfin, elle interdit la modification des données de transmission d’un message électronique et l’installation de programmes dans l’ordinateur d’une autre personne, à l’insu et sans le consentement de cette personne, dans le cadre d’activités commerciales. Contrairement à la législation américaine, qui requiert uniquement qu’un consommateur puisse se retirer d’une liste de diffusion, la LCAP exige le consentement explicite de tout destinataire de messages électroniques commerciaux (au sens large), sauf dans de rares situations où l’acceptation est jugée implicite (par exemple, lorsqu’une relation d’affaires a déjà cours).
Quiconque enfreint cette règle s’expose à de fortes amendes pouvant atteindre 1 M$ CA par violation pour les particuliers, et 10 M$ CA pour les organisations. Bien que le droit privé d’action ait été suspendu, les infractions à la LCAP demeurent régies par les dispositions d’application de la réglementation, ce qui peut entraîner des enquêtes réglementaires et des procédures exécutoires chronophages et coûteuses. À ce jour, l’amende maximale enregistrée était de 200 000 $ CA.
