Conséquences indésirables du projet de loi sur la protection des renseignements personnels

  • 22 fĂ©vrier 2022

Le projet de loi C-11, Loi de 2020 sur la mise en Ĺ“uvre de la Charte du numĂ©rique, a Ă©tĂ© dĂ©posĂ© en novembre 2020, puis est mort au Feuilleton avec le dĂ©clenchement des Ă©lections de 2021. Un nouveau projet de loi devrait ĂŞtre dĂ©posĂ© au Parlement en 2022. La Section du droit de la vie privĂ©e et de l’accès Ă  l’information de l’Association du Barreau canadien avait rĂ©pondu au document de consultation Renforcer la protection de la vie privĂ©e dans l’ère numĂ©rique en 2019 (disponible uniquement en anglais). Elle offre maintenant ses commentaires (disponibles uniquement en anglais; les citations qui en sont tirĂ©es sont des traductions) sur le projet de loi C-11 afin d’orienter le gouvernement dans la prĂ©sentation du nouveau projet de loi.

La section appuie de façon gĂ©nĂ©rale le projet de loi C-11, mais considère que certains points pourraient entraĂ®ner des consĂ©quences indĂ©sirables si le mĂŞme projet de loi Ă©tait dĂ©posĂ© de nouveau. Voici un rĂ©sumĂ© des principaux points d’achoppement et de la manière dont la section suggère de les rĂ©soudre.

DĂ©personnalisation

Le libellĂ© de la dĂ©finition de la dĂ©personnalisation prĂ©occupe la section. Celle-ci estime que la barre est placĂ©e trop haut et que les activitĂ©s commerciales ordinaires subiront de trop grandes restrictions. La section suggère plutĂ´t l’adoption d’une dĂ©finition comme celle de la pseudonymisation dans le Règlement gĂ©nĂ©ral sur la protection des donnĂ©es (RGPD).

Dans le projet de loi C-11, dĂ©personnaliser signifie « [m]odifier des renseignements personnels – ou crĂ©er des renseignements Ă  partir de renseignements personnels – au moyen de procĂ©dĂ©s techniques afin que ces renseignements ne permettent pas d’identifier un individu ni ne puissent, dans des circonstances raisonnablement prĂ©visibles, ĂŞtre utilisĂ©s, seuls ou en combinaison avec d’autres renseignements, pour identifier un individu ».

De tels renseignements ne sont plus « personnels » s’ils sont anonymisĂ©s, ajoute la section, et ne doivent donc pas ĂŞtre soumis Ă  la Loi sur la protection de la vie privĂ©e des consommateurs proposĂ©e ou Ă  toute autre loi rĂ©gissant les renseignements personnels. « En outre, la confusion des concepts de renseignements anonymisĂ©s et de renseignements dĂ©personnalisĂ©s risque d’engendrer des problèmes d’interprĂ©tation et de conformitĂ© en droit international », peut-on lire dans la lettre de la section.

Exonération des transactions commerciales

L’exigence selon laquelle les renseignements doivent ĂŞtre dĂ©personnalisĂ©s avant d’ĂŞtre partagĂ©s dans le cadre d’une transaction commerciale est impraticable, selon la section. En particulier lors des fusions et acquisitions, des investissements et d’autres transactions commerciales oĂą il est souvent nĂ©cessaire de divulguer certains renseignements personnels pour que l’acheteur puisse exercer la diligence requise.

L’article 7.2 de la Loi sur la protection des renseignements personnels et les documents Ă©lectroniques, en revanche, fonctionne bien. « La section n’a Ă©tĂ© informĂ©e d’aucune enquĂŞte ou dĂ©cision du Commissariat Ă  la protection de la vie privĂ©e oĂą une utilisation abusive de renseignements personnels divulguĂ©s en vertu de ces dispositions aurait Ă©tĂ© en cause », prĂ©cise la lettre.

Flux de données interprovincial, ordonnances provisoires et systèmes décisionnels automatisés

La section souhaite que les rĂ©fĂ©rences aux flux de donnĂ©es interprovinciaux soient supprimĂ©es, puisqu’il ne devrait pas y avoir d’obstacles au commerce interprovincial et que la Loi sur la protection de la vie privĂ©e des consommateurs proposĂ©e s’appliquerait aux transferts interprovinciaux.

La section demande Ă©galement que le pouvoir d’ordonnance provisoire du Commissariat Ă  la protection de la vie privĂ©e soit retirĂ© de la Loi sur la protection de la vie privĂ©e des consommateurs. « Comme les enquĂŞtes du Commissariat sont dĂ©clenchĂ©es par des plaintes, explique-t-elle, elles peuvent porter sur une pratique courante de l’industrie. Si le Commissariat interdisait l’action Ă  un stade prĂ©coce et prenait des mois, voire des annĂ©es, pour rendre une dĂ©cision, cela entraĂ®nerait des consĂ©quences importantes pour la compĂ©titivitĂ© des organisations. »

La crĂ©ation d’un cadre rĂ©glementaire pour certains types de systèmes dĂ©cisionnels automatisĂ©s est souhaitable, mais l’approche doit ĂŞtre intersectionnelle et nuancĂ©e. La section recommande une rĂ©vision de la dĂ©finition des systèmes dĂ©cisionnels automatisĂ©s « afin de viser plus particulièrement les technologies qui se substituent Ă  l’Ă©valuation et aux prises de dĂ©cisions humaines ». En outre, les obligations des organisations devraient ĂŞtre limitĂ©es Ă  la prise de dĂ©cision automatisĂ©e « ayant un impact matĂ©riel rĂ©el sur les individus ou prĂ©sentant un risque de prĂ©judice important pour eux », indique-t-on dans la lettre.