L’Institut C.D. Howe examine la nouvelle législation sur la vie privée

Un nouveau rapport de l’Institut C.D. Howe, intitulé Getting Personal : The Promise and Potential Missteps of Canada’s New Privacy Legislation, examine en détail les amendements du projet de loi C-27 et les mises à jour législatives des règles fédérales sur la vie privée qui s’appliquent dans les contextes commerciaux. 

Plus précisément, le document se penche sur la première et deuxième partie du projet de loi, la Loi sur la protection de la vie privée des consommateurs (LPVPC) et la Loi sur le Tribunal de la protection des renseignements personnels et des données (Loi sur le Tribunal). Les auteurs écrivent qu’une mise à jour de la législation fédérale sur la protection de la vie privée est plus que nécessaire, mais ajoutent que les législateurs devraient se méfier des amendements proposés qui pourraient augmenter les coûts et l’incertitude autour de la mise en œuvre de la nouvelle loi — sans amélioration perceptible de la protection de la vie privée des Canadiens. 

« Des règles efficaces concernant la manière dont les données personnelles sont traitées sont fondamentales, » indique le document. « Cependant, en poursuivant ces objectifs (à la fois celui de protection de la vie privée des individus et celui de tirer profit de la transformation continue de l’économie), les gouvernements devraient chercher à préserver et même à améliorer les avantages substantiels que les Canadiens peuvent attendre de la numérisation de l’économie. » 

Ils ajoutent que la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est perçue comme un ensemble de règles qui sont de plus en plus dépassées par rapport à d’autres juridictions internationales et même nationales. « La LPVPC remplacera essentiellement la LPRPDE en ce qui concerne la collecte, l’utilisation et la divulgation de renseignements personnels dans le cadre d’activités commerciales, » écrivent-ils.

« Les changements clés dans la LPVPC par rapport à la LPRPDE comprennent des exigences plus spécifiques pour déterminer ce qui constitue un consentement valide, y compris la nécessité de communiquer dans un langage clair. » 

Les auteurs ajoutent que la nouvelle législation introduit des définitions et des exigences pour l’anonymisation et la désidentification des données qui n’existaient pas dans la LPRPDE. La loi confère également des pouvoirs d’exécution accrus au commissaire à la vie privée du Canada, y compris la capacité d’émettre des ordres et de recommander des sanctions pécuniaires. 

En examinant l’équilibre entre la préservation de la vie privée des renseignements personnels et les politiques qui soutiennent une économie basée sur les données, ils disent que les gouvernements ne devraient pas établir des règles si lourdes qu’elles deviennent coûteuses pour les entreprises à naviguer ou rendent difficile l’expansion dans l’espace numérique. 

Les auteurs concluent en formulant quatre recommandations, notamment que les gouvernements et les entreprises déploient des efforts soutenus pour aider les Canadiens à comprendre les avantages et les risques liés au partage ou au non-partage de leurs données personnelles. Ils suggèrent que le gouvernement fédéral tire parti de son pouvoir en matière d’échanges et de commerce pour chercher à harmoniser les lois sur la protection de la vie privée dans l’ensemble du pays.

De plus, ils recommandent aux législateurs et aux gouvernements d’autoriser un processus de mise en œuvre progressive plus long pour les petites entreprises qui ne traitent pas d’informations sensibles. Enfin, ils recommandent la création d’un conseil de la protection de la vie privée composé des autorités de réglementation fédérales et provinciales compétentes, des consommateurs, des entreprises et des acteurs de la recherche qui s’engagent à respecter la protection de la vie privée.