L’acteur central de cette nouvelle donne, c’est le Commissaire à la vie privée qui aura le pouvoir de recevoir les plaintes du public, déclencher des enquêtes, convoquer des témoins et recommander des amendes. En cas d’appel, ce sera au nouveau Tribunal de la protection des renseignements personnels et des données de réévaluer le dossier. Ce tribunal devra également établir le montant des amendes, qui pourront aller jusqu’à 25 millions ou 5 % du revenu « global » des entreprises fautives, selon le plus élevé des deux montants.

Il s’agit des « plus fortes amendes au sein du G7 », a précisé le ministre. Celles-ci ne pourront toutefois être imposées si l’entreprise visée fait déjà face à une poursuite devant d’autres instances. La loi n’aura pas non plus une portée rétroactive.

Qu’est-ce qui pourrait valoir à une entreprise cette amende maximale ? En breffage technique, des responsables du Ministère ont donné en exemple une société qui aurait tenté de camoufler un vol de données et n’aurait pas avisé ses utilisateurs. L’utilisation de données personnelles à des fins autres que celles auxquelles le consommateur a consenti pourrait également lui valoir cette pénalité.

Transparence

Le projet de loi sur la protection de la vie privée des consommateurs déposée mardi contient également plusieurs dispositions pour permettre un meilleur contrôle des données personnelles par les usagers. D’abord, pour les récolter, les entreprises devront obtenir le consentement dans un document « présenté en langage simple, pas dans des dizaines de pages », a annoncé le ministre.

« Il y aura plus de transparence, les Canadiens vont mieux comprendre comment les données sont collectées et utilisées. »

Les entreprises auront par ailleurs l’obligation de permettre qu’un utilisateur puisse transférer toutes ses données d’une organisation à une autre, par exemple entre institutions bancaires ou entre réseaux sociaux. Il sera possible de demander la destruction complète de ces données et de retirer son consentement. La loi prévoit en outre une disposition concernant la « transparence des algorithmes », qui les obligera à « faire preuve de transparence » dans l’utilisation des systèmes automatisés et de l’intelligence artificielle.

Le but de cette charte : amener les consommateurs à avoir une meilleure confiance dans les entreprises numériques. Celles-ci profiteront de directives claires et pourront en profiter pour être « plus compétitives et productives », affirme M. Bains.

« La pandémie de COVID-19 nous a amenés à compter plus que jamais sur l’économie numérique, a déclaré le ministre. La loi va aider les Canadiens à profiter de cette nouvelle réalité et à avoir confiance que les renseignements personnels sont en sécurité. »

— Navdeep Bains, ministre de l’Innovation, des Sciences et de l’Industrie

La nouvelle loi, répète-t-on dans les documents explicatifs remis aux journalistes, ne vise pas à freiner l’innovation ou à imposer un fardeau bureaucratique excessif aux entreprises. On précise qu’il ne sera plus nécessaire d’obtenir le consentement des consommateurs « quand ce consentement ne procure pas de protection significative de la vie privée ».

On annonce également que la loi permettra aux entreprises de divulguer des données « dépersonnalisées » à des organismes publics « pour le bien commun ». Enfin, ces entreprises pourront demander au Commissaire à la vie privée d’approuver leurs pratiques au préalable.

« Interdire Huawei »

L’annonce a suscité le scepticisme de l’opposition officielle, qui rappelle que le gouvernement Trudeau n’a toujours pas légiféré dans un dossier connexe, Huawei.

« Si les libéraux voulaient vraiment protéger la vie privée des Canadiens, ils interdiraient Huawei sur le réseau 5G du Canada », a soutenu par communiqué James Cunning, porte-parole conservateur en matière de sciences et d’innovation.

« Alors que d’autres pays prennent des mesures décisives pour protéger la vie privée de leurs citoyens et interdire Huawei, les libéraux de Trudeau sont incapables de prendre une décision et de défendre la vie privée des Canadiens. Rien n’excuse ce retard par le gouvernement Trudeau. »

— James Cunning, porte-parole conservateur en matière de sciences et d’innovation

Les conservateurs, a-t-il promis, vont étudier en détail ce projet de loi pour s’assurer qu’il protège la vie privée « sans imposer de lourds règlements aux petites entreprises qui luttent pour rester ouvertes pendant la deuxième vague de la pandémie ».

Le Conseil canadien des innovateurs, qui regroupe une centaine d’entreprises technologiques, dont une vingtaine au Québec, a salué par communiqué le fait qu’Ottawa ait enfin décidé d’agir dans ce dossier.

« Ces dernières années, l’Union européenne, la Californie et le Québec ont tous pris des mesures pour moderniser leurs lois sur la protection des données, et il est bon de voir le gouvernement fédéral rattraper son retard. La protection de la vie privée et la croissance de l’industrie ne sont pas en contradiction, et des règles plus claires donneront confiance aux entreprises canadiennes dans leur planification et leur croissance. »

Aujourd’hui chef de la cybersécurité et de la protection de la vie privée au cabinet Dentons, Me Bernier salue ce renforcement du rôle du commissaire, qui n’avait sous l’ancien régime légal qu’un pouvoir de recommandation lorsqu’il constatait une utilisation inappropriée de données personnelles par une organisation ou une entreprise.

« Il pourra maintenant ordonner des changements de pratique. Ça lui donne des dents et il était temps », commente-t-elle.

L’avocate spécialisée en droit à la vie privée Danielle Olofsson ainsi que le titulaire de la Chaire de recherche L. R. Wilson en droit des technologies de l’information, Vincent Gautrais, abondent dans son sens.

« On ne peut pas reprocher à ce projet de loi de manquer d’ambition. On met pratiquement tout à terre et on recommence. C’est vraiment gros. »

— Vincent Gautrais, titulaire de la Chaire de recherche L. R. Wilson en droit des technologies de l’information

À un point tel qu’il faudra prévoir beaucoup de ressources supplémentaires pour le Commissaire, croit M. Gautrais.

« La question que je me pose est qui va payer pour tout ça ? », se demande le professeur de droit, qui s’attend à voir des dirigeants de PME monter au créneau pour dénoncer la lourdeur de certaines des exigences du projet de loi. Par exemple, toutes les entreprises qui font de la collecte de données devront, si la loi est adoptée par le Parlement, nommer un responsable des données au sein de leur organisation et faire certifier leurs procédés de protection des renseignements personnels.

Danielle Olofsson croit qu’à cet égard, le gouvernement canadien aurait pu davantage s’inspirer de la loi californienne sur la protection des données, qui exempte les entreprises qui ont moins de 25 millions de revenus d’exigences semblables.

« Une jeune pousse qui vend des barres granolas a-t-elle vraiment besoin de nommer un responsable des données au sein de son personnel ? Ça peut vite devenir une barrière à l’entrée pour des petits entrepreneurs, qui n’ont pas de ressources à consacrer à cela », croit l’avocate.

Reste que dans l’ensemble, le projet de loi contient des dispositions « beaucoup plus claires et compréhensibles » que la loi précédente, constate Me Olofsson.

Exceptions

Les législateurs ont décrit une quarantaine de situations spécifiques où des organisations pourront utiliser ou partager des renseignements personnels avec des partenaires à l’insu des consommateurs ou sans leur consentement, dans la mesure où ces données sont « dépersonnalisées » et ne permettent pas de les identifier. C’est notamment le cas des renseignements utilisés à des fins de recherche et de développement à l’interne.

D’autres exceptions prévues dans la loi autorisent explicitement le partage de données personnelles beaucoup plus sensibles, comme lors du recouvrement de créances ou lorsqu’une situation d’urgence mettant la vie d’un individu en péril l’exige. « Ces exceptions étaient déjà connues dans la jurisprudence », analyse l’avocate.

« Pour les entrepreneurs, ça devient beaucoup plus accessible et compréhensible de pouvoir lire clairement dans la loi ce qu’il est permis de faire ou pas. »

— Danielle Olofsson, avocate spécialisée en droit à la vie privée

Autre avancée importante aux yeux des spécialistes : l’interdiction très claire dans la loi de combiner des données personnelles anonymisées avec d’autres données afin de faire des croisements permettant d’identifier ou de cibler un individu.

« Les données dépersonnalisées, c’est une catégorie de données dont l’ancienne loi ne parlait pas, souligne Me Chantal Bernier. Maintenant, il y a des dispositions spécifiques à cet égard, avec des balises très claires afin d’éviter de causer un préjudice. »