1

Le Canada modifie la LPRPDE

Le 18 juin, le Canada a promulgué des modifications à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) qui mettent en vigueur de nouvelles obligations applicables aux organisations assujetties à la LPRPDE. De nombreux lecteurs d’Au point se souviendront du projet de loi modificateur, déposé l’année dernière (voir Le Canada modifie sa législation sur la protection de la vie privée au moyen du dépôt du projet de loi S-4 – Loi sur la protection des renseignements personnels numériques). Appelée Loi sur la protection des renseignements personnels numériques, la loi modificatrice apporte un certain nombre de changements qui auront un impact sur les employeurs, notamment la nouvelle obligation de signaler les atteintes aux mesures de sécurité, ainsi que des changements à la façon dont les organisations recueillent, utilisent et communiquent des renseignements personnels.

Modifications relatives à l’emploi

La définition de l’expression « renseignement personnel » en vertu de la LPRPDE a été modifiée de manière à supprimer l’exception concernant le nom et le titre d’un employé et les adresse et numéro de téléphone de son lieu de travail de manière à ce que ces renseignements soient dorénavant considérés comme des « renseignements personnels ». L’application de la partie I de la LPRPDE, qui prévoit la protection des renseignements personnels, a également été élargie de manière à inclure les personnes qui postulent à un emploi.

De plus, il y a deux nouvelles exceptions à l’exigence de consentement qui s’appliquent aux questions d’emploi. Les employeurs n’ont plus besoin d’obtenir le consentement d’une personne avant de pouvoir collecter, utiliser et communiquer des renseignements personnels en vue de l’établissement, de la gestion ou de la cessation de la relation d’emploi, tant que la personne est informée que les renseignements seront ou pourraient être utilisés à ces fins. De la même manière, lorsque des « coordonnées d’affaires » sont recueillies, utilisées ou communiquées uniquement pour entrer en contact avec la personne dans le cadre de son emploi, de son entreprise ou de sa profession, le consentement n’est plus nécessaire. Les modifications définissent l’expression « coordonnées d’affaires » de manière à viser le nom, le titre, l’adresse et le numéro de téléphone au travail ainsi que l’adresse électronique au travail.

Nouvelles obligations de signaler les atteintes aux mesures de sécurité

De nouvelles exigences de déclaration et d’avis en cas d’atteinte aux mesures de sécurité ne s’appliquent pas encore, mais entreront en vigueur à la date fixée par décret. Néanmoins, les organisations seraient bien avisées d’établir des protocoles d’intervention en cas d’atteinte aux mesures de sécurité en vue de se préparer à ces nouvelles exigences.

Lorsque ces modifications entreront en vigueur, les organisations devront tenir un registre de toutes les atteintes aux mesures de sécurité qui présente « un risque réel de préjudice grave » à la personne à laquelle ont trait les renseignements personnels, et de les déclarer au Commissaire à la protection de la vie privée. À moins qu’une règle de droit ne l’interdise, les organisations seront tenues d’aviser sans délai la personne à laquelle ont trait les renseignements, en vue de lui permettre de prendre des mesures pour réduire le risque de préjudice. Les organisations seront en outre tenues d’aviser d’autres organisations ou des institutions gouvernementales (sans le consentement de la personne) si celles-ci peuvent être en mesure de réduire le risque de préjudice à la personne. L’expression « atteinte aux mesures de sécurité » est définie comme la communication non autorisée ou la perte de renseignements personnels, ou l’accès non autorisé à ceux-ci, par suite d’une atteinte aux mesures de sécurité ou du fait que ces mesures n’ont pas été mises en place. L’expression « préjudice grave » est définie de façon large de manière à englober notamment les lésions corporelles, la perte de possibilités d’emploi et le vol d’identité. Pour évaluer le risque de préjudice grave, les organisations doivent tenir compte du degré de sensibilité des renseignements personnels en cause et de la probabilité que les renseignements aient été mal utilisés (les règlements peuvent prévoir d’autres facteurs).

L’organisation qui contrevient sciemment à l’une ou l’autre de ces exigences commet une infraction et encourt, sur déclaration de culpabilité par procédure sommaire, une amende maximale de 10 000 $, et sur déclaration de culpabilité par mise en accusation, une amende maximale de 100 000 $.

Nouvelles exceptions au consentement avant la divulgation

La loi modifiée introduit plusieurs exceptions importantes aux exigences de connaissance et de consentement pour la communication de renseignements personnels. Ces exceptions permettent à une organisation de communiquer des renseignements personnels à une autre organisation sans la connaissance ou le consentement de la personne à qui ont trait les renseignements aux fins suivantes :

  • en vue d’une enquête sur la violation d’un accord ou sur la contravention (ou la contravention potentielle) à la loi;
  • en vue de la détection ou de la suppression d’une fraude.

Nouveau pouvoir du Commissaire à la protection de la vie privée de conclure des accords de conformité

Autre changement digne de mention et dont les organisations devraient prendre connaissance, le Commissaire à la protection de la vie privée se fait accorder le nouveau pouvoir de conclure des accords de conformité avec des organisations susceptibles de contrevenir à la loi. Le Commissaire dispose du vaste pouvoir d’assortir l’accord des conditions qu’il estime nécessaires et il peut les faire respecter au moyen d’une ordonnance judiciaire.

Compte tenu des conséquences graves du défaut de conformité à la LPRPDE, les organisations seraient bien avisées de prendre des mesures afin de veiller à bien connaître ces nouvelles obligations en matière de protection de la vie privée et à s’y conformer.

Si vous voulez davantage d’information, veuillez communiquer avec Sarah Lapointe au 613-940-2738.