Le projet de loi sur la mise en œuvre de la « Charte numérique » présenté mardi à Ottawa donne un pouvoir accru au Commissaire à la protection de la vie privée. Son rôle passera de simple défenseur (ombudsman) à celui d’un commissaire capable d’émettre des ordonnances, « ce qui est un virage très important », note l’ancienne commissaire par intérim, Me Chantal Bernier.
Aujourd’hui chef de la cybersécurité et de la protection de la vie privée au cabinet Dentons, Me Bernier salue ce renforcement du rôle du commissaire, qui n’avait sous l’ancien régime légal qu’un pouvoir de recommandation lorsqu’il constatait une utilisation inappropriée de données personnelles par une organisation ou une entreprise.
« Il pourra maintenant ordonner des changements de pratique. Ça lui donne des dents et il était temps », commente-t-elle.
L’avocate spécialisée en droit à la vie privée Danielle Olofsson, ainsi que le titulaire de la Chaire de recherche L. R. Wilson en droit des technologies de l’information, Vincent Gautrais, abondent dans son sens.
On ne peut pas reprocher à ce projet de loi de manquer d’ambition. On met pratiquement tout à terre et on recommence. C’est vraiment gros.
Vincent Gautrais, titulaire de la Chaire de recherche L. R. Wilson en droit des technologies de l’information
À un point tel qu’il faudra prévoir beaucoup de ressources supplémentaires pour le Commissaire, croit M. Gautrais.
« La question que je me pose est qui va payer pour tout ça ? », se demande le professeur de droit, qui s’attend à voir des dirigeants de PME monter au créneau pour dénoncer la lourdeur de certaines des exigences du projet de loi. Par exemple, toutes les entreprises qui font de la collecte de données devront, si la loi est adoptée par le Parlement, nommer un responsable des données au sein de leur organisation et faire certifier leurs procédés de protections des renseignements personnels.
Danielle Olofsson croit qu’à cet égard, le gouvernement canadien aurait pu davantage s’inspirer de la loi californienne sur la protection des données, qui exempte les entreprises qui ont moins de 25 millions de revenus d’exigences semblables.
« Une jeune pousse qui vend des barres granolas a-t-elle vraiment besoin de nommer un responsable des données au sein de son personnel ? Ça peut vite devenir une barrière à l’entrée pour des petits entrepreneurs, qui n’ont pas de ressources à consacrer à cela », croit l’avocate.
Reste que dans l’ensemble, le projet de loi contient des dispositions « beaucoup plus claires et compréhensibles » que la loi précédente, constate Me Olofsson.
Exceptions
Les législateurs ont décrit une quarantaine de situations spécifiques où des organisations pourront utiliser ou partager des renseignements personnels avec des partenaires à l’insu des consommateurs ou sans leur consentement, dans la mesure où ces données sont « dépersonnalisées » et ne permettent pas de les identifier. C’est notamment le cas des renseignements utilisés à des fins de recherche et de développement à l’interne.
D’autres exceptions prévues dans la loi autorisent explicitement le partage de données personnelles beaucoup plus sensibles, comme lors du recouvrement de créances ou lorsqu’une situation d’urgence mettant la vie d’un individu en péril l’exige. « Ces exceptions étaient déjà connues dans la jurisprudence », analyse l’avocate.
Pour les entrepreneurs, ça devient beaucoup plus accessible et compréhensible de pouvoir lire clairement dans la loi ce qu’il est permis de faire ou pas.
Danielle Olofsson, avocate spécialisée en droit à la vie privée
Autre avancée importante aux yeux des spécialistes : l’interdiction très claire dans la loi de combiner des données personnelles anonymisées avec d’autres données afin de faire des croisements permettant d’identifier ou cibler un individu.
« Les données dépersonnalisées, c’est une catégorie de données dont l’ancienne loi ne parlait pas, souligne Me Chantal Bernier. Maintenant, il y a des dispositions spécifiques à cet égard, avec des balises très claires afin d’éviter de causer un préjudice. »