Le 16 juin dernier, le gouvernement du Canada a déposé un projet de loi susceptible de changer considérablement les lois sur la protection de la vie privée. Ces changements, s’ils sont adoptés, auront un effet sur les entreprises fédérales. La nouvelle loi, intitulée Loi de 2022 sur la mise en œuvre de la Charte du numérique (projet de loi C-27), remplacerait ainsi la partie 1 de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) par trois lois distinctes : la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données, et la Loi sur l’intelligence artificielle et les données.
Loi sur la protection de la vie privée des consommateurs
La Loi sur la protection de la vie privée des consommateurs s’articule autour d’un concept bien connu, soit le consentement. Conformément à la LPRPDE, les employeurs devraient obtenir des intéressés le consentement à la collecte, à l’utilisation et à la communication des renseignements personnels, sauf dans certains cas précis. En ce qui concerne la relation d’emploi, seules les entreprises fédérales (transport, radiodiffusion et banques) seraient visées par les règles proposées dans le projet de loi, et la plupart des obligations concernant les employeurs demeureraient les mêmes que celles prévues dans la LPRPDE.
Un grand changement notable : un individu, notamment un employé d’une entreprise fédérale, pourrait désormais demander la suppression de ses renseignements personnels, en retirant son consentement, lorsque les renseignements ne sont pas absolument nécessaires. La Loi sur la protection de la vie privée des consommateurs présente le processus de demande de retrait des renseignements, le délai de réponse et les procédures de refus et d’appel. Elle régit également le transfert de renseignements personnels à des fournisseurs de services. Par exemple, une organisation peut transférer à des fournisseurs de services les renseignements personnels d’un individu sans son consentement, mais il revient à l’organisation de s’assurer que le fournisseur de services traite les renseignements avec le même soin et l’avise de toute atteinte aux renseignements.
Qui plus est, la Loi imposerait aux organisations de mettre en œuvre un programme de gestion de la protection des renseignements personnels qui tient compte du volume et de la nature sensible des renseignements personnels qui relèvent d’elles.
Parmi les exceptions prévues, notons les activités d’affaires et les fins associées à la relation d’emploi (pour l’établir ou la gérer), lorsque les renseignements proviennent d’un employé ou d’un candidat. Il existe également une exception en cas d’« intérêt légitime » : une organisation peut utiliser et communiquer les renseignements personnels d’un individu (notamment au gouvernement et aux forces de l’ordre) à son insu ou sans son consentement si l’intérêt légitime l’emporte sur tout effet négatif que cela peut avoir pour l’individu.
Les règles seront plus strictes en ce qui concerne les renseignements personnels de personnes mineures. Sous le régime de la Loi sur la protection de la vie privée des consommateurs, les renseignements personnels des employés mineurs d’une entreprise fédérale devraient être considérés comme étant de nature sensible, sans exception.
Ajout important : on distinguerait désormais les renseignements anonymisés des renseignements dépersonnalisés. Les organisations pourraient utiliser librement des données anonymisées, une bonne nouvelle pour les employeurs qui ont besoin de renseignements sur leurs employés, sans nécessairement lier les données aux personnes. La Loi considère les renseignements dépersonnalisés comme étant des renseignements personnels, puisque la dépersonnalisation n’élimine pas tout à fait le risque d’identification. Ces renseignements bénéficieraient à ce titre de toutes les protections prévues par la Loi.
Loi sur le Tribunal de la protection des renseignements personnels et des données
Il reviendrait au tribunal créé en vertu de la Loi sur le Tribunal de la protection des renseignements personnels et des données de faire appliquer les règles établies par la Loi sur la protection de la vie privée des consommateurs. Ce tribunal aurait le pouvoir d’imposer des amendes de dix millions de dollars ou d’un montant égal à 3 % des recettes globales brutes d’une organisation. La Loi prévoit en outre un droit privé d’action pour les individus touchés par les actes ou omissions d’une organisation contrevenante.
Le nouveau tribunal se pencherait en outre sur les ordonnances et les recommandations du commissaire à la protection de la vie privée du Canada.
Loi sur l’intelligence artificielle et les données
La Loi sur l’intelligence artificielle et les données régirait le traitement de données liées à l’activité humaine par des systèmes d’intelligence artificielle entièrement ou partiellement autonomes. Elle vise à prévenir la propagation de biais défavorisant une personne sur le fondement d’un ou de plusieurs motifs de distinction illicites.
Concrètement, elle obligerait les organisations à publier une description de leurs logiciels d’intelligence artificielle et des usages qui en sont faits. Les contrevenants (qui ne sont pas des individus) seraient assujettis à une amende maximale de vingt-cinq millions de dollars ou d’un montant égal à 5 % de leurs recettes globales brutes. Les individus ne seraient pas en reste (100 000 $ ou une peine d’emprisonnement de cinq ans).
Implications pour les employeurs
Avant l’éventuelle prise d’effet du projet de loi C-27, il serait bon pour les employeurs de revoir leurs politiques et pratiques pour déterminer ce qui devra en être modifié. Les employeurs fédéraux devraient porter une attention particulière aux exceptions. Il existe plusieurs exceptions au consentement général, notamment en ce qui concerne les activités d’affaires. De manière générale, un employeur peut recueillir ou utiliser les renseignements personnels d’un employé à son insu ou sans son consentement pour toute raison énoncée dans les exceptions, pour autant :
- qu’une personne raisonnable s’attendrait à la collecte ou à l’utilisation en vue d’une telle activité;
- que les renseignements personnels ne sont pas recueillis ou utilisés en vue d’influencer le comportement ou les décisions de l’individu.
Les exceptions sont les suivantes :
- utilisation ou communication liée aux activités d’affaires;
- transfert à des fournisseurs de services;
- utilisation de renseignements personnels s’ils ont été dépersonnalisés;
- recherche, analyse et développement internes si les renseignements personnels ont été dépersonnalisés;
- utilisation ou communication aux fins d’une éventuelle transaction commerciale;
- utilisation de renseignements personnels produits par un employé dans le cadre de l’emploi, si l’utilisation ou la communication est compatible avec les fins auxquelles ils ont été produits.
- dans le cadre d’une relation d’emploi avec une entreprise fédérale, collecte, utilisation ou communication nécessaire pour établir ou gérer la relation d’emploi, ou pour y mettre fin, si l’individu est informé que ses renseignements personnels seraient ou pourraient être recueillis, utilisés ou communiqués à ces fins;
- communication à un avocat ou à un notaire, et collecte, utilisation ou communication de renseignements personnels contenus dans la déclaration d’un témoin;
- utilisation ou communication de renseignements personnels en vue de la détection, de la suppression ou de la prévention d’une fraude;
- utilisation ou communication en vue du recouvrement d’une créance.
En ce qui concerne la relation d’emploi, le consentement n’est pas nécessaire pour les renseignements personnels utilisés par une organisation aux fins pour lesquelles ils ont été produits. Les employeurs et entreprises fédéraux peuvent utiliser les renseignements personnels d’un individu pour établir ou gérer la relation d’emploi, ou pour y mettre fin.
Signalons d’ailleurs que les employeurs peuvent utiliser les renseignements personnels d’un individu à son insu ou sans son consentement « s’il est raisonnable de s’attendre à ce que la collecte effectuée au su ou avec le consentement de l’individu compromett[rait] l’exactitude des renseignements ou l’accès à ceux-ci, et si la collecte est raisonnable et faite à des fins liées à une enquête sur la violation d’un accord ou la contravention au droit fédéral ou provincial ». Autrement dit, certaines enquêtes en milieu de travail (p. ex. en cas de plainte pour harcèlement) pourraient justifier l’utilisation par l’employeur des renseignements personnels d’un employé.
Si le projet de loi est adopté, les employeurs seront tenus de s’assurer que leur utilisation de renseignements personnels respecte les règles de la Loi sur la protection de la vie privée des consommateurs, ou atténue raisonnablement les préjudices, sans effet négatif excessif sur la personne. Ils devront évaluer attentivement et prudemment la compatibilité de leur utilisation des renseignements personnels avec les fins prévues. En cas d’incompatibilité, il leur faudra justifier l’utilisation des renseignements personnels à l’insu ou sans le consentement de l’employé par un besoin critique. Ces exceptions sont toutefois assez rares.
Les employeurs fédéraux qui recueillent et utilisent des renseignements personnels produits par leurs employés seraient avisés de se pencher sur leurs processus et systèmes pour être fin prêts lorsque le projet de loi sera adopté. Ils doivent par exemple être dotés de processus permettant aux individus (employés, anciens employés et candidats) de demander le retrait des renseignements personnels les concernant que l’employeur n’utilise pas aux fins de la relation d’emploi. Il sera bon pour les employeurs de revoir leurs programmes de gestion de la protection des renseignements personnels et de former (ou former de nouveau) leurs responsables de la protection des renseignements personnels à la lumière des changements proposés. En prenant de l’avance, les employeurs pourront modifier leurs pratiques et politiques sans être bousculés.
Stephen Shore est associé au bureau de Toronto d’Ogletree Deakins.
Ryan Martin est sociétaire au bureau de Montréal d’Ogletree Deakins.
Kshemani Constantinescu est étudiante en droit et participe actuellement au programme d’été du bureau de Toronto d’Ogletree Deakins.
