Le gouvernement du Canada a récemment adopté des modifications à la Loi sur la protection des renseignements personnels numériques. Ces modifications auront une incidence sur toutes les organisations qui collectent, utilisent ou divulguent des renseignements personnels dans le cadre d’activités commerciales (par exemple, les renseignements personnels des clients).

De manière générale, le cadre de base de la Loi sur la protection des renseignements personnels numériques demeure le même. Parmi les modifications importantes, mentionnons les quatre suivantes :

  • Clarification au sujet du consentement valide. La Loi sur la protection des renseignements personnels numériques est maintenant plus explicite au sujet de ce qui constitue un consentement valide durant la collecte de renseignements personnels réalisée dans le cadre d’activités commerciales visant des catégories particulières de personnes, par exemple les enfants.
  • Déclaration obligatoire d’atteinte à la protection des données. La Loi sur la protection des renseignements personnels numériques oblige maintenant les organisations à rapporter toute atteinte à la protection des données potentiellement dommageable au commissaire à la protection de la vie privée du Canada et aux personnes concernées ainsi que de tenir le registre de toutes les atteintes à la protection des données. La Loi prévoit des amendes importantes en cas de non-respect délibéré des nouvelles règles en matière d’atteinte à la protection des données.
  • Nouvelles exceptions à l’exigence de consentement. La Loi sur la protection des renseignements personnels numériques prévoit maintenant plusieurs nouvelles exceptions à l’exigence, imposée aux organisations, d’obtenir le consentement des personnes concernées avant de collecter, d’utiliser ou de divulguer des renseignements personnels à des fins particulières. Parmi ces exceptions, citons les trois suivantes : la possibilité de partager des renseignements personnels pour effectuer une vérification diligente dans le contexte d’une fusion ou d’une acquisition; de rapporter des cas présumés d’exploitation financière; et de communiquer avec la famille d’une personne disparue ou blessée.
  • Nouveaux pouvoirs en matière de conformité volontaire et autres pouvoirs. En vertu de la Loi sur la protection des renseignements personnels numériques, le commissaire à la protection de la vie privée a la capacité de conclure des ententes de conformité volontaire avec des organisations qui ont été reconnues coupables de violation de la loi. De plus, le commissaire dispose désormais de plus de temps pour poursuivre en justice des organisations pour violation de la vie privée, et de plus de latitude pour divulguer des informations sur les organisations qui ne respectent pas la Loi, quand cela est dans l’intérêt public.

Ces modifications sont entrées en vigueur le 18 juin 2015, à l’exception des exigences relatives à la déclaration obligatoire d’atteinte à la protection des données. Cette mesure n’entrera pas en vigueur avant que les dispositions précisant les exigences relatives aux atteintes à la protection des données n’aient été adoptées, ce qui devrait avoir lieu en 2016. Industrie Canada a déclaré qu’elle tiendrait des consultations avec les parties intéressées avant la finalisation de ces dispositions.

Un communiqué du gouvernement du Canada peut être consulté ici : Communiqué de presse.
Le résumé législatif de la Loi peut être consulté ici : Résumé législatif.
Le texte complet de la Loi peut être consulté ici : Texte complet de la Loi sur la protection des renseignements personnels numériques.

Prochaines étapes :

Le CCCD continuera à collaborer avec le gouvernement et à être la voix des détaillants durant l’élaboration des règlements et à mesure que des enjeux liés au respect de la Loi se présenteront.

Si vous avez des questions ou des préoccupations, n’hésitez pas à communiquer avec Jason McLinton, Directeur principal, Politiques publiques, à [email protected] ou au 613 656-7903.