Avec l'augmentation des cyberattaques, il est de plus en plus nécessaire de moderniser la législation canadienne sur la protection des renseignements personnels afin de protéger les particuliers et les entreprises. En réponse, le gouvernement fédéral et plusieurs provinces ont mis en place des lois, décrites dans Charte numérique du Canada. Nous détaillerons ces nouveaux changements dans ce blog et, surtout, ce qu'ils pourraient signifier pour vous.

En novembre 2020, le gouvernement a établi le projet de loi C-11. Ce projet de loi tentait de :

1. Adopter la Loi sur la protection de la vie privée des consommateurs (CPPA).
2. Promulguer la Loi sur le Tribunal de la protection des renseignements personnels et des données.
3. Apporter des modifications corrélatives et connexes à d'autres lois.

Le résultat? Prévue pour être adoptée en 2021, la législation "est morte au Feuilleton" avec un parlement dissous.

En juin 2020, le Québec a déposé le projet de loi 64, «Loi visant à moderniser les dispositions législatives concernant la protection des renseignements personnels. " Ils ont adopté le projet de loi en septembre 2021. Le projet de loi entrera en vigueur l'année prochaine en trois phases.

En juin 2021, l'Ontario a publié un livre blanc : Moderniser la protection de la vie privée en Ontario – Autonomiser les Ontariens et permettre l'économie numérique. Le livre blanc présente plusieurs propositions qui comblent les lacunes du projet de loi C-11. Le document examine également les implications de l'adoption par l'Ontario de sa propre législation provinciale sur la protection des renseignements personnels pour couvrir les entreprises du secteur privé.

Bien que la CPPA n'ait pas été adoptée au départ, attendez-vous à ce que le gouvernement fédéral la réintroduise et continue de moderniser notre législation fédérale sur la protection des renseignements personnels. Bien que la législation du Québec et les propositions initiales de l'Ontario contiennent plusieurs exigences plus strictes que le projet de loi fédéral actuel, des changements seront probablement apportés à l'ACPP avant que le processus ne soit terminé.

Dans l'ensemble, les nouvelles lois donnent plus de contrôle aux consommateurs sur leurs informations personnelles. Ceux-ci inclus:

Portabilité/mobilité des données : Les organisations doivent avoir des processus pour transférer les informations personnelles des consommateurs de leur organisation à une autre.

Droit à l'effacement : Les entreprises devront disposer de processus permettant aux consommateurs d'effacer ou de supprimer leurs informations personnelles sur demande, avec certaines limitations.

Supposons qu'une organisation a des systèmes automatisés ou des algorithmes qui font des prédictions, des recommandations ou des décisions concernant des individus qui pourraient les affecter de manière significative. Dans ce cas, les consommateurs peuvent demander des détails tels que les informations collectées par le système et la manière dont il interprète ces données.

Au Québec, le gouvernement peut ajouter cela à la CPPA et permettre aux consommateurs de contester ces décisions. Ce qu'il faut retenir ici, c'est que les organisations doit s'assurer que ces systèmes peuvent fournir le niveau de détail approprié et disposer d'un mécanisme de traitement des différends.

Bien que le gouvernement ait déjà exigé le consentement dans la législation existante, la CPPA clarifie le niveau de détail que les organisations doivent fournir aux individus avant qu'ils ne puissent consentir à ce que leurs informations soient collectées.

Ces détails incluent le but de la collecte d'informations, la manière dont l'organisation utilisera les données, le partage ou les divulgations possibles, les conséquences potentielles de la violation et tout tiers impliqué. L'ACPP a également clarifié les cas sans consentement explicite, par exemple lorsque cela ne fournirait pas une protection significative ou des réclamations lorsque des informations ont été transférées à un fournisseur de services.

Les organisations devront mettre en œuvre un programme qui comprend politiques, procédures et pratiques. Ceux-ci doivent couvrir la façon dont ils protègent les informations personnelles, traitent les demandes, forment le personnel et diffusent des documents publics pour expliquer les politiques.

L'ACPP explique que les programmes doivent tenir compte du volume et de la sensibilité des renseignements personnels. Par conséquent, les organisations doivent démontrer la pertinence de leur programme de protection de la vie privée au moyen d'une évaluation des facteurs relatifs à la vie privée (ÉIP).

Avec la législation québécoise, des ÉFVP devront être effectuées pour tous les systèmes qui traitent des renseignements personnels et avant de communiquer des données personnelles à l'extérieur du Québec.

La nouvelle législation étend également considérablement les pouvoirs d'exécution auparavant limités des commissaires à la protection de la vie privée. Désormais, ils peuvent recommander une sanction administrative aux organisations pour violation de la CPPA. Cette amende a un maximum de 10,000,000 3 25,000,000 $ ou 5 % du revenu global du dernier exercice financier, selon le plus élevé des deux. Une amende n'excédant pas le plus élevé de XNUMX XNUMX XNUMX $ ou XNUMX % des revenus mondiaux est possible pour les infractions graves.

En outre, la nouvelle législation établirait un tribunal des renseignements personnels et de la protection des données pour appliquer ces sanctions.

Bien qu'il puisse s'écouler un certain temps avant que la CPPA ne devienne loi, les organisations devraient se préparer en examinant les mesures actuelles relatives à la protection de la vie privée. Ils doivent assurer le respect de toutes les exigences légales en vigueur, mettre en œuvre des plans d'amélioration si nécessaire et commencer à planifier ces exigences à venir.