La Loi sur la protection de la vie privée des consommateurs (CPPA)

Accueil / CAS DE RÉUSSITE / La Loi sur la protection de la vie privée des consommateurs (CPPA)

La Loi sur la protection de la vie privée des consommateurs (CPPA) au Canada – Votre entreprise est-elle prête?

Avec l'augmentation des cyberattaques, il est de plus en plus nécessaire de moderniser la législation canadienne sur la protection des renseignements personnels afin de protéger les particuliers et les entreprises. En réponse, le gouvernement fédéral et plusieurs provinces ont mis en place des lois, décrites dans Charte numérique du Canada. Nous détaillerons ces nouveaux changements dans ce blog et, surtout, ce qu'ils pourraient signifier pour vous.

FModifications générales de la confidentialité

En novembre 2020, le gouvernement a établi le projet de loi C-11. Ce projet de loi tentait de :

  1. Adopter la Loi sur la protection de la vie privée des consommateurs (CPPA).
  2. Promulguer la Loi sur le Tribunal de la protection des renseignements personnels et des données.
  3. Apporter des modifications corrélatives et connexes à d'autres lois.

Le résultat? Prévue pour être adoptée en 2021, la législation "est morte au Feuilleton" avec un parlement dissous.

Modifications de la confidentialité Au Québec

En juin 2020, le Québec a déposé le projet de loi 64, «Loi visant à moderniser les dispositions législatives concernant la protection des renseignements personnels. " Ils ont adopté le projet de loi en septembre 2021. Le projet de loi entrera en vigueur l'année prochaine en trois phases.

Modifications de la confidentialité en Ontario

En juin 2021, l'Ontario a publié un livre blanc : Moderniser la protection de la vie privée en Ontario – Autonomiser les Ontariens et permettre l'économie numérique. Le livre blanc présente plusieurs propositions qui comblent les lacunes du projet de loi C-11. Le document examine également les implications de l'adoption par l'Ontario de sa propre législation provinciale sur la protection des renseignements personnels pour couvrir les entreprises du secteur privé.

Qu'est-ce que ça veut dire?

Bien que la CPPA n'ait pas été adoptée au départ, attendez-vous à ce que le gouvernement fédéral la réintroduise et continue de moderniser notre législation fédérale sur la protection des renseignements personnels. Bien que la législation du Québec et les propositions initiales de l'Ontario contiennent plusieurs exigences plus strictes que le projet de loi fédéral actuel, des changements seront probablement apportés à l'ACPP avant que le processus ne soit terminé.

Nouvelles implications pour les consommateurs et ce qu'elles signifient pour votre organisation

Dans l'ensemble, les nouvelles lois donnent plus de contrôle aux consommateurs sur leurs informations personnelles. Ceux-ci inclus:

Portabilité/mobilité des données : Les organisations doivent avoir des processus pour transférer les informations personnelles des consommateurs de leur organisation à une autre.

Droit à l'effacement : Les entreprises devront disposer de processus permettant aux consommateurs d'effacer ou de supprimer leurs informations personnelles sur demande, avec certaines limitations.

Détails et différends autour de la prise de décision automatisée

Supposons qu'une organisation a des systèmes automatisés ou des algorithmes qui font des prédictions, des recommandations ou des décisions concernant des individus qui pourraient les affecter de manière significative. Dans ce cas, les consommateurs peuvent demander des détails tels que les informations collectées par le système et la manière dont il interprète ces données.

Au Québec, le gouvernement peut ajouter cela à la CPPA et permettre aux consommateurs de contester ces décisions. Ce qu'il faut retenir ici, c'est que les organisations doit s'assurer que ces systèmes peuvent fournir le niveau de détail approprié et disposer d'un mécanisme de traitement des différends.

Clarté autour de l'exigence de consentement

Bien que le gouvernement ait déjà exigé le consentement dans la législation existante, la CPPA clarifie le niveau de détail que les organisations doivent fournir aux individus avant qu'ils ne puissent consentir à ce que leurs informations soient collectées.

Ces détails incluent le but de la collecte d'informations, la manière dont l'organisation utilisera les données, le partage ou les divulgations possibles, les conséquences potentielles de la violation et tout tiers impliqué. L'ACPP a également clarifié les cas sans consentement explicite, par exemple lorsque cela ne fournirait pas une protection significative ou des réclamations lorsque des informations ont été transférées à un fournisseur de services.

Exigence pour le programme de gestion de la confidentialité

Les organisations devront mettre en œuvre un programme qui comprend politiques, procédures et pratiques. Ceux-ci doivent couvrir la façon dont ils protègent les informations personnelles, traitent les demandes, forment le personnel et diffusent des documents publics pour expliquer les politiques.

L'ACPP explique que les programmes doivent tenir compte du volume et de la sensibilité des renseignements personnels. Par conséquent, les organisations doivent démontrer la pertinence de leur programme de protection de la vie privée au moyen d'une évaluation des facteurs relatifs à la vie privée (ÉIP).

Avec la législation québécoise, des ÉFVP devront être effectuées pour tous les systèmes qui traitent des renseignements personnels et avant de communiquer des données personnelles à l'extérieur du Québec.

Mise en vigueur

La nouvelle législation étend également considérablement les pouvoirs d'exécution auparavant limités des commissaires à la protection de la vie privée. Désormais, ils peuvent recommander une sanction administrative aux organisations pour violation de la CPPA. Cette amende a un maximum de 10,000,000 3 25,000,000 $ ou 5 % du revenu global du dernier exercice financier, selon le plus élevé des deux. Une amende n'excédant pas le plus élevé de XNUMX XNUMX XNUMX $ ou XNUMX % des revenus mondiaux est possible pour les infractions graves.

En outre, la nouvelle législation établirait un tribunal des renseignements personnels et de la protection des données pour appliquer ces sanctions.

Prochaines étapes…

Bien qu'il puisse s'écouler un certain temps avant que la CPPA ne devienne loi, les organisations devraient se préparer en examinant les mesures actuelles relatives à la protection de la vie privée. Ils doivent assurer le respect de toutes les exigences légales en vigueur, mettre en œuvre des plans d'amélioration si nécessaire et commencer à planifier ces exigences à venir.

Vous ne savez pas par où commencer avec l'ACPP?

Articles Similaires