Le 18 juin 2015, des parties importantes de la Loi sur la protection des renseignements personnels numériques ont reçu la sanction royale. Cette loi modifie la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et apporte une certitude importante à la façon dont les organisations peuvent recueillir, utiliser et communiquer des renseignements personnels dans le cadre de ses activités et modernise autrement la LPRPDE en fonction d’autres expériences canadiennes en matière de droit de la vie privée au cours de la dernière décennie ou plus.
Les organisations assujetties à la LPRPDE ont enfin une certitude quant à ce que l’on attend d’elles dans le contexte d’une transaction commerciale. Les nouvelles dispositions de la LPRPDE relatives à la structuration d’opérations commerciales s’apparentent aux exemptions relatives aux « transactions commerciales » en vertu de la Loi sur la protection et la protection des renseignements personnels (PIPA) de l’Alberta et de la Colombie-Britannique. L’article 7 de la LPRPDE établit un régime pour l’utilisation et la communication de renseignements personnels, à l’insu ou sans consentement, par les parties à une éventuelle « opération commerciale ». En vertu de la LPRPDE, les « opérations commerciales » comprennent les opérations d’achat et de vente, les fusions et les fusions, et la prolongation de prêts ou d’autres financements, et d’autres arrangements commerciaux.
La LPRPDE prévoit que cette exception ne s’applique qu’aux renseignements personnels qui sont « nécessaires » pour déterminer s’il y a lieu de procéder ou de conclure une transaction, et exige que les organisations aient conclu une entente exigeant que l’organisation qui reçoit ces renseignements personnels : (i) utilise et communique ces renseignements uniquement à des fins liées à l’opération; (ii) protéger ces renseignements au moyen de mesures de sécurité adaptées à leur sensibilité. L’organisation qui reçoit les renseignements personnels doit également retourner ou détruire les renseignements si l’opération n’a pas lieu.
Conformément aux exigences de la PIPA de la Colombie-Britannique, l’exception exige que, dans le cas d’une transaction conclue, au moins une des parties avise les personnes dont les renseignements ont été divulgués que l’opération est complète et que les renseignements ont été ainsi divulgués.
Notamment, les dispositions de l’article 7 ne s’appliquent pas lorsque l'« objet principal ou le résultat » de l’opération commerciale est l’achat, la vente, l’acquisition ou la disposition de renseignements personnels eux-mêmes.
Les organisations assujetties à la LPRPDE devraient également être au courant des obligations à venir que la LPRPDE leur imposera en ce qui concerne les atteintes à leurs mesures de sécurité. Cet aspect de la loi entrera en vigueur une fois que les règlements auront été finalisés. Une fois que les dispositions applicables auront été promulguées, la LPRPDE définira la « violation des mesures de sécurité » comme une perte ou un accès ou une communication non autorisés de renseignements personnels qui résulte soit de la violation des mesures de sécurité d’une organisation, soit de l’omission d’une organisation d’établir ces mesures de protection en premier lieu.
La LPRPDE exigera que les organisations signalent au commissaire et à la personne en question lorsqu’il est raisonnable, dans les circonstances, de croire que l’atteinte crée un « risque réel de préjudice grave » pour une personne. La LPRPDE énonce les facteurs pertinents à prendre en considération pour déterminer s’il existe un « risque réel de préjudice grave », et ce qui constitue un « préjudice important » comprend la sensibilité des renseignements personnels en cause dans l’atteinte, la probabilité que les renseignements personnels aient été, soient ou seront utilisés à mauvais escient et d’autres facteurs déterminés par règlement. La Loi prévoit également que l’avis doit être donné dès que possible après que l’organisation a déterminé que l’atteinte s’est produite.
L’organisation touchée aura également l’obligation d’aviser d’autres organisations et institutions gouvernementales si ces autres organisations ou institutions peuvent être en mesure de réduire ou d’atténuer le risque de préjudice.
Les organisations doivent savoir que ces obligations et d’autres sont appuyées par de nouvelles mesures de conformité et d’application de la loi. En vertu de la LPRPDE, le fait de contrevenir sciemment à l’obligation de faire rapport au commissaire constitue une infraction. Le commissaire aura également le pouvoir de conclure des « ententes de conformité » avec des organisations et de demander à la Cour une ordonnance enjoignant à une organisation de s’y conformer.
La PIPA de l’Alberta a mis en place la déclaration obligatoire des atteintes à la vie privée depuis 2010 pour les cas où il « existe un risque réel de préjudice important pour une personne » en raison de la perte ou de l’accès ou de la communication non autorisés. Par conséquent, les organisations qui cherchent à anticiper l’impact des changements peuvent étudier l’expérience de l’Alberta.
En plus des modifications dont il a été question ci-dessus, la LPRPDE comprend maintenant des mesures de protection des renseignements personnels des candidats à un emploi sous réglementation fédérale.
D’autres exceptions au consentement ont également été adoptées, ce qui permet à une organisation d’utiliser des renseignements personnels sans consentement dans certaines circonstances, y compris la prévention de la fraude.
Une limitation du consentement a également été ajoutée dans une nouvelle section 6.1. La nouvelle disposition stipule que « le consentement d’une personne n’est valide que s’il est raisonnable de s’attendre à ce qu’une personne à qui les activités de l’organisation sont dirigées comprenne la nature, le but et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquels elle consent ». À l’heure actuelle, on ne sait pas exactement comment cette restriction sera interprétée par les tribunaux et le bureau du commissaire. Par conséquent, les organisations devraient examiner la clarté et l’exhaustivité de leurs politiques de confidentialité et de leurs divulgations de renseignements personnels.
Enfin, les protections des dénonciateurs ont également été incluses dans le champ d’application des nouvelles modifications.
Ensemble, les dispositions de la Loi sur la protection des renseignements personnels numériques moderniseront la façon dont les organisations assujetties à la LPRPDE traitent les renseignements personnels des personnes.