Les commissaires à la protection de la vie privée du Québec, de l’Alberta et de la Colombie-Britannique affirment que la refonte proposée de la loi fédérale sur la protection de la vie privée du Canada ne devrait pas ajouter un tribunal chargé de la protection de la vie privée pour entendre les appels de certaines décisions prises par le commissaire national à la protection de la vie privée.
Au lieu de cela, ont-ils soutenu mardi devant le comité de l’industrie de la Chambre des communes, toute objection ou tout appel devrait être porté directement devant un tribunal – comme c’est le cas actuellement au niveau fédéral et dans les trois provinces qui ont leurs propres lois sur la protection de la vie privée couvrant le secteur privé.
Les commissaires ont fait écho à l’argument de l’actuel commissaire à la protection de la vie privée Philippe Dufresne et de l’ancien commissaire Daniel Thérien selon lequel la création proposée d’un nouveau Tribunal de la protection des renseignements personnels et des données serait une perte de temps et d’argent.
Le tribunal de la confidentialité des données a été ajouté lorsque le projet de loi sur la protection de la vie privée des consommateurs (LPVPC) a accru les pouvoirs du commissaire fédéral à la protection de la vie privée pour émettre des ordonnances de conformité et recommander des amendes de plusieurs millions de dollars en cas de violation de la LPVPC. Si les entreprises n’aiment pas la décision du tribunal, elles pourraient alors faire appel à la Cour fédérale.
Mais les entreprises peuvent désormais s’adresser directement à la Cour fédérale si elles n’aiment pas certaines décisions du commissaire à la protection de la vie privée en vertu de la loi actuelle. Les critiques affirment que l’insertion d’un tribunal chargé de la protection de la vie privée entre le commissaire à la protection de la vie privée et la Cour fédérale ne fera que retarder le respect de la loi sur la protection de la vie privée.
La LPVPC fait partie du projet de loi C-27, qui comprend une législation créant le tribunal et la Loi sur l’intelligence artificielle et les données (LIAD) pour réglementer les systèmes d’IA à haut risque.
« Il est essentiel que lorsque les régulateurs de la vie privée soient en mesure de garantir que, lorsque des amendes sont nécessaires pour des violations multi-juridictionnelles, elles soient imposées de manière coordonnée, proportionnée et sans chevauchement », a déclaré le commissaire à la protection de la vie privée de la Colombie-Britannique, Michael McEvoy, aux députés. « Cela n’est pas simplement possible en vertu du projet de loi C-27, qui enlève au commissaire fédéral à la protection de la vie privée le pouvoir d’imposer des amendes et le confie plutôt à une tierce partie (le tribunal) qui ne serait pas en mesure de coordonner affaires avec d’autres autorités.
« Si une partie s’inquiète d’une amende imposée, un renvoi direct au système judiciaire est plus que suffisant pour assurer un contrôle administratif. »
Même si M. McEvoy a convenu que certaines organisations pourraient considérer une amende comme un coût pour faire des affaires, la LPVPC donne également au commissaire fédéral à la protection de la vie privée une autre nouvelle arme : la possibilité d’ordonner aux entreprises de « cesser de faire ce qu’elles font ».
Étaient également présentes Diane Poitras, présidente de la Commission d’accès à l’information du Québec et Diane McLeod, commissaire à l’information et à la protection de la vie privée de l’Alberta.
Michael McEvoy a également déclaré que les partis politiques fédéraux devraient également se conformer aux règles de collecte de données de la CPPA. Mme Poitras et M. McEvoy ont souligné que les partis politiques provinciaux doivent respecter leurs lois provinciales sur la protection de la vie privée.
Le gouvernement libéral a proposé que la Loi électorale soit modifiée pour obliger les partis politiques fédéraux à avoir des politiques de confidentialité pour la collecte de données personnelles. Cela a été qualifié d’insuffisant par M. Dufresne.
Daine McLeod a déclaré que le projet de loi C-27 constitue « une étape importante dans la modernisation de la loi canadienne sur la protection de la vie privée dans le secteur de la protection de la vie privée ». Mais elle s’inquiète d’une proposition d’exemption pour les entreprises de l’obligation d’obtenir le consentement pour la collecte de données personnelles dans certaines circonstances. L’exemption proposée (S.18) stipule qu’une organisation peut recueillir ou utiliser les renseignements personnels d’un individu à son insu ou sans son consentement si la collecte ou l’utilisation est faite pour une activité dans laquelle l’organisation a un intérêt légitime qui l’emporte sur tout effet négatif potentiel sur un personne. Il y a deux conditions : une personne raisonnable s’attendrait à la collecte ou à l’utilisation de données personnelles pour une telle activité ; et les informations personnelles ne sont pas collectées ou utilisées pour influencer le comportement ou les décisions d’un individu.
D’autres témoins se sont également inquiétés de la manière dont cette exemption sera utilisée par les entreprises.
Les audiences sur le projet de loi C-27 reprendront en janvier.
Adaptation et traduction française par Renaud Larue-Langlois.
