La loi canadienne sur la protection des renseignements personnels et les documents électroniques (PIPEDA)

Nous avons déjà parlé à de nombreuses reprises sur notre blog de la vie privée et de la protection des données ; du sujet en général, de la GDPR, de la LGPD et même de l'ACFPC, mais jamais auparavant nous n'avions abordé le sujet de la LPRPDE - la Loi sur la protection des renseignements personnels et les documents électroniques. Dans cet article, nous allons donc examiner les lois sur la protection de la vie privée au Canada, la législation actuelle et les futures propositions de loi.

Le pays dispose de deux lois fédérales, appliquées par le Commissariat à la protection de la vie privée du Canada (OPC), l'institution spécialisée chargée de traiter et de protéger les droits à la vie privée, l'équivalent de l'autorité de protection des données (APD) dans l'UE. Selon le site officiel de l'OPC (qui est très élaboré et que vous devriez absolument consulter si vous êtes propriétaire d'un site web canadien), les lois fédérales du pays en matière de protection de la vie privée sont les suivantes

La loi sur la protection de la vie privée

La loi sur la protection de la vie privée régit la manière dont le gouvernement traite les données personnelles de ses citoyens, les données utilisées pour la mise en œuvre des politiques publiques et des programmes nationaux. Elle stipule que les Canadiens ont le droit de savoir quand et comment leurs informations personnelles sont collectées et comment elles sont utilisées par les agences gouvernementales. Cette loi protège les informations personnelles détenues par ces institutions et accorde aux citoyens le droit d'accéder à leurs données. La loi sur la protection de la vie privée s'applique généralement aux services suivants fournis par le gouvernement :

• l'assurance-emploi

• les prestations de sécurité des retraites

• la sécurité publique et les politiques fédérales

• la perception et le remboursement des taxes

• la sécurité des frontières.

La loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)

La LPRPDE, qui régit la manière dont le secteur privé traite les données personnelles, a été révisée pour la dernière fois en mai 2019. Selon le CPVP, la LPRPDE définit les données personnelles comme des informations subjectives sur un individu identifiable "sous quelque forme que ce soit" :

• l'âge, le nom, les numéros d'identification, le revenu, l'origine ethnique ou le groupe sanguin ;

• les opinions, les évaluations, les commentaires, le statut social ou les mesures disciplinaires

• dossiers d'employés, dossiers de crédit, dossiers de prêt, dossiers médicaux, existence d'un litige entre un consommateur et un commerçant, intentions (par exemple, acquérir des biens ou des services, ou changer d'emploi)".

Pour qu'une entreprise soit conforme à la LPRPDE, elle doit toujours obtenir le consentement de la personne concernée avant de collecter ses données personnelles, et ces données ne peuvent être utilisées que dans le seul but pour lequel elles ont été collectées. Un nouveau consentement est nécessaire si les données concernent la communication et l'utilisation de toute autre manière que celle approuvée par la personne. Les personnes ont le droit d'accéder à leurs données à tout moment et de contester leur exactitude. Cela peut sembler très strict, mais gardez à l'esprit que le GDPR est plus strict et mieux défini. Alors que pour la LPRPDE, le consentement peut être "exprès" ou "implicite", ce qui laisse place au débat, le consentement de la GDPR doit être très spécifique. Une autre différence très importante concerne les amendes, les amendes prévues par la LPRPDE étant beaucoup plus faibles (100 000 dollars canadiens, soit environ 65 000 euros) que celles prévues par la GDPR (20 millions d'euros ou 4 % du chiffre d'affaires annuel de l'entreprise). L'applicabilité extraterritoriale et les violations de données sont également traitées différemment entre les deux. Vous pouvez accéder à une comparaison plus élaborée entre la LPRPDE et la GDPR en consultant cette brochure.

Outre la LPRPDE et la loi sur la protection de la vie privée, il existe également des lois régionales sur la protection de la vie privée, qui varient d'une province à l'autre. Par exemple, l'Alberta et la Colombie-Britannique ont adopté des lois sur la protection des données afin de mieux réglementer les informations relatives aux employés, et plusieurs autres provinces, dont l'Ontario, ont adopté des lois sur la protection de la vie privée dans le domaine de la santé afin de mieux protéger les informations relatives aux patients. Il existe également des lois sur la protection de la vie privée qui sont spécifiques à un secteur, comme la loi sur les banques, qui garantit l'exactitude des données et limite la divulgation d'informations.

La loi de mise en œuvre de la charte numérique, 2020

Cette pandémie a certainement changé la façon dont les gens vivent, les faisant interagir plus que jamais grâce à la technologie. Bien sûr, cela se produit partout dans le monde, mais le gouvernement canadien y voit un point de départ pour améliorer ses lois actuelles sur la protection de la vie privée, et c'est dans ce contexte que le ministre canadien de l'innovation, de la science et de l'industrie, Navdeep Bains, a proposé un nouveau projet de loi : la loi de mise en œuvre de la charte numérique de 2020.

"La pandémie COVID-19 a accéléré la transformation numérique qui change la façon dont les Canadiens travaillent, accèdent à l'information, accèdent aux services et se connectent à leurs proches. Cette transformation rend plus importantes que jamais les préoccupations relatives à la protection de la vie privée et à la manière dont les entreprises traitent les données des Canadiens. Comme les Canadiens dépendent de plus en plus de la technologie, nous avons besoin d'un système où ils savent comment leurs données sont utilisées et où ils ont le contrôle sur la façon dont elles sont traitées. Pour que le Canada réussisse et pour que nos entreprises puissent innover dans cette nouvelle réalité, nous avons besoin d'un système fondé sur la confiance, avec des règles claires et une mise en application. Cette législation représente une étape importante vers la réalisation de cet objectif". - Navdeep Bains, ministre de l'innovation, des sciences et de l'industrie, source : le gouvernement du Canada, canada.ca.

En conclusion, des changements et des améliorations sont en cours, mais ici, à Visitor Analytics, nous faisons toujours de notre mieux pour rester à jour avec les lois internationales et pour fournir le meilleur outil d'analyse web conforme à la vie privée sur le marché, afin que nos utilisateurs soient à l'abri des poursuites et des amendes.