Le RGPD et la loi canadienne sur la protection des données personnelles

par Mai 22, 2020Etudes

Sommaire de l’article sur la loi canadienne sur la protection des données personnelles

  • L’étendue du LPRPDE sur la protection des données personnelles
  • La LPRPDE en pratique

La loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est la loi fédérale canadienne sur la protection des données personnelles pour les organisations du secteur privé. Cette loi établit les règles de base sur la façon dont les entreprises doivent traiter les données personnelles dans le cadre d’une activité commerciale.

Certaines provinces ont également décidé d’adopter leurs propres législations comme la Colombie Britannique, l’Alberta, le Québec. 


L’étendue du LPRPDE sur la protection des données personnelles

Une décision d’adéquation de la Commission européenne reconnaît qu’au Canada, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) assure un niveau de protection « adéquat » à l’égard des données à caractère personnel, cette décision a été rendue sous la Directive 95/46/CE sur la protection des données personnelles, laquelle a été remplacée par le RGPD. Une décision d’adéquation est donc toujours attendue pour le RGPD. Une mise à jour de la loi Canadienne est prévue pour fin 2020 / début 2021. Notamment concernant la possibilité de la portabilité des données. 

Le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique recommande « Que le gouvernement du Canada modifie la Loi sur la protection des renseignements personnels et les documents électroniques afin d’y prévoir un droit à la portabilité des données ».

La LPRPDE en pratique

La LPRPDE est composée de 10 principes relatifs à l’équité dans le traitement des données. Cette législation n’étant pas très explicite, un manque d’informations concrètes et pratiques se font parfois ressentir par les professionnels. 

  • Une organisation est responsable des renseignements personnels dont elle a la gestion. Elle doit nommer une personne qui devra s’assurer de sa conformité à ces principes relatifs à l’équité.
  • Les fins auxquelles des renseignements personnels sont recueillis doivent être déterminées par l’organisation avant la collecte ou au moment de celle-ci.
  • Toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire.
  • L’organisation ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées et doit procéder de façon honnête et licite.
  • À moins que la personne concernée n’y consente ou que la loi ne l’exige, les renseignements personnels ne doivent être utilisés ou communiqués qu’aux fins auxquelles ils ont été recueillis. On ne doit conserver les renseignements personnels qu’aussi longtemps que nécessaire pour répondre à ces fins.
  • Les renseignements personnels doivent être aussi exacts, complets et à jour que possible afin de satisfaire aux fins auxquelles ils sont destinés.
  • Les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.
  • Une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles au public.
  • Une organisation doit informer toute personne qui en fait la demande de l’existence de renseignements personnels qui la concernent, de l’usage qui en est fait et du fait qu’ils ont été communiqués à des tiers, et lui permettre de les consulter. Il sera aussi possible de contester l’exactitude et l’intégralité des renseignements et d’y faire apporter les corrections appropriées.
  • Toute personne doit être en mesure de se plaindre du non-respect par une organisation des principes énoncés ci-dessus. La plainte doit être adressée au responsable de la conformité à la LPRPDE au sein de l’organisation concernée, en l’occurrence, le chef de la protection des renseignements personnels.

Au Canada, le consentement prévaut sur les autres bases légales. Sans consentement, une organisation assujettie à la LPRPDE ne peut traiter les données personnelles que dans certains cas d’exception bien précis. Cependant, contrairement au RGPD qui requiert qu’un consentement soit explicite, il peut être implicite en droit canadien, c’est-à-dire raisonnablement déduit de l’action ou de l’inaction d’une personne en fonction du contexte et de la notion d’attentes raisonnables (acceptation lors de la navigation sur la page internet par exemple). 

Article à lire : Amende RGPD : quel est leur nombre depuis l’entrée en vigueur du texte ?

Sous le régime de la LPRPDE, le Commissaire à la vie privée du Canada n’a pas de pouvoirs aussi étendus que pour les autorités de contrôle sous le RGPD. Il a des pouvoirs d’enquête, comme celui d’assigner à comparaître et d’exiger la présentation d’éléments de preuve. Il peut aussi pénétrer dans tout local occupé par une organisation. Cependant, une fois l’enquête terminée, le Commissaire ne peut qu’émettre des recommandations non-contraignantes à l’organisation. Si cette dernière refuse ou néglige de les mettre en œuvre, le Commissaire doit alors se pourvoir devant la Cour fédérale et demander une ordonnance judiciaire pour faire appliquer les recommandations.

loi canadienne rgpd données personnelles

Article écrit par notre Product Manager Thibaut Vergne

Planifiez votre démo

0 commentaires

Soumettre un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Share This

Partagez cet article !

Partagez cet article à votre réseau !