Décret fixant au 1^er novembre 2018 la date d’entrée en vigueur de certaines dispositions de la loi : TR/2018-32

La Gazette du Canada, Partie II : volume 152, numéro 8

Enregistrement

Le 18 avril 2018

LOI SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS NUMÉRIQUES

C.P. 2018-369 Le 26 mars 2018

Décret fixant au 1^er novembre 2018 la date d’entrée en vigueur de certaines dispositions de la loi

Sur recommandation du ministre de l’Industrie et en vertu de l’article 27 de la Loi sur la protection des renseignements personnels numériques, chapitre 32 des Lois du Canada (2015), Son Excellence la Gouverneure générale en conseil fixe au 1^er novembre 2018 la date d’entrée en vigueur des articles 10, 11 et 14, des paragraphes 17(1) et (4) et des articles 19 et 22 à 25 de cette loi.

NOTE EXPLICATIVE

(Cette note ne fait pas partie du Décret.)

Proposition

Conformément à l’article 27 de la Loi sur la protection des renseignements personnels numériques, le Décret du 1^er novembre 2018 marque l’entrée en vigueur de la section 1.1 de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

Objectif

Le Décret indique la date de l’entrée en vigueur de la section 1.1 de la LPRPDE, mettant ainsi en œuvre des exigences légales de déclaration des atteintes à la protection des données en vertu de la LPRPDE. Le Décret énonce que ces dispositions législatives entreront en vigueur le 1^er novembre 2018; les organisations sous réglementation fédérale auront donc un délai d’environ six mois pour se préparer après la publication de la version définitive du Règlement, qui fournit des précisions. Le Règlement concernant les atteintes aux mesures de sécurité entrera en vigueur en même temps, conformément au projet de règlement connexe.

Contexte

La LPRPDE est la loi canadienne sur le respect de la vie privée qui s’applique aux organisations du secteur privé. La Loi, qui est entrée en vigueur en janvier 2001, établit les règles que les organisations doivent suivre lorsqu’elles recueillent, utilisent ou divulguent des renseignements personnels dans le cadre de leurs activités commerciales. Le Commissariat à la protection de la vie privée (CPVP) applique la LPRPDE en vérifiant si les organisations se conforment aux obligations de la Loi.

Le ministre de l’Innovation, des Sciences et du Développement économique (ISDE) administre la LPRPDE et ses mesures législatives subordonnées et en assume la responsabilité. Conformément à l’alinéa 26(1)c) de la LPRPDE, le gouverneur en conseil a le pouvoir de prendre, par règlement, toute mesure d’application de la Loi.

Le projet de loi S-4, intitulé la Loi sur la protection des renseignements personnels numériques, a reçu la sanction royale le 18 juin 2015. La Loi sur la protection des renseignements personnels numériques a apporté des modifications à la LPRPDE afin d’ajouter des obligations sur la déclaration obligatoire des atteintes en vertu de la LPRPDE.

Les modifications imposent un nouvel ensemble d’obligations aux organisations afin d’aviser les individus dont les renseignements personnels ont été perdus, volés ou consultés de manière inappropriée et leur indiquer qu’ils risquent de subir un préjudice. Plus particulièrement, la Loi énonce ce qui suit :

• les atteintes à la protection des données présentant un risque réel de préjudice grave devront être signalées au commissaire à la protection de la vie privée, et les intéressés devront être avisés;
• les organisations pourraient aussi devoir aviser d’autres organisations en mesure de protéger les intéressés contre d’éventuels préjudices (par exemple les sociétés émettrices de cartes de crédit, les institutions financières ou les agences d’évaluation de crédit, si leur aide est requise pour communiquer avec les intéressés ou pour atténuer les préjudices);
• les dossiers de toutes les atteintes à la protection des données subies par une organisation devront être conservés et fournis au commissaire à la protection de la vie privée à sa demande;
• l’omission délibérée de signaler une atteinte à la protection des données, ou l’omission délibérée d’aviser un individu, au besoin, seront des infractions distinctes passibles d’amendes pouvant atteindre 100 000 $. Dans le cas des avis aux individus, il s’agira d’une infraction distincte pour chaque individu qui n’est pas avisé de l’atteinte;
• l’omission délibérée de tenir ou de détruire des dossiers d’atteinte à la protection des données constituera également une infraction passible d’une amende maximale de 100 000 $.

Bien que la section 1.1 ait reçu la sanction royale en juin 2015, l’entrée en vigueur a été reportée afin de permettre l’élaboration et la mise en œuvre d’un règlement qui fournirait des précisions sur la façon dont les organisations devraient assumer leurs nouvelles obligations. Depuis, ISDE a mené deux consultations portant sur l’élaboration du Règlement.

Répercussions

Ce décret n’aura aucune répercussion financière pour le gouvernement.

Consultation

ISDE a reçu de nombreux commentaires de la part des intervenants dans le cadre de l’adoption du projet de loi S-4 par le Parlement et au cours de l’élaboration du Règlement. Des consultations ciblées des intervenants ont eu lieu entre mars et juin 2017 afin de déterminer la portée du Règlement. De plus, de septembre à novembre 2017, une consultation publique a été menée au sujet du projet de règlement par l’entremise de la Partie I de la Gazette du Canada.

Presque tous les représentants d’entreprises qui ont formulé des commentaires sur le calendrier de mise en œuvre ont demandé qu’un délai soit imposé entre la publication du règlement définitif et son entrée en vigueur. Les délais proposés allaient de 6 à 18 mois. Les représentants d’entreprises ont indiqué qu’ils auront besoin de temps pour adapter leurs systèmes d’information, leurs pratiques et leurs procédures, ainsi que pour former leurs employés après l’entrée en vigueur du règlement définitif.

Selon un autre point de vue exprimé par certains intervenants, y compris le commissaire à la protection de la vie privée du Canada, un délai est inutile puisque les organisations sont au courant des exigences en matière de déclaration obligatoire des atteintes à la protection des données et d’avis depuis l’approbation des modifications à la LPRPDE en 2015.

La date d’entrée en vigueur étant le 1^er novembre, les organisations sous réglementation fédérale auront donc un peu de temps pour se préparer, tout en mettant en œuvre les exigences de déclaration obligatoire des atteintes avant la fin de 2018.

Personne-ressource du Ministère