Les 10 principales nouveautés de la législation relative à la protection des renseignements personnels en 2017

19 décembre 2017

Vous devez faire du rattrapage en ce qui concerne l’évolution de la législation relative à la protection des renseignements personnels en 2017? Voici la liste des 10 principales nouveautés :

  1. La Cour suprême porte un coup dur aux clauses attributives de compétence dans les contrats de consommation.

    Dans l’arrêt Douez c. Facebook, une Cour suprême divisée a refusé d’appliquer une clause attributive de compétence par ailleurs valide dans l’accord relatif aux conditions d’utilisation de Facebook. Cette clause aurait exigé que le demandeur poursuive Facebook en Californie plutôt qu’en Colombie-Britannique pour une présumée atteinte à la vie privée. La majorité a décidé que l’inégalité du pouvoir de négociation entre les parties ainsi que la nature quasi constitutionnelle des droits à la protection des renseignements personnels représentaient des motifs valables pour ne pas appliquer la clause. Cette décision met en doute toute une série de contrats de consommation aux termes desquels les consommateurs étaient censés avoir accepté d’être assujettis à la compétence de tribunaux situés à l’extérieur de leur province.

  2. LCAP : le droit privé d’action est suspendu et une réforme est recommandée.

    En juin 2017, le gouvernement a mis un frein à l’application des paragraphes 47 à 51 de la Loi anti-pourriel (LCAP) du Canada qui auraient permis à des particuliers de poursuivre des organisations pour contravention à la LCAP et à des articles connexes de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et de la Loi sur la concurrence. Compte tenu des amendes allant jusqu’à 1 million de dollars par jour prévues par la LCAP, des entreprises et des organismes à but non lucratif ont exprimé leur crainte que la loi ait de graves répercussions inattendues. Le gouvernement a demandé au Comité permanent de l’industrie, des sciences et de la technologie (INDU) de passer en revue la disposition dans le cadre de l’examen plus général de la LCAP prescrit par la loi.

    En décembre, le Comité a déposé le rapport qu’il a réalisé à la suite de son examen de la LCAP et du droit privé d’action. INDU a entendu quarante témoins, dont plusieurs se sont montrés très critiques envers la loi. Le Comité s’est gardé de faire des recommandations précises sur les modifications à apporter aux dispositions de la LCAP, mais a formulé treize recommandations générales aux fins de clarification. Ces dernières concernent notamment des termes clés comme « message électronique commercial », les dispositions portant sur le consentement tacite et exprès ainsi que la façon dont la LCAP s’applique aux organismes de bienfaisance et aux organismes à but non lucratif. INDU recommande également d’attendre que soit évaluée l’incidence des clarifications recommandées avant d’envisager l’entrée en vigueur du droit privé d’action.

  3. La Cour suprême reconnaît le caractère privé des messages textes.

    Dans les arrêts R. c. Marakah et R. c. Jones, deux décisions rendues en décembre, la Cour suprême s’est prononcée sur les circonstances dans lesquelles les protections contre les fouilles, les perquisitions et les saisies abusives prévues par la Charte s’appliquent aux messages textes conservés par des tiers. Dans Marakah, la majorité a tranché que le défendeur avait une attente raisonnable en matière de respect de la vie privée à l’égard des messages textes trouvés dans le iPhone de son complice (saisi à la résidence du complice), a exclu la preuve et a acquitté le défendeur. De façon similaire, dans Jones, la Cour a conclu que le défendeur avait une attente raisonnable en matière de respect de la vie privée à l’égard des messages textes envoyés à son coaccusé qui avaient été stockés par le fournisseur de services mobiles de l’accusé. Toutefois, puisqu’elle a jugé que la saisie avait été effectuée à la suite d’une ordonnance de communication valide en vertu du Code criminel, la Cour a conclu que les droits du défendeur garantis par la Charte n’avaient pas été enfreints.

  4. La LCAP résiste à sa première contestation constitutionnelle

    En 2015, des employés du Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) ont imposé une amende de 1,1 million de dollars à CompuFinder en raison de violations de la LCAP. Exerçant son droit de présenter des observations aux membres désignés du CRTC, CompuFinder a contesté la validité de la LCAP au motif qu’elle était ultra vires des pouvoirs législatifs du Parlement fédéral et qu’elle constituait une atteinte injustifiable aux protections conférées par la Charte, notamment la liberté d’expression. Le CRTC a rejeté ces prétentions et a déterminé que la LCAP représente un exercice valide du pouvoir général du Parlement en matière de commerce, et que les restrictions à la liberté d’expression sont justifiées par les objectifs de la loi, soit de réglementer les pourriels et les autres menaces électroniques. Il reste à voir si l’affaire sera portée en appel à la Cour d’appel fédérale.

  5. Le délit civil d’intrusion dans l’intimité est-il en expansion?

    En 2012, dans l’arrêt Jones c. Tsige , la Cour d’appel de l’Ontario a reconnu le délit civil d’intrusion dans l’intimité, un délit civil d’atteinte à la vie privée qui donne droit à une indemnisation contre les atteintes intentionnelles et « hautement répréhensibles » à la vie privée. Dans l’arrêt Vanderveen c. Waterbridge Media Inc., la Cour des petites créances de l’Ontario a conclu que la vidéo promotionnelle réalisée pour la défenderesse, promoteur immobilier, qui pendant deux secondes montrait la demanderesse faisant du jogging dans un sentier pédestre public, constituait une importante atteinte à la vie privée. La Cour a accordé à la demanderesse un dédommagement de 4 000 $ pour atteinte à la vie privée, et de 100 $ pour usurpation de personnalité. Bien qu’il s’agisse d’un jugement aux petites créances, cette décision est digne de mention, car dans le passé, les tribunaux situés dans les provinces de common law rejetaient généralement les réclamations en responsabilité civile délictuelle de common law pour usurpation de personnalité présentées par des personnes non célèbres.

  6. La Loi sur la protection des renseignements personnels et la Loi sur la concurrence se rejoignent dans le cadre de l’affaire TREB.

    Dans l’arrêt Toronto Real Estate Board c. Commissaire de la concurrence, le Toronto Real Estate Board (TREB) a soutenu que les prétendues politiques anticoncurrentielles qui limitaient la distribution de certaines données à des courtiers découlent d’obligations en matière de protection des renseignements personnels prévues par la LPRPDE. En désaccord, la Cour d’appel fédérale a jugé que les conventions d’inscription intervenues entre les propriétaires-vendeurs et les courtiers renfermaient des consentements suffisants aux termes de la LPRPDE pour autoriser la divulgation des renseignements personnels par voie électronique. La Cour a cité le jugement que la Cour suprême a rendu en 2016 dans l’arrêt Banque Royale du Canada c. Trang, qui a conclu que l’attente raisonnable en matière de respect de la vie privée à l’égard de renseignements figurant dans les états de mainlevée d’hypothèques était réduite. En outre, la Cour a constaté que le droit au respect de la vie privée dont il était question dans le dossier TREB était de nature moins délicate, car les prix de vente des maisons étaient accessibles au public, conformément à la loi provinciale sur l’enregistrement immobilier.

  7. Le commissaire à la protection de la vie privée de C.-B. statue contre « Creep Catchers ».

    Surrey Creep Catchers était une organisation justicière dont les membres se faisaient passer pour des mineurs en ligne afin d’attirer d’éventuels prédateurs d’enfants à une rencontre en personne. C’est à cette rencontre que l’organisation confrontait les présumés prédateurs et enregistrait la confrontation par vidéo pour ensuite publier leurs interactions sur les médias sociaux. Deux cibles de l’organisation ont porté plainte au bureau du commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique, qui a déterminé que l’organisation avait recueilli, utilisé et divulgué un éventail de renseignements personnels sans autorisation. Le bureau du commissaire a ordonné à l’organisation de mettre fin à ses activités et a rejeté l’argument selon lequel l’organisation menait une « enquête » ou agissait à des fins journalistiques.

  8. À surveiller : le RGPD européen

    Des entreprises partout dans le monde se préparent pour l’entrée en vigueur du Règlement général sur la protection des données (RGPD) européen en mai 2018. Ce règlement apportera des changements importants à l’ancienne directive datant de 1995, et comportera notamment des pénalités plus sévères (jusqu’à 4 % du chiffre d’affaires global), des dispositions relatives au consentement plus strictes ainsi qu’un « droit à l’oubli » formalisé. Le règlement est censé avoir une portée extraterritoriale et devrait s’appliquer aux commerces en ligne qui traitent avec des résidents européens. Cela incite de nombreuses entreprises canadiennes qui exploitent un site Web ou qui pourraient autrement exercer des activités commerciales occasionnelles avec des résidents européens à s’interroger sur l’incidence que pourrait avoir le règlement sur elles. La Commission européenne a longtemps considéré que la législation sur la protection des renseignements personnels du Canada était « adéquate» pour permettre la circulation de données personnelles entre le Canada et l’Union européenne sans mesures de protection additionnelles. Toutefois, compte tenu de l’entrée en vigueur prochaine du RGPD, il n’est pas clair si cette législation continuera d’offrir une protection « adéquate » ou si le Canada devra éventuellement la modifier.

  9. Dépôt du Règlement concernant les atteintes aux mesures de sécurité de la LPRPDE

    En 2015, la Loi sur la protection des renseignements personnels numériques a modifié la LPRPDE pour y intégrer des exigences concernant la notification obligatoire des atteintes à la protection des données. Ces exigences comptent notamment l’obligation d’aviser les personnes concernées d’« un risque réel de préjudice grave » et de déclarer l’atteinte au commissaire à la protection de la vie privée du Canada (le Commissariat). Même si ces changements ne sont pas encore entrés en vigueur, le gouvernement s’est rapproché de leur mise en oeuvre en septembre 2017 en publiant un projet de règlement qui fournit plus de détails sur les exigences. Le projet de règlement arrive au cours d’une année marquée par plusieurs atteintes à la protection des données très publicisées au Canada et dans le monde, dont Equifax, Uber et le gouvernement canadien.

  10. Une entreprise est tenue responsable des atteintes à la vie privée commises par une représentante des ventes rebelle.

    Une représentante des ventes de Corporation REÉÉ Global a accédé de façon inappropriée à des renseignements personnels de patientes en obstétrique de l’hôpital Rouge Valley et s’en est servi pour vendre des régimes enregistrés d'épargne-études (REÉÉ) aux parents de nouveau-nés. La représentante avait acheté ces renseignements personnels d’employés de l’hôpital et prétendait agir seule.

    À la suite d’une enquête, le Commissariat a conclu dans un sommaire de décision publié en 2017 que l’entreprise était néanmoins responsable des actions de sa représentante des ventes en vertu de la LPRPDE. Le Commissariat a également conclu que l’entreprise avait violé les obligations que lui imposait la loi, car elle n’était munie d’aucun système fiable pour documenter l’utilisation et l’obtention de renseignements personnels par les représentants des ventes, et d’aucune politique, procédure ou formation visant à assurer le respect de la LPRPDE. Le Commissariat a formulé des recommandations relatives à la conformité, que l’entreprise a acceptées et adoptées.

    Dans une décision largement publicisée, le Commissaire à l’information et la protection de la vie privée de l’Ontario avait déjà conclu en 2014 que l’hôpital avait failli à l’obligation de protéger adéquatement des renseignements personnels sur la santé que lui imposait la Loi sur la protection des renseignements personnels sur la santé . En 2016, l’employé de l’hôpital et le représentant des ventes ont également plaidé coupable à des accusations criminelles découlant de l’incident. Un recours collectif contre l’hôpital est toujours en instance.

MISE EN GARDE : Cette publication a pour but de donner des renseignements généraux sur des questions et des nouveautés d’ordre juridique à la date indiquée. Les renseignements en cause ne sont pas des avis juridiques et ne doivent pas être traités ni invoqués comme tels. Veuillez lire notre mise en garde dans son intégralité au www.stikeman.com/avis-juridique.

Restez au fait grâce à Notre savoir