Loi sur la protection des renseignements personnels et les documents électroniques – LPRPDE et RGPD
Loi sur la protection des renseignements personnels du Canada LPRPDE et RGPD: une comparaison guidée de chacun
Les informations ci-dessous sont un aperçu de la façon dont nous comparons les principales dispositions de la Loi canadienne sur la protection des renseignements personnels et les documents électroniques (LPRPDE) avec lerèglement général sur la protection des données (RGPD) de l’UE. L’objectif est de vous aider à déterminer s’il existe une duplication des efforts opérationnels que vous pouvez éviter si vous migrez de l’un vers l’autre ou si vous êtes en train de fusionner les deux au sein de votre organisation.
À l’heure actuelle, le Canada bénéficie d’une désignation d’adéquation partielle lorsqu’il facilite les transferts de données de l’UE vers le Canada. Il convient de noter que cette désignation ne s’applique qu’aux organisations canadiennes assujetties à la LPRPDE en ce qui concerne les données transférées. Bien que cela puisse soulager les problèmes de conformité pour certaines entreprises ou organisations, les transferts de données à eux seuls ne sont que la pointe de l’iceberg en ce qui concerne les obligations de conformité en vertu du RGPD. Si nous allons au-delà des transferts, il y a quelques domaines avec le RGPD qui s’appliquent aux organisations canadiennes faisant des affaires dans l’UE ou dans le traitement des données des résidents de l’UE. Les renseignements suivants identifieront les similitudes et les différences opérationnelles auxquelles les entreprises canadiennes peuvent s’attendre, pourvu qu’elles soient soumises aux deux lois.
Utiliser le consentement comme base légale
L’une des différences opérationnelles les plus importantes réside dans la manière dont la LPRPDE et le RGPD considèrent le consentement comme une base juridique pour le traitement des données.
Concernant LPRPDE, le consentement est une caractéristique majeure de cette loi . À quelques exceptions près, le consentement d’un individu est nécessaire à la collecte, à l’utilisation et à la divulgation de tout renseignement personnel. La LPRPDE a été modifiée en 2015 pour inclure l’article 6.1, qui stipule que le consentement d’une personne est uniquement valable si elle était raisonnablement attendue et comprise concernant la nature, le but et les conséquences des informations demandées.
En tant qu’organisation, vous auriez toujours le choix opérationnel de demander le consentement exprès ou implicite, mais il est entendu que le consentement exprès reste le choix par défaut. L’identification de la forme appropriée de consentement dépend de ce qui est considéré comme sensible en ce qui concerne les renseignements personnels et de toute attente raisonnable de la personne (réf. LPRPDE, annexe 1, cl. 4.3.5). En tant qu’exigence de fournir un produit ou un service à une personne, une personne ne peut être tenue de consentir à la collecte et à l’utilisation de renseignements que ce qui est nécessaire aux fins de la transaction avec la personne.
Si nous examinons GDPR, le consentement est également une base valable pour la collecte, l’utilisation et la divulgation d’informations personnelles (article 6) .Le RGPD peut être plus flexible que la LPRPDE à certains égards, car il permet aux organisations de collecter, d’utiliser et de divulguer des données personnelles en fonction d’autres facteurs, tels que l’exécution d’un contrat ou des intérêts légitimes. Contrairement au Canada, où le consentement est le seul facteur de collecte, d’utilisation et de divulgation (rappelez-vous à quelques exceptions près), les organisations qui cherchent à créer des programmes de conformité pour le RGPD chercheront probablement d’autres facteurs pour traiter les données de l’UE. À ce stade, les exigences en matière de consentement sont si exigeantes que les organisations l’utilisent avec parcimonie comme facteur de traitement des données. Principalement, c’est parce qu’il n’y a pas de notion de consentement implicite car le consentement doit se faire par un acte affirmatif de l’individu. Deuxièmement, vous ne pouvez pas regrouper le consentement dans un contrat. Il doit être remis à chaque fois pour chaque utilisation des informations personnelles. Troisièmement, il doit être donné librement . Le RGPD stipule que le consentement ne sera pas justifié pour le traitement s’il existe un déséquilibre manifeste des pouvoirs. À l’instar de la LPRPDE, le consentement n’est pas donné librement lorsqu’une organisation fait la collecte de renseignements personnels plus que ce qui est nécessaire.
Les organisations ou entreprises soumises au RGPD devraient également se demander sila personne qui donne son consentement a effectivement la capacité de le faire . Contrairement au RGPD, la LPRPDE ne contient pas d’âge minimum de consentement. Avec la LPRPDE, l’âge est un facteur pertinent pour déterminer si un consentement éclairé a été obtenu. Le commissaire à la protection de la vie privée du Canada a avancé que le consentement des enfants de moins de 13 ans serait trop difficile à obtenir; cependant, il n’y a pas de seuil strict pour l’âge. En revanche, le RGPD fixe un seuil de seize ans pour le consentement. Les pays individuels peuvent cependant abaisser l’âge du consentement entre 13 et 16 ans.
Droits à l’effacement des données
Pour RGPD, l’article 17 accorde aux individus un droit à l’oubli . Cet article permet aux individus d’exiger des organisations qu’elles effacent toutes les informations personnelles dans un certain nombre de circonstances. Si les données personnelles obtenues ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées (ou traitées), l’organisation devra les effacer. Cela s’applique également aux personnes qui retirent leur consentement et il n’y a pas d’autres motifs juridiques pour que le traitement des données se poursuive. En ce qui concerne les sites publics du contrôleur de données (pensez aux sites de médias sociaux), le responsable du traitement est tenu de prendre toutes les mesures raisonnables pour informer tous les autres contrôleurs de données qui ont reçu des informations de la demande de retrait de refuser le consentement.
La LPRPDE contient également un libellé lié à l’obligation de détruire des données également . La différence notable ici entre l’article 17 du RGPD et le principe 4.5 de la LPRPDE commence par le fait que la LPRPDE n’oblige pas l’organisation à contacter toute autre organisation à laquelle elle a divulgué des informations sur la demande d’effacement. De plus, il n’est pas clair si le RGPD autorise la rétention afin de se conformer aux lois étrangères sur la rétention. Cela devient un problème pour les entreprises multinationales qui peuvent être soumises à des lois de rétention différentes de celles de l’Europe.
La LPRPDE ne couvre pas non plus le même champ d’application que le RGPD. Il a été avancé que la LPRPDE ne s’applique pas aux moteurs de recherche simplement parce que l’activité de recherche et d’indexation du contenu du site Web ne sont pas considérées comme des activités d’affaire. En tant que tel, le principe 4.5 peut ne pas s’appliquer pour que les moteurs de recherche dissocient les résultats de recherche. Cette situation, en revanche, peut être différente en ce qui concerne les moteurs de recherche internes sur un site Web commercial.
Informations sur les données des employés
Systèmes d’information sur les ressources humaines (SIRH) ont gagné en popularité au cours des 15 dernières années en tant qu’excellente solution de gestion des données des employés. Plus récemment, ces systèmes ont été de plus en plus déployés en tant que solution cloud, permettant aux organisations multinationales de tirer parti des gains d’efficacité en utilisant une plate-forme commune pour gérer le processus des employés, y compris l’intégration, la paie, les avantages, les fonctions comptables et l’activité des employés liée à handicaps, etc.
Les informations traitées dans les plates-formes SIRH sont très difficiles sur le plan opérationnel pour les entreprises multinationales dans le cadre du RGPD. Pour ces organisations canadiennes, il est essentiel de reconnaître que la LPRPDE ne réglementera que la collecte, l’utilisation et la divulgation des renseignements personnels en ce qui concerne les travaux, entreprises et entreprises fédérales. Considérez ces employeurs comme des compagnies aériennes, des banques, des compagnies de navigation et d’autres employeurs sous réglementation fédérale. Cela couvre évidemment un sous-ensemble très limité de l’économie canadienne. En revanche, la grande majorité des employeurs sont régis par la législation provinciale. À l’exception de la Colombie-Britannique, de l’Alberta et du Québec, toutes les autres provinces ne sont pas soumises aux lois statutaires sur la confidentialité des données des employés.
Les données des employés avec le RGPD, en revanche, sont fermement dans son champ d’application. L’article 81 permet aux pays membres de l’UE de promulguer des lois expressément pour traiter les données des employés, qui peuvent être plus strictes que ce que couvre le RGPD. Il est important de noter que le consentement n’est généralement pas une base viable sur laquelle recueillir et utiliser les renseignements personnels des employés, car cette forme de consentement n’est pas considérée comme donnée librement, compte tenu du déséquilibre de pouvoir important entre l’employé et l’employeur. Certes, les employeurs peuvent avoir des intérêts légitimes à traiter des données, telles que la paie ou à des fins fiscales, mais les sociétés mères ou les sociétés affiliées doivent être prudentes. Si ces entreprises utilisent ces données à des fins de planification d’affaire ou à d’autres fins, elles peuvent avoir besoin de vérifier si elles ont des bases juridiques en vertu du RGPD pour utiliser les données sans consentement.
De plus, si les données à traiter sont transférées à une œuvre, une entreprise ou une entreprise fédérale canadienne, le transfert de données ne sera plus assujetti à la désignation d’adéquation partielle du Canada par la Commission européenne. Compte tenu de ce statut, il serait nécessaire de mettre en place des clauses contractuelles types ou des règles d’entreprise contraignantes.
Dernières pensées
Les lois sur la protection de la vie privée au Canada sont déjà assez strictes; cependant, il est important de noter que le RGPD est suffisamment différent de la LPRPDE que les organisations doivent connaître et examiner les deux en détail pour prendre en compte les changements opérationnels qui peuvent être nécessaires soit pour minimiser l’impact, soit pour développer de nouvelles stratégies de conformité. Cela en vaut la peine étant donné l’imposition d’amendes judiciaires de plus en plus élevées chaque année.