On ne vous apprend rien : ces dernières années, la protection des données à caractère personnel (DCP) est devenue un enjeu majeur. Le RGPD (Règlement européen sur la protection des données) est devenu une référence européenne et mondiale en la matière.
Le Parlement Canadien s’est fortement appuyé sur ces règles européennes pour présenter son nouveau projet de loi, dénommé Bill C-11 ou CPPA (Consumer Privacy Protection Act), fin 2020.
Mais où en est ce projet de protection des données personnelles au Canada ? Que contient-il ?
Divalto vous apporte des éléments de réponse dans cet article.
Afin de comprendre la comparaison du CPPA avec le RGPD, il est important de bien comprendre ce qu’est ce règlement européen de référence.
Sont concernés par le RGPD (conditions cumulatives) :
Une DCP est une information rattachable, directement ou non, à une personne physique. Le RGPD règlemente chaque opération (traitement) réalisée sur ces données.
Actuellement, c’est la loi fédérale canadienne (le PIPEDA) qui règlemente les traitements de données personnelles. Seulement, les experts jugent les dispositions du PIPEDA (Personal Information Protection and Electronic Documents Act) très largement insuffisantes.
Les organisations canadiennes doivent répondre aux exigences du RGPD.
Certaines compagnies canadiennes traitent des DCP de résidents européens. Pour ces organisations, le RGPD impose un niveau de protection similaire aux exigences européennes, sous peine de sanctions.
Le Parlement canadien a présenté, fin 2020, le projet de loi CPPA à la Chambre des Communes. Aujourd’hui, le projet de loi doit encore passer devant les deux chambres, en seconde lecture.
Vous l’aurez compris, le CPPA est un projet de loi (très, très) fortement inspiré du RGPD. Voici les principales évolutions qu’apporteraient Bill C-11.
Des règles modernisées sur le consentement
S’il entrait en vigueur, le CPPA imposerait de nouvelles règles sur le consentement. Les compagnies ne traiteraient les DCP du concerné qu’en cas de consentement expresse, sauf si elle établit qu’un consentement implicite est approprié.
A chaque traitement, les informations suivantes doivent être accessibles au concerné :
Durcissement du régime et des sanctions
Le projet de loi prévoit la création d’un tribunal dédié. Un tribunal administratif serait établi pour les appels des décisions de l’OPC (Office de protection du consommateur) faites sous le nouveau régime. L’objectif est de faciliter les pénalités.
Une entreprise qui ne respecte pas les règles s’expose à des sanctions sévères :
Le CPPA serait une avancée considérable pour la protection des DCP au Canada. Mais de nombreux experts pensent que le projet de loi n’est pas suffisamment ambitieux.
Les experts émettent beaucoup de critiques. Le CPPA ne prévoit pas expressément le droit à la vie privée.
Contrairement au RGPD, Bill C-11 ne régulerait que les activités commerciales. Les intérêts commerciaux et de protection de la vie privée sont conçus comme des notions opposées. Et la balance pencherait clairement en faveur des sociétés.
Cette conception est très différente de celle du RGPD, dans lequel ces notions sont complémentaires.
Rien n’est moins sûr ! Depuis la présentation du projet, l’adoption de la loi a pris plus de temps que prévu.
Le gouvernement actuel n’a pas fait du CPPA une priorité. Les experts politiques du pays prévoient une dissolution de la Chambre des Communes d’ici fin 2021. Mais si la chambre disparaît, le projet Bill C-11 disparaîtra avec.
C’est une course contre la montre qui est lancée pour faire adopter le projet. La situation évolue, et tôt ou tard, les Etats devront se conformer aux règles européennes.
Si le CPPA ne passe pas, ce n’est que partie remise. Lassés du manque de réactivité du gouvernement, Québec et Ontario ont déjà commencé à réfléchir à leurs propres règles.
Implanté depuis plus de 10 ans au Québec, Divalto est un éditeur reconnu dans le secteur du développement de logiciel ERP et CRM.
