Mise en application de la législation en matière de protection des données : leçons à tirer de l’expérience européenne

Pendant longtemps, la législation provinciale et fédérale canadienne en matière de protection des renseignements personnels était appliquée selon le principe de « désigner et blâmer » (les organismes de réglementation nommant publiquement les entreprises qui ne respectent pas la loi).

Toutefois, des changements législatifs récents et proposés permettraient aux organismes de réglementation canadiens d’imposer des amendes importantes aux organisations qui ne respectent pas les nouvelles normes en matière de protection des renseignements personnels. L’expérience récente de l’Union européenne à cet égard permet d’entrevoir la manière dont les organismes de réglementation canadiens pourraient utiliser ce pouvoir de mise en application accru.

Situation actuelle : le contexte canadien

Au Québec, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, qui introduit des exigences accrues en matière de protection des données, semblables à celles prévues dans le Règlement général sur la protection des données de l’UE, a déjà atteint la première de ses trois étapes de mise en œuvre prévues. À compter de septembre 2023, les organisations exerçant des activités au Québec qui ne se conforment pas à ces exigences s’exposent à des conséquences pécuniaires importantes, notamment :

• des sanctions réglementaires allant jusqu’à 10 millions de dollars ou au montant correspondant à 2 % du chiffre d’affaires mondial de l’organisation pour l’exercice financier précédent;
• des amendes pénales allant jusqu’à 25 millions de dollars ou au montant correspondant à 4 % du chiffre d’affaires mondial de l’organisation pour l’exercice financier précédent (en cas de récidive, l’amende est portée au double);
• le paiement de dommages-intérêts punitifs d’au moins 1 000 $ dans le cas d’une atteinte intentionnelle ou résultant d’une faute lourde, dans le cadre d’une poursuite civile.

Pour en savoir plus, veuillez consulter notre article sur la refonte de la loi québécoise sur la protection des renseignements personnels dans le secteur privé.

Au niveau fédéral, le Commissariat à la protection de la vie privée du Canada (CPVP) peut actuellement imposer des amendes allant jusqu’à 100 000 $ pour un nombre restreint de violations de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), telles qu’une entrave à l’examen d’une plainte ou le non-respect des exigences de déclaration obligatoire de toute atteinte à la vie privée. Toutefois, ces pouvoirs de mise en application augmenteront de façon importante avec le projet de loi C-27, qui vise à harmoniser la législation canadienne avec le RGPD.

Le projet de loi propose notamment la création d’un Tribunal de la protection des données qui pourrait imposer des sanctions pécuniaires importantes en cas d’une conclusion de non-conformité par le CPVP. Si le projet de loi est adopté, les entreprises canadiennes pourraient s’exposer à des conséquences pécuniaires importantes, semblables à celles auxquelles elles s’exposeraient au Québec à compter de l’automne prochain, notamment :

• des sanctions administratives pécuniaires allant jusqu’à 10 millions de dollars ou au montant correspondant à 3 % des recettes globales de l’organisation pour l’exercice financier précédent;
• des amendes pénales allant jusqu’à 25 millions de dollars ou au montant correspondant à 5 % des recettes globales de l’organisation pour l’exercice financier précédent;

Pour en savoir plus sur les réformes proposées, veuillez consulter notre article sur le projet de loi C-27.

Situation future : leçons de l’Union européenne

Entré en vigueur le 25 mai 2018, le RGPD introduit une norme unique en matière de protection des données dans toute l’Union européenne, mais confie son application aux autorités de protection des données (APD) des États membres.

Cela fait maintenant près de quatre ans et demi que le GDPR a été adopté, et l’expérience de l’UE peut fournir aux organisations canadiennes des indications sur ce qui les attend si des pouvoirs de mise en application similaires sont adoptés ici. Les dossiers de mise en application ouverts par les APD sont en hausse constante depuis mai 2018 (voir le graphique 1 ci-après). Toutefois, le degré de surveillance réglementaire semble varier beaucoup d’un pays à l’autre. Cela peut s’expliquer par les contraintes liées aux ressources et les objectifs réglementaires propres aux APD de chaque État membre (ainsi, l’Espagne a, jusqu’à maintenant, imposé plus de 500 amendes publiées en vertu du RGPD, comparativement à la France qui en a imposé moins de 30).

Les deux premières années, le nombre d’amendes était peu élevé, probablement en raison d’une approche axée sur la sensibilisation. Cependant, en 2021, soit trois ans après l’entrée en vigueur du Règlement, le nombre d’amendes a explosé.

En 2021, le montant des amendes a augmenté en même temps que celui de l’ensemble des mesures de mise en application (voir le graphique 2 ci-après). Dans la plupart des cas, les organisations ayant reçu des amendes importantes n’avaient pas traité les données personnelles de manière licite, loyale et transparente ou n’avaient pas pris des mesures suffisantes pour assurer la sécurité de l’information.

En 2021, quelques dossiers de mise en application à haute visibilité ont donné lieu à l’imposition d’amendes record en vertu du RGPD. Ainsi, le Luxembourg a imposé une amende de 746 millions d’euros à Amazon Europe Core S.a.r.l. pour ses systèmes de publicité ciblée destinée aux consommateurs¹. La même année, l’Irlande a imposé une amende de 225 millions d’euros à WhatsApp Ireland Ltd. pour ne pas avoir fourni d’information suffisamment claire sur ses activités de traitement des renseignements à ses utilisateurs². Il n’est pas surprenant que les entreprises en contact avec les consommateurs semblent particulièrement ciblées.

Points à retenir pour les entreprises

• Nous observons une évolution de la réglementation canadienne en matière de protection des renseignements personnels. À mesure que les organismes de réglementation acquièrent des pouvoirs de mise en application plus importants, les entreprises devraient s’attendre à une surveillance accrue de leurs pratiques en matière de traitement des données. Toutefois, même si les organismes seront dotés de pouvoirs semblables (par exemple, la Commission d’accès à l’information du Québec et le Tribunal de la protection des données fédéral), ils pourraient adopter des approches différentes à l’égard de la mise en application. Il reste à voir la façon dont la nouvelle législation fédérale sera appliquée à l’égard des violations de données transfrontalières. De même, les entreprises qui font l’objet d’enquêtes dans plus d’un territoire devront adopter une stratégie pour éviter de se voir imposer plusieurs amendes.
• Les entreprises en contact avec les consommateurs pourraient être particulièrement ciblées. Si l’on en juge par l’expérience de l’UE avec le GDPR et le fait que les organismes de réglementation canadiens font face aux mêmes contraintes liées aux ressources, tout porte à croire que les entreprises en contact avec les consommateurs (en particulier dans le secteur du commerce de détail et des médias) sont susceptibles de faire l’objet d’une plus grande attention réglementaire relativement à leurs pratiques de traitement des données. Par conséquent, elles devraient allouer davantage de ressources à l’amélioration de la transparence et au traitement éthique des données.
• Les activités de mise en application sont à la hausse. Compte tenu de l’expérience européenne, nous nous attendons à ce que, dans les premières années suivant l’adoption des réformes législatives, les organismes de réglementation canadiens se concentrent sur la sensibilisation et la mise en application stratégique axée sur la prévention. Cependant, l’expérience de l’UE montre qu’ils n’attendront pas longtemps avant d’utiliser leurs nouveaux pouvoirs de mise en application. Les entreprises canadiennes devraient demeurer au fait de ces réformes et planifier leurs mises à jour de conformité longtemps à l’avance pour avoir le temps d’harmoniser leurs stratégies en matière de traitement de données, d’intervention et d’intelligence artificielle avec les nouvelles exigences.