Nota bene : La présente contri­bu­tion fait partie d’une série de deux contri­bu­tions consa­crées au cadre juri­dique cana­dien en matière de protec­tion des données (cf. www​.swiss​pri​vacy​.law/​296). Cette première contri­bu­tion présente une compa­rai­son entre les systèmes suisses et cana­diens en matière de protec­tion des données.

I. Présentation géné­rale du système fédé­ral canadien

La struc­ture poli­tique du Canada, tout comme celle de la Suisse, se carac­té­rise par son statut d’État fédé­ral. Ainsi, la Constitution du Canada (ancien­ne­ment appe­lée l’Acte de l’Amérique du Nord britan­nique) répar­tit les pouvoirs entre le gouver­ne­ment fédé­ral et les gouver­ne­ments provin­ciaux en énon­çant clai­re­ment les compé­tences de chacun.

Cette doctrine de l’exclusivité implique que seule l’entité à qui ces pouvoirs sont délé­gués est habi­li­tée à légi­fé­rer. L’autre ordre gouver­ne­men­tal ne pour­rait inter­ve­nir ou régu­ler dans ce domaine spéci­fique. Ce système de distri­bu­tion des pouvoirs est enra­ciné à la partie VI de la Loi Constitutionnelle de 1867. Les dispo­si­tions perti­nentes sont les suivantes :

L’art. 91 dispose que le Parlement du Canada est exclu­si­ve­ment compé­tent, notam­ment en ce qui concerne :

• La défense nationale ;
• La régle­men­ta­tion du trafic et du commerce ;
• Le cours monétaire ;
• Les affaires étran­gères et
• La loi criminelle.

L’intention du légis­la­teur étant de garan­tir une unifor­mité dans des ques­tions qui touchent l’ensemble du pays. Les compé­tences du gouver­ne­ment fédé­ral s’apparentent à celles de la Confédération Suisse.

L’art. 92 prévoit que les légis­la­tures parle­men­taires (des provinces) sont exclu­si­ve­ment compé­tentes en ce qui concerne, par exemple :

• L’éducation ;
• La santé ;
• La propriété et
• Les droits civils dans ladite province.

Comparées aux cantons suisses, les provinces ne sont pas dotées de toute compé­tence qui n’est pas expres­sé­ment dévo­lue au Parlement du Canada. Au contraire, notons que le gouver­ne­ment fédé­ral possède une capa­cité dite rési­duelle en ce qui concerne les domaines émer­gents non prévus dans la Loi Constitutionnelle de 1867. On pren­dra, par exemple, les nouveaux moyens de commu­ni­ca­tion ou encore l’aéronautique.

Il existe toute­fois certaines matières, comme en immi­gra­tion ou en agri­cul­ture, où les deux paliers ont un pouvoir concur­rent d’édicter des lois.

En matière de protec­tion des données, la compé­tence est attri­buée au gouver­ne­ment qui est respon­sable du secteur d’activité. Ainsi, si une ques­tion touche le domaine de la santé (un élément qui figure à la liste de l’art. 92  ), ça sera alors la province qui régit la loi en la matière.

II. Similitudes et diver­gences du cadre légis­la­tif cana­dien en matière de protec­tion des données 

Au Canada, la distinc­tion entre le secteur privé et le secteur public en matière de protec­tion des données s’observe autant au niveau fédé­ral que provin­cial. Malgré cette dispa­rité mani­feste, les deux systèmes partagent des prin­cipes fonda­men­taux large­ment similaires.

a) Au niveau fédéral

Contrairement à la Suisse, où la Loi fédé­rale du 25 septembre 2020 sur la protec­tion des données (LPD) s’applique aussi bien au trai­te­ment des données effec­tuées par des personnes privées que par des organes fédé­raux (art. 2 al. 1 LPD), au Canada, chaque secteur est régle­menté par une loi distincte.

Tout d’abord, la Loi sur la protec­tion des rensei­gne­ments person­nels et les docu­ments élec­tro­niques (LPRPDE) est la loi appli­cable en matière de protec­tion des rensei­gne­ments person­nels dans le secteur privé. Plus préci­sé­ment, elle protège les indi­vi­dus dont les données sont trai­tées par des orga­ni­sa­tions qui exercent des acti­vi­tés commer­ciales et qui relèvent de la compé­tence du gouver­ne­ment fédé­ral. On se rappel­lera que ces acti­vi­tés doivent donc rele­ver, par exemple, du cours moné­taire ou encore des affaires étran­gères. Si l’entreprise opère dans des secteurs spéci­fiques régle­men­tés par des lois fédé­rales, malgré l’absence d’activité commer­ciale, des lois secto­rielles s’appliquent.

Selon la LPRPDE, une donnée à carac­tère person­nel est défi­nie comme étant toute infor­ma­tion rela­tive à une personne iden­ti­fiable, compre­nant des éléments tels que l’âge, le nom, un numéro d’identification, le revenu, l’origine ethnique, etc. En ce qui concerne l’activité commer­ciale, on défi­nit cette dernière comme toute acti­vité régu­lière ou isolée revê­tant un aspect commercial.

La LPD consacre une approche fondée sur le niveau de risque, elle caté­go­rise donc le type de données. Ainsi, elle distingue les données person­nelles des données person­nelles dites sensibles. La LPRPDE ne fait pas cette distinc­tion de manière spéci­fique. Néanmoins, la juris­pru­dence clari­fie cette notion et recon­naît que certaines données peuvent être plus déli­cates que d’autres et qu’elles requièrent dès lors un trai­te­ment plus prudent.

Les prin­cipes direc­teurs de la LPRPDE, énon­cés dans l’annexe I, englobent des éléments tels que le consen­te­ment, la limi­ta­tion de la collecte, l’exactitude, les mesures de sécu­rité, la trans­pa­rence, l’accès aux rensei­gne­ments person­nels. Ce cadre est établi afin de garan­tir un équi­libre entre la préser­va­tion de la vie privée de l’individu et des impé­ra­tifs d’innovation des orga­ni­sa­tions, lorsque les rensei­gne­ments person­nels sont utili­sés à des fins commer­ciales légi­times. Ainsi, la collecte, l’utilisation et la commu­ni­ca­tion de ces données sont limi­tées aux fins que toute personne raison­nable esti­me­rait accep­table dans les circons­tances. Cette notion s’apparente aux prin­cipes de la LPD : les fina­li­tés doivent être déter­mi­nées et recon­nais­sables pour la personne concernée.

Par ailleurs, au Canada, il existe un orga­nisme indé­pen­dant chargé de veiller au respect de la LPRPDE. Ce dernier s’intitule le Commissariat à la protec­tion de la vie privée du Canada. Il joue un rôle équi­valent à l’autorité suisse de surveillance, à savoir le Préposé fédé­ral à la protec­tion des données et à la trans­pa­rence (PFPDT), qui surveille la bonne appli­ca­tion des dispo­si­tions fédé­rales. Ainsi, une personne peut dépo­ser une plainte par rapport à toute viola­tion de la loi. De surcroît, et s’il existe des motifs raison­nables, le Commissaire peut égale­ment dépo­ser une plainte. L’accusation portée concer­nant une viola­tion de la LPRPDE peut être pénale. Pour se faire, le Commissaire devra dépo­ser l’ensemble de la preuve auprès du Service des Poursuites Pénales du Canada (SPPC), qui n’interviendra que s’il existe suffi­sam­ment de motifs raisonnables.

Les insti­tu­tions fédé­rales sont quant à elles exclues du champ d’application de la LPRPDE. En effet, c’est plutôt la Loi sur la protec­tion des rensei­gne­ments person­nels qui vient complé­ter la légis­la­tion cana­dienne et qui est appli­cable dans le secteur public. Il est entendu par insti­tu­tion fédé­rale tout minis­tère ou dépar­te­ment d’État qui relève du gouver­ne­ment du Canada. Néanmoins, les seuls rensei­gne­ments person­nels que peut recueillir une insti­tu­tion fédé­rale sont ceux qui ont un lien direct avec ses programmes ou ses acti­vi­tés. À titre d’exemple, le trai­te­ment de ces rensei­gne­ments se fait dans le cadre de percep­tions et rembour­se­ments des impôts ou encore en matière d’assurance-emploi. Typiquement, ces missions requièrent que le gouver­ne­ment obtienne de l’information au sujet de sa popu­la­tion, afin de favo­ri­ser l’élaboration de poli­tiques adap­tées et éclairées.

Parallèlement, il est inté­res­sant de parler de la Loi sur l’accès à l’information qui permet à tout indi­vidu (peu importe sa natio­na­lité ou lieu de rési­dence) un droit d’accès à tout docu­ment rele­vant d’une insti­tu­tion fédé­rale. Cette demande se fait par écrit auprès de l’institution fédé­rale concer­née. La demande peut se voir refu­ser si cette dernière est vexa­toire, enta­chée de mauvaise foi ou consti­tue un abus de droit de faire une demande de commu­ni­ca­tion. Ces motifs sont assez simi­laires à ceux que l’on retrouve dans la Loi fédé­rale du 17 décembre 2004 sur le prin­cipe de trans­pa­rence dans l’administration (LTrans). Dans les deux cas, le motif de refus inté­gral ou partiel doit être commu­ni­qué à la personne concernée.

Ainsi, nous pouvons consta­ter que le cadre légis­la­tif fédé­ral cana­dien présente de nombreuses simi­li­tudes avec celui de la LPD et de la LTrans en ce qui concerne les prin­cipes fonda­men­taux de la protec­tion des données. Cependant, la LPRPDE limite son champ d’ap­pli­ca­tion en foca­li­sant sur les orga­ni­sa­tions exer­çant des acti­vi­tés commer­ciales par rapport à la légis­la­tion suisse et le modèle euro­péen qui ont une portée plus large, couvrant égale­ment les acti­vi­tés des orga­ni­sa­tions du secteur public.

De plus, le système de protec­tion des données cana­dien, tout comme aux États-Unis avec des lois telles que la California Consumer Privacy Act (CCPA), s’inscrit dans un modèle de régu­la­tion anglo-saxonne. Cette approche met souvent l’accent sur les droits indi­vi­duels et la respon­sa­bi­lité des entre­prises, tout en permet­tant une certaine flexi­bi­lité dans la gestion des données person­nelles. Le modèle euro­péen privi­lé­gie une approche axée sur le risque.

Ces diver­si­tés de pers­pec­tives et d’approches soulignent les défis et les oppor­tu­ni­tés que présente la protec­tion des données à l’échelle mondiale.

b) Au niveau provincial

Il convient de noter que chaque province peut soit appli­quer la LPRPDE dans sa juri­dic­tion ou bien peut mettre en place sa propre légis­la­tion en ce qui concerne la protec­tion des rensei­gne­ments person­nels. Dans le cas où une province décide d’adop­ter sa propre légis­la­tion, celle-ci peut être simi­laire à la loi fédé­rale ou présen­ter des diffé­rences signi­fi­ca­tives en fonc­tion des besoins et des prio­ri­tés de la province. Cependant, même si une province met en place sa propre loi sur la protec­tion des rensei­gne­ments person­nels, la LPRPDE conti­nuera de s’ap­pli­quer dans cette province à moins que le gouver­neur en conseil n’exempte l’ap­pli­ca­tion de la loi fédé­rale dans cette province s’il estime que le niveau de protec­tion est adéquat. Nous verrons ci-après les exemples de l’Alberta, de la Colombie-Britannique et du Québec qui sont les trois provinces ayant mis en place une telle législation.

Le secteur public et le secteur privé sont encore une fois régle­men­tés sépa­ré­ment au niveau provin­cial en fonc­tion des compé­tences des parle­ments provinciaux.

Cette concep­tion n’est pas étran­gère au système suisse puisque simi­lai­re­ment, les cantons suisses ont la compé­tence de légi­fé­rer en matière de trai­te­ments de données réali­sés par un organe canto­nal ou communal.

Ainsi, en Alberta, la protec­tion des données person­nelles dans le secteur privé est régie par la Personnal Information Protection Act. Alors que la protec­tion des données person­nelles dans le secteur public est plutôt régie par la Freedom of Information and Protection of Privacy Act.

En Colombie-Britannique, la loi perti­nente dans le secteur privé est la Personal Information Protection Act. Dans le secteur public, c’est plutôt la Freedom of Information and Protection of Privact Act.

Le Québec dépar­tage égale­ment sa légis­la­tion entre le secteur privé et le secteur public. Au privé, on retrouve la Loi sur la protec­tion des rensei­gne­ments person­nels dans le secteur privé. Au public, on retrouve la Loi sur l’accès aux docu­ments des orga­nismes publics et sur la protec­tion des rensei­gne­ments person­nels. Cette loi concerne les orga­nismes gouver­ne­men­taux et les orga­nismes publics québécois.

Notons que les lois de ces trois provinces ont été jugées essen­tiel­le­ment simi­laires à la LPRPDE. Elles sont conçues pour offrir une protec­tion essen­tiel­le­ment simi­laire à la loi fédé­rale. Ainsi, une orga­ni­sa­tion qui fait affaire au Canada peut être exemp­tée, par le gouver­neur en conseil, de se confor­mer à la loi fédé­rale au Québec, en Colombie-Britannique, ainsi qu’en Alberta (toujours à condi­tion que, après examen des dispo­si­tions de la loi provin­ciale, cette dernière offre une protec­tion adéquate et équi­va­lente à celle de la LPRPDE).

La LPRPDE s’appliquera en revanche dans les provinces cana­diennes suivantes : l’Île-du-Prince-Édouard, le Manitoba, le Nouveau-Brunswick, la Nouvelle-Écosse, l’Ontario, la Saskatchewan et Terre-Neuve-et-Labrador. Cela étant le choix desdites provinces de ne pas créer leur propre légis­la­tion en matière de protec­tion des données dans leur juri­dic­tion, tout dépen­dam­ment de leurs prio­ri­tés et besoins spécifiques.

III. La protec­tion des données dans la province du Québec

En 2021, une réforme légis­la­tive majeure s’est progres­si­ve­ment instau­rée en matière de protec­tion des données et s’échelonne sur une période de 3 ans, soit jusqu’en 2024. Cette récente adop­tion a pour but de renfor­cer la protec­tion des personnes concer­nées et exige des entre­prises un niveau plus élevé de trans­pa­rence tant au niveau du secteur privé que du secteur public. La loi s’intitule la Loi moder­ni­sant des dispo­si­tions légis­la­tives en matière de protec­tion des rensei­gne­ments person­nels (Loi 25). Notons que cette révi­sion légis­la­tive s’inspire incon­tes­ta­ble­ment du droit euro­péen et donc du Règlement géné­ral sur la protec­tion des données.

IV. Conclusion

En conclu­sion, l’ana­lyse compa­ra­tive des systèmes de protec­tion des données au Canada et en Suisse révèle des simi­li­tudes et des diffé­rences signi­fi­ca­tives. Les deux pays partagent une struc­ture fédé­rale, répar­tis­sant les compé­tences entre les ordres gouver­ne­men­taux, mais présentent des nuances dans la manière dont ils abordent la protec­tion des rensei­gne­ments person­nels. Alors que le Canada adopte une approche secto­rielle avec des lois distinctes pour le secteur privé et public, la Suisse et l’Union euro­péenne ont des lois unifiées couvrant les deux secteurs. En outre, le système anglo-saxon met l’accent sur la notion d’activité commer­ciale dans la règle­men­ta­tion des rensei­gne­ments person­nels, marquant ainsi une distinc­tion supplémentaire.