Yesterday, the Government of Canada tabled a Bill to create a new federal statutory framework governing personal information practices in the private sector. If passed, Bill C-36 will establish the new Protecting Privacy and Consumer Data Act (PPCDA), which will repeal and replace the private sector privacy framework in the Personal Information Protection and Electronic Documents Act (PIPEDA).
Key features of the privacy framework proposed by Bill C-36 include:
- Potential administrative monetary penalties and fines for offences of up to 5% of global revenue or $25 million CAD.
- Responsibility for oversight of federal private sector privacy law transferred from the Office of the Privacy Commissioner of Canada to a new Digital Safety and Data Protection Commission of Canada.
- Provisions granting the Digital Safety and Data Protection Commission broad order-making powers.
- The creation of a private right of action for losses or injuries arising from contraventions of the PPCDA.
- New "exceptions to consent" authorities, including authority to collect and use personal information without consent for certain defined standard "business activities".
- A new authority to collect, use and disclose personal information without consent for "legitimate interests", subject to an organization conducting a privacy impact assessment and taking measures to mitigate or eliminate reasonably foreseeable adverse effects.
- A requirement for organizations to conduct a privacy impact assessment (and implement the mitigation measures identified in the PIA) before disclosing or transferring personal information outside of Canada.
- Clarifications that the PPCDA would not apply to "anonymized information", and that consent is not required to use personal information to de-identify or anonymize that information.
- A requirement for organizations to implement a privacy management program.
- Provisions requiring organizations to dispose of personal information (other than de-identified information) upon an individual's request in certain circumstances, such as where the individual has withdrawn consent.
- Express reference to obligations on service providers, including safeguarding personal information and notifying the controller of a security breach.
- Transparency obligations with respect to the use of an automated decision system to make a predication, recommendation or decision about an individual that could have a legal or similarly significant effect on the individual.
- Clarification of the concept of "sensitive" personal information.
- The designation of a child as an individual under 18 years of age and a child’s personal information as sensitive, as well as a requirement that the Commission take into account the "best interests of children" in exercising its powers and performing its duties under the PPCDA.
- Provisions granting individuals data mobility rights by allowing them to direct the transfer of their personal information (other than de-identified personal information) from one organization to another.
- A provision enabling organizations to request that the Privacy and Consumer Data Division approve codes of practice and certification programs that provide for substantially the same degree of protection of personal information as under the PPCDA.
- Upon request of the Commissioner, a requirement to provide records to the Commission, including legitimate interest assessments, privacy impact assessments for disclosures and transfers outside Canada, security breach records, and privacy policies, practices and procedures included in the privacy management program.
- The recognition of the fundamental right of privacy of individuals with respect to their personal information.
The proposed privacy framework within Bill C-36 is substantially similar to the former Bill C-27, which died on the order paper when Parliament was prorogued in January 2025.
We will send more detailed analyses of the new legislation, drafted by members of Osler’s Privacy and Data Management Team, in the coming days.
Register for the Special Monthly Call
Join us for a special 1-hour AccessPrivacy Webinar on Friday, June 19 at 11:30 a.m. EST for an initial commentary on key features of the proposed new federal privacy rules.
____________________________________
Réforme majeure de la loi fédérale sur la protection des renseignements personnels réintroduite au Parlement
Hier, le gouvernement du Canada a déposé un projet de loi visant à créer un nouveau cadre législatif fédéral régissant les pratiques relatives aux renseignements personnels dans le secteur privé. S’il est adopté, le projet de loi C-36 édictera la nouvelle Loi visant à protéger la vie privée et les données des consommateurs (LPVPDC), qui abrogera et remplacera le cadre de protection des renseignements personnels dans le secteur privé prévu par la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).
Les principales caractéristiques du cadre de protection des renseignements personnels proposé par le projet de loi C-36 comprennent :
- Des sanctions administratives pécuniaires et des amendes en cas d’infractions pouvant atteindre un montant égal à 5 % des recettes globales brutes ou 25 millions de dollars canadiens.
- Le transfert de la responsabilité de la surveillance de la loi fédérale sur la protection des renseignements personnels dans le secteur privé, du Commissariat à la protection de la vie privée du Canada vers une nouvelle Commission canadienne de la sécurité numérique et de la protection des données.
- Des dispositions conférant à la Commission canadienne de la sécurité numérique et de la protection des données des pouvoirs étendus de rendre des ordonnances.
- La création d’un droit privé d’action pour les pertes ou préjudices découlant de contraventions à la LPVPDC.
- De nouvelles « exceptions au consentement », notamment le pouvoir de recueillir et d’utiliser des renseignements personnels sans consentement pour certaines « activités d’affaires » standards déterminées.
- Un nouveau fondement permettant de recueillir, d’utiliser et de communiquer des renseignements personnels sans consentement lorsqu’un « intérêt légitime » est établi, sous réserve que l’organisation procède au préalable à une évaluation des facteurs relatifs à la vie privée et prenne des mesures pour atténuer ou éliminer tout effet négatif raisonnablement prévisible.
- L’obligation pour les organisations de réaliser une évaluation des facteurs relatifs à la vie privée (et de mettre en œuvre les mesures d’atténuation qui y sont recensées) avant de communiquer ou de transférer des renseignements personnels à l’extérieur du Canada.
- Des précisions selon lesquelles la LPVPDC ne s’appliquerait pas aux « renseignements anonymisés » et que le consentement n’est pas requis pour utiliser des renseignements personnels afin de les dépersonnaliser ou de les anonymiser.
- L’obligation pour les organisations de mettre en œuvre un programme de gestion de la protection des renseignements personnels.
- L’obligation pour les organisations de procéder au retrait des renseignements personnels (à l’exception des renseignements dépersonnalisés) à la demande d’un individu dans certaines circonstances, notamment lorsque l’individu a retiré son consentement.
- Une référence expresse aux obligations incombant aux fournisseurs de services, notamment la protection des renseignements personnels au moyen de mesures de sécurité et l’obligation d’aviser l’organisation responsable du traitement des renseignements personnels de toute atteinte aux mesures de sécurité.
- Des obligations de transparence à l’égard de l’utilisation d’un système décisionnel automatisé pour faire une prédiction, formuler une recommandation ou prendre une décision concernant un individu qui pourrait avoir des effets juridiques pour lui ou, de façon similaire, une incidence importante sur lui.
- Une clarification de la notion de renseignements personnels de « caractère sensible ».
- La définition d’un enfant comme étant un individu âgé de moins de dix-huit ans et des renseignements personnels d’un enfant comme ayant un caractère sensible, ainsi que l’obligation pour la Commission de tenir compte de la « protection des intérêts des enfants » dans l’exercice de ses attributions en vertu de la LPVPDC.
- Des dispositions conférant aux individus des droits de mobilité des données qui leur permettent de transférer leurs renseignements personnels (à l’exception des renseignements personnels dépersonnalisés) d’une organisation à une autre.
- Une disposition permettant aux organisations de demander à la Section de la protection de la vie privée et des données des consommateurs d’approuver des codes de pratique et des programmes de certification offrant un niveau de protection des renseignements personnels essentiellement équivalent à celui prévu par la LPVPDC.
- Sur demande du Commissaire, l’obligation de fournir des documents à la Commission, notamment les évaluations relatives à l’intérêt légitime, les évaluations des facteurs relatifs à la vie privée liées aux communications et aux transferts à l’extérieur du Canada, le registre des atteintes aux mesures de sécurité et les politiques, pratiques et procédures du programme de gestion de la protection des renseignements personnels.
- La reconnaissance explicite du droit fondamental à la vie privée des individus à l’égard de leurs renseignements personnels.
Le cadre de protection de la vie privée proposé dans le projet de loi C-36 est essentiellement similaire à l’ancien projet de loi C-27, qui est mort au Feuilleton lorsque le Parlement a été prorogé en janvier 2025.
Nous transmettrons des analyses plus détaillées de la nouvelle législation, rédigées par des membres de l’équipe de Respect de la vie privée et gestion de l’information d’Osler, dans les prochains jours.
Appel mensuel spécial :
• Joignez vous à nous pour un webinaire spécial AccessPrivacy d’une durée d’une heure, le vendredi 19 juin à 11h30 (HE), pour une première analyse des principales caractéristiques des nouvelles règles fédérales proposées en matière de protection de la vie privée. L’inscription est gratuite sur la page de l’évènement.