Privacy and Data Regulation: What’s Changing in Canadian Privacy?
Canadian privacy rules are undergoing major modernization reforms, reflecting changes in technologies and international developments. We increasingly see data breaches and privacy in the news as well as game-changing innovations like generative AI (e.g. ChatGPT) and the Metaverse.
As of early 2023, new rules on the horizon include federal privacy and data reform proposals (Bill C-27) as well as other legislative changes that are either coming into force or already in place (Quebec Law 25/Bill 64, federal Competition Act).
What are the key concerns for retail?
Very high financial penalties on the books in Quebec and proposed federally
Federal Bill C-27 would replace PIPEDA with a proposed new law, the Consumer Privacy Protection Act (CPPA), and pass a standalone AI law, the Artificial Intelligence and Data Act (AIDA)
Prospect of a patchwork of disharmonized privacy regimes across Canada, with high fines levied multiple times for some contraventions
Federal Competition Act amendments in 2022 mentioning consumer privacy and a comprehensive reform consultation to update the Act that includes proposals to regulate algorithms and ecommerce.
As a retailer, what are my top 3 next steps to deal with all this?
Understand your data flows. Set up a privacy program if you haven’t already. Understand how you collect, use and disclose personal information online and in-store. Update your privacy policy and other consent-related communications and figure out where you are using artificial intelligence to process data generally, even if it’s not consumer information (For more information: PIPEDA Self-Assessment Compliance Guide; AIDA)
Quebec is a priority. If you collect personal information, including online, from anyone in Quebec, prioritize getting ready for big changes coming into force there in 2023 and 2024. While federal Bill C-27’s CPPA would have wider national impact, it is at the early stages of its passage through Parliament. In contrast, Quebec’s new rules are the law there now and most are set to come into force in 2023. (For more information: BLG Quebec privacy reform guide)
Cybersecurity. Focus on your cybersecurity practices to better prevent security breaches and deal with them if they happen. Be sure to factor in regulatory compliance requirements to track breaches and be ready to notify individuals affected and file a report to the regulator if the incidents meet applicable privacy compliance criteria (For more information: Quebec breach requirements,Federal breach requirements,RCC CyberSecure)
RCC’s Retail CyberSecure Program is designed to protect retailers against the many dangers of cybercrime, from threats to action plans to training. Check out our past recordings and be sure to register for the upcoming webinar, Defensive Procedures.
Confidentialité et données du commerce de détail : ce qui change dans les réglementations relatives à la protection de la vie privée
Les règlements canadiens de protection de la vie privée font l’objet d’importantes réformes afin de tenir compte des avancées technologiques et des développements sur le plan international. Nous entendons de plus en plus souvent parler de fuites de données et d’incidents de confidentialité dans les nouvelles ainsi que d’innovations révolutionnaires comme l’IA générative (article en anglais), qui nous a notamment donné ChatGPT, et le métavers (article en anglais)
En ce début d’année 2023, parmi les nouveaux règlements qui se dessinent à l’horizon, signalons le projet de réforme fédérale de la protection de la vie privée et des données (C-27) ainsi que certaines autres modifications législatives, qui entreront en vigueur sous peu ou sont déjà en place (Loi 25 au Québec (projet de loi 64), Loi fédérale sur la concurrence, etc.).
À quoi les détaillants doivent-ils prêter attention ?
Importantes sanctions pécuniaires prévues au Québec et envisagées au fédéral.
Projet de loi fédéral C-27. Celui-ci remplacera la LPRPDE par un nouveau texte législatif – la Loi sur la protection de la vie privée des consommateurs (LPVPC) – et entraînera l’adoption d’une loi indépendante sur l’IA : la Loi sur l’intelligence artificielle et les données (LIAD).
Perspective d’un ensemble de régimes disparates de protection de la vie privée au Canada et risque d’importantes amendes imposées plusieurs fois pour certaines infractions.
Modifications apportées en 2022 à la Loi fédérale sur la concurrence faisant mention de la protection de la vie privée des consommateurs et d’une consultation sur une réforme globale destinée à moderniser la loi, notamment en réglementant les algorithmes et le commerce électronique.
En tant que détaillant, quelles sont les trois prochaines étapes que je dois envisager pour composer avec tout cela ?
Bien comprendre ses flux de données. Si vous ne l’avez déjà fait, établissez un programme en matière de protection de la vie privée. Assurez-vous de bien comprendre comment vous recueillez, utilisez et communiquez les renseignements personnels, et ce, en ligne comme en magasin. Mettez à jour votre politique en matière de protection de la vie privée et vos communications sujettes à consentement et comprenez bien l’utilisation que vous faites de l’intelligence artificielle dans le traitement des données (même s’il ne s’agit pas de renseignements sur les consommateurs). (Pour en savoir plus : Guide de conformité et d’autoévaluation – LPRPDE; LIAD)
Accorder la priorité au Québec. Si vous recueillez des renseignements personnels, y compris en ligne, de tout citoyen du Québec, ne perdez absolument pas de vue que d’importants changements entreront en vigueur en 2023 et 2024. L’incidence de la LPVPC prévue par C-27 est théoriquement plus importante à l’échelle nationale, mais ce projet de loi n’en est qu’aux premiers stades du processus législatif à Ottawa. À l’inverse, les nouveaux règlements du Québec sont déjà la loi et entreront pour la plupart en vigueur en 2023. (Pour en savoir plus : Guide de BLG sur la réforme québécoise de la Loi sur la protection des renseignements personnels)
Prêter attention à la cybersécurité. Attardez-vous à vos pratiques de cybersécurité pour mieux prévenir tout bris de sécurité et réagir adéquatement si un tel incident se produit. Assurez-vous de tenir compte des exigences en matière de conformité réglementaire pour détecter les incidents de confidentialité, être prêt à prévenir toute personne affectée par un tel problème et présenter un rapport à l’organisme de réglementation si un incident répond à certains critères applicables en matière de protection de la vie privée. (Pour en savoir plus :Exigences liées aux incidents de confidentialité au Québec ;Exigences fédérales en matière d’incidents de confidentialité ;Programme Cybersécurité au détail du CCCD)
À diffuser auprès de votre personnel responsable des TI et de la gestion des risques.
Webinaire GRATUIT : Programme Cybersécurité au détail du CCCD
Le Programme Cybersécurité au détail du CCCD est destiné à protéger les détaillants des nombreux dangers de la cybercriminalité, notamment en leur présentant les menaces et en leur proposant des plans d’action et de la formation. Nous vous invitons à consulter l’enregistrement de nos précédents webinaires et à vous inscrire au prochain, qui sera consacré aux Mesures de protection.