Rapport annuels au Parlement

[Retour à la table des matières][Partie I][Partie III]

Rapport annuel au Parlement 2002-2003

---

Partie II - Rapport concernant la Loi sur la protection des renseignements personnels et les documents électroniques

Introduction

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) établit des règles de base sur la façon dont les organisations du secteur privé peuvent recueillir, utiliser et communiquer des renseignements personnels dans le cadre de leurs activités commerciales.

Depuis l'entrée en vigueur de la Loi, le 1^er janvier 2001, elle s'est principalement appliquée aux activités commerciales de ce qu'on appelle les installations, les ouvrages, les entreprises ou les secteurs d'activité fédéraux, notamment les entreprises de transport et de télécommunications, les banques et les radiodiffuseurs. Elle s'applique aussi aux renseignements personnels des employés de ces entreprises, ainsi qu'à la vente, à la location ou au troc de renseignements personnels au-delà des frontières provinciales ou nationales par des organisations sous réglementation provinciale. Depuis le 1^er janvier 2002, les renseignements personnels sur la santé recueillis, utilisés ou communiqués par ces organisations sont aussi couverts. À compter du 1^er janvier 2004, la LPRPDE portera également sur la collecte, l'utilisation ou la communication de renseignements personnels dans le cadre de toutes les activités commerciales au Canada, sauf dans les provinces qui auront adopté une loi jugée essentiellement similaire à la loi fédérale.

La deuxième année complète d'application de la LPRPDE s'est avérée à la fois intéressante et stimulante pour le Commissariat à plusieurs égards. Nous avons commencé à recevoir des plaintes concernant les renseignements personnels sur la santé des personnes et à faire enquête sur ces plaintes. Nous avons aussi fait des percées importantes sur une kyrielle de questions, dont le consentement et le marketing, la cote de solvabilité, l'enregistrement des appels téléphoniques et les autorisations de sécurité.

Nous avons aussi entrepris un certain nombre d'activités de communication en vue d'une sensibilisation sur les questions liées au droit à la vie privée et sur les lois fédérales concernant la protection des renseignements personnels. Du 1^er avril 2002 au 31 mars 2003, l'ancien commissaire et les cadres supérieurs ont prononcé 49 allocutions lors de conférences et événements spéciaux ; nous avons émis plus de 25 communiqués et avis aux médias sur des questions-clé touchant au droit à la vie privée ; nous avons répondu à des centaines de demandes de renseignements et d'entrevues adressées par les médias ; nous avons distribué plus de 23 000 exemplaires de nos publications à des particuliers, à des entreprises et autres organisations à travers le pays ; et nous avons reçu un nombre plus croissant que jamais de visites sur notre site web, soit en moyenne 50 000 visites par mois.

En vertu de la LPRPDE, le commissaire est tenu de soumettre un rapport annuel au Parlement sur les activités du Commissariat au cours de l'exercice antérieur. En ce qui concerne la LPRPDE, le présent rapport porte sur la période du 1^er janvier 2002 au 31 décembre 2002.

Enquêtes et demandes de renseignements

Au cours de l'année civile 2002, le Commissariat a reçu 300 plaintes en vertu de la LPRPDE de personnes alléguant que leurs droits à la vie privée avaient été enfreints par toute une gamme d'organisations. Environ 37% des cas portaient sur des pratiques du secteur bancaire, suivis de 19% dans les secteurs des télécommunications et la radiodiffusion, 15% dans les entreprises de transport et 13% dans le secteur nucléaire. Le reste des plaintes, 16%, avait été déposé à l'endroit d'autres types d'organisations, dont les fournisseurs d'accès Internet, les agences d'évaluation du crédit et les conseils de bandes autochtones.

En 2002, l'ancien commissaire a rendu des conclusions sur 162 plaintes déposées en vertu de la LPRPDE, comme suit :

Non fondées	61
Fondées	45
Résolues	41
Abandonnées	15

De plus, le Commissariat a aussi mené cinq enquêtes sur des incidents. Les incidents sont des questions provenant de diverses sources, notamment les médias, dont le commissaire prend connaissance. Habituellement dans pareil cas, la victime n'est pas nommée et le Commissariat n'a reçu aucune plainte.

Ce qui suit dans ce rapport constitue des exemples des cas les plus notables de l'année. Des résumés plus détaillés de toutes les conclusions en vertu de la LPRPD se trouvent sur notre site Web à l'adresse www.priv.gc.ca. Ces conclusions sont affichées dans le but de donner une orientation aux organisations et à la collectivité juridique sur l'application de la Loi.

Définition de conclusions en vertu de la LPRPDE

Non fondée : Cela signifie qu'il n'y a pas de preuve qui porte le commissaire à la protection de la vie privée à conclure que l'organisation a enfreint la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

Fondée : Cela signifie que l'enquête a révélé que l'organisation n'a pas respecté une des dispositions de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

Résolue : Cela signifie que l'organisation a pris des mesures correctives pour remédier à la situation, ou que le plaignant est satisfait des résultats de l'enquête menée par le Commissariat à la protection de la vie privée du Canada.

Abandonnée : Il s'agit d'une enquête qui a pris fin avant que toutes les allégations n'aient été pleinement examinées. Une affaire peut être abandonnée pour toutes sortes de raisons, par exemple, lorsque le plaignant n'est plus intéressé à donner suite à l'affaire.

Sommaire de cas choisis en vertu de la LPRPDE

Cas portant sur une erreur sur la personne

Une plaignante a écrit au Commissariat pour signaler qu'un ami l'avait informé d'un avis paru dans le journal selon lequel elle était recherchée par la police. À sa grande horreur, la plaignante a vu sa propre image dans une photographie accompagnant l'article « Crime de la semaine » d'Échec au crime. L'article faisait état d'un récent vol de deux chèques d'une femme âgée et désignait la personne illustrée comme suspecte du crime. L'image avait été saisie par une caméra de surveillance vidéo à la banque. La caméra était braquée sur le guichet de la caissière où le voleur avait encaissé les chèques volés.

Il s'est avéré que la plaignante s'était en effet présentée à la même banque et au même guichet le jour en question, mais non pas pour encaisser un chèque. Elle y était allée simplement pour régler une facture. Il était clair qu'elle n'était pas l'auteur du crime.

Comme notre enquêteur l'a appris, il s'agissait de la même banque, du même guichet, du même jour, mais non de la même heure.

Le jour en question, l'horloge de la bande journal de la banque (son registre central informatisé de toutes les transactions) avait 12 minutes de retard sur l'horloge de la caméra vidéo. Lorsque le personnel de sécurité a fait avancer la bande vidéo jusqu'à l'heure de l'encaissement indiquée par la bande journal, l'image qui apparaissait n'était pas celle de la vraie personne qui avait encaissé les chèques. C'était plutôt celle de la femme qui avait précédé la personne qui avait encaissé les chèques au guichet de la caissière quelque 12 minutes plus tôt, c'est-à-dire la plaignante.

Ainsi, les photos que la banque a remises par la suite au service de police local, et que la police a à son tour donné à l'organisme Échec au crime, illustraient la mauvaise personne.

Une semaine après l'article « Crime de la semaine » initial, Échec au crime a corrigé l'erreur en publiant une rétractation dans le même quotidien. Le même jour, le journal a publié, en page de couverture, un article précisant que la plaignante avait été la victime d'une erreur sur la personne. La plaignante a reçu des excuses officielles de la banque, de la police et d'Échec au crime. La police et Échec au crime ont tous deux admis par la suite ne pas avoir suivi les procédures normales de vérification dans ce cas et tous deux ont depuis collaboré à l'élaboration de mesures visant à prévenir des situations semblables. La banque a aussi mis en oeuvre des changements de procédure pour vérifier les heures des bandes vidéo de surveillance et des bandes journal.

Toutefois, la plaignante n'était pas entièrement satisfaite. Après le choc initial et le bouleversement, elle est devenue bien plus préoccupée par l'effet qu'avait l'incident sur sa réputation, lorsqu'elle a appris que de nombreuses personnes l'avaient bel et bien reconnue dans l'article. Cela était tout particulièrement inquiétant, parce que son travail dépendait de sa capacité de se rendre aux résidences et aux lieux de travail de ses clients. Elle était aussi préoccupée du fait que son image avait peut-être paru dans d'autres avis d'Échec au crime. Le Commissariat a pu rassurer la plaignante que sa photographie n'avait paru que dans un seul article de journal.

En ce qui concerne la résolution de sa plainte officielle adressée à l'ancien commissaire, nous avons examiné la question en fonction des obligations qu'a la banque, en vertu de la LPRPDE, d'assurer l'exactitude des renseignements personnels.

Nous avons déterminé que les renseignements personnels en question - la photographie de la plaignante - étaient entièrement inexacts dans une situation où l'exactitude avait été décisive dans le but de résoudre un crime. Pour cette raison seulement, la banque aurait dû s'assurer que l'information communiquée était aussi exacte que possible. Elle ne l'a pas fait et, par conséquent, elle a clairement enfreint le principe 4.6 de la Loi. Dans sa lettre de conclusion adressée à la plaignante, l'ancien commissaire a écrit :

« ...une organisation doit bien tenir compte des conséquences néfastes possibles de renseignements inexacts sur une personne. J'ai déterminé que vos renseignements personnels communiqués de façon inappropriée par [la banque] ont servi à prendre une décision à votre sujet - en particulier, une décision erronée selon laquelle vous étiez recherchée en tant que suspecte principale d'un crime. Qui plus est, ce fut une décision qui vous a causé une triste réputation, de l'embarras et des inquiétudes à propos de votre réputation et de votre gagne-pain. Sachant bien que la police se servirait probablement de vos renseignements personnels pour vous soupçonner d'un crime, [la banque] aurait dû prendre soin de veiller à l'exactitude de ces renseignements afin de réduire la possibilité d'une mauvaise décision aux conséquences défavorables pour vous. » [traduction]

L'ancien commissaire a déterminé que cette plainte était fondée.

Des pilotes canadiens affectés par des mesures de sécurité prises par les États-Unis

Les Canadiennes et Canadiens moyens continuent de ressentir les contrecoups des événements du 11 septembre 2001. Une personne directement touchée par les nouvelles mesures de sécurité, un pilote d'une compagnie aérienne commerciale, s'est vu confronté à un choix difficile : renoncer à ses droits à la vie privée ou risquer de perdre son emploi. Dans le passé, lorsque le pilote devait suivre une formation de pilotage requise pour maintenir son permis, son employeur l'inscrivait simplement à une école de pilotage en Floride. Cette procédure a changé après le 11 septembre 2001. Les écoles de pilotage américaines sont à présent tenues de faire signer un formulaire d'autorisation par leurs étudiants étrangers, y compris les pilotes canadiens de compagnies aériennes commerciales. Ce formulaire permettrait au gouvernement des États-Unis de recueillir et de communiquer des renseignements personnels concernant les étudiants. Toutefois, il n'a pas adéquatement expliqué les raisons de cette collecte et communica­tion, ni n'a semblé établir des limites à cet égard.

Lorsque son employeur lui a demandé de signer le formulaire, le pilote était outré. Après tout, le gouvernement canadien avait déjà fait une vérification approfondie de ses antécédents. Il n'aimait pas l'idée d'un gouvernement étranger passant au crible ses antécédents, d'autant plus qu'il ne savait pas clairement quels renseignements seraient recueillis et à qui ils seraient communiqués.

Personne ne semblait à l'aise relativement au formulaire - le gouvernement canadien, la compagnie de transport aérien, le syndicat - mais il n'y avait aucune solution immédiate à l'horizon. Le gouvernement fédéral avait demandé aux États-Unis d'accepter la vérification, faite au Canada, des antécédents des pilotes de compagnies aériennes commerciales. Mais, au moment de la plainte, les États-Unis n'avaient pas encore pris de décision.

La compagnie de transport aérien était troublée par le libellé du formulaire, mais se trouvait dans une situation difficile. La loi exige que ses pilotes soient formés. L'autre école de pilotage la plus proche se trouvait en Europe - ce qui aurait été plus coûteux que d'envoyer ses pilotes en Floride. De plus, étant donné que le pilote et le copilote doivent recevoir la formation en même temps, la compagnie de transport aérien se trouverait dans une position délicate si un pilote était disposé à signer le formulaire tandis que l'autre ne l'était pas.

Le syndicat des pilotes a protesté contre l'exigence de signer le formulaire. Il a négocié une entente avec la compagnie de transport aérien qui stipule, entre autres, que la décision de signer le formulaire était volontaire et que la compagnie offrirait une formation de rechange aux pilotes qui s'y opposaient.

Le pilote a décidé de ne pas signer le formulaire. Bien que son employeur ait obtenu une prorogation temporaire de son permis jusqu'à ce qu'une solution puisse être trouvée, il n'a pris aucune autre disposition en vue d'une formation pour lui. À moins que le gouvernement américain n'accepte la demande du Canada ou que l'ancien commissaire à la protection de la vie privée ne rende ses conclusions, la compagnie de transport aérien refuserait de modifier sa décision. La prorogation du permis du pilote est finalement venue à échéance.

Nous nous sommes vivement opposés au formulaire d'autorisation. Nous l'avons trouvé tout à fait inadmissible à de nombreux égards et nous avons conclu que les pratiques qu'il autorisait ne respectaient pas du tout les principes équitables en matière de traitement de l'information, qui sont la pierre angulaire des lois sur la protection des renseignements personnels au Canada.

Pour parvenir à cette décision, nous nous sommes fiés au « critère de la personne raisonnable » énoncé au paragraphe 5(3) de la LPRPDE afin d'évaluer les buts de la compagnie de transport aérien. Nous avons reconnu que les motifs de la compagnie exigeant que ses pilotes signent un tel formulaire semblaient raisonnables à première vue. Toutefois, au-delà des apparences, les motifs cessent d'être acceptables. Nous avons estimé qu'il n'était pas vraiment à l'honneur de la compagnie de transport aérien de faire passer le coût et la commodité avant le droit du pilote de refuser de consentir à des pratiques de collecte et de communication qui contrevenaient manifestement à la loi canadienne. Nous avons fait remarquer que la compagnie de transport aérien avait des options, mais avait choisi de ne pas s'en prévaloir.

En déterminant que les motifs de la compagnie de transport aérien ne se conformaient pas aux exigences du paragraphe 5(3), l'ancien commissaire a émis, dans sa lettre de conclusion, le commentaire suivant sur cet exemple opportun concernant la difficulté à tenir l'équilibre entre les exigences en matière de sécurité et le droit fondamental à la vie privée :

« Je conviens que les circonstances dans lesquelles se trouvent de nombreux pays, tout particulièrement les États-Unis, justifient la prise de certaines mesures de sécurité. Naturellement, il est raisonnable d'exiger que les pilotes reçoivent une autorisation de sécurité afin de pouvoir voler et c'est la raison pour laquelle le Canada a établi des mesures de sécurité auxquelles sont assujettis les pilotes de compagnies aériennes commerciales au Canada... Mais est-ce qu'une personne raisonnable trouverait qu'il est approprié d'exiger que ces mêmes pilotes consentent à des pratiques inacceptables de collecte et de communication de renseignements personnels à la demande d'un gouvernement étranger – Je ne le crois pas. En fait, je soupçonne que la plupart des Canadiens et Canadiennes raisonnables trouveraient que cet empiètement sur les droits canadiens est hautement inadmissible et exigeraient que l'employeur offre des options raisonnables aux employés et que le gouvernement soulève la question avec les États-Unis. » [traduction]

Après avoir reçu la lettre de conclusion, la compagnie de transport aérien a accepté la recommandation de l'ancien commissaire et pris des dispositions pour offrir la formation à un autre endroit au pilote et aux autres personnes qui refusaient de signer le formulaire.

Communication inappropriée, par une banque, de renseignements personnels à l'employeur de l'intéressé

Une personne s'est présentée à sa banque pour une affaire personnelle : contester les frais pour des chèques. Il n'était pas satisfait de la réponse de la banque et une dispute a eu lieu.

Le directeur de la succursale est entré en scène et a décidé que son personnel n'avait plus à composer avec le client. Il s'est trouvé que l'entreprise qui employait le client faisait d'importantes affaires avec la banque. Avant de mettre fin à la relation entre la banque et le client, le directeur de la succursale a jugé bon de discuter de cette question avec l'employeur du client.

Le plaignant était surpris lorsque son employeur l'a confronté au sujet de ce qui s'était passé plus tôt ce matin-là à la banque.

L'une de nos premières tâches dans cette enquête était de déterminer exactement ce qui avait été communiqué par téléphone entre le directeur de la banque et l'employeur. Puisque rien ne prouvait qu'ils avaient discuté des affaires financières du plaignant, il semblait que la communication effective avait été limitée à trois simples faits : (1) que le plaignant avait un compte à cette succursale ; (2) que son compte serait bientôt fermé ; (3) qu'il y avait eu une scène avec le caissier ou la caissière.

Selon la banque, rien de cela ne peut être considéré comme étant des renseignements personnels concernant le plaignant. La banque a souligné que la scène, elle-même, s'était produite dans un endroit public et dans une petite communauté, à un endroit où le fait d'effectuer des opérations bancaires est difficilement affaire de secret. La position prise par la banque était que la communication en question entrait dans la catégorie du « discours public normal », comparable à des « potins anodins ». La banque a même suggéré qu'elle avait le droit de communiquer de tels renseignements dans un souci de « courtoisie commerciale » et de protection de ses propres intérêts. En citant le paragraphe 5(3) et le principe 4.3.5, les soi-disantes dispositions relatives à la « raisonnabilité » de la LPRPDE, la banque a également suggéré que le plaignant n'avait aucune attente raisonnable en matière de protection de la vie privée et que des personnes raisonnables auraient considéré la communication appropriée dans les circonstances.

Bien que nous n'ayons pas été rébarbatifs face à la banque et que nous ayons été prêts à concéder jusqu'à un certain point le caractère raisonnable du point de vue de la banque, l'ancien commissaire devait établir la distinction quelque part. En présentant ses conclusions au plaignant, il a formulé le commentaire suivant :

« À mon avis,... le caractère raisonnable de la situation s'arrête exactement au point où le directeur [de la banque], sachant que vous aviez agi en votre propre nom à sa succursale ce matin-là, a néanmoins pris le téléphone à son bureau pendant les heures de travail pour informer votre employeur. Ce n'était pas une communication anodine ou par inadvertance. Ce n'était pas des potins anodins. Il s'agissait d'un acte délibéré de communication de renseignements personnels à un tiers par une personne agissant en sa qualité officielle, qui n'était nullement habilité à faire cette communication. En outre, la Loi place les droits des personnes au-dessus de notions comme la « courtoisie commerciale » et ne fait pas de distinction quant à la taille de la localité qu'habite la personne. Y a-t-il quelque part une personne raisonnable qui s'attendrait à ce que son directeur de banque communique à son employeur des renseignements concernant ses affaires bancaires personnelles – La réponse à cette question est évidemment non. » [traduction]

Une fraude relative à la cote de crédit

Au cours d'enquêtes sur les plaintes concernant l'évaluation de solvabilité et l'attribution de cotes de crédit, nous avons beaucoup appris sur le fonctionnement de l'industrie d'octroi de crédit en général.

Dans deux cas particuliers, les personnes avaient fait des demandes officielles en vertu de la LPRPDE afin d'avoir accès à certains renseignements personnels contenus dans des dossiers détenus par leurs banques. Plus particulièrement, chaque requérant voulait connaître sa cote de crédit. Les banques en question leur en ont refusé l'accès, invoquant la disposition d'exemption stipulée au paragraphe 9(3)b) de la Loi. Cette disposition stipule, de fait, qu'une organisation n'est pas tenue de communiquer à l'intéressé des renseignements personnels, dans le cas où la communication « révélerait des renseignements commerciaux confidentiels ».

Les requérants, croyant au contraire que les cotes de crédit constituaient des renseignements personnels auxquels ils avaient pleinement le droit d'avoir accès, ont porté plainte au Commissariat. Notre tâche principale, dans chacun des cas, consistait à déterminer si l'exemption citée par la banque était valide.

Une cote de crédit correspond à une indication numérique de la capacité financière, calculée grâce à un modèle algorithmique. Pour la plupart des gens qui connaissent bien cette notion, le terme « cote de crédit » évoque généralement les agences d'évaluation de solvabilité. Ces agences offrent aux banques et aux autres institutions d'octroi de crédit des services de renseignements sur les antécédents en matière de solvabilité de clients potentiels, y compris parfois les cotes de crédit. En examinant une demande de crédit, une institution d'octroi de crédit obtiendra souvent les antécédents en matière de solvabilité du demandeur par une agence d'évaluation de solvabilité. Dans certains cas, l'institution demandera également une cote de crédit pour le demandeur. Les agences d'évaluation de solvabilité ne calculent pas elles-mêmes les cotes de crédit, mais fournissent plutôt des cotes calculées par une autre entreprise à partir des renseignements détenus par l'agence.

Jusqu'à un certain point, les plaignants avaient de bonnes raisons pour maintenir une telle position. Dans des cas antérieurs, nous avions déjà examiné la question d'accès aux renseignements personnels sur la solvabilité, du moins dans les où des agences d'évaluation de solvabilité étaient impliquées. Nous avions déjà conclu que les cotes de crédit constituent des renseignements personnels selon la définition de la Loi et que les personnes ont le droit, en principe, d'y avoir accès. Nous avons déterminé que les agences d'évaluation de solvabilité en particulier doivent se conformer au principe 4.9 de la Loi en donnant aux personnes, lorsqu'elles le demandent, accès aux renseignements personnels les concernant contenus dans leur dossier de solvabilité. De plus, nous avons déterminé que les banques, si elles ont obtenues les antécédents de solvabilité d'une personne par une agence d'évaluation de crédit, devaient, dans le même ordre d'idées, donner à la personne accès aux renseignements lorsque celle-ci en fait la demande, y compris la cote de crédit calculée par l'agence.

Mais les cas les plus récents n'étaient pas aussi explicites. Le problème particulier qu'ils ont soulevé était que les cotes de crédit demandées par les plaignants n'étaient pas les cotes de crédit habituelles fournies par les agences d'évaluation de solvabilité. Il s'agissait, en réalité, de cotes de crédit que les banques elles-mêmes avaient calculées et attribuées au niveau interne.

Le fait que les banques aussi possèdent leurs propres cotes de crédit, distinctes de celles fournies par les agences d'évaluation de solvabilité, est généralement moins connu. Les banques calculent leurs propres cotes de crédit internes grâce à leurs propres modèles d'attribution de cote de crédit internes, très différents de ceux qui sont associés aux agences. Tandis que les cotes des agences sont calculées au moyen de modèles standardisés basés presque exclusivement sur les renseignements de solvabilité, une banque élabore des modèles personnalisés tout particuliers, propres à elle et incorporant non seulement les renseignements de solvabilité sur la personne mais également plusieurs autres éléments relatifs aux priorités stratégiques commerciales de la banque. Étant donné que les banques considèrent et traitent leurs modèles internes d'attribution de cotes de crédit comme des renseignements commerciaux confidentiels faisant l'objet d'une propriété exclusive, de tels modèles sont plus problématiques du point de vue de la Loi.

En invoquant le paragraphe 9(3)b), les banques en question ne suggéraient pas qu'une cote de crédit calculée au niveau interne constituait en elle-même des renseignements commerciaux confidentiels, mais plutôt que le modèle utilisé pour calculer une telle cote constituait des renseignements commerciaux confidentiels. Par conséquent, disaient-elles en fait, si les cotes de crédit internes étaient rendues disponibles aux personnes, cela aurait pour effet de faire connaître le modèle avec lequel les cotes sont calculées.

Nous avons accepté les arguments des banques selon lesquels le modèle interne d'évaluation de solvabilité représentait un renseignement commercial confidentiel. Mais nous étions beaucoup moins persuadé par l'affirmation plus décisive selon laquelle le fait de communiquer les cotes de crédit pourrait révéler de quelque façon le modèle d'attribution de la côte de crédit lui-même. Comment le simple fait de communiquer à une personne sa cote de crédit pourrait vraisemblablement l'amener à connaître le fonctionnement restreint d'une telle approche logarithmique, technique et compliquée comme le modèle d'attribution d'une cote de crédit ?

En réalité, les banques ne craignaient pas le client moyen, mais les fraudeurs qui essaient de « décoder » le modèle interne d'attribution de cote de crédit à des fins néfastes. Selon les banques, les fraudeurs pourraient employer des moyens détournés pour obtenir un certain nombre de cotes de crédit et pourraient extrapoler le modèle à partir de ces cotes. Les fraudeurs peuvent soit travailler pour des fournisseurs de crédit concurrents des banques, qui essaient de bénéficier d'avantages concurrentiels, soit travailler à leur propre compte, essayant d'obtenir du crédit pour eux-mêmes sur de fausses déclarations.

Dans leurs observations, les banques ont présenté au Commissariat une analyse judiciaire des risques de fraude liés à la disponibilité des cotes de crédit. Cette analyse a conclu que si les cotes de crédit étaient immédiatement accessible, l'intégrité du modèle d'attribution des cotes de crédit d'une banque pourrait être compromise à partir d'un nombre relativement restreint de cotes de crédit calculées grâce au modèle.

Les scénarios de fraude soulignés par les banques nous ont semblé étranges. Cependant, afin d'être équitables, nous avons demandé conseil à un spécialiste dans le domaine des algorithmes. Ce spécialiste a confirmé qu'avec l'accès aux cotes de crédit personnalisées, il serait assurément plus facile de reproduire approximativement le modèle d'attribution de cotes de crédit interne d'une banque.

Nous en doutions encore. Plus particulièrement, nous étions conscients que l'alinéa 9(3)b), qui utilise le mot « révélerait » plutôt que « pourrait révéler », place la barre très haute pour qui voudrait justifier le refus de communiquer des renseignements personnels. En ce qui concerne l'avis du spécialiste en algorithmes, nous étions disposés à admettre qu'il serait techniquement possible de reproduire approximativement un modèle à partir d'un certain nombre de cotes, mais nous n'étions pas persuadés que cela pourrait se produire. Les observations présentées par les banques ne nous ont pas convaincus que des fraudeurs iraient vraiment jusqu'à agir de la façon décrite dans l'analyse du risque dans le seul but de tromper une banque. Nous étions particulièrement sceptiques à l'égard de la crainte, de toute évidence partagée par toutes les banques, selon laquelle les fournisseurs de crédit concurrents auraient recours, en fait, à de telles tactiques pour « déchiffrer » les modèles des uns des autres dans le souci de bénéficier d'un avantage concurrentiel.

Cependant, il reste que deux banques avaient fermement exprimé ce qui nous est apparu comme une profonde conviction et une crainte selon lesquelles des modèles d'attribution de cotes de crédit seraient inévitablement révélés et manipulés de manière frauduleuse, si des personnes avaient accès aux cotes de crédit. Quoique cela nous ait semblé improbable, il était indéniable que les banques s'inquiétaient sérieusement de cette possibilité, que nous avons, par ailleurs, été incapables de réfuter.

En fin de compte, l'ancien commissaire a décidé d'accorder le bénéfice du doute aux banques. Il l'a fait principalement en raison de son devoir d'équilibrer les droits à la vie privée des personnes et les intérêts légitimes des organisations en matière de renseignements. Considérant la faible valeur informative de la cote de crédit en tant que telle et le fait que l'impossibilité d'obtenir des cotes de crédit internes ne portait pas atteinte de façon significative aux droits à la vie privée des Canadiens et des Canadiennes, nous avons jugé qu'il était tout à fait juste, dans de telles circonstances, d'accepter la position des banques.

L'ancien commissaire a conclu que les banques avaient invoqué de façon appropriée l'alinéa 9 (3)b) pour refuser aux plaignants l'accès à leurs cotes de crédit internes.

Clients, faites attention! Vos conversations pourraient être enregistrées

La pratique d'enregistrement des appels téléphoniques des clients - pratiques assez répandues dans plusieurs organisations - a fait l'objet de deux plaintes. Ces cas illustrent deux approches très différentes prises par les organisations pour informer leurs clients de cette pratique et pour obtenir leur consentement. Dans les deux cas, ainsi que dans ceux impliquant le marketing à des fins secondaires, les attentes raisonnables ont joué un rôle important dans les conclusions de l'ancien commissaire.

Dans le premier cas, une personne a téléphoné à sa banque dans le but de se porter garant dans la demande de prêt de sa fille. À la fin de la conversation, il a appris que l'appel avait été enregistré. Il n'avait pas été informé, ni par le représentant du service à la clientèle ni par l'entremise d'un message enregistré, que son appel serait enregistré. On ne lui a pas non plus demandé, après qu'il a appris que son appel avait été enregistré, s'il était d'accord.

La banque avait un point de vue intéressant sur la question du consentement dans de cas. Selon elle, une seule des parties avait à consentir à l'enregistrement des appels. La banque exigeait donc de ses agents de service à la clientèle qu'ils signent un document confirmant leur consentement à l'enregistrement de ces appels.

L'objectif de la banque concernant l'enregistrement des appels était lié au fait qu'elle avait besoin d'une confirmation de la demande du client, ainsi qu'une preuve de son consentent aux modalités du produit ou du service. Selon la banque, l'appel enregistré équivaut à un formulaire signé et est utilisé pour la tenue de dossiers.

Nous sommes d'accord sur le fait que l'information échangée au cours de la conversation devrait être enregistrée d'une certaine façon. Cependant, les attentes raisonnables du client devraient également être prises en considération et la plupart des gens souhaiteraient être informées avant que leur appel soit ou puisse être enregistré. Dans ce cas, la banque ne répondait pas du tout à ces attentes et n'avait pas obtenu le consentement du père pour enregistrer cet appel, contrevenant ainsi au principe de consentement de la LPRPDE.

Dans le cas de l'autre plainte, une personne allègue que sa banque avait enregistré ses conversations téléphoniques à son insu et sans son consentement. Cette personne avait engagé des procédures judiciaires en cour contre la banque, qu'il tenait responsable de certains retraits effectués avec sa carte bancaire. Au cours de ce processus, la banque a déposé en preuve l'enregistrement d'une conversation téléphonique entre lui et un employé de la banque.

La banque a soutenu qu'elle avait obtenu le consentement de la personne pour enregistrer ses appels. Elle a fait référence à une entente signée par le plaignant lorsqu'il a ouvert son compte, laquelle reconnaissait la pratique d'enregistrement des appels téléphoniques par la banque. Le plaignant avait aussi reçu des brochures sur la protection des renseignements personnels (cinq en tout), qui expliquaient les fins pour lesquelles la banque recueillait des renseignements personnels. Cependant, le plaignant n'avait lu aucun des documents qui lui avaient été remis.

Puis, il y avait la conversation entre un employé de la banque et le plaignant (également enregistrée), dans laquelle l'employé expliquait la pratique d'enregistrement des conversations de la banque. Selon le plaignant, le terme « enregistrement » ne signifiait pas nécessairement enregistrement électronique et il a maintenu sa plainte originale.

L'ancien commissaire a déterminé que la banque avait fait un effort raisonnable pour informer le plaignant de sa pratique, ainsi que de l'objectif de cette pratique, et qu'elle avait obtenu son consentement pour enregistrer ses appels en raison de l'entente qu'il avait signée. Par conséquent, nous avons conclu que la banque s'était conformée aux dispositions pertinentes de la Loi.

Il est clair que des organisations comme celle-ci, qui ont fait un effort pour informer leurs clients et obtenir leur consentement, ont une attente raisonnable à l'égard du fait que les clients liront les documents qui ont été portés à leur attention.

Néanmoins, la banque dans le deuxième cas était prête à améliorer davantage ses pratiques concernant l'enregistrement des appels téléphoniques. En réponse à cela, le Commissariat a élaboré des lignes directrices sur les « pratiques exemplaires » pour l'enregistrement des appels téléphoniques des clients. En substance, ces lignes directrices soulignent le fait que l'enregistrement des appels téléphoniques implique la collecte de renseignements personnels - une pratique qui devrait respecter les principes équitables de traitement de l'information. En d'autres termes, les conversations ne doivent pas être enregistrées à moins que l'enregistrement ne serve à des fins que toute personne raisonnable considérerait appropriées dans les circonstances. Le client doit être informé de la fin pour laquelle l'appel est enregistré et y consentir, sauf dans un nombre restreint de cas où le consentement n'est pas exigé, et ce avant que l'enregistrement ne commence. Le client devrait également avoir des solutions de rechange telles que celles qui consistent à ne pas enregistrer l'appel, à visiter un point de vente au détail, à rédiger une lettre ou à effectuer une transaction sur Internet.

Un enregistrement sur bande magnétique saisit plus que les données précises nécessaires au but de l'appel. Il enregistre les commentaires, les accents, les attitudes - des renseignements qui peuvent ne pas être pertinents à la documentation nécessaire. C'est pour ces raisons qu'il est important pour les organisations d'être ouvertes avec les clients, de les informer que leur conversation sera enregistrée, d'expliquer pourquoi elle sera enregistrée et de leur offrir des options s'ils ne souhaitent pas être enregistrés.

Dan les deux cas, nous avons fourni aux banques nos lignes directrices sur les « pratiques exemplaires » et les deux organisations ont entrepris d'apporter des améliorations à leurs pratiques d'enregistrement. Dans le premier cas, la banque informe maintenant les clients au début de l'appel que leur conversation est enregistrée et leurs offrent des solutions de rechange pour communiquer leurs renseignements s'ils ne désirent pas poursuivre leur appel. Dans le deuxième cas, la banque a mis en place un message enregistré pour informer les clients que leur conversation sera enregistrée.

Un FAI tient en « otage » des messages électroniques

Une cliente s'est plainte lorsqu'elle a appris que son fournisseur d'accès Internet (FAI) continuait à recevoir et à stocker ses messages électroniques même si son compte était suspendu. Il s'agit là en réalité d'une pratique normale de l'industrie. Plusieurs FAI utilisent la réception et le stockage continus de messages électroniques comme un moyen pour aller chercher des paiements en retard.

Dans ce cas, l'ancien commissaire a déterminé que le FAI n'avait pas informé la plaignante de manière appropriée des fins liées à l'utilisation des renseignements personnels au cours de la suspension du compte et avait par conséquent utilisé ses renseignements personnels sans son consentement éclairé à des fins autres que celles pour lesquelles les renseignements avaient été recueillis. Compte tenu de ce fait, nous avons conclu que la plainte était fondée.

Mais ce cas a suscité une grande préoccupation pour le Commissariat au sujet de la pratique en question, que nous savions largement répandue dans l'industrie. Dans la lettre de conclusions, l'ancien commissaire a émis le commentaire suivant :

« ... en tant que commissaire à la protection de la vie privée, je demeure préoccupé au sujet des conséquences que peut avoir la pratique qui consiste à stocker et à conserver des messages potentiellement importants sans informer le destinataire prévu ni de leur existence ni l'expéditeur de leur défaut de livraison. Étant moi-même un utilisateur occasionnel des messages électroniques, au lieu de me laisser croire faussement que le message est passé sans obstacle, j'aimerais bien mieux que le message me soit retourné avec un avis indiquant qu'il n'a pas pu être livré, pour que je puisse ainsi rejoindre le destinataire prévu par d'autres moyens. En réalité, le fait de retourner le message accompagné d'un avis me semble la mesure la plus appropriée et la plus responsable à prendre de telles circonstances pour un fournisseur d'accès Internet. » [traduction]

Afin donc de répondre à la question soulevée ci-dessus, un FAI devrait suivre, dans les cas d'une suspension de compte, ce nous avons recommandé comme pratiques exemplaires dans le cas en question :

• Cesser la collecte, le stockage et le refus d'accès aux messages électroniques destinés aux détenteurs des comptes suspendus.
• Adopter plutôt une pratique qui consiste à détourner les messages électroniques et à les retourner aux expéditeurs accompagnés d'un avis les informant que le message n'a pu être délivré.
• Prendre des dispositions pour donner accès au détenteur d'un compte suspendu à tous les messages électroniques reçus par l'entreprise, mais qui n'avaient pas été récupérés par le client au moment de la suspension.

Assurez-vous de vérifier ces pouvoirs qu'invoque le gouvernement

Les souvenirs de vacances d'une personne ont été gâchés lorsqu'elle a découvert que le transporteur aérien avec lequel elle avait effectué son voyage avait communiqué son itinéraire à son employeur. Son employeur, un ministère du gouvernement fédéral, menait une enquête qui portait sur l'utilisation du congé de maladie du plaignant. Le ministère a demandé au transporteur aérien de confirmer certains renseignements sur l'itinéraire de son voyage.

Le transporteur aérien a hésité. Invoquant ses obligations en vertu de la LPRPDE, il a demandé au ministère une preuve attestant que le plaignant avait donné son consentement à une telle communication. Si cela n'était pas possible, le transporteur aérien a suggéré qu'une exemption ou une exception spécifique en vertu de la Loi serait nécessaire pour lui permettre de satisfaire à la demande.

En réponse à cette suggestion, le ministère a invoqué une directive en vertu du pouvoir conféré par une loi fédérale particulière, indiquant que les renseignements étaient nécessaires aux fins de l'administration de la loi régissant l'emploi des fonctionnaires fédéraux et a demandé au transporteur aérien de lui communiquer l'itinéraire du plaignant. Convaincu que la demande du ministère était conforme à l'aliéna 7(3)(c.1)(iii) de la Loi, le transporteur aérien a dûment communiqué les renseignements. Cet alinéa permet à une organisation de communiquer des renseignements au sujet d'une personne à une institution gouvernementale à des fins d'administration de la loi.

Il y avait cependant un seul problème.Le ministère n'a pas invoqué la bonne directive comme autorité légitime. Même si par la suite le ministère a reconnu son erreur, il a maintenu qu'il avait tout de même l'autorité légitime de recueillir ces renseignements en vertu d'une autre loi.

Nous avons convenu que le ministère avait l'autorité légitime. Toutefois, nous étions préoccupés par le fait que le ministère avait commis une erreur au départ et que le transporteur aérien avait omis de vérifier l'exactitude de l'autorité invoquée par le ministère. Même si le transporteur aérien a communiqué les renseignements de bonne foi, une organisation a l'obligation d'être vigilante en ce qui a trait à la vérification des pouvoirs invoqués par les organisations gouvernementales avant de communiquer des renseignements personnels. Dans sa lettre de conclusions, l'ancien commissairea déclaré à ce propos :

« ...dans les cas de demandes de communication de renseignements personnels, je considère qu'il revient à toute organisation du secteur privé de ne pas accorder foi de prime abord aux demandes d'une organisation gouvernementale, mais plutôt d'être vigilante en ce qui a trait à la vérification des pouvoirs invoqués. » [traduction]

Frais d'accès : devriez-vous payer pour avoir accès à vos propres renseignements –

Le fait de répondre à des demandes d'accès aux renseignements personnels peut occasionner des coûts pour une organisation. Cela devrait-il occasionner également des coûts pour les personnes – En réalité, il existe une disposition dans la Loi qui permet aux organisations d'imposer des droits lorsqu'elles répondent aux demandes. Mais quels montants sont considérés comme étant raisonnables – Cette question a été traitée dans deux cas où les plaignants accusaient les organisations d'imposer des droits excessifs.

Les plaignants étaient impliqués dans des disputes avec leur banque respective concernant un prêt qu'ils avaient contracté. Les deux personnes ont demandé à avoir accès à leurs renseignements personnels. Les banques ont répondu en leur exigeant des droits de 150 $ et de 200 $ respectivement, afin de couvrir les coûts de traitement des documents en question. La première personne voulait savoir ce qu'elle allait obtenir pour son argent et lorsqu'elle en a été informée, elle a décidé de porter plainte. La deuxième personne perçoit un revenu fixe et ne pouvait se permettre de payer un tel montant pour obtenir ses renseignements personnels.

Ces deux cas représentent un bon exemple de la manière dont le secteur privé s'adapte aux attentes de la Loi. On a rappelé aux banques que le principe 4.9.4 de la LPRPDE stipule qu'une organisation qui reçoit une demande de communication de renseignements personnels doit y répondre et ne peut exiger, pour ce faire, que des droits minimes. Cela a eu pour effet qu'une des banques a accepté de communiquer les renseignements à aucun frais, tandis que l'autre a imposé des frais nominaux de 10 $.

De plus, la position de la banque dans le cas du premier plaignant semblait être basée non seulement sur une question de recouvrement des coûts, mais également sur son désir de rencontrer le client afin de discuter de la dispute qui avait donné lieu au départ à la demande d'accès aux renseignements. Cependant, nous avons signifié à la banque que la Loi n'exige pas qu'une personne explique les raisons pour lesquelles elle souhaite avoir accès à ses renseignements personnels ni qu'elle ait une discussion avec l'organisation concernant ses raisons. En d'autres termes, les renseignements personnels ne peuvent être mis à rançon.

Compte tenu de ces conclusions, la consigne essentielle pour les organisations en ce qui concerne les droits est celle-ci : le recouvrement des coûts ne s'applique pas aux demandes d'accès à l'information.

Une autorisation de sécurité devient une condition d'emploi

La protection des sites nucléaires contre les attaques terroristes est l'objet d'une sérieuse préoccupation surtout depuis le 11 septembre 2001. L'organisme fédéral qui supervise les opérations de toutes les installations nucléaires au Canada a répondu à la menace terroriste en ordonnant à ces titulaires de permis de mettre en oeuvre des mesures de sécurité améliorées. L'une des nouvelles mesures en place consiste à limiter l'entrée aux installations nucléaires aux personnes ayant l'autorisation de sécurité appropriée. Si un titulaire de permis refuse de se conformer à cette nouvelle mesure, l'organisme fédéral révoquera sa licence de production.

Une division des produits nucléaires de l'entreprise a informé ses employés de la nouvelle exigence en matière de sécurité et leur a également demandé de consentir à une vérification de sécurité. Chaque employé de la division a reçu une trousse d'information accompagnée de formulaires de consentement qui précisaient le type de renseignements qui seraient recueillis, le but de la collecte et le nom de l'agence responsable de la collecte. Les employés ont aussi été informés que l'agence chargée de la collecte des renseignements personnels était liée par une entente concernant la confidentialité.

Afin d'obtenir une autorisation de sécurité, les employés comptant plus de dix ans de service devaient satisfaire à une vérification du casier judiciaire. Les employés comptant moins de dix ans de service devaient satisfaire à une vérification complète de leurs antécédents, notamment les antécédents en matière d'emploi, les compétences professionnelles et les références personnelles, ainsi qu'à la vérification de leur casier judiciaire.

Certains employés était mécontents et se sont plaints au Commissariat. Ils avaient l'impression de n'avoir aucun autre choix - s'ils refusaient, ils perdaient leur emploi. S'ils y consentaient mais qu'ils ne satisfaisaient pas à la vérification de sécurité, ils perdraient leur poste actuel et seraient réaffectés éventuellement à des postes moins bien payés. Ils avaient le sentiment, dans ces circonstances, que leur consentement était forcé.

L'ancien commissaire devait déterminer si l'entreprise avait recueilli les renseignements personnels de ses employés après les en avoir informés et obtenu leur consentement en vertu du principe 4.3 de la LPRPDE. Il était clair que les employés étaient au courant de cette collecte. Mais leur consentement était-il volontaire – Dans ses lettres de conclusions, l'ancien commissaire a jaugé la question de la façon suivante :

« [l'entreprise] vous a expressément demandé de donner votre consentement et il n'appartenait qu'à vous de le faire ou non. Le fait qu'il peut en découler des conséquences négatives dans l'un ou l'autre cas ne change rien au fait qu'on vous avait offert un choix en l'espèce. Le fait de refuser de consentir à la collecte de renseignements personnels peut très souvent entraîner des conséquences négatives pour la personne. Mais dans ce cas, comme dans la plupart des décisions prises dans la vie qui risquent d'avoir des conséquences négatives, la pression que vous pouvez ressentir au sujet du consentement à donner dans le cadre de la collecte ne constitue pas une contrainte. En vertu de la Loi, la principale considération n'est pas de savoir si des conséquences négatives peuvent découler ou non du refus d'une personne de donner son consentement, mais plutôt de savoir si la collecte est elle-même raisonnable ou non. » [traduction]

Était-il raisonnable de recueillir des renseignements personnels à des fins d'autorisation de sécurité, comme stipulé au paragraphe 5(3) de la Loi – L'ancien commissaire a conclu qu'il était entièrement raisonnable de la part de l'organisme fédéral d'imposer à ses titulaires de permis des exigences accrues en matière de sécurité, compte tenu des préoccupations considérablement aigu's au sujet d'éventuels actes de terrorisme dans les installations nucléaires. Si l'entreprise ne s'était pas conformée à la directive de l'organisme fédéral, elle aurait perdu sa licence de production de combustibles nucléaires et n'aurait plus été en mesure de poursuivre ses activités liées aux produits nucléaires, ce qui aurait entraîner des pertes financières considérables et des mises à pied. Dans ces circonstances, nous avons déterminé qu'il était entièrement raisonnable de la part de l'entreprise de se conformer à la directive et, ce faisant, de recueillir des renseignements personnels auprès des employés afin d'effectuer des vérifications de sécurité.

Aéroplan : l'option de refus n'est pas suffisant

Lorsque Air Canada a envoyé par la poste des brochures sur la la protection des renseignements personnels à 60 000 membres Aéroplan, plusieurs ont déposé une plainte au Commissariat.

Les personnes qui se sont plaintes au Commissariat n'étaient pas du tout contrariées par l'effort entrepris par la compagnie dans le but d'obtenir leur consentement à propos des pratiques de partage d'information en vertu du programme Aéroplan. Elles s'opposaient toutefois à ce qu'on rejette sur elles la responsabilité d'informer Air Canada si elles ne consentaient pas aux pratiques énoncées dans la brochure. Elles n'appréciaient pas non plus que l'entreprise présume, dans l'intervalle, qu'elles y consentaient.

L'ancien commissaire a conclu qu'Air Canada ne s'est pas conformé pas à la LPRPDE et que les plaintes étaient fondées.

Les 60 000 brochures ne représentaient qu'environ un pour cent du nombre total de membres Aéroplan à ce moment. Dans ses lettres de conclusions, l'ancien commissaire a fait remarquer que la Loi exige que les organisations respectent les droits à la vie privée de chaque personne et ne permet pas une conformité de pure forme. Étant donné qu'Air Canada avait en fait laissé 99p.100 des membres Aéroplan dans l'ignorance au sujet de sa politique et de ses pratiques de partage d'information, l'ancien commissaire a jugé que la démarche que la compagnie a entreprise dans le but d'obtenir ce consentement avait été entièrement inadéquate.

Même si tous les membres du programme avaient été consultés, la brochure même n'utilisait pas une formule de consentement appropriée. Elle décrivait cinq façons dont Air Canada comptait partager les renseignements personnels des membres Aéroplan dans le cadre du programme. Chaque description était accompagnée d'une case à cocher et le membre du programme devait cocher la case seulement s'il ne consentait pas à ce que ses renseignements personnels soient partagés de la manière décrite. Tout membre du programme qui cochait une ou plusieurs des cinq cases devait ensuite retourner la brochure par la poste à l'entreprise afin de signifier le refus de consentement. Inversement, tout membre du programme qui ne retournait pas la brochure était considéré comme un membre ayant consenti aux cinq façons de partager l'information.

Cette forme de consentement est à présent connue sous le nom de « consentement négatif » ou « option de refus ». Elle correspond aux pratiques de marketing de l'« abonnement par défaut » que les consommateurs ont vite fait de condamner dans le passé. En effet, une telle pratique est fondée sur la présomption - la personne est présumée donner son consentement à moins qu'elle n'entreprenne des démarches pour le refuser.

À l'instar de la plupart des autres personnes impliquées dans la protection de la vie privée et, en fait, comme la plupart des consommateurs avertis, nous avons une très mauvaise opinion de l'abonnement par défaut qu'utilisent les organisations pour le traitement des renseignements personnels. Le Commissariat considère que l'option de refus est une forme médiocre de consentement, qui rejette injustement la responsabilité sur le mauvais parti et reflète au mieux un respect de pure forme de ce qui est sans doute le principe le plus fondamental de la Loi. Nous préférerions que les organisations adoptent une approche exclusivement positive ou fondée sur l'« option d'acceptation » - une approche beaucoup plus respectueuse selon laquelle on estimerait qu'une personne a consenti seulement si elle a catégoriquement dit « oui » à une proposition.

Par ailleurs, le Commissariat est aussi conscient que l'option de refus est une forme de consentement expressément permise par la Loi dans certaines circonstances - notamment, lorsque les renseignements personnels sont manifestement de nature non sensible. Le problème dans ce cas est que la Loi ne définit pas précisément la notion de sensibilité. Bien qu'elle énonce que les renseignements financiers et médicaux d'une personne doivent presque toujours être considérés comme étant sensibles, elle suggère que n'importe quel renseignement peut être sensible selon le contexte. Par conséquent, en ce qui concerne les plaintes relatives à Aéroplan, la tâche du Commissairait consistait essentiellement à évaluer le contexte. Autrement dit, l'ancien commissaire devait déterminer si les circonstances justifiaient le recours par Air Canada à l'option de refus.

Dans ses lettres de conclusions, l'ancien commissaire a expressément fait état de son intention de toujours établir de limites strictes en ce qui concerne les circonstances dans lesquelles l'option de refus pourrait être jugée appropriée. Il a aussi clairement exprimé son intention de se laisser guider dans de telles délibérations par la prise en compte en bonne et due forme de la sensibilité des renseignements et des attentes raisonnables de la personne. C'est sur la base de ces considérations que la brochure d'Aéroplan sur la protection des renseignements personnels s'est avérée non conforme à la Loi.

Le libellé de la brochure ne montre pas que les situations de partage de l'information décrites étaient strictement de nature non sensible ou d'un contexte non sensible. Deux des situations étaient particulièrement sensibles. Les trois autres semblaient par leur description permettre un marketing de grande envergure à l'endroit des membres en fonction de renseignements personnalisés suivant des critères de nature potentiellement sensible. L'ancien commissaire a ainsi déclaré dans ses lettres :

« Bien que je considère que la pratique qui consiste à partager les renseignements des membres du programme à des fins de publicité de produits, de services et de promotions spéciales soit en elle-même acceptable, je suis persuadé qu'une personne raisonnable ne s'attendrait pas à ce qu'une telle pratique s'étende à la « fabrication sur mesure » de l'information suivant les intérêts, les usages et les préférences de nature potentiellement sensible de la personne sans son consentement explicite. » [traduction]

L'ancien commissaire a conclu qu'il avait été inapproprié pour Air Canada de recourir au consentement négatif ou à l'option de refus dans le cadre des politiques et des pratiques de partage d'information d'Aéroplan, telles que décrites dans la brochure.

À son honneur, Air Canada a pris très au sérieux les conclusions et les recommandations de l'ancien commissaire. Grâce à quelques conseils apportés par le Commissariat dans un processus qui nous a semblé à la fois positif et fructueux, la compagnie a entrepris de repenser et de ré-écrire sa politique de partage d'information dans le cadre d'Aéroplan. Nous avons examiné le produit fini et vérifié que la politique traite à présent de nos préoccupations des façons suivantes :

• elle explique aux membres Aéroplan, en termes clairs et compréhensibles, les buts de la collecte, de l'utilisation et de la communication des renseignements personnels dans le cadre du programme ;
• elle explique clairement qu'Aéroplan ne recueille aucun renseignement sur les opérations en fonction desquelles les membres accumulent des points dans le cadre du programme ;
• elle précise qu'Aéroplan ne fournit pas de profil personnalisé des membres aux entreprises partenaires ou à d'autres tierces parties, et précise également que tout renseignement fourni aux partenaires ne peut être utilisé qu'à des fins liées au programme Aéroplan ;
• elle énonce explicitement et clairement que les membres qui souhaitent que leurs renseignements personnels ne soient utilisés que pour le rachat de leurs points Aéroplan peuvent le stipuler et il fournit aux membres une méthode facile pour exercer cette option.

En ce qui concerne la question relative à la consultation de tous les membres Aéroplan, Air Canada a aussi dressé un plan très précis selon lequel tous les membres actifs du programme recevraient copie de la politique révisée avec leur prochain état de compte. De plus, la politique allait être affichée sur le site Web d'Aéroplan.

Nous étions convaincus qu'Air Canada avait répondu de façon appropriée à nos recommandations et nous sommes heureux de l'esprit de coopération dont l'entreprise a fait preuve.

Un cas de superchérie

C'est une chose de peu informer les personnes des fins pour lesquelles leurs renseignements personnels pourraient être utilisés, tel que l'ont fait trois des organisations mentionnées plus haut. C'est une autre chose de mal les informer de façon délibérée, tel que nous l'avons conclu dans le cas d'une plainte à l'encontre d'une entreprise d'études de marché.

Cette entreprise envoie par la poste des questionnaires pour ce qu'elle appelle des « sondages sur des produits grand public » aux ménages à travers le Canada. Les questionnaires comportent des questions sur les présences des ménages parmi diverses catégories de produits. La documentation qui accompagne les questionnaires explique les objectifs du sondage strictement en terme de recherche des « faits », de collecte « d'opinions » et de compréhension des « préférences et des attitudes des consommateurs », le tout dans le but d'améliorer la qualité, la durée et la valeur des produits.

Cependant, les sondages avaient réellement pour objectif de vendre des produits aux répondants du sondage. Ce que l'entreprise avait principalement l'intention de faire avec les renseignements qu'elle recueillait était de compiler les listes d'envoi personnalisées qui, par la suite, seraient données aux tierces parties qui avaient commandé le sondage en question. Celles-ci essayeront par la suite de vendre leurs produits aux répondants du sondage en leur envoyant directement de la publicité en fonction des renseignements qu'ils ont fournis dans les réponses aux questionnaires.

La LPRPDE stipule qu'une organisation doit énoncer les vrais motifs pour lesquels elle recueille des renseignements personnels. Elle stipule également que le consentement à la collecte de renseignements personnels ne doit pas être obtenu par une supercherie.

Si une organisation a l'intention de transmettre les renseignements qu'elle recueille directement à des commerçants, elle doit le mentionner, en termes clairs et énoncés de façon à être raisonnablement compris par les personnes. Dans la documentation du sondage en question, il n'existe aucune déclaration explicite ni une aucune insinuation compréhensible et raisonnable informant les répondants que leurs renseignements personnels seraient communiqués à des tierces parties.

Le questionnaire sollicite le consentement des répondants en vue d'autres envois et offres postaux, mais ne mentionne pas de quelles sources proviendront ces envois. En l'absence de telle indication mentionnant que l'entreprise de sondages a l'intention de partager l'adresse postale du répondant avec d'autres expéditeurs éventuels, l'inférence la plus raisonnable serait que tous les envois et les offres proviendront de la même source que celle qui était à l'origine de la collecte, c'est-à-dire de l'entreprise de sondages elle-même.

De plus, la formule de consentement pose en elle-même un problème. Compte tenu du fait que les questions du sondage sont de nature hautement sensible (en l'occurrence, plusieurs questions concernent la santé et les finances personnelles), la formule de consentement de l'« option d'acceptation » devrait être utilisée dans de telles circonstances. Mais la formule de consentement consiste à cocher une des deux cases, « Oui » et « Non », ce qui rend plutôt ambigu' la formule de consentement recherchée. Cependant, ce qui se passe en réalité, dans les cas assez fréquents où le répondant ne coche aucune des cases, c'est qu'on présume que la personne consent à recevoir d'autres envois. Ainsi, l'entreprise utilise la formule de consentement de l'« option de refus » dans une situation qui fait clairement appel à une « option d'acceptation ».

La documentation du sondage mentionne également que des entreprises ont commandé ce sondage. Cependant, elle ne nomme pas ces entreprises, ni ne suggère de façon perceptible que ces entreprises anonymes sont des agences de vente directe ou qu'ils ont en effet commandé à l'entreprise d'études de marché ce sondage dans le but de recueillir des renseignements personnels sur d'éventuels consommateurs. En réalité, il n'existe rien dans la documentation qui pourrait donner aux ménages des raisons de croire que le sondage n'est rien d'autre de ce qu'il prétend être à première vue, c'est-à-dire une étude de marché axée sur la recherche de faits et d'opinions, qui vise à améliorer les produits.

En fonction d'une telle description, les répondants pourraient s'attendre à ce que les entreprises qui ont commandé le sondage en reçoivent les résultats sous forme de données analytiques cumulatives et anonymes. Mais les répondants n'ont aucune raison légitime de s'attendre, et ils ont toutes les raisons d'en être insultés, à ce que leur participation au sondage ait pour effet de les rendre sujets à des efforts de marketing direct non désirés qui portent atteinte à la protection de leur vie privée par des tierces parties qui ont eu connaissance de renseignements personnels de nature sensible les concernant.

Cela peut sembler paradoxale pour certains que, malgré le cas accablant contre l'entreprise d'études de marché en raison de ces allégations et de bien d'autres, nous étions principalement préoccupés par les signes évidents de la conformité de l'entreprise avec la Loi.

En réalité, l'entreprise a une politique officielle écrite, affichée sur son site Web, sur la protection des renseignements personnels concernant ses sondages effectués auprès des ménages. Cette politique détermine relativement bien les fins réelles de la collecte des renseignements de sondage. Cependant, cette politique n'est non seulement pas intégrée à la documentation du sondage envoyée par la poste aux ménages, mais elle n'est pas non plus accessible de façon raisonnable aux ménages. La documentation du sondage ne mentionne même pas l'existence du site Web, encore moins l'existence de cette politique.

Ce qui nous a troublés particulièrement était le grand écart concernant la conformité avec la Loi, entre le site Web et la documentation du sondage, ainsi que les conséquences de cet écart. Dans la lettre de conclusions, l'ancien commissaire a soulevé les préoccupations suivantes :

« Pourquoi [l'entreprise] indiquerait-elle de manière raisonnablement claire dans une politique sur la protection des renseignements personnels, tenue à l'écart et non annoncée, mais de façon nébuleuse dans la documentation sur le sondage remise aux personnes, que les renseignements personnels des répondants seraient communiqués à des tierces parties à des fins de marketing – Pourquoi dans les documents de sondage, [l'entreprise] explique-t-elle les fins en des termes aussi restreints que la recherche de faits, la collecte d'opinions et l'amélioration de la qualité des produits et relègue dans un document, dont personne ne pourrait normalement prendre connaissance, les autres fins de marketing direct par des tierces parties – En réalité, pourquoi [l'entreprise] ferait l'effort de formuler une politique en matière de protection de renseignements personnels plus ou moins conforme à la Loi pour ne pas attirer ensuite l'attention de chaque répondant à cet égard au moment où cela importe réellement, en cachant, de fait, la politique aux consommateurs ? » [traduction]

« En résumé, j'ai de la difficulté à comprendre cet écart, excepté en termes de supercherie. [L'entreprise] a suggéré que ses documents de sondage servaient à susciter une attente raisonnable de communication aux tierces parties et de marketing direct de leur part. Cependant, je ne comprends pas comment une personne peu méfiante pourrait supposer une telle fin à partir des indications insuffisantes, vagues et trompeuses qui lui sont fournies. Au lieu de cela, de mon point de vue, loin d'offrir une compréhension raisonnable de la manière dont les renseignements personnels seront utilisés ou communiqués, les documents du sondage ont uniquement servi à tromper les personnes sur les véritables objectifs des sondages et à nuire à l'équité de la collecte des renseignements personnels par l'entreprise. » [traduction]

Un groupe d'intérêt propose des « attentes » en matière de consentement

La LPRPDE stipule, au principe 4.3.5 de l'annexe 1, que les attentes raisonnables de la personne sont pertinentes en matière de consentement. Mais elle n'approfondit pas le sujet.

Elle nous laisse plutôt la tâche ardue d'interpréter cette disposition. Dans le contexte de toute plainte liée au consentement, il revient souvent au commissaire de déterminer le caractère raisonnable des attentes du plaignant, ainsi que leur portée réelle. Heureusement, dès l'entrée en vigueur de la Loi, une série de plaintes ont été portées de sorte que nous avons jugé utile de formuler une position générale sur ce qu'une personne devait s'attendre en matière de consentement.

Une personne a déposé une plainte au nom d'un groupe d'intérêt à l'encontre deux banques, une compagnie de télécommunications et une entreprise qui offre un programme pour les clients réguliers. Toutes les plaintes étaient relativement semblables et alléguaient que les organisations en question n'avaient pas obtenu de consentement valide et informé auprès des personnes pour communiquer à des fins de marketing des renseignements personnels les concernant.

Les plaintes consistaient en deux allégations principales. Selon la première, les organisations ne faisaient pas d'efforts raisonnables pour informer leurs clients que leurs renseignements personnels pourraient être communiqués à des tierces parties à des fins secondaires de marketing, c'est-à-dire à des fins en sus de celles pour lesquelles il a été nécessaire de recueillir les renseignements au départ. Le plaignant a allégué que si les personnes n'étaient pas dûment informées des fins secondaires, les organisations n'avaient aucune base valide de présumer le consentement des personnes à de telles fins. Selon la seconde allégation, en dépit du fait qu'elles se fiaient à la formule de consentement de l'option de refus, les organisations n'offraient pas aux personnes des possibilités raisonnables d'exercer l'option de refus dans le cadre du marketing mené par les tierces parties.

Aussi intéressantes que les allégations elles-mêmes furent les suppositions sous-jacentes que le groupe d'intérêt avait présentées dans une déclaration de principe soutenant les plaintes. Pour nous, ces suppositions traduisaient clairement des « attentes » de la part du plaignant. Avant de déterminer si les organisations en question s'étaient conformées ou non aux dispositions pertinentes de la Loi sur le consentement, nous avons jugé qu'il est prudent d'examiner la question de savoir si les attentes du groupe au sujet du consentement étaient elles-mêmes raisonnables au regard de la Loi.

Après les avoir analysées, l'ancien commissaire a conclu que les attentes du groupe étaient entièrement raisonnables. Plus particulièrement, il a jugé qu'il est raisonnable d'attendre des organisations qui utilisent ou qui communiquent des renseignements personnels à des fins secondaires ce qui suit :

• Ce n'est pas assez de déterminer des objectifs dans des documents portant sur la politique en matière de protection des renseignements personnels et de les rendre largement disponibles. Une organisation devrait porter ses fins secondaires directement à l'attention de la personne au moment de recueillir les renseignements personnels. À l'occasion d'une demande ou d'un abonnement, par exemple, la personne devrait recevoir les renseignements nécessaires et on ne devrait pas lui référer des sources qui ne sont pas immédiatement disponibles. (Ces attentes sont soutenues par les principes 4.2.3 et 4.3.1 de la Loi, qui stipulent que la détermination des fins et l'obtention du consentement soient directes et coïncident avec la collecte des renseignements personnels).
• Les fins devraient être stipulées dans un langage clair, simple et compréhensible pour le consommateur ordinaire et de façon bien détaillée afin que celui-ci puisse apprécier la nature et l'étendue de la collecte, de l'utilisation et de la communication envisagées. (Ces attentes sont soutenues par le principe 4.3.2, qui stipule que les fins doivent être énoncées de telle façon que la personne puisse de manière raisonnable comprendre de quelle manière les renseignements seront utilisés ou communiqués).
• Si les fins sont déterminées par écrit, la personne ne devrait pas être obligée de les lire en caractères minuscules dans des passages denses.

Lorsqu'une organisation a l'intention de présumer le consentement d'une personne à des fins secondaires, elle devrait offrir aux personnes la possibilité d'exercer l'option de refus. La possibilité et la procédure d'option de refus devraient vraisemblablement être portées à l'attention de la personne au moment de la collecte de renseignements personnels. La procédure d'option de refus devrait être simple, immédiate et peu coûteuse.

Compte tenu de ces éléments et après enquête sur les politiques et les pratiques réelles des organisations, l'ancien commissaire a conclu que deux des plaintes étaient fondées et que deux ne l'étaient pas. Il a conclu que la compagnie de télécommunications ne communiquait aucun renseignement tel qu'allégué, puisque le CRTC l'interdit. L'une des banques communiquait effectivement des renseignements à des fins secondaires de marketing tel qu'allégué, mais l'ancien commissaire a conclu que la banque faisait dans l'ensemble des efforts raisonnables pour informer les personnes désirant ouvrir un compte de la pratique, pour obtenir leur consentement et pour leur offrir une possibilité d'exercer l'option de refus.

Dans le cas des plaintes fondées, la non conformité avec la Loi du programme pour clients réguliers était largement due à une incohérence des procédures d'inscription. Cependant, le cas de la seconde banque était plus sérieux. Les efforts entrepris par la banque pour obtenir un consentement éclairé auprès des personnes désirant ouvrir un compte ne satisfaisaient aucunement aux exigences de la Loi ni les attentes raisonnables de la personne. Dans la lettre de conclusions, l'ancien commissaire a émis des commentaires sur divers documents utilisés par la banque afin de communiquer ses fins, ainsi que sur la nature et la portée du non respect de la Loi dans ce cas :

« Les termes ... sont tellement vagues qu'ils sont presque incompréhensibles, à moins qu'on les interprète comme voulant dire que la banque a l'intention d'utiliser les renseignements personnels comme bon lui semble et de les communiquer à qui elle veut. Ce qui constituerait à peine une fin à laquelle aucune personne raisonnable ne s'attendrait et qu'aucune personne raisonnable ne jugerait appropriée en aucun cas. » [traduction]

En revanche, sur une note positive, on devrait noter que, dans le cas de la première banque, l'ancien commissaire a complimenté la banque sur son approche concernant l'obtention du consentement éclairé de la part des personnes désirant ouvrir un compte. Dans le cas des personnes faisant une demande directement dans une succursale, la procédure de demande de cette banque exige que l'on s'asseye avec la personne, qu'on lui donne immédiatement les renseignements appropriés sur la protection des renseignements personnels, que l'on attire son attention particulièrement sur les déclarations concernant les fins secondaires de marketing, qu'on lui demande si elle consent ou non à des pratiques de marketing particulières, que l'on prenne note de ses réponses et qu'on les respecte. Nous considérons de telles procédures comme exemplaires, presque autant que la forme positive de consentement que nous préférons.

Consentement à des fins secondaires

Ce qui suit constitue un sommaire des délibérations menées jusqu'à ce jour dans des cas relatifs au consentement à des fins secondaires :

• Le consentement positif ou actif doit toujours être préféré comme la forme de consentement la plus forte, la plus respectueuse des personnes et la meilleure pour rester fidèle à l'esprit de la Loi. On encourage fortement les organisations à adopter exclusivement cette forme de consentement.
• Le consentement positif ou actif à des fins secondaires est nécessaire dans des situations où les renseignements personnels sont de nature sensible ou dans des situations où il existe une grande probabilité pour que les renseignements deviennent de nature sensible dans le contexte des activités de gestion des renseignements.
• Puisque la Loi indique que les renseignements personnels de nature financière ou médicale doivent presque toujours être considérés comme étant de nature sensible, on présume que ces types de renseignements devront presque toujours exiger un consentement positif. Cependant, puisque la Loi stipule également que tout renseignement personnel peut être de nature sensible dans un contexte donné, aucune autre tentative ne devrait être faite pour définir précisément la notion de sensibilité. Le contexte devrait plutôt être considéré dans chaque cas dans le but de déterminer le potentiel de sensibilité.
• Les deux principales considérations permettant de déterminer le potentiel de sensibilité des renseignements personnels sont l'intention de communiquer les renseignements à des tierces parties et l'intention de classer ou autrement dit de traiter les renseignements selon des critères personnels.
• Le consentement négatif ou passif, également connu sous le nom de consentement présumé, même si celui-ci représente la forme la plus faible et la moins préférable, est reconnu en vertu de la Loi comme étant acceptable dans certaines circonstances. La portée des circonstances dans laquelle cette forme de consentement est permise demeure limitée.
• L'utilisation par une organisation de la forme négative ou passive de consentement à des fins secondaires sera justifiée seulement sous les conditions suivantes :
  • Les renseignements personnels doivent s'avérer, démonstration faite, de nature et d'un contexte non sensible et doivent être déterminés par élément ou par catégorie.
  • Si les renseignements doivent être communiqués à des tierces parties, les parties doivent être identifiées par nom ou par catégorie.
  • L'organisation doit stipuler ses fins en se conformant entièrement aux principes 4.2, 4.2.3, 4.3.1 et 4.3.2 et aux attentes raisonnables de la personne jugées pertinentes en vertu du principe 4.3.5. Plus particulièrement, les fins déterminées doivent être directement portées à l'attention de la personne, oralement ou par écrit, au moment de la collecte de renseignements personnels (par exemple, lors du processus d'abonnement, de demande ou d'inscription) ; en termes clairs, précis et sans équivoque ; dans un format facile à lire (lorsqu'il s'agit d'un texte) ; et d'une façon permettant à la personne de comprendre de quelle manière exactement les renseignements personnels seront utilisés ou communiqués.
  • L'organisation doit offrir une formule d'option de refus appropriée, c'est-à-dire une possibilité et une procédure convenables pour retirer un consentement. La formule doit être expliquée à la personne au moment de la collecte de renseignements personnels à son sujet et devrait être peu coûteuse, facile à exécuter et avec effet immédiat quant au retrait du consentement. Si possible, elle devrait comprendre un numéro de téléphone sans frais.

Incidents visés par la LPRPDE

Vérification des appels téléphoniques

Un journaliste a communiqué avec le Commissariat au sujet d'un sondage qu'effectuait un cabinet de recherche pour le compte d'une compagnie de téléphone. Il a semblé que l'entreprise recueillait auprès des clients des renseignements à propos de leurs appels téléphoniques.

Le cabinet de recherche avait signé un contrat avec la compagnie de téléphone afin d'effectuer des vérifications au hasard à des fins d'assurance de la qualité. La compagnie de téléphone a fourni au cabinet une liste des numéros de téléphone de clients qui avaient téléphoné pour obtenir de l'assistance en composant le « 0 » ou le « 411 ». Le cabinet n'a pas reçu le nom des clients ni d'autres renseignements pouvant les identifier. L'entreprise a signé un contrat de non-divulgation avec le cabinet, qui exigeait que le cabinet détruise tous les renseignements qu'il recueillait une fois que les résultats du sondage auront été compilés.

L'ancien commissaire était heureux d'apprendre qu'il a été déterminé que la compagnie de téléphone se conformait à une exigence du CRTC voulant que celle-ci mesure régulièrement la qualité du service relativement à l'exactitude des services de l'assistance-annuaire.

Trouvaille près d'une benne à ordures

Une banque a alerté le Commissariat que des documents confidentiels sur des clients avaient été retrouvés dans une benne à ordures située près de la succursale qui avait fermé quelque temps auparavant. L'édifice avait été loué à un nouveau locataire et était en rénovation. Apparemment, les personnes qui effectuaient les rénovations avaient trouvé les documents au cours des travaux, puis les avaient jetés. Après avoir eu vent de l'incident, les médias ont récupéré certains documents de la benne à ordures.

La banque a réagi rapidement aussitôt qu'elle a pris conscience de la situation, en récupérant tous les documents qui se trouvaient dans la benne et ceux que les journalistes avaient entre les mains ; puis elle s'est assurée qu'il ne restait aucun autre document de la banque dans l'édifice. La banque a également informé tous les clients touchés, en personne ou par écrit, de l'incident et des mesures qu'elle avait prises pour récupérer les documents. De plus, la banque s'est excusée auprès de chaque client et leur a assuré que tous leurs renseignements avaient été récupérés.

Il a été déterminé que la succursale en question avait été fusionnée avec une autre succursale et qu'une entreprise privée sous contrat avec la banque avait été mandatée pour trier et traiter tous les dossiers. La banque a établi des procédures destinées à cet effet, mais l'entreprise privée ne les avait pas suivies correctement, ce qui a eu pour effet le fait que certains documents n'étaient pas bien classés et qu'ils avaient été jetés de façon inappropriée. La banque a par la suite clarifié les procédures avec l'entreprise privée.

L'ancien commissaire était convaincu que la banque avait réagi de manière rapide et appropriée face à cette situation délicate.

Nombre de plaintes selon le secteur

1^er janvier 2002 au 31 décembre 2002

Demandes de renseignements en vertu de la LPRPDE

1^er janvier 2002 au 31 décembre 2002 : 8 381

Nous essayerons de fournir une répartition de ces demandes de renseignements par thème dans les prochains rapports annuels

Examens et pratiques en matière de vie privée

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) autorise le commissaire à vérifier la conformité des organisations du secteur privé avec la Loi s'il a des motifs raisonnables de croirequ'elles contreviennent à la Loi ou qu'elles ne respectent pas une des recommandations énoncées dans l'annexe 1 (les dix principes). La Direction des examens et des pratiques en matière de vie privée du Commissariat effectuera des examens et des vérifications de conformité, aux termes de l'article 18 de la LPRPDE, en tenant compte des objectifs et des critères de vérification standard reconnus. Au cours de la période couverte par le présent rapport, un certain nombre de questions ont été portées à l'attention de l'ancien commissaire, qui ont été résolues avec succès sans qu'on n'ait eu besoin d'effectuer une vérification. Par exemple, le personnel du Commissariat a rencontré et conseillé des représentants d'une association d'entreprises sur la viabilité du consentement direct et le contenu proposé d'un tel formulaire de consentement. Nous avons offert des conseils à une entreprise en ce qui concerne l'utilisation du NAS comme identificateur et l'utilisation du consentement négatif. De plus, nous avons procédé à un examen et une analyse d'ensemble de la politique sur la protection des renseignements personnels d'une société.

Hormis ces questions, l'ancien commissaire n'a été au courant d'aucun autre problème qui aurait pu lui donner des motifs suffisants pour entreprendre une vérification en vertu de la loi.

Néanmoins, la Direction des examens et des pratiques en matière de vie privée a pris part à des consultations avec les organisations du secteur privé qui sont assujetties à la LPRPDE et leur a offert des conseils. Elle a également apporté son aide aux organisations qui ne sont pas régies par la Loi mais qui se préparent pour le 1^er janvier 2004, lorsque la Loi commencera à s'appliquer à elles.

Devant les tribunaux

Aux termes de l'article 14 de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), une personne ayant porté plainte a le droit, à l'issue de l'enquête du commissaire, de déposer une demande d'audience à la Cour fédérale du Canada sur toute question dont il est fait mention dans le rapport du commissaire. Ces questions doivent figurer parmi les clauses énoncées dans l'annexe, ainsi que dans les articles de la LPRPDE.

Aux termes de l'article 15 de la LPRPDE, le commissaire est autorisé à déposer une demande de comparution à la Cour fédérale. Il peut, avec le consentement du plaignant, demander directement une audience à la Cour sur toute question visée à l'article 14 ; comparaître devant la Cour au nom de tout plaignant qui a présenté une demande d'audience en vertu de l'article 14 ; ou, avec l'autorisation de la Cour, comparaître comme partie à une instance engagée en vertu de l'article 14.

Voici une liste des demandes déposées devant les tribunaux en vertu de la LPRPDE du 1^er janvier 2001 jusqu'au 31 décembre 2002 :

Mathew Englander c. Telus Communications Inc.

No de dossier de la Cour fédérale du Canada : T-1717-01

Il s'agit de la première demande qui a été déposée à la Cour fédérale aux termes de la LPRPDE. M. Englander soutient que Telus utilise et communique les noms, adresses et numéros de téléphone de ses clients figurant dans les pages blanches de son annuaire et ailleurs, à l'insu de ses clients et sans avoir obtenu leur consentement. En outre, Telus impose de manière inappropriée des frais aux clients qui demandent la « non-publication » de leur numéro de téléphone. M. Englander soutient que ces mesures prises par Telus sont contreviennent aux paragraphes 5(1) et (3) de la LPRPDE, ainsi qu'à plusieurs clauses de l'annexe 1 de la Loi. 

État de la situation

Cette demande a fait l'objet d'un non-lieu le 2 juin 2003.

Ronald G. Maheu c. le procureur général du Canada et IMS Health Canada

No de dossier de la Cour fédérale du Canada : T-1967-01

Ronald Maheu a demandé une audience à la Cour fédérale du Canada, soutenant qu'IMS Health Canada avait communiqué de manière inappropriée des renseignements personnels en vendant des données sur les habitudes de prescription des médecins sans avoir obtenu leur consentement.

État de la situation

M. Maheu a déposé un avis de demande modifié en mars 2002. IMS a présenté une requête demandant de soit rejeter la demande sur des motifs voulant que la demande ait été présentée à des fins inappropriées ou soit de demander à M. Maheu de verser une garantie pour les coûts. La Cour a ordonné à M. Maheu de déposer une garantie financière de 12000 $ et a mentionné qu'elle avait des raisons de croire que M. Maheu utilisait la Loi à des fins accessoires et inappropriées, compte tenu du fait que ses propres renseignements personnels n'étaient pas en jeu. Lors de l'appel, l'ancien commissaire a comparu pour apporter son aide à la Cour relativement à l'interprétation adéquate de la LPRPDE, expliquant qu'une personne peut déposer une plainte concernant les pratiques de renseignements personnels d'une organisation sans égard au fait que celle-ci recueille, utilise ou communique des renseignements personnels la concernant. La Cour fédérale a accepté cette position et a accordé un appel à M. Maheu le 3 janvier 2003. Cette décision est actuellement en appel et la demande originale est encore traitée à la Section de première instance.

Diane L'Ecuyer c. Aéroports de Montréal

No de dossier de la Cour fédérale du Canada : T-2228-01

Diane L'Ecuyer s'est plainte que les Aéroports de Montréal avaient envoyé des copies d'une lettre de réponse aux demandes d'accès qu'elle avait faites à deux représentants du syndicat et à un employé du coordinateur des relations et qu'ils avaient, par conséquent, communiqué des renseignements personnels à son sujet sans avoir obtenu son consentement. L'ancien commissaire a fait enquêté sur sa plainte et recommandé dans ses conclusions que les personnes devraient être en mesure de juger par elles-mêmes si elles désiraient ou non partager une telle réponse avec les autres.

État de la situation

Madame L'Ecuyer a fait une demande à la Cour fédérale le 18 décembre 2001, demandant qu'une ordonnance soit formulée exigeant que l'organisation corrige ses pratiques pour se conformer à la LPRPDE et que l'organisation publie un avis mentionnant toutes les mesures prises ou proposées afin de corriger ses pratiques. La Section de première instance a rendu sa décision le 13 mai 2002 et conclu que la question s'est posée dans le cadre de l'administration d'une convention collective et que, par conséquent, le commissaire à la protection de la vie privée n'avait pas compétence dans cette cause. Madame L'Ecuyer a fait appel de la décision le 5 juin 2003 et le commissaire à la protection de la vie privée envisage demander une autorisation pour intervenir dans cet appel.

Nancy Carter c. Inter.net Canada Limited

No de dossier de la Cour fédérale du Canada : T-1745-02

Nancy Carter a fait part de ces préoccupations au Commissariat concernant les pratiques d'un fournisseur d'accès Internet (FAI). Au cours d'une dispute concernant la facturation avec la plaignante, le FAI avait suspendu son accès à sa boîte de courrier électronique, mais le compte était toujours actif et acceptait les nouveaux messages électroniques dans la boîte aux lettres. La plaignante affirme qu'elle était ainsi donc privée d'accès à ses renseignements personnels, ce qui va à l'encontre de la LPRPDE et qu'elle a perdu des possibilités d'affaires précieuses à la suite de cet incident. Elle réclame donc un dédommagement en vertu de la LPRPDE.

État de la situation

Une entente a été conclue dans cette affaire et un avis d'abandon a été déposé le 5 juin 2003.

Sylvain Gagné c. Bell Canada

No de dossier de la Cour fédérale du Canada : T-1971-02

Sylvain Gagné s'est plaint au Commissariat (a) du fait qu'on lui avait refusé l'accès à certains de ses renseignements personnels et (b) d'une communication inappropriée de renseignements personnels concernant d'autres personnes. Même si l'ancien commissaire a conclu que la plainte de refus d'accès était non fondée, en acceptant le fait que les exemptions en vertu de 7(1)b) et 9(3)c.1) avaient été correctement appliquées, la plainte sur la communication de renseignements personnels était fondée et l'ancien commissaire a formulé des recommandations concernant les changements à apporter aux pratiques.

État de la situation

L'avis de demande a été présenté à la Cour fédérale le 25 novembre 2002, demandant une série de dispenses, dont l'accès aux documents qui n'ont pas été communiqués, des dédommagements pour les personnes touchées et des ordonnances donnant pourvoir exécutoire aux recommandations.

Bell Canada a maintenant accepté de suivre les recommandations du Commissariat et un avis d'abandon a alors été déposé le 14 mars 2003.

Dale Stuart c. la banque Toronto Dominion

No de dossier de la Cour fédérale du Canada : T-290-02

Dale Stuart croyait que des renseignements relatifs à ses affaires bancaires avaient été communiqués par des employés la banque TD à son employeur à son insu et sans son consentement.

État de la situation

Cette demande a été abandonnée par M. Stuart le 2 décembre 2002.

Société de l'hôpital du Yukon c. Solliciteur général du Canada

No de dossier de la Cour fédérale du Canada : T-1814-02

Ce recours a été introduit en réponse à la détermination par l'ancien commissaire selon laquelle il avait compétence en vertu de l'alinéa 4(1)b) de faire enquête sur une plainte déposée à l'encontre de la Société de l'hôpital du Yukon.

État de la situation

Une plainte a été déposée au Commissariat en vertu de la Loi sur la protection des renseignements personnels. Bien que la Société de l'hôpital du Yukon soit régie par la LPRPDE, la plainte a été initialement déposée en vertu de la Loi sur la protection des renseignements personnels. Après discussion avec le requérant à cet effet, l'ancien commissaire est revenu sur sa décision de faire enquête sur la plainte. Les procédures légales ont été abandonnées le 21 février 2003.

Keith Vanderbeke c. Banque Royale du Canada

No de dossier de la Cour fédérale du Canada : T-2185-02

Keith Vanderbeke a communiqué avec le Commissariat se plaignant que la Banque royale du Canada lui avait refusé l'accès à trois documents relatifs à une hypothèque commerciale pour laquelle il était personnellement le garant.

État de la situation

Dans la demande, le plaignant recherche particulièrement, entre autres choses, des ordonnances interprétatives relatives à la LPRPDE : une ordonnance selon laquelle une entreprise privée pourrait être une « personne identifiable » en vertu de la LPRPDE, jouissant corrélativement de droits d'accès ; et une ordonnance selon laquelle les documents bancaires de l'entreprise privée devraient être considérés comme des documents personnels lorsqu'une personne physique fournit une garantie personnelle au créditeur. Il n'est pas sûr que le traitement de cet aspect soit poursuivi car, entre autres, la partie de la demande apparemment présentée en vertu du paragraphe 14 de la LPRPDE vise à faire réviser de façon inappropriée les conclusions de l'ancien commissaire. Le seul défendeur légitime, en vertu du paragraphe 14 de la LPRPDE, est la Banque royale du Canada.

---

[Retour à la table des matières][Partie I][Partie III]