Discours

ARCHIVÉ - Quoi de neuf?
Nouvelles récentes du Commissariat à la protection de la vie privée du Canada

Commentaires prononcée devant la section Privacy and Access Law South de l’Association du Barreau canadien

Le 14 novembre 2011
Regina (Saskatchewan)

Allocution prononcée par Patricia Kosseim
Avocate générale, Commissariat à la protection de la vie privée du Canada

(La version prononcée fait foi)


Au nom de la commissaire à la protection de la vie privée du Canada, je vous remercie de votre aimable invitation à prendre la parole devant vous aujourd’hui. Je suis très heureuse d’être de retour dans l’Ouest et j’ai le plaisir de retrouver nos collègues du Commissariat à la protection de la vie privée de la Saskatchewan.

On m’a demandé de vous donner un bref aperçu de l’évolution récente des opérations, de la jurisprudence et de la législation et de vous présenter la brochure intitulée : La LPRPDE et votre pratique : Guide sur la protection de la vie privée à l’intention des avocats, que nous avons lancée en août dernier à la Conférence nationale de l’Association du Barreau canadien tenue à Halifax.

Orientations de la commissaire

Permettez-moi de vous donner un bref aperçu des tendances opérationnelles du Commissariat qui découlent de l’orientation et de la vision générale de la commissaire à l’égard de la Loi sur la protection des renseignements personnels et les documents électroniques, que j’appellerai la Loi.

Fidèle depuis le tout début à sa vision, la commissaire Stoddart s’est efforcée de consolider la capacité interne du Commissariat à suivre l’évolution constante des technologies de l’information et de leurs effets sur la vie privée. Elle a fortement encouragé la formation permanente de son personnel et a récemment créé la Direction de l’analyse des technologies pour s’assurer de la capacité de l’organisation à appuyer les activités de toutes les autres directions opérationnelles.

Elle a également précisé clairement l’objectif du Commissariat d’améliorer le service qu’il fournit aux Canadiens et elle s’est engagée à effectuer des investissements importants à cette fin. Elle a créé un nouveau Centre d’information chargé de répondre rapidement aux demandes et aux préoccupations des Canadiens et elle a revu le processus d’enquête pour réduire le délai entre le dépôt d’une plainte et la publication d’un rapport des conclusions.

Elle s’est également affairée à modifier l’image du Commissariat d’un organisme de réglementation fédéral bureaucratique basé à Ottawa, travaillant en vase clos, en établissant un nouveau bureau à Toronto dans le but d’étendre notre rayonnement, de faciliter les discussions avec le milieu des affaires et de mieux comprendre ses besoins et ses réalités concrètes.

La commissaire a pris des mesures pour amener les organisations à se faire une idée plus précise de leurs responsabilités. À cette fin, elle a projeté de créer une nouvelle catégorie de conclusions à partir de janvier 2012, qui sera appelée « Plaintes fondées et réglées conditionnellement » et renforcera la capacité du Commissariat à suivre les engagements pris par les organisations. Il sera ainsi plus facile de veiller à ce que les recommandations ayant fait l’objet d’une entente soient réellement mises en œuvre, et dans les cas appropriés, qu’elles fassent l’objet de vérifications effectuées par des tiers indépendants lorsque les circonstances s’y prêtent.

Comme elle l’avait promis, la commissaire a également intensifié ses efforts en vue d’établir des relations de collaboration avec ses homologues internationaux. Elle veut ainsi préciser les éléments essentiels des grands problèmes systémiques, qui ont une dimension véritablement mondiale, et jouer un rôle de leader pour répondre aux menaces en ligne qui traversent  librement les frontières et qui peuvent toucher tous les Canadiens.

Tendances en matière d’enquête

Pour ce qui est des tendances dans le domaine des enquêtes, je vais vous présenter brièvement certaines d’entre elles qui méritent d’être signalées.

Nous avons constaté, d’une année à l’autre, la diminution du nombre total des plaintes déposées. Par exemple, le nombre des plaintes reçues par le Commissariat a chuté de 10 % entre 2009 et 2010 (passant de 231 à 207 plaintes) et il a encore diminué de 11 % entre 2010 et 2011 (207 en 2010 et 184 plaintes déposées au 24 octobre 2011). Cette diminution pourrait être en partie attribuable à des efforts soutenus pour aider à résoudre certaines questions avant qu'elles ne se transforment en plaintes.

Le nombre des violations touchant les données, signalées volontairement par les organisations, a diminué entre 2008 et 2010, mais nous avons constaté une augmentation importante de ces signalements depuis 2010. En fait, les déclarations volontaires des violations en matière de données ont augmenté de 27 % entre 2010 et 2011 (44 incidents en 2010 contre 56 en 2011 au 24 octobre 2011) et l’année n’est pas encore terminée. Le Commissariat progresse dans ce domaine et le Parlement envisage d’adopter un régime de signalement obligatoire des violations dans le cadre des modifications qu’il se propose d’apporter à la Loi avec le nouveau projet de loi C-12; nous nous attendons donc à ce que cette tendance se poursuive.

Développements jurisprudentiels

Je vais maintenant vous parler de certains développements jurisprudentiels récents touchant la Loi. En particulier, nous avons constaté des changements notables à la suite d’une série récente d’affaires en dommages-intérêts présentées à la Cour fédérale en vertu de la Loi.

Depuis le début de 2010, la Cour fédérale a commencé à établir les prémisses d’une matrice qui peut être utilisée lorsqu’on envisage d’accorder des dommages-intérêts en vertu de la Loi.

Dans la première de ces affaires récentes, R. c. Nubody's Fitness Centre, 2010 CF 681, la Cour a placé la barre assez haute. Dans cette affaire, Nubody's Fitness avait divulgué à l’employeur du demandeur le nombre de fois que cet employé et d’autres collègues utilisaient le gymnase dans le cadre d’un programme d’abonnement collectif. La Cour a été d’accord avec la commissaire à la protection de la vie privée du Canada pour dire qu’il y avait eu divulgation de renseignements sans consentement et en violation de la Loi, mais elle a refusé d’accorder des dommages-intérêts dans cette affaire. La Cour a statué que la Loi ne permet pas d’accorder des dommages-intérêts à la légère, mais seulement dans les cas les plus flagrants. Le juge Mosley a estimé que « la divulgation contestée des renseignements personnels était minime et que le demandeur n’a pas subi de préjudice justifiant de lui accorder des dommages-intérêts » (par. 49). Le juge Mosley a poursuivi en disant qu’en supposant même que le demandeur avait subi un préjudice minime (ce qu’il n’acceptait pas), la défenderesse n’avait pas agi « de manière délibérée et flagrante »; elle n’avait pas agi « de mauvaise foi » ou « de façon arbitraire » (par. 53 et 57).

Dans S. c. SNF Maritime Metal, 2010 CF 1137, la Cour a jugé que la violation en question, tout comme celle de l’affaire Nubody’s, concernait des renseignements personnels peu sensibles. Cette affaire portait sur la divulgation par SNF à l’employeur du demandeur des comptes personnels que le demandeur avait ouverts sous son propre nom pour vendre de la ferraille, dont une partie appartenait à son employeur. Or, le demandeur faisait déposer l’argent des ventes dans son propre compte. Cette pratique a finalement entraîné un congédiement justifié. La Cour a jugé que la plainte du demandeur tirait en fait son origine de son congédiement, c’est-à-dire la perte de son emploi, et non pas d’une question de vie privée et elle a refusé d’accorder des dommages-intérêts en vertu de la Loi, puisqu’elle a vu là une façon de contourner les droits qu’il possédait en matière de dommages-intérêts.

Ce n’est qu’avec la troisième affaire, N. c. Transunion of Canada Inc., 2010 CF 1284, que la Cour a jugé que des dommages-intérêts étaient justifiés dans les circonstances, compte tenu du caractère flagrant de la violation en question. Dans cette affaire, le juge Zinn a estimé que Transunion avait omis de recueillir des renseignements exacts en matière de crédit au sujet du demandeur et avait transmis des informations financières inexactes à son sujet à la Banque Royale du Canada. Même après avoir été informée de son erreur, Transunion n’a pas remédié rapidement et efficacement à la situation ni même assumé la responsabilité de son erreur. « Bien que le fait de communiquer des renseignements de crédit erronés ne soit pas comparable à une fouille à nu, il révèle la solvabilité d’une personne à ceux à qui sont transmis les renseignements […] Il s’agit d’une situation aussi dérangeante, embarrassante et humiliante qu’une brève fouille à nu […] » (par. 79). La Cour a appliqué le raisonnement que la Cour suprême du Canada avait tenu dans l’arrêt Vancouver (Ville ) c. Ward, 2010 CSC 27, selon lequel la dissuasion et la défense du droit en cause sont des objets généraux de la Charte qui peuvent justifier l’octroi de dommages-intérêts, même en l’absence de perte physique ou personnelle; la Cour a jugé que le même raisonnement pouvait s’appliquer aux objets de la Loi et a attribué au demandeur 5 000 $ en dommages-intérêts plus 1 000 $ à titre de dépens.

Dans une affaire plus récente, L. c. Banque Royale du Canada, 2011 CF 687, rendue cet été, la Cour fédérale a cité la décision Transunion, et a rappelé que des dommages-intérêts ne peuvent être accordés que dans les cas les plus flagrants. Cette affaire concernait une préposée de la Banque qui, en réponse à un subpoena, avait communiqué des renseignements personnels concernant la demanderesse directement à l’avocate de l’ex-époux de celle‑ci au lieu de suivre la politique de la société qui exigeait l’obtention préalable du consentement de l’intéressé ou, en l’absence du consentement exigé, que les renseignements ne soient communiqués que devant la Cour, au juge. L’élément peut-être le plus intéressant de cette décision est que le juge a reconnu que la demanderesse était partiellement en faute parce qu’elle avait tenté de dissimuler l’existence de ses comptes bancaires personnels alors qu’elle témoignait sous serment; il a néanmoins accordé à la demanderesse 4 500 $ en dommages-intérêts pour l’humiliation subie, à cause de ce que la Cour a qualifié de « manquement grave » de la préposée de la Banque (par. 32). La Cour a donc estimé que des dommages-intérêts étaient appropriés dans cette affaire, même si la demanderesse n’avait pas eu une attitude entièrement irréprochable.

Dans l’affaire la plus récente, G. c. Zarek Taylor Grossman Hanrahan LLP, 2011 CF 1070, la Cour a tenu à peu près le même raisonnement. Cette affaire portait sur l’affichage irrégulier par un cabinet d’avocats d’une lettre de conclusions de la commissaire à la protection de la vie privée qui contenait le nom de la demanderesse, mais sans avoir obtenu son consentement. Le cabinet d’avocats avait reçu une copie de la lettre de conclusions à titre de représentant de l’organisation contre laquelle la demanderesse avait au départ déposé une plainte. Le cabinet d’avocats a réagi immédiatement en retirant la lettre affichée dans les deux heures ayant suivi le signalement de cette violation à l’associé principal. La Cour a conclu que la violation en question se situait quelque part entre le caractère flagrant de la violation de la décision Transunion et la violation minime de Nubody's Fitness; elle a attribué 1 500 $ en dommages-intérêts à la demanderesse.

Le Commissariat suit de très près l’évolution de cette nouvelle tendance.

Développements législatifs

Comme beaucoup d’entre vous le savent, le gouvernement fédéral a récemment adopté la Loi canadienne anti-pourriel (la Loi anti-pourriel) qui vise à empêcher l’envoi de communications électroniques non désirées, en réglementant l’envoi des messages électroniques commerciaux, y compris des courriels et des messages textes. Les expéditeurs doivent notamment obtenir le consentement préalable du destinataire avant d’envoyer ce genre de message.

La Loi anti-pourriel vise également à mettre un frein à d’autres pratiques préjudiciables comme la collecte d’adresses électroniques et l’installation clandestine de maliciels (logiciels malveillants) sur les ordinateurs.

Lorsque la Loi anti-pourriel sera intégralement en vigueur, le Commissariat à la protection de la vie privée sera chargé de la mettre en œuvre conjointement avec le Conseil de la radiodiffusion et des télécommunications canadiennes (le CRTC) et le Bureau de la concurrence fédéral.

La période prévue pour la présentation de commentaires au sujet du projet de règlement a expiré le 7 septembre. Le CRTC et Industrie Canada sont en train d’analyser les commentaires obtenus et de décider s’il y a lieu d’apporter des changements au projet de règlement.

Je devrais également signaler deux modifications à la Loi qui ne sont pas reliées, mais qui peuvent intéresser un bon nombre d’entre vous. Ces modifications ont été introduites dans le cadre de la Loi anti-pourriel, mais s’appliquent d’une façon générale à toutes les plaintes portées aux termes de la Loi. À la différence des autres dispositions de la Loi anti-pourriel, les modifications de la Loi sont déjà en vigueur.

Premièrement, la Loi anti-pourriel a modifié la Loi pour autoriser la commissaire à transmettre des renseignements à ses homologues étrangers et provinciaux lorsqu’elle estime qu’ils se rapportent à une enquête en cours ou envisagée. La commissaire sera ainsi en mesure de répondre de façon plus efficace aux problèmes de protection de la vie privée ayant une dimension véritablement mondiale.

Deuxièmement, la Loi anti-pourriel a également modifié la Loi pour donner à la commissaire le pouvoir de refuser de faire enquête ou pour mettre un terme à une enquête dans certaines circonstances précises. Cette nouvelle latitude permettra à la commissaire de concentrer ses efforts et ses ressources sur les plaintes de portée large et systémique qui touchent des pratiques attentatoires à la vie privée de tous les Canadiens.

Projet de loi C-12

Avec les élections fédérales du mois de mai dernier, le projet de loi C-29 qui visait à modifier la Loi suivant son premier examen législatif est mort au Feuilleton. Ce projet de loi connu sous le nom de Loi protégeant les renseignements personnels des Canadiens a été récemment présenté à nouveau sous la forme du projet de loi C-12, dont la forme est pratiquement identique.

Si ce projet de loi est adopté, il modifiera la Loi et obligera les organisations à informer la commissaire de « toute atteinte importante aux mesures de sécurité qui a trait à des renseignements personnels ». Les éléments à prendre en compte pour décider si une atteinte est importante comprennent le degré de sensibilité des renseignements personnels, le nombre de personnes touchées et le caractère systématique de la violation.

Le projet de loi obligerait également les entreprises à informer les personnes de « toute atteinte aux mesures de sécurité […] s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un risque réel de préjudice grave pour l’intéressé ». Les éléments à prendre en compte pour décider s’il y a un risque réel de préjudice grave comprennent le degré de sensibilité des renseignements personnels en cause et la probabilité qu’ils aient été mal utilisés ou soient en train ou sur le point de l’être.

Nous sommes satisfaits du fait que le projet de loi C-12 introduit à nouveau le signalement obligatoire des violations, et je mentionne que la commissaire a déjà déclaré publiquement qu’elle était favorable à un régime qui renforce la responsabilité et la transparence des organisations en matière de gestion des renseignements personnels. Le signalement rapide de ces atteintes nous aidera ainsi que les Canadiens et Canadiennes à prendre en temps réel des mesures appropriées pour protéger leurs données personnelles contre tout risque d’atteinte à ces données.

Dans le but de mieux définir la notion d’« autorité légitime », une expression de la Loi actuelle que plusieurs personnes estiment être nébuleuse, le projet de loi propose une définition formulée de façon négative, qui définit ce qui n’est pas une autorité légitime. C-12 énonce que l’autorité légitime est une autorité autre qu’« une assignation, un mandat ou une ordonnance d’un tribunal, d’une personne ou d’un organisme ayant le pouvoir de contraindre à la production de renseignements » ou « que des règles de procédure se rapportant à la production de documents ». Compte tenu des modifications connexes proposées qui soustraient l’organisation qui divulgue les renseignements à l’obligation de vérifier la validité de l’autorité légitime et qui accordent un large pouvoir de divulgation lorsqu’il s’agit de l’exercice de « fonctions de police », plusieurs commentateurs ont indiqué que la tentative faite pour préciser la notion d’autorité légitime ne fait que rendre encore plus imprécis qu’il ne l’est actuellement le sens de cette expression.

Je ne peux dire quelle sera la position qu’adoptera la commissaire au sujet des modifications proposées dans le projet de loi C-12 avant qu’elle ne comparaisse devant le Parlement; elle a toutefois déjà déclaré publiquement, la semaine dernière encore, qu’elle et ses homologues provinciaux et territoriaux s’inquiétaient profondément des autres mesures législatives en matière d’« accès légal » qui pourraient être présentées prochainement (plusieurs personnes s’attendent à ce que les projets de loi antérieurs C-50, 51 et 52 soient présentés à nouveau au Parlement sous une forme ou une autre). La commissaire Stoddart a écrit au ministre de la Sécurité publique, Vic Toews, pour exposer ses préoccupations au sujet du régime de surveillance élargi qui autoriserait l’État à retracer, rechercher et saisir les renseignements personnels détenus par les entreprises commerciales, sans contrôle judiciaire approprié. Elle a invité le gouvernement à expliquer pourquoi ces vastes pouvoirs nouveaux étaient nécessaires et à trouver des solutions moins attentatoires à la vie privée qui n’auraient pas des répercussions aussi graves sur les droits en matière de vie privée au Canada – « la protection de la vie privée vient de ce qu’elle est sous-jacente à nos libertés démocratiques. Elle nous permet d’exercer ces libertés ouvertement, sans peur, sans méfiance ni censure ». Ceux qui seraient intéressés trouveront sur notre site Web la lettre ouverte que la commissaire a envoyée au ministre Toews, datée du 26 octobre 2011 : http://www.priv.gc.ca/media/nr-c/2011/let_111027_f.cfm.

La LPRPDE et votre pratique : guide sur la protection de la vie privée à l’intention des avocats

Dans le cadre des efforts que déploie le Commissariat en matière d’éducation et de sensibilisation du public, nous avons récemment lancé la brochure intitulée La LPRPDE et votre pratique : guide sur la protection de la vie privée à l’intention des avocats. Ce guide a pour but d’offrir aux avocats des conseils pratiques pour mieux protéger les renseignements personnels de leurs clients, de leurs employés et de tiers.

Le guide La LPRPDE et votre pratique s’adresse principalement aux avocats de la pratique privée et certains avocats d’entreprise – dans le cadre de la gestion de leur pratique, ou dans le contexte du contentieux civil.

Le guide vise à aider les avocats à connaître les obligations qu’impose la Loi et à les respecter, obligations qui viennent peut-être compléter les obligations professionnelles en vigueur actuellement en matière de confidentialité.

Il est vrai que les avocats sont les plus ardents défenseurs du secret professionnel de l’avocat, mais cela n’en fait pas nécessairement des spécialistes de la protection de la vie privée. La confidentialité, une valeur qui est au cœur de notre pratique depuis notre assermentation, est inhérente à la nature même de la relation entre l’avocat et son client et nous impose l’obligation de préserver les secrets des clients. La vie privée est, par contre, le droit des individus (qu’ils soient clients ou non, visés ou non par le secret professionnel de l’avocat) à décider eux-mêmes de ce que l’on peut faire ou ne pas faire avec leurs renseignements personnels.

Le guide a pour but de renforcer les obligations des avocats lorsqu’il s’agit de protéger la vie privée des individus ainsi que les renseignements personnels en leur possession, tout comme doivent le faire ceux qui exercent des activités commerciales.

Plutôt que de vous présenter le guide en détail, j’espère que vous allez au moins retenir les deux messages clés suivants :

  1. Comme beaucoup d’excellents avocats le font de par leur formation, nous risquons d’en arriver rapidement à examiner la question de savoir si la Loi, ou une autre loi provinciale semblable relative à la vie privée, s’applique ou non aux avocats dans certaines situations ou circonstances, etc. C’est bien sûr un aspect important – en particulier lorsqu’une question de vie privée est soulevée dans un litige – mais nous voulons plutôt rester au-dessus de la mêlée, et adopter un point de vue plus théorique à propos de ce qui pourrait devenir un débat assez complexe sur les compétences, à savoir déterminer quelle est, le cas échéant, la loi sur la protection des renseignements personnels applicable. Nous espérons en fait que le milieu juridique demeure ouvert à l’idée d’avoir une véritable discussion au sujet des bonnes pratiques en matière de vie privée inspirées par l’esprit de la Loi, au sujet de ce qui est bon pour les affaires et de l’importance de construire des relations solides et basées sur la confiance avec leurs clients. Les données personnelles sont devenues la nouvelle monnaie de l’économie numérique et comme Craig Newmark, le fondateur de Craigslist, l’a déclaré « Trust is the new black » (La confiance est notre nouveau défi). C’est le nouvel indicateur de base du marché qui permettra de faire la différence entre les entreprises qui réussissent et celles qui ne réussissent pas.
  2. Le deuxième message clé découlant du guide est un message d’opportunité – l’opportunité pour les avocats de faire preuve de leadership, en tant que membres en règle du Barreau, de devenir des exemples de comportement éthique et respectueux. Vous avez le privilège et la possibilité de donner l’exemple et d’encourager les autres, qu’il s’agisse des collègues avec qui vous travaillez ou des clients que vous conseillez, à faire la même chose. Vous avez le pouvoir d’influencer les changements systémiques. Ceux d’entre vous qui ont assisté à la conférence annuelle de l’ABC à Halifax l’été dernier se souviendront du discours d’ouverture du gouverneur général qui nous a tous invités à faire de la déontologie le troisième pilier de nos responsabilités professionnelles, avec les connaissances et la pratique. Eh bien, la protection de la vie privée est, dans un sens très réel, une question de déontologie. Elle fait partie des obligations que nous assumons envers notre profession, envers le public et envers les clients que nous servons. C’est dans cet esprit que nous avons conçu ce guide à l’intention des avocats.

Comme s’il avait voulu se faire l’écho de ces mêmes messages, le juge Mosley a rendu, après la publication du guide, une décision qui portait directement sur ce point. Dans l’affaire G. c. Grossman, que j’ai mentionnée plus tôt, le juge Mosley a déclaré ce qui suit :

« Les cabinets d’avocats qui conseillent des clients qui traitent les renseignements personnels de leurs propres clients doivent être au fait du droit relatif au respect de la vie privée et des risques de communication. Les avocats ont également l’obligation publique de protéger l’intégrité du processus judiciaire. Des avocats qui omettent de prendre des mesures pour protéger des renseignements personnels en leur possession peut justifier un montant plus élevé de dommages-intérêts que celui auquel seraient condamnées d’autres parties qui sont moins bien informées sur ces questions ».

G. c. Zarek Taylor Grossman Hanrahan LLP,
2011 CF 1070, au par. 53

Nous espérons que le guide sur la protection de la vie privée à l’intention des avocats vous fournira les conseils concrets dont vous avez besoin pour être des leaders exemplaires de la promotion de la protection de la vie privée.

Je vous remercie et j’ai hâte de répondre à vos questions.