Examen, prévu par la loi, de la Loi sur les renseignements personnels et les documents électroniques

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Aperçu de la consultation du CPVP

Le 27 novembre 2006


1. Introduction

Le Commissariat à la protection de la vie privée du Canada (CPVP) est favorable à l’examen obligatoire de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Cette loi est entrée en vigueur par étapes à partir du 1er janvier 2001. Elle est pleinement en vigueur depuis près de trois ans. Elle a entraîné un rééquilibrage minutieux des droits et des responsabilités en améliorant la défense d’un pilier de la société démocratique : le droit de contrôler ce que les autres peuvent savoir sur nous. La sensibilisation des organisations à la nécessité de protéger la vie privée s’est accrue, et les citoyens ont de nouveaux droits à leur disposition. 

En adoptant la LPRPDE, le Parlement a éliminé beaucoup de préoccupations en matière de protection de la vie privée liées aux activités commerciales. La LPRPDE a également été l’instrument qui a permis au Canada d’offrir un niveau de protection des renseignements personnels qui allait faciliter la circulation transfrontalière des renseignements personnels entre les États membres de l’UE et le Canada. La Directive sur la protection des données de l’UE, adoptée en 1995, introduit l’obligation pour les États membres de permettre le transfert de renseignements personnels à un pays tiers comme le Canada seulement si celui-ci garantit un niveau de protection adéquat pour ces renseignements.

La LPRPDE a été mise en œuvre graduellement à compter du 1er janvier 2001. À ce moment-là, elle couvrait des renseignements personnels sur des clients qui étaient recueillis, utilisés ou communiqués dans le cadre d’activités commerciales par des entreprises fédérales – des organisations comme les banques, les transporteurs aériens et les entreprises de télécommunications. Les renseignements personnels des employés de ses entreprises fédérales étaient également visés. En 2002, la Loi a été modifiée pour couvrir les renseignements personnels sur la santé pour ces organisations et activités.

La LPRPDE a été entièrement mise en œuvre en janvier 2004. À ce moment-là, selon le pouvoir en matière de commerce prévu à l’article 91 de la Loi constitutionnelle de 1867, la portée de la Loi a été étendue de manière à couvrir les organisations engagées dans des activités commerciales, y compris celles qui à d’autres fins (par exemple à des fins d’emploi) sont régies par les provinces. La LPRPDE vise donc le secteur de la vente au détail, les maisons d’édition et les compagnies d’assurances, l’industrie des services, les fabricants et d’autres activités commerciales, comme celles qui œuvrent dans le secteur de la santé.

La LPRPDE donne également aux citoyens le droit de consulter et de faire corriger les renseignements personnels que les organisations peuvent avoir recueillis à leur sujet. Le premier responsable de la surveillance de l’application de la Loi est le Commissariat à la protection de la vie privée, qui est autorisé à recevoir des plaintes et à faire des enquêtes à leur sujet.

La LPRPDE n’est pas, et ne prétend pas être, la réponse à tous les enjeux en matière de protection de la vie privée soulevés dans les interactions avec des organisations engagées dans des activités commerciales. Elle offre une protection seulement à l’égard des activités commerciales, et même là, il y a plusieurs cas où elle ne s’applique pas. Par exemple, la LPRPDE ne s’applique pas aux renseignements personnels sur des employés d’organisations qui ne sont pas des entreprises fédérales.

La LPRPDE a permis aux Canadiennes et Canadiens, à l’extérieur du Québec, d’obtenir le droit à la protection de tous les aspects de leur vie privée. (Le Québec a adopté sa propre loi pour la protection des renseignements personnels dans le secteur privé en 1994.) La LPRPDE a en outre introduit une gamme d’obligations correspondantes pour les organisations qui recueillent, utilisent et communiquent des renseignements personnels. Parallèlement à l’adoption de la LPRPDE, plusieurs provinces ont adopté leurs propres lois, qui ont plus tard été jugées « essentiellement similaires » aux normes figurant dans la LPRPDE. La Colombie-Britannique et l’Alberta l’ont fait en 2004, et l’Ontario (pour les détenteurs de renseignements médicaux seulement) en 2005.

La LPRPDE est une loi assez récente, et un grand nombre de ses dispositions et des pouvoirs qui y sont rattachés – par exemple la vérification et le contentieux – n’ont pas encore été entièrement analysés. Le public n’a pas encore profité des nombreuses protections prévues dans la LPRPDE, et n’a pas encore porté à l’attention du CPVP beaucoup d’enjeux relatifs à la vie privée qui sont maintenant visés par la Loi. Le CPVP n’a pas non plus eu la possibilité de faire tous les liens entre les plaintes qui lui sont soumises afin d’aborder les nombreux problèmes systémiques que nous voyons surgir dans les différents secteurs et organisations.

Cela dit, la LPRPDE semble fonctionner relativement bien, en dépit des lacunes – certaines plus dévastatrices que d’autres – auxquelles on ne s’attendait pas lorsque la Loi a été rédigée il y a plusieurs années. Un sérieux problème lié au pouvoir d’enquête de la commissaire s’est créé relativement à l’examen de renseignements personnels protégés par le secret professionnel qui lient l’avocat et son client lorsque la Cour d’appel fédérale a récemment rendu sa décision dans la cause de la Tribu des BloodNote de bas de page 1. Cette décision crée une faille dans les pouvoirs de la commissaire et laissera planer un mystère sur les documents ministériels, avec aucune autre vérification que la demande officielle au tribunal. Elle est dévastatrice pour la protection de la vie privée selon la LPRPDE et sape complètement la protection à deux volets qui était prévue dans le modèle souple, accessible et indépendant d’ombudsman de la commissaire à la protection de la vie privée. Nous demandons l’autorisation d’en appeler de cette décision, mais nous sommes d’avis que cette ambiguïté devrait être éliminée de la loi par une modification de la LPRPDE dans les plus brefs délais.

Certaines dispositions de la LPRPDE devront peut-être être revues à la lumière des expériences vécues, notamment de nos observations relatives aux lois provinciales en matière de protection des renseignements personnels qui sont essentiellement similaires à la loi fédérale. Les dispositions de la LPRPDE ne sont peut-être pas aussi efficaces que les rédacteurs l’avaient prévu. En outre, plusieurs changements de procédures ainsi que des améliorations mineures de la régie interne pourraient être requises pour assurer l’application sans heurt de la Loi. Par exemple, nous pensons que des renseignements sur des contacts d’affaires, comme les adresses électroniques d’employés, les numéros de télécopieur et tout autre moyen futur de transmettre des renseignements commerciaux, devraient être inclus dans la définition de « renseignements personnels » dans la Loi.

En plus des défis que pose la Loi en elle-même, des changements survenus dans la société font que certains aspects de la LPRPDE devraient être repensés. Ces changements se sont produits à beaucoup de niveaux – par exemple, l’expansion de la circulation transfrontalière de renseignements personnels, le logiciel espion, le trafic illégal de données, les menaces croissantes à la sécurité des systèmes informatiques et l’intérêt grandissant des organismes gouvernementaux pour les renseignements personnels détenus par le secteur privé.

Certes, les dernières années ont créé des défis pour les organisations auxquelles s’applique la LPRPDE lorsque celles-ci ont tenté, à différents rythmes et avec différents niveaux de succès, de mettre en application les principes de protection de la vie privée prévus dans la LPRPDE. Dans l’ensemble, les pratiques de traitement des renseignements portées à notre attention montrent que les organisations canadiennes ont fait preuve d’un haut niveau de conformité à la LPRPDE. Les entreprises, les grandes comme les petites, ont fait voir une bonne volonté, un engagement à l’égard des valeurs communautaires et une ouverture au changement quand il s’agissait de protéger les renseignements personnels.

En juillet 2006, en préparation de l’examen obligatoire de la LPRPDE, le Commissariat a diffusé un document de consultationNote de bas de page 2 qui décrivait plusieurs enjeux que le CPVP avait désignés comme devant être analysés dans le cadre de l’examen. Le CPVP a invité les personnes intéressées par la protection de la vie privée à commenter ces enjeux et à soulever toute autre question qui, selon eux, devait être prise en considération au moment de la revue de la Loi. Nous avons accueilli favorablement ces commentaires, parce qu’ils ont aidé le CPVP à faire sa propre analyse des enjeux. L’objectif du CPVP en sollicitant cette participation à ce moment-là était d’aider le Parlement et le public canadien à s’assurer que la LPRPDE était l’instrument le plus utile à l’atteinte du but du Parlement énoncé dans la Loi – reconnaître le droit à la vie privée des personnes relativement à leurs renseignements personnels et la nécessité pour les organisations de recueillir, d’utiliser ou de communiquer des renseignements personnels « à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances ».

Nous avons été enchantés de recevoir 63 présentations relatives au document de discussion. Les commentaires peuvent être répartis comme suit :

  • 42 présentations venant d’organisations (y compris des cabinets d’avocats, des institutions financières, des syndicats, des universités, des industries et des associations professionnelles des secteurs de la santé, des finances, de l’assurance, de l’immobilier et d’autres secteurs et organismes gouvernementaux);
  • 5 présentations venant de défenseurs de la vie privée et des consommateurs, et de commentateurs de questions liées à la vie privée.
  • 16 présentations venant de citoyens.

Les présentations n’abordaient pas toutes l’ensemble des questions posées dans le document de discussion. Certains répondants ont discuté d’enjeux qui allaient au-delà de nos questions. Un aperçu de ces questions supplémentaires se trouve à la fin du présent document.

Comme nous jugions important de faire part de ces précieux commentaires au Comité, nous avons fourni un résumé. Le cas échéant, la position du CPVP sur chacune des questions suit le résumé des commentaires soumis.

2. Pouvoirs de la commissaire

Contexte et question provenant du document de discussion du Commissariat sur les pouvoirs de la commissaire

En élaborant la LPRPDE, le Parlement a utilisé le modèle de l’ombudsman similaire à celui dont on s’était servi pour la Loi sur la protection des renseignements personnels et la Loi sur l’accès à l’information. En vertu de ces trois lois, le commissaire responsable a le pouvoir de mener des enquêtes, de tirer des conclusions et de formuler des recommandations non contraignantes.

Selon la LPRPDE, la commissaire possède une marge de manœuvre limitée pour faire enquête sur des plaintes, mener des vérifications et rendre publics des renseignements sur les pratiques d’une organisation en matière de gestion des renseignements personnels. La commissaire n’a pas le pouvoir d’ordonner qu’une organisation renonce à une pratique, change une pratique ou communique des renseignements personnels. Elle ne peut non plus accorder de dommages-intérêts. Cependant, si une personne n’est pas satisfaite des efforts de la commissaire de résoudre des problèmes, cette personne peut s’adresser à la Cour fédérale pour entendre toute question qui a fait l’objet de la plainte. La commissaire peut également engager une poursuite avec le consentement de la personne concernée et elle l’a fait occasionnellement, lorsque des organismes ont refusé de suivre ses recommandations.

Certains observateurs pourraient soutenir que l’approche de l’ombudsman, qui ne prévoit pas l’attribution du pouvoir de rendre des ordonnances, rend la LPRPDE moins efficace pour protéger les droits des personnes que si la commissaire possédait des pouvoirs d’exécution – par exemple, celui d’ordonner qu’une organisation se conforme à une disposition particulière de la LPRPDE. Ces observateurs pourraient demander que la LPRPDE accorde le pouvoir de rendre des ordonnances, similaire à celui prévu dans les lois de la Colombie-Britannique et de l'Alberta sur la protection des données. Ils pourraient également vouloir que la loi accorde le pouvoir de rendre des ordonnances, comme celui conféré à la Commission d’accès à l’information du Québec par la Loi sur la protection des renseignements personnels dans le secteur privé (Québec), la première loi adoptée au Canada sur la protection des données dans le secteur privé.

D’autres pourraient être d’avis que l’approche de l’ombudsman est préférable. Ils estiment peut-être que ce modèle est plus accessible, plus informel, plus pratique et plus souple pour aider les parties à résoudre elles-mêmes leurs problèmes. Les partisans du modèle de l’ombudsman pourraient également faire valoir que la LPRPDE permet de s’adresser à la Cour fédérale pour qu’elle rende une ordonnance exécutoire, en tant que tribunal de compétence supérieure, au-delà des recommandations de la commissaire. Les partisans de cette approche pourraient également laisser entendre que la modification de la nature des pouvoirs de la commissaire serait un exercice complexe qui aurait une incidence sur les autres rôles du Commissariat – par exemple en matière de médiation, d’éducation et de vérification, – et qu’il exigerait un nouvel examen du rôle de la Cour fédérale aux termes de la LPRPDE.

Question posée par le Commissariat

  • Le modèle actuel de l’ombudsman est-il efficace ou inefficace pour protéger les droits des personnes à la protection de la vie privée et pour prendre en compte l’intérêt légitime, au regard des renseignements personnels, d’organisations qui exercent des activités commerciales? De quelles façons? Quelles modifications, s’il en est, devraient être apportées?

Commentaires des répondants sur les pouvoirs de la commissaire

  • Aucune opinion claire et précise n’est ressortie quant à la portée comme telle des pouvoirs de la commissaire.
  • La plupart des personnes et intervenants, de même qu’une organisation qui a abordé la question, préconisaient un pouvoir de rendre des ordonnances.
  • La plupart des organisations qui se sont exprimées sur la question étaient en faveur du modèle actuel d’ombudsman.
  • Une association de gestion de l’information et une association commerciale ont affirmé que la commissaire devrait avoir le pouvoir de rendre des ordonnances.  
  • Un commentateur de la protection de la vie privée, une association et une organisation étaient d’accord pour que l’on conserve le rôle d’ombudsman au moins jusqu’au prochain examen de la LPRPDE.
  • Une personne, qui était en faveur du modèle d’ombudsman, soutenait que le rôle des lois sur la protection des renseignements personnels et des commissaires à la protection de la vie privée consiste à favoriser l’amélioration constante de la conduite, à court et à long terme, des organisations commerciales.
  • Une association professionnelle et deux personnes qui étaient en faveur du modèle d’ombudsman se sont demandé si les organisations prennent leur rôle de protection de la vie privée au sérieux quand la commissaire n’a aucun pouvoir de mise en application de la loi ou d’imposition d’amendes.
  • Une organisation en faveur du modèle d’ombudsman a soutenu qu’un tel modèle permet au titulaire du poste d’être plus courageux et d’adopter des positions plus rigoureuses quand vient le temps de formuler des recommandations.
  • Une association professionnelle a proposé qu’un tribunal spécialisé devrait faire partie du modèle de surveillance.
  • Certains commentateurs ont dit souhaiter que la commissaire utilise les pouvoirs dont elle dispose d’une meilleure façon. Par exemple, ils ont fait état de son pouvoir de vérification et d’« identification des personnes » (certaines organisations ont dit souhaiter que ce pouvoir ne soit pas souvent utilisé). Ils ont également réclamé une plus grande sensibilisation du public et des conclusions plus détaillées.

Commentaires du Commissariat sur les pouvoirs de la commissaire

Le Parlement peut souhaiter déterminer si le pouvoir de rendre des ordonnances pourrait permettre au Commissariat de favoriser l’adoption, par le secteur privé, de meilleures pratiques en matière de protection des renseignements personnels. À cette fin, il faudra prendre en compte la possibilité d’ajouts et d’améliorations possibles à la trousse actuelle d’outils d’application de la loi du Commissariat.

Si la commissaire obtient le pouvoir de rendre des ordonnances, il sera essentiel de s’interroger sur les conséquences d’un tel pouvoir sur les autres activités du Commissariat, comme par exemple la médiation, la sensibilisation et la vérification. Le cas échéant, le rôle de la Cour fédérale aux termes de la LPRPDE devrait également être revu.

En outre, est-ce que le pouvoir de rendre des ordonnances aurait un impact favorable sur le droit à la protection de la vie privée, en favorisant un processus plus rapide ou plus efficace ?  Je crois que cette question devrait être réglée à un moment plus opportun. Au cours des trois dernières années et demie, le Commissariat a tenté d’effectuer son travail avec une capacité administrative restreinte et dans une atmosphère d’instabilité et de surveillance de tous les instants. Nous émergeons tout juste de cette difficile étape. Nous voici réorganisés, renouvelés, et on nous a promis des ressources suffisantes.

À notre avis, l’octroi du pouvoir de rendre des ordonnances aurait, pour l’instant, des conséquences administratives qui nous empêcheraient de satisfaire à un mandat aux multiples facettes.

Nous comptons utiliser davantage nos pouvoirs pour mener des vérifications et entreprendre des poursuites en justice, si cela s’avère nécessaire, pour inciter les entreprises récalcitrantes à respecter les pratiques équitables de traitement des renseignements énoncées dans notre loi.

3. Consentement : La relation entre employés et employeurs

Contexte et questions provenant du document de discussion du Commissariat sur le consentement et la relation entre employés et employeurs

La LPRPDE est une loi fondée sur le consentement. Généralement, elle requiert que l’intéressé soit informé de la collecte, de l’utilisation et de la communication de ses renseignements personnels au cours d’une activité commerciale et qu’il y consente. Partout dans le monde, les agences de protection des données sont confrontées aux défis posés par la gestion d’un régime basé sur le consentement pour le traitement des renseignements personnels, particulièrement dans le contexte des réalités modernes du commerce mondial.

La LPRPDE protège les renseignements personnels des employés qui oeuvrent dans des installations, ouvrages, entreprises ou secteurs d’activités qui relèvent de la compétence fédérale. Or, les employeurs ont besoin d’obtenir des renseignements personnels sur leurs employés pour de nombreuses utilisations légitimes au cours de leurs activités. Dans un monde parfait sans contraintes économiques, l’employeur pourrait demander à son employé de lui fournir des renseignements personnels et ce dernier pourrait librement décider de les lui donner ou pas. Mais en raison de l’inégalité du pouvoir de négociation dans les relations d’emploi, de nombreux employés ne se sentent peut-être pas en mesure de refuser leur consentement, par crainte que cela nuise à leur situation au travail ou entraîne leur congédiement. Certains pourraient faire valoir que dans ce cas, des employés ne sont pas libres d’accepter que leur employeur recueille leurs renseignements personnels et que c’est forcément interpréter à mauvais escient le principe du consentement en risquant d’« affaiblir » ce principe, que d’en déduire qu’ils ont accordé leur consentement.

Dans leur Personal Information Protection Act (PIPA), l’Alberta et la Colombie-Britannique ont adopté une approche différente de celle de la LPRPDE à l’égard des renseignements personnels des employés. La loi de l’Alberta permet à une organisation de recueillir des renseignements personnels sur un employé actuel ou éventuel sans son consentement suivant certaines conditions, notamment lorsque la collecte est raisonnable aux fins pour lesquelles les renseignements sont recueillis. Dans la loi de l’Alberta, les renseignements personnels au sujet d'un employé signifient simplement des renseignements personnels dont a raisonnablement besoin une organisation et qui sont recueillis, utilisés ou communiqués uniquement pour établir ou gérer une relation d’emploi ou une relation de travail bénévole, ou y mettre fin. La loi de la Colombie-Britannique permet de recueillir des renseignements personnels sur un employé notamment lorsque cette collecte est raisonnable pour établir ou gérer une relation d’emploi ou y mettre fin.

Certains pourraient faire valoir que les dispositions des lois de l'Alberta et de la Colombie-Britannique offrent une solution plus réalisable pour s’occuper des détails du traitement des renseignements personnels dans le contexte moderne de l’emploi. Des critiques pourraient s’y opposer en affirmant que des dispositions de ce type enlèveraient aux employés la liberté de décider par eux-mêmes que l’utilisation de leurs renseignements personnels est raisonnable, et donneraient plutôt le pouvoir de prendre cette décision à leur employeur. Même si des employés pouvaient contester l’objectif visé par leur employeur en déposant une plainte, certains estimeraient que ce changement de pouvoir entraînerait l’effritement d’un droit fondamental en matière de protection de la vie privée – le droit de décider par soi-même de l’utilisation de ses renseignements personnels.

La Loi sur la protection des renseignements personnels dans le secteur privé du Québec ne situe pas les renseignements personnels sur des employés dans une catégorie de renseignements personnels distincte et assujettie à des dispositions spéciales. Mais le critère de la collecte de renseignements personnels au sujet des employés sans leur consentement est basé sur le besoin. À cette fin, il faut prendre en considération la nature délicate des renseignements personnels et le critère de proportionnalité énoncé par la Cour suprême du Canada dans l’arrêt OakesNote de bas de page 3.

Une autre option consisterait à ajouter une disposition expresse à l’article 7 de la LPRPDE pour traiter des questions relatives au consentement des employés. En règle générale, les renseignements personnels au sujet d'un employé ne pourraient être recueillis qu’avec son consentement. Mais la disposition pourrait énoncer des exceptions précises à la règle du consentement.

Questions posées par le Commissariat

  • La LPRPDE devrait-elle être modifiée de façon à supprimer les exigences relatives au consentement au sujet des renseignements personnels portant sur les employés? Dans l’affirmative, le critère de la « fin raisonnable » est-il une solution de rechange appropriée –
  • Les questions liées au consentement des employés devraient-elles être traitées dans une exception  expresse à l’article 7 dans le cas de la relation d’emploi, assortie de conditions? Dans l’affirmative, quelles devraient être les conditions?
  • La collecte de certains types de données portant sur les employés devrait-elle être complètement interdite? Dans l’affirmative, quels seraient les critères pour interdire cette collecte?

Commentaires des répondants sur le consentement et la relation entre employés et employeurs

  • La plupart des organisations qui ont fait part de leurs commentaires sur cette question ont indiqué qu’elles aimaient l’approche adoptée dans les lois sur la protection des renseignements personnels (LPRP) de l’Alberta et de la Colombie-Britannique dites de la « deuxième génération ». Elles appuyaient l’approche de « l’objectif raisonnable » que l’on trouve dans ces lois et qui élimine la nécessité d’obtenir le consentement de l’employé pour la collecte, l’utilisation et la communication de renseignements personnels qui le concernent.
  • Une association professionnelle a soutenu que le modèle établi dans la LPRP de l’Alberta assure une protection adéquate contre les abus, comme les activités de surveillance générale ou inutile.
  • Certains commentateurs ont insisté sur la nécessité d’harmoniser la LPRPDE avec les lois provinciales sur la protection des données.
  • Un commentateur intéressé par la protection de la vie privée et une personne se sont dits en faveur des modèles de l’Alberta et de la Colombie-Britannique.
  • Deux personnes ont soutenu que le critère de l’objectif raisonnable ne remplace pas le consentement.
  • Deux organisations ont dit avoir accepté volontiers l’approche actuelle établie en vertu de la LPRPDE en ce qui a trait au traitement des renseignements sur les employés; une autre a dit que l’approche « fonctionnait bien », et une quatrième a recommandé que les renseignements personnels sur les employés soient traités de la même façon que les renseignements personnels sur les clients, de sorte que les exigences relatives au consentement devraient demeurer en place.
  • Une organisation de défense des consommateurs a souligné qu’une solution de rechange appropriée consisterait à apporter des exceptions spécifiques à l’emploi à l’article 7.
  • Une autre organisation de défense des consommateurs a soutenu, pour sa part, que l’approche du Québec à l’égard du consentement des employés est celle qui est la plus équitable et qui porte le moins atteinte à la vie privée.
  • Une personne, qui s’est dite en faveur d’éliminer l’exigence relative au consentement concernant les renseignements personnels sur les employés, a indiqué que le critère de l’objectif raisonnable, en soi, ne suffit pas comme mesure de rechange. La personne était d’avis qu’il doit être étoffé en faisant référence à la dignité des employés.

Commentaires du Commissariat sur le consentement et la relation entre employés et employeurs

Les renseignements personnels sur les employés sont à l’origine de la plupart des plaintes les plus délicates que le CPVP a reçues au cours des cinq dernières années et, dans certains cas, nous avons dû recourir à une interprétation plus large de la Loi pour régler certaines questions liées à l’emploi. Cela étant, nous ne sommes pas convaincus qu’il serait prudent d’adopter les modèles de l’Alberta et de la Colombie-Britannique sans avoir examiné attentivement les incidences. Soustraire une grande partie des renseignements personnels des employés les priveraient d’un droit, par ailleurs difficile à faire respecter, qu’ils ont déjà sous la LPRPDE.

Le CPVP demanderait au Comité d’examiner si et comment la LPRPDE peut être modifiée pour traiter de façon plus appropriée les renseignements sur les employés.

4. Collecte et communication aux fins de l’application de la loi et de la sécurité nationale

Contexte et questions provenant du document de discussion du Commissariat sur la collecte et la communication aux fins de l’application de la loi et de la sécurité nationale

La Loi de 2002 sur la sécurité publique a modifié la LPRPDE par une disposition [l’alinéa 7(1)e)] qui ajoute au nombre de situations prévues dans la LPRPDE dans lesquelles une organisation peut recueillir des renseignements personnels à l’insu d’une personne et sans son consentement. Le Parlement a adopté cette modification pour autoriser les transporteurs aériens et les agences de voyage à recueillir des renseignements personnels à l’intention des systèmes gouvernementaux pour le contrôle des passagers des lignes aériennes. Cette modification signifie que la collecte est permise à l’insu de la personne concernée et sans son consentement si elle est faite en vue :

  • d’une communication exigée par la loi;
  • d’une communication faite à une institution gouvernementale qui a demandé à obtenir le renseignement en mentionnant la source de l’autorité légitime étayant son droit à l’obtenir et le fait qu’elle soupçonne que le renseignement est afférent à la sécurité nationale, à la défense du Canada ou à la conduite des affaires internationales; ou
  • d’une communication faite, de l’initiative de l’organisation, à un organisme d’enquête, à une institution gouvernementale ou à une subdivision d’une telle institution et l’organisation soupçonne que le renseignement est afférent à la sécurité nationale, à la défense du Canada ou à la conduite des affaires internationales.

Certains pourraient exprimer des inquiétudes au sujet de la formulation générale de l’alinéa 7(1)e). En effet, toute organisation assujettie à la LPRPDE, et non pas seulement les transporteurs aériens et les agences de voyage, a maintenant le droit de recueillir des renseignements personnels à l’insu de l’intéressé et sans son consentement dans les situations décrites à l’alinéa 7(1)e). Cet alinéa ne limite pas la quantité de renseignements qui peuvent être recueillis, la durée des activités de collecte ou les sources possibles des renseignements. En somme, certains pourraient faire valoir que le pouvoir accordé par l’alinéa 7(1)e) permet à des organisations d’agir en tant qu’agents de l’État – on dit également qu’on a « délégué le secteur privé » – en l’autorisant à recueillir des renseignements à l’insu de l’intéressé pour les communiquer au gouvernement et à des organismes d’application de la loi.

Par exemple, cette modification à la LPRPDE crée la possibilité qu’une organisation assujettie à la LPRPDE recueille des renseignements personnels simplement parce qu’elle soupçonne que ces renseignements ont trait à la conduite d’affaires internationales. Il n’est pas nécessaire que l’organisation ait un objectif légitime lié à ses activités pour recueillir les renseignements. Les préoccupations relatives à l’alinéa 7(1)e) seront peut-être aggravées, car la Loi sur la protection des renseignements personnels qui concerne les institutions fédérales n’assure pas une protection adéquate aux renseignements personnels obtenus par des institutions gouvernementales auprès d’organisations qui les ont recueillis en vertu de l’alinéa 7(1)e).

Par contre, d’autres prétendront peut-être que cette modification à la LPRPDE constitue un ajout nécessaire aux outils qui permettent de résoudre de graves problèmes d’application de la loi et de sécurité nationale. Ils pourraient soutenir que dans des circonstances légitimes, des renseignements personnels doivent être recueillis et communiqués sans le consentement de l’intéressé.

Questions posées par le Commissariat

  • Convient-il que des organisations du secteur privé agissent en tant qu’agents du gouvernement pour recueillir des renseignements personnels au nom du gouvernement? Convient-il que des documents soient créés uniquement pour les fournir au gouvernement?
  • Le pouvoir prévu à l’alinéa 7(1)e) de recueillir des renseignements personnels à l’insu de l’intéressé et sans son consentement est-il plus étendu que nécessaire? Dans l’affirmative, comment cette disposition pourrait-elle être modifiée de façon à limiter le pouvoir des organisations assujetties à la LPRPDE de recueillir des renseignements?

Commentaires des répondants sur la collecte et la communication aux fins de l’application de la loi et de la sécurité nationale

  • Beaucoup de répondants se sont dits préoccupés par l’alinéa 7(1)e), disposition permettant à une organisation qui peut recueillir des renseignements de les communiquer ensuite sans que la personne n’en soit avertie ou n’y ait consenti.
  • Une association professionnelle a soutenu que, lorsqu’il y a attente raisonnable en matière de respect de la vie privée, toute communication de renseignements personnels à des organismes d’exécution de la loi doit être conforme aux normes constitutionnelles.
  • Une institution financière, un organisme qui octroie du crédit, une autre organisation et certaines organisations de défense des consommateurs se sont dits fortement opposés à ce que des organisations privées deviennent des organismes chargés de recueillir des renseignements personnels pour l’État. Une autre association professionnelle s’est fortement opposée à cette orientation stratégique du gouvernement, la qualifiant d’inappropriée et coûteuse.
  • Une organisation a soutenu que les entreprises qui doivent répondre à des demandes de renseignements personnels sans en être autorisées par les organismes d’exécution de la loi, en vertu de la LPRPDE, ne disposaient pas de directives suffisantes pour les guider; elle continue donc d’insister pour que les organismes d’exécution de la loi obtiennent un mandat.
  • Une organisation a prétendu que la LPRPDE devrait interdire aux organisations de recueillir des renseignements pour ensuite les transmettre au gouvernement.
  • Les enjeux concernant la collecte et la communication sans consentement inquiétaient particulièrement certains défenseurs des consommateurs et de la protection de la vie privée, un commentateur de la vie privée et certaines personnes.
  • Une association a soutenu que les organisations ne veulent pas être des agents de  collecte de données pour le gouvernement, mais elles reconnaissent que le gouvernement doit avoir accès à certains renseignements à des fins de sécurité nationale. Deux autres associations n’ont pas fait de commentaires sur la pertinence de ces dispositions, mais ont indiqué que leurs membres respectent les lois du Canada et celles d’autres pays où elles mènent leurs activités.

Commentaires du Commissariat sur la collecte et la communication aux fins de l’application de la loi et de la sécurité nationale

La formulation générale de l’article 7(1)e) continue de préoccuper grandement le CPVP. Elle s’applique à toute organisation assujettie à la LPRDPÉ et a l’effet indésirable de conférer au secteur privé le rôle d’agent d’application de la loi sans l’obligation publique de rendre compte. Elle ne restreint pas la quantité de renseignements qui peuvent être recueillis sans consentement et ne fixe aucune limite concernant les sources possibles d’information. 

Nous avons demandé son retrait lorsque la Loi sur la sécurité publique a été adoptée en 2002. Nous continuons à croire que cet article devrait être retiré de la Loi, ou que sa portée devrait être plus restreinte.

5. Organismes d’enquête

Contexte et questions provenant du document de discussion du Commissariat sur les organismes d’enquête

La LPRPDE permet aux organisations de communiquer un renseignement personnel à un organisme d’enquête à l’insu de l’intéressé et sans son consentement. Pour ce faire, il doit y avoir des motifs raisonnables de croire que le renseignement a trait à la violation d’un accord ou à la contravention du droit fédéral, provincial ou étranger. La LPRPDE autorise également les organismes d’enquête à communiquer un renseignement personnel à l’insu de l’intéressé et sans son consentement, lorsque la communication est raisonnable pour mener une enquête sur la violation d’un accord ou une contravention du droit fédéral ou provincial.

Ce pouvoir est prévu aux alinéas 7(3)d) et 7(3)h.2). L’alinéa 7(3)d) permet à une organisation de communiquer un renseignement à un organisme d’enquête, lorsque ce dernier mène une enquête sur une violation présumée ou une contravention présumée du droit – par exemple une escroquerie à l’encontre d’une institution financière. L’alinéa 7(3)h.2) permet à un organisme d’enquête de communiquer un renseignement sans le consentement de l’intéressé lorsque la communication est raisonnable à des fins liées à une enquête sur la violation d’un accord ou la contravention du droit fédéral ou provincial.

La Loi ne définit pas « organisme d’enquête ». Chaque demande visant à obtenir le statut d’organisme d’enquête est confirmée par règlement. Deux organismes d’enquête figurait sur la liste lorsque la Loi est entrée en vigueur : les Services Anti-Crime des Assureurs et le Bureau de prévention et d’enquête du crime bancaire. Il y a maintenant environ 75 organismes d’enquête. Plus de 20 organismes réglementaires de professionnels de la santé de l’Ontario, comme l’Ordre des infirmières et infirmiers de l’Ontario et l’Ordre des optométristes de l’Ontario, ainsi que le barreau de la plupart des provinces et des territoires, ont été désignés en tant qu’organismes d’enquête. Ils ont reçu cette désignation parce qu’ils peuvent avoir besoin de recueillir des renseignements personnels sans avoir obtenu le consentement de l’intéressé pour entreprendre une procédure disciplinaire. Certains pourraient faire valoir que tout ce processus est lourd et qu’à cause du nombre accru d’organismes d’enquête désignés, cette approche réglementaire semble ne pas être la plus efficace. Ils pourraient de plus soutenir que des organismes comme ceux qui réglementent les activités des professionnels de la santé peuvent déjà assurer une surveillance adéquate des activités de ces organismes d’enquête.

Mais les partisans du système actuel de désignation pourraient faire observer que le régime actuel de désignation des organismes d’enquête, bien que lourd, permet une plus grande transparence et beaucoup plus de surveillance qu’un régime qui, par exemple, définirait simplement « organisme d’enquête » dans la LPRPDE et permettrait essentiellement aux organisations de se désigner elles-mêmes comme tel, à moins que cette désignation ne soit contestée avec succès. De même, ils pourraient faire valoir que les évaluations des facteurs relatifs à la vie privée, soumises au cours du processus d’application, permettent d’adopter une approche plus ouverte, plus transparente et plus incisive en matière de désignation, même si le processus peut s’avérer long et ardu. Le processus permet également de rendre publique la liste des organisations désignées en tant qu’organismes d’enquête.

Une option serait de tenter de définir « organisme d’enquête » dans la LPRPDE. Seuls les organismes qui correspondent à la définition pourraient obtenir le statut spécial accordé aux organismes de ce type. Si l’on définit « organisme d’enquête » dans la LPRPDE, l’exigence visant à confirmer le statut de l’organisme par règlement pourrait être supprimée, car il y aurait alors un moyen plus direct dans la LPRPDE pour déterminer si un organisme répond aux critères d’un organisme d’enquête.

Une autre option serait d’adopter le modèle de la Personal Information Protection Act (PIPA) de la Colombie-Britannique et de l’Alberta. Ces deux lois définissent le terme « enquête » et permettent de recueillir, d’utiliser et de communiquer des renseignements sans avoir obtenu le consentement de l’intéressé pour les fins d’une enquête. Ainsi, la loi de la C.-B. définit « enquête » comme devant porter sur :

a) la violation d’un accord;
b) une contravention d’un texte législatif fédéral ou provincial;
c) une circonstance ou une conduite pouvant donner lieu à un recours ou un redressement offert aux termes d’une disposition législative, en common law ou en equity;
d) la prévention d’une fraude; ou
e) les opérations sur valeurs mobilières, définies à l’article 1 de la Securities Act, lorsque l’enquête est menée par/ou au nom d'une organisation dont la compétence est reconnue par la British Columbia Securities Commission pour mener des enquêtes sur de telles opérations,

s’il y a des motifs raisonnables de croire que la violation, la contravention, la circonstance, la conduite, la fraude ou l’opération inappropriée en question pourrait se produire ou s’être produite.

La loi de la C.-B. permet de recueillir des renseignements sans le consentement de l’intéressé  « s’il y a des motifs raisonnables de croire que la collecte effectuée avec le consentement de l’intéressé compromettrait la disponibilité ou l’exactitude des renseignements personnels, et que la collecte est raisonnable pour la tenue d’une enquête ou d’une instance judiciaire. »

Questions posées par le Commissariat

  • Les dispositions de la LPRPDE relatives aux organismes d’enquête devraient-elles être modifiées? Dans l’affirmative, comment?
  • Que ces dispositions soient modifiées ou pas, la transparence et l’obligation de rendre compte relativement aux activités des organismes d’enquête peuvent-elles être améliorées? Quelles mesures permettraient d’y parvenir?

Commentaires des répondants sur les organismes d’enquête

  • Les modalités à suivre pour désigner des organismes d’enquête en vertu de la LPRPDE n’ont fait l’objet d’aucun consensus précis.
  • Certaines associations financières, une association et une organisation ont décrit le système actuel comme étant gênant, fastidieux et onéreux.
  • La plupart des organisations ont proposé que la LPRPDE adopte la définition du terme « enquête » qu’utilise l’Alberta et utilise l’approche générale des LPRP de l’Alberta et de la Colombie-Britannique. Une association professionnelle, une organisation et une autre association ont ajouté que la LPRPDE devrait adopter l’approche expressément décrite dans la LPRP de la Colombie-Britannique, qu’aucun autre consentement ne devrait être requis à l’égard d’une tierce partie qui traite des renseignements comme un enquêteur, pour recueillir, utiliser et communiquer des renseignements personnels au nom d’une organisation.
  • Une autre association professionnelle a indiqué que tout changement apporté au processus de définition d’un organisme d’enquête en vertu de la LPRPDE ne doit pas compromettre les exigences d’autoréglementation qui régissent ses membres.
  • Une organisation financière n’était pas en faveur de changer le processus actuel parce que la Loi prévoit déjà diverses circonstances qui permettent à des organisations qui ne sont pas des organismes d’enquête de communiquer des renseignements personnels sans le consentement des parties intéressées, et que ces exceptions devraient être suffisantes pour la plupart des organisations. Une autre organisation a reconnu qu’il n’est pas nécessaire de changer le processus actuel parce qu’il assure une plus grande transparence et une meilleure surveillance que le régime qui définit l’« organisme d’enquête » en vertu de la LPRPDE.
  • Une société de crédit n’était pas en faveur des changements, mais voulait que l’on adopte un ensemble minimum de critères pour les « organismes d’enquête désignés » qui devraient être énumérés dans la Loi.
  • Une autre institution financière s’est dite en faveur des efforts déployés pour simplifier le processus, mais trouvait également que le mécanisme de réglementation actuel permet aux intervenants d’avoir un niveau de certitude et de prévisibilité lorsqu’ils transmettent des renseignements. Cette institution s’est dite en faveur d’inclure une définition du terme « enquête » qui inclurait les activités de « prévention de la fraude ».
  • Un organisme de défense des consommateurs s’est dit en faveur de la transparence et de la responsabilisation qu’offre l’approche actuelle par rapport aux modèles de l’Alberta et de la Colombie-Britannique qui, à son avis, établissent un seuil moins élevé pour la protection des renseignements personnels.
  • Un commentateur de la protection de la vie privée a dit qu’il ne voyait pas de problèmes concernant le processus actuel qui permet de désigner les organismes d’enquête, et que ce processus est transparent et rigoureux.
  • Une autre organisation de protection des consommateurs a soutenu que le processus actuel pourrait être renforcé en faisant en sorte que les critères de contrôle des organismes soient ouverts et soumis à l’examen du public, et qu’il devrait y avoir des mécanismes en place pour effectuer des examens périodiques des désignations. De même, cette organisation a soutenu que la sanction ultime dans le cas d’une plainte fondée contre un organisme d’enquête devrait être la perte, temporaire ou permanente, de ce titre.
  • Une personne a indiqué que le fait de permettre à des organismes de s’autodésigner « organismes d’enquête » n’est pas une solution de rechange satisfaisante à l’approche actuelle, mais que les organismes d’enquête devraient plutôt être assujettis directement à la Loi, tout en donnant à la commissaire la possibilité de faire des vérifications de ces organismes de façon régulière.

Commentaire du Commissariat sur les organismes d’enquête

Le CPVP croit que le système actuel de désignation des organismes d’enquête, bien que lourd, fonctionne adéquatement et n’a actuellement pas besoin d’être changé.

6. Tentative de collecte sans le consentement de l’intéressé

Contexte et question provenant du document de discussion du Commissariat sur la tentative de collecte sans le consentement de l’intéressé

La LPRPDE s’applique à la collecte, à l’utilisation et à la communication de renseignements personnels. Mais il semble qu’il y ait une lacune dans la Loi au sujet des tentatives de collecte de renseignements personnels sans le consentement de l’intéressé. Dans un arrêt de 2006, la Cour d’appel fédéraleNote de bas de page 4 a déclaré que la LPRPDE n’interdit pas expressément les tentatives de collecte de renseignements personnels. La LPRPDE ne s’applique pas, par exemple, à la tentative de recueillir des renseignements par vidéosurveillance ou par l’écoute électronique au moyen d’un équipement qui ne fonctionne pas ou à la tentative non réussie d’un employé de banque d’obtenir des renseignements d’un client, lorsque aucune loi ne donne à la banque le pouvoir de les obtenir. En se basant sur ce raisonnement, la LPRPDE ne s’appliquerait probablement pas aux tentatives d’utiliser ou de communiquer des renseignements, lorsque ces tentatives sont infructueuses.

Même si, par exemple, la tentative de collecte de renseignements personnels (au moyen d’une surveillance secrète ou de pratiques trompeuses) est infructueuse, il devrait y avoir, aux termes d’une loi sur la protection des renseignements personnels, des conséquences pour une organisation qui fait une telle tentative.

Dans le droit canadien de la protection de la vie privée, il y a un précédent relatif à une tentative de collecte. Le paragraphe 59(1) de la Personal Information Protection Act (PIPA) de l’Alberta prévoit que la tentative délibérée d’obtenir des renseignements personnels ou d’avoir accès à des renseignements personnels, contrairement à la Loi, constitue une infraction.

Certains diront que l’inclusion de la tentative de collecte dans la LPRPDE pourrait donner à un plaignant le droit de demander à la Cour fédérale d’instruire sa plainte, de rendre une ordonnance exécutoire et même un jugement en dommages-intérêts. L’article 16 permet à la Cour d’accorder toute une gamme de réparations, notamment d’ordonner à une organisation de changer ses pratiques et de publier un avis sur toute mesure prise ou proposée pour corriger ses pratiques. La Cour peut également accorder des dommages-intérêts à un plaignant, notamment pour humiliation subie.

Question posée par le Commissariat 

  • La LPRPDE devrait-elle être modifiée de façon à réglementer les tentatives délibérées de recueillir des renseignements personnels sans le consentement de l’intéressé?

Commentaires des répondants sur la tentative de collecte sans le consentement de l’intéressé

  • Aucun consensus précis ne s’est dégagé à ce sujet.
  • Une association a soutenu que la LPRPDE devrait s’appliquer seulement à ce qui s’est produit, et non à ce qui pourrait s’être produit, même si la tentative de collecte, bien que ratée, a été effectuée délibérément. Une organisation financière a soutenu que la LPRPDE devrait s’appliquer aux tentatives de collecte lorsque la tentative se solde par une perte de la part du propriétaire des renseignements personnels ou que cette action se fait à son détriment.
  • Une autre association financière ne voyait pas la nécessité d’apporter quelque changement que ce soit dans ce domaine et a fait remarquer qu’on devrait reconnaître qu’il existe de nombreuses lois stipulant que l’organisation doit obtenir des renseignements pour qu’elle puisse connaître le client qui ouvre un compte, et les organisations ne devraient pas être pénalisées parce qu’elles respectent les lignes directrices d’un organisme de réglementation ou des pratiques exemplaires recommandées.
  • Une autre organisation financière, une organisation et une association ont soutenu qu’il était important d’aborder la question des tentatives de collecte, mais que la LPRPDE n’était pas le bon outil pour ce faire. Elles ont recommandé de modifier le Code criminel ou d’autres lois criminelles pour dissuader les gens de faire des vols d’identité, d’aller à la « pêche aux données personnelles » et de mener des activités semblables, et de les punir.
  • Une organisation et une société d’octroi de crédit ont recommandé que la LPRPDE soit modifiée pour réglementer toute tentative délibérée de recueillir des renseignements personnels sans le consentement de l’intéressé.
  • Des organisations de défense des consommateurs et de la protection de la vie privée, un commentateur sur le même sujet et des personnes ont soutenu que les tentatives de collecte signifient que l’organisation était sur le point de contrevenir à la LPRPDE, ou cherchait à le faire, de sorte que la tentative de collecte doit être considérée comme une infraction.

Commentaire du Commissariat sur la tentative de collecte sans le consentement de l’intéressé

La question de la tentative de collecte reste une préoccupation pour le CPVP, et nous soutiendrions des mesures visant à combler la lacune dans la LPRPÉ concernant la tentative de collecte « volontaire ».

7. Exceptions aux exigences en matière de consentement pour la collecte de renseignements à des fins personnelles, familiales et d’intérêt public

Contexte et question provenant du document de discussion du Commissariat sur les exceptions aux exigences en matière de consentement pour la collecte de renseignements à des fins personnelles, familiales et d’intérêt public

Ce principe du consentement est énoncé à l’article 4.3 de l’annexe 1 de la LPRPDE. Selon l’article 4.3, « toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. » L’article 7 de la LPRPDE reconnaît le principe du consentement de l’article 4.3, mais énumère de nombreuses situations particulières dans lesquelles des renseignements peuvent être recueillis, utilisés ou communiqués à l’insu de l’intéressé et sans son consentement. Par exemple, l’alinéa 7(3)e) prévoit qu’il est permis de communiquer un renseignement à l’insu de l’intéressé et sans son consentement « à toute personne qui a besoin du renseignement en raison d’une situation d’urgence mettant en danger la vie, la santé ou la sécurité de toute personne et, dans le cas où la personne visée par le renseignement est vivante, l’organisation en informe par écrit et sans délai cette dernière ».

Certaines situations ne sont pas prévues dans cette disposition ni par aucune autre, comme la communication de renseignements à la famille d’une personne blessée, malade ou décédée ou celle faite dans l’intérêt public après une catastrophe majeure.

Question posée par le Commissariat

  • Y a-t-il des circonstances autres que celles énumérées à l’article 7 de la LPRPDE où la collecte, l’utilisation ou la communication à l’insu de l’intéressé et sans son consentement devrait être permise dans l’intérêt légitime d’une personne, de sa famille ou du grand public? Dans l’affirmative, quelles sont ces circonstances?

Commentaires des répondants sur les exceptions aux exigences en matière de consentement pour la collecte de renseignements à des fins personnelles, familiales et d’intérêt public

  • Dans l’ensemble, on a convenu d’apporter certains changements dans ce domaine.
  • Une organisation financière voulait qu’une exception soit adoptée pour les catastrophes naturelles et une organisation voulait être en mesure de communiquer des renseignements pour trouver les propriétaires de biens non réclamés. Ces deux organisations voulaient avoir la possibilité de communiquer des renseignements si elles soupçonnaient une exploitation financière, touchant notamment les personnes âgées.
  • Une autre organisation financière et une société de crédit ont soutenu qu’une exception spécifique à l’obligation d’obtenir le consentement pourrait être nécessaire pour permettre la communication de renseignements sur l’identité de criminels reconnus coupables ainsi que la communication du nom et de l’âge des victimes de catastrophes majeures. De même, il a été proposé qu’il soit permis de transmettre des renseignements à la famille d’une personne blessée ou décédée.
  • Une association a proposé que la portée du consentement implicite dans la LPRPDE devrait être étendue pour inclure les bénéficiaires – les personnes qui peuvent réclamer le bénéfice d’un produit ou d’un service à l’égard duquel une autre personne a fourni les premiers renseignements concernant une personne.
  • Une association professionnelle a soutenu que la LPRPDE devrait adopter l’approche dichotomique de la LPRP de la Colombie-Britannique. De même, l’association professionnelle a recommandé que la LPRPDE aborde la question du consentement obtenu indirectement d’une personne par l’entremise d’une autre. Par exemple, une organisation devrait avoir l’assurance – ou les circonstances devraient faire en sorte – que la personne a le consentement, ou que la personne consente à ce que des renseignements personnels soient communiqués si elle est au courant des circonstances, par exemple faire un don ou un cadeau.
  • Une organisation de défense des consommateurs était aussi généralement en faveur d’une nouvelle exception plus circonscrite visant à permettre la communication de renseignements personnels minimaux, au moment d’une hospitalisation soudaine, à un membre de la famille immédiate et peut-être, dans certains cas, à d’autres personnes. Cette organisation de défense des consommateurs a également reconnu que la LPRPDE devrait contenir une disposition spécifique concernant la collecte, l’utilisation et la communication de renseignements personnels au grand public en cas de catastrophe majeure.
  • Un commentateur de la protection de la vie privée a indiqué que l’alinéa 7(3)e), qui exige qu’il soit question de situation « d’urgence », impose une norme plus élevée que les modèles de la Colombie-Britannique et de l’Alberta concernant la communication des renseignements personnels. Ce commentateur s’est dit d’avis que la PIPA de l’Alberta comporte deux autres exceptions au consentement qu’on devrait peut-être envisager d’inclure dans la LPRPDE : communication à un conjoint survivant si la communication est raisonnable et si l’information est nécessaire pour déterminer l’admissibilité de la personne à recevoir un honneur, un prix ou un avantage semblable. Il a noté que la LPRP de la Colombie-Britannique comporte également une autre exception à la communication qui pourrait être prise en considération : lorsque des renseignements personnels sont recueillis par voie d’observation à un spectacle, une rencontre sportive ou un événement semblable auquel la personne participe volontairement et qui est ouvert au public. Le commentateur a également noté que la LPRPDE devrait inclure une restriction quant à la quantité de renseignements personnels qui peuvent être communiqués, comme le prévoient les dispositions de la PIPA de l’Alberta.

Commentaire du Commissariat sur les exceptions aux exigences en matière de consentement pour la collecte de renseignements à des fins personnelles, familiales et d’intérêt public

Le CPVP croit que certaines de ces questions soulèvent des préoccupations légitimes, et que le Comité pourrait envisager quelques exceptions très limitées dans ce domaine, telles que les communications avec la famille d’une personne blessée, malade ou décédée et un avis général auprès d’une communauté dans un cas d’urgence.

8. Consentement général

Contexte et question provenant du document de discussion du Commissariat sur le consentement général

Ainsi, tel qu'indiqué plus haut, la LPRPDE est une loi fondée sur le consentement. Elle requiert le consentement de l’intéressé pour recueillir, utiliser et communiquer des renseignements personnels au cours d’une activité commerciale. L’opinion couramment admise est que tant que la formulation de l’article sur le consentement est suffisamment générale, sur le plan technique et légal, elle permettra toute une gamme de futures collectes, utilisations et communications aux termes de l’accord conclu entre le client et l’organisation. D’autres diront cependant qu’un consentement vraiment libre et éclairé représente davantage que cette mesure; il ne se limite pas à une autorisation générale donnée en une seule occasion dans un formulaire de consentement. Ils pourraient affirmer qu’un consentement éclairé est un processus dynamique qui nécessite que les personnes soient tenues activement au courant – de façon continue, en utilisant un langage compréhensible et de manière transparente – de ce qu’une organisation a l’intention de faire avec leurs renseignements personnels et des fins auxquelles ceux-ci sont destinés. Ces personnes pourraient considérer le consentement comme une occasion de recevoir des explications additionnelles et de poser des questions ou de contester des hypothèses – particulièrement dans les relations où le pouvoir de négociation est inégal.

Par ailleurs, d’autres pourraient dire que les consommateurs sont généralement libres de déterminer la mesure dans laquelle ils consentent à ce que leurs renseignements personnels soient recueillis, utilisés et communiqués et qu’aucune modification de la LPRPDE n’est requise pour rendre le consentement plus valable. Ils pourraient aussi affirmer que de nombreux consommateurs ne veulent pas qu’on leur demande leur consentement pour chaque type particulier de collecte, d’utilisation et de communication de leurs renseignements personnels et qu’ils pourraient être ennuyés si on leur demandait trop souvent de faire connaître leur choix ou de remplir un autre formulaire.

Question posée par le Commissariat

  • La LPRPDE devrait-elle être modifiée de façon à traiter du « consentement général »? Dans l’affirmative, quelle devrait être la nature de ces modifications?

Commentaires des répondants sur le consentement général

  • La plupart des organisations ne voyaient pas la nécessité de modifier la LPRPDE pour aborder la question du consentement général.
  • Une organisation a indiqué que le consentement ponctuel est suffisant lorsque le service est réglementé et que le droit de retirer son consentement est clair.
  • Une organisation de défense des consommateurs a souligné que le problème du « consentement général » peut et devrait être abordé par la commissaire et en référence aux interprétations qu’ont faites les tribunaux de la LPRPDE. L’organisation a précisé que la LPRPDE n’établit pas d’échéancier concernant la validité du consentement, mais que cette question devrait être abordée par voie d’une exigence générale sur le caractère raisonnable, plutôt qu’en fonction d’un échéancier bien précis.
  • Une organisation de défense des consommateurs croyait que seule une politique claire et complète sur la protection des renseignements personnels, ou un énoncé à cet égard, devrait permettre de respecter le critère du consentement éclairé.
  • Un commentateur de la protection de la vie privée et une personne se sont dits en faveur de modifier le principe no 3 de l’annexe qui traite du consentement. Le commentateur a indiqué que, plutôt que de modifier l’annexe, la commissaire devrait publier plus de lignes directrices sur les activités permanentes de marketing et les relations avec la clientèle.
  • Une association professionnelle a soutenu que le consentement général est un problème et qu’elle aimerait que les consommateurs se voient offrir trois choix : a) retirer leur consentement; b) consentir à la collecte de renseignements à une fin précise et c) donner un consentement vaste ou général.
  • Certaines personnes ont soutenu que chaque demande de renseignements personnels devrait être jugée selon leur bien-fondé, et justifiée.

Commentaire du Commissariat sur le consentement général

Le CPVP considère qu’il s’agit d’une question qui nécessite davantage d’éléments d’orientation et ne formule pas de recommandation précise quant à une modification dans ce domaine.

9. Communication de renseignements personnels avant le transfert d’entreprises

Contexte et questions provenant du document de discussion du Commissariat sur la communication de renseignements personnels avant le transfert d’entreprises

Aucune disposition de la LPRPDE ne permet à une organisation de communiquer des renseignements personnels à des acquéreurs éventuels ou à des partenaires commerciaux sans avoir obtenu le consentement de l’intéressé. Ces derniers peuvent avoir besoin de prendre connaissance de ces renseignements (il peut s’agir de listes de clients) pour évaluer avec une « diligence raisonnable » s’ils doivent procéder à l’opération – il peut s’agir d’une fusion, d’une acquisition ou de la vente d’une entreprise. Ces opérations peuvent être d’un niveau relativement modestes, comme la vente d’un cabinet en denturologie en incluant les listes de patients, jusqu’à de vastes prises de contrôle d’entreprise.

D’autres lois, comme la Loi sur la protection des renseignements personnels sur la santé (LPRPS) de l’Ontario et la Personal Information Protection Act (PIPA) de l’Alberta et de la Colombie-Britannique permettent la communication sans avoir obtenu le consentement de l’intéressé, sous réserve de la conclusion d’un accord rigoureux de confidentialité. Certains pourraient faire valoir qu’il convient d’inclure une disposition similaire dans la LPRPDE. Ils pourraient dire que cela faciliterait les opérations commerciales et protégerait les secrets commerciaux dans un environnement très concurrentiel.

Lors d’une vente ou d’une fusion, certaines personnes pourraient ne pas vouloir que leurs renseignements personnels soient transférés. Certains feront valoir que les clients d'un commerce devraient avoir l’occasion de s’opposer au transfert de leurs renseignements personnels, lorsque c’est possible. Mais dans certains cas, les exigences réglementaires obligent à conserver les renseignements personnels pendant un certain temps. Les personnes dont les renseignements personnels sont en jeu pourraient être préalablement mises au courant au moyen d’un avis.

Questions posées par le Commissariat

  • La LPRPDE devrait-elle permettre à une organisation qui possède des renseignements personnels de les communiquer à un acquéreur ou à un partenaire commercial éventuel? Dans l’affirmative, à quelles conditions?
  • La LPRPDE devrait-elle être modifiée de façon à permettre le transfert de renseignements personnels d’une organisation à un acquéreur ou à un partenaire commercial éventuel? Dans l’affirmative, quelles restrictions devraient s’appliquer?

Commentaires des répondants sur la communication de renseignements personnels avant le transfert d’entreprises

  • La plupart des organisations ont dit croire qu’une exception à l’exigence d’obtenir le consentement pour la communication de renseignements personnels devrait s’appliquer lorsqu’il y a vente ou transfert d’une entreprise, et certains ont indiqué que la LPRP de l’Alberta offrait un bon modèle à cet égard.
  • Une association a soutenu que la LPRPDE devrait permettre à une organisation qui possède des renseignements sur une personne de les communiquer à un acheteur ou à un associé éventuel en respectant les mêmes conditions que celles qui s’appliquent au transfert de renseignements à un fournisseur tiers à qui on a donné un contrat d’impartition.
  • Une organisation a indiqué qu’aucune exception au consentement n’est nécessaire car, en général, il est inutile qu’une organisation transmette des renseignements personnels à un acheteur ou à un partenaire commercial éventuel, car tous les renseignements qui doivent être transmis peuvent l’être en bloc de façon à ne pas transmettre de renseignements personnels.
  • Des groupes de défense des consommateurs, des particuliers, deux organisations financières et une association ont suggéré que la LPRPDE devrait permettre la communication de renseignements personnels à un associé ou acheteur éventuel selon de strictes conditions de confidentialité, et que l’information devrait être détruite ou retournée si la transaction échoue.
  • Une personne a soutenu qu’aucune preuve n’a montré que la LPRPDE a nui à des fusions ou à des acquisitions, si bien qu’elle ne devrait pas être modifiée pour permettre la transmission, avec diligence raisonnable, de renseignements personnels sans le consentement de l’intéressé.
  • En ce qui concerne le fait de permettre le transfert de renseignements personnels d’une organisation à l’acheteur d’une entreprise ou à un associé, une organisation de défense des consommateurs a soutenu que a) toutes les personnes dont les renseignements personnels qui les concernent sont transférés devraient en être avisées dans les délais les plus raisonnables possible après le transfert, b) que le nouveau propriétaire ou l’associé respecte les politiques en vigueur de l’organisation concernant la protection des données et c) qu’aucun changement ne doit être apporté à la politique sur la protection de la vie privée dans les 60 jours suivant le transfert.
  • Un commentateur de la protection de la vie privée et un organisme de défense des consommateurs ont soutenu que la LPRPDE devrait inclure une obligation d’aviser les personnes, comme le prévoit la norme de la PIPA de la Colombie-Britannique, afin de permettre aux personnes de prendre les mesures nécessaires pour restreindre l’utilisation future des renseignements qui les concernent lorsqu’elles souhaitent ne pas traiter avec l’acquéreur.
  • Une association a soutenu que les consommateurs devraient être avisés à l’avance que les renseignements personnels qui les concernent seront transférés à un acheteur ou à un bénéficiaire du transfert. Cette association commerciale a soutenu en outre que la LPRPDE devrait préciser que, dans le cas d’opérations commerciales, le bénéficiaire du transfert devra respecter toutes les exigences réglementaires établies dans la LPRPDE, y compris faire respecter les droits d’accès.
  • Une personne a soutenu que si des personnes ont le droit de garder le contrôle de la communication des renseignements personnels qui les concernent à des fins de diligence raisonnable, elles devraient avoir l’autorisation de refuser le transfert permanent de ces renseignements personnels. La personne a fait remarquer que des personnes peuvent refuser, pour des raisons politiques, religieuses ou morales, d’adhérer à la nouvelle organisation et, pour ces motifs, peuvent vouloir rompre leurs liens avec la nouvelle organisation.

Commentaire du Commissariat sur la communication de renseignements personnels avant le transfert d’entreprises

Le CPVP estime qu’il s’agit d’un domaine où le Comité voudra peut-être apporter des modifications en ce qui a trait à la LPRPDE en adoptant l’approche qui sous-tend les lois de « deuxième génération » en Alberta et en C.-B.

10. Produit du travail

Contexte et questions provenant du document de discussion du Commissariat sur le produit du travail

La LPRPDE n’utilise pas ni ne définit le terme « produit du travail ». D’autre part, la Personal Information Protection Act (PIPA) de la Colombie-Britannique définit en partie le « produit du travail » comme « des renseignements préparés ou recueillis par une personne ou un groupe de personnes dans le cadre de leurs responsabilités ou de leurs activités relativement à l’emploi de la personne ou du groupe ». Certains pourraient soutenir qu’une définition, comme celle figurant dans la loi de la C.-B., rendrait plus clair le concept de produit du travail et faciliterait l’inclusion de dispositions dans la LPRPDE pour appliquer des règles distinctes au produit du travail.

L’inclusion d’une telle définition pourrait aussi préciser la distinction entre les termes « produit du travail », « renseignement commercial » et « renseignement relatif à la personne-ressource » et il serait alors plus facile de déterminer les différentes façons de les traiter selon la LPRPDE.

Le terme « produit du travail » pourrait être défini dans la LPRPDE selon trois approches :

  • En excluant le « produit du travail » de la définition de « renseignement personnel » dans la LPRPDE. La LPRPDE ne s’appliquerait donc pas du tout à ces renseignements. Un exemple de cette approche se trouve dans la loi de la C.-B., décrite ci-dessus;
  • En considérant le produit du travail comme un renseignement personnel (c’est-à-dire inclure produit du travail dans la définition de renseignement personnel), tout en précisant que les dispositions de la LPRPDE sur la protection des données ne s’appliquent pas aux renseignements de ce type. C’est l’approche adoptée dans la LPRPDE, au sujet des renseignements personnels recueillis, utilisés ou communiqués, par exemple, à des fins journalistiques, artistiques ou littéraires;
  • En incluant le produit du travail dans la définition de renseignement personnel, mais en précisant que les exigences en matière de consentement prévues à l’article 7 de la LPRPDE ne n’appliquent pas au produit du travail. D’autres dispositions de la LPRPDE s’appliqueraient au produit du travail, par exemple, l’article 3 sur l’« objet », même si les dispositions sur le consentement ne s’appliqueraient pas. Le critère de l’article 3 qui établit un équilibre entre le droit au respect de la vie privée des particuliers et le besoin des organisations d’obtenir des renseignements sur le produit du travail continuerait à s’appliquer à la collecte, à l’utilisation ou à la communication de ces renseignements.

Certains diront que l’exclusion du produit du travail de la définition de « renseignement personnel » ou une prescription selon laquelle les dispositions de la LPRPDE sur la protection des données ne s’appliquent pas (ce sont les deux premières approches décrites ci-dessus) pourraient signifier que la LPRPDE ne peut s’appliquer pour contrôler et contester certaines formes de surveillance. Par exemple, la LPRPDE pourrait ne pas s’appliquer à la surveillance des activités des travailleurs dans leur lieu de travail au moyen de la vidéosurveillance, de l’écoute électronique des conversations ou de la reconnaissance de la frappe au clavier, si les documents relatifs à la surveillance sont considérés comme le produit du travail.

La Loi sur la protection des renseignements personnels dans le secteur privé du Québec montre comment des renseignements sur le produit du travail peuvent faire l’objet de dispositions adaptées à la nature des renseignements; en l’occurrence, il s’agit de renseignements personnels sur des professionnels au sujet de leurs activités professionnelles. En 2001, une disposition a été ajoutée à cette loi pour accorder une plus grande marge de manœuvre lorsqu’il s’agit d’autoriser l’accès à des renseignements personnels sur des professionnels au sujet de leurs activités professionnelles. Selon certains, la loi du Québec considère que les renseignements relatifs au produit du travail occupent une situation intermédiaire entre les renseignements personnels et les renseignements non personnels. Si une personne formule une demande par écrit, la Commission d’accès à l’information peut l’autoriser à avoir accès à des renseignements personnels sur des professionnels au sujet de leurs activités professionnelles, sans que les professionnels concernés n’aient donné leur consentement, si les conditions suivantes sont réunies :

  • une consultation a été préalablement tenue avec l’ordre professionnel concerné;
  • la communication protège le respect du secret professionnel;
  • les professionnels concernés sont avisés périodiquement des usages projetés et des fins recherchées;
  • le professionnel a l’occasion de refuser;
  • des mesures de sécurité assurent le caractère confidentiel des renseignements personnels.

Les autorisations doivent être révisées tous les ans et la liste des personnes autorisées est publiée.

Questions posées par le Commissariat

  • La notion de « produit du travail » devrait-elle être définie dans la LPRPDE?
  • Dans l’affirmative, comment la LPRPDE devrait-elle traiter du produit du travail?

Commentaires des répondants sur le produit du travail

  • Aucun consensus ne s’est dégagé quant à la façon de traiter l’information sur le produit du travail.
  • Quatre associations, trois organisations et un commentateur de la protection de la vie privée ont proposé que la définition de « produit du travail » s’inspire de celle qui figure dans la Personal Information Protection Act (PIPA) de la Colombie-Britannique. Plusieurs associations, une des organisations et le commentateur ont expliqué que le « produit du travail » devrait alors être exclu de la définition des « renseignements personnels ».
  • Le commentateur de la protection de la vie privée constate que, dans le modèle de la Colombie-Britannique, l’information sur le produit du travail correspond uniquement à de l’information qui a été concrètement préparée ou recueillie, c’est-à-dire un produit connexe. Par conséquent, la vidéosurveillance ou d'autres moyens de surveillance en milieu de travail sont exclus de la définition puisque de telles activités ne constituent pas un produit du travail, mais seulement une évaluation du déroulement du travail.
  • Une personne s’est dite favorable à l’inclusion du produit du travail dans la définition des « renseignements personnels », mais à la condition que les dispositions liées au consentement ne s’appliquent pas à ces renseignements.
  • Une association a affirmé qu’elle n’appuyait pas l’inclusion du « produit du travail » dans la définition des renseignements personnels et qu’elle l’exclurait des dispositions sur la protection des données ou des exigences en matière de consentement prévues dans la LPRPDE, puisque les organisations pourraient difficilement l’appliquer.
  • Deux autres associations ont fait remarquer que de nombreuses entreprises ont interprété le produit du travail comme étant une propriété exclusive et qu’elles considèrent que seuls les renseignements personnels contenus dans le produit du travail sont visés par la LPRPDE. Ces associations ont soutenu que définir le produit du travail comme un renseignement personnel, conférerait à la LPRPDE un certain niveau de contrôle sur les activités en milieu de travail qui n’avait pas été envisagé ou prévu par les rédacteurs de la Loi.
  • Une organisation a soutenu que la définition de « produit du travail » dépend largement des circonstances et que, par conséquent, la LPRPDE ne devrait pas tenter de le définir. L’application de la LPRPDE au produit du travail devrait plutôt être évaluée au cas par cas.
  • Une association a déclaré que, n’ayant pas eu de problèmes qui amèneraient à envisager la nécessité de définir le produit du travail, ses membres considèrent l’interprétation générale comme suffisante. Une autre association et une organisation ont souligné que la question du produit du travail a déjà fait l’objet de discussions et de prévisions dans le cadre de conclusions d’enquête, et qu’il n’est pas nécessaire de modifier la Loi.
  • Une personne a déclaré que la protection de la vie privée en milieu de travail est déjà un concept vague, puisque les employeurs revendiquent le droit de propriété sur toute information produite par les travailleurs et qu’ils refusent de reconnaître tout fondement juridique à certaines mesures de protection de la vie privée au travail. Cette personne a aussi fait valoir que l’introduction de la notion de produit du travail dans la LPRPDE servirait uniquement à réduire davantage la protection de la vie privée en milieu de travail dont jouissent les employés réglementés par une loi fédérale et, par extension, les employés provinciaux non protégés par une loi. Selon cette personne, la notion de produit du travail dans la PIPA est trop vague, et les renseignements personnels sont mieux protégés par la distinction actuelle de l’information produite en milieu de travail en deux catégories : les renseignements personnels et les renseignements commerciaux. Cette personne recommande donc que le produit du travail ne soit pas défini dans la LPRPDE. Toutefois,s’il devait l’être, la meilleure approche serait de demander aux employeurs de traiter la question d’une manière raisonnable, qui protège la dignité des employés.
  • Aucun défenseur de la vie privée ou des droits des consommateurs n’a pris position sur cet enjeu.
  • En ce qui concerne les renseignements professionnels, une association professionnelle a déclaré que la définition des renseignements personnels devrait exclure les renseignements liés aux activités d’une entreprise ou d'une profession.
  • Une autre association professionnelle a indiqué que certaines personnes, dont ses membres, ont légitimement intérêt à protéger la confidentialité des données sur le rendement qui pourraient être considérées comme de l’information sur le produit du travail. Un commentateur de la protection de la vie privée a affirmé que les professionnels devraient se préoccuper de la façon dont l’information sur leurs activités est communiquée. Cette association professionnelle et le commentateur sur la protection de la vie privée ont tous les deux donné leur appui au système législatif en vigueur au Québec, qui accorde aux personnes le droit de refuser la collecte, l’utilisation et la communication de l’information professionnelle.

Commentaires du Commissariat sur le produit du travail

Le CPVP estime qu’il s’agit d’une question très complexe. Jusqu’ici, nous avons abordé la question en nous demandant si l’information en question porte sur la personne. Si la réponse est affirmative, alors cette information est protégée par la Loi. Nous reconnaissons qu’une personne en sa qualité d’employé ou de professionnel, peut produire de l’information qui ne le concerne pas.

Le fait d’exclure le produit du travail pourrait affaiblir la protection prévue par la Loi, dans la mesure où cela pourrait conduire à une surveillance exagérée du lieu de travail et à d’autres abus. Nous croyons que les questions liées au produit du travail devraient continuer à être traitées au cas par cas.

11. Obligation d’aviser

Contexte et questions provenant du document de discussion du Commissariat sur l’obligation d’aviser

Un grand nombre de vols d’identité pourraient être commis électroniquement si des organisations omettent d’assurer la sécurité adéquate des renseignements personnels qu’elles ont recueillis. Selon certains, les organisations victimes d’infractions à la sécurité (de « communications involontaires ») ou du vol qualifié de leurs fonds de renseignements personnels devraient être tenues de réduire les risques d’usurpation de l’identité des intéressés. Après une infraction à la sécurité, ce risque pourrait être réduit par l’envoi d’un avis aux personnes dont les renseignements sont en jeu, aux agences d’évaluation du crédit, aux organismes gouvernementaux appropriés (par exemple, à ceux qui gèrent des prestations telle l’aide sociale) et à d’autres entités commerciales, comme des banques.

À la fin de 2005, environ la moitié des États américains avaient adopté une loi qui exigeait que les clients soient avisés lorsque leurs renseignements personnels étaient compromis. Également, le gouvernement fédéral des États-Unis a présenté plusieurs projets de loi, mais aucun d’eux n’a encore été adopté à ce sujet. Habituellement, ces lois prévoient l’imposition d’amendes élevées à ceux qui omettent d’envoyer un avis. Par exemple, dans l’État de New York, la loi prévoit l’imposition de pénalités dont le montant peut s’élever à 150 000 $ à ceux qui se soustraient sciemment ou imprudemment aux exigences relatives aux déclarations.

Parmi les lois canadiennes sur la protection des données, la Loi sur la protection des renseignements personnels sur la santé de l’Ontario est la seule qui exige d’envoyer un avis après une infraction à la sécurité. Cette loi requiert que les dépositaires de l’information sur la santé avertissent les intéressés le plus tôt possible, lorsque les renseignements personnels sur leur santé sont volés ou perdus ou que des personnes non autorisées y ont eu accès.

Certains pourraient demander que la LPRPDE prévoit l’obligation d’aviser les personnes concernées par une infraction à la sécurité. De même, le paragraphe 7(3) de la LPRPDE, qui porte sur la communication à l’insu de l’intéressé et sans son consentement, pourrait être modifié pour qu’une organisation victime d’une infraction à la sécurité soit tenue d’aviser les agences d’évaluation du crédit et d’autres organisations ou organismes compétents de cette infraction. Après avoir été alertées, les agences d’évaluation du crédit pourraient verser une « alerte à la fraude » au dossier des personnes concernées. De plus, la LPRPDE pourrait être modifiée pour exiger que la commissaire à la protection de la vie privée soit avisée de l’infraction.

Certains pourraient soutenir qu’une disposition législative exigeant qu’une organisation avise les personnes de la perpétration d’infractions à la sécurité obligerait les organisations à prendre la sécurité plus au sérieux, pour éviter que leurs failles dans la sécurité soient rendues publiques. Une telle disposition pourrait également aider à réduire les vols d’identité et les autres utilisations frauduleuses de renseignements personnels. Par ailleurs, les opposants à l’obligation législative de communiquer les failles pourraient faire valoir que l’envoi d’avis coûterait cher aux organisations et que si les consommateurs recevaient trop d’avis, ils pourraient ne plus en tenir compte – particulièrement si l’envoi d’avis est obligatoire pour tout type d’infraction, plutôt qu’uniquement pour les infractions comportant un risque de fraude. Si des dispositions législatives sur l’obligation de communiquer les failles étaient adoptées, ces opposants demanderaient peut-être qu’elles soient assorties d’une évaluation du risque ou de la gravité du préjudice potentiel; pour éviter de banaliser l’effet des avis au fil du temps (des avis majeurs pourraient passer inaperçus parmi une foule d’autres qui ne sont peut-être pas nécessaires ou même pertinents). Par exemple, l’envoi d’un avis pourrait n’être requis que lorsque la perte ou le vol crée une probabilité raisonnable d’une utilisation des renseignements personnels au détriment de la personne concernée, ou lorsque la perte ou le vol porte sur un grand nombre de documents. De plus, certains pourraient faire valoir que l’envoi d’avis dans diverses situations devrait être assorti de conditions pour éviter de causer des préjudices additionnels aux personnes concernées. Ils soutiendront peut-être que pour que les dispositions législatives sur l’obligation de communiquer les failles soient vraiment efficaces, les organisations devraient prendre des mesures après l’envoi d’un avis pour minimiser le risque d’infraction à la sécurité.

Questions posées par le Commissariat

  • Les organisations qui perdent des renseignements personnels ou se les font voler devraient-elles être tenues de signaler la perte ou le vol? Dans l’affirmative, à quelles conditions et à qui devraient-elles le signaler?
  • Si elles ont l’obligation de le signaler, quel type de mécanisme d’exécution devrait être mis en place, s’il en est, pour assurer que les organisations respectent cette obligation?

Commentaires des répondants sur l’obligation d’aviser

  • Il n’y a pas eu de consensus sur cet enjeu.
  • Deux organismes de protection des consommateurs et une personne ont soutenu que la LPRPDE devrait exiger des organisations qu’elles signalent la perte ou le vol de renseignements personnels recueillis ou stockés dans tous les cas – ou dans les cas suspects – d’infraction à la sécurité, même si la menace d’utilisation malveillante, d’abus ou de fraude est minime. Un de ces organismes ainsi qu’une association professionnelle ont suggéré de s'inspirer de la Security Breach Information Act de la Californie. Toutefois, un commentateur de la protection de la vie privée, qui avait mentionné le modèle californien, ne le recommandait pas parce que, selon lui, il ne s'appliquait pas à certains renseignements personnels délicats.
  • Plusieurs organisations financières, deux associations, deux autres organisations, un organisme de protection des consommateurs, une personne et un commentateur de la protection de la vie privée ont dit appuyer l’obligation d’aviser lorsque la perte ou le vol peut entraîner un risque de fraude ou de préjudice.
  • Une association de gestion de l’information a fait valoir la nécessité d’un devoir légal d’aviser rapidement les personnes intéressées et la commissaire à la protection de la vie privée de la perte ou du vol de renseignements personnels. Cette association a également fait remarquer que, en cas de risque de fraude, les organisations devraient aussi aviser les tierces parties concernées, comme les agences d'évaluation du crédit.
  • Une personne a déclaré que l’approche fondée sur l’évaluation du risque modifierait de manière inappropriée l’importance liée au droit des personnes de contrôler les renseignements qui les concernent, faisant du traitement des renseignements personnels une autre activité simplement opérationnelle. Cette personne a soutenu que la LPRPDE devrait plutôt chercher à reconnaître le fait que les organisations ont, d'abord et avant tout, le devoir de protéger les renseignements personnels des personnes qui leur font confiance.
  • Cinq associations, une organisation et deux agences d’octroi de crédit ont indiqué que, comme leurs membres avisent déjà leurs clients lorsqu’il y a risque de fraude ou de vol d'identité, la LPRPDE n’a pas à traiter de cet enjeu. Selon une de ces associations, s’il est nécessaire de légiférer sur l’obligation d’aviser, une loi contre la fraude ou une loi distincte serait un moyen plus approprié de traiter de cet enjeu.
  • Selon une autre association, au lieu d’inscrire l’obligation d’aviser dans une loi, il serait préférable que la commissaire à la protection de la vie privée consulte les intervenants et formule des directives en la matière.
  • Une agence d’octroi de crédit suggère que la LPRPDE comprenne des normes élevées en matière de sécurité des données.
  • Une autre association a recommandé l’utilisation des mécanismes existants prévus par la LPRPDE en matière d'application de la loi, comme les recours auprès de la commissaire à la protection de la vie privée concernant tout manquement à l’obligation d’aviser.
  • Une organisation a déclaré ne pas être au fait d’aucune preuve empirique ni de statistiques qui indiqueraient que l'envoi d’un avis à un consommateur ait eu un effet préventif sur la fraude d’identité.
  • Une organisation financière ainsi qu’une autre organisation ont recommandé également que le paragraphe 7(3) soit modifié pour permettre à une organisation victime d'une infraction à la sécurité d’en aviser les agences d'évaluation du crédit ou les autres organisations concernées. De plus, cette organisation a fait remarquer que de tels avis entraîneraient des coûts non recouvrables pour les agences d'évaluation du crédit qui aideraient les organisations tierces à régler les problèmes, de sorte que les agences d'évaluation du crédit devraient facturer les services rendus.
  • Pour ce qui est d’aviser la commissaire à la protection de la vie privée, une organisation financière a soutenu que la commissaire devrait être informée de chaque cas d'infraction grave à la sécurité qui pourrait fort probablement causer des préjudices à des personnes. De plus, l’organisation financière a recommandé que la commissaire soit informée des mesures particulières prises pour remédier à la situation.
  • Une personne a fait remarquer que les organisations devraient avoir le devoir d’aviser les personnes intéressées ainsi que la commissaire et qu’elles devraient remettre une copie de l'avis aux médias par l’entremise des voies de communication habituelles.
  • Un commentateur de la protection de la vie privée a indiqué que la commissaire à la protection de la vie privée devrait être informée dans les cinq jours ouvrables suivant la découverte par l’organisation d’une infraction à la sécurité, afin qu’elle puisse examiner et remettre en question les plans visant à informer les personnes concernées par l'infraction ainsi que publiciser l’infraction de son propre chef si elle juge qu’il y va de l’intérêt du public.
  • Il y a eu également d'autres commentaires concernant les amendes et les peines. Un commentateur a fait remarquer qu’il faudrait imposer des amendes aux organisations qui négligent d'aviser la commissaire d’une infraction. Un organisme de protection des consommateurs a indiqué que la LPRPDE devrait inclure le recours à des actions civiles en cas de manquement à l’obligation d’aviser. Cet organisme, une personne et une association de gestion de l'information ont également fait valoir que toutes les parties concernées devraient être avisées. Sinon, la LPRPDE devrait inclure l’imposition de lourdes amendes et de peines sévères.

Commentaires du Commissariat sur l’obligation d’aviser

Le CPVP soutient la notion du devoir d’aviser les personnes, mais le bon modèle pour le faire n’est pas évident. 

Nous reconnaissons que l’obligation d’émettre un avis cadre mal avec le modèle actuel de la LPRPDE, puisqu’il n’existe aucun moyen direct de pénaliser les organisations qui omettraient d’aviser les personnes d’une faille. Il faudrait donc modifier la LPRPDE

En plus de l’obligation d’émettre des avis, ou à titre d’option de rechange, une disposition pourrait être ajoutée à la LPRPDE pour permettre à une organisation où il y a eu une faille de communiquer à l’agence d’évaluation du crédit le problème ainsi que le nom des personnes touchées par ce problème, sans leur consentement. Ainsi, l’agence pourrait agir de façon plus proactive en ce qui concerne la protection des consommateurs contre le vol d’identité et la fraude.

12. Circulation transfrontalière de renseignements personnels

Contexte et questions provenant du document de discussion du Commissariat sur la circulation transfrontalière de renseignements personnels

Le milieu des affaires actuel favorise souvent l’impartition du traitement des données. Cette impartition entraîne dans certains cas la transmission de renseignements personnels à des organisations au Canada assujetties à la LPRPDE ou à des lois provinciales essentiellement similaires sur la protection des données. L’impartition peut également entraîner la transmission de renseignements personnels à l’extérieur du Canada; ce processus est appelé la circulation transfrontalière de renseignements personnels.

Dans le contexte actuel du commerce mondial où les gouvernements étrangers sont de plus en plus inquisiteurs, il est encore plus urgent de protéger les renseignements personnels qui circulent au-delà de nos frontières.

La LPRPDE énonce le principe de responsabilité qui attribue à une organisation la responsabilité des renseignements personnels transmis à une tierce partie aux fins de traitement. Aux termes de l’article 4.1.3 de l’annexe 1 de la LPRPDE, une organisation est tenue d’assurer un degré comparable de protection des renseignements qui sont en cours de traitement par une tierce partie, au moyen de dispositions contractuelles ou par tout autre moyen. Ce principe s’applique à toute transmission, peu importe que la compagnie réceptrice se trouve au Canada ou à l’étranger.

La préoccupation au sujet de la perte du contrôle sur les renseignements personnels de citoyens et résidents canadiens, lorsque ces renseignements sont envoyés à l’extérieur, a suscité un débat sur les diverses options visant à accroître le respect du principe de responsabilité. Au nombre des moyens pour protéger les renseignements personnels, il y a l’ajout, aux contrats intervenus entre une organisation canadienne assujettie à la LPRPDE et la compagnie réceptrice, de dispositions visant à :

  • permettre à l’organisation de vérifier les pratiques en matière de gestion des renseignements de la compagnie réceptrice qui traite les données à l’étranger, notamment ses pratiques en matière de sécurité et sa procédure d’élimination des données, et la façon dont la compagnie réceptrice applique ces pratiques et cette procédure;
  • interdire à la compagnie réceptrice d’utiliser et de communiquer les renseignements obtenus, sauf suivant les lois du pays où la compagnie réceptrice est localisée;
  • s’assurer que le contrat est exécuté dans une juridiction appropriée;
  • demander l’arbitrage obligatoire selon les règles internationales sur l’arbitrage.

Questions posées par le Commissariat

  • Le principe de responsabilité actuellement défini dans la LPRPDE protège-t-il suffisamment les renseignements personnels lorsqu’ils circulent à l’étranger?
  • Dans la négative, comment la LPRPDE pourrait-elle mieux protéger ces renseignements?

Commentaires des répondants sur la circulation transfrontalière de renseignements personnels

  • Il ne s’est dégagé aucun consensus quant à la pertinence du niveau de protection actuel.
  • La plupart des organisations se sont dites satisfaites des dispositions actuelles de la LPRPDE en matière de responsabilité en ce qui a trait à la circulation transfrontalière des données.
  • Deux associations ont jugé suffisant que les organisations aient l’obligation d’aviser les personnes que les renseignements personnels qui les concernent seront transmis à l’extérieur du Canada à des fins de traitement ou de stockage. Selon ces associations, les organisations devraient informer leurs clients à l'avance qu’ils n’ont pas le droit de refuser que les renseignements personnels qui les concernent soient traités par un fournisseur de services tiers.
  • Une association et une agence d'octroi du crédit ont déclaré que toute restriction à la circulation transfrontalière des données pourrait nuire à la compétitivité du Canada dans l’économie mondiale.
  • Certains commentateurs, y compris les protecteurs des consommateurs et de la vie privée, aimeraient que des changements soient apportés dans ce domaine.
  • Une association de gestion de l’information ainsi qu’une association professionnelle ont soutenu que les entreprises ayant recours à la circulation transfrontalière des données à l’extérieur du Canada devraient inclure des mises en garde et des conditions dans tous les contrats. Cette association a soutenu que les contrats devraient comprendre l’obligation pour une entreprise canadienne d'inspecter et de vérifier les pratiques de gestion de l’information adoptées par le fournisseur tiers ainsi que des dispositions interdisant au fournisseur tiers d’utiliser les renseignements reçus ou de les communiquer, sauf si les lois en vigueur dans le pays l’exigent.
  • Une personne a proposé que la LPRPDE soit modifiée pour préciser la responsabilité d’une organisation concernant les infractions à la Loi commises par ses mandataires ou ses fournisseurs.
  • Deux organismes de protection des consommateurs ainsi qu’un commentateur de la protection de la vie privée ont fait valoir que la commissaire à la protection de la vie privée pourrait élaborer, en vertu du principe 4.1.3, des dispositions particulières à inclure dans les contrats d’impartition. L’une de ces organisations a indiqué qu’elle soutenait les cinq mesures énoncées dans le document de discussion. Outre ces mesures, elle a recommandé de s’inspirer de la Loi sur la protection des renseignements personnels dans le secteur privé du Québec, selon laquelle une entreprise ne peut transférer des renseignements personnels à une tierce partie à l’extérieur du Québec si elle est d’avis que l’information ne bénéficiera pas des mêmes protections assurées par la loi québécoise. Cette organisation a également fait valoir que la Loi devrait inclure des directives sur la protection des renseignements personnels qui circulent outre-frontières.
  • Un autre organisme de protection des consommateurs a déclaré que la LPRPDEdevrait être modifiée dans le but de protéger de manière explicite les personnes contre la communication excessive des renseignements personnels qui les concernent et d’autres pratiques inappropriées. Cet organisme a proposé que toutes les exceptions à la règle générale du consentement soient assujetties au critère de la fin raisonnable. Il a avancé également que la Loi devrait être modifiée afin de préciser que les alinéas 7(3)c.1) et d) s’appliquent uniquement aux institutions du gouvernement canadien et non à celles d’un gouvernement étranger. Il a également avancé que la LPRPDE pourrait être modifiée pour inclure l’interdiction explicite de communiquer de l’information à des gouvernements étrangers, y compris des peines importantes en cas de non-conformité. Cet organisme de protection des consommateurs a de plus indiqué que la LPRPDE pourrait être modifiée pour inclure une disposition semblable à celle de l’Union européenne interdisant la communication de renseignements à des gouvernements étrangers ayant des régimes de protection des données inadéquats.
  • Concernant la disposition semblable à celle de l’Union européenne, une personne a fait des commentaires sur la faible probabilité que le Canada impose des normes sur la protection des données de manière unilatérale puisque, selon elle, la circulation transfrontalière des renseignements personnels est largement dirigée vers les États-Unis.
  • Un commentateur de la protection de la vie privée a également donné son appui à l’élargissement de la portée du principe 4.1.3 afin qu’il s'applique non seulement aux « renseignements confiés à une tierce partie aux fins de traitement » mais également à la collecte et à l’utilisation des renseignements personnels par une tierce partie au nom d’une organisation. Ce commentateur invoque que, bien que l’expression « aux fins de traitement » vise à couvrir des situations comme l’impartition de la collecte de données, la Loi devrait l’énoncer clairement. Il a fait remarquer que la PIPA de l’Alberta tient compte de cet élément en tenant une organisation responsable lorsqu’elle engage un mandataire.
  • Une personne a mentionné que la meilleure protection possible des renseignements personnels canadiens à l'étranger repose sur la coopération internationale, qui se traduira en définitive par des cadres internationaux, tels les traités bilatéraux et multilatéraux. Cette personne a également précisé que la circulation transfrontalière des données constitue un exemple qui montre pourquoi la LPRPDE devrait s’éloigner de la notion de consentement général et s'orienter vers le consentement obligatoire préalable à une première communication à une fin particulière. Les personnes seraient alors en mesure de s’objecter à cette fin particulière tout en permettant à l’organisation de continuer à utiliser et à communiquer les renseignements personnels qui les concernent.
  • Pour diverses raisons liées à la responsabilité d’agir comme gardien des renseignements personnels, certains commentateurs n’appuient pas l’idée de transfert à des tiers ni le fait d'exiger de ces tiers qu’ils fournissent aux personnes l’accès aux renseignements personnels les concernant.

Commentaires du Commissariat sur la circulation transfrontalière de renseignements personnels

Le CPVP croit qu’il vaut mieux traiter cette question par des avis additionnels que par des modifications législatives à la LPRPDE, car il est important de conserver une souplesse. La Loi énonce déjà un principe de responsabilité et le Conseil du Trésor émet des lignes directricesNote de bas de page 5 sur l’impartition.

Le CPVP préside un groupe de travail de l’OCDE (Organisation de coopération et de développement économiques) sur la sécurité de l’information et la vie privée, dont le but est de relever les défis transfrontaliers que pose l’application effective des lois sur la protection de la vie privée, et nous faisons des progrès.

En plus de notre collaboration avec l’OCDE, nous sommes engagés auprès des pays membres de la Coopération économique de la zone Asie-Pacifique (APEC). Les pays de l’APEC ont confié à un sous-groupe sur la protection des données et de la vie privée le mandat d’élaborer un cadre de travail sur la confidentialité des renseignements. Le cadre de travail a été adopté par les ministres de l’APEC. La commissaire adjointe responsable de la LPRPDE au Commissariat a participé à plusieurs des initiatives.

13. Communication de renseignements à d’autres autorités responsables de la protection des données

Contexte et question provenant du document de discussion du Commissariat sur la Communication de renseignements à d’autres autorités responsables de la protection des données

Généralement, la LPRPDE requiert que la commissaire respecte la confidentialité des renseignements obtenus dans l’exercice de ses fonctions. La commissaire peut rendre publiques les pratiques d’une organisation relatives aux renseignements, lorsqu’elle estime que c’est dans l’intérêt public. De même, elle peut communiquer des renseignements au cours d’une poursuite relative à certaines infractions ou lors d’une audience ou d’un appel devant la Cour fédérale.

L’article 23 de la LPRPDE permet à la commissaire de consulter toute personne ayant, au titre d’une loi provinciale essentiellement similaire à la LPRPDE, des attributions semblables aux siennes. La commissaire peut conclure des accords avec ses homologues des provinces qui ont adopté une loi essentiellement similaire pour coordonner les activités de leurs bureaux respectifs, notamment prévoir des mécanismes pour instruire les plaintes dans lesquelles ils ont un intérêt commun. En pratique, cela signifie, par exemple, que la commissaire peut communiquer des renseignements et collaborer à des enquêtes pour lesquelles elle a un intérêt commun avec ses homologues en Ontario (seulement avec les dépositaires de renseignements sur la santé de l’Ontario), en Alberta, en Colombie-Britannique et au Québec. Cependant, la commissaire ne possède pas de pouvoir particulier de communiquer des renseignements et de collaborer à des enquêtes avec d’autres provinces.

De plus, les plaintes n’ont pas toujours trait à des événements survenus à l’intérieur des frontières du Canada. Certains pourraient soutenir qu’en raison de l’importance croissante de la circulation transfrontalière des données (aux fins du traitement pour faciliter le commerce électronique, de l’application de la loi, à des fins de sécurité nationale, ou simplement dans le cadre d’activités courantes), il y a lieu de communiquer des renseignements et de collaborer à des enquêtes avec des organisations à l’extérieur du Canada. La LPRPDE accorde à la commissaire le pouvoir de communiquer des renseignements et de collaborer à des enquêtes avec certains homologues provinciaux, mais ne lui confère pas de pouvoir particulier pour le faire avec d’autres juridictions. Les Canadiennes et les Canadiens se sentiraient peut-être plus à l’aise à l’égard de la circulation transfrontalière des données, par exemple, si un mécanisme permettait à la commissaire de conclure des accords avec des organismes de surveillance d’autres juridictions pour faciliter l’échange de renseignements, ce qui pourrait résulter en une application plus efficace de la Loi. On pourrait également donner à la commissaire le pouvoir de collaborer à des enquêtes et à des vérifications dans des juridictions étrangères.

Questions posées par le Commissariat

  • La LPRPDE devrait-elle être modifiée de façon à permettre explicitement à la commissaire à la protection de la vie privée de communiquer des renseignements et de collaborer à des enquêtes avec des homologues d’autres pays et des homologues provinciaux dans les provinces qui n’ont pas adopté une loi « essentiellement similaire » à la loi fédérale?
  • Y a-t-il d’autres organisations avec lesquelles la commissaire devrait être en mesure de communiquer des renseignements et collaborer?

Commentaires des répondants sur la communication de renseignements à d’autres autorités responsables de la protection des données

  • Une association a déclaré qu’il y a des occasions où la commissaire à la protection de la vie privée et d'autres autorités chargées de la protection des données ou de la vie privée peuvent tirer des avantages mutuels de l’échange de renseignements et de la collaboration à des enquêtes, mais de nombreuses mesures de protection doivent être mises en place avant qu’une modification à la LPRPDE ne permette une telle communication de renseignements.
  • Une organisation financière, une agence d'octroi de crédit, un organisme de protection des consommateurs et un commentateur de la protection de la vie privée ont soutenu que la LPRPDE devrait être modifiée pour permettre au CPVP de communiquer des renseignements et de collaborer à des enquêtes avec des homologues d’autres instances. Ce commentateur ainsi qu’un autre organisme de protection des consommateurs ont signalé qu’il existe un chevauchement de plus en plus important entre les activités des secteurs privé et public dans toutes les instances du Canada, de sorte qu’il peut s’avérer important que la commissaire soit en mesure de consulter ses homologues provinciaux qui surveillent uniquement les lois qui s'appliquent au secteur public, comme les lois propres au domaine de la santé. Le commentateur a toutefois fait remarquer que lorsqu’une « personne intéressée » demande à consulter des renseignements, aucun processus de consultation ne devrait permettre la communication de renseignements facilitant l’identification de la personne concernée sans son consentement explicite.
  • Une personne a exprimé l’espoir que la commissaire à la protection de la vie privée puisse jouer un rôle de premier plan à l’échelle internationale en travaillant à l’élaboration d’un cadre mondial de protection des renseignements personnels, parce qu’un tel cadre constituerait une suite logique des régimes de protection actuels. Cette personne a ajouté que la commissaire devrait pouvoir consulter « qui que ce soit » afin d’assurer la protection des renseignements personnels, tant au Canada qu’à l’extérieur.
  • Une organisation a fait une mise en garde. Selon elle, la modification de la LPRPDE pour permettre à la commissaire à la protection de la vie privée de communiquer des renseignements et de collaborer avec des organisations autres que ses homologues dans d’autres provinces mettrait en jeu le système actuel fondé sur une collaboration sincère et transparente.
  • Une autre organisation a indiqué qu’elle serait préoccupée si la commissaire à la protection de la vie privée échangeait des renseignements avec ses homologues d’autres pays qui n’ont pas adopté de solides mesures de protection de la vie privée semblables aux nôtres .
  • Deux associations ont fait valoir que le CPVP n’a pas besoin d’un nouveau pouvoir spécifique pour consulter d’autres organismes de protection de la vie privée, pour autant que la commissaire obtienne le consentement du plaignant.

Commentaire du Commissariat sur la communication de renseignements à d’autres autorités responsables de la protection des données

Le CPVP aimerait obtenir un pouvoir précis dans ce domaine, pour avoir une plus grande flexibilité.

14. Autres questions soulevées dans les présentations au Commissariat

Les personnes qui ont fait des commentaires au sujet du document de discussion sur l’examen de la LPRPDE ont soulevé une grande variété d'autres questions que celles prévues dans le document. En voici quelques-unes.

Définitions

  • Une association professionnelle a recommandé l’ajout ou l’examen de plusieurs définitions (« activité commerciale », « renseignement personnel », « recueillir », « utiliser », « communiquer », « identifiable » et « institution gouvernementale »).
  • Un groupe de protection des consommateurs a fait remarquer que la LPRPDE devrait faire la différence entre le consentement explicite, le consentement implicite et le refus de consentement, et que la Loi devrait adopter l’approche préconisée dans les lois de l’Alberta et de la Colombie-Britannique sur la protection des renseignements personnels.

Renseignements commerciaux

  • Deux associations et une organisation veulent que la définition de « renseignement relatif à la personne-ressource » soit élargie pour inclure toutes les formes de technologies de communication utilisées dans les entreprises, comme le courriel, la télécopie et d'autres moyens de transmission de renseignements commerciaux. Une autre association a demandé que l’adresse de courriel d’une personne soit exclue de la définition de « renseignement personnel ».
  • Une association professionnelle a dit souhaiter que les renseignements liés à l’entreprise ou à la profession soient exclus de la définition de « renseignement personnel ».

Renseignements personnels sur les mineurs

  • Un groupe de protection des consommateurs a fait remarquer que la LPRPDE ne fait aucunement mention du traitement des renseignements personnels sur les mineurs.

Échange de renseignements au sein de groupes de sociétés

  • Une organisation et une association ont mentionné qu’un grand nombre d’entreprises affiliées et de filiales exercent leurs activités en tant qu’entité unique relevant d’une seule équipe de direction, conformément à certaines exigences réglementaires. Elles ont fait remarquer qu’en vertu du régime actuel de la LPRPDE, l’interdiction de communiquer des renseignements au sein d'un groupe de sociétés peut s’avérer problématique, de sorte que cette exigence devrait être modifiée pour faciliter les communications entre les entités d’un groupe de sociétés. 

Exceptions relatives aux litiges

  • Une association professionnelle a souligné que la LPRPDE devrait être neutre en matière de litiges en excluant particulièrement les renseignements personnels recueillis, utilisés ou communiqués dans le cadre d’un litige. Elle a fait valoir que les exceptions actuelles en cette matière sont trop restreintes et qu’elles devraient au moins être élargies afin d’éviter de nuire aux poursuites fondées.

Distinction entre « connaissance » et « consentement »

  • Un organisme de protection des consommateurs a fait remarquer que le principe 4.3.2 combine deux concepts importants qui garantissent la distinction entre « informer » et « obtenir un consentement ». Il devrait y avoir obligation d’aviser même dans les cas où le consentement n’est pas requis, comme pour la communication de renseignements à des fins de recouvrement des créances ou pour donner suite à une assignation à comparaître. Toutes les exceptions de l'article 7 devraient donc comprendre l’obligation d'aviser, à moins qu’il soit inapproprié ou irréalisable de le faire.

Condition du service

  • Une personne, un organisme de protection des consommateurs et un commentateur ont recommandé qu’une personne n’ait pas à consentir à la collecte, à l’utilisation ou à la communication de renseignements au-delà de ceux qui sont nécessaires pour réaliser le produit ou le service, et que la LPRPDE devrait adopter le modèle de l’Alberta concernant le consentement en pareils cas.

Droit d'accès

  • Certaines associations ont exprimé leur inquiétude concernant le droit d'accès aux renseignements accordé à une personne. Elles ont proposé que la LPRPDE soit modifiée pour donner aux organisations le pouvoir discrétionnaire de refuser une demande d’accès si l’information a été recueillie à des fins d'enquête, de poursuites judiciaires en cours ou prévues ou si la demande est considérée comme futile.
  • Une autre association a proposé que la LPRPDE soit modifiée pour conférer aux organisations le pouvoir discrétionnaire de refuser l’accès à des requérants, lorsque la demande est abusive.
  • Deux associations ont fait remarquer qu’un accès aux renseignements essentiels devrait suffire, afin d’éviter que les organisations aient à payer des coûts importants en fournissant des renseignements qui ne seraient d'aucune utilité à la personne qui a fait une demande d'accès.

Droits

  • Une organisation a indiqué que les organisations devraient pouvoir exiger des droits autres que les droits courants pour fournir à l’intéressé l’accès à ses renseignements personnels. L’entreprise souhaite que la LPRPDE prévoie une grille tarifaire.

Épuisement des mécanismes de recours internes

  • Une organisation a proposé une modification à la LPRPDE qui exigerait des employés et des clients qu’ils épuisent tous les recours internes avant de déposer une plainte auprès du CPVP, ce qui éviterait qu’un plaignant se serve de la possibilité de recourir à d'autres instances comme une menace ou un moyen de représailles contre l’organisation.

Administration des biens des personnes décédées

  • Une personne a fait valoir que la LPRPDE empêche les personnes chargées d'administrer les biens des personnes décédées d'obtenir de l’information financière concernant les biens.

Aucun retrait de consentement concernant les enquêtes sur la solvabilité

  • Une organisation a fait valoir que, comme l’exige la loi en vigueur en Colombie-Britannique, une personne ne devrait pas pouvoir retirer son consentement quant à la communication de l’information contenue dans son dossier de crédit une fois qu’une agence d'évaluation du crédit a obtenu l’information.

Refus de l’enregistrement des appels

  • Une personne a dit souhaiter que les consommateurs aient le droit de refuser que les entreprises enregistrent leurs appels à des fins de contrôle de la qualité du service, puisque des employés en formation n’ayant pas l’autorisation de sécurité requise ni le besoin de connaître peuvent avoir accès aux enregistrements.

Réglementation de l’utilisation des numéros d’identité

  • Une personne a souhaité que la LPRPDE réglemente de manière spécifique l’utilisation du numéro d'assurance sociale et d'autres numéros d’identité, comme le numéro de permis de conduire et de carte d’assurance-maladie.

Recouvrement de créances

  • Des associations aimeraient que la LPRPDE soit modifiée pour permettre à une organisation cherchant à recouvrer une créance d'obtenir des renseignements supplémentaires, comme l'adresse actuelle de l'emprunteur ou l’emplacement des biens constituant la garantie d'un prêt, et d'utiliser tous les renseignements disponibles pour recouvrer la créance. Elles appuient la démarche adoptée à cet égard dans les lois de l’Alberta et de la Colombie-Britannique.
  • Une autre association a proposé que la Loi soit modifiée pour élargir la notion de « recouvrement d’une créance » afin qu’elle comprenne la nécessité de « faire respecter une obligation » que la personne concernée a envers l’organisation. L’association a fait valoir que ce changement est nécessaire pour permettre de faire respecter les obligations qui ne sont pas considérées comme une créance.

Détection des fraudes

  • Une association a dit vouloir qu’une disposition de la LPRPDE, semblable à une disposition de la Personal Information Protection Act (PIPA) de l’Alberta, reconnaisse que les organisations doivent communiquer l’information requise pour contrer, prévenir, détecter ou supprimer les pratiques frauduleuses, la manipulation des cours de la Bourse ou les pratiques commerciales déloyales.

Pouvoir de vérification

  • Une association de gestion de l’information a discuté de la possibilité de conférer des pouvoirs accrus à la commissaire à la protection de la vie privée en matière de vérification des pratiques commerciales.

Nécessité d’adopter une politique sur la destruction de l’information

  • Une association a recommandé que les organisations aient l’obligation d'élaborer une politique sur la destruction de l’information et des documents, et de la distribuer à leurs employés.

Pouvoir de déposer une plainte

  • Un organisme de protection des consommateurs a recommandé que la LPRPDE continue d’autoriser les plaintes déposées par les défenseurs d'intérêts particuliers même s’ils n’ont pas d'intérêt direct dans l’infraction présumée.
  • Une organisation a fait remarquer que les syndicats devraient avoir autorité en la matière et être en mesure de présenter des recours indépendamment de leurs membres. Plusieurs associations veulent que la LPRPDE leur accorde également des pouvoirs en ce sens.

Cour fédérale

  • Une personne a indiqué que les procédures devant la Cour fédérale en vertu de la LPRPDE devraient être identifiées par un numéro de greffe seulement, et non par le nom du plaignant. Les dossiers de la Cour concernant les poursuites en vertu de la LPRPDE devraient être automatiquement tenus confidentiels (seules les parties intéressées y ayant accès), et toutes les audiences devraient être menées à huis clos à moins que le plaignant en convienne différemment.
  • Selon une autre personne, il serait préférable que la Cour fédérale examine les conclusions de la commissaire et qu’elle n’ait pas à entendre la plainte de novo afin d’alléger le fardeau imposé au système judiciaire.
  • Une autre personne a fait valoir que les poursuites devant la Cour fédérale devraient reposer sur le témoignage de vive voix des témoins parce que les profanes non représentés par un avocat ont de la difficulté à préparer une preuve par affidavit.  
  • Une personne a soutenu que lorsque les plaintes sont importantes et qu’elles soulèvent des enjeux graves, des fonds devraient être prévus pour aider les plaignants à préparer leurs demandes à la Cour fédérale.
  • Une autre personne a affirmé que la LPRPDE devrait prévoir que les coûts relatifs à une demande en vertu de la LPRPDE ne devraient pas être exigés d’une personne à moins que sa demande s'avère irraisonnable.

Amendes et dommages-intérêts

  • Un organisme de protection des consommateurs a fait valoir que l’organisme de surveillance pour la LPRPDE devrait avoir le pouvoir d’imposer des dommages-intérêts punitifs ainsi que des dommages-intérêts compensatoires.
  • Une personne a soutenu que la LPRPDE devrait établir un régime d'amendes afin de contribuer à assurer le respect de la Loi.

Recours collectifs

  • Des organismes de protection des consommateurs ont dit souhaiter la possibilité d'entreprendre des recours collectifs lorsqu’il y a violation de la LPRPDE.
Date de modification :