Projet de loi S-4, Loi modifiant la Loi sur la protection des renseignements personnels et les documents électroniques et une autre loi en conséquence

Mémoire présenté au Comité sénatorial permanent des transports et des communications

Introduction

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) a reçu la sanction royale le 13 avril 2000 et est entrée en vigueur par étapes à compter du 1er janvier 2001. La LPRPDE est entrée pleinement en vigueur le 1er janvier 2004.

Cette loi s’applique aux organisations qui recueillent, utilisent ou communiquent des renseignements personnels dans le cadre de leurs activités commerciales. Elle régit également la collecte, l’utilisation et la communication des renseignements personnels des employés des entreprises fédérales – banques, transporteurs aériens, entreprises de télécommunications et de radiodiffusion – et autres industries sous réglementation fédérale.

Comme il est précisé à l’article 3, la LPRPDE a pour objet :

« de fixer, dans une ère où la technologie facilite de plus en plus la circulation et l’échange de renseignements, des règles régissant la collecte, l’utilisation et la communication de renseignements personnels d’une manière qui tient compte du droit des individus à la vie privée à l’égard des renseignements personnels qui les concernent et du besoin des organisations de recueillir, d’utiliser ou de communiquer des renseignements personnels à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances. »

L’examen par le parlement

La LPRPDE renferme une disposition prévoyant un examen parlementaire aux cinq ans pour s’assurer que la loi produit les effets attendus et qu’elle permet d’obtenir les résultats souhaités.

Le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique de la Chambre des communes (le « Comité permanent ») a entrepris un examen en 2006 et publié son rapport en mai 2007 après avoir entendu plus de 60 témoins et examiné plus de 30 mémoires. L’examen a donné aux parties intéressées la possibilité de soulever des questions et de mettre en évidence les modifications possibles à la loi pour s’assurer qu’elle continue d’atteindre les grands objectifs stratégiques.

Le projet de loi S-4, Loi sur la protection des renseignements personnels numériques, est le troisième projet de loi visant à mettre à jour la LPRPDE. Le projet de loi C-29, Loi modifiant la Loi sur la protection des renseignements personnels et les documents électroniques (Loi protégeant les renseignements personnels des Canadiens), a été déposé le 25 mai 2010. Le projet de loi C-12, qui était essentiellement identique au projet de loi C-29, a été déposé le 29 septembre 2011. Ces deux projets de loi sont morts au Feuilleton. Bien que le projet de loi S-4 renferme certaines dispositions des projets de loi précédents, il présente aussi de nouvelles dispositions et n’inclut pas toutes les modifications proposées dans les projets de loi C-29 et C-12.

Commentaires sur certaines dispositions du projet de loi S-4

Le projet de loi S-4 modifie de nombreuses dispositions de la LPRPDE. Globalement, les modifications proposées renforceront le droit des Canadiens à la vie privée en ce qui a trait à leurs interactions avec les entreprises du secteur privé, amélioreront la reddition des comptes et prévoiront des mesures propres à inciter les organisations à se conformer à la loi. Nous sommes particulièrement favorables aux propositions visant à introduire le signalement obligatoire des atteintes à la sécurité des données et aux dispositions visant les accords de conformité qui faciliteront le travail du Commissariat pour ce qui est de s’assurer que les entreprises respectent les engagements qu’elles ont pris au cours des enquêtes.

De façon générale, nous sommes également favorables aux autres modifications proposées qui s’attaquent aux lacunes et aux problèmes qui sont devenus évidents depuis l’entrée en vigueur de la LPRPDE il y a plus de 13 ans. Nous émettons toutefois des réserves à l’égard des propositions permettant aux organisations de communiquer plus facilement des renseignements personnels à d’autres organisations sans le consentement des intéressés et nous suggérons d’améliorer une disposition actuelle, soit l’alinéa 7(3)c.1), ce que ne fait pas le projet de loi S-4.

Signalement des atteintes

Le projet de loi S-4 ajoute trois nouveaux articles à la LPRPDE, soit les articles 10.1, 10.2 et 10.3 portant sur les « atteintes aux mesures de sécurité ». Ainsi, une organisation qui a été victime d’une atteinte aux mesures de sécurité qui met en péril des renseignements personnels dont elle assure la gestion est tenue de le signaler dans les trois cas suivants :

  • au commissaire à la protection de la vie privée, « s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un risque réel de préjudice grave à l’endroit d’un individu »;
  • aux intéressés, « s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un risque réel de préjudice grave à l’endroit d’un individu »;
  • aux autres organisations ou institutions gouvernementales si l’organisation à l’origine du signalement croit que l’autre organisation ou l’institution gouvernementale pourrait réduire le risque de préjudice pouvant résulter de l’atteinte ou atténuer ce préjudice.

L’article portant sur les définitions définit en ces termes une atteinte aux mesures de sécurité : « communication non autorisée ou perte de renseignements personnels ou accès non autorisé à ceux-ci, par suite d’une atteinte aux mesures de sécurité d’une organisation prévues à l’article 4.7 de l’annexe 1 ou du fait que ces mesures n’ont pas été mises en place ».

Nous sommes très favorables à ces dispositions. Au cours des dernières années, nous avons été témoins d’un certain nombre d’atteintes à la sécurité des données hautement médiatisées tant au Canada qu’à l’étranger qui ont mis en péril la confidentialité des renseignements personnels des Canadiens. Non seulement ces dispositions sont propres à les inciter à prendre plus au sérieux la sécurité de l’information, mais aussi elles fourniront aux individus l’information qui les aidera à atténuer les risques résultant de la perte de leurs renseignements personnels ou d’un accès non autorisé à ceux-ci.

Grâce à la mise en œuvre des dispositions exigeant le signalement des atteintes à la sécurité, on harmonisera la LPRPDE avec les lois de nombreuses autres juridictions:

  • la Personal Information Protection Act (PIPA) de l’Alberta et certaines lois provinciales sur la protection des renseignements personnels sur la santé exigent le signalement des atteintes à la sécurité des données;
  • presque tous les États américains disposent d’une législation exigeant le signalement aux intéressés des atteintes à la sécurité des données dans certains cas;
  • le texte récemment révisé des Lignes directrices de l’OCDE sur la protection de la vie privée et les flux transfrontières de données de caractère personnel renferme une recommandation en faveur du signalement des atteintes à la sécurité des données.

Le projet de loi S-4 propose une approche axée sur le risque obligeant les organisations elles-mêmes à évaluer chaque incident au cas par cas pour en déterminer la gravité et les répercussions possibles sur les personnes touchées. Nous sommes favorables à une approche axée sur le risque. En outre, nous estimons que l’organisation ayant subi l’atteinte est la mieux placée pour évaluer les risques et pour décider si le signalement s’impose.

Pour ce qui concerne le seuil de signalement, il nous apparaît contre-productif d’exiger que les organisations préviennent les individus de toutes les atteintes. De même, nous pensons qu’il ne serait ni pratique ni efficient d’exiger que les organisations préviennent le Commissariat de toutes les atteintes.

Le projet de loi S-4 oblige les organisations à tenir à jour un registre de toutes les atteintes et d’en fournir copie sur demandeNote de bas de page 1 au Commissariat. Il est de la plus haute importance d’obliger les organisations à tenir un registre de toutes les atteintes, y compris celles qu’elles ont décidé de ne pas signaler. Le Commissariat pourra ainsi évaluer la conformité aux dispositions relatives au signalement obligatoire et déterminer la façon dont les organisations prennent la décision de signaler ou non une atteinte à la sécurité.

Le projet de loi S-4 apporte des modifications connexes aux paragraphes 11(1) et 14(1) afin de permettre un examen des plaintes et une éventuelle révision judiciaire concernant la non-conformité aux dispositions sur le signalement obligatoire des atteintes à la sécurité des données. Il s’agit de dispositions importantes qui offrent des recours aux individus touchés par les atteintes à la sécurité des données.

Accords de conformité et délais pour les demandes présentées à la Cour fédérale

Le nouvel article 17.1 permettra au commissaire de conclure des accords de conformité avec les organisations s’il y a « des motifs raisonnables de croire à l’existence, à l’imminence ou à la probabilité d’un fait – acte ou omission – » pouvant constituer une contravention à la loi ou une omission de mettre en œuvre une recommandation énoncée à l’annexe 1. L’accord peut renfermer toutes les conditions que le commissaire juge nécessaires pour assurer la conformité à la Loi. Si le commissaire estime que l’organisation n’a pas respecté l’accord de conformité, il doit envoyer à l’organisation en cause un avis de défaut. Il peut alors demander à la Cour :

  1. soit une ordonnance enjoignant à l’organisation de se conformer aux conditions de l’accord de conformité, en sus de toute autre réparation que la Cour peut accorder;
  2. soit une audition sur la question aux termes du paragraphe 14(1) ou de l’aliéna 15a) ou, en cas de suspension de l’audition, le rétablissement de l’audition.

À l’heure actuelle, le commissaire peut essayer de régler une plainte déposée auprès du Commissariat par la négociation, la persuasion et la médiation, mais il ne possède pas de pouvoirs exécutoires directs. Le Commissaire lui-même ou le plaignant doit saisir la Cour fédérale pour demander une ordonnance exigeant que l’organisation en cause prenne des mesures pour modifier ses pratiques ou accorde des dommages-intérêts au plaignant. Dans l’un ou l’autre cas, l’audition sera une nouvelle instance, ce qui exige des ressources considérables. En outre, la demande doit être faite dans les 45 jours suivant la date du dépôt d’un rapport, à moins que l’on obtienne une autorisation spéciale de la Cour pour déposer une demande après ce délai.

Comme les questions dont nous traitons dans le cadre de nos enquêtes sont devenues plus complexes, les organisations ont parfois besoin de plusieurs mois pour mettre en œuvre nos recommandations. Or, si une organisation ne respecte pas son engagement à mettre en œuvre une recommandation dans les 45 jours suivant la publication de notre rapport, le Commissariat n’a pas la certitude de pouvoir saisir le tribunal après le délai prévu par la loi. Le plus souvent, nous n’avons d’autre choix que d’intenter une action en justice de manière prématurée, pour devoir ensuite la suspendre durant les négociations; ou d’amorcer une nouvelle enquête de façon à remettre le compteur à zéro pour disposer du délai de 45 jours. Quelle que soit la méthode choisie, il ne s’agit pas d’un usage efficient de notre temps et de nos ressources.

En nous donnant le pouvoir de conclure des accords de conformité sur une base volontaire, la loi officialise ce que nous essayons de faire dans la pratique – résoudre efficacement les problèmes afin de mieux protéger la vie privée des Canadiens.

Nous sommes extrêmement favorables à ces dispositions, qui :

  • faciliteront la tâche du Commissariat en lui permettant de s’assurer que les entreprises respectent les engagements qu’elles ont pris au cours des enquêtes;
  • prévoient des mesures propres à inciter les organisations à conclure un accord et à honorer leurs engagements;
  • offrent un mécanisme de recours au Commissariat lorsque les organisations ne respectent pas un accord;
  • donnent à toutes les parties davantage de latitude pour résoudre des questions complexes dans un délai plus réaliste et raisonnable comme solution de rechange à un procès immédiat.

Élargissement de la communication d’information dans l’intérêt public

Le projet de loi S-4 clarifiera la portée des renseignements de nature confidentielle que le commissaire peut communiquer lorsqu’il considère que cela sert l’intérêt public. La modification proposée lui permettra de rendre publique « toute information dont il prend connaissance par suite de l’exercice des attributions que la présente partie lui confère ». À l’heure actuelle, le paragraphe 20(2) de la LPRPDE mentionne uniquement « toute information relative aux pratiques d’une organisation en matière de gestion des renseignements personnels ».

Cette modification renforcera la capacité du commissaire à communiquer des renseignements plus utiles dans l’intérêt public.

Éclaircissements concernant la notion de consentement valable

Le nouvel article 6.1 qui est proposé porte que « le consentement de l’intéressé n’est valable que s’il est raisonnable de s’attendre à ce que ce dernier comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles il a consenti ».

La LPRPDE exige déjà « que les renseignements soient communiqués avec le consentement et au su de l’intéressé ». D’après le principe 4.3.2, « pour que le consentement soit valable, les fins doivent être énoncées de façon que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués ».

À notre avis, il s’agit d’une modification importante et fort précieuse qui clarifiera les critères relatifs au consentement prévus dans la LPRPDE. En exigeant que les organisations fassent davantage d’efforts afin d’expliquer les raisons pour lesquelles elles recueillent des renseignements personnels et la façon dont ces renseignements seront utilisés, la modification proposée devrait aider à clarifier la notion de consentement pour tous les individus, en particulier les jeunes pour qui le monde numérique fait partie intégrante du quotidien.

Renseignements sur les employés

Le projet de loi S-4 apporte quatre séries de modifications portant sur les renseignements relatifs aux employés :

Renseignements sur les candidats à un emploi

À l’heure actuelle, la LPRPDE s’applique aux renseignements personnels des employés des entreprises fédérales. Le projet de loi S-4 propose d’étendre son application aux renseignements personnels de « l’individu qui postule » auprès d’une entreprise fédérale. Nous sommes favorables à cette modification. En précisant que la LPRPDE s’applique aux candidats à un emploi auprès d’une entreprise fédérale, on comble une lacune dans la protection des renseignements personnels concernant les « employés ».

Collecte, utilisation ou communication de renseignements sur des employés sans leur consentement

Un nouvel article (7.3) sera ajouté pour permettre aux entreprises fédérales de recueillir, d’utiliser ou de communiquer des renseignements personnels sans le consentement de l’intéressé, « si cela est nécessaire pour établir ou gérer la relation d’emploi entre elle et lui, ou pour y mettre fin ».

Il est très difficile d’obtenir un consentement explicite dans le milieu de travail, compte tenu de l’inégalité du pouvoir de négociation entre l’employeur et l’employé. Or, en exigeant un consentement de manière artificielle dans des situations où ce consentement ne peut être donné librement ou refusé, on risque d’atténuer la valeur et le sens du consentement de façon générale.

Malgré la suppression de l’obligation d’obtenir un consentement, un certain nombre de mesures de protection importantes demeureront. Avant tout, les entreprises fédérales devront informer les particuliers du fait que leurs renseignements personnels seront ou pourront être recueillis, utilisés ou communiqués à des fins précises. Deuxièmement, le nouvel article limite la collecte, l’utilisation et la communication aux renseignements nécessaires pour les fins visées. Le terme « nécessaire » qui figure dans le nouvel article est d’une importance cruciale en raison des nouveaux moyens que les organisations peuvent utiliser pour recueillir de l’information sur les employés et sur les candidats à un emploi, par exemple des recherches sur Internet ou sur les réseaux sociaux.

Enfin, le paragraphe 5(3) continue de s’appliquer. Il précise qu’une organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels « qu’à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances ». Cette disposition nous permettra, par exemple, de faire enquête sur une plainte déposée contre un employeur qui pourrait avoir recueilli sans autorisation des renseignements personnels sur un employé ou sur un candidat à un emploi, à partir des sites des réseaux sociaux.

Renseignements sur le produit du travail

Le projet de loi S-4 apporte trois modifications autorisant la collecte, l’utilisation ou la communication sans le consentement de l’intéressé de renseignements qui « sont produits par l’intéressé dans le cadre de son emploi, de son entreprise ou de sa profession ». Ce type d’information est habituellement désigné par la mention « produit du travail », mais cette expression n’est pas utilisée dans le projet de loi S-4.

Le Commissariat s’est toujours opposé à l’exclusion ou au retrait des renseignements sur le produit du travail de la définition de « renseignement personnel », en faisant valoir qu’une telle décision pourrait ouvrir la voie à une surveillance importune en milieu de travail et à d’autres conséquences imprévues et non intentionnelles étant donné que ces renseignements ne seraient plus protégés par la LPRPDE. Nous préférons aborder les problèmes relatifs aux renseignements sur le produit du travail au cas par cas en application de la LPRPDE, ce qui nous permet de déterminer la véritable nature des renseignements dans un contexte donné.

Nous sommes heureux que le projet de loi S-4 n’exclue pas catégoriquement les renseignements sur le produit du travail de la définition de « renseignement personnel ». Le projet de loi propose d’éliminer l’obligation d’obtenir le consentement, mais d’autres mesures de protection demeureraient en vigueur, par exemple le principe de la limitation de la collecte, l’obligation de protéger les renseignements ainsi que le droit d’accès et de correction.

Par ailleurs, nous sommes satisfaits de voir que la dispense de consentement visant un renseignement sur le produit du travail s’appliquerait uniquement si la collecte, l’utilisation ou la communication « sont compatibles avec les fins auxquelles il a été produit ». Il s’agit d’une limite importante à laquelle nous sommes favorables. Ces modifications nous paraissent acceptables pourvu que le projet de loi S-4 n’exclue pas les renseignements sur le produit du travail de la définition de « renseignement personnel » et que la collecte, l’utilisation ou la communication de ces renseignements soient limitées à des fins compatibles.

Renseignements sur les coordonnées d’affaires

La définition actuelle de « renseignement personnel » figurant dans la LPRPDE exclut « le nom et le titre d’un employé d’une organisation ainsi que les adresse et numéro de téléphone de son lieu de travail ». Par conséquent, la LPRPDE ne s’applique pas à ces renseignements.

Le projet de loi S-4 propose de supprimer la mention de ces renseignements sur les coordonnées d’affaires de la définition de « renseignement personnel » et d’ajouter une nouvelle définition pour « coordonnées d’affaires », à savoir « le nom d’un individu, son poste ou son titre, l’adresse et les numéros de téléphone et de télécopieur de son lieu de travail, son adresse électronique au travail et tout autre renseignement semblable le concernant ».

En outre, l’article 4 de la LPRPDE portant sur l’application de la loi sera modifié pour préciser que la loi ne s’applique pas aux coordonnées d’affaires d’un individu que l’organisation recueille, utilise ou communique « uniquement pour entrer en contact – ou pour faciliter la prise de contact – avec lui dans le cadre de son emploi, de son entreprise ou de sa profession. »

Ainsi, une organisation pourrait utiliser le numéro de téléphone professionnel d’un employé ou son adresse de courriel pour le contacter à propos de services offerts par l’entreprise sans que la LPRPDE s’applique. Toutefois, si l’organisation utilise le numéro de téléphone ou l’adresse de courriel pour essayer de vendre un tout autre produit ou service, elle serait alors tenue de se conformer à la LPRPDE.

Ces modifications sont logiques. La communication par courriel est devenue systématique au cours des 13 années qui se sont écoulées depuis l’entrée en vigueur de la LPRPDE. Le fait qu’on précise la finalité accorde une protection supplémentaire à toutes les coordonnées d’affaires. On atteint ainsi le bon équilibre.

Communication sans le consentement de l’intéressé

Communication avec le plus proche parent

À l’heure actuelle, l’alinéa 7(3)c.1) autorise les organisations régies par la LPRPDE à communiquer des renseignements sans le consentement de l’intéressé à une institution fédérale – ou à une subdivision d’une telle institution – qui a demandé à obtenir le renseignement en mentionnant « la source de l’autorité légitime étayant son droit » dans trois situations.

Le projet de loi S-4 ajoute une situation où une organisation peut communiquer des renseignements sans le consentement de l’intéressé en vertu de l’alinéa 7(3)c.1) « afin d’entrer en contact avec le plus proche parent d’un individu blessé, malade ou décédé, ou avec son représentant autorisé ».

Par exemple, la modification proposée autoriserait une compagnie de télécommunications à communiquer à un organisme d’application de la loi un numéro de téléphone confidentiel nécessaire pour contacter le plus proche parent ou autoriserait un transporteur aérien à communiquer le nom et les coordonnées de passagers victimes d’un accident. Les lois de la Colombie-Britannique et de l’Alberta régissant la protection des renseignements personnels dans le secteur privé comportent des dispositions similaires.

Identification de personnes blessées, malades ou décédées

Le nouvel alinéa 7(3)d.4) est proposé pour autoriser une organisation à communiquer des renseignements personnels sur une personne sans son consentement si cette communication est nécessaire aux fins d’identification de l’intéressé en cas de blessure, de maladie ou de décès et qu’elle est faite à une institution gouvernementale ou à une subdivision d’une telle institution, au plus proche parent de l’intéressé ou à son représentant autorisé. Si l’intéressé est vivant, l’organisation doit l’en informer par écrit.

Cette disposition est conçue pour des situations qui devraient être relativement rares et où un organisme d’application de la loi ou un autre organisme gouvernemental a besoin de renseignements personnels pour confirmer l’identité d’un individu.

Les deux modifications proposées et analysées ci-dessus ajoutent de nouveaux motifs pour communiquer des renseignements personnels sans le consentement de l’intéressé pour des raisons familiales ou humanitaires. Nous sommes favorables à ces dispositions, car nous croyons qu’il y a peu de risque qu’elles soient utilisées à mauvais escient et qu’il est probable qu’elles ne seront pas utilisées fréquemment.

Exploitation financière

Le nouvel alinéa 7(3)d.3) est proposé pour autoriser une organisation à communiquer des renseignements à une institution gouvernementale ou à une subdivision d’une telle institution, au plus proche parent de l’intéressé ou à son représentant autorisé, de sa propre initiative si « l’organisation a des motifs raisonnables de croire que l’intéressé a été, est ou pourrait être victime d’exploitation financière ». En pareil cas, la communication se ferait exclusivement dans le but de faire enquête ou d’empêcher l’exploitation financière. En outre, l’organisation doit avoir des motifs raisonnables de penser que la communication avec le consentement et au su de l’intéressé pourrait nuire à sa capacité de faire enquête ou de prévenir l’exploitation financière.

Le secteur bancaire a demandé l’introduction de cette disposition pour faire échec à l’exploitation financière de personnes âgées, mais cette situation ne concerne pas uniquement les personnes âgées.

Nous comprenons la raison d’être de la modification proposée, mais nous exhortons le Comité à consulter les institutions financières, les organisations de personnes âgées et les autres parties intéressées pour avoir une idée bien précise de la portée ou de la gravité du problème que cette disposition vise à régler. En fin de compte, le défi sera de faire la part des choses entre le besoin de protéger les personnes dans des situations vulnérables contre un risque réel d’exploitation financière et celui de respecter leur vie privée et leur dignité.

Communication de renseignements à une autre organisation sans le consentement de l’intéressé (remplace le régime applicable aux organismes d’enquête)

En vertu de l’alinéa 7(3)d) de la LPRPDE, une organisation ne peut communiquer des renseignements personnels à l’insu de l’intéressé ou sans son consentement à un organisme d’enquête que si elle a « des motifs raisonnables de croire que le renseignement est afférent à la violation d’un accord ou à une contravention au droit fédéral, provincial ou étranger qui a été commise ou est en train ou sur le point de l’être. »

La loi ne définit pas l’expression « organisme d’enquête ». Mais il est indiqué à l’alinéa 26(1)a.01) que le gouverneur en conseil peut préciser quels sont ces organismes. Il en existe environ 75 à l’heure actuelle. Chaque demande est confirmée par un règlement, ce qui exige énormément de ressources et de temps.

Le Comité permanent a recommandé une modification de la LPRPDE pour remplacer le processus consistant à préciser quels sont les organismes d’enquête par une définition du terme « enquête » similaire à celle qui figure dans les lois de l’Alberta et de la Colombie-Britannique sur la protection des renseignements personnels.

Le projet de loi S-4 propose de supprimer le régime applicable aux organismes d’enquête. En contrepartie, deux nouveaux alinéas, soit les alinéas 7(3)d.1) et 7(3)d.2), seront ajoutés pour autoriser une organisation à communiquer des renseignements personnels sans le consentement de l’intéressé à une autre organisation dans les cas suivants :

  • si ceci est raisonnable en vue d’une enquête sur la violation d’un accord ou sur une contravention au droit fédéral ou provincial qui a été commise ou est en train ou sur le point de l’être, et s’il est raisonnable de s’attendre à ce que la communication effectuée au su ou avec le consentement de l’intéressé compromettrait l’enquête; ou
  • si ceci est raisonnable en vue de la détection d’une fraude ou de sa suppression ou en vue de la prévention d’une fraude dont la commission est vraisemblable, s’il est raisonnable de s’attendre à ce que la communication effectuée au su ou avec le consentement de l’intéressé compromettrait la capacité de prévenir la fraude, de la détecter ou d’y mettre fin.

Ces modifications discrétionnaires devraient harmoniser sensiblement la LPRPDE avec les lois de la Colombie-Britannique et de l’Alberta qui n’ont pas de régime applicable aux organismes d’enquête. Les lois de la Colombie-Britannique et de l’Alberta définissent les termes « investigation » et « proceeding »Note de bas de page 2 et autorisent la collecte, l’utilisation ou la communication de renseignements personnels sans le consentement des intéressés si cette communication est raisonnable pour les fins en question.

Si nous comprenons les difficultés créées par le régime actuel applicable aux organismes d’enquête, nous émettons des réserves à l’égard des modifications proposées. D’abord, les motifs pour communiquer des renseignements à une autre organisation nous apparaissent beaucoup trop vagues et doivent être circonscrits, par exemple en définissant ou en limitant les types d’activités pouvant donner lieu à l’utilisation des renseignements personnels. Ainsi, l’alinéa 7(3)d.2) proposé autoriserait la communication sans le consentement de l’intéressé à une autre organisation pour « prévenir la fraude ». Or, en autorisant la communication de renseignements personnels sans le consentement de l’intéressé pour prévenir la fraude, on risque d’ouvrir la porte à des communications de masse et au partage systématique de renseignements personnels entre les organisations sous le prétexte qu’ils pourraient être utiles pour prévenir la fraude. Notamment, ce manque de précision pourrait conduire à la création de listes noires fondées principalement sur la suspicion. Nous suggérons par conséquent que l’on supprime la mention « prévenir la fraude ».

Le seuil pour ces communications soulève également des questions. Le projet de loi S-4 autoriserait la communication pourvu qu’elle soit « raisonnable » pour les fins énoncées, alors que nous recommandons que l’on modifie le seuil en privilégiant le terme « nécessaire », comme c’était le cas dans les projets de loi antérieurs C-29 et C-12.

Enfin, il y a la question de la transparence. Ni les personnes intéressées ni le Commissariat ne seront au courant de ces communications. De façon à permettre une meilleure reddition des comptes, nous recommandons que le Comité envisage des moyens d’exiger davantage de transparence de la part des organisations concernant les renseignements communiqués en vertu de cette disposition.

En outre, la décision de communiquer des renseignements devrait être prise au cas par cas, et l’organisation à l’origine de ces communications devrait documenter cette décision et faire preuve de la diligence requise pour s’assurer que ces communications sont raisonnables, ou nécessaires si notre suggestion est acceptée, à la fin précisée et que l’obtention du consentement nuirait grandement à la concrétisation de cette fin.

Collecte, utilisation et communication de déclarations de témoins

Le projet de loi S-4 apporte trois modifications distinctes autorisant une organisation à recueillir, utiliser ou communiquer des déclarations de témoins sans le consentement de l’intéressé, pourvu que cette déclaration soit « nécessaire en vue de l’évaluation d’une réclamation d’assurance, de son traitement ou de son règlement » (c’est nous qui surlignons). Ces modifications ont été ajoutées à la demande du secteur de l’assurance.

Bien que nous comprenions le point de vue du secteur de l’assurance, nous ne sommes pas convaincus que ces modifications répondent à un besoin impératif. En fait, on ne nous a pas présenté d’information prouvant que l’absence de ces dispositions a posé problème au secteur.

Si cette modification est adoptée, il nous apparaît essentiel de conserver la nuance importante qui figure dans le projet de loi S-4 selon laquelle la collecte, l’utilisation ou la communication doit être « nécessaire » aux fins énoncées pour limiter la possibilité d’excès de zèle.

Utilisation et communication de renseignements personnels pour des « transactions commerciales »

Il n’existe actuellement aucune disposition dans la LPRPDE autorisant la communication de renseignements personnels sans le consentement de l’intéressé à des fins de diligence raisonnable en prévision de la vente ou du transfert de biens commerciaux. D’autres lois comme la Loi de 2004 sur la protection des renseignements personnels sur la santé de l’Ontario et les lois de l’Alberta et de la Colombie-Britannique régissant la protection des renseignements personnels dans le secteur privé renferment des dispositions autorisant la communication de renseignements sous réserve d’ententes de confidentialité très strictes.

Le projet de loi S-4 propose qu’on ajoute un article 7.2 pour permettre aux organisations envisageant une « transaction commerciale » d’utiliser et de communiquer des renseignements personnels sans le consentement de l’intéressé sous réserve de certaines conditions et mesures de protection.

Les organisations qui sont parties à une transaction commerciale éventuelle ne peuvent utiliser et communiquer des renseignements personnels que si cette communication est nécessaire pour déterminer s’il y a lieu d’aller de l’avant et d’effectuer la transaction (c’est nous qui surlignons). En outre :

  • l’organisation qui reçoit les renseignements doit conclure un accord aux termes duquel elle s’engage à ne les utiliser et à ne les communiquer qu’à la fin précisée, à les protéger et à les remettre à l’organisation ou à les détruire si la transaction n’a pas lieu;
  • si la transaction est effectuée, les parties concluront un accord afin de restreindre l’utilisation ou la communication des renseignements aux fins pour lesquelles ils ont été recueillis, de les protéger et de respecter tout retrait du consentement;
  • une fois la transaction effectuée, l’une des parties avisera les personnes touchées par la transaction que leurs renseignements personnels ont été communiqués.

Le paragraphe 7.2(4) renferme une autre limite visant l’application de ces dispositions, puisqu’il précise qu’elles ne s’appliquent pas à la transaction commerciale « dont l’objectif premier ou le résultat principal est l’achat, la vente ou toute autre forme d’acquisition ou de disposition de renseignements personnels, ou leur location ».

Nous comprenons la raison d’être de ces modifications. Si ces dispositions proposées concernant les transactions commerciales sont adoptées, les mesures de protection et les limites connexes sont requises, à notre avis, pour réduire au maximum le risque qu’elles soient utilisées à mauvais escient.

Autres modifications

L’article 25 de la LPRPDE exige que le commissaire présente un rapport au Parlement « dans les meilleurs délais après la fin de l’année civile ». Toutefois, l’article 38 de la Loi sur la protection des renseignements personnels exige que le commissaire présente un rapport annuel au Parlement « dans les trois mois suivant la fin de chaque exercice ». Cela signifie que nous avons deux périodes de rapport différentes, aux fins de la LPRPDE et de la Loi sur la protection des renseignements personnels. En conséquence, nous produisons deux rapports annuels distincts, ce qui n’est pas une utilisation efficiente des ressources, d’autant plus qu’il n’est pas toujours possible de distinguer nettement les questions visées par la LPRPDE de celles visées par la Loi sur la protection des renseignements personnels, et qu’il nous arrive souvent d’analyser la même question dans les deux rapports.

Nous sommes heureux qu’on envisage par le projet de loi S-4 de modifier la LPRPDE pour nous permettre de déposer notre rapport en vertu de la LPRPDE sur la base de l’exercice, pour que cela coïncide avec le dépôt de notre rapport annuel au sens de la Loi sur la protection des renseignements personnels.

Un mot à propos de la transparence : Communication sans le consentement de l’intéressé en vertu de l’alinéa 7(3)c.1)

Nous apprécions au plus haut point que les dispositions du projet de loi S-4 exigent une plus grande reddition de comptes et davantage de transparence de la part des organisations concernant leurs pratiques de traitement des renseignements personnels. Dans le même esprit toutefois, nous estimons qu’il faut exiger davantage de transparence concernant les communications en vertu de l’alinéa 7(3)c.1).

L’alinéa 7(3)c.1) prévoit qu’une organisation ne peut communiquer des renseignements personnels à l’insu ou sans le consentement de l’intéressé que si cette communication est faite à une institution gouvernementale – ou à une subdivision d’une telle institution – qui a demandé à obtenir le renseignement en mentionnant la source de « l’autorité légitime » étayant son droit de l’obtenir et le fait, selon le cas :

  • qu’elle soupçonne que le renseignement est afférent à la sécurité nationale, à la défense du Canada ou à la conduite des affaires internationales;
  • que la communication est demandée aux fins du contrôle d’application du droit canadien, provincial ou étranger, de la tenue d’enquêtes liées à ce contrôle d’application ou de collecte de renseignements en matière de sécurité en vue de ce contrôle d’application;
  • qu’elle est demandée pour l’application du droit canadien ou provincial.

Cette disposition est discrétionnaire; elle n’oblige pas les organisations à communiquer les renseignements demandés. Ces dernières peuvent refuser d’agréer ces demandes et nombre d’entre elles le font lorsqu’elles estiment que l’organisation qui en fait la demande devrait obtenir une ordonnance du tribunal. Toutefois, nous savons que de nombreuses organisations communiquent des renseignements personnels en réponse aux demandes d’organismes d’application de la loi ou d’autres organismes gouvernementaux avec plus ou moins de réticenceNote de bas de page 3.

La LPRPDE ne renferme aucune disposition obligeant les organisations à faire état des renseignements communiqués en pareil cas. Dans notre mémoire intitulé Arguments en faveur de la réforme de la Loi sur la protection des renseignements personnels et les documents électroniques daté de mai 2013, nous recommandons qu’on exige des organisations « qu’elles rendent public le nombre de communications effectuées à des autorités chargées de l’application de la loi en vertu de l’alinéa 7(3)c.1), à l’insu de l’intéressé et sans son consentement, et sans mandat, afin de faire la lumière sur la fréquence à laquelle cette exception extraordinaire est invoquée et sur l’utilisation qui en est faite ». Nous suggérons qu’à tout le moins les organisations soient obligées de tenir un registre des données de base se rapportant à ces communications et qu’elles soient tenues de rendre public le nombre de communications qu’elles effectuent chaque trimestre. Nous avons fait une recommandation similaire dans notre rapport spécial au Parlement de janvier 2014, intitulé Mesures de vérification et de contrôle : Renforcer la protection de la vie privée et la supervision des activités du secteur canadien du renseignement à l’ère de la cybersurveillance. En fait, de nombreuses organisations, en particulier aux États-Unis, présentent déjà un rapport faisant état de ces communications sans qu’il en résulte apparemment d’inconvénients ou de préjudice au niveau de leur bilan.

Nous exhortons le Comité à envisager des façons de renforcer la transparence de ces communications.

Conclusion

Le projet de loi S-4 est le fruit d’un examen parlementaire qui a pris place il y a sept ans. Il reflète un monde où l’infonuagique, les mégadonnées, les téléphones intelligents et les gazouillis n’étaient pas encore des réalités quotidiennes. Aujourd’hui, des quantités phénoménales de renseignements personnels sont recueillies, analysées, regroupées avec d’autres données et utilisées de diverses façons que peu de gens peuvent comprendre. Ces changements risquent de saper la confiance sur laquelle repose l’économie numérique d’aujourd’hui.

Compte tenu des énormes changements qui ont transformé notre société et l’environnement commercial mondial, nous estimons qu’il est capital de mettre à jour la LPRPDE pour nous assurer qu’elle atteint encore son objectif.

Lorsqu’elle a été déposée, la LPRPDE était considérée comme un texte phare parce qu’elle était neutre sur le plan technologique et fondée sur des principes. Toutefois, au cours des dix dernières années, nous avons assisté à l’émergence d’une nouvelle génération de lois sur la protection de la vie privée qui ont instauré l’obligation de signaler les atteintes à la sécurité des renseignements et donné aux autorités chargées de l’application des lois sur la protection de la vie privée des citoyens des pouvoirs plus vigoureux – laissant la LPRPDE cruellement à la traîne.

Le Canada a longtemps été un chef de file en matière de protection de la vie privée. L’adoption du projet de loi S-4 nous aidera à conserver notre place de premier plan en assurant une protection adéquate aux intérêts des Canadiens en matière de vie privée et en bâtissant la confiance requise pour donner son essor à une économie numérique durable et dynamique. Plus précisément, l’obligation de signaler les atteintes à la sécurité des renseignements et les dispositions sur l’accord de conformité volontaire prévues dans le projet de loi S-4 renforceront la loi et aideront à créer les mesures incitatives requises pour restaurer un certain équilibre dans la LPRPDE.

Nous attendons avec impatience l’examen de la LPRPDE pour garantir qu’elle sera en mesure de relever les défis inhérents à l’ère numérique.

Date de modification :