Examen des mesures réglementaires en matière de protection des renseignements confidentiels sur les clients et de la vie privée

Soumission du Commissariat à la protection de la vie privée du Canada à l'intention du Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC)

Mars 2009

En février 2009, le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) a lancé une invitation à fournir des observations écrites sur la pertinence du maintien de mesures réglementaires visant à protéger les renseignements personnels des clients qui ont été recueillis, utilisés et communiqués par des fournisseurs de services de télécommunication (FST). La date limite de remise de ces observations était le 20 mars 2009.

La présentation du Commissariat à la protection de la vie privée du Canada (CPVP) demande au CRTC de maintenir les mesures réglementaires exigeant que les FST obtiennent le consentement explicite des clients avant de communiquer leurs renseignements personnels. Le CPVP a également engagé le CRTC à maintenir son rôle important de réglementation, et à protéger les renseignements personnels en ces temps où les menaces contre la vie privée ne cessent de se multiplier.

Le 20 mars 2009

Monsieur Robert A. Morin
Secrétaire général
Conseil de la radiodiffusion et des télécommunications canadiennes
Ottawa (Ontario) K1A 0N2

Objet : Avis public de télécom CRTC 2009-71 – Examen des mesures réglementaires en matière de protection des renseignements confidentiels sur les clients et de la vie privée; no de référence du CRTC : 8663-C12-200903387

Monsieur,

En décembre 2006, la gouverneure en conseil, sur la recommandation du ministre de l’Industrie, a publié le Décret^{Note de bas 1} donnant au Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) des instructions relativement à la mise en œuvre de la politique canadienne de télécommunications (les instructions).
En avril 2008, le CRTC a publié un plan d’action pour examiner certaines mesures réglementaires de nature sociale et non économique à la lumière des instructions. Le plan d’action précisait que les mesures réglementaires associées aux garanties et obligations relatives à la protection de la vie privée devaient faire l’objet d’un examen.
Dans la foulée de ce plan d’action, le CRTC publiait, le 13 février 2009, l’avis de consultation de télécom 2009-71, demandant des observations sur la question de savoir s’il convient de maintenir les mesures réglementaires en matière de renseignements confidentiels sur les clients et la vie privée et autres garanties et obligations relatives à la protection de la vie privée.
Le 6 mars 2009, le Commissariat à la protection de la vie privée du Canada (CPVP) a informé le CRTC de son intention de participer à cette consultation parce qu’il juge qu’elle soulève d’importantes questions en ce qui concerne la protection des renseignements personnels des clients recueillis, utilisés et communiqués par les fournisseurs de services de télécommunication (FST).
Le CPVP formule ces observations en tant que partie intéressée à la consultation, conformément à son mandat législatif^{Note de bas 2} de protéger le droit à la vie privée des personnes et de promouvoir les mesures de protection de la vie privée offertes aux Canadiennes et aux Canadiens^{Note de bas 3} .
Les observations du CPVP mettent l’accent sur l’urgent besoin pour le CRTC de maintenir les mesures réglementaires pour protéger la vie privée des clients. Nos observations demandent plus spécifiquement au CRTC de maintenir l’exigence selon laquelle les FST doivent obtenir le consentement exprès de leurs clients pour communiquer leurs renseignements confidentiels.
La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) s’applique aux renseignements personnels traités par les FST dans le cadre de la prestation de services de télécommunications aux clients. La LPRPDE exige des FST qu’ils obtiennent le consentement des personnes en ce qui concerne la collecte, l’utilisation et la communication de leurs renseignements personnels. La LPRPDE offre aussi aux personnes le droit d’accès à leurs renseignements personnels et un mécanisme de plainte pour les violations présumées de la Loi. Ce régime offre une solide protection de la vie privée aux clients.
Les règles du CRTC concernant la communication de renseignements confidentiels sur les clients fournissent une importante couche de protection supplémentaire pour la vie privée des clients dans l’industrie des télécommunications. En vertu des règles du CRTC, il est interdit à presque tous les FST de communiquer des renseignements confidentiels sur leurs clients sans leur consentement exprès^{Note de bas 4} . Le nom, l’adresse et le numéro de téléphone inscrit dans l’annuaire ne sont pas considérés comme étant des renseignements confidentiels sur les clients et ne sont pas visés par cette exigence concernant le consentement. Cette approche est conforme aux dispositions concernant les renseignements auxquels le public a accès en vertu de l’article 7 de la LPRPDE et de son règlement d’application^{Note de bas 5} .
Les renseignements confidentiels sur les clients comprennent des renseignements personnels tels que :
- l’historique des appels (p. ex. à qui, quand et où un appel a été fait, la durée de l’appel, les tendances d’appel);
- l’historique de facturation;
- les renseignements bancaires fournis aux fins d’opérations de paiement;
- la solvabilité;
- les numéros de téléphone non inscrits dans l’annuaire;
- l’abonnement à des fonctions et services de télécommunications offerts.
Le CPVP soutient respectueusement qu’il est nécessaire de maintenir les mesures réglementaires visant à protéger les renseignements confidentiels et la vie privée des clients, compte tenu de ce qui suit :
- les technologies de plus en plus perfectionnées et puissantes qui permettent de recueillir, de traiter, de conserver et de distribuer de grandes quantités de renseignements personnels de part et d’autre des frontières;
- les pratiques non contrôlées et potentiellement dommageables des courtiers en données internationaux;
- les graves préjudices subis par les Canadiennes et les Canadiens en raison du vol d’identité et d’autres utilisations criminelles et frauduleuses des renseignements personnels;
- les intrusions causées par les appels de télémarketing non sollicités.
La protection de la vie privée est souvent considérée comme un droit fondamental de la personne, et sans doute le droit duquel plusieurs autres importantes libertés sont issues : l’autonomie et la prise de décision individuelles, la liberté d’expression, la liberté d’association et la liberté de pensée^{Note de bas 6} . Les sanctions du Code criminel, jointes aux exigences des lois en matière de protection de la vie privée, ont imposé de sévères restrictions aux mesures gouvernementales et aux pratiques du secteur privé en ce qui concerne l’accès aux renseignements privés^{Note de bas 7} . La protection de la vie privée n’est pas un nouvel enjeu de politique publique, mais il en est un qui attire de plus en plus l’attention du public alors que les graves conséquences d’une collecte et d’une communication non contrôlées et illimitées de renseignements personnels sur les clients sont mises au jour.
Dans son rapport annuel au Parlement, la commissaire à la protection de la vie privée a indiqué que plus que jamais, les Canadiennes et les Canadiens s’inquiètent du sort de leur vie privée et du risque que leurs renseignements personnels soient utilisés à mauvais escient^{Note de bas 8} . Un sondage d’opinion publique mené par le CPVP en 2008 a révélé que plus de la moitié des Canadiens sont inquiets de donner leurs renseignements personnels à des détaillants^{Note de bas 9} . Les répondants ont évoqué plusieurs inquiétudes, notamment quant à la sécurité des renseignements affichés en ligne, au vol d’identité et à la fraude^{Note de bas 10} . Les conclusions en vertu de la LPRPDE rendues par le Commissariat concernant les activités de courtiers de données en ligne rendent compte du malaise des gens concernant la collecte, l’utilisation ou la communication de renseignements personnels sans discernement et sans consentement par des organisations d’établissement de profils et des courtiers de données^{Note de bas 11} .
À notre époque de diffusion, de stockage de renseignements et de traitement de données électroniques, un simple clic de souris suffit à recueillir, à échanger ou à comparer vos renseignements personnels^{Note de bas 12} . La commissaire a fait remarquer lors d’un exposé à l’intention de l’Association canadienne du marketing que les Canadiennes et les Canadiens sont sensibles à la facilité avec laquelle des renseignements personnels tels que le numéro de téléphone peuvent être couplés à d’autres renseignements personnels disponibles afin de créer des profils de consommateurs détaillés qui sont ensuite communiqués ou vendus à des télévendeurs ou à d’autres organisations sans leur consentement approprié ou à leur insu^{Note de bas 13} . Le CPVP a détaillé dans sa précédente soumission au CRTC concernant les répercussions en matière de protection de la vie privée de l’inspection approfondie des paquets (IAP) les possibles inquiétudes au sujet du suivi des consommateurs^{Note de bas 14} . Le fait que sans protection adéquate, les données de suivi des consommateurs puissent se retrouver dans de mauvaises mains ou être utilisées à des fins non prévues est particulièrement préoccupant.
Conjointement avec la LPRPDE, les mesures réglementaires actuelles du CRTC protégeant les renseignements confidentiels sur les clients empêchent une importante quantité de renseignements sur les clients d’entrer sur le marché international non contrôlé des renseignements personnels. Les règles et le pouvoir réglementaire du CRTC représentent une importante mesure de contrôle sur laquelle comptent les Canadiennes et les Canadiens pour protéger leurs renseignements personnels.
Nos observations porteront sur les points suivants :
I. La juridiction du CRTC et celle du CPVP en matière de protection de la vie privée sont complémentaires, et non redondantes.
1. Juridiction et rôle du CPVP en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE);
2. Juridiction et rôle du CRTC en vertu de la Loi sur les télécommunications.
II. Réponses aux demandes de renseignements :

1) Les clients des fournisseurs de services de télécommunications ne peuvent se fier aux forces du marché pour protéger leur vie privée.
1. Le CRTC constate que les seules forces du marché ne suffisent pas à protéger la vie privée;
2. Préserver la confidentialité des renseignements personnels sur les clients malgré les puissantes technologies de collecte de données, les courtiers en données et l’activité criminelle transfrontalière.

I. La juridiction du CRTC et celle du CPVP en matière de protection de la vie privée sont complémentaires, et non redondantes.

Le CRTC et le CPVP jouent des rôles complémentaires en matière de protection de la vie privée^{Note de bas 15} . Leurs rôles sont liés, mais non redondants. Bien que le CPVP et le CRTC aient des juridictions qui se recoupent en matière de protection de la vie privée et de FST^{Note de bas 16} , leurs fonctions et leurs pouvoirs diffèrent grandement.
Les mesures réglementaires^{Note de bas 17} relatives à la confidentialité des renseignements sur les clients ne reprennent pas les mesures de protection de la vie privée prévues par la LPRPDE^{Note de bas 18} . De manière générale, la LPRPDE s’applique aux renseignements personnels traités par une organisation dans le cadre de ses activités commerciales. La Loi s’applique aux organisations de divers secteurs, dans une grande variété de contextes. En revanche, les FST qui fournissent des services réglementés doivent respecter des exigences précises en matière de confidentialité des renseignements sur les clients, lesquelles décrivent les conditions qui s’appliquent à la communication des renseignements confidentiels sur les clients^{Note de bas 19} .

a) Juridiction et rôle du CPVP en vertu de la LPRPDE

Le CPVP a pour mandat de surveiller la conformité à la Loi sur la protection des renseignements personnels^{Note de bas 20} , laquelle porte sur les pratiques de traitement des renseignements personnels utilisées par les ministères et organismes fédéraux, de même qu’à la LPRPDE^{Note de bas 21} , la loi fédérale sur la protection des renseignements personnels applicable au secteur privé. La LPRPDEvise les organisations qui recueillent, utilisent et communiquent des renseignements personnels dans le cadre de leurs activités commerciales^{Note de bas 22} . Elle vise également les renseignements personnels des clients et employés des entreprises fédérales, comme les entreprises de télécommunications^{Note de bas 23}.
La commissaire à la protection de la vie privée du Canada est principalement un ombudsman. Le rôle actuel de la commissaire en vertu de la LPRPDE reflète celui que lui confère la Loi sur la protection des renseignements personnels, qui a été conçue pour surveiller les pratiques de traitement des renseignements personnels du gouvernement fédéral. À ce titre, la commissaire tente de régler les plaintes déposées par des personnes ou de son propre chef contre des organisations du secteur privé en vertu de la LPRPDE. Pour ce faire, elle dispose de divers moyens visant à promouvoir le respect de la LPRPDE, notamment la sensibilisation du grand public, la recherche, les vérifications, les enquêtes, la médiation et, dans certaines circonstances, la procédure judiciaire.
Dans le cadre de ce processus en deux étapes, la commissaire tire des conclusions concernant les plaintes et donne des conseils et des renseignements^{Note de bas 24} sur l’application de la LPRPDE aux activités quotidiennes de collecte, d’utilisation et de communication de renseignements personnels par une vaste gamme d’organisations. L’objet des plaintes est varié : protection de la vie privée au travail, confidentialité des renseignements personnels sur la santé, confidentialité des renseignements personnels sur la situation financière, pratiques de promotion secondaire et circulation transfrontalière des renseignements personnels. Les différends non résolus peuvent être portés devant la Cour fédérale par le plaignant ou par la commissaire.
La LPRPDE a pour objet de protéger les données personnelles de manière à tenir compte de la réalité du commerce actuel, de plus en plus marqué par les transactions virtuelles électroniques, rendues possibles grâce aux progrès rapides de la technologie de l’information^{Note de bas 25} . La pierre d’assise de la LPRPDE est le consentement individuel, qui peut être explicite ou implicite, selon les circonstances^{Note de bas 26} . Même avec le consentement du client, les organisations doivent limiter la collecte, l’utilisation et la communication des renseignements personnels aux fins qu’une personne raisonnable estimerait acceptables dans les circonstances^{Note de bas 27} . Dans la LPRPDE, la notion de « jugement raisonnable d’une personne » est au cœur de la protection des renseignements personnels. On doit l’appliquer dans chaque cas, en tenant compte du contexte, pour parvenir à un juste équilibre entre les préoccupations individuelles en matière de protection des renseignements personnels et les intérêts de l’entreprise.
L’article 4(3) de la LPRPDE prévoit que la Loi et ses exigences ont préséance sur toute loi édictée subséquemment, ce qui comprend la Loi sur les télécommunications et son règlement d’application. Il est important de noter, toutefois, que la LPRPDE représente une norme de base concernant la façon dont les organisations devraient traiter les renseignements personnels. Le CRTC, grâce à ses mesures réglementaires, pourrait aller au-delà de la norme de la LPRPDE si, selon son opinion d’expert, cela est conforme aux intérêts du public et à la politique canadienne sur les télécommunications tel qu’établis en vertu de la Loi sur les télécommunications.

b) Juridiction et rôle du CRTC en vertu de la Loi sur les télécommunications

En vertu de la Loi sur les télécommunications, le mandat du CRTC consiste à veiller à ce que les systèmes de la radiodiffusion et des télécommunications répondent aux besoins du public^{Note de bas 28} . Le CRTC est un tribunal spécialisé et décisionnaire qui possède une autorité reconnue dans le domaine des télécommunications^{Note de bas 29}. Dans l’exercice de ses responsabilités, tant en radiodiffusion qu’en télécommunications, le CRTC doit agir dans l’intérêt du public ainsi que le lui prescrivent les lois.
Conformément à la politique canadienne de télécommunications, le CRTC doit protéger la vie privée des personnes et leurs communications. Cette politique est énoncée aux alinéas 7a) et i) de la Loi :
7. La présente loi affirme le caractère essentiel des télécommunications pour l’identité et la souveraineté canadiennes; la politique canadienne de télécommunications vise à :

a) favoriser le développement ordonné des télécommunications partout au Canada en un système qui contribue à sauvegarder, enrichir et renforcer la structure sociale et économique du Canada et de ses régions;

i) contribuer à la protection de la vie privée des personnes.
En vertu de la Loi, le CRTC a la capacité d’améliorer la protection de la vie privée par des moyens dont ne dispose pas le CPVP. Les pouvoirs suivants du CRTC constituent une solide couche de protection pour la vie privée des Canadiennes et des Canadiens :
- le pouvoir de rendre des décisions exécutoires et des ordonnances relatives aux tarifs, comme les frais pour les numéros non inscrits dans l’annuaire ou les obligations réglementaires des FST;
- le CRTC a « le pouvoir d’interdire ou de réglementer, dans la mesure qu’il juge nécessaire […] pour prévenir tous inconvénients anormaux, l’utilisation par qui que ce soit des installations de télécommunication de toute entreprise canadienne en vue de la fourniture de télécommunications non sollicitées. »;
- le CRTC réglemente non seulement les services de télécommunications, mais aussi les technologies de télécommunications. Il s’agit d’un important pouvoir de réglementation qui permet au CRTC de veiller à ce que la protection de la vie privée soit intégrée dans les technologies utilisées par l’industrie des télécommunications partout au Canada.
En exerçant le pouvoir discrétionnaire que lui confère la Loi sur les télécommunications, le CRTC peut appliquer des normes de protection de la vie privée plus strictes que celles prévues par la LPRPDE^{Note de bas 30} . Dans le contexte de la communication de renseignements personnels confidentiels par les FST, le CRTC a toujours constaté que le consentement exprès, plutôt qu’implicite, était approprié, et a élargi les formes de consentement exprès pour répondre aux préoccupations de l’industrie^{Note de bas 31} . En vertu de la LPRPDE, le consentement implicite peut être autorisé dans certaines circonstances, et constitue un seuil de protection moins contraignant pour les organisations.

II. Réponses aux demandes de renseignements :

1) Les clients ne peuvent se fier aux forces du marché pour protéger leur vie privée.

a) Le CRTC constate que les seules forces du marché ne suffisent pas à protéger la vie privée.

Dans ses rapports et décisions, le CRTC a souligné de façon constante l’importance de la protection de la vie privée pour les Canadiennes et les Canadiens, et ce, avant même l’entrée en vigueur de la LPRPDE en 2000.
En 1996, le CRTC déposait son Rapport au gouverneur en conseil sur les listes d’inscriptions d’abonnés dans les annuaires et sur le service de numéro non inscrit^{Note de bas 32} . Le Rapport donne une liste, telle qu’établie par Industrie Canada, des principes applicables dont il faut tenir compte^{Note de bas 33} :

1) les Canadiens attachent beaucoup d’importance à leur vie privée. Il faut explicitement tenir compte de ce facteur dans la prestation, l’utilisation et la réglementation des services de télécommunication.

3) quand un nouveau service de télécommunication menace de porter atteinte à la vie privée, il faut prendre des dispositions pour la protéger sans frais, à moins qu’il existe des raisons impérieuses de ne pas le faire.

4) il est essentiel, pour protéger la vie privée, de limiter la collecte, l’utilisation et la communication de renseignements personnels découlant de l’emploi de réseaux de télécommunication et obtenus par les fournisseurs de services. Sauf s’il y va de l’intérêt général ou si la loi l’autorise, de tels renseignements ne devraient être recueillis, utilisés ou communiqués qu’avec le consentement éclairé et exprès des intéressés.
Compte tenu de ces principes, le CRTC formule les constatations suivantes dans son Rapport :
- à la lumière des préoccupations de plus en plus vives au sujet de la protection de la vie privée, le Conseil examinera les pratiques des compagnies de téléphone afin de permettre aux abonnés d’exercer un meilleur contrôle sur leurs inscriptions telles qu’elles figurent dans les annuaires téléphoniques;
- le Conseil estime en outre que le traitement des renseignements tirés des inscriptions d’abonnés au service cellulaire a créé, chez les abonnés au service mobile, une attente voulant que leur numéro de téléphone mobile ne soit pas publié ni divulgué à des tiers sans leur accord exprès et qu’aucuns frais ne s’appliquent pour la non-publication de leur numéro;
- Par conséquent, le Conseil estime que la publication des numéros de téléphone mobiles sans l’accord exprès de l’abonné constituerait une violation du principe de la protection de la vie privée voulant que, sauf dans les cas qui sont clairement dans l’intérêt public, les renseignements ne doivent être réunis, utilisés et divulgués qu’avec l’accord exprès et à la connaissance des personnes visées.
Bien que ces principes et constatations soient applicables au contexte de l’examen des listes d’inscriptions d’abonnés dans les annuaires et du service de numéro non inscrit, ils peuvent éclairer l’examen des mesures réglementaires en matière de protection des renseignements confidentiels sur les clients et de protection de la vie privée.
Le CRTC a abordé la question de la protection de la vie privée dans plusieurs de ses décisions. En voici quelques-unes qui appuient l’application de mesures réglementaires en matière de protection des renseignements confidentiels sur les clients et de protection de la vie privée :
- Décision Télécom 86-7 – Le CRTC^{Note de bas 34} a déterminé qu’il faut interdire aux entreprises de télécommunications de communiquer la majorité des renseignements qu’elles possèdent sur leurs clients, sauf si elles obtiennent le consentement écrit des clients ou si la communication de ces renseignements est requise par la loi. Cette position avait été entérinée à l’époque par la commissaire à la protection de la vie privée.
- Décision Télécom 2003-33, telle que modifiée par la Décision 2003-33-1^{Note de bas 35} – Le CRTC a constaté que le consentement implicite n’est pas un type de consentement suffisant pour permettre aux entreprises de communiquer à leurs sociétés affiliées les renseignements confidentiels sur leurs clients autres que le nom, l’adresse et le numéro de téléphone inscrit dans l’annuaire. Le CRTC a toutefois admis qu’il était approprié d’élargir la liste des moyens acceptables d’obtenir le consentement exprès des clients^{Note de bas 36} .
- Décision Télécom 2004-27^{Note de bas 37} – Le CRTC a imposé à toutes les entreprises canadiennes, comme condition pour pouvoir offrir des services de télécommunications, d’inclure dans leurs contrats de service ou autres accords conclus avec les revendeurs, l’exigence que les revendeurs respectent les dispositions relatives à la confidentialité approuvées dans les décisions précédentes.
- Décision Télécom CRTC 2006-15 – Le CRTC a pris acte qu’étant donné l’émergence des nouvelles technologies et du commerce électronique qui facilitent l’échange et le traitement des renseignements :
  « les forces du marché, même appuyées par les dispositions de la LPRPDE, ne permettront probablement pas de protéger adéquatement la vie privée des clients dans un environnement faisant l’objet d’une abstention. Le Conseil juge donc nécessaires le maintien des dispositions relatives à la confidentialité des renseignements sur le client et le recours à l’article 24 de la Loi en vue de résoudre des problèmes courants en matière de protection de la vie privée dans un marché faisant l’objet d’une abstention^{Note de bas 38} ».
Les conclusions du CRTC dans la Décision Télécom 2006-15 sont plus pertinentes que jamais. Les réalités de l’environnement réseauté d’aujourd’hui et les demandes actuelles du marché électronique soulignent l’importance de la décision du CRTC selon laquelle il est nécessaire de maintenir une réglementation afin de protéger la vie privée.

b) Préserver la confidentialité des renseignements personnels sur les clients malgré les puissantes technologies de collecte de données, les courtiers en données et l’activité criminelle transfrontalière

Dans le cadre de son mandat de sensibilisation du grand public, le CPVP a publiquement fait valoir que la technologie de l’information se développe rapidement et qu’elle a une incidence profonde sur la capacité d’une personne physique à contrôler la façon dont d’autres personnes, dans d’autres juridictions, utilisent des renseignements personnels qui la concernent ^{Note de bas 39} . Le CPVP a fait valoir dans son mémoire déposé à titre d’amie de la cour à l’appui de la position de la Federal Trade Commission des États-Unis dans une affaire devant la Tenth Circuit Court of Appeals des États-Unis contre Abika/Accusearch, un courtier de données transfrontalier soupçonné d’avoir fait une utilisation abusive de renseignements personnels de Canadiens et d’Américains, que non seulement l’absence de frontière d’Internet a élargi les marchés accessibles aux entreprises commerciales, elle permet aussi à des organisations canadiennes et étrangères de recueillir, d’utiliser et de communiquer facilement des renseignements personnels concernant des Canadiennes et des Canadiens, avec ou sans leur consentement^{Note de bas 40} . La prolifération des échanges de relevés de téléphone confidentiels constitue un exemple de ce phénomène grandissant.
La commissaire à la protection de la vie privée du Canada a elle-même été victime de la collecte, de l’utilisation et de la communication inappropriées de relevés de téléphone confidentiels. En novembre 2005, un journaliste au service d’un magazine canadien s’est procuré les relevés de téléphone de la commissaire à la protection de la vie privée du Canada auprès d’un courtier en données des États-Unis, dont les activités consistaient à vendre à ses clients les renseignements personnels qu’ils demandaient au sujet d’autres personnes, généralement sans le consentement de ces dernières. Une enquête demandée et menée par le CPVP a permis de déterminer que le courtier en données américain obtenait ces renseignements illégalement auprès de trois des plus grandes entreprises de télécommunications canadiennes^{Note de bas 41}.
Tel que l’a fait valoir le CPVP dans son mémoire déposé à titre d’amie de la cour^{Note de bas 42} , des préjudices concrets peuvent être causés par la collecte, l’utilisation et la communication de renseignements personnels par des organisations qui se livrent activement à la vente de renseignements personnels concernant des personnes se trouvant au Canada. Compte tenu de la capacité actuelle de ce qu’il est convenu d’appeler les « infomédiaires » à mettre en corrélation des renseignements obtenus de nombreuses sources variées, et de la multitude d’organisations qui ont recours à ces courtiers en données, les renseignements personnels peuvent être versés dans plusieurs autres bases de données accessibles à autrui sans autorisation.
L’utilisation abusive de renseignements personnels peut donner lieu à un préjudice que les organismes de réglementation doivent pouvoir empêcher afin de protéger les consommateurs. La collecte inconsidérée et illimitée de renseignements personnels comme les renseignements sur les clients peut entraîner le vol d’identité, d’autres types de fraude et des atteintes à la réputation. En 2006, près de 8 000 victimes ont déclaré des pertes de 16 millions de dollars à PhoneBusters, le centre d’appel antifraude du Canada^{Note de bas 43} . Citant des statistiques du Conseil canadien des bureaux d'éthique commerciale, le ministère de la Justice du Canada a affirmé que le vol d’identité peut coûter aux citoyens, aux banques, aux entreprises qui délivrent des cartes de crédit, aux magasins et autres entreprises du Canada plus de deux milliards de dollars chaque année^{Note de bas 44}. Fixer et maintenir des restrictions relatives à la communication des renseignements sur les clients par les FST constituent d’importantes mesures réglementaires pour protéger les clients contre ces préjudices.

Conclusion

Nous soumettons respectueusement que le retrait des mesures réglementaires protégeant la confidentialité des renseignements sur les clients nuirait à la protection de la vie privée au Canada. En éliminant ces mesures, on priverait les clients des FST d’une importante voie de recours devant un organisme décisionnaire spécialisé auquel la Loi sur les télécommunications confère d’importants pouvoirs pour protéger la vie privée. Le fait de maintenir la protection de la vie privée des clients ne nuira pas au commerce électronique et à la circulation des renseignements sur Internet; au contraire, ils s’en trouveront améliorés. Les consommateurs ont le droit de voir leurs renseignements personnels traités d’une manière appropriée, qui les protège contre les risques graves que constituent les préjudices financiers, les atteintes à la réputation et les intrusions par les appels de télémarketing non sollicités. Nous demandons instamment au CRTC de continuer à jouer son important rôle qui consiste à protéger les Canadiennes et les Canadiennes contre ces préjudices, à un moment où les menaces contre la vie privée augmentent sans cesse.

Veuillez agréer, Monsieur, l’expression de ma considération distinguée.

La commissaire à la protection de la vie privée du Canada,

version anglaise signée par:

Jennifer Stoddart

Notes en fin de texte

Note de bas de page 1

Décret donnant au CRTC des instructions relativement à la mise en œuvre de la politique canadienne de télécommunication, C.P. 2006-1534, 14 décembre 2006, en vertu de l’article 8 de la Loi sur les télécommunications de 1993, ch. 38.

Retour à la référence de la note de bas de page 1

Note de bas de page 2

Mandat et mission du CPVP.

Retour à la référence de la note de bas de page 2

Note de bas de page 3

En vertu de la Loi sur la protection des renseignements personnels, ch. P-21; Loi sur la protection des renseignements personnels et les documents électroniques, 2000, ch. 5.

Retour à la référence de la note de bas de page 3

Note de bas de page 4

Modalités de service, paragraphe 10 de l’article 11 du Tarif général – Confidentialité des renseignements sur l'abonné telle que définie dans l’Examen des règlements généraux des transporteurs publics de télécommunications terrestres assujettis à la réglementation fédérale, Décision Télécom CRTC 86-7, telle que modifiée par l’Ordonnance Télécom CRTC 86-593; Décision Télécom CRTC 2003-33-1 et Décision Télécom CRTC 2005-15.

Retour à la référence de la note de bas de page 4

Note de bas de page 5

Renseignements auxquels le public a accès - DORS/2001-7 – 13 décembre 2000.

Retour à la référence de la note de bas de page 5

Note de bas de page 6

Il y a une longue série de décisions dans lesquelles la Cour Suprême du Canada affirme que le droit à la vie privée est digne d’être protégé par la Constitution : Hunter c. Southam Inc., [1984] 2 R.C.S. 145; R. c. Morgentaler, [1988] 1 R.C.S. 30; R. c. Dyment, [1988] 2 R.C.S. 417; R. c. Duarte, [1990] 1 R.C.S. 30; R. c. Hebert, [1990] 2 R.C.S. 151; R. c. Wong, [1990] 3 R.C.S. 36; R. c. Broyles, [1991] 3 R.C.S. 595; R. c. Osolin, [1993] 4 R.C.S. 595; Rodriguez c. Colombie-Britannique (Procureur général), [1993] 3 R.C.S. 519; R. c. Evans, [1996] 1 R.C.S. 8; R. c. Edwards, [1996] 1 R.C.S. 128; Godbout c. Ville de Longueuil, [1997] 3 R.C.S. 844; Dagg c. Canada (Ministre des Finances), [1997] 2 R.C.S. 403; Aubry c. Éditions Vice-Versa, [1998] 1 R.C.S. 591; Lavigne c. Canada (Commissariat aux langues officielles), [2002] 2 R.C.S. 773; Ruby c. Canada (Solliciteur général), [2002] 4 R.C.S. 3; R. c. Tessling, [2004] 3 R.C.S. 432; R. c. A.M., 2008 CSC 19; R. c. Kang-Brown, 2008 CSC 18.

Retour à la référence de la note de bas de page 6

Note de bas de page 7

Voir, par exemple, l’art.184 (interception volontaire d’une communication privée); l’art. 342.1 (obtention frauduleuse de la substance, du sens ou de l’objet de toute fonction d’un ordinateur); le paragr. 430(1.1) (méfait; volontairement, empêche, interrompt ou gêne l’emploi légitime des données ou dépouille les données de leur sens, les rend inutiles ou inopérantes) Code criminel, L.R.C. 1985, ch. C-46.

Retour à la référence de la note de bas de page 7

Note de bas de page 8

Commissaire à la protection de la vie privée du Canada, Jennifer Stoddart, Rappport annuel au Parlement 2005 - Rapport sur la Loi sur la protection des renseignements personnels et les documents électroniques.

Retour à la référence de la note de bas de page 8

Note de bas de page 9

Communiqué – Les Canadiens hésitent à donner leurs renseignements personnels à des détaillants - Ottawa, 3 juillet 2008.

Retour à la référence de la note de bas de page 9

Note de bas de page 10

Les renseignements personnels que les Canadiens donnent aux détaillants, Rapport final présenté au : Commissariat à la protection de la vie privée du Canada, janvier 2008, Ipsos-Reid Corporation.

Retour à la référence de la note de bas de page 10

Note de bas de page 11

Questions-clés – Courtiers en données en ligne – 18 novembre 2005.

Retour à la référence de la note de bas de page 11

Note de bas de page 12

Fiche d’information du CPVP – Comment protéger vos renseignements personnels.

Retour à la référence de la note de bas de page 12

Note de bas de page 13

L’importance de la confiance – Congrès national et exposition commerciale 2004 de l’Association canadienne du marketing – 4 mai 2004, Ottawa, Ontario, Jennifer Stoddart, commissaire à la protection de la vie privée du Canada.

Retour à la référence de la note de bas de page 13

Note de bas de page 14

Examen des pratiques de gestion du trafic Internet des fournisseurs de services Internet – Soumission du Commissariat à la protection de la vie privée du Canada à l’intention du Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC).

Retour à la référence de la note de bas de page 14

Note de bas de page 15

Groupe d’étude sur le cadre réglementaire des télécommunications, ch. 6 Réglementation sociale.

Retour à la référence de la note de bas de page 15

Note de bas de page 16

Englander c. Telus Communications Inc. 2004 CAF 387, parag. 79.

Retour à la référence de la note de bas de page 16

Note de bas de page 17

En vertu de la Loi sur les télécommunications, S.C. 1993, ch. 38.

Retour à la référence de la note de bas de page 17

Note de bas de page 18

2000, ch. 5.

Retour à la référence de la note de bas de page 18

Note de bas de page 19

Supra, note 4.

Retour à la référence de la note de bas de page 19

Note de bas de page 20

R.S., 1985, ch. P-21.

Retour à la référence de la note de bas de page 20

Note de bas de page 21

2000, ch. 5.

Retour à la référence de la note de bas de page 21

Note de bas de page 22

Guides du CPVP : Vos droits en matière de vie privée : Un guide pour les particuliers sur la Loi sur la protection des renseignements personnels et les documents électroniques; et Protection des renseignements personnels : vos responsabilités : Guide à l'intention des entreprises et des organisations – La Loi sur la protection des renseignements personnels et les documents électroniques du Canada.

Retour à la référence de la note de bas de page 22

Note de bas de page 23

Fiche d’information du CPVP : Application de la Loi sur la protection des renseignements personnels et les documents électroniques aux dossiers du personnel.

Retour à la référence de la note de bas de page 23

Note de bas de page 24

State Farm Mutual Automobile Insurance Company c. Commissaire à la protection de la vie privée du Canada, 2009 NBCA 5 (CanLII), parag. 16.

Retour à la référence de la note de bas de page 24

Note de bas de page 25

L’article 3 de la LPRPDE en définit l’objet : « fixer, dans une ère où la technologie facilite de plus en plus la circulation et l’échange de renseignements, des règles régissant la collecte, l’utilisation et la communication de renseignements personnels d’une manière qui tient compte du droit des individus à la vie privée à l’égard des renseignements personnels qui les concernent et du besoin des organisations de recueillir, d’utiliser ou de communiquer des renseignements personnels à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances ».

Retour à la référence de la note de bas de page 25

Note de bas de page 26

Clause 4.3 de l’annexe 1, et article 7 de la LPRPDE, qui donnent la liste des circonstances où l’exigence de consentement ne s’applique pas.

Retour à la référence de la note de bas de page 26

Note de bas de page 27

Articles 3 et 5(3) de la LPRPDE; voir aussi Fiche d’information du CPVP – Se conformer à la Loi sur la protection des renseignements personnels et les documents électroniques.

Retour à la référence de la note de bas de page 27

Note de bas de page 28

Le CRTC. Le CRTC a aussi juridiction pour réglementer et superviser le système de radiodiffusion canadien en vertu de la Loi sur la radiodiffusion (1991, ch. 11 ) .

Retour à la référence de la note de bas de page 28

Note de bas de page 29

British Columbia Telephone Co. c. Shaw Cable Systems (B.C.) Ltd., [1995] 2 R.C.S. 739, parag. 30 et 33; Englander c. Telus Communications Inc., 2004 CAF 387 (2004), parag. 72. On peut en appeler des décisions du CRTC à la Cour d'appel fédérale sur des points de droit ou de juridiction : art. 64, Loi sur les télécommunications.

Retour à la référence de la note de bas de page 29

Note de bas de page 30

Décision Télécom CRTC 2003-33, 30 mai 2003;

Retour à la référence de la note de bas de page 30

Note de bas de page 31

Modalités de service, paragraphe 10 de l’article 11 du Tarif général – Confidentialité des renseignements sur l'abonné telle que définie dans l’Examen des règlements généraux des transporteurs publics de télécommunications terrestres assujettis a la réglementation fédérale, Décision Télécom CRTC 86-7, telle que modifiée par l’Ordonnance Télécom CRTC 86-593; Décision Télécom CRTC 2003-33-1 et Décision Télécom CRTC 2005-15.

Retour à la référence de la note de bas de page 31

Note de bas de page 32

Rapport au gouverneur en conseil sur les listes d'inscriptions d'abonnés dans les annuaires et sur le service de numéro non inscrit, (A.B., Vol. 1, p. 182).

Retour à la référence de la note de bas de page 32

Note de bas de page 33

Ibid, parag. 5 et Décision Télécom CRTC 95-14.

Retour à la référence de la note de bas de page 33

Note de bas de page 34

Décision Télécom 86-7 – Examen des règlements généraux des transporteurs publics de télécommunications terrestres assujettis à la réglementation fédérale.

Retour à la référence de la note de bas de page 34

Note de bas de page 35

Décision Télécom CRTC 2003-33-1 – Clauses de confidentialité des entreprises canadiennes.

Retour à la référence de la note de bas de page 35

Note de bas de page 36

Dans la Décision Télécom CRTC 2005-15, le CRTC ordonnait en outre aux entreprises canadiennes de réviser leurs tarifs, leurs contrats avec les clients et autres arrangements actuellement en vigueur, de manière à modifier la liste des méthodes acceptables pour obtenir le consentement exprès à la divulgation des renseignements confidentiels sur les clients, conformément à la Décision 2003-33-1.

Retour à la référence de la note de bas de page 36

Note de bas de page 37

Décision Télécom CRTC 2004-27 – Suivi de la Décision Télécom CRTC 2003-33 - Clauses de confidentialité des entreprises canadiennes.

Retour à la référence de la note de bas de page 37

Note de bas de page 38

Décision Télécom CRTC 2005-15 – Demande en vertu de la Partie VII visant la révision du paragraphe 11 des Modalités de service, parag. 356, 358 et 366-67.

Retour à la référence de la note de bas de page 38

Note de bas de page 39

Les défis uniques posés par Internet et d’autres nouvelles technologies concernant le droit à la vie privée – Commentaires à l’occasion de la conférence : Internet Law – The Second Wave: New Developments, Challenges and Strategies, 27-28 mars 2008, Lisa Madelon Campbell et Daniel Caron, Direction des services juridiques, des politiques et des affaires parlementaires.

Retour à la référence de la note de bas de page 39

Note de bas de page 40

Questions-clés du CPVP : Courtier en données en ligne. Le courtier en données en cause est actuellement impliqué dans un différend avec la Federal Trade Commission des États-Unis. La CPVP a été autorisée à se présenter en tant qu’amie de la cour, devant la Tenth Circuit Court of Appeals des États-Unis : Mémoire déposé à titre d’amie de la cour par Jennifer Stoddart, commissaire à la protection de la vie privée du Canada, à l’appui de l’intimée et en confirmation de la décision de la cour de district, Affaire no 08-8003 – Accusearch, inc., faisant affaire sous le nom d’Abika.com, et Jay Patel c. Federal Trade Commission.

Retour à la référence de la note de bas de page 40

Note de bas de page 41

Résumé de conclusions d’enquête en vertu de la LPRPDE no 372 – Les communications aux courtiers en données exposent les faiblesses des mesures de sécurité en télécommunications.

Retour à la référence de la note de bas de page 41

Note de bas de page 42

Mémoire déposé à titre d’amie de la cour par Jennifer Stoddart, commissaire à la protection de la vie privée du Canada, à l’appui de l’intimée et en confirmation de la décision de la cour de district, Affaire no 08-8003 – Accusearch, inc., faisant affaire sous le nom d’Abika.com, et Jay Patel c. Federal Trade Commission.

Retour à la référence de la note de bas de page 42

Note de bas de page 43

Le centre d’appel antifraude du Canada.

Retour à la référence de la note de bas de page 43

Note de bas de page 44

Vol d’identité - Distinction entre vol d’identité et fraude d’identité.

Retour à la référence de la note de bas de page 44

Date de modification :: 2009-04-03

Sélection de la langue

Recherche et menus

Recherche