Institut de la publicité canadienne

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Le 27 février 2001
Toronto, Ontario

George Radwanski
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi)


Avant d'aborder quelques-uns des éléments précis de la Loi, j'aimerais formuler deux observations qui, je l'espère, situeront pour vous cette loi dans son contexte.

Premièrement, elle ne traduit pas le rêve qu'aurait fait un bureaucrate de ce que la société devrait être. La nouvelle Loi sur la protection des renseignements personnels et les documents électronique (loi C-6) se fonde sur le Code type sur la protection des renseignements personnels élaboré par l'Association canadienne de normalisation. Le Code est le fruit de plusieurs années de consultations avec le gouvernement, les entreprises et des organismes de consommateurs. Il repose sur la réalité du marché.

Deuxièmement, cette loi ne place pas le Canada dans une classe à part.

Pratiquement tous les autres pays industrialisés du monde ont une loi comme celle-ci ou sont en voie d'en adopter une. Les États-Unis constituent la seule exception importante et même chez eux, la question n'est pas de savoir si ces principes sont valides, mais plutôt de déterminer le meilleur moyen de les mettre en pratique.

Donc, si la nouvelle loi visant le secteur privé représente sans aucun doute un pas en avant sur la voie de la protection de la vie privée au Canada, elle ne fait que nous mettre au diapason du reste du monde.

Comme vous le savez, la mise en oeuvre de la Loi se fait par étapes, sur une période de trois ans, et elle sera pleinement en vigueur en janvier 2004, à une exception importante. Dans les provinces où la législation sur la protection de la vie privée qui est en vigueur est « essentiellement similaire » à la loi fédérale d'ici 2004, le gouvernement fédéral peut exempter la totalité ou une partie du secteur privé de l'application de la Loi. Sinon, la Loi fédérale s'appliquera à l'ensemble du secteur privé.

En d'autres termes, alors que la nouvelle loi fédérale sur la protection de la vie privée peut s'appliquer ou non à votre entreprise en ce moment, cette loi, ou une loi provinciale qui lui ressemble beaucoup, s'appliquera à votre entreprise dans un court délai de quelques années.

Pendant la première étape -celle où nous nous trouvons maintenant -, la Loi s'applique aux renseignements personnels recueillis, utilisés ou communiqués dans le cadre d'activités commerciales de certaines organisations : les entreprises fédérales (installations, ouvrages, entreprises ou secteurs d'activité). Il s'agit principalement des banques, des lignes aériennes, des sociétés de télécommunications, des radiodiffuseurs et des entreprises de transport. Elle s'applique aussi aux renseignements personnels des employés de ces entreprises.

L'application de la Loi n'a rien à voir avec une constitution en société de régime fédéral ou provincial. Voici un bon test : si votre entreprise est assujettie à la compétence du Code du travail du Canada, il y a de fortes chances pour qu'elle constitue une entreprise fédérale).

En ce moment, la Loi vise aussi toute communication de renseignements personnels pour examen au-delà d'une frontière provinciale ou internationale.

Cela signifie que si une entreprise vend ou loue à bail une liste d'envoi à une entreprise en Alberta, ces informations sont assujetties aux protections continues dans la Loi.

Pour le moment, à l'exception des entreprises fédérales), la Loi ne s'applique pas aux organisations proprement dites : elle s'applique aux transactions effectuées par des organisations et aux informations contenues dans les transactions. C'est là une distinction susceptible de vous intéresser, vous qui êtes réunis ici ce matin.

C'est de cette façon que la Loi s'applique en ce moment.

La deuxième étape commence le 1er janvier 2002, moment où la Loi s'étendra aux renseignements personnels sur la santé de tous les employés et clients d'entreprises fédérales). Elle s'appliquera aussi à ces renseignements personnels sur la santé si ceux-ci font l'objet d'un commerce vers l'extérieur d'une province pour examen.

La plupart de ceux d'entre vous qui sont présents ici aujourd'hui seront touchés par la troisième et dernière étape, qui commencera en janvier 2004 : à ce moment-là, la nouvelle Loi fédérale, ou une loi provinciale lui ressemblant beaucoup, s'appliquera à tous les renseignements personnels recueillis, utilisés ou communiqués dans le cadre d'activités commerciales par toutes les organisations du secteur privé. La Loi fédérale englobera tous les transferts interprovinciaux, tandis que les lois provinciales engloberont les transactions intraprovinciales (sauf celles effectuées par les entreprises fédérales).

Certains termes figurant dans la Loi méritent une explication. Par exemple, le terme « activité commerciale » fait l'objet d'une définition très large dans la Loi. Il comprend toute activité régulière qui revêt un caractère commercial de par sa nature. Donc, la Loi s'appliquerait aux organisations commerciales et à leurs activités, mais elle pourrait aussi s'appliquer aux organisations comme les organisations caritatives (qu'on ne considère ordinairement pas comme étant des entreprises commerciales) si ces organisations caritatives vendent ou louent des listes de donneurs par-delà des frontières. L'accent est mis sur la nature de la transaction plutôt que sur la nature de l'entreprise.

De plus, la Loi fait une distinction entre la « communication » de renseignements et le « transfert » de renseignements qu'il vaut la peine de faire remarquer.

La « communication » de renseignements personnels comporte la fourniture de renseignements personnels à une tierce partie pour être utilisés par celles-ci : cela comprend une organisation qui est affiliée à l'organisation qui fait la communication. La communication nécessite le consentement de toutes les personnes que les renseignements concernent, sauf dans quelques situations très précises.

Le « transfert » de renseignements personnels désigne la fourniture de renseignements à une tierce partie à des fins de traitement. C'est le cas, disons, d'une banque qui remet des renseignements personnels à un imprimeur pour faire faire un lot de chèques ou d'une entreprise qui transfère des renseignements personnels à une autre entreprise pour qu'elle réalise une campagne de publipostage direct en son nom.

Les renseignements continuent de relever de l'organisation qui a amorcé le transfert et le consentement n'est pas exigé, tant et aussi longtemps que les renseignements ne sont pas utilisés à une autre fin, et sont soient rendus à l'entreprise qui a amorcé le transfert, soient détruits.

Cela pourrait certainement s'appliquer dans votre secteur d'activité. Supposez qu'un client a recueilli certains renseignements personnels et est ensuite entré en communication avec votre organisme et vous a demandé de réaliser en son nom une campagne de marketing sous une forme ou une autre.

Cela serait considéré comme un transfert. Le client conserverait la responsabilité des renseignements et l'organisme ne serait pas tenu d'obtenir un consentement pour utiliser les renseignements. Cela suppose, bien sûr, que le client avait obtenu le consentement pour l'utilisation des renseignements dans une campagne de marketing au moment où il les a recueillis.

Je sais qu'un grand nombre de vos sociétés organisent des concours à l'intention de leurs clients de temps en temps; à n'en pas douter, beaucoup d'entre vous font beaucoup de recherches. Ces deux activités comportent vraisemblablement la collecte et l'utilisation de renseignements personnels; chaque fois que vous faites cela, vous devez vous pencher sur la question du consentement.

Par exemple, les spécialistes du marketing recueillent des informations de diverses sources - concours, recherches sur le marché, bons de garantie; chaque fois que vous recueillez des renseignements personnels et les utilisez, vous devez étudier la question du consentement.

La nouvelle Loi permet effectivement un consentement implicite dans certaines circonstances, mais ces circonstances sont limitées. Il ne faut pas que les renseignements soient considérés sensibles et le contexte doit donner au particulier une bonne idée de la façon dont les renseignements seront utilisés.

Par exemple, lorsque des particuliers remplissent un bon de garantie, ils supposent que les renseignements ne seront utilisés que pour les informer d'une défectuosité ou d'un rappel d'un produit, ou dans le cas où il leur faut retourner le produit. On peut se servir des renseignements à ces fins sans avoir obtenu un consentement explicite.

Toutefois, cela ne va pas plus loin que cela. Le particulier ne peut raisonnablement s'attendre à ce que les renseignements soient vendus ou utilisés pour toute autre fin à laquelle il n'a pas donné son consentement exprès.

Il en va de même des renseignements personnels recueillis au moyen d'activités de recherche comme les enquêtes par téléphone ou en personne, ou par l'intermédiaire de groupes de discussion. Ces renseignements ne peuvent être utilisés que pour les fins auxquelles le particulier a consenti; bien évidemment, le consentement est nécessaire pour la collecte des renseignements elle-même.

La façon de faire la plus facile consiste à exposer le but de la recherche et la façon dont les renseignements seront utilisés; si le particulier accepte de répondre aux questions, vous avez son consentement.

Les organisations devraient également garder à l'esprit le fait qu'il doit s'agir d'un véritable consentement : le particulier a une idée raisonnable de ce à quoi il consent et de la façon dont les renseignements seront utilisés. Si le consentement est trop large, il n'a plus de sens.

Il va sans dire qu'un consentement obtenu par la tromperie ne constitue aucunement un consentement. L'organisation d'un concours afin de recueillir des renseignements pour une autre fin n'est pas acceptable, à moins que cette autre fin ne soit précisée.

Même si la Loi ne prévoit aucune limite de temps en ce qui concerne le consentement, le particulier a le droit de retirer son consentement. De plus, on ne peut conserver des renseignements personnels que pendant la période de temps nécessaire pour atteindre le but pour lesquels ils ont été recueillis. Les organisations ne peuvent détenir à jamais des renseignements personnels pour la seule et unique raison que quelqu'un croit qu'ils pourraient être utiles un jour. Les organisations devraient disposer de modalités appropriées de conservation et d'élimination de manière à garantir que les informations dont elles n'ont plus besoin seront détruites ou éliminées d'une autre façon.

Il importe que je fasse une autre observation sur la notion de consentement implicite que je viens d'évoquer. La même observation s'applique à ce qu'on appelle le « consentement avec droit de retrait », dans les cas où le particulier doit faire quelque chose pour indiquer qu'il ne consent pas à quelque chose, comme de cocher la case « Non, je ne veux pas recevoir d'informations sur des produits connexes » sur un formulaire.

Le consentement implicite et avec droit de retrait ne devrait être utilisé que dans des situations où les informations qu'on recueille ne sont pas sensibles et où leur utilisation est claire.

Par exemple, une organisation peut, sans risque de se tromper, supposer qu'une personne qui commande un abonnement à un magazine donne à l'organisation l'autorisation d'utiliser son nom et son adresse pour livrer le magazine et envoyer une facture.

L'organisation ne peut pas supposer que cette personne consent aussi à ce que son nom et son adresse soient vendus à une autre organisation. Cela n'est pas nécessairement une hypothèse fondée, même si le particulier n'a pas coché la case « Non, merci ». Nous ne lisons pas tous les petits caractères.

Si on s'en remet à un consentement implicite ou à un consentement avec droit de retrait, cela entraîne un plus grand risque que la collecte, l'utilisation ou la communication des renseignements ne pouvant être contestés en vertu de la Loi, parce qu'il n'existe pas de preuve écrite que la personne a consenti à quoi que ce soit.

Je devrais faire observer que le consentement n'est pas global. Le seul fait qu'une personne donne son consentement ne signifie pas que vous pouvez recueillir n'importe quoi dans n'importe quel but.

Un aspect clé de la Loi réside dans le fait que les obligations doivent restreindre leur collecte, utilisation et communication de renseignements personnels « à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances.

Cette disposition de la Loi doit être prise au sérieux, même si son libellé peut paraître très vague. Une allégation selon laquelle une organisation ne l'a pas respectée peut constituer le fondement d'une plainte à mon Bureau. Il ne suffit pas qu'une organisation identifie, et respecte, le but de sa collecte, utilisation et communication de renseignements personnels. Il faut qu'une organisation s'assure qu'elle recueille, utilise et communique des renseignements personnels à des fins raisonnables seulement.

Que se passe-t-il si quelqu'un se plaint à moi au sujet de la façon dont vous traitez les renseignements personnels – J'adopte généralement une approche qui n'est pas axée sur l'affrontement et, en qualité d'ombudsman, je m'efforce de régler la pleine par la médiation et la discussion. Toutefois, j'ai bel et bien des pouvoirs considérables : la loi prévoit effectivement des sanctions. Je peux sommer un témoin de comparaître et, au besoin, faire fouiller des locaux. Si une entreprise refuse de se conformer, je peux saisir la Cour fédérale et lui demander d'accorder des dommages-intérêts pour humiliation. Ces dommages-intérêts peuvent être considérables dans un cas où l'entreprise a des pratiques qui vont constamment à l'encontre de la loi. J'ai aussi le droit de publier mes constatations. C'est là, vous en êtes sans doute conscients, un pouvoir considérable. Très peu d'entreprises aimeraient être perçues publiquement comme ne respectant pas les droits à la protection des renseignements personnels de leurs clients.

Bon, je sais que tout cela peut sembler un peu écrasant. Je ne vais pas vous dire que vous ne trouverez pas que votre application de la Loi sur la protection des renseignements personnels et les documents électroniques ne constitue pas un défi de temps à autre. Je tiens à vous donner l'assurance que mon Bureau est toujours disposé à vous prodiguer de l'aide et des conseils pour vous aider à vous adapter à cette nouvelle réalité. Nous sommes ici pour régler des problèmes, et non pas pour en créer.

Je suis sûr qu'en votre qualité de publicitaires et de spécialistes du marketing, à titre de gens d'affaires, vous saisissez très bien la nécessité d'évaluer le contexte d'ensemble de votre activité commerciale, de comprendre ce que les gens pensent, de manière à ce que vous puissiez vous orienter vos activités de manière aussi efficace que possible.

Il ne fait pas de doute que la protection des renseignements personnels exerce maintenant une influence importante sur le contexte commercial. Non seulement en ce qui concerne des lois comme la Loi sur la protection des renseignements personnels et les documents électroniques, mais aussi du point de vue de la façon dont les gens conçoivent la protection des renseignements personnels.

Ce qui est nouveau, c'est ce que j'appellerais « une culture de la protection des renseignements personnels » : la reconnaissance largement répandue du fait que notre vie privée personnelle est plus menacée que jamais auparavant et que nous, en tant qu'individus, ne pouvons plus nous en remettre aux anciennes protections que sont le temps, la distance et des murs de papier qui préservaient autrefois nos renseignements personnels plus ou moins par défaut.

Les gens s'intéressent de manière beaucoup plus active à la protection de leurs renseignements personnels. Ils sont de beaucoup moins tolérants à l'endroit des personnes qui voudraient violer leurs renseignements personnels ou y porter atteinte. Je suis sûr que je n'ai pas à faire remarquer à quiconque que la perte d'un jugement devant le tribunal de l'opinion publique peut se révéler beaucoup plus onéreuse que tous dommages-intérêts qu'un organe judiciaire pourrait imposer.

Pour le constater, il suffit de songer à certains des désastres sur le plan des relations publiques liés à la protection des renseignements personnels qui sont survenus depuis deux ans : fichiers cachés, bogues sur le Web et le célèbre Fichier longitudinal sur la main-d'ouvre constitué par Développement des ressources humaines Canada.

Il y a beaucoup d'occasions où les gens n'aiment pas communiquer leurs renseignements personnels, mais ces exemples montrent qu'ils n'aiment vraiment pas que leurs renseignements personnels soient recueillis et utilisés sans qu'ils ne le sachent ou l'autorisent.

Ce concept d'autorisation, de choix, de consentement revêt une importance déterminante pour la culture de la protection des renseignements personnels; il est capital pour les renseignements personnels eux-mêmes.

La Loi sur la protection des renseignements personnels et les documents électronique, ainsi que toutes les lois de même nature et les principes de pratiques équitables en matière d'information, découlent tous de la prémisse simple, mais cruciale qui suit : si vous voulez recueillir, utiliser ou communiquer des renseignements personnels au sujet de quelqu'un, il faut que cette personne vous autorise à le faire.

Nous savons que l'accès aux renseignements personnels est virtuellement essentiel à l'activité commerciale - et que cet accès peut aussi être bénéfique pour les consommateurs. Mais les entreprises oeuvrant dans la nouvelle culture des renseignements personnels doivent se souvenir que pour avoir accès aux renseignements personnels d'un particulier, elles doivent obtenir le consentement de ce dernier. J'ajoute que les entreprises qui font fi de ce principe le font à leurs risques et périls.

Une partie de ces considérations peut très bien vous paraître familière. Ce même concept de base a été repris dans un livre publié aux États-Unis en 1999- un livre sur la publicité, d'ailleurs - intitulé Permission Marketing. Il a été écrit par Seth Godin, vice-président du marketing direct chez Yahoo!

Godin parle d'offrir au consommateur l'occasion d'être bénévole pour qu'on mène une activité de marketing auprès de lui, et du fait que cela peut aboutir à transformer des étrangers en clients potentiels qui choisissent d'accepter une série de communications et, en dernière analyse, cela aboutit à transformer des étrangers en amis et des amis en consommateurs.

Je ne suis pas ici pour faire la publicité d'un livre de qui ce soit. Ce qui importe, c'est que le phénomène que décrit Godin est largement reconnu comme étant un développement nouveau et important dans les domaines de la publicité et du marketing. La clé de l'approche du livre réside dans ce que l'entrée dans le monde privé d'une personne, le fait d'interrompre leur emploi du temps et leur attention, devraient être subordonnés à leur consentement.

On a beaucoup parlé ces dernières années de ce qu'on appelle souvent une « nouvelle culture de l'activité commerciale », dans laquelle les clients et les consommateurs sont perçus comme étant des partenaires silencieux dans l'entreprise, des partenaires dont les besoins et les aspirations doivent être pris en considération dans toute décision commerciale. C'est une reconnaissance du fait que la concurrence est trop vive, qu'il y a trop de solutions de rechange sur le marché pour qu'une entreprise puisse négliger les priorités du consommateur.

La nouvelle culture des renseignements personnels va de pair avec cette philosophie; d'ailleurs, elle fait partie de cette nouvelle façon de mener une activité commerciale.

La protection des renseignements personnels est devenue une partie du produit. Une entreprise peut offrir à ses consommateurs un produit qui satisfait aux normes minimales ou elle peut offrir un produit qui traduit son engagement envers l'excellence.

Une entreprise peut examiner la Loi sur la protection des renseignements personnels et les documents électroniques et faire exactement ce que la loi exige, ou elle peut prendre en compte le contexte commercial, ce que les gens pensent et faire ce que le consommateur exige.

J'encourage les organisations à voir dans la nécessité d'obtenir le consentement une occasion d'entamer un dialogue avec les consommateurs, de sorte que vous connaissez votre rendement en matière de protection des renseignements personnels. Cela renforcera vos rapports.

La démonstration du respect des renseignements personnels fait partie de la démonstration d'un respect à votre client; respecter votre client, c'est la pierre angulaire de bonnes relations avec lui.

Au bout du compte, un bon respect des renseignements personnels équivaut à une bonne activité commerciale. Dans une culture des renseignements personnels, mieux les protéger, c'est mener une activité commerciale de qualité supérieure encore.

Date de modification :