La vie privée dans notre monde électronique- Le respect de la vie privée de vos clients : un catalyseur pour votre entreprise

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

L'eCustomer World Institute
Conférence eCustomer World 2001

Le 9 octobre 2001
Toronto, Ontario

George Radwanski
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi)


Je suis heureux d'être là pour m'entretenir avec vous aujourd'hui, en ce moment particulièrement marquant pour la société canadienne.

La plupart d'entre vous avez sûrement des questions en tête sur ce que signifie pour votre entreprise la nouvelle loi canadienne sur la vie privée, la Loi sur la protection des renseignements personnels et les documents électroniques. Je vous parlerai aujourd'hui de cette nouvelle loi, et j'espère que mon propos répondra à la plupart de vos questions.

Mais depuis les attaques terroristes du 11 septembre, vous avez sans doute à l'esprit un tableau plus vaste, des enjeux plus pressants, et des questions plus troublantes au sujet de la protection de la vie privée. Je manquerais à mes responsabilités, en tant que commissaire à la protection de la vie privée et en tant que citoyen, si je ne vous parlais pas de ce grand tableau.

J'ai souvent dit que, dans le contexte canadien tout au moins, le droit à la vie privée sera la question déterminante de cette nouvelle décennie. J'estime que c'est plus vrai que jamais.

Le droit à la vie privée est, bien sûr, un droit fondamental de la personne, un droit reconnu comme tel par les Nations Unies. Mais ce n'est pas seulement un droit individuel-c'est une valeur partagée, un bien social, public. Pour reprendre les mots du juge LaForest de la Cour suprême du Canada, la notion de vie privée est « au cour de celle de la liberté dans un État moderne ».

La vie privée est peut-être la plus fondamentale de nos libertés. Certains diraient qu'elle est le droit dont émanent tous les autres : la liberté de parole, la liberté d'association, la liberté de choix, pour ne nommer que ceux-là.

Jusqu'à tout récemment, lorsque je la présentais comme question déterminante, je voulais dire que nous sommes confrontés, par les nouveaux défis que nous offrent les progrès de la technologie et de la science, à des choix sans précédent en matière de protection de la vie privée. Les choix que nous ferons détermineront le genre de société que nous léguerons à nos enfants et à nos petits-enfants.

Il se trouvera sans doute bien des personnes pour faire valoir que, à la lumière des récents événements tragiques, c'est désormais la lutte au terrorisme qui sera la question déterminante. Ce combat, certes, il faut le livrer, et le gagner.

Mais si notre réaction au terrorisme devait nous priver démesurément et inutilement du droit à la vie privée, et des libertés qui en découlent, alors les forces de l'ombre auraient remporté une grande et terrible victoire. La façon dont nous défendrons nos valeurs face au défi sera, de fait, la question déterminante de notre temps.

Sans doute est-ce nécessaire pour nous de nous accommoder de certaines nouvelles mesures intrusives au nom de la sécurité. Mais ces choix-là, il faudra les faire avec calme, pondération et au cas par cas. Il ne faudra accepter chacune de ces mesures que si elle est manifestement et clairement nécessaire pour régler un problème précis, et que s'il est clair qu'aucune mesure portant moins atteinte à la vie privée ne pourrait donner le même résultat.

Et même là, nous devons faire la distinction entre une mesure d'urgence pouvant être indiquée à court terme et une autre qui pourrait s'imposer comme changement permanent.

Voilà pour le grand tableau. Laissez-moi maintenant vous parler de la Loi sur la protection des renseignements personnels et les documents électroniques.

Les renseignements personnels au sujet des clients et des employés revêtent une importance cruciale pour l'entreprise moderne. Les gens d'affaires doivent comprendre que, lorsqu'ils recueillent et traitent ces renseignements personnels, c'est la vie privée des gens qu'ils ont entre les mains. Cela leur impose une très importante obligation de discrétion.

En deux mots, la nouvelle loi dit ceci :

Sauf quelques exceptions très limitées, il est interdit aux organisations du secteur privé de recueillir, d'utiliser ou de communiquer des renseignements personnels au sujet d'un individu, sans son consentement.

L'organisation peut recueillir, utiliser ou communiquer ces renseignements à la seule fin pour laquelle l'individu a donné son consentement. Et même avec ce consentement, l'organisation ne peut recueillir que les renseignements qu'une personne raisonnable trouverait acceptables dans les circonstances.

Chacun a le droit de voir les renseignements personnels détenus à son sujet, et de corriger les inexactitudes.

Il y a une surveillance, que j'assure avec mon bureau, pour faire respecter la loi, et il y a un recours en cas de violation des droits d'un individu.

Avant de vous parler de certains des points précis de la loi, j'aurais trois choses à dire pour, j'espère, la mettre en perspective.

En premier lieu, cette loi n'est pas un conception utopique et bureaucratique de ce que doit être la société. La nouvelle loi s'inspire des principes contenus dans le Code type sur la protection des renseignements personnels de l'Association canadienne de normalisation. Ce Code est le fruit de plusieurs années de consultation du gouvernement, de l'entreprise et des consommateurs. Il est fondé sur la réalité du marché.

La deuxième chose, c'est que le Canada n'est pas le seul pays à se doter de cette loi.

À peu près tous les pays industrialisés du monde ont une loi comme celle-ci, ou sont en voie de s'en donner une. La seule exception d'importance est les États-Unis et, même là, la question n'est pas tant de savoir si les principes sont valides, mais quelle est la meilleure façon de les mettre en pratique. Donc, si elle est un pas en avant pour le respect de la vie privée au Canada, la loi ne fait en réalité que nous aligner sur le reste du monde.

Troisièmement, et non la moindre, elle fait partie intégrante des nouvelles façons de faire dont vous êtes tous venus parler aujourd'hui.

Dans la « nouvelle culture des affaires », les clients sont des partenaires de l'entreprise, des partenaires dont il faut respecter les besoins et les désirs dans toute décision d'affaires. Aucune entreprise n'a les moyens de ne pas tenir compte des priorités de ses clients. La concurrence est trop grande pour cela.

Et un élément de la nouvelle culture des affaires est ce que j'appellerais la « culture de la vie privée ».

Le droit à la vie privée n'est pas nouveau-sa valeur est reconnue depuis longtemps. Comme je l'ai dit tantôt, la vie privée est un droit fondamental de la personne, considéré comme au cour des libertés les plus fondamentales de notre société.

Mais une culture du respect de la vie privée, c'est cela qui est nouveau. Les gens s'intéressent beaucoup plus activement à la protection de leur vie privée. Ils sont beaucoup moins tolérants de toute violation de leur vie privée ou de toute autre atteinte à leur vie privée.

Songez à certains des grands désastres de ces dernières années en matière de relations publiques dans le domaine de la protection des renseignements personnels : des choses comme les « cookies », les pixels espions et l'infâme Fichier longitudinal sur la main-d'ouvre de Développement des ressources humaines Canada.

Il y a une foule de cas où les gens n'aiment pas donner de renseignements personnels, mais ces exemples montrent bien qu'ils n'aiment vraiment pas que leurs renseignements personnels soient recueillis et utilisés à leur insu ou sans leur permission.

Vous devez faire très attention à cela, lorsque vous parlez de choses comme la gestion des relations avec la clientèle. Ces nouvelles approches du marketing obligent les entreprises à saisir, à analyser et à conserver de vastes quantités de renseignements personnels. Pour avoir de nouveaux clients, vous devez les trouver. Pour conserver vos clients, vous devez les connaître. Or un nombre de plus en plus grand de clients disent qu'ils ne veulent pas être connus. Le secret, c'est d'obtenir ces renseignements sans les chasser.

Cette idée de permission, de choix, de consentement, est au cour de la culture de la protection de la vie privée, de la vie privée elle-même.

La loi et d'autres comme elle, et les principes des pratiques équitables d'information sur lesquels elles s'appuient, découlent toutes de cette prémisse bien simple mais cruciale : vous ne pouvez pas recueillir, utiliser ou communiquer des renseignements personnels au sujet de quiconque sans sa permission.

Je reconnais que certains distributeurs font valoir qu'ils ne cherchent pas à connaître les consommateurs individuels, mais plutôt des sous-ensembles, des grappes, ou des catégories de leur clientèle-leurs clients les plus fidèles, leurs clients les plus rentables, et ainsi de suite. Le point de départ demeure les renseignements personnels au sujet des clients individuels. Dans la nouvelle culture de la protection de la vie privée, si vous voulez accès aux renseignements personnels de qui que ce soit, vous devez avoir son consentement.

Le respect de la vie privée fait maintenant partie du produit. Une société peut offrir à ses clients un produit qui répond aux normes minimales, ou lui offrir un produit qui traduit son engagement d'excellence.

Vous pouvez vous en tenir au strict minimum imposé par la loi, parce que vous devez vous y conformer. Ou vous pouvez considérer l'ensemble du contexte d'affaires et reconnaître que c'est la meilleure approche pour le client.

J'encouragerais les organisations à voir dans l'obligation d'obtenir le consentement une occasion d'ouvrir le dialogue avec leurs clients, de manière à savoir où vous en êtes sur les questions de vie privée-votre relation ne s'en trouvera qu'enrichie.

Laissez-moi vous donner un peu plus de détails sur les modalités d'application de la loi, et ce qu'elle signifie.

Comme vous le savez probablement, la loi est mise en ouvre progressivement, sur une période de trois ans, et elle sera pleinement en vigueur en janvier 2004-à une seule grande exception près. Dans les provinces qui se seront donné une loi « essentiellement similaire » à la loi fédérale d'ici 2004, le gouvernement fédéral pourra soustraire à l'application de la loi la totalité ou une partie du secteur privé. Autrement, la loi fédérale s'appliquera à l'ensemble du secteur privé.

Autrement dit, il se peut que votre entreprise échappe aujourd'hui à l'application de la nouvelle loi fédérale sur la protection des renseignements personnels, mais ce n'est qu'une question de temps-de quelques brèves années-avant qu'elle n'y soit assujettie, ou qu'elle ne le soit à une loi provinciale très semblable.

Dans la première étape-c'est là que nous en sommes-la loi s'applique aux renseignements personnels recueillis, utilisés ou communiqués dans le cadre d'activités commerciales par les entreprises fédérales. Ces entreprises sont essentiellement les banques, les compagnies aériennes, les sociétés de télécommunications, les radiodiffuseurs et les sociétés de transport. La loi s'applique également aux renseignements personnels concernant les employés de ces sociétés.

Elle s'applique aussi désormais à toute communication de renseignements personnels pour contrepartie à l'extérieur d'une province ou du pays-« pour contrepartie », c'est du jargon juridique signifiant que l'on obtient quelque chose en échange.

Ainsi donc, si une société ontarienne vend ou loue quelque chose comme une liste d'envoi à une société albertaine, ces renseignements sont protégés par la loi.

La deuxième étape commence le 1er janvier 2002 : la loi s'étendra alors aux renseignements personnels sur la santé de tous les employés et clients des entreprises fédérales. Elle s'appliquera également à ces renseignements personnels sur la santé s'ils sont communiqués pour contrepartie à l'extérieur d'une province.

La plupart d'entre vous, ici aujourd'hui, serez concernés par la troisième et dernière étape, qui débutera en janvier 2004, c'est-à-dire lorsque la nouvelle loi fédérale-ou une loi provinciale très semblable-s'appliquera à tous les renseignements personnels, recueillis, utilisés ou communiqués dans le cadre d'activités commerciales par toutes les organisations du secteur privé. La loi fédérale s'appliquera aux transferts interprovinciaux, tandis que les lois provinciales s'appliqueront aux opérations intraprovinciales (sauf celles menées par les entreprises fédérales).

Je sais bien que les entreprises auront de nouveaux défis à relever pour se conformer à l'exigence centrale de la loi, qui est l'obtention du consentement du client.

Les distributeurs, par exemple, prennent leurs renseignements à diverses sources : concours, études de marché, cartes de garantie. Tout cela exigera le consentement.

Cette exigence, vous devrez la prendre au sérieux. La loi permet le consentement implicite, mais dans des circonstances limitées. Ne comptez pas là-dessus.

Par exemple, la personne qui remplit une carte de garantie suppose que les renseignements ne serviront qu'à l'informer d'un défaut ou d'un rappel du produit ou que si elle doit retourner le produit pour le faire réparer. Les renseignements peuvent servir à ces fins sans consentement explicite.

Mais cela s'arrête là : Les individus ne s'attendraient pas que les renseignements soient vendus, ni qu'ils servent à une autre fin à laquelle ils n'auraient pas expressément consenti.

C'est la même chose pour les renseignements personnels recueillis dans le cadre d'activités de recherche, comme les sondages téléphoniques et en personne ou les groupes de discussion. Les renseignements ne peuvent servir qu'aux fins auxquelles l'individu a consenti et, bien sûr, il faut son consentement pour les recueillir au départ.

Rappelez-vous que le consentement doit être valide : l'individu doit avoir une idée raisonnable de ce à quoi il consent, et de ce à quoi les renseignements serviront. S'il est trop vaste, le consentement n'a plus aucun sens.

Il va sans dire que le consentement obtenu par tromperie n'est pas un consentement du tout. La tenue d'un concours pour recueillir des renseignements à une autre fin n'est pas acceptable, sauf si cette autre fin est précisée.

Rappelez-vous que les renseignements personnels ne peuvent être conservés que dans la mesure où ils sont nécessaires à l'objet pour lequel ils ont été recueillis. Les organisations ne peuvent pas garder les renseignements personnels à tout jamais, juste au cas où elles pourraient leur trouver une utilité un jour ou l'autre.

Je vous conseille la prudence dans le cas du consentement implicite « de refus », lorsque celui qui veut recueillir, utiliser ou communiquer mes renseignements personnels me donne l'option d'opposer mon refus.

Il s'agit souvent d'appeler ou d'écrire, par exemple, à l'Association canadienne du marketing pour se faire inscrire sur une liste de personnes qui ne veulent pas recevoir d'envois postaux ni d'appels téléphoniques. Il peut suffire de cocher une case pour dire que je refuse l'offre de l'entreprise de m'envoyer des renseignements au sujet de nouveaux services, de temps à autre.

Si je n'accepte pas leur offre de refus facultatif, mon consentement est tenu pour implicite.

La plupart des défenseurs du droit à la vie privée-et j'en suis-considèrent la formule du retrait facultatif comme une bien piètre pratique de protection de la vie privée.

Le refus est fondamentalement une forme très faible de consentement : vous êtes présumé consentant, sauf si vous indiquez le contraire.

C'est mettre la responsabilité à la mauvaise place. Celui qui veut recueillir, utiliser ou communiquer des renseignements personnels est obligé d'obtenir un consentement explicite-d'inviter la personne à accepter.

L'option du refus est l'une de ces choses qui fonctionne toujours mieux dans la théorie que dans la pratique. Elle suppose que les gens savent qu'il se passe quelque chose, qu'ils ont le droit de refuser, et qu'ils savent comment.

Elle suppose aussi que le refus est une option valide et réaliste.

Ces suppositions pourraient fonctionner pour le défenseur des droits des consommateurs qui est informé, patient, instruit et sensibilisé. Il ne saurait être le fondement de la protection de la vie privée de toutes les personnes, en toutes circonstances.

Le filet de protection de la vie privée ne couvre pas autant de terrain dans l'option du refus que dans le cas du consentement explicite. Il ne faut l'utiliser que dans les situations où les renseignements recueillis ne sont pas à caractère délicat, et dans les cas où leur utilisation saute aux yeux.

Le plus important, le consentement n'est pas ouvert. Vous ne pouvez pas invoquer le consentement déjà donné pour justifier la collecte de n'importe quel renseignement à n'importe quelle fin.

Un aspect clé de la loi est que les organisations doivent restreindre la collecte, l'utilisation et la communication de renseignements personnels « à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances ». Autrement dit, l'organisation doit pouvoir justifier la collecte des renseignements.

Je vous donne quelques exemples.

Si je fais une demande de prêt, la banque voudra des renseignements sur ma capacité de rembourser : mon revenu, peut-être mon actif. Cela serait justifié. Une personne raisonnable estimerait que cela est acceptable dans les circonstances.

Par contre, si la banque ne m'accorde le prêt que sous la condition que je lui donne mon consentement pour qu'elle puisse vendre mes informations financières à une compagnie d'assurance, cela serait une tout autre affaire.

Autre exemple : si j'achète un ordinateur de plusieurs milliers de dollars, et tire parti de l'offre de ne pas faire de paiements avant un an, le marchand a une bonne raison de me demander des renseignements personnels : où j'habite, mon numéro de carte de crédit, où je travaille. Mais si j'achète une calculatrice de 20 $ au même magasin, et que je paie comptant, il n'a pas besoin de rien savoir à mon sujet, et une personne raisonnable ne va pas trouver que sa demande de renseignements personnels est acceptable, dans ces circonstances.

Et cette entreprise aurait intérêt à ne pas refuser de me vendre cette calculatrice de 20 $ à moins que je lui donne des quantités déraisonnables de renseignements personnels. La loi interdit spécifiquement le consentement forcé, celui où le client n'a pas d'autre choix que d'accepter de fournir des quantités ou des genres déraisonnables de renseignements personnels pour obtenir un produit ou un service particulier.

Et qu'arrive-t-il si quelqu'un vient se plaindre à moi de la façon dont vous recueillez ou traitez ses renseignements personnels ?

Tout d'abord-et j'insiste là-dessus-je suis un ombudsman. Je ne suis pas là pour forcer qui que ce soit. Je ne règle pas les plaintes à la façon d'un tribunal. Je ne rends pas de décisions exécutoires, et je traite les plaintes officieusement, rapidement et avec efficience.

Mais j'ai des pouvoirs. Je peux contraindre quelqu'un à produire des documents ou à témoigner sous serment; je peux faire rapport directement au Parlement; et je peux porter des affaires en Cour fédérale.

Mais seulement si la persuasion ne donne rien. Je ne recherche pas la confrontation. Je veux régler les plaintes et m'attaquer aux problèmes sous-jacents. En 17 ans de travail avec les institutions fédérales aux termes de la Loi sur la protection des renseignements personnels, le Commissariat n'a jamais eu à invoquer ses pouvoirs de perquisition et d'assignation parce que nous avons toujours été capables d'obtenir une collaboration sur une base volontaire.

Je sais que cela peut vous paraître un peu fort, et vous trouverez probablement que la loi pose parfois un défi. Sachez que le Commissariat est toujours là pour vous donner de l'aide et des conseils, pour vous aider à composer avec cette nouvelle réalité.

Mais j'espère que vous comprendrez désormais la nécessité d'intégrer la protection des renseignements personnels dans votre plan d'affaires.

Lorsque je parle aux technologues de l'information, qu'ils soient du gouvernement ou du secteur privé, je leur donne toujours le message suivant : Intégrez la protection des renseignements personnels. Intégrez-la dès le départ, dès le stade de la conception.

Et je vous dis la même chose : la protection de la vie privée doit être intégrée dans vos relations avec vos clients, et dans votre plan d'affaires dès le départ. Cela ne doit pas être une chose à laquelle on songe plus tard. Cela ne peut pas se faire après coup. Vous ne pouvez pas dire que vous allez traverser le pont lorsque vous y serez. Pis encore : « Si quelqu'un se plaint, nous y verrons ».

Je vous conseillerais de songer à la possibilité d'utiliser l'Évaluation de l'incidence de la vie privée.

Cette évaluation vous permet d'examiner tout système ou toute initiative que vous envisagez de mettre au point, pour en prédire les impacts sur la vie privée, pour voir s'il est conforme à la loi et aux principes, et pour établir ce qu'il faut afin de corriger les problèmes qui pourraient surgir.

C'est une approche de plus en plus populaire. Le gouvernement et le secteur privé ont appris que c'est de l'argent et du temps bien investis si cela leur permet d'éviter des coûts, de la publicité négative et la perte de crédibilité et de confiance du public que pourrait provoquer un système enfreignant la vie privée.

Vous devez faire l'Évaluation de l'incidence sur la vie privée le plus tôt possible au début de votre projet. Tâchez de faire faire un examen impartial. Demandez à quelqu'un qui s'y connaît en vie privée d'y jeter un coup d'oil. Laissez-le vous faire une mise en garde s'il y a des lacunes évidentes.

Je suis persuadé des bonnes intentions des gens d'affaires qui veulent connaître leurs clients. Et la nouvelle culture des affaires qui donne la primauté aux besoins et aux priorités est une chose positive. Je me réjouis de voir une approche d'affaires qui est fondée sur le respect des individus, et sur la recherche de ce qu'ils veulent.

Mais, vous savez, les plus grands dangers pour la vie privée viennent rarement des personnes mal intentionnées.

Ils viennent de personnes bien intentionnées qui disent qu'il faut sacrifier les besoins de protection de la vie privée à l'autel d'un quelconque bien supérieur : l'efficience, la sécurité, le service à la clientèle.

J'estime qu'il est possible de gérer une entreprise, de rejoindre les personnes et de leur donner les biens et les services qu'elles veulent, de façon efficace et accomodante, sans sacrifier la vie privée.

Si vous reconnaissez toute l'importance de la vie privée pour notre société et pour notre liberté-si vous reconnaissez tout le prix que les Canadiens et Canadiennes y attachent, et si vous en tenez compte dans votre plan d'affaires-vous aurez déjà fait un grand pas dans la voie d'une stratégie de marché gagnante.

Le respect de votre client est la pierre angulaire d'une bonne relation avec la clientèle. Et cela veut dire que vous devez respecter la vie privée de vos clients.

Au fond, la protection de la vie privée est une bonne affaire pour les affaires-et, dans une culture de protection de la vie privée, mieux la vie privée est respectée, mieux c'est pour les affaires.

Merci.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :