Comment comprendre la nouvelle loi sur la protection de la vie privée dans le secteur privé

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Conférence de la Freedom of Information and Privacy Association de la Colombie-Britannique

Le 11 mars 2002
Vancouver, Colombie-Britannique

George Radwanski
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi)


Bonjour. Vous êtes réunis pour discuter de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Il s'agit là d'une tâche importante. C'est une loi relativement nouvelle et tout ce qu'on peut faire pour en augmenter la compréhension permettra de la rendre plus efficace dans la protection de la vie privée.

Au cours de la fin de semaine, vous entendrez beaucoup d'opinions sur ce que cette loi signifie et comment elle s'applique. Quel que soit l'intérêt de ces opinions, il est important de toujours garder en tête qu'étant donné le rôle qui m'incombe en vertu de la loi, seuls moi-même et mon bureau détenons l'autorité de vous offrir une interprétation définitive de la loi.

Je voudrais d'abord aujourd'hui vous présenter les grandes lignes de ce qu'est la loi et à quelles organisations et activités elle s'applique. Je décrirai ensuite le rôle que me confère cette loi et mon approche à son interprétation.

Je parlerai aussi un peu de la façon dont cette loi, et d'autres lois sur la protection des renseignements, constituent un élément important de l'établissement d'un climat d'affaires sain et d'une économie forte. À mesure que de plus en plus d'instances adoptent des lois sur la protection de la vie privée, vous entendrez certaines personnes et certaines organisations se plaindre que de telles lois sont trop contraignantes, qu'elles nuisent aux affaires, etc. Je suis ici pour mettre les choses au clair : la LPRPDE établit, selon moi, un équilibre très juste entre les besoins légitimes de renseignements du secteur privé et les droits fondamentaux des particuliers à la protection des renseignements personnels.

Comme vous le savez sans doute, la loi est basée sur le Code type sur la protection des renseignements personnels de l'Association canadienne de normalisation. La meilleure façon de résumer la loi est la suivante :

En dehors d'exceptions limitées, aucune organisation du secteur privé ne peut recueillir, utiliser ou communiquer des renseignements personnels sur un particulier sans le consentement de ce particulier.

Une organisation peut recueillir, utiliser ou communiquer cette information seulement pour les raisons auxquelles un particulier a accordé son consentement.

Même avec le consentement, l'organisation ne peut recueillir que des renseignements qu'une personne raisonnable considérerait acceptables, étant donné les circonstances.

Les particuliers ont le droit de voir les renseignements personnels qui sont recueillis à leur sujet et de corriger les erreurs.

La surveillance nécessaire au respect de la loi est assurée par moi-même et mon bureau. De plus, il y a des voies de recours si les droits d'une personne ont été violés.

La loi s'applique aux renseignements personnels recueillis, utilisés ou divulgués au cours d'activités commerciales. Elle s'applique également aux renseignements personnels des employés des ouvrages, des entreprises et des secteurs d'activités de compétences fédérales - principalement les banques, les lignes aériennes, les entreprises de télécommunications, les radiodiffuseurs et les entreprises de transport.

La loi est mise en vigueur par étapes, sur une période de trois ans.

Au cours de la première année suivant sa mise en vigueur en janvier 2001, la LPRPDE a été appliquée, à une grande exception près, à tous les ouvrages, entreprises et secteurs d'activités de compétences fédérales, et aux organisations sous réglementation provinciale quand elles vendaient, échangeaient ou troquaient des renseignements personnels de part et d'autre des frontières provinciales ou nationales.

La grande exception était les renseignements personnels sur la santé. Ils ont été exclus pour la première année de la mise en vigueur de la loi.

Cela a pris fin quand nous sommes entrés dans la deuxième étape de la loi le 1er janvier de cette année. La loi s'applique donc dorénavant à tous les renseignements personnels, y compris les renseignements personnels sur la santé, dans les ouvrages de compétences fédérales et dans les communications frontalières pour examen.

La troisième et dernière étape de la loi commence en janvier 2004 quand elle s'appliquera uniformément à tous les renseignements personnels recueillis, utilisés ou communiqués dans le cadre d'activités commerciales de toutes les organisations du secteur privé, sauf dans des circonstances dont je vous parlerai dans un instant.

Voici l'exception : dans le cas des provinces qui ont adopté une loi sur la protection de la vie privée qui est réputée être « essentiellement similaire » à la LPRPDE, le gouvernement fédéral peut exempter, en totalité ou en partie, le secteur privé de ces provinces de l'application de la loi aux activités intraprovinciales. La LPRPDE continuera de s'appliquer aux transferts interprovinciaux, mais la loi provinciale s'appliquera aux transactions à l'intérieur de ses frontières (exceptées celles qui relèvent d'ouvrages, d'entreprises et de secteurs d'activités de compétences fédérales qui demeureront assujettis à la LPRPDE).

Il est toutefois important de noter que toute extension de la LPRPDE à des entreprises et des organisations sous réglementation provinciale ne s'appliquera pas aux renseignements personnels concernant les employés. Les seuls renseignements sur les employés couverts par la LPRPDE, maintenant et dans l'avenir, sont les renseignements sur les employés d'ouvrages, d'entreprises et de secteurs d'activités de compétences fédérales.

J'ai mentionné plus tôt que la loi était basée sur le code type de l'ACN. Mais elle est plus rigoureuse que le code de multiples façons. L'une d'elles est que les organisations doivent restreindre la cueillette, l'utilisation et la communication de renseignements personnels « à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances ».

Cette disposition de la loi, bien qu'elle soit formulée de manière indéfinie, demeure très importante. Selon le code type de l'ACN, une organisation n'a qu'à révéler, et s'en tenir aux fins convenues pour la cueillette, l'utilisation et la communication de renseignements personnels. En vertu de la loi, l'organisation doit justifier ces fins. Elle doit assurer qu'elle recueille, utilise et communique des renseignements personnels uniquement à des fins raisonnables.

Laissez-moi vous donner quelques exemples :

Imaginez que j'achète un ordinateur d'une valeur de plusieurs milliers de dollars et que je profite d'une offre de ne faire aucun paiement pendant un an. Le vendeur a de bonnes raisons de recueillir des renseignements personnels à mon sujet - où je vis, mon numéro de carte de crédit, où je travaille - afin de s'assurer que je représente un bon risque de crédit.

Mais si j'achète une calculatrice de poche de vingt dollars dans un magasin et que je paie comptant, le vendeur n'a pas besoin de savoir quoi que ce soit à mon sujet, et une personne raisonnable n'estimera aucune demande de renseignements personnels comme étant acceptable dans ces circonstances.

Ou prenez un exemple dans le cadre d'un emploi. Un employeur a évidemment besoin de connaître des choses comme l'adresse de l'employé, son numéro d'assurance sociale, son éducation, ses antécédents de travail, et le reste. Il y a un besoin légitime d'information concernant le rendement de l'employé, son assiduité et ses possibilités d'avancement.

Mais une personne raisonnable n'estimerait pas qu'il est acceptable qu'un employeur recueille des renseignements personnels sur, par exemple, l'orientation sexuelle de l'employé ou sa situation financière personnelle.

Le point concernant le critère d'une personne raisonnable est qu'il ne suffit pas de dire à quelqu'un pourquoi vous recueillez, utilisez ou communiquez des renseignements personnels à son sujet. Vous devez le justifier. Il s'agit là d'une vérification importante de ce qu'on pourrait appeler « consentement coercitif », où votre droit de consentir est réduit à une formalité - consentez ou vous n'obtiendrez pas le prêt, consentez ou allez travailler ailleurs, consentez ou nous ne vous vendrons pas la calculatrice.

Je vais maintenant parler de mon rôle en vertu de la loi.

Je suis un haut fonctionnaire du Parlement indépendant, nommé pour être le défenseur des droits de tous les Canadiens à la protection de leur vie privée et de leurs renseignements personnels. Mon mandat comprend deux volets.

Premièrement, il est de mon devoir d'assurer le respect des droits de tous les Canadiens en vertu de la LPRPDE et en vertu de la Loi sur la protection des renseignements personnels qui régissent le secteur public fédéral. Cela requiert de faire enquête sur les plaintes quand des personnes croient que leurs droits à la protection des renseignements personnels ont été lésés et de porter un jugement.

Deuxièmement, l'éducation et la promotion : la LPRPDE me confère le mandat formel d'informer les Canadiens sur leurs droits à la protection de renseignements personnels et de promouvoir le respect de la protection des renseignements personnels et la compréhension des responsabilités de la protéger.

Dans mon rôle de surveillance, je suis un ombudsman.

Je détiens les pleins pouvoirs d'enquêter en vertu des deux lois. Je peux exiger la production de documents, pénétrer dans un local et exiger des témoignages. Mais ni moi, ni mon prédécesseur, n'avons eu à utiliser ces pouvoirs. Nous avons toujours pu obtenir une coopération volontaire. J'ai confiance qu'une telle coopération volontaire continuera à la fois dans le secteur public et le secteur privé.

Quand une organisation et ses clients ou ses employés se disputent au sujet des droits et de responsabilités à l'égard de la protection des renseignements personnels, mon objectif est de trouver une solution qui est à l'avantage de tout le monde.

Si je trouve qu'une organisation viole la protection des renseignements personnels, je suggère comment le problème peut être réglé.

Je ne détiens pas de pouvoir d'ordonnance. Mais je dispose d'instruments dans l'éventualité où une organisation viole la protection des renseignements personnels et refuse de s'amender.

Je peux rendre le problème public - et me fier ensuite à la publicité et à l'opinion publique pour faire avancer les choses.

Il s'agit là d'un des mécanismes de mise à exécution les plus efficaces que je connaisse. Il aide à instruire tout le monde - l'organisation directement impliquée, d'autres organisations, les consommateurs, les employés et le grand public - concernant ce que signifie la protection des renseignements personnels et ce que sont leurs droits et responsabilités à son égard.

Je peux aussi demander à la Cour fédérale d'ordonner l'exécution et même d'accorder des dommages-intérêts aux personnes dont la protection des renseignements personnels a été violée.

Les parties pédagogiques et promotionnelles de mon mandat en vertu de la loi sont très importantes. Il est essentiel que j'informe les Canadiens des protections légiférées de renseignements personnels et que je rappelle aux organisations du secteur privé leurs responsabilités en vertu de la loi. C'est une des raisons pour lesquelles je suis ici aujourd'hui.

Un autre aspect de mon mandat dont je veux parler aujourd'hui concerne la législation provinciale « essentiellement similaire ». Comme je l'ai dit plus tôt, la loi s'appliquera à toutes les activités commerciales dès 2004, à moins qu'une province adopte une législation qui soit essentiellement similaire qui permettrait aux entreprises sous réglementation provinciale dans cette province d'être exemptes des dispositions de la LPRPDE dans leurs activités intraprovinciales.

En vertu de la loi, le gouverneur en conseil prend la décision finale en ce qui a trait à ce qui est essentiellement similaire. Mais j'ai le mandat, en vertu de la loi, de rendre compte chaque année au Parlement jusqu'à quel point je considère que les provinces ont adopté une législation essentiellement similaire. Mon rapport ne sera pas simplement une parmi d'autres présentations à l'étude au Cabinet fédéral. Il jouera un rôle clé.

Industrie Canada et moi-même, nous nous sommes entendus sur l'approche qui sera adoptée pour l'évaluation d'une législation provinciale. J'interpréterai essentiellement similaire comment signifiant égal ou supérieur à la LPRPDE par rapport au degré et à la qualité de la protection des renseignements personnels fournis. La loi fédérale sert de seuil de départ. Une loi provinciale sur la protection des renseignements personnels doit être au moins aussi bonne que la LPRPDE, sinon je n'indiquerai pas que je considère qu'elle est essentiellement similaire.

Toute législation provinciale devra comprendre, à tout le moins, les dix principes mis de l'avant dans le code type de l'ACN. Bien que je considère que l'ensemble des dix points de ce code est interdépendant et d'importance égale, cinq éléments clés servent à évaluer si une loi provinciale est essentiellement similaire.

Premièrement, le consentement. La législation provinciale doit stipuler qu'une organisation peut recueillir, utiliser ou communiquer des renseignements personnels sur un particulier uniquement avec le consentement de ce particulier, excepté dans des circonstances limitées et spécifiées.

Deuxièmement, le critère de la personne raisonnable. La cueillette, l'utilisation et la communication de renseignements personnels doit se limiter à des fins qu'une personne raisonnable considérerait acceptables dans ces circonstances.

Troisièmement, les droits d'accès et de correction. Les particuliers doivent posséder le droit d'avoir accès aux renseignements personnels que les organisations détiennent à leur sujet et de corriger tous les renseignements qui sont erronés (ou d'obtenir que toutes les divergences soient notées et communiquées à des tiers qui ont eu accès à l'information en question).

Quatrièmement, la surveillance. Elle est essentielle pour rendre exécutoires les droits sur la protection des renseignements privés. Quand un particulier croit que ses droits à la protection des renseignements personnels ont été violés ou que la loi n'a pas été respectée, le particulier doit pouvoir porter plainte à un organisme indépendant de surveillance. L'organisme de surveillance doit détenir un mandat spécifique lui permettant de résoudre des plaintes, de faire des enquêtes rigoureuses, de faire de la médiation et de la conciliation ou de rendre des ordonnances. Il doit également avoir tout l'éventail des pouvoirs d'enquête permettant de saisir des documents, de pénétrer dans un local et d'exiger des témoignages, de même que le pouvoir d'entamer la vérification des pratiques de l'organisation.

Enfin, les voies de recours. En vertu de la LPRPDE, à la suite de ma décision concernant une plainte, le plaignant ou moi-même, nous pouvons, si nécessaire, demander une audition devant la Cour fédérale du Canada. Le plaignant ou moi-même pouvons demander à la cour d'ordonner à l'organisation en question de corriger ses pratiques de cueillette de renseignements et de rendre public les démarches qu'elle a entreprises pour de faire. On peut demander à la cour d'accorder des dommages-intérêts au plaignant.

On peut en appeler des décisions de la Cour fédérale devant la Cour d'appel fédérale et, sur autorisation, devant la Cour suprême du Canada.

Il doit y avoir des dispositions de recours équivalentes dans toutes les législations provinciales.

Voilà donc les cinq principaux critères que j'appliquerai pour déterminer si une législation provinciale sur la protection des renseignements personnels est essentiellement similaire au consentement, au critère de la personne raisonnable, aux droits d'accès et de correction, à la surveillance et au recours de la LPRPDE.

Je voudrais maintenant parler d'une discussion entourant le besoin de flexibilité dans l'interprétation de la loi. Comme je l'ai dit au tout début, il y aura toujours des parties qui se plaindront que la Loi sur la protection des renseignements personnels est trop contraignante et qu'elle nuit aux entreprises ou à la recherche. Vous pouvez les entendre présentement en Ontario, dans le débat sur le projet de loi sur la protection des renseignements personnels, et vous les entendrez encore quand d'autres juridictions commencent à adopter la législation. Je veux vous décrire comment un ombudsman, possédant la flexibilité d'établir une distinction entre de véritables préjudices envers la protection des renseignements personnels et les violations abstraites de la loi prise au pied de la lettre, peut réduire ces inquiétudes.

Quand la LPRPDE était devant le Parlement, l'opposition la plus vigoureuse venait en partie des membres du secteur de la recherche sur la santé. Ils craignaient que la loi ne restreigne la recherche médicale légitime. C'est en partie à cause de leur intervention que les renseignements personnels sur la santé ont été exclus de l'application de la loi au cours de sa première année de mise en vigueur.

Je comprends pourquoi ils étaient inquiets. Les renseignements personnels sur la santé sont sans doute les renseignements personnels de nature la plus délicate. Règle générale, les particuliers doivent posséder le droit de contrôler qui recueille, utilise et communique ces renseignements, et à quelles fins.

Cependant, en même temps, notre société a un intérêt vital dans la poursuite et le développement de la recherche sur la santé.

Donc, le défi est d'assurer que la recherche de bonne foi, exécutée avec la sensibilité appropriée aux droits fondamentaux de protection des renseignements personnels des Canadiens, n'est pas gênée par la LPRPDE. J'ai confiance d'avoir pris une position qui relèvera ce défi.

La loi permet à une organisation d'utiliser et de communiquer des renseignements personnels sans la connaissance ou l'assentiment du particulier s'il s'agit d'une étude ou d'une recherche à des fins statistiques ou à des fins d'étude ou de recherche érudites. Mais il y a des limites rigoureuses qui s'appliquent. Premièrement, les renseignements doivent être essentiels à la recherche - en d'autres mots, la recherche ne pourrait se dérouler sans eux. Deuxièmement, leur confidentialité doit être assurée. Troisièmement, l'obtention d'un consentement doit être à peu près impossible. Et, quatrièmement, l'organisation doit m'informer avant que les renseignements soient utilisés ou communiqués.

Comme j'ai déclaré dans mon premier Rapport annuel au Parlement en décembre dernier, mon interprétation de la loi est que la recherche de bonne foi sur la santé, exécutée par des organisations attitrées, avec des mesures de protection appropriées, représente en fait des études ou de la recherche statistiques ou érudites.

D'ailleurs, j'accepte le point de vue du milieu de la recherche sur la santé selon lequel plusieurs recherches sur la santé seraient impossibles s'il fallait recourir exclusivement au consentement.

Mon interprétation de la loi est que les renseignements personnels sur la santé peuvent être communiqués et utilisés sans consentement pour de la recherche en santé, à condition qu'ils demeurent rigoureusement dans le cadre du projet de recherche et, ce qui est encore plus important, qu'ils ne puissent d'aucune façon nuire au particulier auxquels ils appartiennent.

Les renseignements ne doivent sous aucune condition se retrouver entre les mains de tierces parties, tels que l'employeur d'un particulier, des assureurs, des parents ou connaissances - ou des spécialistes en marketing. Personne ne doit non plus prendre contact avec le particulier à cause de ces renseignements, sauf son principal intervenant en matière de santé.

Je porterai une attention particulière sur cette exigence et je jugerai toute dérogation comme étant une violation extrêmement grave de la loi.

Je suis convaincu que cette approche respectera pleinement l'esprit de la loi, protégera efficacement les droits incontestables des Canadiens à la protection des renseignements personnels et permettra à toute recherche légitime sur la santé d'aller de l'avant sans entrave.

Permettez-moi maintenant de vous donner quelques exemples de mes décisions concernant des plaintes que j'ai reçues. Ils illustrent davantage comment le modèle de surveillance basé sur un ombudsman, utilisant un alliage de principes et de flexibilité, fonctionne mieux que la règle de droit immuable comme moyen de faire progresser les droits de protection des renseignements personnels.

Le consentement est sans doute le plus important principe constituant la protection de nos renseignements personnels - notre droit de contrôler l'accès à notre personne et aux renseignements nous concernant.

Mais le consentement peut signifier plusieurs choses différentes. Il existe bien des manières selon lesquelles des personnes peuvent alléguer détenir notre consentement.

Avec le consentement relié au « désistement », on avertit les particuliers que leurs renseignements seront recueillis, utilisés ou communiqués à moins qu'ils s'y objectent. Plutôt que de se faire demander de consentir, ils doivent signifier qu'ils ne consentent pas. Leur consentement est pris pour acquis à moins qu'ils ne démontrent le contraire.

Le consentement relié au désistement est une protection plutôt faible des renseignements personnels. De dire aux gens qu'ils peuvent protester contre une violation de la protection des renseignements personnels peut difficilement la justifier.

Si une organisation décide d'utiliser le désistement, elle doit à tout le moins l'utiliser de façon évidente. Nous ne lisons pas toujours toutes les clauses en petits caractères. Peu d'entre nous lisons les ententes très détaillées quand nous ajoutons un logiciel à notre ordinateur, ou que nous remplissons un bon de garantie, ou que nous participons à un concours.

Étant donné que la LPRPDE est tellement nouvelle, il n'y a pas encore beaucoup d'exemples de décisions sur le consentement relié au désistement. J'en prendrai donc un de la Loi sur la protection des renseignements personnels, puisque les mêmes principes s'appliquent.

Généralement je ne parle pas de questions qui sont devant les tribunaux. Mais puisque Poste Canada, qui tente de contester une de mes décisions devant la cour, a déjà parlé aux médias de cette question, permettez-moi d'utiliser cet exemple.

Poste Canada fournit le service national sur le changement d'adresse, avec frais de service, à des gens qui veulent qu'on fasse suivre leur courrier de leur ancienne adresse à leur nouvelle.

Les clauses en petits caractères à l'endos du formulaire qu'ils remplissent pour obtenir le service leur dit que Poste Canada les « aidera » à aviser les entreprises et autres organisations de leur nouvelle adresse, si l'organisation le demande et possède déjà leur nom et leur ancienne adresse.

Si les clients ne désirent pas ce service supplémentaire, ils doivent en aviser Poste Canada par écrit dans les sept jours.

À part ce qui est écrit à l'endos du formulaire, il n'existe rien dans les documents de Poste Canada ou sur son site Web qui informe ses clients qu'ils peuvent se désengager de ce partage de leurs renseignements.

Les bénéficiaires de ces renseignements pourraient être n'importe quelle organisation - y compris des commissionnaires en publipostage, des entreprises de distribution massive par la poste ou des agents de vente directe. Poste Canada vend les renseignements personnels de particuliers à ces organisations. Aucune des brochures de Poste Canada n'avertit ses clients de cela non plus.

Est-ce qu'il s'agit là de consentement – Franchement, non. Une personne raisonnable, en lisant le formulaire de demande pour ce service, ne pourrait pas en dédire qu'il s'agit d'un consentement à la vente de renseignements personnels à des entreprises de distribution massive par la poste ou à des agents de vente directe.

Notre adresse représente un renseignement personnel. Les utilisateurs de ce service donnent des renseignements personnels à Poste Canada et, en plus de ça, paient des frais pour ce service - en échange de quoi Poste Canada vend leurs renseignements personnels à des tierces parties sans leur consentement.

Il faut donc que Poste Canada assure que les utilisateurs de ce service puissent exercer leur droit de consentement éclairé. C'est pourquoi je recommande que Poste Canada ajoute une case à cocher sur le devant du formulaire qui permet aux particuliers de consentir. Je recommande de plus que Poste Canada renseigne de manière acceptable ce que ce consentement représente, en indiquant clairement que les renseignements personnels du particulier pourraient être vendus à des commissionnaires en publipostage, à des entreprises qui font de la distribution massive par la poste ou à des agents de vente directe.

Poste Canada a accepté de rendre le processus plus transparent. Mais elle refuse toujours de mettre en pratique la recommandation fondamentale - l'obtention du consentement.

Je continue d'être saisi de cette affaire, et je peux vous assurer que je ne l'abandonnerai pas tant que je ne suis pas convaincu que Poste Canada a cessé d'enfreindre la loi.

Comme je vous l'ai dit, la décision impliquait la Loi sur la protection des renseignements personnels, mais les même principes s'appliquent à la LPRPDE : l'exigence d'une identification claire et complète des fins, et le besoin d'obtenir un consentement convenable.

Une autre plainte, cette fois en vertu de la LPRPDE, a soulevé plusieurs questions concernant ce qui constitue des renseignements personnels. La loi est non limitative sur ce point, les définissant comme « tout renseignement concernant un individu identifiable ». Voici comment certaines de mes décisions ont appliqué des limites raisonnables à la définition.

Un médecin m'a soumis une plainte comme quoi un courtier en information - une entreprise qui recueille, achète et vend des renseignements - communiquait de manière erronée ses renseignements personnels en recueillant et vendant des données sur ses tendances en prescriptions, sans son consentement.

Le courtier en information recueille ces informations sur les prescriptions auprès des pharmacies et d'autres sources. Il utili

Date de modification :