Lignes directrices régissant la protection de la vie privés et le flux transfrontalier de données à caractère personnel

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Law & Technology Institute of Dalhousie University Privacy Symposium

Le 22 mars
Halifax, Nouvelle-Écosse

Heather Black
Avocate générale

(Le texte prononcé fait foi)


I : Contexte

En 1980, l'OCDE a développé une série de lignes directrices concernant la vie privée - les Lignes directrices régissant la protection de la vie privés et le flux transfrontalier de données à caractère personnel.

Le Canada a adhéré aux lignes directrices de l'OCDE en 1984 et le gouvernement fédéral a commencé à promouvoir leur respect, sur une base volontaire, auprès du secteur privé. Toutefois, ces efforts ont connu très peu de succès. Le gouvernement fédéral a jugé que cette protection sporadique et inégale de l'information personnelle était inadéquate, particulièrement face aux nouveaux développements technologiques et au rôle croissant de l'information dans l'économie en tant que produit valable.

Au début des années 90, l'Association canadienne de normalisation (CSA) a rassemblé des représentants du secteur public, du domaine des affaires, de groupe de consommateurs et de syndicats pour commencer à travailler sur un code de protection de l'information personnelle. Le Code type sur la protection des renseignements personnels, publié en 1996, représente le consensus atteint par ces décideurs. Ce Code aborde deux principales inquiétudes : la façon par laquelle les organisations collectent, utilisent, communiquent et protègent l'information personnelle; et le droit des individus d'avoir accès à l'information personnelle qui les concerne et de la faire corriger, si nécessaire.

II : Code CSA

Le Code CSA repose sur dix principes inter reliés. Chaque principe, à son tour, contient un commentaire qui doit être lu conjointement avec le principe.

Les dix principes sont les suivants :

  1. Responsabilité

    Une organisation est responsable des renseignements personnels dont elle a la gestion et doit désigner une ou des personnes qui devront s'assurer du respect des principes énoncés ci-dessous.

  2. Détermination des fins de la collecte des renseignements.

    Les fins auxquelles des renseignements personnels sont recueillis doivent être déterminées par l'organisation avant la collecte ou au moment de celles-ci.

  3. Consentement

    Toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire.

  4. Limitation de la collecte

    L'organisation ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées et doit procéder de façon honnête et licite

  5. Limitation de l'utilisation, de la communication et de la conservation

    Les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée n'y consente ou que la loi ne l'exige. On ne doit conserver les renseignements personnels qu'aussi longtemps que nécessaire pour la réalisation des fins déterminées.

  6. Exactitude

    Les renseignements personnels doivent être aussi exacts, complets et à jour que l'exigent les fins auxquelles ils sont destinés.

  7. Mesures de sécurité

    Les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.

  8. Transparence

    Une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne.

  9. Accès aux renseignements personnels

    Une organisation doit informer toute personne qui en fait la demande de l'existence de renseignements personnels qui la concernent, de l'usage qui en est fait et du fait qu'ils ont été communiqués à des tiers, et lui permettre de les consulter. Il sera aussi possible de contester l'exactitude et l'intégralité des renseignements et d'y faire apporter les corrections appropriées.

  10. Possibilité de porter plainte à l'égard du non-respect des principes

    Toute personne doit être en mesure de se plaindre du non-respect des principes énoncés ci-dessus en communiquant avec le ou les personnes responsables de les faire respecter au sein de l'organisation concernée.

III : La Loi

Le Code CSA constitue le cour de la Partie 1 de la Loi sur la Protection des renseignements personnels et les documents électroniques (LPRPDE). Les 10 principes et les commentaires qui les accompagnent sont reproduits dans l'Annexe 1 de la Loi.

Une annexe est certainement un endroit étrange où trouver le cour d'une loi, mais les impératifs de la politique étaient de maintenir l'intégrité du Code CSA et de l'utiliser comme assise de la loi de façon à ce qu'aucune autre alternative ne semble possible.

Le défi, dans une perspective d'élaboration et de rédaction de politiques, était de trouver comment adapter le Code CSA à la loi. Le Code CSA a été rédigé en tant que code d'adhésion volontaire et contient un langage qui ne porte pas à l'interprétation ni légale, ni judiciaire. Toutefois, en combinant les principes du Code avec des dispositions interprétatives et réglementaires, nous croyons que nous avons accompli cela de façon efficace.

IV : Application

Le paragraphe 4(1)(a) de la Loi stipule que la LPRPDE s'applique à toute organisation relativement à l'information personnelle que cette organisation collecte, utilise ou communique dans le cours d'une activité commerciale.

Cette disposition combine trois des définitions clés de la Loi, notamment :

« activité commerciale » signifie toute activité régulière ainsi que tout acte isolé qui revêtent un caractère commercial de par leur nature, y compris la vente, le troc ou la location de listes de donneurs, d'adhésion ou de collecte de fonds.

« organisation » inclut des associations, sociétés de personnes, personnes et organisations syndicales.

« renseignement personnel » signifie tout renseignement concernant un individu identifiable, à l'exclusion du nom et du titre d'un employé d'une organisation et des adresse et numéro de téléphone de son lieu de travail.

La définition du terme « activité commerciale » a attiré beaucoup d'attention à cause de son ampleur et, selon certains, de son caractère répétitif. À mon avis, je ne crois pas qu'elle soit répétitive. Ce qu'elle fait, c'est de caractériser l'activité (que ce soit une activité spécifique ou régulière), en référence à sa nature qui est de caractère commerciale.

Toutefois, elle est étendue, et cela de façon délibérée, parce que l'autorité qu'exerce le Parlement sur la question de la vie privée repose sur le pouvoir relié à l'échange et au commerce , en vertu de la section 91(2) de la Loi constitutionnelle de 1867. La portée du Parlement sur ce qui est clairement de juridiction provinciale sur la propriété et les droits civils est limitée par la nature de l'activité, ce qui veut dire qu'elle doit être commerciale et doit se conformer aux tests déterminés par la Cour Suprême du Canada dans le cas General Motors of Canada Ltd. v. City National Leasing (1989), 1 S.C.R. 641.

La section 91(2) a elle-même été reconnue par les cours comme ayant deux parties - la partie interprovinciale/internationale et la partie générale. La partie générale était essentiellement en veilleuse depuis 50 ans jusqu'à ce qu'elle soit ravivée à la fin des années 80 par la Cour Suprême du Canada dans le cas General Motors. La Cour a déterminé cinq critères pour aider à évaluer s'il existe un exercice valide de cette partie :

  1. La loi contestée doit faire partie d'un ensemble de réglementation générale.
  2. Cet ensemble doit être sous la supervision continuelle d'une agence de réglementation générale.
  3. La loi doit traiter de commerce en tant qu'ensemble et non d'une industrie particulière.
  4. La loi devrait être telle que les provinces, ensemble ou séparément, serait constitutionnellement incapable de légiférer.
  5. L'incapacité d'inclure une ou plusieurs provinces ou localités dans un ensemble législatif mettrait en danger la réussite de l'opération de l'ensemble dans d'autres parties du pays.

La Cour prévient toutefois que ces cinq critères ne sont pas exhaustifs et qu'aucun d'entre eux ne sera déterminant en lui-même ou autrement.

Le gouvernement est d'avis que chacune des cinq conditions est remplie dans la Partie 1 de 1a LPRPDE

  1. La Partie 1 se qualifie en tant qu' « ensemble de réglementation générale ».
  2. Le rôle du commissaire à la protection de la vie privée fournit la supervision nécessaire.
  3. Le Code CSA dans l'Annexe 1 qui est relié à toute organisation qui collecte utilise ou communique des informations personnelles dans le cours des activités commerciales, est concerné par le commerce en tant qu'ensemble.
  4. Comme dans le cas de la loi sur la concurrence, bien que les provinces pourraient promulguer des règles similaires, ces règles ne seraient pas effectives si elles étaient promulguées seulement sur une base provinciale, parce que le flot d'informations ne peut pas être restreint pour des raisons réglementaire à l'intérieur d'aucune province.
  5. L'incapacité d'inclure une province ou une localité dans la Partie 1 aurait pour conséquence de laisser circuler l'information et de lui permettre de déborder du cadre réglementaire, minant ainsi l'ensemble dans le domaine réglementaire.

La Partie 1 de la Loi s'applique également à l'information personnelle concernant les employés lorsqu'un document fédéral est collecté, utilisé ou communiqué en relation avec les opérations des entreprises ou organismes fédéraux. L'information sur les employés dans le contexte de leurs relations employeur/employé n'est pas considérée comme devant être collectée, utilisée ou communiquée dans le cours d'une opération commerciale. Seule l'information personnelle concernant les employés relevant de la juridiction du Parlement, c'est-à-dire celle que l'on retrouve dans les entreprises ou organismes fédéraux, pourrait être protégée par la loi et devrait être mentionnée spécifiquement.

Toutefois, la Loi ne s'applique pas dans les cas suivants :

  • Les institutions gouvernementales assujetties à la Loi sur la protection des renseignements personnels;
  • Les personnes dont l'information personnelle a été collectée, utilisée ou communiquée à des fins purement personnelles ou domestiques;
  • Les organisations qui collectent, utilisent ou communiquent de l'information personnelle à des fins purement journalistiques, artistiques ou littéraires; les autres usages commerciaux de l'information personnelle sont couverts par la Loi;
  • Sa Majesté du Chef d'une province ou des agents de Sa Majesté du Chef d'une province; et
  • Toute organisation qui collecte, utilise ou communique de l'information personnelle dans le cours d'une activité non commerciale tel un hôpital public, un organisme de charité engagé dans une levée de fonds, une université en regard de l'information concernant les étudiants et ainsi de suite.

V : Surveillance

Le Code CSA donne aux personnes le droit de contester la conformité (ou la non conformité) d'une organisation avec les principes. La Clause 4.10 stipule « qu'une personne pourra contester la conformité avec les principes énumérés ci-dessus auprès de la ou des personnes désignées qui sont responsables de la conformité de l'organisation. ».

Une personne qui désire se plaindre de la conformité d'une organisation avec la Loi devrait certainement débuter ses démarches auprès de cette organisation. Toutefois, étant basé sur le principe de l'adhésion volontaire, le Code CSA n'a pas été conçu de façon à ce qu'une personne puisse avoir d'autres recours si l'organisation ne traite pas sa plainte de façon satisfaisante.

Lorsque la Loi a été rédigée, un régime de surveillance a été ajouté à l'ensemble afin d'assurer aux personnes une réparation significative. Ce régime de surveillance est inscrit dans les sections 11 à 17 de la Loi.

Après qu'une personne ait déposé une plainte sans succès (ou qu'elle soit insatisfaite), sa prochaine démarche est de porter la plainte devant le commissaire à la protection de la vie privée du Canada en vertu de la section 11. Le sujet de la plainte peut porter sur toute infraction de l'organisation aux sections 5 à 10 de la Loi ou sur la négligence de l'organisation à se conformer à une recommandation prévue dans l'Annexe.

Le droit de porter plainte en raison de la négligence de l'organisation à se conformer à une recommandation a soulevé plusieurs critiques, mais les rédacteurs estiment que les recommandations découlent des obligations, expliquent comment il faut s'y conformer et établissent «  les règles » pour une pratique équitable en information. Dans plusieurs cas, il serait difficile de se conformer aux obligations sans suivre les recommandations.

Le commissaire peut également prendre l'initiative de porter plainte s'il est convaincu qu'il existe des raisons suffisantes pour enquêter sur tout sujet en vertu de la Loi.

Le commissaire doit examiner les plaintes et il dispose de pouvoirs étendus pour mener cet examen. Soit personnellement ou par le biais d'une personne qu'il a déléguée, il peut :

  • Sommer des personnes à comparaître devant lui;
  • Obliger des personnes à donner des preuves et à produire des documents;
  • Faire prêter serment;
  • Recevoir et accepter des preuves;
  • Entrer dans tout local occupé par une organisation (sauf la maison d'habitation);
  • À l'intérieur des locaux, parler privément à toute personne;
  • Obtenir des copies de documents; et
  • Tenter de régler les plaintes par la médiation et la conciliation.

Dans un délai d'un an suivant le dépôt de la plainte (par enregistrement ou via le commissaire lui-même) le commissaire doit généralement préparer un rapport exposant ses conclusions et recommandations. Ce rapport est envoyé au plaignant et aux organisations. Le commissaire, étant un ombudsman, il n'a pas le pouvoir de réglementer, uniquement celui de recommander.

Dans certaines circonstances, le commissaire n'est pas obligé de rédiger un rapport. Ces circonstances sont les suivantes :

  • Le plaignant, pour autant qu'il est le premier à mettre fin à la doléance ou autre solution disponible;
  • La plainte pourrait être traitée de manière plus appropriée en vertu d'une autre loi;
  • Le temps pour traiter la plainte est échu - une période de temps trop longue s'est écoulée pour la rédaction d'un rapport utile;
  • La plainte est dérisoire, frivole contrariante ou faite de mauvaise foi.

Le rapport du commissaire donne le droit au plaignant (ou au commissaire) de s'adresser à la Cour fédérale en vertu de la section 14 pour une audience portant sur la matière de la plainte ou sur toute autre matière qui s'y réfère tel qu'indiqué dans le rapport du commissaire qui se réfère à des clauses spécifiques de l'Annexe et de section de la Loi.

La section 16 de la LPRPDE propose des solutions qui peuvent être acceptées par la Cour fédérale en plus de toutes les solutions qui peuvent être acceptées en vertu de la Loi sur la Cour fédérale. La Cour peut :

  • Ordonner à une organisation de rectifier ses pratiques en regard de l'information personnelle pour se conformer aux sections 5 à 10 de la Loi;
  • Ordonner à un organisation de publier un avis concernant une action entreprise par elle ou concernant le choix d'une action qu'elle propose pour corriger ses pratiques; et
  • Accorder des dommages au plaignant, incluant des dommages pour l'humiliation que la personne peut avoir subie.

En vertu de la section 17, la Cour doit entendre rapidement ces requêtes et doit prendre les mesures appropriées pour éviter la divulgation des informations, incluant les représentations in camera et ex parte.

VI : La LPRPDE en action

Au cours de la première année de la mise en ouvre de la LPRDÉ, plusieurs plaintes ont amplement démontré tant le besoin d'une protection telle que celle de la LPRPDE que celui du rôle proactif que le commissaire à la vie privée peut jouer, non seulement en réglant les plaintes, mais aussi en assurant que de telles situations ne se répètent pas.

Prenons par exemple les limites de la connaissance et du consentement. Dans un cas, un plaignant s'était rendu à sa succursale bancaire pour encaisser un chèque personnel reçu d'un tiers. Le caissier a écrit le numéro de compte du plaignant à l'endos du chèque. Le plaignant s'inquiétait du fait que le tiers qui avait écrit le chèque pourrait maintenant avoir accès à son numéro de compte. Dans ce cas, le commissaire à la vie privée a jugé que le fait d'inscrire le numéro de compte était raisonnable et qu'il était raisonnable pour un client de s'attendre à une telle pratique. Le commissaire était dès lors convaincu que le plaignant avait donné son consentement implicite pour la collecte, l'utilisation et la communication l'information et a jugé que la plainte n'était pas fondée.

Toutefois, le consentement implicite ne constitue pas une conclusion automatique. Dans un autre cas, la plaignante alléguait que son employeur avait, sans son consentement, divulgué à trois tiers des informations personnelles la concernant sous la forme de copies d'une lettre de réponse à une requête d'accès à l'information qu'elle avait produite. Les trois personnes mentionnées sur la lettre avaient une connaissance préalable du dossier et, sur la base de cette implication antérieure, l'employeur soutenait que la plaignante avait implicitement consenti à cette divulgation. Dans ce cas, la décision du commissaire a été partagée - concernant la divulgation aux représentants syndicaux, le commissaire a jugé que le consentement implicite aurait existé seulement si la plaignante avait indiqué avoir mentionné leurs noms sur la requête d'accès. Une personne raisonnable aurait donc considéré que la divulgation aux représentants syndicaux était inacceptable et le commissaire a conclu que cet aspect de la plainte était bien fondé. Toutefois, la divulgation au coordinateur des relations avec les employés n'était pas fondée. Dans ce cas, le coordinateur avait été directement impliqué dans la requête d'accès et le commissaire a donc déterminé qu'il avait été approprié de la part de l'employeur de l'informer de la décision.

Je devrais également mentionner que ce plaignant s'est adressé à la Cour fédérale pour une revue judiciaire de la façon dont l'Aéroport de Montréal traite son information ainsi que d'un Règlement stipulant que (a) l'Aéroport de Montréal révise ses pratiques des traitements de l'information pour se conformer à la LPRPDE et (b) publie un avis indiquant quelles action ont été entreprises pour atteindre une telle conformité.

La collecte peut également être un enjeu. Une plaignante, en s'inscrivant au service Internet, s'était fait demander son numéro d'assurance sociale et s'était fait répondre « Pas de NAS, pas de connexion ». Elle avait alors donné son NAS parce qu'elle se sentait obligée de le faire. Lors de son enquête, le commissaire a appris que la politique même de la compagnie ne requérait pas de fournir un NAS. Puisque le NAS n'était pas nécessaire pour répondre explicitement à des fins spécifiées et légitimes, il a jugé que cette collecte manquait de discernement et contrevenait aux principes. Le fait que la plaignante avait clairement reçu un message lui indiquant qu'il fallait fournir son NAS comme condition de service contrevenait également aux principes. En menant son enquête au sujet de cette plainte et en rédigeant son rapport, le commissaire a pu (a) répéter cette position soutenue depuis longtemps par le bureau que le NAS ne devrait pas être utilisé comme pièce d'identification universelle; (b) juger la plainte bien fondée et résolue; et (c) recommander que la compagnie prenne les mesures pour réviser ses dossiers et retirer toute autre collecte non nécessaire du NAS à d'autres clients.

Lors d'un autre incident, le commissaire à la protection de la vie privée a pu faire des recommandations additionnelles pour résoudre la nature systémique d'une offense survenue après qu'une plainte eut été déposée contre une banque pour rétention impropre de l'information. Le plaignant avait fait en personne une demande pour une carte de crédit. La représentante bancaire a enregistré son information dans l'ordinateur à la succursale et l'a transmise pour vérification au centre de traitement des prêts. Après que la demande fut refusée, l'information n'a pas été pas effacée dans le système. Ainsi, à moins que le demandeur qui a été refusé ne fasse une demande spéciale, l'information personnelle demeurait dans le système informatique de la banque et était accessible à la succursale. Le commissaire a considéré qu'il n'était pas raisonnable que l'information demeure accessible à la succursale après que l'information eut été utilisée aux fins pour lesquelles elle a été collectée (évaluation de crédit). Encore une fois, le commissaire a pu, dans son rapport (a) juger la plainte bien fondée et résolue; (b) noter que la banque avait détruit l'information personnelle concernant le plaignant et confirmer qu'elle n'avait pas été communiquée à un tiers; et (c) faire connaître une entente avec la banque stipulant que celle-ci entreprendrait une révision en profondeur de ses pratiques de rétention de l'information personnelle et mettrait en place un programme d'éducation sur la vie privée pour les employés et les clients.

Ce n'est pas toujours ce qu'une organisation fait qui est un enjeu, de toute façon - parfois, c'est ce qui n'est pas fait! Un plaignant, exécuteur testamentaire d'une succession, soupçonnait qu'il y avait eu un accès non autorisé à un coffret de sûreté et a demandé à la banque la carte de signature et des copies de toute correspondance entre la banque et la succession. La banque fut incapable de trouver tant la carte que la correspondance. Le commissaire a déterminé que cette information aurait dû être conservée ou n'aurait pas dû être perdue, en conformité avec les principes. Le commissaire a jugé que la plainte était bien fondée et a de plus recommandé que la banque révise ses pratiques concernant la destruction des documents contenant des informations personnelles et élabore une politique de rétention des documents, en conformité avec la Loi.

Finalement, c'est parfois un simple manque de compréhension sur le potentiel d'un système particulier qui entraîne une plainte en vertu de la LPRPDE. Un plaignant a avisé le commissaire que le site Internet d'un journaliste avait tenté, par le biais de son serveur publicitaire, de collecter son information personnelle, plus spécialement le NETBIOS de son ordinateur, sans son consentement. Après avoir mené une enquête interne, l'organisation confirma la véracité de cette information. Il s'avéra que l'administrateur du réseau, en installant Windows NT, avait négligé de désactiver certains paramètres par défaut. Une fonction, connue sous le nom de Internet Name Services, permet à un serveur de collecter l'information NETBIOS de l'utilisateur d'un site Web. Une fois informé que cette fonction était activée, l'administrateur du réseau l'a promptement désactivée. Le commissaire a jugé que dans certaines circonstances, notamment celle du plaignant, le NETBIOS pourrait être utilisé pour obtenir de l'information permettant de trouver l'identité d'une personne. Par conséquent, il a déterminé que l'information en question constituait une information personnelle aux fins de la Loi. Le commissaire a également trouvé que le journaliste avait failli à ses obligations d'obtenir la connaissance et le consentement de la personne avant de collecter l'information, malgré le fait qu'il n'ait pas contesté l'explication selon laquelle la faute n'avait pas été intentionnelle, et il a noté que la réponse était satisfaisante. La plainte était bien fondée et résolue.

Les conclusions du commissaire (produites de façon à protéger l'anonymat des personnes) sont disponibles sur le site Internet du commissaire à la protection de la vie privée du Canada. Vous pouvez également vous rendre à l'adresse www.priv.gc.ca et sélectionner « Conclusions du commissaire » dans le menu ou aller directement à www.priv.gc.ca/cf-dc/index_e.asp.

De plus, même s'ils ne sont pas sur notre site Internet, ceux qui sont intéressés à la question peuvent consulter la Cour fédérale du Canada, où les premières révisions judiciaires des décisions de la LPRPDE ont été entreprises. Vous avez peut-être pris connaissance de la couverture de certains médias sur ces questions - quoi qu'il en soit, ces premières décisions judiciaires feront partie intégrante de l'interprétation et de la portée de la LPRPDE.

J'ai déjà mentionné l'Aéroport de Montréal qui constituera l'exposé préliminaire des cours sur les limites du consentement implicite en vertu de la LPRPDE.

L'information personnelle et la distinction entre information personnelle et professionnelle est mise de l'avant dans le cas IMS Health. Dans ce cas, une plainte a été enregistrée selon laquelle IMS Health a divulgué de l'information personnelle de manière inappropriée en

Date de modification :