Les conséquences de la nouvelle loi canadienne sur la protection des renseignements personnels pour votre entreprise

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Toronto Board of Trade

Le 18 avril 2002
Toronto, Ontario

George Radwanski
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi)


Si le titre de mon propos peut vous paraître rébarbatif, laissez-moi vous rassurer. Je vais vous parler de la façon dont nous pouvons travailler ensemble.

Je suis heureux de cette occasion de parler de la nouvelle loi fédérale sur le respect de la vie privée, la Loi sur la protection des renseignements personnels et les documents électroniques - la LPRPDE en abrégé - et de ses répercussions sur vos entreprises.

Certains d'entre vous connaissent probablement déjà très bien la Loi. Les autres la connaîtront bien assez tôt. En effet, d'ici quelques années, si vous exercez des activités commerciales au Canada, vous serez soumis soit à cette loi soit à une loi provinciale essentiellement similaire.

Voyons d'abord l'objet, les dispositions et l'application de la Loi.

L'objet de la Loi est de mettre dans la balance les droits à la vie privée avec le besoin des entreprises de recueillir, d'utiliser et de communiquer des renseignements personnels.

Le cour de la nouvelle Loiest le Code type sur la protection des renseignements personnels de l'Association canadienne de normalisation. C'est important, parce que le code est né d'un consensus de l'entreprise, du gouvernement et des consommateurs. Nous avons tous un intérêt dans la protection de la vie privée, et le processus qui a débouché sur le Code type de la CSA le reflète bien.

Voici les grandes lignes de la Loi :

Si vous êtes une organisation soumise à la Loi et que vous voulez recueillir, utiliser ou communiquer des renseignements personnels concernant des personnes, il vous faut leur consentement, sauf dans de rares circonstances précises et limitées.

Vous ne pouvez utiliser ou communiquer des renseignements personnels qu'aux fins auxquelles les intéressés ont consenti lorsque vous les avez recueillis.

Même avec ce consentement, vous devez limiter la collecte, l'utilisation et la communication des renseignements personnels à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances.

Les individus ont le droit de voir les renseignements personnels que vous détenez à leur sujet, et d'en corriger les inexactitudes.

Il existe un droit de regard, que j'exerce, avec mon Commissariat, pour faire respecter la Loi, ainsi qu'un droit de recours en cas de violation des droits des individus.

À l'heure actuelle, la Loi s'applique à tous les renseignements personnels, y compris les renseignements personnels sur la santé, qui sont recueillis, utilisés ou communiqués, dans le cadre d'activités commerciales par des ouvrages fédéraux. Les ouvrages fédéraux, ce sont les sociétés de télécommunications, les radiodiffuseurs et les sociétés de transport. La Loi s'applique aussi aux renseignements personnels des employés de ces organisations. Et elle s'applique aux renseignements personnels que recueillent les organisations sous réglementation provinciale lorsqu'ils sont échangés par vente, location ou troc à l'extérieur de la province ou du pays.

À compter de janvier 2004, la Loi s'appliquera partout - à tous les renseignements personnels recueillis, utilisés ou communiqués dans le cadre d'activités commerciales par toutes les organisations du secteur privé, sauf dans une circonstance particulière.

Cette circonstance particulière, la voici. Dans les provinces qui se seront donné une loi sur la protection des renseignements personnels qui sera « essentiellement similaire » à la LPRPDE, le gouvernement fédéral pourra soustraire à l'application de la Loi la totalité ou une partie du secteur privé sous réglementation provinciale, à l'égard des activités commerciales qui ont lieu à l'intérieur des limites de la province. La Loi continuera de s'appliquer aux ouvrages fédéraux dans toutes les provinces. Et elle continuera aussi de s'appliquer aux renseignements personnels qui sont transférés par vente, location ou troc dans une autre province ou un autre pays.

Voilà donc les grandes lignes de la Loi. Je reviendrai sur la question de la loi provinciale essentiellement similaire dans un instant, mais permettez-moi d'abord de vous exposer brièvement ce que je fais.

Je suis un mandataire indépendant du Parlement, et mon mandat est double.

Le premier volet de mon mandat est la surveillance. Il comprend l'enquête et les décisions sur les plaintes en vertu de la LPRPDE et de la Loi sur la protection des renseignements personnels, qui est une loi similaire s'appliquant déjà au secteur public fédéral depuis près de vingt ans.

Dans mon rôle de surveillance, je suis un ombudsman. C'est dire que je suis là pour trouver des solutions, et pas pour blâmer ni punir.

J'ai pleins pouvoirs d'enquête, bien sûr. Je peux ordonner la production de documents, visiter des locaux, et contraindre des témoins à comparaître. Mais, en près de vingt ans de surveillance de la Loi sur la protection des renseignements personnels, qui couvre le secteur public fédéral, nous n'avons jamais eu à invoquer ces pouvoirs. Nous avons toujours pu obtenir la collaboration volontaire. J'espère vivement qu'il en sera de même pour la loi applicable au secteur privé.

Si je conclus qu'une organisation viole la vie privée, je recommande une solution au problème.

Je n'ai pas le pouvoir de rendre des ordonnances. Mais j'ai des moyens de faire respecter la vie privée, et mes recommandations ne tombent pas dans des oreilles de sourds.

Si une organisation refuse de se conformer, je peux rendre le problème public - puis compter sur l'opinion publique pour faire bouger les choses.

Je peux aussi demander à la Cour fédérale de lui ordonner de se conformer, voire d'accorder des dommages-intérêts aux victimes d'une violation des droits à la vie privée.

Le deuxième grand aspect de mon mandat est l'éducation et la promotion. La LPRPDE me donne mandat de sensibiliser les Canadiens et Canadiennes à leurs droits à la vie privée et d'en promouvoir le respect.

J'ai mentionné il y a un instant que la LPRPDE s'appliquera à toutes les activités commerciales à compter de 2004, sauf là où une province se donnera une loi essentiellement similaire. Vous vous demandez peut-être ce que signifie « essentiellement similaire », au juste. Cela m'amène à ce qui est en réalité un troisième aspect de mon mandat, soit l'examen des lois provinciales sur la protection de la vie privée et la mesure dans laquelle elles sont essentiellement similaires, et les commentaires que je peux avoir à faire à cet égard.

J'interpréterai « essentiellement similaire » comme signifiant égal ou supérieur à la LPRPDE. Je rechercherai, au minimum, les dix principes du Code type de la CSA. J'examinerai de très près le consentement, le critère de la personne raisonnable, les droits d'accès et de correction, le droit de regard et le recours. La loi provinciale devra être au moins aussi vigoureuse que la LPRPDE sur ces points pour être jugée essentiellement similaire.

Le côté positif de tout cela sera que les principes de la LPRPDE feront partie de l'environnement d'affaires dans tout le Canada. Un grand nombre d'entre vous avez déjà aligné vos pratiques sur ces principes. Ce n'est probablement pas par seul souci de vous conformer. Je dirais plutôt que c'est parce que vous reconnaissez que le respect et la protection de la vie privée est un élément important de l'avantage concurrentiel. Vous savez que vos clients tiennent à leur vie privée, que vos employés en ont besoin - et, chose très importante, que vos concurrents vont la respecter.

Il n'y a rien de facile dans une chose aussi importante. Cela exige du temps et de l'attention - et des ressources.

L'effort et les ressources en valent la chandelle, par contre, car la vie privée est un droit fondamental de la personne. Je pense qu'il est juste de dire qu'elle est « le droit dont découlent toutes nos autres libertés ». Des choses comme la liberté de conscience, d'association, de parole ou de pensée ont toutes leurs racines dans notre droit aux sphères privées de la pensée et de l'action. Tout cela est, à mon sens, au cour d'une société libre - et vaut bien un petit effort.

Une partie de mon travail consiste à vous aider à faire cet effort. J'encourage la consultation entre mon Commissariat et le monde des affaires, et j'ai rencontré une foule d'organisations commerciales. Nous avons lancé une foule d'initiatives pour aider les entreprises. Nous avons produit un guide de l'entreprise avec un document d'explication de la Loi, par exemple, et un certain nombre de feuillets documentaires. Notre site Web renferme les sommaires de toutes les conclusions que j'ai rendues en vertu de la Loi, avec mon interprétation.

Je veux maintenant vous toucher un mot de certaines de mes conclusions, en faisant ressortir les enseignements que les entreprises peuvent en tirer au sujet de la Loi. Cela vous devrait vous donner une idée de certaines des choses à surveiller dans l'examen de conformité de vos pratiques.

Une plainte est venue d'un résident d'une petite collectivité qui avait eu une altercation verbale avec un employé de sa banque au sujet de frais imputés à son compte personnel pour un chèque. En fin de matinée, le jour même, son employeur l'a confronté au sujet de la dispute. Le directeur de la banque s'était permis d'appeler l'employeur pour lui parler de l'incident, et en particulier, du comportement du plaignant, qu'il avait qualifié de grossier et inapproprié.

Vous ne serez pas surpris d'apprendre que j'ai conclu que cette plainte était bien fondée.

Il ne s'agissait pas d'une communication anodine faite par inadvertance, ni de potins anodins. C'était une communication délibérée et injustifiée de renseignements personnels.

Et qu'est-ce que cela vous dit à propos de la Loi – Eh bien, il y a quelques principes fondamentaux de la protection de la vie privée ici. La banque n'avait pas le consentement du plaignant pour communiquer les renseignements. Et la communication a dépassé les attentes raisonnables du plaignant. Une personne raisonnable ne l'aurait pas estimée acceptable.

Comme vous pouvez le voir, c'est assez simple. On pense parfois que l'observation de la loi sur la protection de la vie privée exige des connaissances détaillées et ésotériques. Parfois oui, mais la plupart du temps, c'est une simple question de bon sens, de décence et de pratiques d'affaires raisonnables.

Autre exemple. Un camionneur a été tenu par son employeur, une société de transport international, de remplir et de lui retourner un formulaire d'enregistrement au nouveau Programme d'autocotisation des douanes de l'Agence des douanes et du revenu du Canada.

Le camionneur ne voulait pas que son employeur ait accès aux renseignements personnels exigés dans la demande. Il a refusé de remettre le formulaire à l'entreprise. L'employeur lui a dit : « Retourne-nous le formulaire, sans quoi nous mettons fin à ton emploi. » Et c'est ce qui est arrivé : il a mis fin à son emploi.

J'ai conclu que la plainte était bien fondée. La Loi limite la collecte de renseignements à ce qui est nécessaire pour les fins de l'organisation. Qu'en était-il ici – Certes, le chauffeur devait remplir une demande pour participer au programme. Mais ce sont les Douanes canadiennes qui avaient besoin du formulaire. Pas l'employeur. Il n'était donc pas nécessaire que les renseignements soient retournés à l'employeur, dans la mesure où ils l'étaient à l'ADRC.

Et la Loi exige que les renseignements soient recueillis de façon honnête et licite. Ma foi, la société a menacé son employé de congédiement s'il ne remettait pas les renseignements. Cela ne répond à aucun critère d'honnêteté, lorsque l'employeur n'a même pas droit aux renseignements, au départ.

Parlons maintenant d'un objet de plainte qui constitue un mal de tête constant dans le domaine de la protection des renseignements personnels : le numéro d'assurance sociale. Le NAS, comme vous le savez sûrement, se voulait au départ un numéro de compte pour des prestations et services gouvernementaux particuliers. Il n'a jamais été destiné à quelqu'autre utilisation, en tout cas pas dans le secteur privé. Bien sûr, comme nous le savons tous, certaines organisations en font toujours un identificateur personnel.

Une dame s'est plainte de ce qu'une société de télécommunications lui avait réclamé son NAS pour l'abonner à un service Internet. Elle a cru comprendre, dit-elle, que c'était une condition d'obtention du service.

Elle n'avait pas tout à fait tort sur ce point. La société avait pour politique écrite de recueillir les NAS des personnes demandant ses services, afin d'éviter la confusion entre clients portant un nom semblable. La société n'insistait pas pour obtenir le NAS si le client le refusait et, de fait, elle avait dit à ses employés que le NAS n'était pas obligatoire. Mais l'enquête m'a convaincu que la plaignante avait clairement eu l'impression que la communication de son NAS était une condition du service.

J'ai conclu que la plainte était bien fondée. Mais j'ai aussi conclu avec satisfaction qu'elle était réglée, puisque la société avait retiré le NAS de la plaignante de son dossier et modifié sa politique pour ne plus le demander.

Et, bien sûr, s'il y a une leçon à tirer de cette plainte, c'est qu'il faut vous sevrer du NAS.

Je voudrais conclure sur quelques réflexions au sujet du consentement. Le consentement, c'est assez simple : si vous voulez recueillir, utiliser ou communiquer les renseignements personnels de quiconque, vous devez avoir sa permission. Ce concept simple est fondamental en protection de la vie privée. La plupart des dispositions importantes de la LPRPDE ont trait au consentement.

Il y a différentes façons de donner son consentement. La LPRPDE reconnaît qu'il n'est pas obligatoire que le consentement soit explicite dans absolument tous les cas. Mais comme la plupart des défenseurs des droits à la vie privée, j'estime que le consentement devrait être explicite dans toute la mesure du possible.

Et comme la plupart des défenseurs des droits à la vie privée également, je ne suis pas en faveur du consentement passif, où celui qui veut recueillir, utiliser ou communiquer nos renseignements personnels nous donne l'option de dire que nous ne voulons pas qu'il le fasse. Si nous ne profitons pas de son offre de refus de consentement, il va de l'avant comme s'il avait le consentement.

C'est mettre le fardeau à la mauvaise place. Celui qui veut utiliser mes renseignements personnels devrait m'en demander la permission. S'il me dit que j'ai consenti et me laisse le charge de m'y opposer, ce n'est pas de la très bonne protection de la vie privée.

Et, selon moi, c'est aussi mauvais pour les affaires. Vous témoignez du respect à vos clients en les invitant à consentir activement à quelque chose, plutôt qu'en les obligeant à la refuser sous peine d'en subir les conséquences.

Si j'ai un conseil à vous donner pour vous aider à répondre aux attentes de vos clients, c'est de leur demander leur consentement - en disant clairement ce que vous faites.

S'ils vont probablement être d'accord sur ce que vous faites de leurs renseignements personnels, vos clients vous sauront gré de leur avoir fait la politesse de leur demander la permission de toute façon. Il y a un avantage concurrentiel à être connu comme entreprise qui respecte le droit à la vie privée.

S'ils risquent peu de donner leur approbation, vous ne devriez tout simplement pas le faire. Il m'arrive de voir le consentement passif utilisé comme moyen de tromper les clients. Je suppose que la pratique est inspirée d'une vision à courte vue de la rentabilisation. Mais si vous tenez vraiment à votre rentabilité, résistez à cette tentation, parce qu'il y a un désavantage concurrentiel distinct à être connu comme société qui viole la vie privée.

Vous avez peut-être entendu parler de la plainte que j'ai reçue contre Postes Canada. Postes Canada est soumise à la Loi sur la protection des renseignements personnels, plutôt qu'à la LPRPDE, mais les principes sont les mêmes. Avant de décrire la plainte, rendons tout de suite hommage au bon jugement du pdg de Postes Canada qui a prévalu dans cette cause, et qui nous a permis d'obtenir un règlement complet de l'affaire. Mais il y a des enseignements à en tirer.

Postes Canada offre un service de changement d'adresse, moyennant frais, lorsque vous voulez faire réacheminer votre courrier de votre ancienne à votre nouvelle adresse. C'est un service utile, mais, avant que nous ayons démêlé tout cela, il avait de lourdes incidences sur la protection des renseignements personnels.

Le problème était que, à moins de lire les petits caractères sur le formulaire à remplir pour obtenir ce service de changement d'adresse, le client ne savait pas que Postes Canada se sert de son nom et de son adresse à d'autres fins que le réacheminement du courrier. Postes Canada a une service qui vend vôtre nouvelle adresse aux entreprises et aux autres organisations qui le demandent et qui ont déjà son nom et son ancienne adresse.

Cela peut sembler banal. Si vous ne savez pas tout ce que cela signifie, disons que Postes Canada vend vos renseignements personnels à une foule d'organisations, y compris à des courtiers de listes, des expéditeurs de courrier grand public ou des agents de marketing direct.

Ainsi donc, les brochures de marketing, le courrier poubelle, et les sollicitations téléphoniques vous suivent à votre nouvelle adresse.

Sans frais supplémentaires!

Si vous ne vouliez pas de ce petit supplément, vous deviez en informer Postes Canada par écrit dans les sept jours.

Ce n'est pas du consentement, ça. Une personne raisonnable n'aurait pas vu dans le formulaire de demande de ce service un consentement à la vente des renseignements personnels à des expéditeurs de courrier grand public et des agents de marketing direct.

Je l'ai dit, cette affaire a eu un dénouement heureux. Postes Canada est convenue de donner plus de transparence au processus, et de passer à un système de consentement actif.

J'ai présenté cela dans la perspective de celui qui a mandat de protéger la vie privée. Mais si je peux me mettre à votre place, je le ferai dans la perspective de l'homme d'affaires.

L'organisation n'ira pas loin si elle se permet d'en passer de petites vites à ses clients, en invoquant le consentement passif parce qu'elle ne pense pas que le consentement actif lui donnera ce dont elle a besoin. Si les clients ne l'acceptent pas lorsqu'ils comprennent bien, vous ne devez pas le faire. Je vais être brutal : la maximisation du profit qui passe par la violation d'un droit fondamental de la personne mène directement à la catastrophe.

De toute façon, y a-t-il un vendeur qui voudrait d'une liste de clients possibles qui ne veulent pas de lui – Cette liste n'aurait pas grande utilité.

Si les organisations recueillent et analysent des renseignements personnels, c'est pour voir qui voudra de leurs produits et promotions. La clé, c'est d'obtenir un consentement solide, et positif, à l'utilisation de leurs renseignements personnels.

S'ils se méfient des entreprises, s'ils voient que les entreprises déforment leur consentement ou le tiennent pour acquis, sans justification, les clients saboteront le système. Ils refuseront de donner des renseignements, ou ils en donneront de faux. Ils inonderont les sociétés de leurs plaintes. Ils rejetteront des choses qui pourraient leur être utiles, par dépit et frustration et ressentiment. Et ils se tourneront vers des concurrents qui savent respecter leur vie privée.

Donc, encore une fois : l'avantage concurrentiel revient à l'entreprise qui respecte la vie privée. La protection de la vie privée, c'est, en définitive, une bonne affaire.

Voilà certaines des conséquences importantes de la loi sur la protection de la vie privée au Canada, pour vous, gens d'affaires. Il y aurait encore bien des choses à dire en guise d'introduction générale à la LPRPDE, mais je pense qu'il vaudrait mieux passer maintenant aux questions.

Alors, laissez-moi conclure en vous disant que j'ai hâte de travailler avec vous dans les mois et les années à venir; moi et mon bureau sommes ici pour aider.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :