L'impact des lois canadiennes en matière de protection de la vie privée

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

L'Association canadienne des conseillers juridiques d'entreprises
Conférence nationale du printemps

Le 23 avril 2002
Ottawa, Ontario

George Radwanski
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi)


Je vous parlerai aujourd'hui de la Loi sur la protection des renseignements personnels et les documents électroniques, ou de la LPRPDE, comme on la connaît plus généralement.

Je veux parler en particulier de ce que signifie la Loi pour vous, à titre de conseillers d'entreprises - non seulement de la manière dont vous devrez agir pour aider vos clients à s'y conformer, mais aussi de la manière dont la Loi crée un partenariat entre vous, vos clients et mon Bureau pour assurer la protection de la vie privée. Bien que j'aie reçu du Parlement le mandat de protéger la vie privée, je ne travaille pas seul. Je suis épaulé par de nombreux Canadiens, par des associations industrielles et par bon nombre d'entreprises.

Quelques uns d'entre vous ont déjà eu à conseiller des clients au sujet de la LPRPDE. Si cela ne vous est pas encore arrivé, je puis vous assurer que cela arrivera bientôt. Lorsqu'une organisation exerce des activités commerciales au Canada, ces activités tombent sous le coup de la LPRPDE ou d'une loi provinciale similaire.

Cet énoncé a une portée considérable. Permettez-moi de vous en donner quelques exemples.

Les renseignements personnels recueillis par vos clients auprès de leur clientèle dans le cadre d'une transaction commerciale devront être être traités conformément aux exigences de la LPRPDE

Les contrats devront assurer que les renseignements personnels détenus par des tiers processeurs sont traités conformément à la Loi.

Lors de la vente ou de l'achat d'élments d'actif qui comprennent des renseignements sur la clientèle, votre client devra savoir précisément quels renseignements personnels sont inclus dans la transaction, quand et comment on obtiendra un consentement pour leur utilisation et à quelles fins on prévoit les utiliser.

Comme conseillers juridiques, vous devrez porter une attention particulière à l'utilisation et à la communication de renseignements personnels détenus par une société lors d'une liquidation ou d'une faillite.

Si vos clients essaient de protéger leurs intérêts sur des documents protégés par des droits d'auteur, surtout lorsqu'ils sont diffusés sur Internet, vous devrez connaître les incidences sur la vie privée d'activités comme la collecte d'information auprès des utilisateurs finaux.

Vous devrez aussi comprendre comment certains aspects de l'emploi sont liés à la protection de la vie privée.

Les exigences de conformité et votre rôle de conseiller quant à la façon d'atteindre cette conformité dans tous ces domaines sont une très bonne raison pour que vous portiez une attention particulière à la LPRPDE. Mais laissez-moi en ajouter une autre, beaucoup plus importante. Le respect de la vie privée est un avantage concurrentiel fondamental dans l'économie actuelle. Aidez votre client à respecter la vie privée et vous aidez votre client à augmenter ses bénéfices.

La protection de la vie privée était une préiccupation des entreprises bien avant l'entrée en vigueur de la LPRPDE en janvier 2001. En fait, la protection de la vie privée est une caractéristique incontournable du contexte commercial contemporain.

Les entreprises ont besoin de renseignements personnels pour fonctionner. Elles ont besoin de renseignements sur leurs employés, bien sûr, comme toujours : elles doivent savoir qui elles engagent et comment ces personnes font leur travail.

Et, plus que jamais, elles ont besoin de renseignements sur leurs clients.

Les marchés sont de plus en plus fragmentés et les entreprises doivent continuellement préciser leur orientation, en distinguant les ensembles et les sous-ensembles de leur clientèle de base, si elles veulent survivre. Cela est encore plus difficile avec le commerce électronique qui permet aux clients d'avoir accès instantanément à une vaste gamme de fournisseurs compétitifs.

Plus une entreprise possède de renseignements sur sa clientèle, plus elle est concurrentielle dans la conception et la mise en en marché de produits qui intéresseront ses clients actuels et attireront l'attention de nouveaux clients potentiels.

Les renseignements personnels sont devenus un produit de base, alors que les entreprises reconnaissent la valeur d'échange de certains segments de leur base de données sur leur clientèle. Une industrie complète s'est développée autour de la collecte, de l'analyse, du reformatage et de la vente de renseignements personnels.

Cela ne constitue pas en soi un « problème de protection de la vie privée » - ou plutôt ne doit pas nécessairement en être un. Il n'est pas nécessairement mauvais que les entreprises recueillent, utilisent et communiquent des renseignements personnels sur leurs clients actuels ou potentiels.

Il est même facile de prétendre que c'est une bonne chose. Si je conduis un pickup Ford, je serai peut-être intéressé à des offres de produits ou de services qui intéressent les autres conducteurs de pickups Ford. Il est d'ailleurs plus probable que je veuille entendre parler de ces produits et services plutôt que de ceux qui intéressent les conducteurs de Lexus. La mise en marché ciblée en fonction de renseignements à mon sujet constitue une meilleure utilisation des budgets de marketing de l'entreprise et est moins susceptible de me faire perdre mon temps et ma patience.

Mais les renseignements personnels sont au cour de la protection de la vie privée. Notre droit de contrôler l'accès à notre personne et à l'information qui nous concerne constitue en fait la définition de la protection de la vie privée.

C'est pourquoi les consommateurs ne s'inquiètent plus tellement de ce genre de collecte, d'utilisation et de communication de renseignements personnels. Ils savent que ce sont des éléments cruciaux des méthodes employées par les entreprises modernes et qu'ils peuvent en retirer un réel avantage. Mais ils ne sont pas près à abandonner la protection de leur vie privée, leur droit de contrôler l'information qui les concerne.

Il est intéressant de noter les résultats de la plus récente enquête trimestrielle de Yahoo et ACNielsen sur la confiance des clients sur Internet. L'enquête révèle que plus les gens s'engagent dans le commerce électronique, plus ils risquent d'avoir une expérience négative relativement à la protection de leur vie privée : fraude par carte de crédit, vol d'identité, défaillance de sécurité qui expose leurs renseignements personnels, ou simplement l'appropriation éhontée et l'utilisation non autorisée de leurs renseignements personnels. La croissance de l'économie électronique entraîne une augmentation des inquiétudes concernant la protection de la vie privée.

Un rapport récent préparé pour le Digital Media Forum démontre que les inquiétudes concernant la protection de la vie privée se traduisent par des pertes pouvant atteindre 18 milliards $ pour les détaillants Internet. Le rapport a mis en lumière les occasions que perdent ces entreprises au profit d'entreprises américaines quand ils ne peuvent pas assurer leurs partenaires commerciaux que les renseignements personnels seront protégés. L'étude parlait en outre des coûts que doivent engager les entreprises pour protéger leurs bases de renseignements personnels non réglementées contre des demandes judiciaires d'information provenant d'organismes d'application de la loi, de concurrents ou de parties privées.

Dans chacun des discours que j'ai livrés depuis que j'ai été nommé commissaire à la protection de la vie privée du Canada, j'ai insisté sur l'importance de la protection de la vie privée pour les personnes et pour la société.

La protection de la vie privée est un droit essentiel, un élément critique des libertés fondamentales, dont la liberté de parole, d'association et de conscience, qui font qu'il vaut la peine de vivre dans notre société.

Mais, comme je viens de vous le décrire, elle est également très importante pour les entreprises. Ce n'est pas seulement une façon de se conformer aux lois ou de s'assurer que vos clients ne subiront pas de mauvaise publicité à la suite d'un événement désastreux lié à la protection de la vie privée. Une bonne protection de la vie privée est tout simplement une bonne façon de faire des affaires. Le respect et la protection de la vie privée des clients et des employés confèrent un avantage concurentiel à l'entreprise qui les comprend et les applique.

Pour cela, il ne suffit pas qu'une organisation affiche ses politiques de protection de la vie privée sur ses pages Web ou dans ses documents. La plupart d'entre vous, à un moment ou l'autre, aurez à participer à la conception de politiques sur la protection de la vie privée. Ces politiques sont importantes, mais la vérité est que, trop souvent, elles sont à peine plus que des garde-fous pour assurer une conformité minimale - ce qu'un commentateur a récemment appelé « le Muzak juridique de la vie quotidienne. »

Le respect de la vie privée doit aller au-delà de la simple protection contre un litige possible et les conseils que vous donnez à vos clients peuvent avoir une bien plus grande valeur. La protection de la vie privée fait partie intégrante du développement et du maintien de relations avec les clients et les employés. Plus précisément, c'est la clé du succès pour l'établissement de relations avec de nouveaux clients.

Les entreprises veulent savoir quelles personnes seront intéressées à leurs produits et promotions. Ils y arrivent grâce à un consentement ferme des clients concernant l'utilisation de leurs renseignements personnels. Certains d'entre vous sont peut être familiers avec le terme « marketing autorisé ». C'est dans cette direction que les entreprises devraient s'orienter.

Si les gens ne font pas confiance aux entreprises, s'ils constatent qu'elles font un usage abusif de leurs renseignements personnels, ils saperont le système à la base. Ils refuseront de donner de l'information ou ils donneront de fausses informations. Ils inonderont les entreprises de plaintes. Par colère, par frustration et par dépit, ils rejetteront des choses qui pourraient être à leur avantage. Et ils chercheront des concurrents qui respectent réellement leur vie privée.

Voilà pourquoi la protection à la vie privée est, comme je l'ai mentionné, un aspect incontournable du contexte commerciale d'une économie mondiale. C'est un fait reconnu dans tous les pays développés.

Si votre client a des bureaux en Europe ou s'il fait beaucoup d'affaires avec l'Europe, vous saurez que la protection de la vie privée est inévitable. L'UE interdit le transfert des renseignements personnels sur ses citoyens vers des pays qui ne protègent pas adéquatement la vie privée.

Les directives de l'UE et la LPRPDE s'inscrivent dans une tendance mondiale. Dans d'innombrables pays, les législateurs savent qu'en l'absence d'une protection des données et de lois sur la protection de la vie privée, les consommateurs ne donneront tout simplement pas aux entreprises l'information dont elles ont besoin. Les États-Unis sont la seule exception majeure. Et alors que leur tradition anti-réglementation a jusqu'ici empêché l'adoption d'une loi d'ensemble sur la protection de la vie privée, il est évident aux États-Unis qu'il faut s'occuper d'une manière ou d'une autre de l'incidence de la protection de la vie privée sur le commerce. Il reste à voir si les Américains continueront à prôner l'auto-réglementation et un ensemble de lois hétéroclites ou s'ils décideront de légiférer à grande échelle. En tout cas, une chose est sûre : personne ne nie la nécessité de s'occuper de cette question.

Ainsi, pour vous, conseillers d'entreprises, de même que pour vos clients, la protection de la vie privée représentera des ouvertures ou des dangers selon que vous aurez fait l'effort de vous familiariser avec elle ou non.

Laissez-moi maintenant vous parler de la LPRPDE, de ses objectifs et de ses dispositions, ainsi que de la façon dont elle touchera les organisations qui y sont assujetties.

L'objectif de la Loi est de créer un équilibre entre le droit à la protection de la vie privée des personnes et les besoins des organisations de recueillir, d'utiliser et de divulguer des renseignements personnels.

Le contenu de la Loi peut se résumer ainsi :

Sauf de rares exceptions, une organisation du secteur privé ne peut pas recueillir, utiliser ou divulguer de l'information concernant des personnes sans leur consentement.

Une organisation peut recueillir, utiliser ou divulguer ces renseignements uniquement en fonction des objectifs pour lesquels la personne a donné son consentement.

Même avec le consentement, une organisation peut recueillir des renseignements uniquement aux fins qu'une personne raisonnable considérerait appropriées dans les circonstances.

Les particuliers ont le droit de consulter les renseignements personnels qui sont conservés à leur sujet et de corriger toute inexactitude.

Mon Bureau et moi exerçons une surveillance pour garantir que la Loi saura respectée et qu'il y aura réparation si on enfreint les droits des personnes.

Actuellement, la Loi s'applique à tout renseignement personnel, y compris les renseignements médicaux, qui est recueilli, utilisé ou divulgué dans le cadre d'activités commerciales de travaux publics, d'opérations et d'entreprises sous la responsabilité du gouvernement fédéral. Il s'agit principalement des banques, des transporteurs aériens, des entreprises de télécommunications, des radiodiffuseurs et des compagnies de transport. Elle s'applique également aux renseignements personnels des employés de ces organisations. Enfin, elle s'applique aussi aux renseignements personnels détenus par des organisations régies par des règlements provinciaux lorsque l'information est vendue, louée ou échangée au-delà des frontières provinciales ou nationales.

À partir de janvier 2004, la Loi s'appliquera pratiquement partout : à tout renseignement personnel recueilli, utilisée ou divulgué dans le cadre d'activités commerciales par toutes les organisations du secteur privé, exception faite d'un cas bien particulier.

Un cas particulier cependant. Dans les provinces qui ont adopté des lois sur la protection de la vie privée qui sont « nettement similaires » à la LPRPDE, le gouvernement fédéral peut exempter de l'application de la Loi la totalité ou une partie du secteur privé régi par le niveau provincial, pour des activités commerciales qui ont lieu à l'intérieur des provinces. La Loi continuera de s'appliquer aux travaux publics, opérations et entreprises sous la responsabilité du gouvernement fédéral dans toutes les provinces. Et elle continuera de s'appliquer aux renseignements personnels lorsqu'ils sont vendus, loués ou échangés au-delà des frontières provinciales et nationales.

C'est la raison pour laquelle j'ai dit au début de mon allocution que vos clients seront touchés soit par la LPRPDE, soit par une loi provinciale nettement similaire.

Quelques mos à présent au sujet de mon rôle.

Je suis un haut fonctionnaire indépendant du Parlement, nommé pour défendre les droits à la protection de la vie privée de tous les Canadiens. Mon mandat comporte deux volets principaux.

Tout d'abord, la surveillance : mon devoir est de m'assurer du respect des droits individuels en vertu de la LPRPDE et de la Loi sur la protection des renseignements personnels qui régissent le secteur public fédéral. Ceci comprend les enquêtes et le jugement des plaintes individuelles reçues.

À ce titre, je suis un ombudsman. Lorsqu'une organisation, ses clients ou ses employés entrent en conflit au sujet de la protection de la vie privée, mon objectif est de trouver une solution qui convient à tous.

Je possède les pleins pouvoirs d'enquête. Je peux ordonner la production de documents, entrer dans des locaux et obliger des personnes à témoigner. Mais en près de vingt ans de surveillance de la Loi sur la protection des renseignements personnels dans son application au secteur public fédéral, ni moi ni mes prédécesseurs n'avons jamais eu à utiliser ces pouvoirs. Nous avons toujours pu obtenir une coopération volontaire. J'espère de tout cour qu'il en sera de même pour la nouvelle loi concernant le secteur privé.

Si j'estime qu'une organisation viole la vie privée, je suggérerai une façon de régler le problème. Je n'ai pas le pouvoir de rendre des ordonnances mais j'ai par contre des moyens de convaincre.

Je peux faire connaître le problème publiquement, puis me fier à l'opinion publique pour faire bouger les choses

Ou bien je peux demander au tribunal fédéral d'ordonner le respect de la loi et même d'accorder des indemnités aux personnes dont les droits à la vie privée ont été violés.

Le modèle d'un ombudsman est, à mon avis, le meilleur pour protéger la vie privée. Je dis cela pour un certain nombre de raisons

En premier lieu, l'ombudsman, contrairement au tribunal, n'a pas à attendre que la vie privée soit violée pour la défendre. Lorsque la vie privée de quelqu'un a été violée, il est très difficile, voire impossible, de la rétablir. Un bureau comme le mien peut intervenir pour s'occuper des atteintes à la vie privée provenant soit d'une nouvelle loi proposée ou d'une nouvelle stratégie ministérielle, et ce, avant qu'elles ne deviennent des violations.

Par ailleurs, la nature de la protection de la vie privée et des menaces à son endroit nécessitent autre chose qu'une vision légaliste étroite de la loi. J'ai un diplôme en droit, et j'ai un profond respect pour les tribunaux. Mais une règle de droit immuable ne peut pas toujours relever les nuances relatives à la protection de la vie privée. Elle ne permet pas le niveau de discrétion, de diplomatie et de flexibilité requis pour faire de la protection de la vie privée un droit respecté.

Au cours des dernières années, nous avons vu beaucoup d'exemples d'éléments qui offensent et envahissent profondément la vie privée mais qui ne constituent pas réellement une violation de la lettre de la loi. Des choses comme le Fichier longitudinal sur la main-d'ouvre développé par Développement des ressources humaines Canada, ou l'ouverture routinière de courrier international par les agents des douanes, n'étaient pas des violations de la loi, mais constituaient néanmoins de graves entorses à la protection de la vie privée. Ces cas auraient été difficiles à contester en cour. Mais la persuasion, la flexibilité et une démarche raisonnable ont mené à des victoires pour la protection de la vie privée et pour toutes les parties concernées.

Ce genre de résultat, allant au-delà de la lettre de la loi pour mieux en saisir l'esprit, est propre au modèle d'ombudsman. Ceci est plus difficile à accomplir lorsqu'un commissaire à la protection de la vie privée a les pouvoirs réels de rendre des ordonnances et est empêché d'interpréter la loi d'une façon attentive, à l'écoute de ses intentions.

L'autre aspect majeur de mon mandat est l'éducation et la promotion. La LPRPDE me donne le mandat d'éduquer les Canadiens au sujet de leur droit à la protection de la vie privée et de promouvoir le respect de la vie privée.

Maintenant que nous avons acquis une année d'expérience de la LPRPDE, laissez-moi vous parler brièvement de quelques conclusions importantes au sujet des plaintes. Elles illustrent ce que j'ai dit au sujet de la Loi et du rôle de l'ombudsman : le bon sens, l'équité, la conscience de l'intérêt public et l'équilibre entre les droits de protection de la vie privée et les besoins légitimes des organisations en matière d'information.

Dans un cas, un médecin s'est plaint à mon bureau qu'un courtier en information recueillait et divulguait indûment des renseignements personnels à son sujet en amassant et en vendant sans son consentement des données sur ses tendances en matière de prescriptions.

Le courtier en information recueille de l'information concernant les ordonnances auprès de pharmacies et d'autres sources. Il utilise cette information pour créer des produits d'information personnalisés qui identifient les médecins et les classent en fonction de leur prescription de divers médicaments. Ces produits d'information sont ensuite vendus à des représentants pharmaceutiques qui les utilisent pour cibler leur mise en marché auprès des médecins.

De toute évidence, il n'y avait pas consentement. Mais s'agissait-il de renseignements personnels - selon le sens, le champ d'application et les objectifs de la Loi  ?

Selon mes conclusions, ce n'était pas le cas. La Loi définit les renseignements personnels simplement comme « des renseignements concernant une personne identifiable. ». Mais la clé, c'est qu'ils concernent une personne.

Une ordonnance n'est pas une information concernant le médecin en tant que personne. C'est une information concernant le processus professionnel qui a mené à son exécution.

Si l'on devait considérer cela comme un renseignement personnel, on pourrait tomber dans certaines absurdités. Si les tendances en matière d'ordonnances constituent une information concernant le médecin, on peut considérer que les méthodes identifiables dans tout produit de travail le sont aussi. Un entrepreneur utilise-t-il les plus récents matériaux de toiture ou s'accroche-t-il à ce qui était populaire il y a dix ans – Un mécanicien répare-t-il seulement le problème qui a été rapporté ou découvre-t-il d'autres problèmes fictifs qui font monter la facture – Considérer ces choses comme des « renseignements personnels » aurait pu signifier la fin de toutes sortes de rapports commerciaux légitimes en matière de consommation. Et il serait vraiment absurde qu'un entrepreneur en toiture puisse échapper aux rapports destinés aux consommateurs simplement en faisant affaire sous son propre nom comme « Toiture Pierre Tremblay »

Ainsi je devais interpréter la LPRPDE de manière flexible et attentive et non littérale, pour éviter un résultat qui ne serait pas dans l'intérêt du public.

Dans un autre cas, une personne s'est plainte à mon bureau que la banque refusait de lui donner accès à sa cote de crédit.

Une cote de crédit est une méthode pour évaluer la probabilité qu'une personne paie ses dettes à temps. Une cote de crédit est déterminée au moyen d'un algorithme qui compare les renseignements personnels d'une personne avec un modèle de cote de crédit.

Chaque institution financière élabore et utilise son propre modèle de cote de crédit. Le modèle d'une banque particulière est façonné par des facteurs tels que ses politiques d'entreprise, ses stratégies d'affaires et ses objectifs relatifs à l'entreprise et aux produits.

La banque visée par la plainte affirmait que la communication de la cote de crédit d'une personne pourrait permettre à un concurrent de déduire quel modèle de cote elle utilisait. Ceci ne pourrait pas se produire si une seule cote était révélée. Mais la banque a fourni une étude démontrant que cela pourrait se produire si on révélait aussi peu que 24 cotes de crédit.

Cela me semblait très peu probable. Mais nous avons confié à un expert en algorithmes la tâche d'examiner la question et il a déterminé que ce serait techniquement possible. Et les concurrents de la banque nous ont assuré que ce serait ainsi qu'ils feraient des affaires.

La Loi permet précisément aux organisations de refuser de divulguer des renseignements personnels qui pourraient révéler de l'information commerciale confidentielle. J'ai conclu que la Loi permettait à l'institution de refuser à la plaignante l'accès à sa cote de crédit.

Dans ce cas, l'objectif global de la Loi a influencé ma décision. Les droits à la protection de la vie privée de la plaignante et ceux de tous les Canadiens en général ne sont pas brimés de façon notable par l'impossibilité d'avoir accès à leur cote de crédit. Ce qui compte, c'est que les institutions financières expliquent aux personnes leur solvabilité ou pourquoi leur crédit a été refusé ou limité. Elles peuvent le faire sans divulguer les vraies cotes de crédit.

J'aimerais maintenant vous entretenir d'un cas très important concernant le consentement. Le consentement - le simple fait que, si vous voulez recueillir, utiliser ou divulguer mes renseignements personnels, vous devez obtenir ma permission - est un aspect fondamental de la protection de la vie privée. La plupart des dispositions importantes de la LPRPDE sont liées au consentement.

Il y a plusieurs façons d'accorder son consentement. La Loi reconnaît que le consentement n'a pas besoin d'être explicite dans absolument tous les cas. Mais comme la plupart des défenseurs de la vie privée, je crois qu'il devrait être explicite chaque fois que possible.

Quelque six millions de personnes gagnent et rachètent des milles de voyage ou « points » dans les divisions d'Air Canada et ses entreprises affiliées (connues sous le nom de « Famille Air Canada ») et avec divers partenaires dans le Programme pour voyageurs fréquents Aéroplan. En juin 2001, Air Canada a envoyé à 60 000 d'entre eux une brochure intitulée « Tout sur le respect de votre vie privée. »

Cette brochure décrit cinq situations où la Famille Air Canada et ses partenaires pourraient partager entre eux et avec des sources externes les renseignements personnels des membres d'Aéroplan. Les membres devaient cocher une case pour chaque situation où ils refusaient que leur information soit partagée. Chacun des membres avait ensuite la responsabilité de retourner la brochure à Air Canada par la poste.

C'est ce consentement implicite par refus de participer qui a fait l'objet de plaintes.

La LPRPDE reconnaît explicitement que le consentement par refus de participer est approprié dans un nombre très limité de situations. Mais cela demeure une bien faible protection de la vie privée. Cela met le fardeau sur la mauvaise partie. Si quelqu'un veut utiliser notre information, il devrait obtenir notre permission. Le fait d'inviter les gens à accepter de participer activement à quelque chose et non de leur demander de refuser d'y participer ou d'en subir les conséquences est une simple question de dignité

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :