Les répercussions sur votre entreprise de la nouvelle loi sur la protection de la vie privée

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Chambre de commerce de Whitehorse

Le 1er octobre 2002
Whitehorse, Yukon

George Radwanski
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi)


Je suis heureux d'avoir l'occasion de m'entretenir avec vous de la nouvelle loi sur la protection de la vie privée, la Loi sur la protection des renseignements personnels et les documents électroniques ou LPRPDE, ainsi que de ses répercussions sur vos entreprises.

J'ai prononcé des allocutions sur cette nouvelle loi dans toutes les régions du pays. Mais c'est avec un plaisir particulier que j'accueille le privilège de m'adresser à vous, gens du Nord. C'est qu'en matière de protection de la vie privée dans le cadre d'activités commerciales, les résidants des trois territoires sont à l'avant-garde par rapport au reste du pays.

Une certaine confusion a entouré la façon dont la Loi allait s'appliquer aux entreprises dans le Nord du Canada. Le Whitehorse Star a rapporté à cet égard qu'une personne s'étant adressée à vous plus tôt cette année avait insisté sur la nécessité de vous y préparer sans délai. Tout cela est bien, sauf que cette personne s'est trompée sur un point : elle a affirmé que la Loi allait entrer en vigueur le 1er janvier 2004.

Or, comme je l'ai signalé au rédacteur en chef de ce journal, la Loi entre en vigueur plus tôt : au Yukon, dans les Territoires du Nord-Ouest et dans le Nunavut, la LPRPDE s'applique maintenant à toutes les entreprises et organisations qui recueillent, utilisent ou communiquent des renseignements personnels dans le cadre d'activités commerciales. S'il en est ainsi, c'est parce que, en vertu de la constitution, toutes les entreprises situées dans le Nord sont considérées « entreprises fédérales ».

J'espère qu'il s'agit pour vous d'une bonne nouvelle. Pour moi, c'en est une. J'ai souvent entendu des gens du Nord se plaindre - parfois à juste titre - que les changements positifs qui touchent le reste du pays mettent du temps à se manifester ici. Or, les gens du Nord sont pour une fois les premiers à bénéficier d'un avantage, soit l'élargissement de la protection du droit humain fondamental à la vie privée. Dans le reste du Canada, la Loi s'applique à un nombre limité de secteurs commerciaux réglementés par le gouvernement fédéral et porte uniquement sur les renseignements personnels détenus par des organisations sous réglementation provinciale lorsque ces renseignements sont vendus, loués ou troqués de part et d'autre des frontières provinciales ou nationales. C'est ce qui changera en 2004, lorsque toutes les activités commerciales au Canada devront être conformes à la norme que vous êtes en voie d'établir ici, dans le Nord.

Incidemment, je tiens à vous assurer qu'on ne se bouscule pas pour déposer des plaintes à l'endroit des entreprises du Nord. Nous n'en avons d'ailleurs reçu que deux jusqu'à maintenant. Vous êtes d'ailleurs peut-être au courant de l'une de ces plaintes, qui concernait une entreprise de Yellowknife qui avait installé quatre caméras vidéo sur le toit de son immeuble à bureaux.

Certains d'entre vous connaissent déjà la Loi. Pour ceux qui ne la connaissent pas, j'en exposerai tout d'abord l'objet, les dispositions et l'application.

La Loi a pour objet d'assurer l'équilibre entre les droits des personnes en matière de protection des renseignements personnels et la nécessité pour les entreprises de recueillir, d'utiliser et de communiquer certains renseignements personnels.

Cette loi s'inspire fondamentalement du Code type sur la protection des renseignements personnels de l'Association canadienne de normalisation, la CSA. Cet aspect est important, le Code ayant été élaboré conjointement par le monde des affaires, le gouvernement et les consommateurs. Nous avons tous intérêt à protéger la vie privée des personnes et le processus ayant mené à la mise au point du Code type de la CSA en témoigne.

En résumé, voici ce qu'affirme la Loi :

Si votre organisation est soumise à la Loi et si vous voulez recueillir, utiliser ou communiquer des renseignements personnels sur des personnes, vous devez obtenir leur consentement, sauf dans quelques circonstances précises et limitées.

Vous pouvez utiliser ou communiquer des renseignements personnels uniquement pour les fins pour lesquelles les intéressés y ont consenti lorsque vous les avez recueillis.

Même si vous avez ce consentement, la collecte, l'utilisation et la communication des renseignements personnels doivent être limitées à des fins qu'une personne raisonnable jugerait acceptables dans les circonstances.

Les personnes concernées ont le droit d'examiner les renseignements personnels que vous détenez à leur sujet et d'en corriger les inexactitudes.

J'exerce avec mon bureau un processus de surveillance afin de faire respecter la Loi et d'exercer des recours en cas de violation des droits des personnes.

Actuellement, la Loi s'applique à tous les renseignements personnels, y compris les renseignements personnels en matière de santé, qui sont recueillis, utilisés ou communiqués dans le cadre d'activités commerciales par des entreprises fédérales. Pour le reste du Canada, les entreprises fédérales comprennent principalement des sociétés de télécommunications, des radiodiffuseurs et des sociétés de transport. Dans le Nord, il s'agit de toutes les organisations qui recueillent, utilisent ou communiquent des renseignements personnels dans le cadre d'activités commerciales. La Loi porte aussi sur les renseignements personnels des employés des entreprises fédérales de même que sur les renseignements personnels que recueillent les organisations sous réglementation provinciale lorsqu'ils sont échangés par vente, location ou troc à l'extérieur de la province ou du pays. Les agences de cotation, par exemple, sont touchées par la Loi.

À compter de janvier 2004, la Loi s'appliquera partout au Canada de manière générale et uniforme - à tous les renseignements personnels recueillis, utilisés ou communiqués dans le cadre d'activités commerciales par toutes les organisations du secteur privé, sauf dans une circonstance particulière.

Cette circonstance particulière est la suivante :

Dans les provinces qui se seront donné une loi sur la protection des renseignements personnels qui sera « essentiellement similaire » à la LPRPDE, le gouvernement fédéral pourra soustraire à l'application de la Loi la totalité ou une partie du secteur privé sous réglementation provinciale dans le cas des activités commerciales accomplies à l'intérieur des limites de la province. La Loi continuera de s'appliquer aux entreprises fédérales dans toutes les provinces. Elle continuera également de porter sur les renseignements personnels qui sont transmis par vente, location ou troc de part et d'autre des frontières provinciales ou nationales.

Telle est la Loi dans ses grandes lignes. Permettez-moi maintenant de vous exposer mon rôle.

Je suis un haut fonctionnaire indépendant du Parlement et mon mandat comporte deux volets principaux.

Le premier porte sur la surveillance. Il consiste à faire enquête et à rendre des décisions sur les plaintes en vertu de la LPRPDE ainsi que de la Loi sur la protection des renseignements personnels, une loi similaire s'appliquant déjà au secteur public fédéral depuis près de vingt ans.

Dans le cadre de mes fonctions de surveillance, je joue le rôle d'un ombudsman. Mon but est donc de trouver des solutions, et non de blâmer ou de punir.

Il va de soi que j'ai pleins pouvoirs d'enquête. Je peux ordonner la production de documents, pénétrer dans un local et contraindre des témoins à comparaître. Cependant, en près de vingt ans de surveillance dans le cadre de la Loi sur la protection des renseignements personnels dans le secteur public fédéral, nous n'avons jamais eu à recourir à ces pouvoirs. Nous avons toujours pu obtenir la collaboration volontaire des personnes concernées. Il en a également été de même jusqu'à maintenant en ce qui concerne la LPRPDE et j'espère évidemment qu'il continuera d'en être ainsi.

Si je conclus qu'une organisation viole la vie privée, je recommande une solution au problème.

Je n'ai pas le pouvoir de rendre des ordonnances. Je dispose cependant des moyens nécessaires pour faire respecter la vie privée et pour faire en sorte qu'on tienne compte de mes recommandations.

Si une organisation refuse de se conformer, je peux faire connaître publiquement le problème - puis m'appuyer sur l'opinion publique pour faire bouger les choses.

Je peux aussi demander à la Cour fédérale d'ordonner à l'organisation concernée de se conformer, voire de verser des dommages-intérêts aux personnes dont le droit à protection de la vie privée a été violé.

Le deuxième grand volet de mon mandat porte sur l'éducation et la promotion. La LPRPDE me donne mandat de sensibiliser les Canadiens et Canadiennes à leurs droits en matière de vie privée et d'en promouvoir le respect.

Partout au Canada, les principes de la LPRPDE feront très bientôt partie de l'environnement des entreprises - comme je l'ai souligné précédemment, dès 2004, la LPRPDE ou une loi provinciale essentiellement similaire encadrera les activités commerciales partout au pays. J'espère que la plupart d'entre vous avez déjà adapté vos pratiques à ces principes. À cet égard, vous étiez probablement davantage motivés que par le seul souci de vous y conformer et je présume que, si vous l'avez fait, c'est parce que vous reconnaissez que le respect et la protection de la vie privée constituent un élément important de votre avantage concurrentiel. Vous êtes conscients que votre clientèle désire préserver sa vie privée, que votre personnel a besoin de préserver la sienne et, ce qui est le plus important, que vos concurrents se conformeront à ces principes.
Une démarche de cette envergure n'est pas facile. Elle exige du temps et de l'attention - ainsi que des ressources.

Ces efforts et ces ressources en valent cependant la peine, car la vie privée est un droit fondamental de la personne. J'estime d'ailleurs qu'il est juste d'affirmer que le droit à la vie privée est « le droit dont découlent toutes nos autres libertés ». La liberté de conscience, la liberté d'association, la liberté de parole et la liberté de pensée ont toutes leurs racines dans notre droit à la vie privée. Ces libertés sont au cœur d'une société libre; c'est pourquoi elles méritent, selon moi, un petit effort.

Une partie de mon travail consiste à vous aider à contribuer à cet effort. Il existe un important processus de consultation entre le Commissariat et le monde des affaires et j'ai rencontré un grand nombre d'organisations commerciales. Nous avons lancé une foule d'initiatives pour aider les entreprises - nous avons par exemple mis au point des fiches d'information, un guide de l'entreprise et un document d'information sur la Loi. Notre site Web renferme les sommaires de toutes les conclusions que j'ai rendues en vertu de la Loi ainsi que mon interprétation.

J'aimerais maintenant aborder quelques-unes de mes conclusions en vertu de la Loi, les entreprises pouvant en tirer beaucoup d'enseignements en rapport avec celle-ci. Vous aurez ainsi une idée de certains aspects sur lesquels vous voudrez vous pencher dans le cadre de l'examen de la conformité de vos pratiques à la Loi.

Une plainte a été formulée par un résidant d'une petite collectivité qui avait eu une dispute vigoureuse avec un employé de sa banque au sujet de frais imputés à son compte personnel pour un chèque. Cette personne s'est ensuite rendue à son travail, où son employeur l'a interpellée au sujet de cette dispute. Il s'est avéré que le directeur de la banque s'était permis, entre-temps, d'appeler l'employeur pour lui faire part de l'incident et du comportement du plaignant, qu'il avait qualifié de grossier et d'inapproprié.

Vous ne serez pas surpris d'apprendre que j'ai conclu que cette plainte était fondée.

Il ne s'agissait pas là d'une communication fortuite ou faite par inadvertance, ni de commérages de petites villes. Il s'agissait plutôt d'une communication délibérée et injustifiée de renseignements personnels.

Quels enseignements peut-on en tirer en rapport avec la Loi – On peut en dégager quelques principes fondamentaux de protection de la vie privée.

La banque n'avait pas le consentement du plaignant pour communiquer ces renseignements. Et la communication a dépassé les attentes raisonnables du plaignant.

Une personne raisonnable n'aurait pas estimé cette communication appropriée.

Comme vous pouvez le constater, la question est assez simple. On pense parfois que l'observation de la loi sur la protection de la vie privée exige des connaissances détaillées et spécialisées, ce qui est parfois le cas. Mais la plupart du temps, c'est une simple question de bon sens, de décence et de pratiques commerciales éclairées.

J'aimerais vous citer un autre exemple. Une société de transport internationale a obligé ses chauffeurs à remplir et à lui retourner un formulaire d'enregistrement au nouveau Programme d'autocotisation des douanes de l'Agence des douanes et du revenu du Canada.

Un de ces chauffeurs a fait une plainte à mon bureau. Il ne voulait pas que son employeur ait accès aux renseignements personnels exigés dans la demande. Il voulait plutôt remettre la formule directement à l'ACDR. Il a donc refusé de remettre le formulaire à l'entreprise. L'employeur lui a dit de lui remettre le formulaire sous peine de congédiement et c'est ce qui est arrivé : le chauffeur a été congédié.

J'ai dans ce cas conclu que la plainte était fondée. La Loi limite la collecte de renseignements à ce qui est nécessaire pour les besoins de l'organisation. Qu'en était-il dans le cas cité en exemple – Il ne fait pas de doute que le chauffeur devait remplir une demande pour participer au programme. Mais ce sont les Douanes canadiennes qui avaient besoin du formulaire, non l'employeur. Il n'était donc pas nécessaire que les renseignements soient communiqués à ce dernier dans la mesure où ils étaient transmis à l'ACDR.

La Loi exige par ailleurs que les renseignements soient recueillis de façon honnête et licite. Or, la société a menacé son employé de congédiement s'il ne lui remettait pas les renseignements. Cette sanction ne répond à aucun critère d'honnêteté si, au départ, l'employeur n'a même pas droit d'obtenir ces renseignements. Heureusement, l'employé en question a été réintégré dans l'entreprise après que j'ai rendu ma conclusion.

Je vous parlerai maintenant d'une autre plainte entourant une question qui touche souvent la protection des renseignements personnels : le numéro d'assurance sociale. Comme vous le savez sûrement, le NAS se voulait au départ un numéro de compte rattaché à des prestations et à des services gouvernementaux particuliers. Il n'a jamais été destiné à aucune autre utilisation, du moins pas dans le secteur privé. Malheureusement, certaines organisations continuent de s'en servir pour identifier des clients.

Une dame a adressé une plainte à mon bureau à l'effet qu'une société de télécommunications lui avait réclamé son NAS pour l'abonner à un service Internet. Elle a cru comprendre, a-t-elle affirmé, qu'il s'agissait d'une condition d'obtention du service.

Or, elle n'avait pas tout à fait tort à cet égard. La société avait pour politique écrite de recueillir le NAS des personnes ayant recours à ses services pour éviter la confusion entre clients ayant des noms identiques. La société n'insistait pas pour obtenir le NAS si le client le refusait et, de fait, elle avait dit à ses employés que le NAS n'était pas obligatoire. Mon enquête m'a cependant fait conclure que la plaignante avait clairement eu l'impression que la communication de son NAS était une condition d'obtention du service.

J'ai conclu que la plainte était fondée. Heureusement, la question fut réglée, la société ayant retiré le NAS de la plaignante de son dossier et modifié sa politique afin de ne plus le demander.

Il y a évidemment une leçon à tirer de cette plainte : vous devez apprendre à vous passer du NAS si vous ne l'avez pas encore fait.

J'aimerais conclure mon allocution par quelques réflexions touchant le consentement. La notion de consentement est assez simple : si vous voulez recueillir, utiliser ou communiquer les renseignements personnels de quiconque, vous devez avoir sa permission. Ce principe simple est fondamental en matière de vie privée. La plupart des dispositions importantes de la LPRPDE ont trait au consentement.

Il y a différentes façons de donner son consentement. La LPRPDE reconnaît qu'il n'est pas nécessaire que le consentement soit explicite dans tous les cas. Mais comme la plupart des personnes qui favorisent la prudence en matière de vie privée, j'estime que le consentement devrait être explicite dans la mesure du possible.

Et comme la plupart, je ne suis pas un défenseur du consentement passif. Dans ce cas, celui qui veut recueillir, utiliser ou communiquer nos renseignements personnels nous donne l'option de dire que nous ne voulons pas qu'il le fasse et si nous ne nous prévalons pas de cette option, il va de l'avant comme s'il avait notre consentement.

Cette pratique fait que le fardeau repose sur la mauvaise partie. La personne qui veut se servir de mes renseignements personnels devrait m'en demander la permission. Si elle me dit que j'y ai consenti et me laisse la charge de m'y opposer, ce n'est pas une très bonne avenue en matière de protection de la vie privée.

Et, à mon avis, ce n'est pas très efficace au plan des affaires. Vous témoignez du respect à vos clients en les invitant à consentir activement à quelque chose, plutôt qu'en les obligeant à refuser sous peine d'en subir les conséquences.

Pour vous aider à répondre aux attentes de vos clients, je vous suggère de favoriser le consentement actif et de leur dire clairement ce que vous faites.

Si vos clients ont tendance à être d'accord avec ce que vous comptez faire de leurs renseignements personnels, ils vous sauront gré d'avoir fait preuve de respect à leur égard et de leur avoir demandé la permission. Il y a un avantage concurrentiel pour une entreprise à être reconnue comme respectueuse du droit à la vie privée.

Si vos clients ne sont pas enclins à donner leur approbation, vous ne devez tout simplement pas le faire. Il m'arrive parfois de voir le consentement passif utilisé comme moyen de tromper les clients. Je suppose que cette pratique repose sur une vision à courte vue de la rentabilité. Mais si vous tenez vraiment à celle-ci, résistez à cette tentation, parce qu'il y a un désavantage concurrentiel net à être vue comme une entreprise qui viole la vie privée.

Mon mandat est de protéger la vie privée et je me suis adressé à vous ce matin en privilégiant cette perspective. Si je peux me mettre à votre place, toutefois, laissez-moi le faire dans la perspective de l'homme d'affaires.

Une organisation n'ira pas loin si elle se permet d'être fourbe à l'égard de ses clients et si elle recherche le consentement passif parce qu'elle ne croit pas pouvoir arriver à ses fins en utilisant le consentement actif. Si les clients refusent leur consentement lorsqu'ils comprennent bien, vous ne devez pas le faire. Soyons francs : maximiser le profit en violant un droit fondamental de la personne mène directement à la catastrophe.

De toute façon, y a-t-il un vendeur qui accepterait une liste de clients potentiels qui ne veulent pas qu'on les contacte – Une telle liste ne serait pas très utile.

La collecte et l'analyse des renseignements personnels sont motivées globalement par le désir de voir qui voudra de nos produits et de nos promotions. La clé, c'est d'obtenir des clients un consentement ferme et positif à l'utilisation de leurs renseignements personnels.

Si les gens se méfient des entreprises, s'ils voient qu'elles utilisent malhonnêtement leur consentement ou le tiennent pour acquis, sans justification, ils saperont le système. Ils refuseront de donner des renseignements ou ils en donneront de faux. Ils accableront de plaintes les sociétés. Ils rejetteront des choses qui pourraient leur être utiles, par dépit, frustration et ressentiment. Ils se tourneront alors vers des concurrents qui savent respecter leur vie privée.

À nouveau, l'avantage concurrentiel revient à l'entreprise qui respecte la vie privée. En définitive, une juste protection de la vie privée constitue une saine pratique de gestion commerciale.

Je vous ai présenté certaines incidences importantes de la LPRPDE en matière de protection de la vie privée au Canada sur vous, gens d'affaires. Il y aurait encore bien des choses à dire en guise d'introduction générale à la LPRPDE, mais il vaut probablement mieux de passer maintenant aux questions.

Alors, je me permets de conclure en vous disant que nous serons à votre disposition afin de vous aider au cours des mois et des années à venir. C'est d'ailleurs avec impatience que j'attends le plaisir de travailler avec vous.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :