Sélection de la langue

Recherche

Vue d'ensemble de la législation à venir en matière de protection des renseignements personnels

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

La Fédération canadienne de l'entreprise indépendante

Le 28 mai 2003
Willowdale, Ontario

Dona Vallières
Directrice générale principale, Communications et Politiques


Je suis très heureuse de me trouver parmi vous aujourd'hui. Ayant déjà été moi-même entrepreneure, j'éprouve beaucoup de sympathie envers les propriétaires de petites entreprises au regard des défis auxquels ils doivent faire face et j'ai beaucoup de respect pour le rôle primordial qu'ils jouent dans notre économie et notre société. Je crois que la nouvelle LPRPDE est une bonne nouvelle pour nous, Canadiennes et Canadiens, et j'espère réussir, d'ici la fin de mon allocuation, à dissiper les appréhensions des entreprises face à ma mise en oeuvre en janvier 2004.

En tant qu'entrepreneurs, les membres de la Fédération canadienne de l'entreprise indépendante se préoccupent de ce que leurs compagnies soient bien gérées, compétitives et profitables. À partir de janvier 2004, ils devront aussi se soucier de protéger les renseignements personnels de leurs clients.

C'est pourquoi, à partir du 1er janvier prochain, toutes les entreprises au Canada qui recueillent, utilisent et communiquent des renseignements personnels devront se conformer à la LPRPDE — une nouvelle loi mise en oeuvre par le gouvernement fédéral afin de protéger les renseignements personnels des Canadiennes et des Canadiens dans le secteur privé — ou à une loi provinciale essentiellement similaire.

La LPRPDE établit les règles de base en ce qui a trait à la collecte, à l'utilisation et à la communication de renseignements personnels par les organisations du secteur privé dans le cadre de leurs activités commerciales.

Certaines entreprises connaissent peut-être déjà la LPRPDE car elles exercent à des activités qui sont couvertes par la Loi — telles la communication pour contrepartie de renseignements personnels au-delà des frontières provinciales ou nationales.

Mais pour les entreprises qui ne connaissent pas encore cette Loi, le moment présent est extrêmement précieux — car dans quelques mois cette Loi fera partie de la nouvelle réalité de toutes les entreprises.

Nous comprenons bien que, dans un marché de plus en plus compétitif, les entreprises utilisent les renseignements personnels pour identifier leurs clients et rester en contact avec eux.

Toutefois, les entreprises doivent être conscients du respect et de la protection des renseignements personnels.

La protection des renseignements personnels n'est pas un concept juridique abstrait. Il s'agit de l'essence même d'une bonne relation avec votre clientèle et vos employés : égard, respect, courtoisie.

Avant de parler de la Loi, permettez-moi de vous dire quelques mots sur la signification et l'importance de la vie privée.

Premièrement, qu'est-ce au juste que le droit à la vie privée ?

On l'appelle souvent « le droit d'être laissé seul ». C'est une assez bonne définition, quoique incomplète. Elle reflète la réaction viscérale qu'ont les gens à l'idée d'être surveillés, scrutés ou importunés. Voilà ce que signifie l'expression « ingérence dans la vie privée » pour bien des gens.

Il existe cependant une autre forme d'ingérence dans la vie privée qui est moins évidente : il s'agit de la collecte, de l'utilisation et de la communication de nos renseignements personnels à notre insu et sans notre consentement.

Voilà pourquoi George Radwanski, le commissaire à la protection de la vie privée du Canada, définit la vie privée comme le droit de contrôler l'accès à sa personne et aux renseignements la concernant.

Cette définition nous aide à comprendre en quoi notre vie privée est menacée. Dans le passé, notre vie privée était protégée par défaut. Aussi longtemps que les renseignements nous concernant étaient dispersés dans des documents imprimés; un individu aurait eu beaucoup de mal à envahir notre vie privée, à moins d'être une personne célèbre, importante, ou tristement notoire, votre vie privée était relativement protégée.

De nos jours, cependant, les obstacles reliés au temps, à la distance et au coût ont disparu. L'avènement de nouvelles technologies, telles les bases de données informatisées, les systèmes de surveillance, l'identification biométrique et les tests génétiques, fait en sorte qu'un étranger peut, à partir d'un ordinateur, compiler un dossier détaillé sur notre vie entière en l'espace de quelques minutes.

Résultat – Nous devons individuellement et collectivement, nous donner beaucoup de mal pour nous assurer que notre vie privée est respectée. Les choix que nous ferons pour faire face à ce défi détermineront le genre de société que nous créerons non seulement pour nous-mêmes, mais également pour nos enfants et nos petits-enfants.

Pourquoi est-ce que je parle ainsi – Qu'y a-t-il de si important au sujet de la vie privée ?

Premièrement, il s'agit d'un droit fondamental de la personne, reconnu comme tel par les Nations Unies. On l'appelle parfois « le droit dont découlent toutes nos libertés ». On peut facilement comprendre pourquoi. En effet, on ne peut avoir de liberté de parole, de liberté d'association ou de liberté de pensée, par exemple, dans une société où chacun de nos mouvements est épié, chacune de nos activités est connue et chacune de nos préférences est surveillée. Ainsi qu'a déjà écrit le juge La Forest, ancien juge à la Cour suprême du Canada, la vie privée est « au coeur de la liberté dans un État moderne ».

La vie privée est un besoin inné de l'être humain. Lorsque vous rentrez chez vous le soir, vous fermez probablement les rideaux. Ce n'est pas parce que vous avez quelque chose à cacher, mais parce que vous éprouvez simplement le besoin instinctif d'avoir une vie privée, de vous mettre à l'abri du regard des autres.

Si, pendant que vous êtes à bord d'un autobus ou d'un avion, la personne assise derrière vous élève la tête pour observer ce que vous êtes en train de lire, vous vous sentirez sans doute mal à l'aise. Pourtant, ce que vous lisez n'est pas un secret — c'est tout simplement parce qu'on empiète sur votre vie privée.

Si un individu est déjà entré par effraction dans votre foyer ou même dans votre voiture, vous savez bien que le sentiment de violation de votre sphère intime peut être encore plus pénible que la perte même d'objets volés.

Supposons qu'un policier décidât de marcher derrière vous toute la journée, en vous suivant de manière évidente et délibérée dans tous les endroits publics. Je suis persuadée que vous trouveriez cela inacceptable, même s'il ne vous parlait pas et ne vous embêtait pas autrement. Peut-être penseriez-vous même qu'il vous harcèle — parce qu'il empiète sur votre vie privée.

Au Canada, en tant que citoyens libres, nous avons le droit à l'anonymat, lorsque nous vaquons à nos affaires.

Presque tous les jours, de manière inédite et originale, la vie privée — ce besoin inné et ce droit fondamental de l'être humain — grâce à des avancées dans la technologie et l'équilibre toujours instable entre vie privée et sécurité. Parfois l'attaque est subtile, parfois elle est directe. Dans les deux cas, nous devons faire face au défi.

Ce qui m'amène à vous parler de la LPRPDE, une des manières dont les Canadiens se sont attaqués à ce défi de légiférer pour protéger le droit à la vie privée.

J'ai affirmé un peu plus tôt que tout membre de votre organisation qui recueille, utilise ou communique des renseignements personnels dans le cadre d'activités commerciales au Canada sera visé soit par cette Loi soit par une loi provinciale essentiellement similaire.

Lorsque vous parlerez de cette loi à vos membres, certains d'entre eux auront peut-être un soupir de soulagement et ils diront, « Dieu merci, nous ne sommes pas visés. Nous ne recueillons ni n'utilisons ni ne communiquons de renseignements personnels. »

Je vous suggère fortement de les encourager à bien vérifier ce fait.

Ils pourraient être surpris de découvrir la quantité de renseignements personnels qu'ils recueillent, utilisent ou communiquent et ce qu'ils en font. Ils ne peuvent pas présumer que la Loi ne s'applique pas à eux simplement parce qu'ils ne sont pas une banque ou un détaillant qui participe à un programme de fidélisation de la clientèle.

En examinant attentivement la manière dont ils font affaire, ils pourraient bien découvrir qu'en fait ils détiennent et utilisent des renseignements personnels. Pensez, par exemple, aux fichiers d'adresses de clients actuels ou potentiels. Ou prenez l'exemple d'un dépanneur : vous ne penseriez pas qu'un dépanneur recueille ou utilise des renseignements personnels — jusqu'à ce que vous réalisiez qu'il loue également des films vidéo et conserve des listes des clients.

Si chaque entreprise devait mener une enquête pour déterminer les renseignements personnels qu'elle recueille, utilise et communique dans le cadre de ses activités, il serait probablement surprise de l'ampleur du phénomène.

Une fois que vos membres auront découvert que la Loi s'appliquera à eux, vous risquez de les entendre grincer des dents à l'idée d'un fardeau réglementaire supplémentaire.

Je peux comprendre la préoccupation que les gens d'affaires ont de se voir submergés par les agents chargés de la réglementation de la protection des renseignements personnels, les problèmes et les plaintes liés à la protection des renseignements personnels. Mais je crois que vous pouvez les rassurer en leur expliquant deux choses.

Premièrement, la LPRPDE reflète la réalité du monde des affaires, et non une pensée abstraite d'Ottawa. La Loi est fondée sur le Code type sur la protection des renseignements personnels de l'Association canadienne de normalisation. Ce Code, qui est en fait incorporé à la Loi, est le fruit d'un effort de collaboration entre des représentants du gouvernement, des consommateurs et des milieux d'affaires. Lorsque ces groupes se sont rencontrés et ont échangé, l'élaboration d'un code était envisagée comme une réponse aux contraintes auxquelles doivent faire face les entreprises. Le Canada est le premier pays dans le monde à se doter d'une législation sur la protection des renseignements personnels dans le secteur privé, fondée sur des normes rationales qui sont le fruit d'une collaboration entre divers groupes d'intérêts. Ces groupes ont reconnu qu'une bonne politique en matière de protection des renseignements personnels était aussi bonne pour les affaires, et que le fait de protéger les droits des clients et de traiter de respect envers leurs renseignements personnels avec respect conférait aux entreprises un avantage concurrentiel.

Deuxièmement, si une organisation est visée par la LPRPDE, alors effectivement, elle sera assujettie à la supervision du commissaire et du Commissariat — mais nous sommes ici pour aider les entreprises, non pour entraver leurs activités. La LPRPDE vise à établir un équilibre entre les besoins légitimes des organisations en matière de renseignements personnels et les droits des individus à la protection de leurs renseignements personnels. Le rôle du commissaire est celui d'un médiateur, non d'un policier. Son objectif est de trouver des solutions aux problèmes liés à la protection des renseignements personnels, non de trouver des coupables.

Alors, que contient la LPRPDE et comment vos membres pourront-ils s'acquitter de leurs obligations en vertu de cette loi ?

Essentiellement, la LPRPDE dispose que toute organisation qui veut recueillir, utiliser ou communiquer les renseignements personnels des particuliers doit obtenir leur consentement, sauf dans quelques cas bien précis.

Une organisation ne doit utiliser ou communiquer des renseignements personnels qu'aux fins auxquelles les personnes ont consenti.

Même lorsqu'elle a obtenu le consentement de la personne, une organisation doit limiter la collecte, l'utilisation et la communication des renseignements personnels aux fins qu'une personne raisonnable jugerait appropriées dans les circonstances.

Les individus ont le droit de consulter les renseignements personnels qu'une organisation détient sur eux et de faire corriger toute erreur.

Le commissaire et le Commissariat veillent au respect de la Loi. Un mécanisme de réparation existe pour les cas où les droits des personnes ont été enfreints.

Il existe un malentendu fréquent, selon lequel la LPRPDE ne s'applique qu'aux sites Internet, au commerce électronique et aux entreprises faisant affaire sur Internet. Cela est tout à fait faux. La LPRPDE s'applique à toutes les entreprises, qu'elles fassent du commerce électronique ou non.

Présentement, la LPRPDE s'applique à la collecte, à l'utilisation et à la communication des renseignements personnels par des installations, ouvrages, entreprises et secteurs d'activité fédéraux dans le cadre d'activités commerciales. Elle s'applique donc essentiellement aux banques, aux compagnies de transport aérien, aux compagnies de télécommunications, aux radiotélédiffuseurs et aux compagnies de transport interprovincial ou international. Elle s'applique également aux renseignements personnels des employés de ces organisations. Et elle s'applique aux renseignements personnels détenus par des organisations dont la réglementation est de compétence provinciale lorsque ces renseignements sont vendus, loués ou échangés au-delà des frontières provinciales ou nationales.

À partir de janvier 2004, la Loi s'appliquera à toutes les entreprises — à la collecte, à l'utilisation et à la communication de renseignements personnels dans le cadre d'activités commerciales par toutes les organisations du secteur privé, sauf dans un cas bien précis.

Cette exception bien précise vise le cas où une province aurait adopté une loi sur la protection des renseignements personnels « essentiellement similaire » à la LPRPDE. Dans un tel cas, le gouvernement fédéral peut exempter de l'application de la LPRPDE tout ou partie du secteur privé dont la réglementation relève de la compétence de cette province, en ce qui a trait aux activités commerciales qui se déroulent à l'intérieur de la province. La LPRPDE continuera à s'appliquer à la collecte, à l'utilisation et à la communication de renseignements personnels dans le cadre d'une installation, ouvrage, entreprise ou secteur d'activité fédéral, de même qu'au-delà des frontières provinciales ou nationales.

Un malentendu subsiste sur ce point. À partir de 2004, l'application de la Loi s'étendra aux activités commerciales qui relèvent normalement de la juridiction provinciale, mais elle ne s'appliquera pas à l'emploi dans ces activités. La LPRPDE ne s'appliquera à l'emploi que dans le cadre des installations, ouvrages, entreprises ou secteurs d'activité fédéraux.

Je vous encourage à insister sur ce point dans vos discussions avec vos membres, car nous avons constaté que beaucoup de personnes n'ont pas saisi cet aspect. La LPRPDE s'appliquera aux pratiques en matière d'emploi de ceux parmi vos membres qui exploitent une installation, ouvrage, entreprise ou secteur d'activité fédéral — je croirais que vous en avez, tels de petites compagnies de transport aérien ou de transport interprovincial. La LPRPDE ne s'appliquera pas aux pratiques en matière d'emploi de la majorité de vos membres; elle aura par contre de répercussions sur leur façon de gérer les renseignements personnels de leurs clients.

De toute façon, je pense qu'il peut être bon d'encourager vos membres à revoir leurs pratiques en ce qui a trait à la protection des renseignements personnels dans l'emploi. Il est fort probable que les lois provinciales sur la protection des renseignements personnels s'appliqueront au domaine de l'emploi. En fait, de l'avis du commissaire, elles devront s'appliquer au domaine de l'emploi, sans quoi elles ne seront pas jugées comme étant essentiellement similaires à la LPRPDE.

Je vous encourage à bien expliquer à vos membres l'importance de nommer une personne au sein de leur organisation chargée de tous les aspects touchant à la protection des renseignements personnels. Les grandes organisations ont un agent principal à la protection des renseignements personnels, mais dans la plupart des entreprises on peut raisonnablement s'attendre à ce qu'une personne remplisse ce rôle à temps partiel. Ainsi, les questions liées à la protection des renseignements personnels seraient convenablement traitées.

Je reviendrai sur la question de la législation provinciale essentiellement similaire, mais pour l'instant je veux vous décrire ce que nous faisons, au Commissariat à la protection de la vie privée du Canada.

Le commissaire est un haut fonctionnaire indépendant du Parlement, dont le mandat comprend essentiellement deux volets.

Le premier volet concerne la supervision. Ainsi, le commissaire doit faire enquête sur les plaintes formulées en vertu de la LPRPDE et de la Loi sur la protection des renseignements personnels, une loi similaire à la LPRPDE qui s'applique au secteur public fédéral depuis vingt ans. Il doit aussi décider du bien-fondé de ces plaintes.

Dans le cadre de son mandat de supervision, le commissaire agit en tant que médiateur. Il a recours à la négociation et à la persuasion pour trouver des solutions. Il n'est pas intéressé à blâmer ou à punir des organisations.

Le commissaire possède les pleins pouvoirs d'enquête; si cela s'avère nécessaire pour les fins d'une enquête, il peut ordonner la production de documents, visiter tout local et contraindre des personnes à témoigner. Mais dans les vingt ans d'existence de la Loi sur la protection des renseignements personnels, le commissaire n'a jamais été obligé d'utiliser ces pouvoirs. Nous avons toujours réussi à obtenir une coopération volontaire. Cela a également été le cas jusqu'ici avec la LPRPDE, et nous sommes confiants de pouvoir continuer à travailler ainsi.

Si, à la fin de son enquête, le commissaire en vient à la conclusion qu'une organisation porte atteinte à la vie privée, il émet des recommandations sur la manière de régler le problème.

Il n'a pas le pouvoir de donner des ordres, cependant il a à sa disposition des moyens pour s'assurer que les droits à la vie privée des personnes sont respectés et que ses recommandations ne tombent pas dans le vide.

Par exemple, si une organisation ne suit pas ses recommandations, il peut rendre la cause publique, puis s'appuyer sur l'opinion publique pour faire bouger les choses.

Il peut également saisir la Cour fédérale pour que celle-ci ordonne à l'organisation visée de se conformer à ses recommandations, ou même pour qu'elle accorde des dommages aux personnes dont les droits à la vie privée ont été violés.

Le deuxième volet majeur de son mandat est d'éduquer les Canadiennes et les Canadiens au sujet de leurs droits à la vie privée et de promouvoir le respect de la vie privée.

Ainsi, des sommaires de ses conclusions sont affichés sur notre site Internet; nous élaborons des guides à l'intention des entreprises et des fiches d'informations; et le commissaire rencontre des groupes comme le vôtre. Le commissaire a un horaire d'allocutions très chargé, ce qui reflète la priorité qu'il accorde aux activités de communication. Nous avons également entrepris de nouvelles initiatives en matière de communication afin d'aider les petites et moyennes entreprises à mettre en oeuvre la LPRPDE. Ainsi, afin d'aider les PME à se préparer, nous élaborons présentement une trousse électronique qui sera affichée sur notre site Internet et qui comprendra un aide-mémoire des fiches d'information, une présentation en PowerPoint et d'autre matériel destiné tout particulièrement aux PME.

Nous envisageons préparer un article spécifiquement pour vos membres pour afficher sur le site Internet de la FCEI et pour inclure dans votre bulletin. Et nous entreprenons une importante campagne de sensibilisation dans les journaux communautaires à travers le Canada.

J'aimerais discuter de vos projets avec vous plus tard et obtenir vos commentaires sur ce que vous croyez être le plus utile.

Revenons maintenant à la question de la législation essentiellement similaire : Puisque plusieurs provinces ont pris l'initiative de légiférer dans ce domaine, vous vous demandez peut-être ce que signifie l'expression « essentiellement similaire ». En termes simples, la législation provinciale en matière de protection des renseignements personnels devra être aussi exigeante ou plus exigeante que la LPRPDE pour être considérée essentiellement similaire.

En ce moment, seule la province de Québec possède une loi réputée être essentiellement similaire. La Colombie-Britannique et l'Alberta, ont, toutes deux, introduit de nouvelles lois, mais ces lois ne sont pas, de l'avis du commissaire, essentiellement similaires. La décision finale appartient au ministre de l'Industrie et au Cabinet fédéral.

Par conséquent, les principes de la LPRPDE vont faire partie de la réalité des entreprises partout au Canada. Plusieurs de vos membres ont déjà aligné leurs pratiques sur ces principes. Bien sûr, l'une des raisons pour lesquelles ils ont agi ainsi est leur volonté d'être conformes à la loi dès le départ. Mais il existe une autre bonne raison d'agir ainsi, à savoir que le respect et la protection des renseignements personnels est un élément clé qui peut conférer un avantage concurrentiel. Les clients exigent qu'on respecte la confidentialité de leurs renseignements personnels, les employés également — et surtout, des entreprises concurrentes vont leur donner satisfaction sur ce point.

En fait, une recherche menée en 2002 par la firme américaine Harris Interactive a démontré que les préoccupations concernant la vie privée figurent parmi les trois « principales préoccupations » exprimées par les consommateurs : 75% des répondants étaient inquiets que les compagnies avec lesquelles ils font affaire communiquent leurs renseignements personnels à d'autres compagnies; 69% des répondants étaient inquiets que des pirates informatiques volent leurs données personnelles; et 70% des répondants étaient inquiets que leurs transactions puissent ne pas être sécuritaires. Le rapport indiquait également que le niveau global de confiance des consommateurs envers les entreprises était faible et que les entreprises qui ne répondent pas aux attentes des consommateurs en ce qui a trait à la protection des renseignements personnels ont de bonnes raisons de s'inquiéter. 83% des répondants ont affirmé qu'ils cesseraient entièrement de faire affaire avec une compagnie s'ils lisaient ou entendaient dire que celle-ci faisait un usage impropre des renseignements des clients.

Nous sommes d'accord que la préparation en vue de protéger les renseignements personnels de cette manière n'est pas chose facile. Cette préparation exige du temps, de l'attention et des ressources. Notre mandat est de vous aider dans cet effort. À cette fin, nous encourageons la communauté des affaires à consulter notre Commissariat. Nous avons aussi produit du matériel de sensibilisation du public et le commissaire rencontre régulièrement les groupes d'affaires.

La LPRPDE a été adoptée parce que le gouvernement s'est rendu compte que la protection des renseignements personnels est bonne pour les affaires. Les entreprises dépendent des renseignements personnels pour garder le contact avec leurs clients, trouver de nouveaux clients et déterminer les besoins du marché et ce qu'il en retournera. Elles ont également besoin de renseignements sur leurs employés afin d'administrer leurs avantages sociaux et de leur offrir un milieu de travail sécuritaire et productif.

L'acquisition et l'utilisation de ces renseignements personnels de façon à ne pas porter atteinte à la vie privée — voilà le défi des entreprises modernes. Une protection adéquate des renseignements personnels est essentielle — elle aide à préserver l'image d'une entreprise, à acquérir et à maintenir la confiance des clients, à assurer la collecte de renseignements adéquats aux fins de marketing et à donner en bout de ligne un avantage concurrentiel à l'entreprise. À moins d'assurer la protectin des renseignements personnels, les entreprises finiront par faire fuir leurs clients.

Permettez-moi de vous citer quelques exemples.

En vertu du programme Aeroplan, les membres gagnent des points puis les échangent à chaque fois qu'ils voyagent avec Air Canada ou font affaire avec des partenaires du programme. Environ six millions de personnes participent à ce programme. En juin 2001, Aeroplan a envoyé à quelque 60 000 d'entre elles — approximativement un pour cent des membres — une brochure intitulée « Tout sur la protection de vos renseignements personnels ».

Cette brochure a créé beaucoup de problèmes pour Aeroplan.

Le texte ne détaillait pas clairement et en termes simples ce qu'Aeroplan comptait faire avec les renseignements personnels des membres. Il demeurait vague au sujet des renseignements qui allaient être communiqués, des personnes à qui ils seraient communiqués et des fins auxquelles ils seraient communiqués. Le texte semblait dire que des renseignements potentiellement très délicats portant sur les intérêts personnels et professionnels des membres, l'utilisation qu'ils font de produits et services et leur situation financière seraient communiqués.

Les membres pouvaient se soustraire à cette communication en indiquant chaque cas où ils ne voulaient pas que leurs renseignements soient communiqués et en renvoyant la brochure par la poste. Les membres qui ne se désistaient pas étaient considérés par Aeroplan comme ayant consenti.

Il n'était pas étonnant que les membres aient protesté en recevant la brochure.

En fait, le Commissariat a été submergé de lettres et de courriels de protestation. Étant donné l'énorme intérêt accordé par le public à cette question, le commissaire rendit publiques ses pré

Signaler un problème ou une erreur sur cette page
Erreur 1: Aucune sélection n’a été faite. Vous devez choisir au moins une réponse.
Veuillez cocher toutes les réponses pertinentes (obligatoire) :

Remarque

Date de modification :