Loi concernant le secteur privé

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Commissariat à la protection de la vie privée du Canada devant Dalhousie Law Hour

Le 25 mars, 1999
Halifax, Nouvelle Écosse

Bruce Phillips
Commissaire à la protection de la vie privée du Canada
(Le texte prononcé fait foi)


Au Canada, les protections juridiques disparates ne font pas le poids face aux présentes technologies de l'information qui se retrouvent entre les mains de gouvernements efficaces, de compagnies agressives et de nouvelles créatures hybrides en partie issues du gouvernement fédéral, du gouvernement provincial, ou du secteur commercial d'un gouvernement, ou encore d'un entrepreneur privé ou un mélange de tout cela. Quelle loi leur est applicable – La réponse courte à cette question est : Qui le sait ?

La Loi sur la protection des renseignements personnels, dont je supervise l'application, ne concerne que les seules activités du gouvernement fédéral. La plupart des provinces possèdent des lois concernant la protection de la vie privée qui assujettissent leurs propres administrations.

Mais seul le Québec possède une loi qui réglemente le secteur privé. En plus de donner lieu à des anomalies, cette situation laisse 23 millions de Canadiens dans un vide juridique. Par exemple :

  • La Montréalaise qui magasine chez Eaton's voit sa vie privée protégée alors que son cousin à Halifax ne jouit pas des mêmes droits à la succursale de ce même magasin ;
  • Les renseignements concernant sa solvabilité qui sont envoyés chez Equifax, la plus importante agence d'évaluation du crédit au Canada, sont protégés par la loi. Les mêmes renseignements concernant son cousin haligonien ne le sont pas;
  • Notre Montréalaise voit sa vie privée protégée si elle effectue ses opérations bancaires avec la caisse populaire ou la caisse d'économie locales, lesquelles sont régies par la loi québécoise concernant la protection des renseignements personnels. Cependant elle ne jouit d'aucune de ces protections si elle effectue ses transactions avec la Banque de Montréal qui, bien qu'elle soit constituée par charte fédérale, est une institution du secteur privé qui n'est pas soumise à la législation fédérale sur la protection des renseignements personnels.

Je n'ai aucun droit de savoir quels les renseignements les entreprises détiennent sur moi, comment elles les ont obtenus, quels usages elles en font, si ces renseignements sont exacts, avec qui elles les partagent et comment ils seront conservés.

Les compagnies considèrent de plus en plus les renseignements concernant leurs clients comme une ressource qu'elles possèdent et qu'elles peuvent exploiter, utiliser et vendre à souhait. L'article vedette dans le Information Week de cette semaine explique comment l'entreprise peut utiliser l'information sur la clientèle afin de maximiser ses occasions d'affaires. Nulle part il n'est question d'obtenir l'assentiment du client à ce qui est en définitive l'équivalent d'exploiter ses renseignements personnels dans le but de manipuler ses habitudes.

Plus mes renseignements personnels circulent, plus il y a de chances qu'ils soient utilisés pour déterminer quels services me seront offerts, à quels avantages j'aurai droit et pour quel travail je suis le mieux qualifié, le tout sans mon accord ni mon intervention. Par ailleurs, ces décisions peuvent être basées sur de l'information erronée que je n'ai absolument pas le droit de corriger, ce qui rend cette pratique d'autant plus hasardeuse. Notre patchwork législatif est rebattu et plein de courants d'air.

Deux facteurs ont poussé le gouvernement à agir. En novembre dernier, il a introduit le projet de loi C-54 qui a pour but d'élargir la protection de la vie privée au secteur privé sous réglementation fédérale. Le premier de ces facteurs est la directive européenne et ses répercussions possibles sur le transfert de données vers des pays ne disposant pas de législation acceptable en matière de droit relatif au respect de la vie privée, dont le Canada.

Le second facteur est la venue du commerce électronique et de toutes les opportunités qu'il offre. Ce facteur est, disons-le honnêtement, beaucoup plus décisif.

Conscient que l'économie fondée sur le savoir est à la base de l'économie mondiale, le gouvernement du Canada est déterminé à faire de notre pays «la nation la plus branchée au monde». Ainsi il veut créer des conditions qui placeront le Canada dans le peloton de tête du commerce électronique déjà en pleine expansion. Cela est très bien, après tout des emplois et des occasions d'affaires sont en jeu.

Cependant, le gouvernement est également conscient qu'il doit faire en sorte que la population ait confiance dans le système, les Canadiens ne magasineront pas, n'effectueront pas d'opérations bancaires, et ne rempliront pas de déclarations fiscales par Internet s'ils craignent de voir leurs vies personnelles étalées devant plus de 40 millions de personnes à travers le monde.

Une étude en cours a récemment démontré que plus de 80 pour cent des Canadiens refuseraient de donner leur numéro de carte de crédit lors d'achats effectués sur Internet. Or, cette proportion tombe sous la barre des 50 pour cent lorsque ces personnes ont la possibilité de connaître et de contrôler la façon dont l'entreprise utilisera leurs renseignements personnels. Malgré tout, les tenants du commerce électronique ont manifestement beaucoup de travail devant eux. Le projet de loi C-54 est d'une importance cruciale à cet égard. Cette semaine, le Comité de l'industrie de la Chambre des communes en a fait l'examen article par article.

Ce projet de loi est un texte législatif peu commun. Il n'est ni simple ni harmonieux. Malgré tout, il semble fonctionner. Je vais vous l'expliquer en bref car, pour les juristes en herbe parmi vous, il pourrait être annonciateur de changements.

Le projet est divisé en deux parties. La première soumet le secteur privé sous réglementation fédérale à la loi visant à assurer le respect de la vie privée. La seconde crée un cadre législatif régissant les communications électroniques entre le gouvernement, ses clients et les citoyens.

L'emballage en a surpris plus d'un et en a même amené d'autres à croire que les dispositions concernant le droit à la vie privée ne s'appliquent qu'au commerce électronique. Ce n'est pas le cas. C'est une loi concernant la protection de la vie privée applicable au secteur privé à l'exemple du loup déguisé en brebis.

Une autre particularité de la rédaction de ce projet tient au fait que le cour de la partie portant sur la vie privée, le principe de l'utilisation honnête des renseignements recueillis, se retrouve sous la forme d'une annexe au projet. Cette annexe est constituée par le Code type sur la protection des renseignements personnels de l'Association canadienne de normalisation (duquel on a retiré quelques éléments). C'est peut-être la première fois qu'une norme du secteur privé se retrouve enchâssée dans une loi. En tout cas, pour moi c'est une première.

Les raisons en sont simples. Le code de l'ACNOR reprend tous les principes généraux du droit international de la protection des renseignements personnels. Il a été élaboré par des entreprises à partir de suggestions provenant de groupes de consommateurs et de gardiens de la vie privée. Certaines entreprises en font déjà usage.

Le Code expose tous les principes, reconnaissance de la collecte, utilisation et communication de renseignements personnels à des fins légitimes et possibilité d'accès pour les individus. Toutefois, alors que le code utilise le conditionnel, le projet de loi utilise souvent l'indicatif marquant l'obligation. Il s'agit d'une approche originale qui nécessitera vraisemblablement une interprétation judiciaire.

Mais commençons par le commencement. Cette loi confère aux personnes, physiques et non morales, des droits exécutoires protégeant leurs renseignements personnels. Elle protège ceux-ci, qu'ils soient enregistrés ou non et sans égard à la forme sous laquelle ils ont pu être enregistrés. Cette vaste définition englobe tout, du papier à tout document informatisé, en passant par la microfiche, la cassette audio ou vidéo et les CD.

Et puisqu'elle ne se limite pas à l'information enregistrée, elle permet aussi aux personnes de contester le droit d'une entreprise de recueillir des renseignements personnels au moyens de dispositifs de surveillance. Ainsi on pourrait contester l'installation dans le vestiaire des employés d'une caméra de surveillance qui, bien qu'elle n'enregistre pas, serait opérée par quelqu'un. Cette notion de non-enregistrement marque un pas en avant par rapport à la législation actuelle et pour ma part, j'aimerais bien qu'on l'ajoute à la Loi sur la protection des renseignements personnels.

La loi est applicable dès son adoption à toute «entreprise» fédérale. Pour ceux qui ne sont pas familiers avec les subtilités des compétences fédérales-provinciales, cela englobe le transport interprovincial tels Air Canada, Via Rail, le traversier de Port aux Basques à North Sydney, et vraisemblablement le petit traversier de Quyon sur la rivière Outaouais à 80 km au nord d'Ottawa. Cela vise également les banques à charte comme la Banque de Nouvelle-Écosse et les stations de radio comme CHNS et CIOO. Elle englobe également tous les travaux que le Parlement considère être à l'avantage général du Canada ou de plusieurs provinces.

Le secteur bancaire est certainement le plus important d'entre eux. Les banques détiennent une multitude d'informations sur leurs clients. Elles sont passées maîtres dans l'art d'intégrer la technologie sophistiquée de l'information à leurs entreprises. De plus leurs activités s'étendent rapidement à d'autres secteurs. par exemple l'assurance-vie, où l'évaluation des risques nécessite fréquemment la collecte de renseignements médicaux confidentiels. Et à tort ou à raison, les Canadiens semblent se méfier toujours de leurs banques. Évidemment celles-ci sont déjà tenues à une certaine discrétion.

Le projet de loi s'applique également au commerce des renseignements personnels entre les provinces ainsi qu'au niveau international. Ce domaine tombe dans le champ des compétences fédérales par le biais des dispositions concernant le trafic et le commerce de laloi de l'Amérique du Nord britannique.

Le projet de loi ne s'applique pas aux renseignements personnels obtenus par les individus à des fins personnelles ou domestiques. Il ne s'applique pas non plus aux renseignements recueillis, utilisés ou communiqués à des fins « journalistiques, artistiques ou littéraires ».

Tel qu'il est, ce projet de loi nous fait progresser de façon considérable en venant combler bien des lacunes de notre système national de protection des renseignements personnels. Mais d'ici trois ans, nous aurons couvert tout le terrain. Toute entreprise se trouvant dans une province qui n'aura pas adopté de dispositions semblables sera en effet assujettie à la loi fédérale.

Que les législatures provinciales décident ou non d'édicter leurs propres lois, ou qu'elles laissent le temps s'écouler, il en résultera une uniformité à l'échelle nationale et les paradis informatiques internes seront choses du passé. Ce projet nous rendra également conforme aux normes internationales de protection des données. On peut certes penser qu'il s'agit là d'une bonne chose, mais d'une chose pas vraiment essentielle. Mais croyez-moi, cela est essentiel. Le commerce de l'information n'est pas une lubie, et il est en pleine expansion. Les commissaires européens peuvent empêcher, et ils l'ont déjà fait, le transfert d'information de leurs pays vers d'autres qui ne disposent pas de protection suffisante, dont le Canada et les États-Unis.

Ainsi si nous voulons devenir des acteurs sur la scène du commerce international, et je crois que telle est notre volonté, il faudra jouer selon les règles du commerce international.

Je n'ai pas l'intention d'examiner le projet de loi par le menu détail. Je me contenterai de faire ressortir les dix principes qui sont au cour de la loi.

  • Responsabilité- Les organisations sont responsables des renseignements personnels dont elles ont la gestion et elles doivent désigner une personne qui verra au respect des principes qui suivent;
  • Détermination des fins de la collecte des renseignements personnels- Les organisations doivent dire à leur clients pourquoi elles recueillent des renseignements personnels et comment ceux-ci seront utilisés. Chaque nouvelle utilisation nécessite le consentement de l'intéressé;
  • Consentement- Sous réserve de circonstances très particulières, le citoyen doit donner son consentement avant que l'organisation ne recueille, n'utilise et ne communique ses renseignements personnels. Ces exceptions comprennent la collecte de renseignements dans le cadre d'une enquête sur une fraude, la communication pour obéir à un mandat ou une citation à comparaître ou pour des recherches scientifiques;
  • Limitation de la collecte- L'organisation doit limiter sa collecte aux seuls renseignements nécessaires à l'atteinte de ses objectifs;
  • Limitation de l'utilisation, de la communication et de la conservation- Les organisations ne doivent utiliser et communiquer les renseignements personnels qu'aux seules fins auxquelles elles ont obtenu un consentement. Chaque nouvelle utilisation et chaque nouvelle communication nécessitent un nouveau consentement. Les renseignements personnels ne peuvent être gardés que pour le temps nécessaire à l'atteinte des fins auxquelles ils ont été recueillis;
  • Exactitude- Les renseignements personnels doivent être exacts, à jour et aussi complets que possible pour les fins auxquelles ils sont recueillis;
  • Mesures de sécurité- Les organisations doivent protéger les renseignements personnels contre la perte, le vol ainsi que la communication, l'usage, la modification et la copie non autorisées;
  • Transparence- Les institutions fédérales doivent indiquer à leurs clients quels sont les renseignements personnels qu'elles détiennent à leur sujet, quelles utilisations elles en font et à qui elles communiquent ces renseignements. De plus elles doivent expliquer comment on peut y avoir accès ;
  • Accès aux renseignements personnels- Sur demande, les organisations doivent dire aux personnes quels sont les renseignements personnels existants, leur indiquer les modalités d'utilisation et de communication de ces renseignements et leur permettre de les consulter. (Il y a certaines exceptions, les renseignements protégés par le secret professionnel, les renseignement commerciaux confidentiels). Le citoyen peut contester l'exactitude et l'intégralité des renseignements.
  • Possibilité de porter plainte à l'égard du non-respect des principes- Les citoyens peuvent également contester le respect de ces principes par une organisation, soit par le biais du dépôt d'une plainte interne ou, en dernier recours, auprès du commissaire à la protection de la vie privée.

Le Code de l'ACNOR, qui est à la disposition du secteur privé depuis deux (?) ans, avait comme défaut son absence de surveillance indépendante. Le seul recours en cas de violation consistait à s'adresser à la société en cause. On ne peut s'étonner du scepticisme des consommateurs.

Cet aspect a été réglé par le projet de loi C-54 : la Partie I, celle concernant la protection des renseignements personnels, est soumise à la surveillance du commissaire à la protection de la vie privée. Les citoyens peuvent toujours s'adresser à moi, du refus d'accès aux renseignements personnels jusqu'à la collecte, l'utilisation et la communication des renseignements personnels par une société.

Le commissaire a un pouvoir important, celui de prendre lui-même l'initiative de porter plainte. Ainsi il n'est pas obligé de se tenir à l'écart et d'assister impuissant à une violation flagrante de la loi en attendant que quelqu'un porte plainte.

Tout comme sous l'autorité de la présente Loi sur la protection des renseignements personnels, le commissaire jouit de larges pouvoirs d'enquête pour visiter tout local, recueillir des éléments de preuve et interroger des témoins. Et comme c'est le cas actuellement, toute entrave à son action constitue une infraction. Cependant, parallèlement à ces imposants pouvoirs d'enquête, le commissaire a également le statut d'ombudsman.

Les ombudsmans n'ont pas le pouvoir de donner des ordres, et c'est de là d'ailleurs qu'ils tirent leur force et leur efficacité. Le projet de loi donne spécifiquement au commissaire les moyens de résoudre les plaintes par le biais de la médiation et de la conciliation. C'est monnaie courante dans un bureau d'ombudsman. Avec égards pour les juristes, et ceux qui parmi vous aspirent à cette profession, je crois que la plupart des conflits entre gens raisonnables peuvent être résolus sans recours aux tribunaux.

Mais qu'en est-il des gens qui ne sont pas raisonnables – Le projet permet au commissaire de refuser d'enquêter lorsque la plainte est futile, vexatoire ou entachée de mauvaise foi. Il prévoit aussi un recours devant les tribunaux lorsque tous les efforts du commissaire pour régler le différend ont échoué. La révision judiciaire est le dernier recours de l'ombudsman, recours que le bureau a utilisé à moins de dix reprises au cours des 16 dernières années. Bien sûr, les plaignants peuvent aussi aller directement devant les tribunaux lorsque le commissaire ne leur a pas apporté l'aide dont ils avaient besoin.

Le projet accorde également au commissaire le pouvoir de vérifier les pratiques en matière de gestion des renseignements personnels de toute organisation et de publier toute information à ce sujet qu'il estime d'intérêt public. De la même façon, et il s'agit d'un progrès fondamental par rapport à la loi fédérale actuelle -, le commissaire a le mandat d'informer le public.

Selon moi, le premier problème en matière de protection des renseignements personnels dans notre pays est l'ignorance. Si on lui en donne les moyens et le mandat, le commissaire à la protection de la vie privée peut aider les Canadiens à saisir l'importance de cette valeur, à voir de quelle façon elle est menacée, il peut les informer de leurs droits et, c'est très important, de leurs responsabilités. Nous aurions tout à gagner à devenir nos propres commissaires à la protection de la vie privée.

Le dernier niveau de surveillance est la Cour fédérale. La révision judiciaire est ouverte pour toute violation des principes de base que j'ai énumérés plus haut et qui se trouvent en annexe à la loi. Voici quelques exemples des sujets de plainte que la Cour pourra entendre :

  • communication inopportune à des tiers;
  • défaut d'identifier les fins auxquelles la collecte est effectuée ou de la limiter à l'information appropriée;
  • fourniture d'éventuels biens ou services à la personne qui donne les renseignements, au delà de ce qui est nécessaire pour l'opération;
  • défaut de protéger de façon appropriée les renseignements ou de vérifier leur exactitude, leur fiabilité et leur intégralité par rapport aux fins auxquelles ils sont recueillis;
  • défaut de renseigner les clients sur les pratiques de gestion de la société en matière de renseignements personnels ;
  • défaut de fournir aux clients les renseignements qu'ils ont demandés ;
  • défaut d'obtenir un consentement à la collecte, à l'utilisation et à la communication de renseignements personnels ;
  • collecte, utilisation et communication de renseignements personnels de façon dérogatoire.

La Cour peut ordonner à l'organisation de fournir l'information qu'elle a refusé de donner, de corriger ses pratiques de gestion en matière de renseignements personnels et de publier un avis des mesures qu'elle a prises. Elle peut aussi la condamner à verser des dommages-intérêts au plaignant.

Bien sûr, le projet a également quelques faiblesses. Certaines sont inhérentes au système fédéral canadien alors que d'autres découlent de la structure du projet lui-même. Par exemple, il n'est pas certain que les entreprises à but non lucratif y soient assujetties car le projet parle d'organisations dans le cadre d'«activités commerciales». Il n'est pas certain non plus que les professions y soient assujetties.

J'aimerai terminer en parler d'une chose qui ne se retrouve pas dans le projet de loi mais qui fait partie intégrante des renseignements personnels et du commerce électronique. Il s'agit du cryptage.

Le cryptage embrouille une communication électronique de façon à s'assurer que seul son destinataire puisse la lire ; on est également sûr de sa provenance et du fait qu'elle n'a pas été modifiée en cours de route. La confiance dans le système est essentielle à la participation au commerce électronique. La liberté de choisir et d'utiliser différents outils de cryptage sera également cruciale pour la participation des Canadiens. Plus le contrôle de l'État sur ces outils sera restrictif et plus on viendra neutraliser le cryptage des communications au nom de la loi, moins il se trouvera de gens pour faire du commerce électronique.

Le gouvernement propose maintenant un mécanisme de cryptage comportant une clé publique et qui mettrait entre les mains d'un «tiers de confiance» les clés de tous les utilisateurs. Les organismes chargés de l'application de la loi auraient alors accès à votre clé privée et pourraient aller lire vos transactions électroniques en s'adressant à ce tiers.

Il faudrait que les décideurs politiques et le législateur s'assurent avec beaucoup de circonspection que les demandes d'accès aux communications encodées sont essentielles à l'application de la loi. Si l'on donne aux organismes chargés de l'application de la loi un accès sans entraves aux moyens permettant le décryptage des communications, il en résultera à la fois une perte de confiance des usagers dans le système et un risque que toute communication encodée ne soit systématiquement décodée.

Les impératifs d'application de la loi ne doivent pas compromettre le droit à la vie privée des Canadiens ni empiéter sur les libertés civiles fondamentales. De larges pouvoirs d'interception et de décryptage ne constituent peut-être pas la meilleure solution au problème de l'activité criminelle et risquent d'enfreindre la Charte canadienne des droits et libertés.

Toutes les questions que j'ai soulevées ici sont capitales en cette ère informatique. Mais il y a autre chose pour ceux d'entre vous qui allez épouser la profession juridique. Ce sont également des occasions d'affaires, si je puis me permettre cette vulgarité. Le droit de l'information accuse beaucoup de retard par rapport à la technologie, dans sa pratique et les problèmes qu'elle soulève. Il y a 10 ans, toute une vie dans le domaine des technologies de l'information, la Cour suprême a décidé que le vol de renseignements n'était pas un crime.

Il y a de bonnes raisons et certainement des précédents respectables à l'appui de cette décision. Mais réfléchissez à son impact à une époque où les données sont un produit, un service, une ressource, en fait la raison d'être, d'une bonne partie de notre économie.

Le droit de l'information et son exercice ont besoin d'être sérieusement révisés. Les citoyens auront besoin de toute l'aide nécessaire devant les menaces auxquelles ils seront confrontés et que nous n'avons même pas commencé à imaginer. Les occasions sont passionnantes et certainement lucratives. Mais il y a plus, cette rare opportunité de faire progresser la société et le bien-être collectif. Les occasions sont là, prêtes à être cueillies. À vous de vous en saisir.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :