Communiqué

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Ottawa, le 8 mai 2003 - Le commissaire à la protection de la vie privée du Canada, George Radwanski, a envoyé hier la lettre suivante à l'honorable Sandy Santori, ministre des Services de gestion du gouvernement de la Colombie-Britannique, au sujet du projet de loi 38, la Loi sur la protection des renseignements personnels, la loi proposée de la C.-B. pour le secteur privé.

Le 7 mai 2003

Monsieur le Ministre,

Objet : Projet de loi 38 - Loi sur la protection des renseignements personnels

C'est avec grand intérêt que j'ai examiné le projet de loi 38, la Loi sur la protection des renseignements personnels, que propose votre gouvernement afin d'offrir une protection des renseignements personnels dans le secteur sous réglementation provinciale.

Le projet de loi contient de nombreux éléments positifs. Mais, je crois qu'il est important de vous informer dès maintenant, avant l'adoption de cette loi, que le projet de loi 38 présente un certain nombre de graves lacunes qui, à mon avis, empêcheraient le gouvernement du Canada de reconnaître que cette loi, sous sa forme actuelle, comme étant essentiellement similaire à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) du gouvernement fédéral.

Comme vous le savez, à compter du 1er janvier 2004, la LPRPDE s'appliquera à la collecte, à l'utilisation et à la communication des renseignements personnels dans le cadre d'activités commerciales menées dans une province, sous réserve d'une exception cruciale : dans les provinces qui se seront donné une législation applicable au secteur privé qui sera « essentiellement similaire » à la Loi fédérale, le gouverneur en conseil pourra exclure la totalité ou une partie du secteur privé sous réglementation provinciale de l'application de la Loi pour les activités commerciales qui ont lieu à l'intérieur de la province, et le cas échéant, la loi provinciale s'appliquera.

Si une province adopte une loi sur la protection des renseignements personnels dans le secteur privé qui n'est pas jugée essentiellement similaire à la LPRPDE, la loi provinciale demeurera naturellement en vigueur. Mais dès le 1er janvier 2004, elle s'appliquera simultanément avec la loi fédérale. Dans les cas pour lesquels la LPRPDE établit des normes plus élevées en matière de protection des renseignements personnelles que la loi provinciale, les dispositions fédérales auront préséance jusqu'à concurrence de toute lacune insuffisante et toutes les organisations qui se livrent à des activités commerciales devront s'y conformer.

Le paragraphe 25(1) de la LPRPDE exige qu'à titre de commissaire à la protection de la vie privée du Canada, je dépose devant le Parlement un rapport annuel sur « la mesure dans laquelle les provinces ont édicté des lois essentiellement similaires à la LPRPDE ». Je m'attends à ce que ce rapport soit un important examen pour la décision du Cabinet sur la question de savoir s'il est approprié d'accorder à une province donnée une exemption en raison d'une loi essentiellement similaire.

En mai 2002, dans mon premier rapport sur la question des lois provinciales essentiellement similaires, j'ai établi officiellement les critères que j'utiliserai afin d'évaluer les lois provinciales : à cette fin, j'interpréterai « essentiellement similaire » comme égal ou supérieur à la LPRPDE en ce qui touche le niveau et la qualité accordés à la protection des renseignements personnels. La loi fédérale est le seuil ou le plancher. Une loi provinciale doit être au moins aussi bonne, sans quoi elle n'est pas essentiellement similaire.

La LPRPDE établit une norme élevée, mais il n'est certainement pas impossible de la respecter. En mai 2002, j'ai informé le Parlement que la Loi sur la protection des renseignements personnels dans le secteur privé du Québec était essentiellement similaire à la LPRPDE.

Compte tenu toutefois de mes obligations que m'impose la loi de faire rapport et de signaler si une loi provinciale peut être jugée essentiellement similaire, je crois que la façon la plus utile et constructive de faire part de mon point de vue préliminaire alors que la loi proposée peut toujours être modifiée et améliorée, plutôt que d'attendre son adoption définitive.

C'est dans cet esprit que je vous écris aujourd'hui, pour vous informer qu'à mon avis le projet de loi, sous sa forme actuelle, comporte des lacunes - bien qu'elles puissent être assez facilement corrigées - qui élimineraient toute possibilité de la considérer comme essentiellement similaire.

Tout d'abord, les dispositions « d'antériorité » du projet de loi la rendent considérablement différente de la LPRPDE, qui n'établit pas de distinction entre les renseignements personnels recueillis avant ou après son entrée en vigueur. Ces dispositions empêchent d'assurer que les protections les plus importantes de la loi proposée s'appliquent aux renseignements personnels recueillis avant son entrée en vigueur. En fait, le projet de loi supprime tout besoin de consentement à l'utilisation ou à la communication des renseignements déjà recueillis.

Il peut sembler un peu rassurant de constater que toute utilisation ou communication de renseignements recueillis avant l'entrée en vigueur de la loi doit être conforme au but énoncé au moment de la collecte de l'information. Mais cela est, dans une large mesure, illusoire. On omet dans cette formulation ce qui est évident : il n'existait aucune exigence de préciser le but au moment de la collecte de l'information. Une organisation peut utiliser ou communiquer ces renseignements personnels à n'importe quelle fin et affirmer que ce but était visé lorsque les ces renseignements ont été recueillis. Une personne pourrait très difficilement contester l'utilisation de ces renseignements personnels déjà acquis.

Le projet de loi contredit clairement la LPRPDE, dont l'approche est bien plus axée sur la protection des renseignements personnels et très directe : pour utiliser ou communiquer l'information recueillie avant l'entrée en vigueur de la loi, les organisations doivent obtenir le consentement.

Deuxièmement, le projet de loi est clairement inférieur à la LPRPDE en ce qui concerne le concept du consentement, qui est au cour de toute loi qui se prétend protéger la vie privée. C'est par l'exercice du droit de consentement que les personnes contrôlent les renseignements personnels qui les concernent.

Le problème que présente le projet de loi est qu'il fait expressément référence au consentement implicite, une forme faible de consentement qui n'est acceptable que dans certaines circonstances limitatives, mais omet le consentement explicite ou écrit.

Il s'agit d'une omission critique, parce qu'elle pourrait très bien inciter une organisation à présumer qu'elle peut entièrement compter sur le consentement implicite. Rien dans la loi n'empêche une organisation de faire de la sorte ou permet au commissaire d'exiger le consentement explicite.

Par contraste, la LPRPDE recommande vivement l'utilisation de consentement explicite en ce qui concerne la collecte, l'utilisation ou la communication de renseignements sensibles. Un ensemble de loi qui permettrait à des organisations de compter entièrement sur le consentement implicite offrirait un niveau considérablement inférieur de protection que la LPRPDE.

Troisièmement, le projet de loi est clairement inférieur à la LPRPDE en ce qui concerne les droits des renseignements personnels dans le domaine de l'emploi. La plupart des gens passent la plus grande partie des heures de la journée dans leur lieu de travail; hormis quelques cas d'exception, les droits à la protection des renseignements personnels ne sont pas plus importants nulle part ailleurs. Néanmoins, le projet de loi 38 permet expressément la collecte, l'utilisation et la communication de renseignements personnels des employés sans leur consentement, privant complètement un employé actuel ou éventuel de tout contrôle en ce qui concerne ses renseignements personnels.

Je reconnais que le projet de loi exige que la collecte, l'utilisation ou la communication des renseignements personnels des employés soit raisonnable pour établir et gérer des relations employeur-employé ou y mettre fin. Il s'agit toutefois d'une faible épreuve et d'une piètre assurance pour les employés actuels ou éventuels qui se soucient de la protection de leur vie privée. Étant donné que ces dispositions semblent aborder la question des droits de la protection des renseignements personnels des employés du point de vue de l'employeur, il serait possible de soutenir de façon convaincante que presque n'importe quelle mesure portant atteinte à la vie privée des employés est « raisonnable » dans le sens qu'elle peut aider à établir et gérer des relations employeur-employé ou y mettre fin.

Il n'est pas difficile d'imaginer des situations dans lesquelles un employeur peut croire que la collecte, l'utilisation ou la communication de renseignements personnels est raisonnable tandis que l'employé pourrait être d'avis contraire. Un employeur pourrait croire raisonnable de recueillir et de communiquer des renseignements sur la santé, la religion ou l'orientation sexuelle d'un employé éventuel. Ce projet de loi permettrait à un employeur de le faire, sans consentement. Oui, une fois le fait accompli, l'employé pourrait se plaindre que ce n'était pas raisonnable, mais l'information aurait déjà été recueillie et communiquée. Une fois qu'on a enfreint la vie privée, on ne peut inverser le processus. Le mal est fait.

Par opposition, la LPRPDE n'établit aucune distinction entre les renseignements recueillis, utilisés ou communiqués dans le cadre de l'emploi ou d'activités commerciales. La protection qu'offre aux employés le projet de loi 38 serait considérablement inférieure à celle dont bénéficient les employés visés par la LPRPDE.

Il est important de noter à cet égard que ces dispositions de la LPRPDE s'appliquent depuis plus de deux ans à des employeurs de quelque15 000 ouvrages, entreprises et secteurs d'activité fédéraux - principalement des banques, des radiodiffuseurs, des entreprises de transport et de télécommunications - sans aucune indication que la loi a empêché ces organisations de gérer efficacement leurs effectifs.

Quatrièmement, un élément fondamental de la LPRPDE est la capacité offerte aux personnes de s'informer des renseignements personnels dont disposent les organisations à leur égard et de corriger tout renseignement incomplet ou inexact.

Les dispositions en matière d'accès et de correction du projet de loi 38 n'offrent pas de protection efficace semblable. Tout d'abord, les gens ne pourraient avoir accès aux renseignements qui les concernent si cela avait pour effet de révéler l'identité de la personne qui a fourni l'information. Par exemple, une personne ne serait pas en mesure d'avoir accès à des commentaires négatifs d'un collègue ou d'un superviseur si cela révélait l'identité de la personne qui a fait les commentaires. Sans accès à cette information, une personne en ignorerait l'existence et ne pourrait mettre en question son exactitude.

Aussi, il n'y a aucune exigence, lorsque l'exactitude de l'information est en question, que l'organisation qui contrôle l'information informe d'autres organisations qui ont accès à l'information de la teneur du conflit. Les autres organisations peuvent garder, utiliser et même communiquer des renseignements personnels, peu importe si leur exactitude est contestée. La LPRPDE contient de telles dispositions, comme le devrait toute loi sur la protection de la vie privée, et l'incapacité du projet de loi 38 d'établir une telle exigence constitue une importante faiblesse.

Enfin, le projet de loi permet la collecte, l'utilisation ou la communication sans le consentement pour les besoins d'une enquête ou de procédures. Il s'agit d'un élément nécessaire de toute loi sur la protection de la vie privée mais le libellé du projet de loi est beaucoup trop vague.

La définition du terme « enquête » dans le projet de loi est beaucoup plus générale que celle de la LPRPDE. La LPRPDE limite le terme aux enquêtes « sur la violation d'un accord ou la contravention du droit fédéral ou provincial ».

La définition dans le projet de loi 38 englobe aussi l'enquête liée à « des circonstances ou à un comportement qui pourrait entraîner un recours ou un redressement en vertu d'un texte législatif, de la common law ou en équité », la prévention de fraude et le commerce des valeurs. Le projet de loi contient aussi une définition générale semblable de « procédures ».

Ces définitions sont préjudiciables au niveau de protection qu'offre le projet de loi. Un nombre excessif de situations permises dans lesquelles des renseignements personnels peuvent être recueillis, utilisés ou communiqués sans consentement mine sérieusement le principe fondamental du consentement sous-jacent à toute loi sensée sur la protection des renseignements personnels.

Je porte ces lacunes à votre connaissance et je tiens à souligner que la question n'est pas de débattre hors contexte du bien-fondé des dispositions pertinentes du projet de loi. Il s'agit uniquement de déterminer si elles offrent un certain niveau de protection des renseignements personnels et une qualité qui sont équivalents ou supérieurs aux dispositions correspondantes de la LPRPDE. Il est clair qu'elles ne le font pas. Par conséquent, le projet de loi, sous sa forme actuelle, ne peut être considéré comme essentiellement similaire.

J'apprécie l'occasion qui m'est offerte de faire part ces observations. Si le Commissariat ou moi-même pouvons vous être utiles, ou si vous avez besoin d'éclaircissements, n'hésitez pas à communiquer avec nous.

Je vous prie d'agréer, monsieur le Ministre, l'expression de mes sentiments distingués.

(Original signé par)

George Radwanski
Le commissaire à la protection de la vie privée du Canada

- 30 -

Pour plus de renseignements, veuillez communiquer avec :

Anne-Marie Hayden
Relations médiatiques
Commissariat à la protection de la vie privée du Canada
Tél. : 613-995-0103
ahayden@priv.gc.ca
www.priv.gc.ca

Date de modification :