Document d’orientation sur les pratiques inacceptables du traitement des données : Interprétation et application du paragraphe 5(3)

Avis

Le Commissariat à la protection de la vie privée appliquera cette orientation à compter du 1er juillet 2018.

La publication de ce document d’orientation s’inscrit dans le cadre des travaux du Commissariat pour améliorer le modèle de consentement actuel en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Pour plus d’information, veuillez visiter la page Web sur la consultation sur le consentement en vertu de la LPRPDE.

Mai 2018

Sur cette page


Aperçu

Le paragraphe 5(3) de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est un élément clé qui permet de déterminer si les organisations sont autorisées ou non à recueillir, à utiliser et à communiquer des renseignements personnels selon les fins visées. Il constitue la limite législative qui protège les individus contre les pratiques inacceptables des entreprises concernant les données. Ce paragraphe dissocie, d’une part, les pratiques légitimes de gestion des renseignements que les organisations peuvent adopter en conformité avec la loi et, d’autre part, les zones où elles ne peuvent s’aventurer, aussi appelées « zones interdites ». Dans le présent document d’orientation, le Commissariat à la protection de la vie privée du Canada énonce à la lumière des décisions judiciaires antérieures les principes directeurs de l’interprétation du paragraphe 5(3) de la LPRPDE. Il définit également une série de zones interdites qui, d’après les conclusions tirées et les vastes consultations menées un peu partout au Canada auprès d’intervenants et de groupes de discussion composés de citoyens, contreviennent selon lui à la LPRPDE du point de vue d’une personne raisonnable.

Teneur du paragraphe 5(3)

Le paragraphe 5(3) de la LPRPDE se lit comme suit :

L’organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances.

Interprétation du paragraphe 5(3) par les tribunaux

1. Un principe directeur

Le paragraphe 5(3) « énonce un principe directeur sur lequel repose l’interprétation des diverses dispositions de la LPRPDE »Note de bas de page 1. Par ailleurs, il faut l’interpréter à la lumière de l’objectif sous-jacent de la partie 1 de la LPRPDE, qui consiste à assurer un équilibre entre le droit des individus à la vie privée à l’égard des renseignements personnels qui les concernent et le besoin des organisations de recueillir, d’utiliser ou de communiquer des renseignements personnelsNote de bas de page 2. Pour appliquer le paragraphe 5(3), il faut donc parvenir à un « équilibre des intérêts » de l’individu et de l’organisation viséeNote de bas de page 3.

2. Point de vue d’une personne raisonnable

En vertu du paragraphe 5(3), il faut parvenir à un équilibre de ces intérêts « du point de vue d’une personne raisonnable »Note de bas de page 4.

3. Exigence générale

Sous le régime de la LPRPDE, le paragraphe 5(3) énonce « une exigence générale »Note de bas de page 5 qui s’ajoute aux autres obligations incombant aux organisations de s’assurer que les fins de la collecte, de l’utilisation et de la communication des renseignements personnels se limitent à celles qu’une personne raisonnable estimerait acceptables dans les circonstances.

4. Nécessaire mais non suffisant

Pour se conformer au paragraphe 5(3), il ne suffit pas de prouver la conformité aux autres dispositions de la Loi. Par exemple, même avec le consentement de l’intéressé, une organisation doit montrer que les fins de la collecte, de l’utilisation ou de la communication de renseignements personnels sont en premier lieu des fins qu’une personne raisonnable estimerait acceptables dans les circonstances.

Inversement, la conformité au paragraphe 5(3) ne signifie pas systématiquement qu’il y a conformité aux autres dispositions de la Loi. Même si les fins visées sont jugées acceptables en vertu du paragraphe 5(3), l’organisation doit aussi s’assurer que les autres exigences de la Loi en matière de protection des renseignements personnels sont respectéesNote de bas de page 6.

Évaluation des fins visées par une organisation en application du paragraphe 5(3)

Pour évaluer le paragraphe 5(3), il faut déterminer si les fins sont acceptables « dans les circonstances ». C’est pourquoi leur caractère acceptable doit être « analysé de manière contextuelle » et cette analyse doit prendre en compte les faits particuliers entourant la collecte, l’utilisation et la communication, « ce qui laisse supposer une flexibilité et une variabilité en fonction des circonstances »Note de bas de page 7.

Pour appliquer le paragraphe 5(3), les tribunaux ont généralement cherché à savoir si : « 1) la collecte, l’utilisation ou la publication de renseignements personnels étaient dirigés vers un véritable intérêt commercial et 2) si la perte de confidentialité était proportionnelle aux avantages obtenus ».Note de bas de page 8 Dans Turner c. Telus Communications Inc., en rendant une décision par la suite confirmée par la Cour d’appel fédérale, la Cour fédérale a défini les facteurs suivants pour déterminer si la fin visée par une organisation était conforme au paragraphe 5(3) :

  • le caractère sensible des renseignements personnels en question;
  • le besoin ou les intérêts commerciaux légitimes des fins visées par l’organisation;
  • l’efficacité de la collecte, de l’utilisation et de la communication pour répondre au besoin de l’organisation;
  • l’existence de moyens portant moins atteinte à la vie privée qui permettent d’atteindre les mêmes fins pour un coût et des avantages comparables;
  • la proportionnalité de l’atteinte à la vie privée par rapport aux avantagesNote de bas de page 9.

Fins inacceptables ou zones interdites

En nous appuyant sur les principes directeurs et le cadre d’évaluation présentés ci-dessus, sur l’expérience pratique du Commissariat concernant l’application du paragraphe 5(3) dans le cadre de celle de la LPRPDE depuis plus de 15 ans ainsi que sur les commentaires recueillis au cours de notre consultation sur le consentement, nous avons conclu qu’une personne raisonnable estimerait généralement « inacceptables » les fins suivantes de la collecte, de l’utilisation ou de la communication de renseignements personnelsNote de bas de page 10. Les pratiques suivantes, qui pourraient évoluer au fil du temps, sont actuellement considérées comme des zones interdites en vertu de la LPRPDE.

1. Collecte, utilisation ou communication qui autrement est illégale

Les organisations devraient connaître toutes les exigences réglementaires et législatives qui peuvent régir leurs activités et les individus devraient avoir la certitude que leurs renseignements personnels ne seront pas recueillis, utilisés ou communiqués à des fins contrevenant aux lois du Canada ou de ses provinces. C’est ce que confirme le principe 4 de la LPRPDE, en vertu duquel la collecte doit se faire « de façon honnête et licite ».

Par exemple, une « personne raisonnable » estimerait généralement inacceptable toute collecte, utilisation ou communication de ses renseignements personnels qui contreviendrait à la législation régissant les rapports de solvabilité. Dans le Rapport de conclusions d’enquête en vertu de la LPRPDE no 2016-002, le Commissariat a jugé inacceptable qu’une association de propriétaires utilise une « liste des mauvais locataires ». Cette pratique, qui revenait à agir à titre d'agence d'évaluation du crédit sans être titulaire d'une licence à cet effet, contrevenait ainsi à la législation provinciale en la matière. De même, dans son Rapport de l’enquête sur le Programme de publicité pertinente de Bell, le Commissariat a conclu que l’utilisation par l’entreprise des renseignements sur la cote de crédit pour présenter des publicités ciblées n’était pas autorisée en vertu de la Loi sur les renseignements concernant le consommateur de l’Ontario et qu’elle était donc inacceptable en vertu du paragraphe 5(3) de la LPRPDE.

Selon un autre cas cité en exemple, les organisations qui obligent les individus à subir un test génétique ou à en communiquer les résultats, comme condition préalable à la fourniture de biens ou de services ou à la conclusion d’un contrat, contreviendront à la Loi sur la non-discrimination génétique de 2017. Ainsi, conformément à la Déclaration concernant l’utilisation des résultats des tests génétiques par les compagnies d’assurances de personnes et au document d’orientation intitulé Tests génétiques offerts directement aux consommateurs et protection de la vie privée publiés par le Commissariat, cette pratique est donc réputée une zone interdite.

2. Profilage ou catégorisation donnant lieu à un traitement injuste, contraire à l’éthique ou discriminatoire interdit en vertu de la législation sur les droits de la personne

À l’ère des mégadonnées, il est de plus en plus important de comprendre le lien entre la collecte, l’utilisation et la communication de renseignements personnels en amont et leurs effets discriminatoires en avalNote de bas de page 11. Une analyse des données – ou tout autre type de profilage ou de catégorisation – donnant lieu à des conclusions concernant des individus ou des groupes, dans le but d’établir leur profil d’une manière qui pourrait aboutir à une discrimination fondée sur des motifs interdits en vertu de la législation sur les droits de la personneNote de bas de page 12, ne serait pas jugée acceptable selon le critère de la « fin acceptable » prévu au paragraphe 5(3).

Le profilage qui entraîne une discrimination interdite par la législation sur les droits de la personne sera toujours inacceptable en vertu du paragraphe 5(3), mais une évaluation au cas par cas s’impose pour déterminer si un résultat est injuste ou contraire à l’éthique. Toutefois, les organisations devraient savoir qu’un profilage ou une catégorisation injuste ou contraire à l’éthique sera aussi généralement jugé inacceptable en vertu du paragraphe 5(3).

Cette logique est conforme à l’esprit de la résolution sur les mégadonnées adoptée par des commissaires à la protection des données et à la vie privée du monde entier au cours de leur conférence annuelle tenue à Maurice en 2014. Les commissaires se sont alors engagés à exhorter toutes les parties à montrer que les décisions concernant l’utilisation des mégadonnées sont équitables, transparentes et responsables; que les résultats du profilage sont responsables, équitables et éthiques; et que tout préjudice subi par des individus en raison de résultats entièrement automatisés faussement positifs ou négatifs est évité.

3. Collecte, utilisation ou communication à des fins qui causent ou sont susceptibles de causer un préjudice probable et grave à des individus

Dans le marché numérique, des individus font chaque jour de nombreux compromis au chapitre de leur vie privée pour exercer leur liberté en tant que consommateurs. Par exemple, ils renoncent à leur vie privée dans une mesure raisonnable pour bénéficier d’aspects pratiques et de choix. Les individus devraient être libres de prendre eux-mêmes des décisions éclairées quant à la mesure dans laquelle ils sont prêts à renoncer à leur vie privée pour obtenir certains produits ou services.

Le Commissariat considère toutefois qu’une personne raisonnable estimerait inacceptable que les organisations obligent un individu à subir un préjudice grave au chapitre de sa vie privée en contrepartie connue ou probable de produits ou de services. Par « préjudice grave », on entend notamment « la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte, et la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnellesNote de bas de page 13 ».

4. Publication de renseignements personnels dans le but de réclamer un paiement aux individus pour retirer ces renseignements

Le Commissariat a produit beaucoup d’écrits concernant les défis auxquels se heurtent les utilisateurs pour protéger leur réputation en ligneet il a publié une position de principe à ce sujet. Il s’agit d’un enjeu complexe dans son ensemble, mais le Commissariat a toutefois détecté une pratique qui, à son avis, contrevient manifestement à la LPRPDE, en l’occurrence la publication en ligne de renseignements personnels sensibles principalement dans le but de réclamer un paiement aux individus pour retirer ces renseignements. Bref, d’après nous, il est improbable qu’une personne raisonnable considère le « chantage » comme une fin acceptable. La Cour fédérale du Canada est allée dans le même sens lorsqu’elle a confirmé les conclusions de notre enquête sur Globe24h.

5. Obligation de communiquer le mot de passe des comptes de médias sociaux aux fins de la sélection des employés

La LPRPDE, telle que modifiée par la Loi sur la protection des renseignements personnels numériques, protège les renseignements personnels des employés d’une entreprise fédérale (organisations sous réglementation fédérale, par exemple les banques, les transporteurs aériens et les sociétés de télécommunications) et de ceux qui postulent pour le devenir. Étant donné le rapport de force inégal entre l’employeur et l’employé ou le candidat à un poste, il y a un risque que les employeurs demandent plus de renseignements que nécessaire pour évaluer le mérite d’un individu et que les individus, pour leur part, aient l’impression de subir une pression indue pour fournir ces renseignements par crainte de perdre leur emploi ou de ne pas être sélectionnés. Dans certains cas, les employeurs peuvent aller trop loin et demander à leurs employés ou à des candidats à un poste de leur donner accès à des zones de leurs comptes de médias sociaux protégées au moyen d’un mot de passe. La demande d’un mot de passe pour avoir accès à ces zones privées pourrait dévoiler d’énormes quantités de renseignements personnels très sensibles qui ne sont ni pertinents ni nécessaires pour les fins des opérations commerciales légitimes de l’employeur. De nombreux États américains ont adopté des lois interdisant cette pratique.Note de bas de page 14 Le Commissariat est d’accord avec l’idée qu’une personne raisonnable estimerait généralement inacceptable que l’employeur exige le mot de passe des comptes de médias sociaux aux fins de la sélectionNote de bas de page 15 des employés.

6. Surveillance exercée par une organisation au moyen des fonctions audio ou vidéo de l’appareil de l’individu lui-même

Rien ne peut porter davantage atteinte à la vie privée que d’être suivi à la trace au moyen des fonctions audio ou vidéo de l’appareil d’un individu que cela soit fait secrètement, c’est-à-dire à son insu ou sans son consentement, ou même avec son soi-disant consentement, lorsque cette pratique est nettement disproportionnée par rapport à l’objectif commercial visé.

Dans le Rapport de conclusions en vertu de la LPRPDE no 2013-016, le Commissariat a constaté qu’un logiciel espion appelé « Detective Mode » utilisé par plusieurs entreprises de location avec option d’achat pour retrouver secrètement des ordinateurs portables manquants avait permis de recueillir subrepticement des frappes, des captures d’écran, des photographies prises au moyen de la caméra Web et d’autres renseignements. Il a conclu que la perte de vie privée en résultant était nettement disproportionnée par rapport aux avantages éventuels.

L’activation régulière ou constante des fonctions audio ou vidéo d’un appareil pour fournir un service peut être autorisée si l’individu est pleinement conscient de cette pratique et exerce un contrôle sur celle ci et que les renseignements saisis ne sont pas enregistrés, utilisés, communiqués ni conservés dans un but autre que celui de fournir le service en question.

Conclusion

Une fin qu’une personne raisonnable estimerait acceptable est un concept souple dont la définition exige du temps, une réflexion attentive et une expérience pratique. Dans les faits, le critère du caractère acceptable nécessitera une analyse contextuelle, mais nous jugeons utile – par souci de transparence envers les individus et les organisations – de citer des exemples illustrant nos attentes, comme ceux présentés ici. Nous avons l’intention de revoir et de mettre à jour périodiquement la liste des « zones interdites » ci dessus lorsque ce sera nécessaire.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :