Bulletin d’interprétation : Responsabilité

Avril 2012

L’un des principaux rôles du commissaire consiste à enquêter sur des plaintes en matière de protection de la vie privée déposées contre des organisations et à tenter de les résoudre. Ses conclusions sur une question donnée peuvent varier selon les faits propres à chaque cas ainsi que la position des parties en cause. Les conclusions au sujet de certaines questions clés ont commencé à former des principes généraux pouvant servir de lignes directrices utiles aux organisations.

Dans ses efforts visant à résumer les principes généraux qui se sont dégagés des décisions judiciaires et des conclusions du commissaire, le CPVP publie des interprétations de certains concepts clés de la LPRPDE. Ces dernières n’ont pas force exécutoire, mais servent plutôt d’orientation à des fins de conformité à la LPRPDE. À mesure que la commissaire émet d’autres conclusions et que les tribunaux rendent d’autres décisions, ces interprétations peuvent évoluer et se préciser.

La définition de « responsabilité »

I. Dispositions législatives pertinentes

Le principe 4.1 de la Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, ch. 5 (la LPRPDE), prévoit qu’une organisation est responsable des renseignements personnels dont elle a la gestion et doit désigner une ou des personnes qui devront s’assurer du respect des principes énoncés à l’annexe 1 de la LPRPDE.

Selon le principe 4.1.1, il incombe à la ou aux personnes désignées de s’assurer que l’organisation respecte les principes même si d’autres membres de l’organisation peuvent être chargés de la collecte et du traitement quotidiens des renseignements personnels. D’autres membres de l’organisation peuvent aussi être délégués pour agir au nom de la ou des personnes désignées.

Selon le principe 4.1.2, il doit être possible de connaître sur demande l’identité des personnes désignées.

Le principe 4.1.3 prévoit qu’une organisation est responsable des renseignements personnels qu’elle a en sa possession ou sous sa garde, y compris les renseignements confiés à une tierce partie aux fins de traitement. Les organisations doivent, par voie contractuelle ou autre, fournir un degré comparable de protection aux renseignements qui sont en cours de traitement par une tierce partie.

Selon le principe 4.1.4, les organisations doivent assurer la mise en œuvre des politiques et des pratiques destinées à donner suite aux principes énoncés à l’annexe 1 de la LPRPDE, y compris : a) la mise en œuvre des procédures pour protéger les renseignements personnels; b) la mise en place des procédures pour recevoir les plaintes et les demandes de renseignements et y donner suite; c) la formation du personnel et la transmission au personnel de l’information relative aux politiques et pratiques de l’organisation; d) la rédaction des documents explicatifs concernant les politiques et procédures de l’organisation.

II. Interprétations générales des tribunaux

1. Les organisations seront tenues responsables de leurs manquements aux obligations imposées par l’annexe 1 de la Loi. Elles ne peuvent se défendre en faisant valoir qu’elles se conforment aux normes de l’industrie si ces normes sont inférieures aux exigences de la LPRPDE. De plus, aucune défense de nécessité pratique ne libère une organisation des obligations qui lui incombent sous le régime de la Loi (Nammo c. Transunion of Canada Inc., 2010 CF 1284).
2. Une organisation peut être tenue responsable des actes fautifs commis par ses employés qui contreviennent à la LPRPDE, en particulier lorsque l’employé tente de dissimuler son acte fautif (Landry c. Banque Royale du Canada, 2011 CF 687).

III. Applications par le CPVP dans divers contextes

La question de savoir si une organisation satisfait aux obligations que la Loi lui impose en matière de responsabilité dépend des faits de chaque enquête relative à une plainte. Les exemples suivants illustrent la manière dont le principe de responsabilité a été interprété et appliqué par le CPVP ainsi que certaines des conclusions générales qu’il a tirées dans différents contextes.

Politiques, pratiques et méthodes

• L’objet du principe n’est pas de limiter la responsabilité à quelques personnes seulement, mais plutôt de rendre l’ensemble de l’organisation responsable et imputable.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 27 - Un homme conteste en principe le programme d’identification de la banque - Commissaire à la protection de la vie privée du Canada
• Les organisations doivent se munir de mesures appropriées et efficaces pour pouvoir appliquer les principes et obligations prévus dans la Loi, et notamment de programmes de conformité et de formation efficaces. Cela est essentiel pour que les organisations soient tenues de rendre des comptes au sujet des renseignements personnels qu’elles recueillent, utilisent ou communiquent.
  • Rapport des conclusions en vertu de la LPRPDE no 2011-001 - La collecte de données Wi-Fi par Google Inc.
• En ce qui concerne une plainte visant une entreprise fédérale (une entreprise de télécommunications en l’occurrence), la commissaire à la protection de la vie privée a indiqué qu’une organisation est responsable de tous les renseignements personnels dont elle a la gestion, non seulement ceux qui concernent les clients, mais également ceux qui concernent le personnel. En conséquence, l’organisation est responsable de la mise en œuvre de politiques et de pratiques appropriées pour traiter les renseignements personnels concernant ses employés.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 191 - La collecte et la communication par l’employeur de renseignements sur un congé de maladie a été jugée appropriée
• Une organisation doit élaborer et mettre en œuvre une politique de protection des renseignements personnels qui puisse être communiquée aux employés et aux clients. Une telle politique est déterminante pour assurer la protection des renseignements personnels des clients puisqu’elle donne des indications aux employés et des renseignements aux clients concernant les pratiques de traitement des renseignements personnels de l’entreprise.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 366 - Un atelier de débosselage met en œuvre une politique de protection des renseignements personnels et apporte des changements à ses pratiques connexes
• La nature de la structure d’une organisation peut être pertinente pour déterminer si celle-ci se conforme au principe de responsabilité. Par exemple, il a été jugé acceptable qu’une société Internet se serve des documents de référence en direct et des courriels pour traiter les plaintes et les demandes de renseignements.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 315 - Mesures de sécurité d’une société Internet et traitement d’une demande d’accès à l’information et d’une plainte relative à la protection des renseignements personnels mis en doute
• Une organisation n’est pas responsable de la collecte, de l’utilisation et de la communication de renseignements personnels par des tierces parties lorsque : a) les personnes que concernent ces renseignements choisissent de leur plein gré d’accepter une offre ou d’adhérer à un programme d’une tierce partie et b) ce choix autorise l’organisation à fournir les renseignements personnels à des tierces parties. Dans ces cas, ce sont les politiques et les pratiques des tierces parties qui s’appliquent, et non celles de l’organisation.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 388 - Ticketmaster Canada Limited a révisé ses politiques et pratiques relativement à la LPRPDE en vue de protéger les renseignements personnels de ses clients

Formation des employés

• Une organisation doit veiller à ce que tous ses employés prennent connaissance de sa politique sur la protection de la vie privée et à fournir à son personnel une formation concernant les politiques et les pratiques relatives à la protection de la vie privée.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 346 - Un courriel soulève des questions concernant les motifs, la crédibilité et la responsabilisation
• Les employés d’une organisation devraient être capables d’expliquer pourquoi des renseignements personnels sont recueillis et de fournir aux personnes concernées de l’information sur la manière d’obtenir la politique de l’organisation sur la protection de la vie privée.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 304 - Une chaîne de cinémas améliore ses pratiques en matière de traitement des renseignements personnels

Tiers fournisseurs de services

• Une organisation est responsable des renseignements personnels qu’elle a en sa possession ou sous sa garde, y compris les renseignements confiés à une tierce partie aux fins de traitement. La LPRPDE exige que les organisations fournissent, par voie contractuelle ou autre, un degré comparable de protection aux renseignements personnels qui sont utilisés par des tiers fournisseurs de services.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 394 - L’impartition des services de courriel de canada.com à une entreprise établie aux États-Unis suscite des questions parmi les abonnés;
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 365 - Responsabilité d’institutions financières canadiennes dans la communication de renseignements personnels par SWIFT aux autorités des États-Unis;
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 333 - Une entreprise canadienne communique les renseignements personnels de ses clients à la société mère située aux États Unis;
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 313 - Un avis expédié aux clients d’une banque suscite des inquiétudes à propos de la USA PATRIOT Act.
• Les organisations peuvent s’acquitter de leurs obligations en vertu du principe 4.1.3 de la Loi en passant avec les tiers fournisseurs de services des contrats qui offrent des garanties de confidentialité et de sécurité des renseignements personnels et qui permettent la surveillance, le contrôle et la vérification des services fournis.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 394 - L’impartition des services de courriel de canada.com à une entreprise établie aux États-Unis suscite des questions parmi les abonnés;
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 313 - Un avis expédié aux clients d’une banque suscite des inquiétudes à propos de la USA PATRIOT Act;
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 262 - Une compagnie aérienne doit modifier sa politique de confidentialité;
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 168 - Une banque est accusée d’avoir communiqué à l’employeur d’une débitrice des renseignements sans son consentement;
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 42 - Air Canada permet à 1 % des membres Aéroplan de se « désister » des pratiques de partage d’information.
• Même lorsqu’un contrat approprié d’impartition a été conclu, une organisation peut contrevenir au principe 4.1.3 si elle n’est pas en mesure de confirmer ce qu’il advient des renseignements personnels après leur transfert à un tiers fournisseur de services.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 386 - L’impression des renseignements relatifs à la carte de crédit sur les billets d’avion constitue une mesure de sécurité inadéquate; transfert des renseignements personnels au grossiste mis en cause;
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 377 - De mauvaises pratiques en matière de protection des renseignements personnels d’un cabinet d’avocats causent la perte de renseignements personnels; une demande d’accès refusée.
• Si une tierce partie souhaite sous-traiter la totalité ou une partie des services qu’elle s’engage à fournir à une organisation, l’entente conclue entre cette dernière et la tierce partie, qui décrit les obligations et les attentes quant au traitement des renseignements personnels, doit aussi renfermer des stipulations particulières visant la sous-traitance.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 35 - La cliente d’une banque s’oppose à ce qu’une entreprise privée la consulte pour un sondage
• Une organisation peut prévoir des mécanismes de surveillance et de vérification non contractuels pour assurer un degré comparable de protection lorsqu’elle fait de l’impartition.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 365 - Responsabilité d’institutions financières canadiennes dans la communication de renseignements personnels par SWIFT aux autorités des États-Unis
• Dans les cas d’impartition transfrontalière entre une société mère et une filiale, il n’est pas nécessaire d’établir un contrat distinct entre les deux organisations. Ce qu’il faut, c’est que les deux sociétés adhèrent au même degré de protection des données.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 333 - Une entreprise canadienne communique les renseignements personnels de ses clients à la société mère située aux États Unis
• Il est essentiel pour les organisations d’évaluer les risques susceptibles de compromettre l’intégrité, la sécurité et la confidentialité des renseignements personnels qui sont transférés à des tiers fournisseurs de services établis à l’étranger.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 394 - L’impartition des services de courriel de canada.com à une entreprise établie aux États-Unis suscite des questions parmi les abonnés
• Les organisations doivent faire preuve de transparence en ce qui concerne leurs pratiques relatives au traitement des renseignements personnels. Une organisation qui impartit le traitement de renseignements personnels à un fournisseur de services dans un autre pays doit informer les personnes concernées du fait que leurs renseignements peuvent être mis à la disposition du gouvernement de ce pays ou de ses organismes en vertu d’une ordonnance légale rendue dans ledit pays.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 394 - L’impartition des services de courriel de canada.com à une entreprise établie aux États-Unis suscite des questions parmi les abonnés;
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 365 - Responsabilité d’institutions financières canadiennes dans la communication de renseignements personnels par SWIFT aux autorités des États-Unis;
  • Résumé de conclusions d’enquête en vertu de la LPRPDE no 313 - Un avis expédié aux clients d’une banque suscite des inquiétudes à propos de la USA PATRIOT Act.

Vérifications indépendantes

• Dans les cas appropriés, la commissaire recommandera qu’une organisation se prête à une vérification indépendante visant à démontrer que ses pratiques de gestion des renseignements personnels sont maintenant conformes à la LPRPDE et soit tenue responsable en conséquence.
  • Rapport des conclusions en vertu de la LPRPDE no 2011-001 - La collecte de données Wi-Fi par Google Inc.;
  • Une vérification révèle que les données personnelles des clients de Bureau en gros demeurent à risque en cas d’atteintes à la protection des renseignements personnels.

Pour obtenir plus de renseignements sur la responsabilité, veuillez consulter :

• Un programme de gestion de la protection de la vie privée : la clé de la responsabilité