Accès aux renseignements personnels

Mai 2013

L’un des principaux rôles du commissaire consiste à enquêter sur des plaintes en matière de protection de la vie privée contre des organisations et à tenter de les résoudre. Ses conclusions sur une question donnée peuvent varier selon les faits propres à chaque cas et la position des parties en cause. Au fil du temps, les conclusions au sujet de certaines questions clés ont commencé à former des principes généraux pouvant servir de lignes directrices aux organisations.

Afin de résumer les principes généraux qui se sont dégagés des décisions judiciaires et des conclusions du commissaire jusqu’à présent, le CPVP publie des interprétations de certains concepts clés de la LPRPDE. Ces dernières n’ont pas force exécutoire, mais servent plutôt d’orientation à des fins de conformité à la LPRPDE. Ces interprétations peuvent évoluer et se préciser au fur et à mesure que la commissaire formule d’autres conclusions et que les tribunaux rendent d’autres décisions.

I. Dispositions législatives pertinentes

de la Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, ch. 5 (LPRPDE)

Principe 4.9 : Une organisation doit informer toute personne qui en fait la demande de l’existence de renseignements personnels qui la concernent, de l’usage qui en est fait et du fait qu’ils ont été communiqués à des tiers, et lui permettre de les consulter. Il sera aussi possible de contester l’exactitude et l’intégralité des renseignements et d’y faire apporter les corrections appropriées.

Note : Dans certains cas, il peut être impossible à une organisation de communiquer tous les renseignements personnels qu’elle possède au sujet d’une personne. Les exceptions aux exigences en matière d’accès aux renseignements personnels devraient être restreintes et précises. On devrait informer la personne, sur demande, des raisons pour lesquelles on lui refuse l’accès aux renseignements. Ces raisons peuvent comprendre le coût exorbitant de la fourniture de l’information, le fait que les renseignements personnels contiennent des détails sur d’autres personnes, l’existence de raisons d’ordre juridique, de raisons de sécurité ou de raisons d’ordre commercial exclusives et le fait que les renseignements sont protégés par le secret professionnel ou dans le cours d’une procédure de nature judiciaire.

Principe 4.9.1 : Une organisation doit informer la personne qui en fait la demande du fait qu’elle possède des renseignements personnels à son sujet, le cas échéant. Les organisations sont invitées à indiquer la source des renseignements. L’organisation doit permettre à la personne concernée de consulter ces renseignements. Dans le cas de renseignements médicaux sensibles, l’organisation peut préférer que ces renseignements soient communiqués par un médecin. En outre, l’organisation doit informer la personne concernée de l’usage qu’elle fait ou a fait des renseignements et des tiers à qui ils ont été communiqués.

Principe 4.9.2 : Une organisation peut exiger que la personne concernée lui fournisse suffisamment de renseignements pour qu’il lui soit possible de la renseigner sur l’existence, l’utilisation et la communication de renseignements personnels. L’information ainsi fournie doit servir à cette seule fin.

Principe 4.9.3 : L’organisation qui fournit le relevé des tiers à qui elle a communiqué des renseignements personnels au sujet d’une personne devrait être la plus précise possible. S’il lui est impossible de fournir une liste des organisations à qui elle a effectivement communiqué des renseignements au sujet d’une personne, l’organisation doit fournir une liste des organisations à qui elle pourrait avoir communiqué de tels renseignements.

Principe 4.9.4 : Une organisation qui reçoit une demande de communication de renseignements doit répondre dans un délai raisonnable et ne peut exiger, pour ce faire, que des droits minimes. Les renseignements demandés doivent être fournis sous une forme généralement compréhensible. Par exemple, l’organisation qui se sert d’abréviations ou de codes pour l’enregistrement des renseignements doit fournir les explications nécessaires.

Principe 4.9.5 : Lorsqu’une personne démontre que des renseignements personnels sont inexacts ou incomplets, l’organisation doit apporter les modifications nécessaires à ces renseignements. Selon la nature des renseignements qui font l’objet de la contestation, l’organisation doit corriger, supprimer ou ajouter des renseignements. S’il y a lieu, l’information modifiée doit être communiquée à des tiers ayant accès à l’information en question.

Principe 4.9.6 : Lorsqu’une contestation n’est pas réglée à la satisfaction de la personne concernée, l’organisation prend note de l’objet de la contestation. S’il y a lieu, les tierces parties ayant accès à l’information en question doivent être informées du fait que la contestation n’a pas été réglée.

Paragraphe 8(1) : La demande prévue à l’article 4.9 de l’annexe 1 est présentée par écrit.

Paragraphe 8(2) : Sur requête de l’intéressé, l’organisation fournit à celui-ci l’aide dont il a besoin pour préparer sa demande.

Paragraphe 8(3) : L’organisation saisie de la demande doit y donner suite avec la diligence voulue et, en tout état de cause, dans les trente jours suivant sa réception.

Paragraphe 8(4) : Elle peut toutefois proroger le délai visé au paragraphe (3) : a) d’une période maximale de trente jours dans les cas o : (i) l’observation du délai entraverait gravement l’activité de l’organisation, (ii) toute consultation nécessaire pour donner suite à la demande rendrait pratiquement impossible l’observation du délai; b) de la période nécessaire au transfert des renseignements visés sur support de substitution.

Dans l’un ou l’autre cas, l’organisation envoie au demandeur, dans les trente jours suivant la demande, un avis de prorogation l’informant du nouveau délai, des motifs de la prorogation et de son droit de déposer auprès du commissaire une plainte à propos de la prorogation.

Paragraphe 8(5) : Faute de répondre dans le délai, l’organisation est réputée avoir refusé d’acquiescer à la demande.

Paragraphe 8(6) : Elle ne peut exiger de droits pour répondre à la demande que si, à la fois, elle informe le demandeur du montant approximatif de ceux-ci et celui-ci l’avise qu’il ne retire pas sa demande.

Paragraphe 8(7) : L’organisation qui refuse, dans le délai prévu, d’acquiescer à la demande notifie par écrit au demandeur son refus motivé et l’informe des recours que lui accorde la partie 1 de la LPRPDE.

Paragraphe 8(8) : Malgré l’article 4.5 de l’annexe 1, l’organisation qui détient un renseignement faisant l’objet d’une demande doit le conserver le temps nécessaire pour permettre au demandeur d’épuiser ses recours.

Paragraphe 9(1)Note de bas de page 1 : Malgré l’article 4.9 de l’annexe 1, l’organisation ne peut communiquer de renseignement à l’intéressé dans le cas o cette communication révélerait vraisemblablement un renseignement personnel sur un tiers. Toutefois, si ce dernier renseignement peut être retranché du document en cause, l’organisation est tenue de le retrancher puis de communiquer à l’intéressé le renseignement le concernant.

Paragraphe 9(3) : Malgré la note afférente à l’article 4.9 de l’annexe 1, l’organisation n’est pas tenue de communiquer à l’intéressé des renseignements personnels dans les cas suivants seulement : a) les renseignements sont protégés par le secret professionnel liant l’avocat à son client; b) la communication révélerait des renseignements commerciaux confidentiels; c) elle risquerait vraisemblablement de nuire à la vie ou la sécurité d’un autre individu; c.1) les renseignements ont été recueillis au titre de l’alinéa 7(1)b); d) les renseignements ont été fournis uniquement à l’occasion d’un règlement officiel des différends; e) les renseignements ont été créés en vue de faire une divulgation au titre de la Loi sur la protection des fonctionnaires divulgateurs d’actes répréhensibles ou dans le cadre d’une enquête menée sur une divulgation en vertu de cette loi.

Toutefois, dans les cas visés aux alinéas b) ou c), si les renseignements commerciaux confidentiels ou les renseignements dont la communication risquerait vraisemblablement de nuire à la vie ou la sécurité d’un autre individu peuvent être retranchés du document en cause, l’organisation est tenue de faire la communication en retranchant ces renseignements.

Paragraphe 9(5) : Si elle décide de ne pas communiquer les renseignements dans le cas visé à l’alinéa (3)c.1), l’organisation en avise par écrit le commissaire et lui fournit les renseignements qu’il peut préciser.

II. Interprétations générales des tribunaux

  1. La demande d’accès à des renseignements personnels doit être présentée par écrit et préciser les renseignements demandés (Nammo c. TransUnion of Canada Inc., 2010 CF 1284).
  2. Pour répondre à une demande d’accès à des renseignements personnels, une organisation n’est tenue de chercher et fournir que les documents se rattachant à ses activités, non ce que des employés se sont envoyés pour des raisons personnelles (Johnson c. Bell Canada, 2008 CF 1086).
  3. L’organisation qui reçoit une vaste demande d’accès à des renseignements personnels a deux options : (1) soit demander à l’auteur de la demande s’il peut cibler celle-ci davantage, auquel cas cet auteur a l’obligation de coopérer en vue de délimiter sa demande, (2) soit procéder à une recherche raisonnable de renseignements qui, selon son estimation raisonnable, répond à la demande d’accès. Dans ce dernier cas, en l’absence d’autres éléments de preuve, elle n’a pas à présumer de l’existence d’une raison de rechercher des messages autres que ceux qui, selon son estimation raisonnable, sont recueillis, utilisés ou communiqués dans le cadre de ses activités. (Johnson c. Bell Canada, 2008 CF 1086)
  4. Si l’auteur de la demande d’accès soutient qu’il existe d’autres renseignements qui n’ont pas été produits, il lui incombe d’établir, au moins prima facie, que la recherche n’a pas été exhaustive. (Johnson c. Bell Canada, 2008 CF 1086)
  5. « On ne peut sérieusement donner à entendre qu’une organisation a l’obligation de récupérer des données supprimées ou écrasées s’il n’y a aucune preuve péremptoire montrant que ces données ont bien existé et qu’elles peuvent être récupérées à coût raisonnable. En outre, à mon avis, une tche aussi colossale ne devrait jamais être imposée, si ce n’est lorsque la récupération des données est vraiment essentielle. » (Johnson c. Bell Canada, 2008 CF 1086)
  6. « D’un point de vue pratique et pragmatique, ce que le paragraphe 8(8) de la Loi impose à une organisation, c’est de conserver les renseignements qu’elle a pu repérer en effectuant ses recherches et pouvant s’avérer pertinents pour donner suite à la demande le temps nécessaire pour que l’auteur de celle-ci ait épuisé ses voies d’appel. » (Johnson c. Bell Canada, 2008 CF 1086)
  7. Lorsqu’une organisation invoque le privilège du secret professionnel de l’avocat pour refuser de donner accès, le commissaire à la vie privée peut, afin d’obtenir une vérification indépendante du bien-fondé du privilège, renvoyer la question à la Cour fédérale à tout moment de son enquête ou il peut faire état d’une impasse sur ce point dans le rapport de ses conclusions et introduire un recours devant la Cour fédérale. (Canada (Commissaire à la protection de la vie privée) c. Blood Tribe Department of Health, 2008 CSC 44; Commissaire à la protection de la vie privée c. Air Canada, 2010 CF 429)
  8. Informer simplement un tiers que des renseignements ont été modifiés, sans lui transmettre les renseignements modifiés, n’est pas suffisant pour se conformer à l’exigence énoncée à l’article 4.9.5 de l’annexe 1 de la LPRPDE. (Nammo c. TransUnion of Canada Inc., 2010 CF 1284)
  9. Les notes manuscrites prises par un médecin pendant un examen médical indépendant réalisé à la demande d’un assureur peuvent faire l’objet d’une demande d’accès. (Wyndowe c. Rousseau, 2008 CAF 39)

III. Application par le CPVP dans divers contextes

La question de savoir si une organisation satisfait aux obligations que la Loi lui impose en matière d’accès dépend des faits de chaque enquête relative à une plainte. Les exemples suivants illustrent comment le principe d’accès a été interprété et appliqué par le CPVP, de même que certaines des conclusions qu’il a tirées dans différents contextes.

Politiques, pratiques et méthodes

Répondre à des demandes d’accès

Formalités

Responsabilité

Délai

Frais

Exceptions

9(3)a) Renseignements protégés par le secret professionnel de l’avocat

9(3)b Renseignements commerciaux confidentiels

9(3)c.1) Renseignements recueillis en application de l’alinéa 7(1)(b)Note de bas de page 2

9(3)d) Renseignements fournis à l’occasion d’un règlement officiel des différends

Corrections

Pour plus de renseignements au sujet de l’accès à des renseignements personnels sous le régime de la LPRPDE, voir la fiche d’information et les lignes directrices connexes à l’intention des organisations.

Date de modification :