Bulletin d’interprétation : Transparence

Août 2015

L’un des principaux rôles du commissaire consiste à enquêter sur des plaintes en matière de protection de la vie privée déposées contre des organisations et à tenter de les résoudre. Ses conclusions varieront selon les faits propres à chaque affaire et la jurisprudence produite au fil du temps. Les conclusions au sujet de certaines questions clés se cristallisent pour former des principes généraux pouvant servir de lignes directrices utiles aux organisations.

Dans ses efforts visant à résumer les principes généraux qui se sont dégagés des décisions judiciaires et des conclusions du commissaire, le Commissariat publie des bulletins d'interprétation sur certains concepts clés de la LPRPDE. Ces derniers n'ont pas force exécutoire, mais servent plutôt d’orientation à des fins de conformité à la LPRPDE. À mesure que le commissaire formule d'autres conclusions et que les tribunaux rendent d'autres décisions, ces bulletins d'interprétation peuvent évoluer et se préciser.

I. Dispositions législatives pertinentes

Principe 4.8 : Une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne.

Principe 4.8.1 : Les organisations doivent faire preuve de transparence au sujet de leurs politiques et pratiques concernant la gestion des renseignements personnels. Une personne doit pouvoir obtenir sans effort déraisonnable de l'information au sujet des politiques et des pratiques d'une organisation. Ces renseignements doivent être fournis sous une forme généralement compréhensible.

Principe 4.8.2 : Les renseignements fournis doivent comprendre :

• le nom ou la fonction de même que l'adresse de la personne responsable de la politique et des pratiques de l'organisation et à qui il faut acheminer les plaintes et les demandes de renseignements;
• la description du moyen d'accès aux renseignements personnels que possède l'organisation;
• la description du genre de renseignements personnels que possède l'organisation, y compris une explication générale de l'usage auquel ils sont destinés;
• une copie de toute brochure ou autre document d'information expliquant la politique, les normes ou les codes de l'organisation; et
• la définition de la nature des renseignements personnels communiqués aux organisations connexes (par exemple, les filiales). 

Principe 4.8.3 : Une organisation peut rendre l'information concernant sa politique et ses pratiques accessibles de diverses façons. La méthode choisie est fonction de la nature des activités de l’organisation et d’autres considérations. Par exemple, une organisation peut offrir des brochures à son établissement, poster des renseignements à ses clients, offrir un accès en ligne ou établir un numéro de téléphone sans frais.

Principe 4.2.1 : L'organisation doit documenter les fins auxquelles les renseignements personnels sont recueillis afin de se conformer au principe de la transparence (disposition 4.8) et à celui de l'accès aux renseignements personnels (disposition 4.9).

Principe 4.4.1 : Les organisations ne doivent pas recueillir des renseignements personnels de façon arbitraire. On doit restreindre tant la quantité que la nature des renseignements recueillis à ce qui est nécessaire pour réaliser les fins déterminées. Conformément au principe de la transparence (disposition 4.8), les organisations doivent préciser la nature des renseignements recueillis comme partie intégrante de leurs politiques et pratiques concernant le traitement des renseignements.

II. Interprétations générales des tribunaux

Les organisations peuvent satisfaire aux exigences en matière de transparence en veillant à ce que des brochures et des outils concernant leurs pratiques en matière de protection des renseignements personnels soient disponibles. Il est fréquent que ce matériel de communication ne soit disponible qu'après la collecte ou l'utilisation de renseignements personnels; dans de tels cas, on ne peut s'y fier pour faire valoir la connaissance et le consentement. Toutefois, si les clients sont au courant de ce matériel au moment où ils s'abonnent aux services de l'entreprise, cette « transparence » peut permettre de conclure qu'il y a eu consentement implicite.

Englander c. TELUS Communications Inc., 2004 CAF 387

III. Application par le Commissariat dans divers contextes

La question de savoir si une organisation satisfait aux obligations que la LPRPDE lui impose en matière de transparence dépend des faits de chaque plainte et enquête. Les exemples suivants illustrent comment le principe de transparence a été interprété et appliqué par le Commissariat, de même que certaines des conclusions générales qu'il a tirées dans différents contextes.

Disponibilité

• Les organisations doivent rendre facilement disponible de l'information claire et précise sur leurs politiques et procédures relatives à la protection de la vie privée.
  • Rapport des conclusions en vertu de la LPRPDE no 2012-003 - Un chercheur d'emploi n'est pas informé convenablement des fins de la collecte de ses renseignements personnels
  • Résumé de conclusions d'enquête en vertu de la LPRPDE no 2006-348 - Communication inappropriée d'un diagnostic, mais la compagnie d'assurances maintient que ses politiques et ses pratiques concernant la protection des renseignements personnels sont transparentes
• Les organisations doivent fournir suffisamment d'information sur la collecte, l'utilisation, la communication et la conservation de renseignements personnels qu'elles font.
• Rapport des conclusions en vertu de la LPRPDE no 2013-001 - Enquête sur les pratiques de traitement des renseignements personnels de WhatsApp Inc.
• Rapport des conclusions en vertu de la LPRPDE no 2012-005 - Une compagnie d'assurance de l'Ontario utilise des renseignements sur la solvabilité pour évaluer les risques et calculer les primes
• Rapport des conclusions en vertu de la LPRPDE no 2011-009 - Une agence d'évaluation du crédit retranche du rapport de solvabilité d'une personne, à l'insu de celle-ci, l'historique du remboursement d'un prêt
• Résumé de conclusions d'enquête en vertu de la LPRPDE no 2009-008 – Rapport de conclusions de l'enquête menée à la suite de la plainte déposée par la Clinique d'intérêt public et de politique d'Internet du Canada (CIPPIC) contre Facebook Inc. aux termes de la LPRPDE
• Résumé de conclusions d'enquête en vertu de la LPRPDE no 2008-388 - Ticketmaster Canada Limited a révisé ses politiques et pratiques relativement à la LPRPDE en vue de protéger les renseignements personnels de ses clients
• Résumé de conclusions d'enquête en vertu de la LPRPDE no 2006-350 - Des clients soutiennent qu'une banque a vendu à une autre banque leurs renseignements personnels, à leur insu et sans leur consentement
• Résumé de conclusions d'enquêtes en vertu de la LPRPDE no 2002-91 - Une entreprise de marketing est accusée de communication inappropriée de renseignements issus d'un sondage
• Pour satisfaire au principe de transparence, les organisations doivent indiquer clairement les moyens dont disposent les personnes lorsqu'elles veulent accéder à leurs renseignements personnels, y compris les étapes nécessaires pour faire une demande d'accès.
  • Résumé de conclusions d'enquête en vertu de la LPRPDE no 2006-334 - Une banque exige une pièce d'identité avant de répondre à une demande d'accès à des renseignements personnels
• Les organisations n'ont pas l'obligation de divulguer les détails de leurs politiques et procédures en matière de protection des renseignements personnels si cette divulgation peut compromettre leur capacité de protéger de l'information personnelle.
  • Résumé de conclusions d'enquête en vertu de la LPRPDE no 2003-183 - Une banque n'est pas tenue de publier ses politiques et ses pratiques concernant la gestion des renseignements personnels
• Les organisations doivent rendre l'information sur leurs pratiques de gestion des renseignements personnels disponibles à tous leurs clients de façon uniforme, que ce soit en personne, sur papier, par téléphone ou dans un site Web.
• Résumé de conclusions d'enquête en vertu de la LPRPDE no 2008-388 - Ticketmaster Canada Limited a révisé ses politiques et pratiques relativement à la LPRPDE en vue de protéger les renseignements personnels de ses clients

Accessibilité

• Les personnes doivent être en mesure d'obtenir de l'information sur les politiques et les pratiques d'une organisation et trouver de l'information sur des options portant moins atteinte à la vie privée sans devoir faire des efforts déraisonnables.
• Résumé de conclusions d'enquête en vertu de la LPRPDE no 2014-007 - La société Apple sommée de faire preuve d'une plus grande transparence concernant la collecte et l'utilisation d'information pour les téléchargements
• Les organisations doivent avoir mis en place des mécanismes pour répondre aux demandes des personnes qui veulent de l'information sur leurs politiques et procédures en matière de protection des renseignements personnels.  
  • Résumé de conclusions d'enquête en vertu de la LPRPDE no 2004-274 - Telco prend des mesures afin d'améliorer la dissémination de ses politiques en matière de protection de la vie privée
• Les organisations qui présentent leurs politiques en matière de protection des renseignements personnels sur leurs sites Web devraient également rendre disponibles des copies papier aux personnes qui en font la demande.
• Résumé de conclusions d'enquête en vertu de la LPRPDE no 2005-304 - Une chaîne de cinémas améliore ses pratiques en matière de traitement des renseignements personnels
• Lorsqu'une organisation rend sa politique en matière de protection des renseignements personnels disponible en français et en anglais, les deux versions doivent être mises à jour régulièrement et également afin de veiller à ce que les utilisateurs continuent d'être adéquatement informés de tout changement.
• Rapport de conclusions en vertu de la LPRPDE no 2014-011 - Enquête sur les pratiques de traitement des renseignements personnels de Ganz Inc.
• Une organisation doit être transparente au sujet des options portant moins atteinte à la vie privée qui sont disponibles et offrir ces options à tous ses clients, et non pas uniquement à ses clients qui portent plainte ou s'opposent à ses pratiques.
  • Rapport des conclusions en vertu de la LPRPDE no 2013-009 – Une banque recueille trop de renseignements personnels sur un client qui souhaite voir sa marge de crédit augmentée
    

Clarté

• L'information concernant les pratiques de gestion des renseignements personnels d'une organisation doit être présentée de manière à la mettre suffisamment en évidence, dans une police facile à lire et d'une façon raisonnablement claire et compréhensible.
  • Rapport des conclusions en vertu de la LPRPDE no 2013-003 - Des profils affichés sur le site de rencontres PositiveSingles.com se retrouvent sur d'autres sites Web de rencontre affiliés
• Les politiques sur la protection des renseignements personnels doivent être claires et cohérentes.
  • Résumé de conclusions d'enquêtes en vertu de la LPRPDE no 2008-388 - Ticketmaster Canada Limited a révisé ses politiques et pratiques relativement à la LPRPDE en vue de protéger les renseignements personnels de ses clients
• Le contenu des politiques sur la protection des renseignements personnels devrait être regroupé et non pas éparpillé dans divers endroits difficiles à retracer. La politique sur la protection des renseignements personnels de l'organisation devrait comprendre de l'information sur ses pratiques en matière de protection des renseignements personnels, notamment sur la façon dont celles-ci peuvent varier selon les services ou les sites Web, même si elles sont expliquées en totalité ou en partie ailleurs.
  
• Rapport de conclusions en vertu de la LPRPDE no 2014-011 - Enquête sur les pratiques de traitement des renseignements personnels de Ganz Inc.
• Rapport des conclusions en vertu de la LPRPDE no 2013-003 - Des profils affichés sur le site de rencontres PositiveSingles.com se retrouvent sur d'autres sites Web de rencontre affiliés
• Rapport des conclusions en vertu de la LPRPDE no 2012-001 - Nexopia, site de réseautage social pour jeunes, a enfreint la loi canadienne sur la protection des renseignements personnels
• Résumé de conclusions d'enquête en vertu de la LPRPDE no 2009-010 - La commissaire adjointe recommande à Belle Canada d'informer les clients au sujet de l'inspection approfondie des paquets
• Résumé de conclusions d'enquête en vertu de la LPRPDE no 2009-008 - Rapport de conclusions de l'enquête menée à la suite de la plainte déposée par la Clinique d'intérêt public et de la politique d'Internet du Canada (CIPPIC) contre Facebook Inc.
• L'information concernant les politiques sur la protection des renseignements personnels d'une organisation devrait être fournie dans une langue et une présentation adaptée au public visé.
  • Rapport des conclusions en vertu de la LPRPDE no 2012-001 - Nexopia, site de réseautage social pour jeunes, a enfreint la loi canadienne sur la protection des renseignements personnels

Inclusion d'une personne-ressource

• Les organisations doivent fournir les noms et coordonnées des responsables désignés de la conformité aux lois sur la protection des renseignements personnels.
• Résumé de conclusions d'enquête en vertu de la LPRPDE no 2006-357 - Une preuve non concluante de communication de renseignements incite un club de santé à clarifier sa politique sur la protection de la vie privée à l'intention de ses clients et de son personnel
• Résumé de conclusions d'enquête en vertu de la LPRPDE no 2005-301 - Une entreprise de gestion immobilière améliore sa politique de protection de la vie privée
• Résumé de conclusions d'enquête en vertu de la LPRPDE no 2002-91 - Une entreprise de marketing est accusée de communication inappropriée de renseignements issus d'un sondage
• Une organisation qui recueille des renseignements personnels au moyen de la vidéosurveillance doit donner un avis clair et complet aux clients éventuels à l'entrée de ses locaux, en expliquant le but de la vidéosurveillance et en fournissant un numéro où les clients peuvent appeler s'ils ont des questions ou veulent accéder à leur information personnelle.
  • Résumé des conclusions d'enquête en vertu de la LPRPDE no 2011-003 - Les renseignements personnels recueillis dans le cadre de la réponse d'une entreprise à une réclamation en dommages-intérêts relèvent de la LPRPDE

Renseignements accessibles au public

• Les organisations qui recueillent, utilisent et communiquent des renseignements personnels qui sont publics continuent néanmoins d'être assujetties au principe de transparence en vertu de la LPRPDE.
  • Résumé de conclusions d'enquête en vertu de la LPRPDE no 2009-004 - Aucun consentement n'est requis pour l'utilisation de renseignements personnels accessibles au public combinés à des statistiques démographiques propres à un lieu géographique

Communication de renseignements à d'autres organisations

• Même si les organisations n'ont pas l'obligation d'obtenir un consentement avant de transférer des renseignements personnels à une tierce partie chargée du traitement pour un service directement lié à l'objectif principal pour lequel ces renseignements ont d'abord été recueillis, elles ont tout de même l'obligation de faire tous les efforts raisonnables possibles pour informer les personnes au sujet de tels transferts.  
  • Résumé de conclusions d'enquête en vertu de la LPRPDE no 2007-386 - L'impression des renseignements relatifs à la carte de crédit sur les billets d'avion constitue une mesure de sécurité inadéquate; transfert des renseignements personnels au grossiste mis en cause
• Lorsqu’une organisation transfère des renseignements personnels vers un pays étranger aux fins de traitement, elle doit informer ses clients du risque que leurs renseignements personnels puissent faire l'objet d'un accès légal en vertu des lois de ce pays. Cet avis devrait être fourni au moment de la collecte des renseignements personnels.
• Résumé de conclusions d'enquête en vertu de la LPRPDE no 2008-394 - L'impartition des services de courriel de canada.com à une entreprise établie aux États-Unis suscite des questions parmi les abonnés
• Résumé de conclusions d'enquête en vertu de la LPRPDE no 2007-365 - Responsabilité d'institutions financières canadiennes dans la communication de renseignements personnels par SWIFT aux autorités des États-Unis
• Résumé de conclusions d'enquête en vertu de la LPRPDE no 2006-333 - Une entreprise canadienne communique les renseignements personnels de ses clients à la société mère située aux États-Unis
• Résumé de conclusions d'enquête en vertu de la LPRPDE no 2005-313 - Un avis expédié aux clients d'une banque suscite des inquiétudes à propos de la USA PATRIOT Act
• Rapport de vérification de la commissaire à la protection de la vie privée du Canada – Bureau en gros
• Voir également : Lignes directrices sur le traitement transfrontalier des données personnelles