Protection de la vie privée dans un monde interventionniste
Cette page Web a été archivée dans le Web
L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.
Document de discussion sur l’examen de la LPRPDE
Juillet 2006
1. But
La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) renferme une disposition qui prévoit son examen quinquennal par le Parlement. Cet examen devrait avoir lieu en 2006. Le présent document de discussion traite de plusieurs questions que le Commissariat à la protection de la vie privée du Canada (CPVP) considère comme devant être étudiées au cours de ce prochain examen. Le présent document n’a pas pour but de dresser la liste définitive des questions à examiner et ne prétend pas non plus proposer toutes les solutions à ces questions. Nous invitons les personnes qui s’intéressent à la protection de la vie privée à formuler des commentaires sur ces questions et à en soulever d’autres qui devraient, à leur avis, être incluses dans l’examen de la LPRPDE. Nous accueillerons favorablement vos observations car elles nous aideront à informer le CPVP pendant l’élaboration du document qu’il déposera devant le Parlement au cours de l’examen de la LPRPDE.
Le rôle du Commissariat n’est pas de proposer des modifications à la LPRPDE. Notre objectif est plutôt d’aider le Parlement et la population canadienne à garantir que la LPRPDE est le moyen le plus efficace possible d’atteindre l’objectif énoncé par le Parlement dans cette loi – soit de reconnaître le droit des personnes à la protection de leur vie privée en ce qui a trait à leurs renseignements personnels, et le besoin des organisations de recueillir, d’utiliser et de communiquer des renseignements personnels « à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances ».
La LPRPDE se veut une loi sur la protection des donnnées générale et de nature non spécifique du point de vue de la technologie. Le présent document porte sur l’examen global de la LPRPDE, et non sur des questions précises comme le pourriel, le vol d’identité ou la fraude liée à l’identité. Le Parlement peut évidemment décider de traiter de ces questions précises dans une autre loi.
2. Introduction
Au cours des deux dernières décennies, de nombreuses enquêtes ont révélé que les Canadiennes et les Canadiens sont inquiets au sujet des intrusions du gouvernement et du secteur privé dans leur vie privée. La vie privée est le symbole d’une société démocratique et elle est mise à défi dans de nombreux milieux, au moyen de technologies de plus en plus envahissantes et abordables. Dans certains cas, les défis prennent de l’importance en raison d’une attitude selon laquelle la vie privée doit être sacrifiée en faveur d’autres valeurs sociales – comme la sécurité nationale et l’efficacité des affaires. L’exploration des données, la surveillance dans les lieux de travail et en public, le pourriel et les techniques basées sur la biométrie – par exemple, la reconnaissance faciale et l’identification par les empreintes génétiques – constituent autant d’attaques à la vie privée. Les mêmes technologies qui facilitent le commerce moderne peuvent ouvrir la voie à au vol d’identité et à la fraude par Internet, comme la pêche aux données personnelles ou hameçonnage. L’utilisation des technologies de pointe à des fins malveillantes peut causer un immense préjudice aux victimes de l’utilisation abusive de renseignements personnels.
À la suite de l’expression de nombreuses préoccupations relatives à la vie privée rattachées aux activités commerciales, le Parlement a réagi en adoptant la LPRPDE. Cette loi permettait aussi au Canada d’assurer un niveau de protection des renseignements personnels, de façon à favoriser leur circulation entre les états membres de l’Union européenne (UE) et le Canada. La Directive sur la protection des données, adoptée par l’UE en 1995, exige que les états membres permettent la transmission de renseignements personnels à un pays tiers comme le Canada, seulement si ce pays tiers en assure la protection adéquate.
La LPRPDE est entrée en vigueur par étapes à partir du 1er janvier 2001. À cette époque, elle portait sur les renseignements personnels de clients recueillis, utilisés ou communiqués au cours d’activités commerciales par des entreprises fédérales – des organisations comme les banques, les transporteurs aériens et les entreprises de télécommunications. Elle avait également trait aux renseignements personnels des employés de ces entreprises fédérales. En 2002, le champ d’application de la Loi a été étendu aux renseignements personnels sur la santé de ces organisations et de ces champs d’activité. En janvier 2004, la LPRPDE était intégralement en vigueur. À partir de 2004, en vertu du pouvoir en matière de commerce prévu à l’article 91 de la Constitution, le champ d’application de la Loi a été étendu aux organisations qui ont des activités commerciales, notamment à celles qui, à d’autres fins (par exemple, en matière d’emploi), sont réglementées par les provinces. La LPRPDE s’applique donc au secteur du commerce de détail, aux maisons d’édition, aux assureurs, à l’industrie des services, aux fabricants et à d’autres organisations dont celles du secteur de la santé.
La LPRPDE donne également aux personnes le droit de consulter les renseignements personnels les concernant que ces organisations peuvent avoir recueillis et, au besoin, d’en contester l’exactitude. Il incombe à la commissaire à la protection de la vie privée du Canada de surveiller l’application de la Loi. Elle est également habilitée à recevoir les plaintes et à mener des enquêtes à l'égard de ces plaintes.
La LPRPDE ne résout pas et ne prétend pas résoudre tous les problèmes de protection de la vie privée soulevés lors de relations entre des personnes et des organisations dans le cadre d’activités commerciales. Elle n’assure une protection qu’en matière d’activités commerciales et même en ce domaine, elle ne s’applique pas dans de nombreux cas. Par exemple, la LPRPDE ne s’applique pas aux renseignements personnels sur des employés d’organisations qui ne sont pas rattachés à des ouvrages, des entreprises ou des secteurs d’activités qui relèvent de la compétence fédérale.
La LPRPDE est une loi relativement récente; plusieurs de ses dispositions et les pouvoirs y afférents – en matière de vérification et de litiges, par exemple – n’ont pas été étudiés à fond. Le public n’a pas encore profité de plusieurs garanties offertes par la LPRPDE et de nombreuses questions générales liées à la vie privée et traitées dans la Loi n’ont pas encore été portées à l’attention du CPVP. Le CPVP n’a pas non plus eu l’occasion de « rassembler toutes les pièces du casse-tête » relativement aux plaintes déposées par des personnes afin de trouver des pistes de solutions aux nombreux et nouveaux problèmes systémiques dans les diverses organisations et les divers secteurs.
Cela dit, la LPRPDE semble fonctionner raisonnablement bien, mais certaines lacunes n’avaient pas été anticipées lorsqu’elle a été rédigée il y a plusieurs années. Il faudra peut-être réexaminer des dispositions de la LPRPDE en tenant compte de l’expérience, notamment celle acquise après l’adoption de lois provinciales essentiellement similaires sur la protection de la vie privée. Les dispositions de la LPRPDE ne sont peut-être pas aussi efficaces pour protéger la vie privée que ses rédacteurs ne l’avaient espéré. De plus, de nombreux changements procéduraux et des améliorations mineures visant à effectuer un « dépoussiérage » sont peut-être requis pour faciliter l’application de la Loi. En plus des défis posés par la Loi, des changements dans la société obligent à repenser certains aspects de la LPRPDE. Ces changements sont survenus sur plusieurs plans –par exemple l’augmentation de la circulation transfrontalière des renseignements personnels, les logiciels espions, le trafic illégal de données, les menaces croissantes à la sécurité des systèmes informatiques et l’intérêt croissant des organismes gouvernementaux pour les renseignements personnels détenus par le secteur privé.
3. Questions à examiner
Pouvoirs de la commissaire
En élaborant la LPRPDE, le Parlement a utilisé le modèle de l’ombudsman similaire à celui dont on s’était servi pour la Loi sur la protection des renseignements personnels et la Loi sur l’accès à l’information. En vertu de ces trois lois, le commissaire responsable a le pouvoir de mener des enquêtes, de tirer des conclusions et de formuler des recommandations non contraignantes.
Selon la LPRPDE, la commissaire possède une marge de manœuvre limitée pour faire enquête sur des plaintes, mener des vérifications et rendre publics des renseignements sur les pratiques d’une organisation en matière de gestion des renseignements personnels. La commissaire n’a pas le pouvoir d’ordonner qu’une organisation renonce à une pratique, change une pratique ou communique des renseignements personnels. Elle ne peut non plus accorder de dommages-intérêts. Cependant, si une personne n’est pas satisfaite des efforts de la commissaire de résoudre des problèmes, cette personne peut s’adresser à la Cour fédérale pour entendre toute question qui a fait l’objet de la plainte. La commissaire peut également engager une poursuite avec le consentement de la personne concernée et elle l’a fait occasionnellement, lorsque des organismes ont refusé de suivre ses recommandations.
Certains observateurs pourraient soutenir que l’approche de l’ombudsman, qui ne prévoit pas l’attribution du pouvoir de rendre des ordonnances, rend la LPRPDE moins efficace pour protéger les droits des personnes que si la commissaire possédait des pouvoirs d’exécution – par exemple, celui d’ordonner qu’une organisation se conforme à une disposition particulière de la LPRPDE. Ces observateurs pourraient demander que la LPRPDE accorde le pouvoir de rendre des ordonnances, similaire à celui prévu dans les lois de la Colombie-Britannique et de l'Alberta sur la protection des données. Ils pourraient également vouloir que la loi accorde le pouvoir de rendre des ordonnances, comme celui conféré à la Commission d’accès à l’information du Québec par la Loi sur la protection des renseignements personnels dans le secteur privé (Québec), la première loi adoptée au Canada sur la protection des données dans le secteur privé.
D’autres pourraient être d’avis que l’approche de l’ombudsman est préférable. Ils estiment peut-être que ce modèle est plus accessible, plus informel, plus pratique et plus souple pour aider les parties à résoudre elles-mêmes leurs problèmes. Les partisans du modèle de l’ombudsman pourraient également faire valoir que la LPRPDE permet de s’adresser à la Cour fédérale pour qu’elle rende une ordonnance exécutoire, en tant que tribunal de compétence supérieure, au-delà des recommandations de la commissaire. Les partisans de cette approche pourraient également laisser entendre que la modification de la nature des pouvoirs de la commissaire serait un exercice complexe qui aurait une incidence sur les autres rôles du Commissariat – par exemple en matière de médiation, d’éducation et de vérification, – et qu’il exigerait un nouvel examen du rôle de la Cour fédérale aux termes de la LPRPDE.
Question
- Le modèle actuel de l’ombudsman est-il efficace ou inefficace pour protéger les droits des personnes à la protection de la vie privée et pour prendre en compte l’intérêt légitime, au regard des renseignements personnels, d’organisations qui exercent des activités commerciales? De quelles façons? Quelles modifications, s’il en est, devraient être apportées?
Consentement
La LPRPDE est une loi fondée sur le consentement. Généralement, elle requiert que l’intéressé soit informé de la collecte, de l’utilisation et de la communication de ses renseignements personnels au cours d’une activité commerciale et qu’il y consente. Partout dans le monde, les agences de protection des données sont confrontées aux défis posés par la gestion d’un régime basé sur le consentement pour le traitement des renseignements personnels, particulièrement dans le contexte des réalités modernes du commerce mondial.
La conciliation du principe du consentement et des réalités et exigences de l’environnement commercial pose de nombreux défis. L’exposé suivant porte sur les domaines préoccupants relatifs au consentement : les relations entre employeurs et employés; la collecte de renseignements personnels et leur communication à des organismes d’application de la loi et à des agences de sécurité nationale; leur communication à des organismes d’enquête; les tentatives de collecte, d’utilisation et de communication; les exceptions individuelles, familiales et dans l’intérêt public aux exigences en matière de consentement; le consentement général.
a. Relations entre employeurs et employés
La LPRPDE protège les renseignements personnels des employés qui oeuvrent dans des installations, ouvrages, entreprises ou secteurs d’activités qui relèvent de la compétence fédérale. Or, les employeurs ont besoin d’obtenir des renseignements personnels sur leurs employés pour de nombreuses utilisations légitimes au cours de leurs activités. Dans un monde parfait sans contraintes économiques, l’employeur pourrait demander à son employé de lui fournir des renseignements personnels et ce dernier pourrait librement décider de les lui donner ou pas. Mais en raison de l’inégalité du pouvoir de négociation dans les relations d’emploi, de nombreux employés ne se sentent peut-être pas en mesure de refuser leur consentement, par crainte que cela nuise à leur situation au travail ou entraîne leur congédiement. Certains pourraient faire valoir que dans ce cas, des employés ne sont pas libres d’accepter que leur employeur recueille leurs renseignements personnels et que c’est forcément interpréter à mauvais escient le principe du consentement en risquant d’« affaiblir » ce principe, que d’en déduire qu’ils ont accordé leur consentement.
Dans leur Personal Information Protection Act (PIPA), l’Alberta et la Colombie-Britannique ont adopté une approche différente de celle de la LPRPDE à l’égard des renseignements personnels des employés. La loi de l’Alberta permet à une organisation de recueillir des renseignements personnels sur un employé actuel ou éventuel sans son consentement suivant certaines conditions, notamment lorsque la collecte est raisonnable aux fins pour lesquelles les renseignements sont recueillis. Dans la loi de l’Alberta, les renseignements personnels au sujet d'un employé signifient simplement des renseignements personnels dont a raisonnablement besoin une organisation et qui sont recueillis, utilisés ou communiqués uniquement pour établir ou gérer une relation d’emploi ou une relation de travail bénévole, ou y mettre fin. La loi de la Colombie-Britannique permet de recueillir des renseignements personnels sur un employé notamment lorsque cette collecte est raisonnable pour établir ou gérer une relation d’emploi ou y mettre fin.
Certains pourraient faire valoir que les dispositions des lois de l'Alberta et de la Colombie-Britannique offrent une solution plus réalisable pour s’occuper des détails du traitement des renseignements personnels dans le contexte moderne de l’emploi. Des critiques pourraient s’y opposer en affirmant que des dispositions de ce type enlèveraient aux employés la liberté de décider par eux-mêmes que l’utilisation de leurs renseignements personnels est raisonnable, et donneraient plutôt le pouvoir de prendre cette décision à leur employeur. Même si des employés pouvaient contester l’objectif visé par leur employeur en déposant une plainte, certains estimeraient que ce changement de pouvoir entraînerait l’effritement d’un droit fondamental en matière de protection de la vie privée – le droit de décider par soi-même de l’utilisation de ses renseignements personnels.
La Loi sur la protection des renseignements personnels dans le secteur privé du Québec ne situe pas les renseignements personnels sur des employés dans une catégorie de renseignements personnels distincte et assujettie à des dispositions spéciales. Mais le critère de la collecte de renseignements personnels au sujet des employés sans leur consentement est basé sur le besoin. À cette fin, il faut prendre en considération la nature délicate des renseignements personnels et le critère de proportionnalité énoncé par la Cour suprême du Canada dans l’arrêt OakesNote de bas de page 1.
Une autre option consisterait à ajouter une disposition expresse à l’article 7 de la LPRPDE pour traiter des questions relatives au consentement des employés. En règle générale, les renseignements personnels au sujet d'un employé ne pourraient être recueillis qu’avec son consentement. Mais la disposition pourrait énoncer des exceptions précises à la règle du consentement.
Questions
- La LPRPDE devrait-elle être modifiée de façon à supprimer les exigences relatives au consentement au sujet des renseignements personnels portant sur les employés? Dans l’affirmative, le critère de la « fin raisonnable » est-il une solution de rechange appropriée?
- Les questions liées au consentement des employés devraient-elles être traitées dans une exception expresse à l’article 7 dans le cas de la relation d’emploi, assortie de conditions? Dans l’affirmative, quelles devraient être les conditions?
- La collecte de certains types de données portant sur les employés devrait-elle être complètement interdite? Dans l’affirmative, quels seraient les critères pour interdire cette collecte?
b. Collecte et communication aux fins de l’application de la Loi et de la sécurité nationale
La Loi de 2002 sur la sécurité publique a modifié la LPRPDE par une disposition [l’alinéa 7(1)e)] qui ajoute au nombre de situations prévues dans la LPRPDE dans lesquelles une organisation peut recueillir des renseignements personnels à l’insu d’une personne et sans son consentement. Le Parlement a adopté cette modification pour autoriser les transporteurs aériens et les agences de voyage à recueillir des renseignements personnels à l’intention des systèmes gouvernementaux pour le contrôle des passagers des lignes aériennes. Cette modification signifie que la collecte est permise à l’insu de la personne concernée et sans son consentement si elle est faite en vue :
- d’une communication exigée par la loi;
- d’une communication faite à une institution gouvernementale qui a demandé à obtenir le renseignement en mentionnant la source de l’autorité légitime étayant son droit à l’obtenir et le fait qu’elle soupçonne que le renseignement est afférent à la sécurité nationale, à la défense du Canada ou à la conduite des affaires internationales; ou
- d’une communication faite, de l’initiative de l’organisation, à un organisme d’enquête, à une institution gouvernementale ou à une subdivision d’une telle institution et l’organisation soupçonne que le renseignement est afférent à la sécurité nationale, à la défense du Canada ou à la conduite des affaires internationales.
Certains pourraient exprimer des inquiétudes au sujet de la formulation générale de l’alinéa 7(1)e). En effet, toute organisation assujettie à la LPRPDE, et non pas seulement les transporteurs aériens et les agences de voyage, a maintenant le droit de recueillir des renseignements personnels à l’insu de l’intéressé et sans son consentement dans les situations décrites à l’alinéa 7(1)e). Cet alinéa ne limite pas la quantité de renseignements qui peuvent être recueillis, la durée des activités de collecte ou les sources possibles des renseignements. En somme, certains pourraient faire valoir que le pouvoir accordé par l’alinéa 7(1)e) permet à des organisations d’agir en tant qu’agents de l’État – on dit également qu’on a « délégué le secteur privé » – en l’autorisant à recueillir des renseignements à l’insu de l’intéressé pour les communiquer au gouvernement et à des organismes d’application de la loi.
Par exemple, cette modification à la LPRPDE crée la possibilité qu’une organisation assujettie à la LPRPDE recueille des renseignements personnels simplement parce qu’elle soupçonne que ces renseignements ont trait à la conduite d’affaires internationales. Il n’est pas nécessaire que l’organisation ait un objectif légitime lié à ses activités pour recueillir les renseignements. Les préoccupations relatives à l’alinéa 7(1)e) seront peut-être aggravées, car la Loi sur la protection des renseignements personnels qui concerne les institutions fédérales n’assure pas une protection adéquate aux renseignements personnels obtenus par des institutions gouvernementales auprès d’organisations qui les ont recueillis en vertu de l’alinéa 7(1)e).
Par contre, d’autres prétendront peut-être que cette modification à la LPRPDE constitue un ajout nécessaire aux outils qui permettent de résoudre de graves problèmes d’application de la loi et de sécurité nationale. Ils pourraient soutenir que dans des circonstances légitimes, des renseignements personnels doivent être recueillis et communiqués sans le consentement de l’intéressé.
Questions
- Convient-il que des organisations du secteur privé agissent en tant qu’agents du gouvernement pour recueillir des renseignements personnels au nom du gouvernement? Convient-il que des documents soient créés uniquement pour les fournir au gouvernement?
- Le pouvoir prévu à l’alinéa 7(1)e) de recueillir des renseignements personnels à l’insu de l’intéressé et sans son consentement est-il plus étendu que nécessaire? Dans l’affirmative, comment cette disposition pourrait-elle être modifiée de façon à limiter le pouvoir des organisations assujetties à la LPRPDE de recueillir des renseignements?
c. Organismes d’enquête
La LPRPDE permet aux organisations de communiquer un renseignement personnel à un organisme d’enquête à l’insu de l’intéressé et sans son consentement. Pour ce faire, il doit y avoir des motifs raisonnables de croire que le renseignement a trait à la violation d’un accord ou à la contravention du droit fédéral, provincial ou étranger. La LPRPDE autorise également les organismes d’enquête à communiquer un renseignement personnel à l’insu de l’intéressé et sans son consentement, lorsque la communication est raisonnable pour mener une enquête sur la violation d’un accord ou une contravention du droit fédéral ou provincial.
Ce pouvoir est prévu aux alinéas 7(3)d) et 7(3)h.2). L’alinéa 7(3)d) permet à une organisation de communiquer un renseignement à un organisme d’enquête, lorsque ce dernier mène une enquête sur une violation présumée ou une contravention présumée du droit – par exemple une escroquerie à l’encontre d’une institution financière. L’alinéa 7(3)h.2) permet à un organisme d’enquête de communiquer un renseignement sans le consentement de l’intéressé lorsque la communication est raisonnable à des fins liées à une enquête sur la violation d’un accord ou la contravention du droit fédéral ou provincial.
La Loi ne définit pas « organisme d’enquête ». Chaque demande visant à obtenir le statut d’organisme d’enquête est confirmée par règlement. Deux organismes d’enquête figurait sur la liste lorsque la Loi est entrée en vigueur : les Services Anti-Crime des Assureurs et le Bureau de prévention et d’enquête du crime bancaire. Il y a maintenant environ 75 organismes d’enquête. Plus de 20 organismes réglementaires de professionnels de la santé de l’Ontario, comme l’Ordre des infirmières et infirmiers de l’Ontario et l’Ordre des optométristes de l’Ontario, ainsi que le barreau de la plupart des provinces et des territoires, ont été désignés en tant qu’organismes d’enquête. Ils ont reçu cette désignation parce qu’ils peuvent avoir besoin de recueillir des renseignements personnels sans avoir obtenu le consentement de l’intéressé pour entreprendre une procédure disciplinaire. Certains pourraient faire valoir que tout ce processus est lourd et qu’à cause du nombre accru d’organismes d’enquête désignés, cette approche réglementaire semble ne pas être la plus efficace. Ils pourraient de plus soutenir que des organismes comme ceux qui réglementent les activités des professionnels de la santé peuvent déjà assurer une surveillance adéquate des activités de ces organismes d’enquête.
Mais les partisans du système actuel de désignation pourraient faire observer que le régime actuel de désignation des organismes d’enquête, bien que lourd, permet une plus grande transparence et beaucoup plus de surveillance qu’un régime qui, par exemple, définirait simplement « organisme d’enquête » dans la LPRPDE et permettrait essentiellement aux organisations de se désigner elles-mêmes comme tel, à moins que cette désignation ne soit contestée avec succès. De même, ils pourraient faire valoir que les évaluations des facteurs relatifs à la vie privée, soumises au cours du processus d’application, permettent d’adopter une approche plus ouverte, plus transparente et plus incisive en matière de désignation, même si le processus peut s’avérer long et ardu. Le processus permet également de rendre publique la liste des organisations désignées en tant qu’organismes d’enquête.
Une option serait de tenter de définir « organisme d’enquête » dans la LPRPDE. Seuls les organismes qui correspondent à la définition pourraient obtenir le statut spécial accordé aux organismes de ce type. Si l’on définit « organisme d’enquête » dans la LPRPDE, l’exigence visant à confirmer le statut de l’organisme par règlement pourrait être supprimée, car il y aurait alors un moyen plus direct dans la LPRPDE pour déterminer si un organisme répond aux critères d’un organisme d’enquête.
Une autre option serait d’adopter le modèle de la Personal Information Protection Act (PIPA) de la Colombie-Britannique et de l’Alberta. Ces deux lois définissent le terme « enquête » et permettent de recueillir, d’utiliser et de communiquer des renseignements sans avoir obtenu le consentement de l’intéressé pour les fins d’une enquête. Ainsi, la loi de la C.-B. définit « enquête » comme devant porter sur :
[TRADUCTION]
a) la violation d’un accord;
b) une contravention d’un texte législatif fédéral ou provincial;
c) une circonstance ou une conduite pouvant donner lieu à un recours ou un redressement offert aux termes d’une disposition législative, en common law ou en equity;
d) la prévention d’une fraude; ou
e) les opérations sur valeurs mobilières, définies à l’article 1 de la Securities Act, lorsque l’enquête est menée par/ou au nom d'une organisation dont la compétence est reconnue par la British Columbia Securities Commission pour mener des enquêtes sur de telles opérations,
s’il y a des motifs raisonnables de croire que la violation, la contravention, la circonstance, la conduite, la fraude ou l’opération inappropriée en question pourrait se produire ou s’être produite.
La loi de la C.-B. permet de recueillir des renseignements sans le consentement de l’intéressé [TRADUCTION] « s’il y a des motifs raisonnables de croire que la collecte effectuée avec le consentement de l’intéressé compromettrait la disponibilité ou l’exactitude des renseignements personnels, et que la collecte est raisonnable pour la tenue d’une enquête ou d’une instance judiciaire. »
Questions
- Les dispositions de la LPRPDE relatives aux organismes d’enquête devraient-elles être modifiées? Dans l’affirmative, comment?
- Que ces dispositions soient modifiées ou pas, la transparence et l’obligation de rendre compte relativement aux activités des organismes d’enquête peuvent-elles être améliorées? Quelles mesures permettraient d’y parvenir?
d. Tentative de collecte sans le consentement de l’intéressé
La LPRPDE s’applique à la collecte, à l’utilisation et à la communication de renseignements personnels. Mais il semble qu’il y ait une lacune dans la Loi au sujet des tentatives de collecte de renseignements personnels sans le consentement de l’intéressé. Dans un arrêt de 2006, la Cour d’appel fédéraleNote de bas de page 2 a déclaré que la LPRPDE n’interdit pas expressément les tentatives de collecte de renseignements personnels. La LPRPDE ne s’applique pas, par exemple, à la tentative de recueillir des renseignements par vidéosurveillance ou par l’écoute électronique au moyen d’un équipement qui ne fonctionne pas ou à la tentative non réussie d’un employé de banque d’obtenir des renseignements d’un client, lorsque aucune loi ne donne à la banque le pouvoir de les obtenir. En se basant sur ce raisonnement, la LPRPDE ne s’appliquerait probablement pas aux tentatives d’utiliser ou de communiquer des renseignements, lorsque ces tentatives sont infructueuses.
Même si, par exemple, la tentative de collecte de renseignements personnels (au moyen d’une surveillance secrète ou de pratiques trompeuses) est infructueuse, il devrait y avoir, aux termes d’une loi sur la protection des renseignements personnels, des conséquences pour une organisation qui fait une telle tentative.
Dans le droit canadien de la protection de la vie privée, il y a un précédent relatif à une tentative de collecte. Le paragraphe 59(1) de la Personal Information Protection Act (PIPA) de l’Alberta prévoit que la tentative délibérée d’obtenir des renseignements personnels ou d’avoir accès à des renseignements personnels, contrairement à la Loi, constitue une infraction.
Certains diront que l’inclusion de la tentative de collecte dans la LPRPDE pourrait donner à un plaignant le droit de demander à la Cour fédérale d’instruire sa plainte, de rendre une ordonnance exécutoire et même un jugement en dommages-intérêts. L’article 16 permet à la Cour d’accorder toute une gamme de réparations, notamment d’ordonner à une organisation de changer ses pratiques et de publier un avis sur toute mesure prise ou proposée pour corriger ses pratiques. La Cour peut également accorder des dommages-intérêts à un plaignant, notamment pour humiliation subie.
Question
- La LPRPDE devrait-elle être modifiée de façon à réglementer les tentatives délibérées de recueillir des renseignements personnels sans le consentement de l’intéressé?
e. Exceptions aux exigences en matière de consentement pour la collecte de renseignements à des fins personnelles, familiales et d’intérêt public
Ce principe du consentement est énoncé à l’article 4.3 de l’annexe 1 de la LPRPDE. Selon l’article 4.3, « toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. » L’article 7 de la LPRPDE reconnaît le principe du consentement de l’article 4.3, mais énumère de nombreuses situations particulières dans lesquelles des renseignements peuvent être recueillis, utilisés ou communiqués à l’insu de l’intéressé et sans son consentement. Par exemple, l’alinéa 7(3)e) prévoit qu’il est permis de communiquer un renseignement à l’insu de l’intéressé et sans son consentement « à toute personne qui a besoin du renseignement en raison d’une situation d’urgence mettant en danger la vie, la santé ou la sécurité de toute personne et, dans le cas où la personne visée par le renseignement est vivante, l’organisation en informe par écrit et sans délai cette dernière ».
Certaines situations ne sont pas prévues dans cette disposition ni par aucune autre, comme la communication de renseignements à la famille d’une personne blessée, malade ou décédée ou celle faite dans l’intérêt public après une catastrophe majeure.
Question
- Y a-t-il des circonstances autres que celles énumérées à l’article 7 de la LPRPDE où la collecte, l’utilisation ou la communication à l’insu de l’intéressé et sans son consentement devrait être permise dans l’intérêt légitime d’une personne, de sa famille ou du grand public? Dans l’affirmative, quelles sont ces circonstances?
f. Consentement général
Ainsi, tel qu'indiqué plus haut, la LPRPDE est une loi fondée sur le consentement. Elle requiert le consentement de l’intéressé pour recueillir, utiliser et communiquer des renseignements personnels au cours d’une activité commerciale. L’opinion couramment admise est que tant que la formulation de l’article sur le consentement est suffisamment générale, sur le plan technique et légal, elle permettra toute une gamme de futures collectes, utilisations et communications aux termes de l’accord conclu entre le client et l’organisation. D’autres diront cependant qu’un consentement vraiment libre et éclairé représente davantage que cette mesure; il ne se limite pas à une autorisation générale donnée en une seule occasion dans un formulaire de consentement. Ils pourraient affirmer qu’un consentement éclairé est un processus dynamique qui nécessite que les personnes soient tenues activement au courant – de façon continue, en utilisant un langage compréhensible et de manière transparente – de ce qu’une organisation a l’intention de faire avec leurs renseignements personnels et des fins auxquelles ceux-ci sont destinés. Ces personnes pourraient considérer le consentement comme une occasion de recevoir des explications additionnelles et de poser des questions ou de contester des hypothèses – particulièrement dans les relations où le pouvoir de négociation est inégal.
Par ailleurs, d’autres pourraient dire que les consommateurs sont généralement libres de déterminer la mesure dans laquelle ils consentent à ce que leurs renseignements personnels soient recueillis, utilisés et communiqués et qu’aucune modification de la LPRPDE n’est requise pour rendre le consentement plus valable. Ils pourraient aussi affirmer que de nombreux consommateurs ne veulent pas qu’on leur demande leur consentement pour chaque type particulier de collecte, d’utilisation et de communication de leurs renseignements personnels et qu’ils pourraient être ennuyés si on leur demandait trop souvent de faire connaître leur choix ou de remplir un autre formulaire.
Question
- La LPRPDE devrait-elle être modifiée de façon à traiter du « consentement général »? Dans l’affirmative, quelle devrait être la nature de ces modifications?
Communication de renseignements personnels avant le transfert d’entreprises
Aucune disposition de la LPRPDE ne permet à une organisation de communiquer des renseignements personnels à des acquéreurs éventuels ou à des partenaires commerciaux sans avoir obtenu le consentement de l’intéressé. Ces derniers peuvent avoir besoin de prendre connaissance de ces renseignements (il peut s’agir de listes de clients) pour évaluer avec une « diligence raisonnable » s’ils doivent procéder à l’opération – il peut s’agir d’une fusion, d’une acquisition ou de la vente d’une entreprise. Ces opérations peuvent être d’un niveau relativement modestes, comme la vente d’un cabinet en denturologie en incluant les listes de patients, jusqu’à de vastes prises de contrôle d’entreprise.
D’autres lois, comme la Loi sur la protection des renseignements personnels sur la santé (LPRPS) de l’Ontario et la Personal Information Protection Act (PIPA) de l’Alberta et de la Colombie-Britannique permettent la communication sans avoir obtenu le consentement de l’intéressé, sous réserve de la conclusion d’un accord rigoureux de confidentialité. Certains pourraient faire valoir qu’il convient d’inclure une disposition similaire dans la LPRPDE. Ils pourraient dire que cela faciliterait les opérations commerciales et protégerait les secrets commerciaux dans un environnement très concurrentiel.
Lors d’une vente ou d’une fusion, certaines personnes pourraient ne pas vouloir que leurs renseignements personnels soient transférés. Certains feront valoir que les clients d'un commerce devraient avoir l’occasion de s’opposer au transfert de leurs renseignements personnels, lorsque c’est possible. Mais dans certains cas, les exigences réglementaires obligent à conserver les renseignements personnels pendant un certain temps. Les personnes dont les renseignements personnels sont en jeu pourraient être préalablement mises au courant au moyen d’un avis.
Questions
- La LPRPDE devrait-elle permettre à une organisation qui possède des renseignements personnels de les communiquer à un acquéreur ou à un partenaire commercial éventuel? Dans l’affirmative, à quelles conditions?
- La LPRPDE devrait-elle être modifiée de façon à permettre le transfert de renseignements personnels d’une organisation à un acquéreur ou à un partenaire commercial éventuel? Dans l’affirmative, quelles restrictions devraient s’appliquer?
Produit du travail
La LPRPDE n’utilise pas ni ne définit le terme « produit du travail ». D’autre part, la Personal Information Protection Act (PIPA) de la Colombie-Britannique définit en partie le « produit du travail » comme [TRADUCTION] « des renseignements préparés ou recueillis par une personne ou un groupe de personnes dans le cadre de leurs responsabilités ou de leurs activités relativement à l’emploi de la personne ou du groupe ». Certains pourraient soutenir qu’une définition, comme celle figurant dans la loi de la C.-B., rendrait plus clair le concept de produit du travail et faciliterait l’inclusion de dispositions dans la LPRPDE pour appliquer des règles distinctes au produit du travail.
L’inclusion d’une telle définition pourrait aussi préciser la distinction entre les termes « produit du travail », « renseignement commercial » et « renseignement relatif à la personne-ressource » et il serait alors plus facile de déterminer les différentes façons de les traiter selon la LPRPDE.
Le terme « produit du travail » pourrait être défini dans la LPRPDE selon trois approches :
- En excluant le « produit du travail » de la définition de « renseignement personnel » dans la LPRPDE. La LPRPDE ne s’appliquerait donc pas du tout à ces renseignements. Un exemple de cette approche se trouve dans la loi de la C.-B., décrite ci-dessus;
- En considérant le produit du travail comme un renseignement personnel (c’est-à-dire inclure produit du travail dans la définition de renseignement personnel), tout en précisant que les dispositions de la LPRPDE sur la protection des données ne s’appliquent pas aux renseignements de ce type. C’est l’approche adoptée dans la LPRPDE, au sujet des renseignements personnels recueillis, utilisés ou communiqués, par exemple, à des fins journalistiques, artistiques ou littéraires;
- En incluant le produit du travail dans la définition de renseignement personnel, mais en précisant que les exigences en matière de consentement prévues à l’article 7 de la LPRPDE ne n’appliquent pas au produit du travail. D’autres dispositions de la LPRPDE s’appliqueraient au produit du travail, par exemple, l’article 3 sur l’« objet », même si les dispositions sur le consentement ne s’appliqueraient pas. Le critère de l’article 3 qui établit un équilibre entre le droit au respect de la vie privée des particuliers et le besoin des organisations d’obtenir des renseignements sur le produit du travail continuerait à s’appliquer à la collecte, à l’utilisation ou à la communication de ces renseignements.
Certains diront que l’exclusion du produit du travail de la définition de « renseignement personnel » ou une prescription selon laquelle les dispositions de la LPRPDE sur la protection des données ne s’appliquent pas (ce sont les deux premières approches décrites ci-dessus) pourraient signifier que la LPRPDE ne peut s’appliquer pour contrôler et contester certaines formes de surveillance. Par exemple, la LPRPDE pourrait ne pas s’appliquer à la surveillance des activités des travailleurs dans leur lieu de travail au moyen de la vidéosurveillance, de l’écoute électronique des conversations ou de la reconnaissance de la frappe au clavier, si les documents relatifs à la surveillance sont considérés comme le produit du travail.
La Loi sur la protection des renseignements personnels dans le secteur privé du Québec montre comment des renseignements sur le produit du travail peuvent faire l’objet de dispositions adaptées à la nature des renseignements; en l’occurrence, il s’agit de renseignements personnels sur des professionnels au sujet de leurs activités professionnelles. En 2001, une disposition a été ajoutée à cette loi pour accorder une plus grande marge de manœuvre lorsqu’il s’agit d’autoriser l’accès à des renseignements personnels sur des professionnels au sujet de leurs activités professionnelles. Selon certains, la loi du Québec considère que les renseignements relatifs au produit du travail occupent une situation intermédiaire entre les renseignements personnels et les renseignements non personnels. Si une personne formule une demande par écrit, la Commission d’accès à l’information peut l’autoriser à avoir accès à des renseignements personnels sur des professionnels au sujet de leurs activités professionnelles, sans que les professionnels concernés n’aient donné leur consentement, si les conditions suivantes sont réunies :
- une consultation a été préalablement tenue avec l’ordre professionnel concerné;
- la communication protège le respect du secret professionnel;
- les professionnels concernés sont avisés périodiquement des usages projetés et des fins recherchées;
- le professionnel a l’occasion de refuser;
- des mesures de sécurité assurent le caractère confidentiel des renseignements personnels.
Les autorisations doivent être révisées tous les ans et la liste des personnes autorisées est publiée.
Questions
- La notion de « Produit du travail » devrait-elle être définie dans la LPRPDE?
- Dans l’affirmative, comment la LPRPDE devrait-elle traiter du produit du travail?
Obligation d’aviser
Un grand nombre de vols d’identité pourraient être commises électroniquement si des organisations omettent d’assurer la sécurité adéquate des renseignements personnels qu’elles ont recueillis. Selon certains, les organisations victimes d’infractions à la sécurité (de « communications involontaires ») ou du vol qualifié de leurs fonds de renseignements personnels devraient être tenues de réduire les risques d’usurpation de l’identité des intéressés. Après une infraction à la sécurité, ce risque pourrait être réduit par l’envoi d’un avis aux personnes dont les renseignements sont en jeu, aux agences d’évaluation du crédit, aux organismes gouvernementaux appropriés (par exemple, à ceux qui gèrent des prestations telle l’aide sociale) et à d’autres entités commerciales, comme des banques.
À la fin de 2005, environ la moitié des États américains avaient adopté une loi qui exigeait que les clients soient avisés lorsque leurs renseignements personnels étaient compromis. Également, le gouvernement fédéral des États-Unis a présenté plusieurs projets de loi, mais aucun d’eux n’a encore été adopté à ce sujet. Habituellement, ces lois prévoient l’imposition d’amendes élevées à ceux qui omettent d’envoyer un avis. Par exemple, dans l’État de New York, la loi prévoit l’imposition de pénalités dont le montant peut s’élever à 150 000 $ à ceux qui se soustraient sciemment ou imprudemment aux exigences relatives aux déclarations.
Parmi les lois canadiennes sur la protection des données, la Loi sur la protection des renseignements personnels sur la santé de l’Ontario est la seule qui exige d’envoyer un avis après une infraction à la sécurité. Cette loi requiert que les dépositaires de l’information sur la santé avertissent les intéressés le plus tôt possible, lorsque les renseignements personnels sur leur santé sont volés ou perdus ou que des personnes non autorisées y ont eu accès.
Certains pourraient demander que la LPRPDE prévoit l’obligation d’aviser les personnes concernées par une infraction à la sécurité. De même, le paragraphe 7(3) de la LPRPDE, qui porte sur la communication à l’insu de l’intéressé et sans son consentement, pourrait être modifié pour qu’une organisation victime d’une infraction à la sécurité soit tenue d’aviser les agences d’évaluation du crédit et d’autres organisations ou organismes compétents de cette infraction. Après avoir été alertées, les agences d’évaluation du crédit pourraient verser une « alerte à la fraude » au dossier des personnes concernées. De plus, la LPRPDE pourrait être modifiée pour exiger que la commissaire à la protection de la vie privée soit avisée de l’infraction.
Certains pourraient soutenir qu’une disposition législative exigeant qu’une organisation avise les personnes de la perpétration d’infractions à la sécurité obligerait les organisations à prendre la sécurité plus au sérieux, pour éviter que leurs failles dans la sécurité soient rendues publiques. Une telle disposition pourrait également aider à réduire les vols d’identité et les autres utilisations frauduleuses de renseignements personnels. Par ailleurs, les opposants à l’obligation législative de communiquer les failles pourraient faire valoir que l’envoi d’avis coûterait cher aux organisations et que si les consommateurs recevaient trop d’avis, ils pourraient ne plus en tenir compte – particulièrement si l’envoi d’avis est obligatoire pour tout type d’infraction, plutôt qu’uniquement pour les infractions comportant un risque de fraude. Si des dispositions législatives sur l’obligation de communiquer les failles étaient adoptées, ces opposants demanderaient peut-être qu’elles soient assorties d’une évaluation du risque ou de la gravité du préjudice potentiel; pour éviter de banaliser l’effet des avis au fil du temps (des avis majeurs pourraient passer inaperçus parmi une foule d’autres qui ne sont peut-être pas nécessaires ou même pertinents). Par exemple, l’envoi d’un avis pourrait n’être requis que lorsque la perte ou le vol crée une probabilité raisonnable d’une utilisation des renseignements personnels au détriment de la personne concernée, ou lorsque la perte ou le vol porte sur un grand nombre de documents. De plus, certains pourraient faire valoir que l’envoi d’avis dans diverses situations devrait être assorti de conditions pour éviter de causer des préjudices additionnels aux personnes concernées. Ils soutiendront peut-être que pour que les dispositions législatives sur l’obligation de communiquer les failles soient vraiment efficaces, les organisations devraient prendre des mesures après l’envoi d’un avis pour minimiser le risque d’infraction à la sécurité.
Questions
- Les organisations qui perdent des renseignements personnels ou se les font voler devraient-elles être tenues de signaler la perte ou le vol? Dans l’affirmative, à quelles conditions et à qui devraient-elles le signaler?
- Si elles ont l’obligation de le signaler, quel type de mécanisme d’exécution devrait être mis en place, s’il en est, pour assurer que les organisations respectent cette obligation?
Circulation transfrontalière de renseignements personnels
Le milieu des affaires actuel favorise souvent l’impartition du traitement des données. Cette impartition entraîne dans certains cas la transmission de renseignements personnels à des organisations au Canada assujetties à la LPRPDE ou à des lois provinciales essentiellement similaires sur la protection des données. L’impartition peut également entraîner la transmission de renseignements personnels à l’extérieur du Canada; ce processus est appelé la circulation transfrontalière de renseignements personnels.
Dans le contexte actuel du commerce mondial où les gouvernements étrangers sont de plus en plus inquisiteurs, il est encore plus urgent de protéger les renseignements personnels qui circulent au-delà de nos frontières.
La LPRPDE énonce le principe de responsabilité qui attribue à une organisation la responsabilité des renseignements personnels transmis à une tierce partie aux fins de traitement. Aux termes de l’article 4.1.3 de l’annexe 1 de la LPRPDE, une organisation est tenue d’assurer un degré comparable de protection des renseignements qui sont en cours de traitement par une tierce partie, au moyen de dispositions contractuelles ou par tout autre moyen. Ce principe s’applique à toute transmission, peu importe que la compagnie réceptrice se trouve au Canada ou à l’étranger.
La préoccupation au sujet de la perte du contrôle sur les renseignements personnels de citoyens et résidents canadiens, lorsque ces renseignements sont envoyés à l’extérieur, a suscité un débat sur les diverses options visant à accroître le respect du principe de responsabilité. Au nombre des moyens pour protéger les renseignements personnels, il y a l’ajout, aux contrats intervenus entre une organisation canadienne assujettie à la LPRPDE et la compagnie réceptrice, de dispositions visant à :
- permettre à l’organisation de vérifier les pratiques en matière de gestion des renseignements de la compagnie réceptrice qui traite les données à l’étranger, notamment ses pratiques en matière de sécurité et sa procédure d’élimination des données, et la façon dont la compagnie réceptrice applique ces pratiques et cette procédure;
- exiger que la compagnie réceptrice donne aux personnes l’accès aux renseignements personnels les concernant;
- interdire à la compagnie réceptrice d’utiliser et de communiquer les renseignements obtenus, sauf suivant les lois du pays où la compagnie réceptrice est localisée;
- s’assurer que le contrat est exécuté dans une juridiction appropriée;
- demander l’arbitrage obligatoire selon les règles internationales sur l’arbitrage.
Questions
- Le principe de responsabilité actuellement défini dans la LPRPDE protège-t-il suffisamment les renseignements personnels lorsqu’ils circulent à l’étranger?
- Dans la négative, comment la LPRPDE pourrait-elle mieux protéger ces renseignements?
Communication de renseignements à d’autres autorités responsables de la protection des données
Généralement, la LPRPDE requiert que la commissaire respecte la confidentialité des renseignements obtenus dans l’exercice de ses fonctions. La commissaire peut rendre publiques les pratiques d’une organisation relatives aux renseignements, lorsqu’elle estime que c’est dans l’intérêt public. De même, elle peut communiquer des renseignements au cours d’une poursuite relative à certaines infractions ou lors d’une audience ou d’un appel devant la Cour fédérale.
L’article 23 de la LPRPDE permet à la commissaire de consulter toute personne ayant, au titre d’une loi provinciale essentiellement similaire à la LPRPDE, des attributions semblables aux siennes. La commissaire peut conclure des accords avec ses homologues des provinces qui ont adopté une loi essentiellement similaire pour coordonner les activités de leurs bureaux respectifs, notamment prévoir des mécanismes pour instruire les plaintes dans lesquelles ils ont un intérêt commun. En pratique, cela signifie, par exemple, que la commissaire peut communiquer des renseignements et collaborer à des enquêtes pour lesquelles elle a un intérêt commun avec ses homologues en Ontario (seulement avec les dépositaires de renseignements sur la santé de l’Ontario), en Alberta, en Colombie-Britannique et au Québec. Cependant, la commissaire ne possède pas de pouvoir particulier de communiquer des renseignements et de collaborer à des enquêtes avec d’autres provinces.
De plus, les plaintes n’ont pas toujours trait à des événements survenus à l’intérieur des frontières du Canada. Certains pourraient soutenir qu’en raison de l’importance croissante de la circulation transfrontalière des données (aux fins du traitement pour faciliter le commerce électronique, de l’application de la loi, à des fins de sécurité nationale, ou simplement dans le cadre d’activités courantes), il y a lieu de communiquer des renseignements et de collaborer à des enquêtes avec des organisations à l’extérieur du Canada. La LPRPDE accorde à la commissaire le pouvoir de communiquer des renseignements et de collaborer à des enquêtes avec certains homologues provinciaux, mais ne lui confère pas de pouvoir particulier pour le faire avec d’autres juridictions. Les Canadiennes et les Canadiens se sentiraient peut-être plus à l’aise à l’égard de la circulation transfrontalière des données, par exemple, si un mécanisme permettait à la commissaire de conclure des accords avec des organismes de surveillance d’autres juridictions pour faciliter l’échange de renseignements, ce qui pourrait résulter en une application plus efficace de la Loi. On pourrait également donner à la commissaire le pouvoir de collaborer à des enquêtes et à des vérifications dans des juridictions étrangères.
Questions
- La LPRPDE devrait-elle être modifiée de façon à permettre explicitement à la commissaire à la protection de la vie privée de communiquer des renseignements et de collaborer à des enquêtes avec des homologues d’autres pays et des homologues provinciaux dans les provinces qui n’ont pas adopté une loi « essentiellement similaire » à la loi fédérale?
- Y a-t-il d’autres organisations avec lesquelles la commissaire devrait être en mesure de communiquer des renseignements et collaborer?
4. Commentaires
Vous pouvez envoyer vos commentaires sur ce document de discussion et d’autres suggestions sur la réforme de la LPRPDE au Commissariat à la protection de la vie privée du Canada d’ici le 7 septembre 2006 :
Commissariat à la protection de la vie privée du Canada
Examen de la LPRPDE
112, rue Kent
Place de Ville
Tour B, 3e étage
Ottawa (Ontario)
K1A 1H3
Adresse électronique où envoyer vos commentaires : consultation@priv.gc.ca
Veuillez composer les numéros suivants pour demander des renseignements généraux :
Sans frais : 1 800 282-1376
Tél. : 613-947-1698
Téléc. : 613-947-6850
ATS : 613-992-9190
Nos heures de service sont de 9 h à 17 h.
Supports de substitution
- PDF (238 Ko) Accessibilité non vérifiée
- Date de modification :