Application des alinéas 7(3)d.1) et 7(3)d.2) de la LPRPDE

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), la loi fédérale relative à la protection des renseignements personnels dans le secteur privé, a été modifiée en 2015.

Parmi les modifications figure le régime antérieur de la LPRPDE applicable aux organismes d’enquête, qui autorisait la communication de renseignements sans consentement à un organisme d’enquête désigné. Ce régime a été abrogé. Il a été remplacé par les alinéas 7(3)d.1) et 7(3)d.2), qui autorisent, dans certaines circonstances, l’organisation à communiquer des renseignements personnels à une autre organisation à l’insu de l’intéressé ou sans son consentement.

Les nouvelles modifications ont entraîné des changements dans la reddition des comptes, la transparence et les motifs pour des communications sans consentement. Compte tenu de la nature invisible de ces communications, et du fait qu’il n’existe plus de liste publique d’organismes d’enquête désignés, le Commissariat à la protection de la vie privée du Canada (Commissariat) donne des orientations au sujet de ces dispositions pour rappeler aux organisations que ces exceptions, bien qu’elles soient autorisées dans certaines circonstances, ne permettent pas de communiquer des renseignements personnels de façon arbitraire.

Les alinéas 7(3)d.1) et 7(3)d.2) :

  • Ne doivent pas être appliqués d’une manière excessivement large.
  • N’autorisent pas une communication à grande échelle et un échange informel de renseignements personnels.
  • Sont appliqués uniquement à des fins précises, dans des circonstances déterminées et dans des conditions particulières données.

Pour surveiller l’application de ces dispositions, le Commissariat s’attend à ce qui suit de la part des organisations :

  • Faire preuve de diligence raisonnable et de discernement lorsqu’elles se prévalent de ces exceptions.
  • Examiner minutieusement chaque exigence qui est expressément énoncée dans les dispositions.
  • Veiller à ce que les restrictions énoncées dans ces dispositions soient respectées.

Les alinéas 7(3)d.1) et 7(3)d.2)

7(3) […] l’organisation ne peut communiquer de renseignement personnel à l’insu de l’intéressé ou sans son consentement que dans les cas suivants : 

  • d.1) elle est faite à une autre organisation et est raisonnable en vue d’une enquête sur la violation d’un accord ou sur la contravention au droit fédéral ou provincial qui a été commise ou est en train ou sur le point de l’être, s’il est raisonnable de s’attendre à ce que la communication effectuée au su ou avec le consentement de l’intéressé compromettrait l’enquête;
  • d.2) elle est faite à une autre organisation et est raisonnable en vue de la détection d’une fraude ou de sa suppression ou en vue de la prévention d’une fraude dont la commission est vraisemblable, s’il est raisonnable de s’attendre à ce que la communication effectuée au su ou avec le consentement de l’intéressé compromettrait la capacité de prévenir la fraude, de la détecter ou d’y mettre fin;

A : Exigences prévues aux alinéas 7(3)d.1) et 7(3)d.2)

Les communications exigent un examen approfondi et une reddition des comptes

  • Avant d’effectuer une communication au titre de l’alinéa 7(3)d.1) ou (3)d.2) :
    • Les organisations doivent veiller à ce que les exigences précises énoncées à la disposition pertinente ont été respectées et elles doivent consigner leur justification avant d’effectuer une communication.
    • En outre, lorsque des demandes de communication de renseignements personnels sont reçues, les affirmations des organisations qui présentent la demande ne doivent pas être prises « à la lettreNote de bas de page 1 ». L’organisation qui reçoit de telles demandes doit prendre certaines mesures, telles que le fait de demander et de consigner la justification et le caractère de bonne foi d’une demande reçue de la part d’une organisation.

Les communications ne peuvent être faites qu’à « une autre organisation »

  • Les communications au titre des alinéas 7(3)d.1) et d.2) ne peuvent être faites qu’à d’autres organisations.
  • Elles ne constituent pas des exceptions larges qui autorisent la communication sans consentement à d’autres parties, telles que les organismes d’application de la loi ou des membres de la famille du client.

Les communications doivent être « raisonnables en vue de »

  • Les alinéas 7(3)d.1) et d.2) exigent que la communication soit « raisonnable en vue de » l’application d’une mesure prévue à chaque disposition.
    • Selon l’alinéa 7(3)d.1), la communication doit être « raisonnable en vue d’une enquête sur la violation d’un accord ou sur la contravention au droit fédéral ou provincial qui a été commise ou est en train ou sur le point de l’être ».
      • Les organisations doivent veiller à ce que l’enquête dont il est question à l’alinéa 7(3)d.1) se rapporte à une violation précise d’un accord ou à une contravention au droit fédéral ou provincial qui « a été commise ou est en train ou sur le point de l’être ».
      • En d’autres termes, l’organisation qui fait la communication doit être convaincue que la violation d’un accord ou la contravention à un droit a été déjà commise, est en train de se commettre ou est sur le point de l’être.
      • Le terme « enquête » peut être défini comme étant une recherche officielle ou systématique effectuée pour découvrir et examiner les faits relatifs à un événement dans le but d’établir la véritéNote de bas de page 2. Il ne s’agit pas d’une recherche à l’aveuglette.
      • Les organisations doivent veiller à ce que les communications de renseignements personnels soient raisonnablement liées et proportionnelles à un but précis et qu’elles n’aillent pas au-delà de leur portée même.
      • Une enquête pourrait notamment être effectuée, par exemple, par un organisme de réglementation de la profession au sujet d’un manquement professionnel, ou par une banque au sujet d’opérations frauduleuses relatives au crédit hypothécaire.
      • La « violation d’un accord » consiste généralement en une violation, ou inobservation, des conditions d’un accord obligatoire. Il s’agirait, par exemple, de la violation d’un bail ou d’un contrat de travailNote de bas de page 3.
      • La « contravention au droit fédéral ou provincial » s’entend d’une contravention au droit canadien. Elle ne vise pas les contraventions aux lois étrangères.
    • Selon l’alinéa 7(3)d.2), la communication doit être « raisonnable en vue de la détection d’une fraude ou de sa suppression ou en vue de la prévention d’une fraude dont la commission est vraisemblable ». Alors que l’alinéa 7(3)d.1) porte sur une violation spécifique réelle d’un droit ou d’un accord, l’alinéa 7(3)d.2) n’est pas aussi précis. Toutefois :
      • Les organisations doivent veiller à ce que les communications ne soient faites qu’en vue de la « détection d’une fraude ou de sa suppression ou en vue de la prévention d’une fraude dont la commission est vraisemblable ».
      • La prévention d’une fraude dont la commission est vraisemblable signifie que le risque de fraude doit être probable et non simplement possible.
      • Là encore, les organisations doivent veiller à ce que les communications de renseignements personnels en vue de la détection, de la suppression ou de la prévention d’une fraude soient raisonnablement liées et proportionnelles à un but précis et qu’elles n’aillent pas au-delà de leur portée même.

Il doit être raisonnable de s’attendre à ce que la communication effectuée au su ou avec le consentement de l’intéressé compromettrait l’activité en question

  • Pour permettre d’atténuer le risque d’une communication excessive, les organisations qui invoquent l’alinéa 7(3)d.1) ou 7(3)d.2) doivent également déterminer s’il serait raisonnable de s’attendre à ce que le fait d’informer l’intéressé au sujet de la communication ou de lui demander le consentement à la communication compromettrait l’activité en question.
    • Avant de communiquer des renseignements personnels au titre de l’alinéa 7(3)d.1), une organisation doit envisager et avoir une attente raisonnable selon laquelle la communication effectuée au su ou avec le consentement de l’intéressé compromettrait l’enquête.
    • Avant de communiquer des renseignements personnels au titre de l’alinéa 7(3)d.2), une organisation doit envisager et avoir une attente raisonnable selon laquelle la connaissance ou le consentement de l’intéressé compromettrait la capacité de prévenir la fraude, de la détecter ou d’y mettre fin.

B : Autres facteurs pertinents à prendre en compte

Faire preuve de diligence raisonnable

  • Une organisation doit consigner, et être capable de démontrer, au cas par cas, les raisons pour lesquelles elle a déterminé que chaque communication répondait à toutes les exigences énoncées à l’alinéa 7(3)d.1) ou 7(3)d.2).
  • Par exemple, les organisations doivent être capables de démontrer, si elles sont appelées à le faire, comment chaque communication est raisonnable pour les raisons énoncées et pourquoi il est raisonnable de s’attendre à ce que la communication effectuée au su ou avec le consentement de la personne concernée compromettrait l’enquête ou la capacité de prévenir la fraude, de la détecter ou d’y mettre fin.

Assurer la reddition des comptes et la transparence

  • Une organisation doit élaborer des politiques et des procédures énonçant la manière dont elle demande ces communications et/ou y répond.
  • Les organisations doivent être transparentes au sujet de leurs politiques et pratiques, et rendre celles-ci accessibles aux personnes.
  • En outre, toutes les politiques et procédures connexes doivent être accompagnées d’une formation à jour pour les employés, sur une base régulière.

Déterminer les procédures de traitement des demandes d’accès présentées par des personnes

  • Les personnes ont généralement le droit d’avoir accès à leurs renseignements personnels, y compris celui d’obtenir un compte rendu au sujet de tiers auxquels leurs renseignements personnels ont été communiqués. Les organisations doivent donner accès aux renseignements personnels sur demande, à moins que la demande ne soit visée par une exception prévue à la LPRPDE.

Tenir compte de toutes les autres exigences de la LPRPDE

  • Bien que la communication de renseignements puisse se faire dans des circonstances précises sans consentement, une organisation est toujours tenue de respecter les autres obligations que lui impose la LPRPDE, notamment le fait de limiter la communication de renseignements personnels, de les protéger et de veiller à ce que toute communication de ces renseignements ne soit effectuée qu’à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances.

C : Examiner d’autres moyens d’améliorer la transparence et la confiance du consommateur

  • Les organisations pourraient en outre envisager de publier des rapports sur le nombre et le genre de communications effectuées sur une base annuelle ou semestrielle, en utilisant des données agrégées ou anonymisées.
  • Les organisations pourraient également envisager de rendre accessibles un résumé de leurs cadres et pratiques d’échange de renseignements au titre des alinéas 7(3)d.1) et 7(3)d.2).
  • Grâce à ces mesures supplémentaires, les organisations peuvent susciter davantage la confiance des personnes en faisant preuve de responsabilisation pour ce qui est des communications, et en rendant plus perceptible ce qui passerait par ailleurs inaperçu pour la population canadienne.
Date de modification :