Guide sur la Loi C-6

Avril 2004

Déjà dans son rapport annuel de 1992-1993, le commissaire à la protection de la vie privée demandait aux gouvernements de reconnaître que les droits à la vie privée s'appliquent aux secteurs tant public que privé. Faisant état de l'explosion de la technologie informatique, des nouveaux développements dans le domaine de la biotechnologie et les zones grises existant entre le secteur public (doté de lois protégeant la vie privée) et le secteur privé (qui n'en dispose pas), le commissaire a encouragé le gouvernement fédéral à faire preuve de leadership dans le domaine.

En 1995, le Comité consultatif sur l'autoroute de l'information du Canada a demandé l'adoption d'une loi fédérale souple sur la protection de la vie privée, qui reposerait sur le Code type sur la protection des renseignements personnels de l'Association canadienne de normalisation (CSA). À la suite de consultations publiques, le 1er octobre 1998, le gouvernement fédéral a déposé au Parlement le projet de loi C-54 intitulé Loi sur la protection des renseignements personnels et les documents électroniques.

La partie 1 de cette loi confère de nouvelles garanties juridiques aux Canadiens lorsque des renseignements personnels sur eux sont utilisés à des fins commerciales. La loi donne suite aux préoccupations grandissantes du public à l'égard de l'utilisation de renseignements personnels par le secteur privé et établit un nouveau cadre national de protection de la vie privée.

La partie 1 aidera aussi le Canada à respecter les nouvelles normes de protection des renseignements établies par l'Union européenne (UE), qui autrement pourrait empêcher les transferts de renseignements vers le Canada. Le Québec est actuellement la seule juridiction en Amérique du Nord à s'être dotée d'une loi sur la protection des renseignements personnels dans le secteur privé qui réponde aux exigences de l'UE.

Les parties 2 à 5 de la loi facilitent l'utilisation par le gouvernement fédéral de ses documents électroniques et établissent le fondement de la reconnaissance juridique des documents et des signatures électroniques. De plus, elles permettront de stimuler la croissance de l'inforoute et d'atteindre l'objectif du gouvernement de faire du Canada un chef de file dans le domaine du commerce électronique d'ici l'an 2000.

Entrée en vigueur et application de la partie

La partie 1 entre en vigueur en deux étapes. Dans l'année suivant la promulgation de la loi, cette partie s'appliquera aux sociétés assujetties à la réglementation fédérale, notamment les banques, les compagnies de téléphone, les entreprises de câblodistribution, les radiodiffuseurs et les compagnies de transport interprovincial; le commissaire fédéral à la protection de la vie privée sera responsable de la surveillance. La partie 1 visera aussi les sociétés d'état non assujetties actuellement à la Loi sur la protection des renseignements personnels et à toutes les lois futures du Parlement, à moins d'exemption.

Dans le cadre de cette première étape, la partie 1 visera en outre certaines transactions interprovinciales et internationales, en particulier les baux commerciaux, la vente ou l'échange de listes de clients ou d'autres renseignements personnels.

La deuxième étape commence quatre ans après l'adoption de la partie 1, qui s'étendra alors à tous les organismes assujetties à la législation provinciale, si celle-ci n'offre pas une protection équivalente. Le cas échéant, tout organisme ou activité relevant d'une loi provinciale sera exempté de l'application de la loi fédérale à l'échelle provinciale. La loi fédérale s'appliquera également à toutes les collectes, utilisations et communications de renseignements personnels à l'échelle provinciale et internationale.

Le gouvernement fédéral a déclaré que le Québec ne serait pas touché par la loi fédérale, étant donné que la loi québécoise de 1994 vise l'ensemble du secteur privé et qu'elle ressemble considérablement à la partie 1.

Le commissaire à la protection de la vie privée collaborera étroitement avec les gouvernements provinciaux et les autres parties intéressées à encourager l'élaboration de lois provinciales harmonisées.

La partie 1 renferme une disposition énonçant la primauté de la nouvelle loi sur toute autre loi fédérale ne stipulant pas le contraire.

Quels types de renseignements seront visés?

La partie 1 s'applique à tout renseignement personnel concernant un individu identifiable, recueilli sous quelque forme que ce soit en rapport avec toute activité régie par la loi, sous réserve d'exceptions. Les renseignements relatifs au nom, au titre et aux coordonnées des employés ainsi que les renseignements utilisés uniquement à des fins personnelles ou domestiques ne sont pas assujettis à la loi. Sont également exclues certaines catégories de renseignements réglementaires auquel le public a accès. De plus, la partie 1 ne s'applique pas aux renseignements recueillis ou utilisés à des fins journalistiques, artistiques ou littéraires.

Le Code de la CSA : la base de la protection

En vertu de la partie 1, les organisations doivent se conformer au Code de la CSA (dont les principes sont énoncés dans l'annexe 1 de la loi). Le Code, élaboré conjointement par les entreprises, les groupes de consommateurs et le gouvernement, et jugé juste et éclairé, reflète les intérêts légitimes des entreprises et des consommateurs. Le Parlement révisera la loi, y compris l'annexe 1, tous les cinq ans après l'entrée en vigueur de la partie 1.

Droits à la vie privée et obligations des entreprises

Le Code de la CSA établit une norme minimale relative à la protection des renseignements personnels, fondée sur des principes universellement reconnus dans ce domaine. Voici un aperçu des droits à la vie privée et des obligations des entreprises à cet égard en vertu du Code de la CSA et de la partie 1 de la loi. Pour plus de détails, il faut se reporter à la loi.

Responsabilité : Les organisations sont responsables de tous les renseignements personnels qu'elles ont sous leur garde et doivent nommer des personnes qui s'assureront du respect de la loi. Elles doivent aussi mettre en ouvre des politiques et des procédures, former le personnel dans le domaine de la protection des renseignements personnels, ainsi qu'informer le public.

Les organisations demeurent responsables des renseignements lorsqu'elles en confient le traitement à des tierces parties et doivent, par voie contractuelle ou autre, assurer un niveau de protection comparable.

Détermination des fins de la collecte des renseignements : Les organisations doivent documenter les fins auxquelles les renseignements personnels sont recueillis avant de pouvoir s'en servir, y compris l'utilisation de renseignements déjà recueillis pour une nouvelle fin. Idéalement, les fins doivent être précisées aux individus avant la collecte ou au moment de celle-ci, mais toujours avant l'utilisation des renseignements. Les fins doivent être ce qu'une personne raisonnable estimerait acceptables dans les circonstances.

Consentement : Sauf dans des circonstances limitées et définies, les personnes doivent être informées de toute collecte, utilisation ou communication de renseignements personnels qui les concernent et y consentir. Les organisations peuvent obtenir le consentement après avoir recueilli les renseignements, mais toujours avant de s'en servir. Elles doivent clairement énoncer les fins et faire un effort raisonnable pour s'assurer qu'elles ont été comprises. La nature et la forme du consentement doivent correspondre à la sensibilité des renseignements, aux circonstances et aux attentes raisonnables de la personne. Les organisations ne peuvent exiger d'une personne qu'elle consente à la collecte, à l'utilisation ou à la communication de renseignements autres que ceux qui sont nécessaires pour réaliser les fins indiquées.

Les personnes peuvent retirer leur consentement en tout temps, sous réserve de restrictions prévues par une loi ou un contrat et d'un préavis raisonnable. Les organisations doivent expliquer les conséquences d'un tel retrait.

Dans certains cas, les organisations peuvent recueillir, utiliser ou communiquer des renseignements personnels assujettis à la partie 1 à l'insu de l'intéressé et sans son consentement.

Un renseignement peut être recueilli sans le consentement de l'intéressé si cela est manifestement dans l'intérêt de celui-ci et que son consentement ne peut être obtenu en temps opportun, ainsi que dans des situations précises où l'obtention du consentement pourrait compromettre l'exactitude du renseignement ou l'accès à celui-ci.

Des renseignements déjà recueillis auprès d'une personne peuvent aussi servir à des fins particulières limitées à son insu et sans son consentement. Ces fins, qui incluent les enquêtes sur la violation d'un accord ou de lois, les situations d'urgence mettant en danger la vie par exemple, les recherches ou les études qui ne peuvent être réalisées sans utiliser les renseignements et où il est pratiquement impossible d'obtenir le consentement, ou lorsque les renseignements ont été recueillis sans le consentement comme il a été décrit ci-dessus.

Il existe aussi des circonstances semblables définies où l'organisation ne peut communiquer de renseignement personnel à une tierce partie à l'insu de l'intéressé et sans son consentement. Il s'agit d'une communication à une institution qui conserve des archives ou à d'autres institutions gouvernementales. Tout renseignement personnel peut être communiqué sans le consentement de l'intéressé si cela se produit cent ans après la collecte du renseignement ou vingt ans après le décès de l'intéressé visé par le renseignement.

Limites de la collecte : Les organisations ne peuvent recueillir que la quantité et le type de renseignements nécessaires aux fins déterminées et doivent procéder de façon honnête et licite.

Limites de l'utilisation, de la communication et de la conservation : Les renseignements personnels ne peuvent être utilisés ou communiqués qu'aux fins pour lesquelles ils ont été recueillis, à moins que la personne concernée n'y consente ou que la loi ne l'exige. Les renseignements personnels ne doivent être conservés qu'aussi longtemps que cela est nécessaire pour réaliser les fins déterminées.

Les organisations devraient élaborer des lignes directrices et mettre en place des procédures pour la conservation des renseignements personnels. Elles devraient détruire, effacer ou dépersonnaliser les renseignements personnels dont elles n'ont plus besoin aux fins déterminées. Des lignes directrices et des procédures officielles doivent régir cette destruction.

Exactitude : Les renseignements personnels utilisés par les organisations doivent être aussi complets, à jour et exacts que l'exigent les fins indiquées, en particulier lorsqu'ils servent à prendre une décision concernant une personne. Les renseignements fournis à des tiers devraient aussi être le plus exacts et le plus à jour possible; il faut préciser clairement les limites se rapportant à l'exactitude et s'assurer qu'elles sont comprises.

Les renseignements personnels ne doivent pas être systématiquement mis à jour, à moins que cela ne soit exigé dans les fins.

Mesures de sécurité : Les renseignements personnels doivent être protégés contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l'utilisation ou la modification non autorisées, au moyen de mesures de sécurité correspondant à leur degré de sensibilité. Au moment de la destruction de renseignements personnels, les organisations doivent veiller à empêcher que des personnes non autorisées n'y aient accès. De plus, elles doivent sensibiliser leurs employés à l'importance de protéger le caractère confidentiel de tous les renseignements personnels.

Transparence : Les organisations doivent fournir au public de l'information générale sur leurs politiques et pratiques concernant la protection des renseignements personnels, y compris le nom et la fonction de la personne responsable du respect de la partie 1, une description générale des genres de renseignements que l'organisation possède et de l'utilisation qu'elle en fait, et la définition de la nature des renseignements communiqués aux organisations connexes telles que les filiales.

Cette information doit être facile à obtenir et compréhensible. Une personne ayant une déficience sensorielle peut demander sur support de substitution de l'information générale ou des renseignements personnels la concernant, si cette information existe déjà sur un tel support ou si le coût de transfert est raisonnable et que la personne en a besoin pour exercer ses droits à la vie privée.

Accès aux renseignements personnels : Les personnes ont le droit d'examiner les renseignements personnels les concernant et d'en contester l'exactitude et l'intégrité. Les organisations doivent indiquer les renseignements personnels qu'elles possèdent, l'usage qu'elles en font et les tiers à qui ils ont été communiqués. Lorsqu'il leur est impossible de fournir une liste des organisations à qui elles ont effectivement communiqué des renseignements, elles doivent fournir une liste des organisations à qui elles pourraient les avoir transmis. Les organisations doivent corriger les renseignements inexacts ou incomplets et, s'il y a lieu, communiquer aux tiers l'information modifiée. Elles doivent noter toute contestation au sujet de modifications à apporter à un dossier et, le cas échéant, en communiquer les détails aux tierces parties concernées.

Sur demande, les organisations doivent aussi aider les personnes à présenter par écrit une demande d'accès. Les renseignements que fournit une personne pour permettre à une organisation de l'informer de l'utilisation qu'elle fait des renseignements recueillis ne doivent servir qu'à cette fin.

Les organisations doivent répondre aux demandes d'accès dans les 30 jours suivant leur réception, à moins d'avoir des motifs raisonnables de proroger le délai. Elles doivent informer les personnes concernées du délai et du droit de celles-ci de porter plainte auprès du commissaire. Faute de donner suite dans le délai prévu, elles sont réputées avoir refusé de répondre à la demande.

Les droits exigés pour avoir accès à des renseignements personnels doivent être directement liés aux frais de photocopie et être raisonnables. Ils peuvent être imposés seulement si une personne est informée à l'avance du montant approximatif et qu'elle a décidé d'aller de l'avant avec sa demande.

Lorsqu'elle refuse une demande d'accès, l'organisation doit expliquer par écrit ses motifs et les recours dont dispose l'intéressé. Elle doit conserver les renseignements personnels pouvant faire l'objet d'une demande d'accès le temps nécessaire pour permettre aux personnes visées d'épuiser tous les recours à leur disposition en vertu de la partie 1.

La partie 1 énonce aussi des cas particuliers et limités où une organisation peut refuser au demandeur l'accès à des renseignements personnels afin de protéger des renseignements utilisés dans une enquête ou une procédure judiciaire, ou encore les droits à la vie privée de tiers. L'organisation doit informer le commissaire de certains types de refus d'accès aux renseignements.

Plainte à l'égard du non-respect des principes

Les organisations doivent donner suite aux plaintes et aux demandes d'information concernant leurs pratiques de gestion des renseignements personnels et doivent permettre aux personnes de se plaindre du non-respect de la partie 1. Elles doivent mener enquête sur toutes les plaintes et prendre les mesures nécessaires pour remédier aux politiques et aux pratiques déficientes. Les personnes visées doivent être informées des modes de règlement des plaintes, y compris leur droit de s'adresser au commissaire à la protection de la vie privée.

Dépôt des plaintes auprès du commissaire

Les intéressés peuvent déposer par écrit une plainte auprès du commissaire lorsqu'ils n'ont pas été satisfaits de la façon dont ils ont été traités par une organisation ou s'ils estiment que leur plainte ne peut être réglée autrement. Les plaintes peuvent avoir trait à une violation perçue de la partie 1 de la loi ou d'une exigence ou d'une recommandation du Code de la CSA (annexe 1). Il n'y a pas de délai pour déposer une plainte, sauf si elle se rapporte au refus d'une organisation d'acquiescer à une demande d'accès à des renseignements personnels. Les intéressés doivent normalement déposer leur plainte dans les six mois suivant le refus.

Examen des plaintes

Toutes les plaintes écrites feront l'objet d'une enquête. De plus, si le commissaire a des motifs raisonnables de croire que toute autre question liée à la protection des renseignements personnels devrait être examinée, il peut entreprendre une enquête sans qu'il y ait plainte. Dans tous les cas, l'organisation recevra un avis.

Le commissaire a les pouvoirs d'obtenir et d'examiner tous les renseignements pertinents lorsqu'il mène une enquête. Son Commissariat veille à ce que l'information relative à une enquête demeure confidentielle. Le commissaire peut cependant communiquer des renseignements sur les pratiques de gestion des renseignements personnels d'une organisation si c'est dans l'intérêt public.

Le commissaire ou son délégué peut visiter tout local (autre que résidentiel) occupé par une organisation, à toute heure convenable, examiner et se faire remettre des documents pertinents et s'entretenir en privé avec toute personne sur des éléments utiles à l'enquête. Il peut imposer une amende à l'organisation si celle-ci détruit des renseignements faisant l'objet d'une plainte ou si elle entrave l'enquête.

Le pouvoir le plus important conféré au commissaire est celui de recourir à un mode de règlement des différends tel que la médiation et la conciliation pour régler la plainte. Ces modes mènent généralement au règlement beaucoup plus rapidement, à un coût moindre et de façon beaucoup plus positive que par tout autre moyen.

Dans l'année suivant la réception de la plainte ou le début de l'enquête, le commissaire fait parvenir aux parties intéressées un rapport écrit qui contient ses conclusions et recommandations et les résultats de tout règlement intervenu entre les parties. De plus, il y mentionne l'existence du recours à la disposition du plaignant. Le commissaire peut aussi demander aux organisations de fournir des détails dans un délai déterminé des mesures prises pour la mise en ouvre des recommandations du rapport ou des motifs invoqués pour ne pas proposer de mesures.

Aucun rapport d'enquête n'est exigé dans les cas suivants : les intéressés devraient recourir en premier lieu à d'autres modes de règlement; d'autres lois ou règlements permettraient d'en arriver à une solution plus appropriée; la plainte est futile ou entachée de mauvaise foi; le délai écoulé entre la date où est survenu l'objet de la plainte et le dépôt de celle-ci. S'il ne produit aucun rapport, le commissaire en informe les deux parties, motifs à l'appui.

Recours devant la Cour fédérale

Le commissaire n'a pas le pouvoir d'obliger les organisations à donner suite aux conclusions ni aux recommandations de son rapport. Dans les 45 jours suivant la réception du rapport, le plaignant ou le commissaire peut demander que la Cour fédérale entende toute question visée par une exigence particulière de la partie 1, y compris certaines exigences du Code de la CSA (mais non les recommandations).

Si un plaignant s'adresse à la Cour, le commissaire peut aussi demander à comparaître au nom du plaignant (avec le consentement de celui-ci) ou comme partie à la procédure.

La Cour peut ordonner à une organisation de revoir ses pratiques de façon à se conformer aux dispositions de la partie 1, notamment d'aviser le public de toute action proposée ou mesure prise pour corriger ses pratiques. Elle peut aussi accorder au plaignant des dommages-intérêts, entre autres en réparation de l'humiliation subie. Il n'existe aucune limite quant au montant des dommages-intérêts exemplaires pouvant être accordé. Lors de l'audition des plaintes, la Cour doit prendre des mesures pour empêcher la communication de renseignements que les organisations ont le droit de ne pas communiquer en vertu de la partie 1.

Vérifications

Le commissaire peut aussi procéder à la vérification des pratiques d'une organisation s'il a des motifs raisonnables de croire que celle-ci n'a pas respecté une obligation de la partie 1 ou qu'elle n'a pas mis en ouvre une recommandation du Code de la CSA. Ces recommandations représentent les meilleures pratiques qui, dans certains cas, peuvent constituer une norme minimale de protection des renseignements personnels selon la sensibilité de l'information, les attentes des personnes visées par les renseignements ou d'autres facteurs.

Aux fins de la vérification, le commissaire dispose des mêmes pouvoirs que lorsqu'il enquête sur une plainte. Tout comme dans les enquêtes, c'est une infraction que de détruire des renseignements personnels qui font l'objet d'une vérification ou de nuire, de toute autre façon, à la conduite de la vérification.

Une fois la vérification terminée, le commissaire fournira à l'organisation le rapport des conclusions et, s'il y a lieu, des recommandations. Il peut aussi rendre publiques les conclusions des vérifications dans un rapport annuel présenté au Parlement. Bien qu'il ne puisse obliger les organisations à donner suite aux recommandations résultant de la vérification, il peut demander une nouvelle enquête, ce qui entraîne une demande à la Cour fédérale.

Sensibilisation et consultations publiques

Pour sensibiliser le grand public aux questions de la protection de la vie privée et favoriser des normes uniformes dans le domaine de la protection des renseignements personnels, le commissaire peut : mettre en ouvre des programmes d'information; effectuer de la recherche en matière de protection de la vie privée; et encourager le secteur privé à élaborer et à mettre en ouvre des politiques et des codes de pratiques, fondés sur la partie 1 et le Code de la CSA.

Le commissaire a aussi le pouvoir de consulter les commissaires provinciaux à la protection de la vie privée ou autres parties et de conclure des accords afin de coordonner, s'il y a lieu, l'activité liée à l'instruction des plaintes. Il peut aussi signer des ententes avec les provinces afin de faire des recherches liées à la protection de la vie privée et d'en publier les résultats, ainsi que d'élaborer des contrats types portant sur la protection des renseignements personnels d'une province à l'autre ou d'un pays à l'autre. Ces contrats peuvent contribuer grandement à l'uniformisation des normes dans ce domaine et au respect des exigences internationales liées à la protection de la vie privée.

Le commissaire doit aussi déposer devant le Parlement un rapport annuel sur toutes les activités relatives à la partie 1, y compris la situation concernant la législation provinciale sur la protection de la vie privée et d'autres sujets concernant la protection des renseignements personnels sur la scène interprovinciale et internationale.

Protection du dénonciateur

La partie 1 protège les employeurs ou d'autres personnes contre des récriminations pour avoir agi de bonne foi et en se fondant sur des motifs raisonnables afin de faire observer les dispositions de la partie 1 ou pour avoir informé le commissaire des infractions perçues. Ces personnes peuvent demander que leur identité soit gardée confidentielle lorsqu'elles s'adressent au commissaire. Ce dernier est obligé d'assurer l'anonymat en toutes circonstances.

Les employeurs ne peuvent sévir d'aucune façon contre un employé ou un travailleur autonome qui, selon eux, a informé, en se fondant sur des motifs raisonnables, le commissaire au sujet d'une infraction réelle ou possible de la partie 1, a accompli un acte pour empêcher ce qu'il perçoit comme une contravention, fait part de son intention d'agir ainsi ou a refusé ou fait part de son intention de refuser d'exécuter des tâches qui constitueraient une contravention à la loi.

Date de modification :