Sauter la navigation

Section IX : Protection de la vie privée

Faire affaire au Canada

Le Canada a adopté des lois fédérales exhaustives sur la protection de la vie privée, qui s’appliquent au secteur privé. Certaines provinces ont également promulgué des lois détaillées sur la protection de la vie privée visant le secteur privé.

La Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE ») fédérale s’applique généralement à toute collecte, utilisation ou communication de renseignements personnels par des organisations dans le cadre d’activités commerciales. Le terme « renseignement personnel » est défini de façon générale dans la LPRPDE et comprend tout « renseignement concernant un individu identifiable », qu’il soit accessible au public ou non, sous réserve d’exceptions limitées.

Toute organisation assujettie à la LPRPDE doit se conformer à une série d’obligations lorsqu’elle recueille, utilise, communique ou traite par ailleurs des renseignements personnels. Ces obligations se résument en 10 principes :

  1. Responsabilité : une organisation doit charger une ou plusieurs personnes de s’assurer du respect et de l’élaboration et la mise en œuvre par l’entreprise des politiques et des pratiques en matière de renseignements personnels. Elle assume la responsabilité des renseignements confiés à un tiers fournisseur de services (y compris les sociétés affiliées) à des fins de traitement pour son compte. Elle doit également, par voie contractuelle ou autre, protéger les renseignements qui sont en cours de traitement par une tierce partie.

  2. Détermination des fins de la collecte de renseignements : une organisation doit préciser les fins de la collecte de renseignements personnels avant celle‑ci ou au moment où elle a lieu.

  3. Consentement : la connaissance et le consentement de la personne visée par la collecte, l’utilisation ou la communication des renseignements personnels la concernant sont nécessaires, sous réserve d’exceptions limitées prévues par la loi. Le consentement ne peut être une condition de fourniture d’un produit ou d’un service que si l’utilisation des renseignements personnels est nécessaire pour réaliser des fins légitimes et explicitement indiquées. Une personne peut retirer son consentement en tout temps, sous réserve des restrictions prévues par une loi ou un contrat.

  4. Limitation des collectes : une organisation ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées et doit procéder de façon honnête et licite. Les renseignements personnels ne doivent pas être obtenus de façon arbitraire.

  5. Limitation de l’utilisation, de la communication et de la conservation : les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée n’y consente ou que la loi ne l’autorise. Les renseignements personnels ne doivent être conservés qu’aussi longtemps qu’il est nécessaire de le faire pour la réalisation des fins déterminées.

  6. Exactitude : les renseignements personnels doivent être aussi exacts, complets et à jour que l’exigent les fins auxquelles ils sont destinés.

  7. Mesures de sécurité : une organisation doit utiliser les mesures de sécurité appropriées pour protéger les renseignements personnels contre la perte ou le vol, ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées. Elle doit également sensibiliser son personnel aux mesures de sécurité et à la protection des renseignements personnels, entre autres.

  8. Transparence : les politiques et pratiques concernant la gestion des renseignements personnels d’une organisation doivent être transparentes, compréhensibles et facilement accessibles.

  9. Accès aux renseignements personnels : une organisation doit permettre à toute personne qui en fait la demande de consulter les renseignements personnels à son sujet, sous réserve des restrictions prévues par la loi. Lorsque les circonstances le permettent, une personne doit pouvoir corriger les renseignements personnels la concernant.

  10. Possibilité de porter plainte contre le non-respect des principes : une organisation doit établir des procédures relatives aux plaintes facilement accessibles et simples à utiliser.

En plus des principes qui précèdent, la conformité à la LPRPDE est assujettie à une norme prépondérante de décision raisonnable selon laquelle une organisation peut recueillir, utiliser et communiquer des renseignements personnels la concernant à des fins qu’une « personne raisonnable estimerait acceptables dans les circonstances. » Cette exigence s’applique même si la personne a consenti à la collecte, à l’utilisation ou à la communication de ses renseignements personnels.

Dans le contexte de renseignements personnels concernant les employés d’une organisation, selon les limites constitutionnelles mises en place par les lois fédérales, la LPRPDE s’applique uniquement aux renseignements liés à l’emploi d’une personne travaillant pour une organisation sous réglementation fédérale, notamment une banque, une entreprise de transport aérien et de télécommunications. Cependant, dans les provinces ayant adopté une loi sur la protection de la vie privée, cette loi s’applique aux renseignements concernant les employés d’autres secteurs.

Le Québec a adopté la Loi sur la protection des renseignements personnels dans le secteur privé (la « LPRPSP ») qui, en principe, ressemble à la LPRPDE, mais qui présente d’importantes différences dans ses détails et qui comporte des exigences plus lourdes en matière de conformité, comme l’obligation de réaliser des évaluations des facteurs relatifs à la vie privée et des obligations en matière de protection de la vie privée par défaut. La LPRPSP s’applique à tout organisme du secteur privé exerçant des activités au Québec quant à la collecte, à l’utilisation et à la communication de renseignements personnels (non seulement dans le cadre d’activités commerciales) et aux renseignements sur un employé. Elle prévoit l’imposition de sanctions administratives pécuniaires pour certaines infractions. La sanction maximale d’une société est de 10 M$ CA ou de 2 % du chiffre d’affaires mondial de l’exercice financier précédent, selon le plus élevé de ces montants.

L’Alberta et la Colombie-Britannique ont également mis en place une loi exhaustive sur la protection des renseignements personnels dans le secteur privé (dans les deux cas, la Personal Information Protection Act ou PIPA) qui s’applique de façon générale, notamment aux renseignements personnels visant des employés. L’Alberta, la Saskatchewan, le Manitoba, le Québec, l’Ontario, la Nouvelle Écosse, le Nouveau Brunswick, l’Île-du-Prince-Édouard, Terre Neuve-et-Labrador, le Yukon et les Territoires du Nord-Ouest ont en place une loi qui vise spécifiquement la collecte, l’utilisation et la communication de renseignements personnels en matière de santé d’une personne.

La LPRPDE permet au Cabinet fédéral d’exempter par décret une organisation ou catégorie d’organisations, ou une activité ou catégorie d’activités, de l’application de cette loi si la collecte, l’utilisation ou la communication de renseignements personnels a lieu dans une province où la loi en vigueur est essentiellement similaire à la LPRPDE, comme c’est le cas au Québec, avec sa LPRPSP, de même qu’en Alberta et en Colombie-Britannique, avec leur PIPA. De plus, en Ontario, au Nouveau Brunswick, en Nouvelle-Écosse ainsi qu’à Terre Neuve-et-Labrador, la loi régissant la collecte, l’utilisation et la communication de renseignements personnels en matière de santé par certaines personnes ou entités désignées (par exemple les médecins, les infirmières, les hôpitaux) a été reconnue comme essentiellement similaire à la LPRPDE. C’est pourquoi ces personnes ou entités sont exemptées de la LPRPDE en ce qui a trait aux activités couvertes par la loi provinciale. Étant donné que de nombreuses organisations exercent des activités dans ou entre plus d’une province, elles doivent souvent composer avec un amalgame de lois fédérales et provinciales sur la protection de la vie privée.

En vertu de la LPRPDE, les organisations sont tenues d’aviser le Commissariat à la protection de la vie privée du Canada (« CPVP ») ainsi que les particuliers concernés de toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels lorsqu’il est raisonnable de croire que l’atteinte présente un risque réel de préjudice grave à l’endroit d’un particulier. D’autres organisations et institutions gouvernementales doivent également être informées, le cas échéant, afin de réduire ou d’atténuer le risque de préjudice. Par ailleurs, les organisations doivent tenir des registres de toutes les atteintes aux mesures de sécurité, y compris celles qui ne répondent pas au critère de notification, et, sur demande du CPVP, lui en remettre des copies.

La PIPA de l’Alberta et la LPRPSP du Québec contiennent également des exigences de notification obligatoire en cas d’atteinte à la sécurité des données. Une organisation assujettie à la PIPA de l’Alberta doit informer le Commissaire à l’information et à la protection de la vie privée de l’Alberta (Alberta’s Information and Privacy Commissioner) sans délai de toute perte ou communication de renseignements personnels ou de tout accès non autorisé à ceux ci, s’il est raisonnable de considérer que cela risque réellement de causer un grave préjudice à un particulier. Le commissaire peut obliger l’organisation à aviser le particulier de la perte, de la communication ou de l’accès. Une organisation doit également être en mesure d’aviser de son propre chef le particulier visé. Les organisations assujetties à la LPRPSP doivent aviser la Commission d’accès à l’information du Québec ainsi que les personnes concernées de tout « incident de confidentialité » touchant un renseignement personnel qui présente un risque de préjudice sérieux. Les organisations assujetties à la LPRPSP doivent également tenir un registre de tous les incidents de confidentialité, y compris ceux qui ne répondent pas au critère de notification, et le transmettre à la Commission d’accès à l’information du Québec sur demande.

En outre, les lois sur la protection des renseignements personnels sur la santé de l’Alberta, de l’Ontario, du Québec, de Terre-Neuve-et-Labrador, de la Nouvelle-Écosse, du territoire du Yukon, des Territoires du Nord Ouest, de l’Île-du-Prince-Édouard et du Nouveau-Brunswick comportent aussi une exigence de notification obligatoire en cas d’atteinte à la sécurité des données.

Au Canada, une attention considérable a été portée au transfert et à l’impartition de la gestion de renseignements personnels canadiens à l’étranger. La LPRPDE et les lois provinciales analogues n’interdisent pas le transfert de renseignements personnels à l’extérieur du Canada. Cependant, les organismes de réglementation de la protection de la vie privée se prévalent du principe de transparence de la LPRPDE pour exiger qu’un avis de transfert soit remis aux personnes touchées par le transfert.

De plus, la PIPA de l’Alberta exige d’une organisation qui utilise les services d’un fournisseur étranger pour recueillir, utiliser ou communiquer des renseignements personnels, qu’elle informe les particuliers de la façon dont ils peuvent se renseigner sur les politiques et pratiques de l’organisation relativement à l’utilisation des services d’un fournisseur étranger, notamment qu’elle leur fournisse le nom, le poste ou le titre d’une personne capable de répondre aux questions au nom de l’organisation.

L’organisation doit également inclure, dans sa politique concernant la gestion des renseignements personnels ou dans un document distinct, les pays autres que le Canada dans lesquels la collecte, l’utilisation ou la divulgation de renseignements personnels peut survenir, de même que les fins pour lesquelles le fournisseur de services à l’étranger a été autorisé à faire la collecte, à utiliser ou à divulguer des renseignements personnels au nom de l’organisation.

Aux termes de la LPRPSP du Québec, une organisation ne peut communiquer de renseignements personnels à l’extérieur du Québec à moins d’avoir procédé préalablement à une évaluation des facteurs relatifs à la vie privée, laquelle évaluation doit tenir compte de la sensibilité du renseignement, de la finalité de l’utilisation de ce dernier, des mesures de protection dont le renseignement bénéficierait, ainsi que le régime juridique applicable dans l’État où ce renseignement serait communiqué. La communication du renseignement peut s’effectuer si l’évaluation démontre que le renseignement bénéficierait d’une protection adéquate, notamment au regard des principes de protection des renseignements personnels généralement reconnus. Elle doit faire l’objet d’une entente écrite qui tient compte notamment des résultats de l’évaluation et, le cas échéant, des modalités convenues dans le but d’atténuer les risques identifiés dans le cadre de cette évaluation. Cette exigence s’applique également dans les cas où une organisation partage des renseignements personnels avec un fournisseur de services tiers.

Des règles légèrement différentes s’appliquent aux renseignements personnels recueillis par les organisations fédérales, provinciales ou municipales du secteur public. Ces renseignements sont visés par des lois fédérales, provinciales et municipales qui limitent leur utilisation et leur communication à des fins liées à un objet public valide. En Nouvelle-Écosse, la Personal Information International Disclosure Protection Act interdit le stockage et la consultation de renseignements personnels à partir d’endroits situés à l’extérieur du Canada, à moins d’avoir obtenu le consentement du particulier concerné ou qu’une autre exemption ne l’autorise. Cette restriction s’applique aux organisations du secteur public et à leurs fournisseurs de services. Ainsi, les organisations du secteur privé qui fournissent des services à des agences gouvernementales ou à d’autres organisations du secteur public en Nouvelle-Écosse seront directement assujetties aux restrictions sur la conservation à l’étranger de renseignements personnels recueillis par une organisation du secteur public ainsi qu’aux restrictions quant à l’accès à ces renseignements.

En outre, la communication de renseignements personnels aux termes d’exigences juridiques d’un pays étranger (par exemple les ordonnances d’un tribunal, les avis de communication en vertu de la USA PATRIOT Act) constitue une infraction aux termes des lois sur la protection des renseignements personnels dans le secteur public de la Colombie-Britannique, de la Nouvelle-Écosse et de l’Alberta. Une organisation qui fournit des services contractuels à un organisme public fédéral doit connaître les lignes directrices du gouvernement fédéral en matière de contrats qui s’appliquent aux risques liés à la protection de la vie privée lors de contrats avec des fournisseurs de services établis à l’étranger ou des fournisseurs de services étrangers affiliés.