Un apercu de la nouvelle loi canadienne sur la protection des renseignements personnels dans le secteur privé
Loi sur la protection des renseignements personnels et les documents électroniques
Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada
Introduction
Bonjour,
Je m'appelle Jennifer Stoddart. Je suis commissaire à la protection de la vie privée du Canada depuis décembre 2003. Une de mes responsabilités principales est de surveiller l'application de la nouvelle loi canadienne sur la protection des renseignements personnels dans le secteur privé, la Loi sur la protection des renseignements personnels et les documents électroniques. Notre rôle est de voir à ce que la loi soit respectée et de voir à ce que les gens lésés dans leurs droits selon la loi obtiennent réparation.
La loi impose des règles aux entreprises commerciales qui gèrent des renseignements personnels. Elle vise à assurer un équilibre entre le droit des gens à la protection de leurs renseignements personnels et les besoins légitimes de collecte de renseignements dans ces organisations.
J'aimerais, dans cet exposé, aider les organisations à comprendre leurs responsabilités en vertu de la loi. J'expliquerai comment et pourquoi elle a été créée et à quelles organisations elle s'applique. Je parlerai du rôle de notre bureau dans son application et, enfin, des avantages de cette loi tant pour les entreprises que pour les consommateurs.
Qu'est-ce que la protection de la vie privée ?
Avant de vous l'expliquer en détail, je dois préciser ce qu'est la protection de la vie privée et montrer à quel point c'est important dans notre société. La protection de la vie privée constitue un droit fondamental, essentiel, dans une société démocratique. Pour certains, le droit à la protection de la vie privée signifie le droit de ne pas être dérangé dans « sa » vie privée. Pour d'autres, c'est le droit qu'a chacun d'entre nous d'être maître de sa propre personne et des renseignements sur sa vie privée.
Essentiellement, les gens qui réclament la protection de leur vie privée demandent que personne ne se mêle de leurs affaires personnelles. Mais les choses ne sont pas si simples. Il est impossible de vivre dans notre société moderne sans communiquer des renseignements personnels. Mais il faut pouvoir limiter ces intrusions. L'ingérence de la société dans notre sphère personnelle peut prendre bien des formes. Comme nous vivons à une époque où la technologie permet une surveillance de pratiquement toutes nos activités, il est essentiel d'établir des règles pour tracer la limite.
Ce qui menace sérieusement votre vie privée aussi, c'est la collecte, l'utilisation et la communication des renseignements à votre sujet sans votre autorisation. Combien d'entre nous, par exemple, serions disposés à voir notre dossier médical transmis à tous ceux qui veulent le consulter ? Qui d'entre nous voudrait voir ses états financiers, ou sa vie intime, étalés au grand jour ?
Nous avons établi plusieurs dispositions législatives au Canada, y compris la loi dont il est question ici, pour empêcher justement de telles ingérences. Cette loi vise avant tout à aider les Canadiens et les Canadiennes à exercer leur droit à la protection de leurs renseignements personnels — c'est-à-dire à leur permettre de rester maîtres des données personnelles les concernant auxquelles les organisations commerciales ont accès.
Les renseignements personnels étaient protégés dans la passé presque par « défaut » pour utiliser le terme informatique. L'information était stockée dans des classeurs qui n'étaient pas facilement accessibles. L'évolution technologique a cependant eu raison de cette « protection naturelle » . Là où il fallait des semaines ou des mois pour retracer un renseignement, l'informatique permet d'effectuer le même parcours en quelques minutes à peine. Et l'information si facilement accessible peut être diffusée en un tournemain. D'autre part, les couplages de renseignements divers permettent d'établir un tableau assez complet des données personnelles de chacun d'entre nous. Voilà pourquoi il est si important de réglementer la collecte, l'utilisation et la communication des renseignements personnels.
Comment est née la Loi sur la protection des renseignements personnels et les documents électroniques
La loi a été inspirée par un grand mouvement international visant à permettre aux personnes de mieux contrôler les renseignements personnels qui sont entre les mains des entreprises commerciales. Depuis les années 1970, plusieurs pays de l'Union européenne ont adopté des lois régissant la collecte, l'utilisation et la communication des renseignements personnels sur leurs citoyens. Des organisations internationales telles que les Nations unies, l'Organisation de coopération et
de développement économiques et le Conseil de l'Europe ont également établi des accords internationaux touchant la protection des renseignements personnels aux mains du secteur privé.
En Europe, la Directive sur la protection des données de l'Union européenne exige que les pays membres de l'Union limitent la communication de renseignements touchant des citoyens des pays de l'Union à des entreprises d'autres pays. De façon générale, la Directive stipule que les pays de l'Union doivent refuser d'autoriser le transfert de données personnelles à des pays à l'extérieur de l'Union, à moins que ces pays ne protègent adéquatement ces renseignements.
C'est là une des raisons pour lesquelles la loi a été adoptée — pour assurer l'Union européenne du sérieux du Canada en matière de protection des données personnelles en provenance de l'Europe détenues par des entreprises canadiennes. Si le Canada n'était pas en mesure de fournir une telle assurance, les entreprises de l'Union européenne seraient très réticentes à communiquer des données personnelles à des organisations canadiennes. Et cela ferait beaucoup de tort aux organisations canadiennes. Heureusement, la Commission européenne a déterminé en 2001 que la loi canadienne offrait un niveau de protection satisfaisant des renseignements personnels. Par conséquent, les pays et les entreprises de l'Union peuvent communiquer en toute liberté des renseignements personnels à des organisations canadiennes soumises à la loi fédérale pour le secteur privé, ou à toute autre disposition législative canadienne comme la Loi sur la protection des renseignements personnels sur le plan fédéral. Cette protection comprend aussi diverses lois touchant le secteur public ou certaines dispositions sur le secteur privé, à l'échelle provinciale.
La loi renferme aussi des avantages pour les organisations et les consommateurs sur un autre plan. Des règles claires pour la protection du traitement des renseignements personnels favorisent une meilleure confiance des consommateurs à l'égard du commerce électronique, un domaine en croissance continuelle au Canada. Par exemple, les clients des banques veulent s'assurer que leurs renseignements personnels seront protégés s'ils font des transactions par Internet. La loi permettra donc au nouveau marché virtuel de se gagner la confiance des consommateurs, s'ils savent que leurs renseignements personnels seront traités sur Internet avec tous les mécanismes de protection voulus.
La loi sert un troisième objectif — ce qui complète le cercle des dispositifs de protection des renseignements personnels au Canada. Avant l'adoption de cette loi, les renseignements personnels que détenaient les administrations publiques étaient protégés, et il existait quelques mécanismes limités de protection des renseignements dans le secteur privé. Mais, sauf au Québec, il n'y a aucune protection générale prévue pour des renseignements personnels obtenus par les entreprises commerciales. La loi canadienne comble cette lacune.
Les dispositions de la loi sont fondées, pour l'essentiel, sur un code élaboré par des entreprises, des universitaires, des consommateurs et des organismes gouvernementaux, par l'entremise de l'Association canadienne de normalisation. Il s'agit du Code type sur la protection des renseignements personnels, ou code type de l'association. La loi est donc le fruit d'une concertation de plusieurs groupes au sein de la société canadienne. Le code type de l'association constitue la partie essentielle de la loi; il a été inséré dans une annexe de la loi.
La mise en application de la loi sur la protection des renseignements personnels pour le secteur privé
La loi sur la protection des renseignements personnels pour le secteur privé est entrée en vigueur par étapes. À compter du 1er janvier 2001, elle s'est appliquée aux renseignements personnels touchant les clients et les employés d'institutions sous réglementation fédérale — par exemple, les banques, les entreprises de télécommunication et de transport — dans leurs activités commerciales. Elle s'est appliquée aussi aux renseignements personnels vendus par une organisation au-delà des frontières provinciales ou territoriales. Enfin, elle s'est appliquée à toutes les entreprises du secteur privé dans les trois territoires du Canada.
Depuis le 1er janvier 2004, les dispositions de la loi sont pleinement en vigueur — ces dispositions touchent tous les renseignements personnels recueillis, utilisés et communiqués par toutes les organisations du secteur privé dans le cadre des activités commerciales, sauf dans deux situations. La première exception concerne les provinces qui ont adopté des mesures législatives considérées comme essentiellement similaires à celles de la loi fédérale. Dans ce cas, la loi provinciale s'appliquera aux organisations régies normalement par des lois provinciales. À l'heure actuelle, seul le Québec dispose d'une loi considérée comme essentiellement similaire à la loi canadienne. Cependant, au début de 2004, l'Alberta et la Colombie-Britannique ont aussi adopté des mesures législatives qui seront probablement considérées comme essentiellement similaires à celles de la loi fédérale. Et d'autres provinces pourraient emboîter le pas. Mais, loi provinciale ou pas, les organisations qui communiquent des renseignements personnels au-delà des frontières d'une province ou d'un territoire seront toujours régies par la loi fédérale.
Il y a un second volet commercial auquel la loi ne s'applique pas. C'est celui des renseignements personnels sur des employés, sauf si l'employeur est une entreprise fédérale. Les entreprises fédérales en tant qu'employeurs ne doivent obtenir, utiliser et communiquer des renseignements personnels sur des employés qu'à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances. Les renseignements personnels sur des employés d'organisations régies par des lois provinciales ne sont pas couverts par la loi, mais peuvent l'être par des dispositions provinciales comme celles du Québec.
La loi fédérale, en quelques mots
Il est important de bien saisir certaines notions qui sous-tendent la loi fédérale. La loi s'applique à des organisations qui, dans le cadre d'activités commerciales, recueillent, utilisent et communiquent des renseignements personnels. Selon la loi, un renseignement personnel signifie tout renseignement « concernant un individu identifiable » à l'exclusion du nom et du titre d'un employé d'une organisation et des adresse et numéro de téléphone de son lieu de travail. La loi définit une « activité commerciale » comme étant « toute activité régulière ainsi que tout acte isolé qui revêtent un caractère commercial de par leur nature, y compris la vente, le troc ou la location de listes de donneurs, d'adhésion ou de collecte de fonds. »
La loi vise à assurer le respect des principes du code type de l'Association canadienne de normalisation que j'ai déjà mentionné. Il y a dix principes qui définissent la communication légitime de renseignements. Je vous les résume.
Le premier est celui de la responsabilité. Si votre organisation est couverte par la loi, elle doit avoir désigné une personne responsable de la conformité aux dispositions de la loi. Si votre organisation est une grande organisation, vous souhaiterez peut-être nommer un agent principal à la protection de la vie privée, chargé de l'application de la loi. Votre organisation doit établir des politiques et des mécanismes pour se conformer à la loi — par exemple, des politiques sur la protection de la sécurité des renseignements personnels.
Le deuxième principe touche les buts pour lesquels les renseignements sont recueillis et l'utilisation qu'on en fera. Ceux qui recueillent des renseignements personnels doivent être en mesure de dire pourquoi ils le font et pour quel usage, avant ou au moment d'opérer une telle collecte. Et ils doivent exploiter cette information à des fins qu'une personne raisonnable jugerait appropriées dans les circonstances.
Le troisième principe est celui du consentement. Si vous désirez recueillir, utiliser ou communiquer des renseignements personnels sur des individus, vous devez obtenir leur consentement. Le consentement est le principe fondamental de la loi. Le consentement peut être donné expressément ou implicitement, selon les attentes raisonnables de la personne et le type d'information en cause. Normalement, lorsque l'on a affaire à des renseignements délicats, il faut que le consentement soit accordé de manière expresse — lorsqu'il s'agit, par exemple, du dossier financier ou médical d'une personne.
Le quatrième principe est la limitation de la collecte. Votre collecte de renseignements personnels doit être limitée à ce qu'exigent les buts que vous avez déterminés et l'information doit être recueillie de manière honnête et licite.
Le cinquième principe touche la limitation de l'utilisation, de la communication et de la conservation des renseignements personnels. Vous ne pouvez pas utiliser des renseignements personnels pour des buts autres que ceux qui ont été mentionnés quand les renseignements ont été recueillis, à moins que la personne concernée n'accepte cette nouvelle utilisation ou que la loi l'exige — par exemple, quand elle oblige à déclarer une transaction financière d'une banque. Et même si vous avez obtenu le consentement de l'intéressé, vous devez limiter votre collecte, votre utilisation et votre communication de renseignements personnels aux fins qu'une personne raisonnable jugerait appropriées dans les circonstances. Et on ne doit conserver les renseignements personnels qu'aussi longtemps que nécessaire pour la réalisation des buts spécifiés.
Le sixième principe porte sur l'exactitude. Les renseignements personnels doivent être aussi exacts, complets et à jour que l'exigent les fins auxquelles ils sont destinés. Cela ne veut pas dire qu'une organisation doit systématiquement mettre à jour les renseignements personnels. Une telle mise à jour ne doit se faire que si cela est nécessaire pour atteindre les buts pour lesquels ils ont été recueillis.
Le septième principe porte sur les mesures de sécurité à prendre dans le traitement des renseignements personnels. Les organisations doivent protéger les renseignements personnels quelle que soit la forme sous laquelle ils sont conservés — bandes vidéo, dossiers en papier ou fichiers informatiques. Vous devez protéger les renseignements personnels contre la consultation, la communication, la reproduction, l'utilisation ou la modification non autorisées.
Le huitième principe est celui de la transparence. Une organisation doit faire en sorte que ses clients et ses employés aient accès à des explications claires au sujet de ses pratiques et de ses méthodes de traitement des renseignements personnels.
Le neuvième principe touche à l'accès des individus à leurs renseignements personnels. Toute personne a le droit de consulter les renseignements personnels qu'une organisation détient à son sujet, et de corriger les inexactitudes.
Et enfin, le dixième principe offre la possibilité de porter plainte à l'égard du non-respect des principes. Les organisations doivent établir des procédures simples et faciles à utiliser pour recevoir les plaintes et pour répondre aux demandes de renseignements concernant leurs politiques et pratiques de gestion des renseignements personnels. Les organisations doivent informer les personnes qui présentent une demande de renseignements ou déposent une plainte de l'existence des procédures pertinentes. Une organisation doit faire enquête sur toutes les plaintes. Si une plainte est jugée fondée, l'organisation doit prendre les mesures appropriées.
Rôle, mandat et approche du Commissariat à la protection de la vie privée
Il arrive que des personnes contestent la manière dont certaines organisations traitent les renseignements personnels les concernant. Normalement, elles doivent s'adresser aux organisations en cause pour exprimer leurs préoccupations.
Elles peuvent également porter plainte auprès du Commissariat à propos de différents aspects du traitement de leurs renseignements personnels. Certains se plaignent, par exemple, du fait qu'une organisation leur a refusé l'accès à leurs renseignements personnels, ou qu'une l'organisation recueille, utilise ou communique de manière inappropriée leurs renseignements personnels, ou encore qu'elle refuse de corriger des données inexactes ou incomplètes ou n'a pas recours à des mécanismes de protection adéquats de leurs renseignements personnels. Mon mandat me permet de déposer des plaintes moi aussi dans certaines circonstances.
En tant qu'agent du Parlement, je relève directement de la Chambre des communes et du Sénat. Je suis donc en mesure, à cause de l'indépendance de ma fonction, de jouer mon rôle d'ombudsman pour les questions de protection de la vie privée d'une manière franche et impartiale.
Le Commissariat cherche par tous les moyens possibles à résoudre les conflits par des enquêtes, la persuasion, la médiation et la conciliation. En principe, ces méthodes sont moins intimidantes pour les plaignants et moins coûteuses pour les entreprises que des recours devant les tribunaux.
Lorsque le Commissariat commence à instruire une plainte, il avise l'organisation en cause du motif de la plainte et il désigne l'enquêteur chargé de l'affaire. L'organisation peut présenter en tout temps, au cours de l'enquête, sa version des faits. Nous cherchons à encourager le règlement des plaintes par la négociation et la persuasion. Il nous arrive de suggérer des formules de résolution de conflits telles que la médiation ou la conciliation. Nous essayons également des moyens de résoudre rapidement les dossiers de plainte et d'autres voies de recours du nombre de plaintes.
S'il est impossible de résoudre la plainte par des moyens informels, l'enquêteur communique avec la personne designée par l'organisation pour l'informer de la manière dont l'enquête va se dérouler et, si possible, quels dossiers devront être consultés et quels membres du personnel devront être interrogés.
Dans le cours de nos enquêtes, nous pouvons convoquer des témoins, exiger des témoignages sous serment, exiger la présentation de dossiers, assermenter des témoins, recevoir et accepter des éléments de preuve ou des renseignements ou visiter les locaux des organisations en cause.
Avant la fin d'une enquête, les conclusions sont communiquées à l'organisation et au plaignant. Les deux parties peuvent présenter d'autres éléments d'information en tout temps si elles le désirent. Cela leur donne une autre occasion de résoudre la situation avant que le rapport d'enquête ne soit achevé.
Nous étudions alors l'affaire et rédigeons un rapport que nous transmettons aux deux parties. Ce rapport comprend les conclusions de l'enquête, tout accord de règlement conclu entre les parties, des recommandations concernant par exemple des changements des pratiques de gestion de l'information, un énoncé des mesures que l'organisation a prises ou prendra pour donner suite à ces recommandations.
En ma qualité de commissaire à la protection de la vie privée, je n'ai pas le pouvoir de rendre des ordonnances exécutoires, mais la loi confère au Commissariat deux importants pouvoirs. Nous avons le pouvoir de communication, c'est-à-dire le pouvoir d'informer le public sur les pratiques d'une organisation. Nous pouvons également référer des causes à la Cour fédérale du Canada.
Nous pouvons exiger d'une organisation qu'elle nous informe des mesures prises ou envisagées pour donner suite aux recommandations contenues dans le rapport ou qu'elle nous explique pourquoi aucune mesure n'a été ou ne sera prise.
En plus de surveiller l'application de la loi et de m'occuper des plaintes, je peux vérifier le traitement des renseignements personnels dans les organisations, si on a des motifs raisonnables de le faire. J'assume aussi une responsabilité plus générale qui est d'effectuer des recherches et de mener des activités de sensibilisation et d'éducation du public sur des questions de protection de la vie privée. En tant qu'agent du Parlement, relevant directement de la Chambre des communes et du Sénat, je dois aussi faire rapport au Parlement de l'application de la législation et d'autres questions touchant la protection de la vie privée.
Comment la protection des renseignements personnels peut-elle profiter aux citoyens et aux entreprises ?
Il y a bien des gens qui ont peur que le gouvernement ne limite leur liberté en recueillant trop de renseignements à leur sujet. Mais ils ne pensent pas toujours à l'entreprise privée, et aux dangers qui les guette si l'entreprise privée obtient trop de renseignements personnels sur leur compte. Grâce à la loi, les gens peuvent mieux contrôler les renseignements personnels qui se trouvent entre les mains des organisations commerciales. Le contrôle de la communication des renseignements personnels est un élément essentiel de la protection des droits à laquelle chaque citoyen a droit.
Les organisations soumises à la loi fédérale ne doivent pas considérer cette loi comme un fardeau de plus sur leurs épaules. La loi reflète les réalités nouvelles du monde des affaires. Sans cette loi, les entreprises étrangères refuseraient de transmettre aux organisations canadiennes des renseignements personnels. Les organisations canadiennes qui se conforment à la loi et qui de manière générale respectent la vie privée de leurs clients vont constater que cela est payant, parce que cela permet d'améliorer les relations avec la clientèle. Et qui dit bonnes relations avec la clientèle dit avantage face à la concurrence. Dans le domaine du commerce électronique en particulier, de bonnes politiques et de bonnes pratiques quant au traitement des données personnelles permettent de bâtir des rapports de confiance chez les clients.
Si vous examinez vos pratiques de traitement des renseignements personnels, vous découvrirez peut-être des pratiques qui ne sont pas efficaces et entraînent du gaspillage. Il se peut que vous dépensiez actuellement de l'argent à recueillir et à conserver des tas de renseignements personnels dont votre organisation n'a pas vraiment besoin.
Conclusion
Voilà. Je vous ai donné un bref aperçu de la loi sur la protection des renseignements personnels pour le secteur privé. Je vous ai indiqué pourquoi cette loi a été adoptée et quelles responsabilités elle vous impose. Bien sûr, la loi est plus détaillée que ce que j'ai pu vous en dire dans un bref exposé. Mais j'ai essayé de mettre en lumière ses éléments principaux.
Je n'ai pas l'intention, dans l'exercice de mon mandat, de déployer des moyens drastiques pour faire appliquer cette loi. Il s'agit d'une loi encore nouvelle. Il faudra du temps avant que les organisations et les citoyens la comprennent pleinement et s'y conforment. Ce que nous voulons, c'est encourager les organisations canadiennes à agir de bonne foi et à intégrer de bonnes pratiques de protection des renseignements personnels dans leurs activités, en se conformant à la loi. Nous allons travailler avec ces organisations pour les aider à améliorer leurs pratiques de traitement des renseignements personnels.
Vous vous préparez à vous conformer à la loi. Il est important que vous examiniez vos pratiques actuelles de traitement des renseignements personnels. Quels renseignements personnels recueillez-vous actuellement ? Avez-vous vraiment besoin de cette information pour la conduite de vos activités ? Qu'est-ce que vous allez faire des renseignements recueillis ? À qui communiquez-vous ces renseignements ? Combien de temps les conservez-vous ? Avez-vous des moyens efficaces de les protéger ?
Le Commissariat a publié tout un éventail de documents que je vous encourage à consulter. Ces documents expliquent la loi de manière plus détaillée et aident les organisations à s'y conformer.
Pour plus d'information, n'hésitez pas à communiquer avec le Commissariat au 1-800-282-1376, ou à consulter notre site Web à www.privcom.gc.ca.
Je vous remercie de votre attention. |
