ETHI Rapport du Comité
Si vous avez des questions ou commentaires concernant l'accessibilité à cette publication, veuillez communiquer avec nous à accessible@parl.gc.ca.
Conformément à l’article 29 de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et à l’ordre de renvoi de la Chambre des communes, le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (le Comité) a tenu des audiences sur l’application de la Partie 1, Protection des renseignements personnels dans le secteur privé, de la Loi. Entre le 20 novembre 2006 et le 22 février 2007, il a entendu 67 témoins et reçu 34 mémoires d’autres particuliers et organismes.
Tous nos témoins sont généralement favorables à l’existence d’une loi fédérale pour protéger les renseignements personnels dans le secteur privé, compte tenu en particulier de la rapidité d’expansion de l’actuelle myriade de technologies de l’information et de leur capacité de transcender les frontières nationales. Dans ce contexte, la question au cœur du débat est celle-ci : comment pouvons-nous, de la meilleur façon, concilier dans la Loi les exigences liées à la protection de la vie privée des particuliers (ce qu’on sait à leur sujet et qui le sait) et les besoins légitimes des organisations commerciales relativement à la gestion de leurs fonds de renseignements?
Le présent rapport ne recommande pour l’instant aucune modification radicale de la LPRPDE. Étant donné que la Loi n’est pleinement entrée en vigueur qu’en janvier 2004 (voir plus loin l’Aperçu de la Loi), le Comité est conscient que tous les différents aspects de sa mise en œuvre ne se sont peut-être pas encore entièrement concrétisés. Par conséquent, même si nous avons entendu des témoignages sur de nombreuses questions, nous n’avons abordé que celles qui, selon nous, devaient être examinées maintenant.
Les recommandations du présent rapport proposent essentiellement des modifications mineures justifiées, pour la plupart, par la nécessité de mieux harmoniser la loi fédérale aux lois du Québec, de l’Alberta et de la Colombie-Britannique en matière de protection des renseignements personnels dans le secteur privé, lesquelles lois sont toutes essentiellement similaires. En fait, des défenseurs de la vie privée, des universitaires, des organisations commerciales et industrielles, de même que la commissaire fédérale à la protection de la vie privée, nous ont tous affirmé qu’il fallait se servir de ces lois provinciales comme points de référence pour modifier la LPRPDE. Ainsi, certains ont fait valoir qu’étant donné que les lois de l’Alberta et de la Colombie-Britannique ont été rédigées après les lois fédérale et québécoise, ces provinces ont l’avantage d’avoir pu mettre à profit l’expérience du Québec et du gouvernement fédéral pour apporter des améliorations à leurs lois respectives. Des témoins ont soutenu que ces lois dites « de deuxième génération » présentent une vision plus pragmatique et moderne de la protection des renseignements personnels dans le contexte d’aujourd’hui.
Nous sommes conscients de la nécessité de consacrer davantage de ressources aux mesures visant à sensibiliser les particuliers et les organisations aux droits et aux responsabilités que leur confère la LPRPDE. Des témoins nous ont affirmé que la plupart des Canadiens sont généralement peu au fait de leurs droits en matière de protection de la vie privée et le sont encore moins en ce qui concerne, en particulier, les droits conférés par la LPRPDE. Nous nous sommes aussi laissé dire que l’un des principaux obstacles qui se posent à la plupart des petites et moyennes entreprises réside dans la difficulté de comprendre leurs obligations en vertu de la Loi. À notre avis, le succès des modifications que nous proposons d’apporter à la LPRPDE, et en définitive de la Loi elle-même, se mesurera, en bout de ligne, à la capacité des particuliers de faire des choix éclairés au sujet de leurs renseignements personnels et à la capacité des organisations de pleinement comprendre leurs obligations en vertu de la Loi. Étant donné qu’il est clairement du ressort du Commissariat à la protection de la vie privée de sensibiliser la population et d’inciter les organisations visées par la loi à s’y conformer, nous espérons que le travail en ce sens continuera de s’intensifier et que le gouvernement mettra lui aussi tout en œuvre pour atteindre ces objectifs avec le concours des organisations concernées et de la commissaire à la protection de la vie privée.
Sous réserve de certaines exemptions qui y sont prévues[1], la LPRPDE s’applique aux organisations du secteur privé qui recueillent, utilisent ou communiquent des renseignements personnels dans le cadre d’activités commerciales. Elle s’applique également à la collecte, à l’utilisation et à la communication de renseignements personnels relatifs aux employés d’organisations sous réglementation fédérale[2]. Le paragraphe 2(1) de la Loi définit les renseignements personnels au sens large comme « tout renseignement concernant un individu identifiable, à l’exclusion du nom et du titre d’un employé d’une organisation et des adresse et numéro de téléphone de son lieu de travail ». Dans le but évident d’englober une gamme étendue de transactions, l’article 2 définit par ailleurs « activité commerciale » comme étant « toute activité régulière ainsi que tout acte isolé qui revêtent un caractère commercial de par leur nature, y compris la vente, le troc ou la location de listes de donneurs, d’adhésion ou de collecte de fonds[3] ».
La LPRPDE est entrée en vigueur en trois phases :
· Depuis le 1er janvier 2001, la Loi s’applique aux industries du secteur privé de compétence fédérale (comme les télécommunications, la radiodiffusion, les institutions financières, les transports interprovinciaux et les compagnies aériennes). Elle s’applique aussi au commerce interprovincial ou international de renseignements personnels.
· Depuis le 1er janvier 2002, la Loi s’applique aussi aux renseignements personnels sur la santé.
· Depuis le 1er janvier 2004, les dispositions de la Loi s’appliquent plus largement à toutes les organisations d’une province, même si elles recueillent, utilisent ou communiquent des renseignements personnels seulement dans la province. Toutefois, peuvent être exemptées les organisations ou les activités dans les provinces qui ont adopté une loi sur la protection de la vie privée semblable à la loi fédérale. Jusqu’à maintenant, seuls le Québec, l’Alberta, l’Ontario (en matière de renseignements personnels sur la santé) et la Colombie-Britannique se sont dotés de lois provinciales jugées essentiellement similaires à la LPRPDE.
Une fois qu’une organisation est visée par la LPRPDE, l’article 5 l’oblige à se conformer aux obligations énoncées dans le Code type de l’Association canadienne de normalisation (CSA) (annexe 1 de la Loi)[4], sous réserve des exemptions prévues aux articles 6 à 9. L’article 5 précise par ailleurs que l’emploi du conditionnel dans l’annexe 1 indique qu’il s’agit non pas d’une obligation mais d’une recommandation. Le paragraphe 5(3) prévoit en outre un critère dit des « fins acceptables », selon lequel les fins auxquelles une organisation peut recueillir, utiliser ou communiquer des renseignements personnels doivent se limiter à celles « qu’une personne raisonnable estimerait acceptables dans les circonstances ». L’article 7 énonce un certain nombre de cas où une organisation peut recueillir, utiliser ou communiquer des renseignements personnels à l’insu de l’intéressé et sans son consentement; à cet égard, il est essentiel au fonctionnement du régime de protection de la vie privée établi par la Loi[5].
La LPRPDE donne aux particuliers le droit de prendre connaissance des renseignements personnels qui les concernent et d’y faire apporter des corrections, au besoin. Une organisation doit répondre aux demandes d’accès à ces renseignements dans les 30 jours, mais elle peut demander plus de temps dans certaines situations. Elle peut refuser de communiquer les renseignements à l’intéressé si la communication révèle un renseignement personnel relatif à un tiers qui ne peut être retranché d’un document. Cette interdiction est toutefois levée si le tiers consent à la communication ou si l’intéressé a besoin du renseignement parce que sa vie, sa santé ou sa sécurité est en danger. Une organisation peut par ailleurs refuser l’accès à des renseignements personnels lorsque ceux-ci sont protégés par le secret professionnel qui lie l’avocat à son client ou que la communication révélerait des renseignements commerciaux confidentiels[6]. La communication est toutefois autorisée si la personne a besoin des renseignements parce que sa vie, sa santé ou sa sécurité est menacée.
La LPRPDE est administrée selon un modèle d’ombudsman semblable à celui que l’on trouve dans la Loi sur la protection des renseignements personnels et dans la Loi sur l’accès à l’information. Un particulier peut adresser une plainte à la commissaire fédérale à la protection de la vie privée au sujet de la conformité d’une organisation à la loi ou au Code de la CSA[7], auquel cas la commissaire tentera habituellement de résoudre l’affaire par la persuasion et la négociation. Si cette approche ne réussit pas, la commissaire a le pouvoir d’assigner des témoins, de faire prêter serment et de contraindre des personnes à produire des documents afin de se prononcer sur l’affaire. Elle doit exposer ses conclusions dans un rapport dans un délai d’un an suivant le dépôt de la plainte. Les conclusions de la commissaire ne lient pas les parties et elles n’ont pas non plus de force persuasive devant la Cour fédérale. Après avoir reçu le rapport de la commissaire, le plaignant a toutefois le droit d’exercer des recours judiciaires et de réclamer une ordonnance de conformité et des dommages-intérêts, auprès de la Cour fédérale.
En vertu de l’article 11 de la Loi, la commissaire à la protection de la vie privée peut elle-même prendre l’initiative d’une plainte si elle a des motifs raisonnables de croire qu’une enquête devrait être menée sur une question relative à l’application de la Loi. Elle peut demander à la Cour fédérale d’examiner une plainte dont elle a pris l’initiative ou celle d’un plaignant, avec son consentement. Conformément à l’article 18 de la Loi, la commissaire à la protection de la vie privée a aussi le pouvoir de procéder à la vérification des pratiques de l’organisation en matière de gestion des renseignements personnels, si elle a des motifs raisonnables de croire que l’organisation a contrevenu aux dispositions de la Loi touchant la protection de ces renseignements, ou qu’elle n’applique pas une recommandation énoncée dans le Code type de la CSA.
L’article 28 de la LPRPDE crée des infractions pour les cas où une personne entrave l’action de la commissaire, dans le cadre d’un examen ou d’une vérification; détruit des documents visés par une demande de communication avant que tous les recours prévus par la Loi aient été épuisés; ou congédie, suspend ou rétrograde un employé qui révèle que son employeur a contrevenu à la Loi.
A. Coordonnées des entreprises
Le paragraphe 2(1) de la LPRPDE définit le « renseignement personnel », aux fins de la Loi, comme étant « tout renseignement concernant un individu identifiable, à l’exclusion du nom et du titre d’un employé d’une organisation et des adresses et numéro de téléphone de son lieu de travail ». Ainsi, les coordonnées des entreprises sont soustraites à la protection afin que les clients des organisations et d’autres puissent communiquer facilement avec les employés. La Loi fédérale sur la protection des renseignements personnels prévoit des dispositions semblables à l’égard des fonctionnaires.
Plusieurs organisations ont demandé d’élargir la définition de façon à tenir compte, dans les coordonnées des entreprises soustraites à l’application de la Loi, des moyens que les organisations utilisent à notre époque pour communiquer avec leurs clients. Il a ainsi été suggéré d’inscrire dans la Loi une définition des « coordonnées des entreprises », qui comprendrait tous les types de renseignements communiqués dans le contexte commercial et qui ne serait pas limitée à une technologie particulière. Ainsi, les coordonnées des entreprises devraient comprendre les numéros de télécopieur et les adresses de courriel, en plus d’autres renseignements semblables.
La commissaire à la protection de la vie privée a attiré l’attention du Comité sur l’approche prise dans le Personal Information Protection Act de l’Alberta. Elle trouve intéressante la définition contenue dans cette Loi de protection générale de la vie privée parce qu’elle est suffisamment générale, mais aussi parce qu’elle restreint les fins pour lesquelles de tels renseignements peuvent être recueillis, utilisés ou communiqués.
L’alinéa 1a) de la loi de l’Alberta définit les « coordonnées des entreprises » comme étant le nom, le poste ou le titre de la personne, le numéro de téléphone, l’adresse, l’adresse électronique et le numéro de télécopieur et d’autres renseignements semblables concernant l’entreprise. L’alinéa 4(3)d) de la Loi constitue une disposition d’exception qui stipule que la loi ne s’applique pas aux coordonnées d’entreprise lorsque celles-ci sont recueillies, utilisées ou communiquées dans le but d’entrer en contact avec une personne en sa qualité d’employée ou de représentante d’une organisation, et uniquement dans ce but.
Le Comité estime que les dispositions de protection contenues dans la LPRPDE ne devraient pas s’appliquer aux coordonnées des entreprises et que ces coordonnées ne doivent pas être limitées à la technologie de l’information existante à un moment précis. Il faut, par conséquent, mettre à jour la LPRPDE afin que figurent dans les coordonnées les adresses électroniques et les numéros de télécopieur des entreprises, ainsi que les innovations à venir en matière de communication commerciale. À l’instar de la commissaire à la protection de la vie privée, nous préconisons l’approche de l’Alberta et formulons la recommandation suivante.
Recommandation 1
Le Comité recommande qu’une définition des coordonnées des entreprises soit ajoutée à la LPRPDE et que soient prises en considération, à cette fin, la définition et la disposition limitative connexe qui se trouvent dans la Loi sur la protection des renseignements personnels de l’Alberta.
De nombreux employeurs, des entreprises et des fournisseurs de renseignements sur la santé ont souligné la distinction qu’il faut faire entre les renseignements personnels concernant une personne et les renseignements générés dans le cadre d’activités professionnelles ou commerciales, ou liées à l’emploi. De nombreuses entreprises craignent que l’innovation et la croissance économique soient compromises si les travailleurs peuvent traiter les données au sujet du produit de leur travail ou des stratégies d’entreprises comme des renseignements personnels, en vertu de la LPRPDE. Mark Yakabuski, du Bureau d’assurance du Canada, s’exprime ainsi :
Dans une économie compétitive — et nous savons que le Parlement veut que notre économie soit compétitive —, il est essentiel que les sociétés aient accès aux renseignements relatifs aux produits et aux services qu’elles achètent à d’autres entreprises, de manière à pouvoir les utiliser pour innover et améliorer les produits et services qu’elles offrent elles-mêmes à leurs clients. Sans accès aux renseignements relatifs au produit du travail, on freinerait l’innovation et la concurrence dans l’économie. (6 février 2007)
Les entreprises appuient presque sans réserve l’approche adoptée dans le Personal Information Protection Act de la Colombie-Britannique, qui fait une distinction entre les renseignements sur le produit du travail et les renseignements personnels. Selon l’article 1 de la Loi de la Colombie-Britannique, les renseignements sur le produit du travail désignent les renseignements préparés ou recueillis par une personne ou un groupe de personnes dans le cadre de leurs fonctions; ils ne comprennent pas les renseignements personnels concernant une personne qui n’a ni préparé ni recueilli les renseignements. La plupart des entreprises favorisent cette définition qui mettrait fin aux incertitudes grâce à une application uniforme.
Dans le mémoire qu’il a présenté au Comité, le commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique, David Loukidelis, souligne les difficultés d’interprétation et d’application qui peuvent survenir si une loi sur la protection de la vie privée ne fait pas de distinction entre les renseignements personnels qui concernent un individu et les renseignements que cette personne produit ou réunit dans le cadre de son travail, de ses fonctions ou de ses activités. Toutefois, quand les membres du Comité l’ont interrogé à ce sujet, il a répondu comme suit :
Comme je l’ai mentionné, la Loi de la Colombie-Britannique comporte une définition de l’information sur le produit du travail. Notre Assemblée législative m’a donc donné un libellé clair sur lequel je peux baser mon travail. Si une affaire m’est transmise sous forme d’une demande officielle de renseignements, je dois procéder au cas par cas pour interpréter et appliquer les dispositions adoptées par notre Assemblée. Cela étant dit, sans cette définition, nous aurions dû nous contenter de la définition de « renseignements personnels », c’est-à-dire « tout renseignement concernant un individu identifiable », et affronter les mêmes difficultés que mes collègues fédéraux et les autres provinces, qui doivent se fonder sur leur loi relative au secteur public pour essayer de déterminer quels renseignements « concernent » un individu dans l’esprit du législateur, et aboutir peut-être au même résultat. (29 novembre 2006)
La question du « produit du travail » revêt un intérêt particulier en matière de renseignements sur la santé. IMS Canada, un important fournisseur de renseignements, de données statistiques et d’analyses dans le secteur de la santé, voudrait une définition du « produit du travail », qui se rapproche de celle établie par la Colombie-Britannique, mais qui cherche également à répondre à certaines des préoccupations de la commissaire à la protection de la vie privée; en effet, celle-ci craint qu’une définition ou une interprétation plus large du terme englobe par inadvertance la surveillance du milieu de travail. Même si la commissaire a déjà statué que les données sur les habitudes des médecins en matière d’établissement d’ordonnances — données qui intéressent tout particulièrement IMS — ne constituent pas des renseignements personnels aux fins de la LPRPDE, IMS souhaite néanmoins, pour dissiper tout doute, que la décision de la commissaire soit codifiée. L’entreprise propose le libellé suivant :
les « renseignements sur le produit du travail » sont les renseignements préparés, recueillis ou communiqués par une personne ou un groupe de personnes dans le cadre de leurs fonctions. Ils ne comprennent pas :
i) les renseignements personnels concernant une personne qui n’a ni préparé, ni recueilli, ni communiqué les renseignements;
ii) les renseignements recueillis, utilisés ou communiqués à des fins de surveillance du milieu de travail. (8 février 2007, mémoire)
Pour ce qui est de savoir si les renseignements sur les ordonnances des médecins constituent un produit du travail en application de la LPRPDE, l’Association médicale canadienne (AMC) est d’avis qu’ils constituent les renseignements personnels du médecin au même titre que les autres données sur la pratique, et que les médecins ont des préoccupations légitimes quant à la protection de la vie privée et à l’utilisation de l’information par des tiers à des fins commerciales. L’AMC a recommandé que la LPRPDE soit modifiée afin d’inclure les données des médecins dans les renseignements personnels, mais elle a aussi mentionné la Loi sur la protection des renseignements personnels dans le secteur privé en vigueur au Québec, qui impose une surveillance réglementaire et donne aux particuliers le droit de s’exclure de la collecte, de l’utilisation et de la divulgation de renseignements personnels de professionnels.
L’approche du Québec est considérée comme une sorte de compromis puisque les renseignements sur le produit du travail de professionnels sont considérés comme se situant entre les renseignements personnels et les renseignements non personnels. La Loi autorise la divulgation, sans consentement, de renseignements personnels sur des professionnels se rapportant à leurs activités professionnelles; cependant, cette divulgation doit absolument se faire avec l’autorisation de la Commission du Québec puis sous sa surveillance (en consultation avec l’organisme de réglementation compétent). De plus, le professionnel doit avoir la possibilité de s’opposer à ce que ses renseignements soient utilisés aux fins projetées et il doit être informé régulièrement de ces fins. La personne autorisée à recevoir ces renseignements doit aussi faire rapport chaque année à la Commission de la mise en œuvre de l’autorisation, et la Commission doit publier dans son rapport annuel une liste des personnes autorisées[8].
La commissaire fédérale à la protection de la vie privée a maintenu tout au long des audiences que la question était difficile à régler; en d’autres mots, il n’existe pas de solution rapide ni de modèle clair à adopter. Elle préfère conserver la définition actuelle des renseignements personnels et régler au cas par cas les questions traitant le produit du travail. Elle a ajouté que l’adoption du code relatif aux employés qu’elle propose dans le cadre de la LPRPDE[9] permettrait de résoudre de nombreuses questions liées au produit du travail sans pour autant menacer les autres droits à la protection de la vie privée en milieu de travail.
Le Comité reconnaît que la question du produit du travail ne concerne pas un secteur en particulier, mais touche plutôt tout l’éventail des activités commerciales et professionnelles. Le Comité croit qu’il est nécessaire d’apporter des précisions dans le cadre de la LPRPDE quant à ce qui constitue un produit du travail par opposition aux renseignements personnels. Bien que nous hésitions à recommander un libellé particulier, étant donné les discussions que suscite la question, nous recommandons néanmoins de tenir compte de la définition de la Colombie-Britannique et de celle proposée par IMS, ainsi que l’approche adoptée par le Québec en matière de renseignements personnels sur les professionnels.
Recommandation 2
Le Comité recommande que la LPRPDE soit modifiée pour y inclure une définition du « produit du travail » qui précise explicitement que ce dernier ne constitue pas des renseignements personnels aux fins de la Loi. La définition devrait s’inspirer de la définition des « renseignements sur le produit du travail » contenue dans la Loi sur la protection des renseignements personnels de la Colombie-Britannique, de la définition proposée au Comité par IMS Canada et de l’approche adoptée au Québec dans la Loi sur la protection des renseignements personnels dans le secteur privé à l’égard des renseignements personnels de professionnels.
Le principe 5 à l’annexe 1 de la LPRPDE porte sur la conservation des renseignements personnels. Essentiellement, les renseignements personnels ne doivent être conservés que le temps nécessaire à la réalisation des fins pour lesquelles ils sont recueillis. Il faudrait détruire, effacer ou dépersonnaliser les renseignements personnels dont on n’a plus besoin aux fins pour lesquelles ils ont été recueillis, selon les politiques établies par l’organisation pour la destruction des renseignements personnels (principe 4.5.3). Le principe 7 de l’annexe exige que des mesures de sécurité protègent les renseignements personnels au moment de leur retrait ou de leur destruction afin d’empêcher les personnes non autorisées d’y avoir accès (principe 4.7.5).
Lors de sa comparution devant le Comité, le représentant de la National Association for Information Destruction (NAID) a proposé un certain nombre de recommandations afin d’assurer la destruction sûre des renseignements, qui trop souvent fait défaut d’après l’organisme. D’ailleurs, M. David Carey, de la NAID, a fourni au Comité des exemples pour confirmer la nécessité de préciser dans la Loi les mesures à prendre lorsque des renseignements sont détruits. Il résume la situation ainsi à l’intention du Comité :
Il ne faudrait pas beaucoup de temps pour trouver, n’importe quand, des renseignements personnels qui ont été jetés, qui sont intacts et accessibles au public. Le fait qu’on s’en débarrasse de façon imprudente, en les jetant dans des bennes à rebuts ou dans des poubelles, en est l’exemple évident. Il ne faut pas oublier non plus que le recyclage à lui seul ne constitue pas une destruction sûre des renseignements. Il est possible que les documents demeurent intacts pendant longtemps et puissent faire l’objet d’un manquement au respect de la vie privée avant qu’ils ne soient recyclés. La protection de la vie privée n’est plus simplement une question de droit de la personne. Une violation des droits des autres, en jetant aux rebuts nonchalamment leurs renseignements personnels, contribue considérablement à ce qui est devenu une épidémie mondiale de vols d’identité. Selon une étude qui a été faite aux États-Unis, la vaste majorité des vols d’identité est attribuable à l’accès aux renseignements personnels grâce à des moyens de faible technicité, comme fouiller dans des bennes à rebuts. (8 février 2007)
Le représentant de la NAID recommande par conséquent d’ajouter à la LPRPDE la définition suivante de « destruction » :
Aux fins du principe 4.5 de l’annexe 1, on entend par destruction la destruction physique des dossiers de façon à rendre impossible la récupération de l’information (en tout ou en partie). Détruire signifie altérer jusqu’à faire disparaître. (NAID Canada, lettre datée du 21 février 2007)
Dans le mémoire qu’il a présenté au Comité[10], le ministère des Services gouvernementaux de l’Ontario a insisté sur l’importance d’informer les organisations sur la destruction protégée des renseignements personnels. Étant donné la fréquence des vols d’identité au Canada, le Ministère a recommandé que la commissaire donne plus d’indications dans ce domaine et précise les mesures que doivent prendre les organisations afin de détruire les documents papier et les fichiers électroniques de manière à ce que les renseignements personnels soient irrémédiablement détruits ou effacés.
Le Comité pense aussi que la destruction en bonne et due forme des renseignements personnels fait partie intégrante de tout régime de protection de ces renseignements. En fait, l’absence, dans la Loi, d’exigences claires en matière de destruction, risque de compromettre les mesures de protection de la vie privée intégrées à la LPRPDE. Nous recommandons par conséquent qu’une définition de « destruction » soit ajoutée à la LPRPDE afin de guider les organisations sur la façon de bien détruire les documents papier et les fichiers électroniques. Ayant examiné la définition de destruction dans Le Petit Larousse illustrée 2002 ainsi que dans la 10e édition de The Concise Oxford Dictionary, nous recommandons que ces définitions soient prises en considération à cet égard.
Recommandation 3
Le Comité recommande qu’une définition de « destruction » soit ajoutée à la LPRPDE afin de guider les organisations sur la façon de bien détruire les documents papier et les fichiers électroniques.
Le consentement est la pierre angulaire de la plupart des lois sur la protection des renseignements, et il en va de même de la LPRPDE. À quelques très rares exceptions, la Loi exige que quiconque recueille, utilise et communique des renseignements personnels dans le cadre d’activités commerciales, en informe le principal intéressé et obtienne son consentement. Le troisième principe du Code type sur la protection des renseignements personnels, lequel Code constitue l’annexe 1 de la Loi, énonce les règles régissant le consentement. Ces principes généraux semblent toutefois difficiles à concilier pour tenir compte des réalités commerciales et garantir, en même temps, aux consommateurs une protection suffisante de leurs renseignements personnels.
Les représentants des consommateurs et les défenseurs de la vie privée qui ont comparu devant nous ont fait valoir qu’il est extrêmement difficile de se servir de la formulation d’un document établi par consensus (le Code type de protection des renseignements personnels[11]) comme fondement d’une loi. Selon eux, le libellé des principes de consentement est trop vague et se prête, par conséquent, à tout un éventail d’interprétations qui ne nous éclairent guère sur les exigences effectives de la Loi. Dans son mémoire au Comité, le Centre pour la défense de l’intérêt public formule les observations suivantes :
L’annexe 1 de la LPRPDE renferme un principe sur le consentement qui est rédigé dans un style large et détermine les paramètres généraux du consentement aux fins de la protection des renseignements personnels dans un contexte commercial; cependant, le texte de ce principe n’aide guère les entreprises et les consommateurs qui recherchent un énoncé définitif concernant la nature du consentement, le type de consentement qui est exigé en vertu de la Loi et la façon de l’obtenir.
Ainsi, le Code type prévoit que, en ce qui concerne l’obtention du consentement, « la forme du consentement que l’organisation cherche à obtenir peut varier selon les circonstances et la nature des renseignements ». Dans la même veine, le Code prévoit que « dans l’obtention du consentement, les attentes raisonnables de la personne sont aussi pertinentes », et que « la façon dont une organisation obtient le consentement peut varier selon les circonstances et la nature des renseignements recueillis ». De toute évidence, ces dispositions permettent tant à l’organisation qu’à l’individu de soutenir que les procédures mises en place pour l’obtention du consentement sont suffisantes ou non, selon le point de vue adopté. (23 octobre 2006, p. 14)
Certains ont également fait valoir que l’imprécision des dispositions de la LPRPDE concernant le consentement contribue pour beaucoup à l’inobservation de la Loi. Dans un rapport rendu public en avril 2006[12], la Clinique d’intérêt public et de politique d’Internet du Canada (CIPPIC) a fait une enquête auprès de 64 détaillants en ligne et a constaté que la plupart d’entre eux n’obtiennent pas de consentement valide avant d’utiliser et de communiquer à d’autres fins les renseignements qu’ils ont en leur possession au sujet des consommateurs. La CIPPIC estime que ses conclusions témoignent non seulement d’un problème de manque de mesures incitatives et d’observation, mais aussi d’une incompréhension des exigences de la Loi relatives au consentement. Il est par conséquent recommandé d’ajouter à la Loi une définition du terme « consentement » ou, à tout le moins, d’y énoncer en termes clairs quelque condition préalable ou critère pour chacune des trois formes de consentement (explicite, implicite, présumé/refusé). Les Lois de l’Alberta et de la Colombie‑Britannique sur la protection des renseignements dans le secteur privé ont toutes deux été citées en exemple parce qu’elles exigent l’obtention d’un consentement valide. Dans un mémoire en date de décembre 2006, le ministère des Services gouvernementaux de l’Ontario se dit également favorable à l’idée de modifier la LPRPDE pour y définir les diverses formes de consentement et établir une distinction entre elles de manière à préciser les obligations des organisations, de même que les droits des consommateurs au respect de leur vie privée.
Les organisations souscrivent généralement aux principes de consentement énoncés dans la LPRPDE, parce que ceux-ci offrent la souplesse nécessaire à l’exploitation d’une entreprise. On estime aussi que la Loi reconnaît aux entreprises et aux consommateurs la capacité de décider eux‑mêmes si l’obtention de renseignements supplémentaires est nécessaire pour que le consentement soit valide, de sorte qu’il est inutile de modifier la LPRPDE à cet égard. Dans son mémoire au Comité, voici ce que dit l’Association canadienne du marketing (ACM) à propos de la définition de consentement en vertu de la LPRPDE :
Il existe trois formes de consentement, lesquelles sont présentement reconnues dans le marché et sont des composantes fondamentales des activités de marketing axées sur l’information. Ces formes de consentement sont des normes reconnues sur le plan international et sont énoncées expressément dans le Code type sur la protection des renseignements personnels et au chapitre 5 des Lois du Canada 2000. Ces formes de consentement sont les suivantes : le consentement positif ou explicite (actif) lorsque des renseignements délicats sont en jeu; le consentement négatif (refus) pour l’utilisation de renseignements à des fins de marketing ou pour le transfert de renseignements personnels à de tierces parties et enfin, le consentement implicite, qui permet à une entreprise de communiquer avec ses clients actuels. Comme nous l’avons souligné ci-dessus dans le présent mémoire, depuis de nombreuses années, les membres de l’ACM sont tenus de respecter ces formes de consentement dans leurs interactions avec les consommateurs. Ces formes de consentement ont été reconnues également dans la LPRPDE, dans les règlements qui s’y rattachent et dans les interprétations de la commissaire à la protection de la vie privée. L’ACM est fortement d’avis que les définitions et les applications actuelles de ces trois formes de consentement ne devraient pas être modifiées. (4 décembre 2006, p. 13-14)
Si la commissaire à la protection de la vie privée n’a pas expressément abordé la question du consentement au moment de ses comparutions devant le Comité, elle a quand même publié une fiche d’information sur la détermination de la forme de consentement appropriée aux termes de la LPRPDE[13]. Ce document vise à orienter les organisations en leur présentant les principes qui régissent le consentement en vertu de la Loi et en leur donnant des exemples de la façon dont ceux-ci sont interprétés et appliqués par le Commissariat à la protection de la vie privée.
Le Comité comprend les préoccupations soulevées par les défenseurs des consommateurs et de la vie privée au sujet de l’imprécision des principes énoncés à l’annexe 1 de la LPRPDE (le Code type) en matière de consentement, mais il demeure réfractaire à l’idée d’apporter des changements à la partie de la Loi portant sur le Code type, en raison de l’énorme travail de consultation qu’a exigé la conception de cette norme et de la complexité des compromis qu’il a fallu faire pour y arriver. Cela étant dit, nous estimons important que les gens comprennent bien les exigences de la LPRPDE en ce qui concerne la forme et la conformité du consentement. Il est préférable que ces exigences soient énoncées dans la Loi plutôt que dans les lignes directrices de la commissaire ou dans des décisions judiciaires. Nous recommandons donc d’envisager de modifier la LPRPDE, pour y préciser les exigences applicables au consentement et établir une distinction entre les différentes formes de consentement : explicite, implicite et présumé/refusé. Il conviendrait, à cet égard, de se reporter aux lois sur la protection des renseignements personnels de l’Alberta et de la Colombie‑Britannique.
Recommandation 4
Le Comité recommande d’envisager de modifier la LPRPDE pour y préciser les exigences applicables à la forme et à la conformité du consentement et établir une distinction entre les différentes formes de consentement : explicite, implicite et présumé/refusé. Il conviendrait, à cet égard, de se reporter aux Lois de l’Alberta et de la Colombie‑Britannique en matière de protection des renseignements personnels.
A. Relations entre employeurs et employés
Comme il est mentionné au début du présent rapport, la LPRPDE établit les règles régissant la collecte, l’utilisation et la communication de renseignements personnels dans le secteur privé, mais seulement dans le cadre d’activités commerciales. Elle vise aussi à réglementer les renseignements personnels des employés mais, en raison de questions de compétence, elle s’applique uniquement aux emplois assujettis à la législation fédérale. Le problème qui a été soulevé devant le Comité est le suivant : un modèle de consentement conçu pour des entreprises commerciales peut-il s’appliquer dans le contexte de l’emploi?
L’ETCOF (Employeurs des transports et communications de régie fédérale) a vigoureusement fait valoir que l’actuel modèle de consentement applicable, en vertu de la LPRPDE, n’est pas adapté au milieu du travail. L’ETCOF a soulevé un certain nombre de questions relatives à l’emploi, dont certaines sont abordées ailleurs dans le rapport (p. ex., en ce qui concerne le produit du travail et les coordonnées des entreprises). La principale préoccupation de l’ETCOF porte toutefois sur le consentement. L’ETCOF est d’avis qu’il faudrait ajouter une définition de « renseignements personnels des employés » dans la LPRPDE et que l’utilisation, la collecte ou la communication raisonnable de renseignements relatifs à la gestion des relations de travail à des fins commerciales ne devrait pas exiger le consentement de l’employé. Voici les options proposées par l’ETCOF dans son mémoire au Comité :
Plusieurs options s’offrent dans la façon de traiter le consentement d’un employé, y compris l’utilisation d’un consentement implicite ou tacite, ou même l’élimination de devoir obtenir le consentement d’un employé lorsqu’il s’agit de recueillir, d’utiliser ou de communiquer des renseignements personnels dans l’administration raisonnable des relations du travail (semblable à l’approche utilisée en C.‑B. et en Alberta). Nous recommandons que les questions entourant le consentement d’un employé soient examinées et reconsidérées durant le processus de révision de la Loi. [traduction] (décembre 2006, p. 4)
Encore une fois, les Lois sur la protection des renseignements personnels de la Colombie‑Britannique et de l’Alberta, qui abordent la question de l’emploi sous un autre angle, ont été évoquées. Le commissaire à l’information et la protection de la vie privée de la Colombie‑Britannique, David Loukidelis, a expliqué au Comité l’approche adoptée par sa province :
Une organisation de la Colombie-Britannique n’a pas à obtenir le consentement des employés pour recueillir, utiliser et communiquer ces renseignements. Les employeurs n’ont pas pour autant la liberté de faire n’importe quoi dans ce domaine, parce que la définition des renseignements personnels de l’employé précise qu’il s’agit exclusivement des renseignements qu’un employeur recueille à seule fin d’établir, de gérer ou de terminer une relation d’emploi avec une personne particulière. La définition exige en outre que la collecte, l’utilisation et la communication de ces renseignements se limitent à des fins raisonnables liées au travail accompli. La Colombie-Britannique a décidé de ne pas se fonder sur le consentement, reconnaissant que, dans le contexte de l’emploi, celui-ci est souvent imposé parce que l’employé est obligé d’accepter les pratiques de l’employeur, et qu’il ne convient pas, par exemple, de demander à un employeur d’obtenir le consentement d’un employé soupçonné de fraude avant de le soumettre à une surveillance. En effet, vous ne pouvez pas vous attendre à ce qu’une personne que vous soupçonnez de vous voler consente à être surveillée. Par conséquent, au lieu de choisir l’approche du consentement, la Colombie-Britannique a décidé de permettre la collecte, l’utilisation et la communication des renseignements personnels qui s’inscrivent dans la définition […] (29 novembre 2006)
Au début de nos audiences, la commissaire à la protection de la vie privée avait exprimé des mises en garde à propos de l’idée d’adopter les approches retenues par l’Alberta et la Colombie-Britannique en matière de renseignements des employés. Tout en reconnaissant que les renseignements personnels des employés étaient à l’origine de certaines des plaintes les plus délicates qu’elle ait eues à traiter en vertu de la LPRPDE, la commissaire disait craindre que le fait de soustraire, à l’application du processus de consentement, une grande partie des renseignements personnels des employés risquait de priver ces mêmes employés de droits qui leur sont actuellement reconnus en vertu de la LPRPDE. À la fin de l’actuel processus d’examen, la commissaire nous a toutefois proposé une solution qui, selon elle, permettrait de remédier à toutes les préoccupations exprimées. Ainsi, elle préconise de s’inspirer du modèle albertain, à savoir un code relatif aux employés reposant sur le critère des fins raisonnables, et d’y intégrer aussi l’approche adoptée par le Québec pour protéger les renseignements personnels des employés. Ainsi, toute exception à l’égard des renseignements personnels devrait être assortie de l’obligation de respecter la dignité des employés et d’évaluer la situation pour voir s’il n’y a pas d’ingérence abusive dans la vie privée de l’employé.
La commissaire a tenu à préciser que l’établissement des détails du régime qu’elle propose ne sera pas une mince tâche; elle a toutefois proposé de se servir de l’article 7 de la Loi, qui prévoit des exceptions à l’égard de l’obligation d’obtenir le consentement des personnes intéressées avant de recueillir, d’utiliser et de communiquer des renseignements personnels, et d’y ajouter une disposition pour qu’il soit possible de se prévaloir de ces exceptions au moment d’établir ou de gérer une relation d’emploi ou d’y mettre fin. De l’avis de la commissaire, la prise en compte de la notion de dignité améliorerait la capacité du Commissariat de bien saisir l’objet d’une plainte de façon à éviter que le recours aux exceptions ne devienne trop systématique. À cet égard, la commissaire a fourni un exemple d’une exception poussée à l’extrême, au point d’entraîner de l’ingérence dans la vie privée des employés qui étaient notamment assujettis à une surveillance au travail.
Le Comité convient que le principe énoncé dans la LPRPDE en ce qui concerne le consentement ne s’adapte pas facilement au contexte du travail, mais est toutefois conscient du fait que la création d’exceptions à l’exigence de consentement pour les relations entre employés et employeurs, ou l’établissement d’un code distinct relatif à l’emploi est une entreprise complexe. Nous recommandons donc que le gouvernement s’inspire des modèles actuellement en vigueur au Québec, en Colombie-Britannique et en Alberta pour élaborer une approche fédérale convenable qui permette la mise en œuvre d’un modèle viable qui ne nuira pas à la bonne marche des relations de travail et protégera la vie privée des employés.
Recommandation 5
Le Comité recommande que les lois du Québec, de l’Alberta et de la Colombie‑Britannique en matière de protection des renseignements personnels dans le secteur privé soient prises en compte dans le but d’élaborer une modification qui pourrait être intégrée à la LPRPDE, pour tenir compte du contexte particulier dans lequel évoluent les employeurs et les employés régis par des lois fédérales.
La LPRPDE renferme deux dispositions qui permettent la communication à un organisme d’enquête de renseignements personnels à l’insu de l’intéressé et sans son consentement. l’alinéa 7(3)d) prévoit que cette communication peut être faite, à l’initiative de l’organisation, à un organisme d’enquête pour certaines fins précises, tandis que l’alinéa 7(3)(h.2) autorise un organisme d’enquête à communiquer des renseignements à des fins liées à une enquête sur la violation d’une entente ou la dérogation à une loi fédérale ou provinciale. Les organismes d’enquête sont désignés par règlement et ils sont actuellement au nombre de 75 environ.
La plupart des organisations commerciales que nous avons entendues estiment qu’il faudrait modifier la LPRPDE pour remédier aux problèmes liés à la nature et au fonctionnement des organismes d’enquête de même qu’au processus de désignation. Ainsi, certains témoins ont soutenu que les exceptions prévues à l’article 7 en ce qui concerne la collecte, l’utilisation et la communication comportent de nombreuses incohérences qui nuisent aux efforts déployés par les organisations pour détecter et prévenir la fraude. Voici ce qu’a dit à ce sujet l’Association des banquiers canadiens dans son mémoire au Comité :
La Loi comporte des incohérences entre les exemptions relatives à la collecte, à l’utilisation et à la communication de renseignements personnels, qui peuvent nuire aux efforts des banques pour prévenir la fraude contre leurs clients, d’autres clients et la banque. Dans leurs efforts pour prévenir la fraude et enquêter à cet égard, les banques font face à des situations où elles ont besoin de pouvoir recueillir, utiliser et communiquer des renseignements personnels sans le consentement de l’intéressé, mais elles sont incapables de le faire en raison des incohérences de la Loi, entre les paragraphes 7(1), 7(2) et 7(3). Par exemple, bien que la Loi permette à une organisation de recueillir et de communiquer des renseignements sur la violation d’un accord, elle n’autorise pas leur usage interne dans le cours de l’enquête visant, à prévenir d’autres fraudes contre ce client, d’autres clients ou la banque. (janvier 2007, p. 4)
Pour remédier à ces préoccupations, certains témoins ont proposé que, plutôt que de désigner les organismes d’enquête par réglementation, le gouvernement pourrait ajouter à la Loi une définition d’«organisme d’enquête » afin que les organismes puissent se désigner eux‑mêmes à partir d’une liste de critères. Par ailleurs, bon nombre d’organisations ont plaidé en faveur de l’élimination complète de la notion d’« organisme d’enquête » dans la LPRPDE. Elles recommandent que le Comité modifie la LPRPDE en s’inspirant des solutions adoptées par l’Alberta et la Colombie‑Britannique, qui définissent le terme « enquête » dans leurs lois respectives et autorisent à cette fin la collecte, l’utilisation et la communication sans le consentement de l’intéressé. La Loi de la Colombie-Britannique fait expressément mention de la prévention de la fraude dans sa définition.
La commissaire à la protection de la vie privée croit que, malgré sa lourdeur, l’actuel mode de désignation des organismes d’enquête fonctionne bien et n’a pas besoin d’être modifié pour l’instant. Dans le document de discussion qu’elle a remis au Comité, la commissaire souligne qu’elle souscrit à l’actuel processus de désignation parce qu’il est transparent et permet d’exercer une surveillance, du fait, en particulier, que des évaluations des facteurs relatifs à la vie privée doivent être présentées au cours du processus de demande. De même, le processus réglementaire permet d’établir une liste publique précise des organismes désignés comme étant des organismes d’enquête en vertu de la Loi[14].
Le Comité appuie l’idée d’une exception aux principes visant le consentement, aux fins d’enquêtes en vertu de la LPRPDE. Nous jugeons inquiétant le manque de cohérence de l’article 7 de la Loi à cet égard et, dans un souci d’harmonisation, nous recommandons d’adopter l’approche suivie dans les Lois de l’Alberta et de la Colombie-Britannique en matière de protection des renseignements personnels dans le secteur privé. Ces Lois dites de « deuxième génération » autorisent la collecte, l’utilisation et la communication de renseignements personnels sans le consentement du principal intéressé aux fins d’enquête, définie comme étant une enquête sur la violation d’une entente, la dérogation à une fédérale ou provinciale, ou des circonstances ou une conduite pouvant donner lieu à un recours judiciaire.
Recommandation 6
Le Comité recommande de modifier la LPRPDE pour remplacer le processus de désignation des « organismes d’enquête » par une définition du terme « enquête », semblable à celle énoncée dans les Lois de l’Alberta et de la Colombie-Britannique en matière de protection des renseignements personnels, qui prévoit la collecte, l’utilisation et la communication de renseignements personnels sans le consentement du principal intéressé, aux fins d’enquête.
De nombreux représentants d’entreprises ont parlé au Comité de l’absence de dispositions dans la LPRPDE, permettant à une organisation de communiquer des renseignements personnels à des acquéreurs éventuels ou à des partenaires commerciaux, sans avoir obtenu au préalable le consentement des intéressés. Pourtant, les entreprises ont souvent besoin de prendre connaissance de ces renseignements (par exemple des listes de clients) pour évaluer si elles doivent procéder à la transaction — que ce soit une fusion, une acquisition ou la vente d’une entreprise —, et obtenir le consentement de tous les clients est un lourd processus.
Selon le Document de discussion sur l’examen de la LPRPDE de la commissaire à la protection de la vie privée[15], plusieurs provinces sont dotées de lois de protection des données, comme la Loi sur la protection des renseignements personnels sur la santé (LPRPS) de l’Ontario et les Personal Information Protection Acts (PIPA) de l’Alberta et de la Colombie-Britannique qui permettent la communication de renseignements personnels, sans avoir obtenu le consentement de l’intéressé, à des fins de transactions commerciales, sous réserve d’un rigoureux accord de confidentialité. Plusieurs témoins ont préconisé l’ajout d’une disposition semblable dans la LPRPDE, sur le modèle de celles contenues dans les Lois de l’Alberta ou de la Colombie-Britannique, afin de faciliter les transactions commerciales et de protéger le secret commercial dans un contexte de concurrence.
L’article 22 du Personal Information Protection Act de l’Alberta prévoit un régime de communication des renseignements personnels sans consentement lors d’une transaction commerciale, laquelle est définie de façon assez générale comme étant l’achat, la vente, la location, la fusion ou tout autre type d’acquisition ou de cession d’une organisation. Les organisations sont autorisées à communiquer des renseignements personnels, si cela est nécessaire, pour prendre une décision au sujet de la transaction et passer à l’action, mais elles sont aussi obligées de remettre ou de détruire les renseignements si la transaction n’a pas lieu.
L’article 20 du Personal Information Protection Act de la Colombie-Britannique prévoit essentiellement les mêmes conditions pour la communication de renseignements, mais il précise en outre que les renseignements communiqués doivent servir uniquement aux fins pour lesquelles ils ont été recueillis et que les personnes dont les renseignements personnels ont été communiqués doivent être informées de la communication et de la conclusion de la transaction commerciale.
L’Association médicale canadienne a demandé que toute nouvelle disposition concernant la vente ou le transfert d’une entreprise reconnaisse explicitement la situation particulière des renseignements des médecins et des patients, qu’elle explique ainsi :
Les médecins s’efforcent de dispenser aux patients des soins de santé de qualité en temps opportun, tout en faisant face souvent à des exigences multiples et divergentes. Les médecins demandent donc aux législateurs de garantir que toute modification à la LPRPDÉ tiendra compte des répercussions qu’elle pourrait éventuellement avoir sur eux-mêmes ainsi que sur leurs patients. Premièrement, nous demandons l’assurance que les soins de santé soient considérés comme un domaine particulier lorsqu’il est question de la divulgation des renseignements personnels avant la cession d’une entreprise (un médecin qui cède sa pratique à un autre) parce qu’ils sont réglementés à l’échelle provinciale par l’ordre compétent. En règle générale, les médecins doivent prévenir le public du changement de propriétaire de la pratique, soit en publiant une annonce dans un journal, soit en affichant un avis dans le bureau du médecin. (13 décembre 2006)
La commissaire à la protection de la vie privée, dans son mémoire final au Comité, a préconisé la modification de la LPRPDE de façon à créer une version améliorée du modèle de l’Alberta concernant la fusion ou la vente d’entreprises. Sur le plan des améliorations, elle recommande une exigence de diligence raisonnable qui limitera au strict minimum la communication de données identifiables. De plus, après un transfert de propriété, toute personne dont les renseignements ont été transférés sans son consentement doit en être informée le plus tôt possible. Finalement, le nouveau propriétaire devrait être tenu de respecter les politiques de l’ancienne organisation concernant la protection de la vie privée jusqu’à ce que tous les intéressés aient eu la possibilité de décider s’ils veulent être en rapport avec le nouveau propriétaire.
Le Comité convient que la LPRPDE doit être modifiée afin de créer une exception aux exigences de consentement dans le cas de transactions commerciales ou de restructuration d’entreprises. En fait, nous avons pu constater qu’aucun témoin ne s’est opposé à une telle modification. Il reste toutefois à déterminer la meilleure façon de faciliter ces transactions tout en protégeant, le plus possible, la nature privée des renseignements personnels communiqués. Nous remarquons que de nombreux témoins, dont la commissaire à la protection de la vie privée, appuient en particulier le modèle de l’Alberta; nous recommandons par conséquent l’adoption de ce modèle, assorti des améliorations proposées par la commissaire.
Recommandation 7
Le Comité recommande que la LPRPDE soit modifiée par l’ajout d’une disposition habilitant les organisations à recueillir, à utiliser et à communiquer des renseignements personnels sans consentement, aux fins de transactions commerciales. Cette modification pourra s’inspirer de la disposition contenue dans la Loi sur la protection des renseignements personnels de l’Alberta et comprendre les améliorations recommandées par la commissaire à la protection de la vie privée du Canada.
Le Bureau d’assurance du Canada (BAC) a attiré l’attention du Comité sur la question des ententes entre mandants et agents. Le BAC s’inquiète de l’absence dans la LPRPDE de dispositions donnant des précisions sur ce genre d’entente. Ainsi, dans le cadre d’une telle entente, l’agent devrait pouvoir compter sur le consentement accordé au préalable par le mandant pour exercer certaines fonctions. Dans le domaine de l’assurance, les enquêtes et les règlements d’indemnités sont parfois impartis à des bureaux d’experts en sinistres indépendants, et le BAC craint que cette impartition soit considérée comme une communication de renseignements aux fins de la Loi, de sorte qu’il faudrait un consentement distinct à l’intention de l’agent. Dans son mémoire au Comité, le BAC présente les explications suivantes :
L’impartition de fonctions opérationnelles à des agents est un élément essentiel des pratiques commerciales de tous les secteurs des affaires. Un individu raisonnable, dont il est question à l’article 3 et au paragraphe 5(3) de la LPRPDE, s’attendrait à ce qu’un assureur, à l’instar de toute autre entreprise, impartisse certaines fonctions à des agents agissant au nom de l’assureur. Dans le cas où l’agent désirerait utiliser les renseignements personnels à ses propres fins, il lui faudrait obtenir de la part de la personne un consentement distinct pour cette utilisation distincte. (24 novembre 2006, p. 12)
Le BAC renvoie au paragraphe 12(2) du Personal Information Protection Act de la Colombie-Britannique comme solution possible au problème. Il propose autrement d’ajouter à la LPRPDE des définitions des termes « agent », « utilisation » et « communication ». Le libellé du paragraphe 12(2) de la Loi de la Colombie-Britannique est le suivant :
Une organisation peut recueillir des renseignements personnels auprès d’une autre organisation ou en son nom sans le consentement du sujet des renseignements, si
(a) l’intéressé a déjà consenti à ce que l’autre organisation recueille les renseignements personnels, et
(b) les renseignements personnels sont communiqués ou recueillis par l’organisation uniquement :
(i) aux fins pour lesquelles les renseignements avaient été recueillis à l’origine et
(ii) pour lui permettre d’effectuer des travaux au nom de l’autre organisation. [traduction]
Dans le mémoire préparé en prévision du présent examen[16], l’Association du Barreau canadien a aussi soulevé la nécessité d’expliquer la notion d’agent contenue dans la LPRPDE. Elle signale que la règle concernant le traitement par une tierce partie qui est énoncée dans le principe 4.1.3, à l’annexe 1 de la Loi et qui prévoit que l’organisation doit, par voie contractuelle ou autre, fournir un degré comparable de protection aux renseignements qui sont en cours de traitement par une tierce partie, ne précise pas explicitement si le traitement est considéré comme un transfert ou une communication, laquelle nécessiterait un consentement. De plus, l’Association estime que la Loi ne précise pas si l’exception pour les traitements est strictement limitée aux transferts de renseignements aux fins de la paye, des pensions et d’autres mesures administratives (par opposition, par exemple, au travail d’un enquêteur privé dont l’organisation a retenu les services. L’Association propose donc de modifier la LPRPDE de manière à confirmer qu’une organisation puisse recueillir, utiliser et communiquer des renseignements personnels provenant de l’organisation principale, ou en son nom, sans le consentement de l’intéressé, mais seulement si ce dernier a consenti à la collecte, à l’utilisation et à la communication des renseignements par l’organisation principale, et que les renseignements servent à exécuter des travaux au nom de cette dernière.
Le Comité pense aussi qu’il faut éliminer toute ambiguïté concernant l’existence dans la LPRPDE du lien entre mandant et agent. Étant donné que la recommandation de l’Association du Barreau canadien semble essentiellement correspondre au paragraphe 12(2) de la Loi de la Colombie-Britannique, nous recommandons que la LPRPDE soit modifiée de façon à clarifier la relation entre mandant et agent, en s’inspirant de la Loi de la Colombie-Britannique.
Recommandation 8
Le Comité recommande que l’on envisage de modifier la LPRPDE en ce qui concerne la relation entre mandants et agents. Il conviendrait de se reporter au paragraphe 12(2) de la Loi sur la protection des renseignements personnels de la Colombie‑Britannique pour formuler cette modification.
E. Procédure et instance judiciaires
En ce qui concerne les préoccupations exprimées par les témoins au sujet de la façon dont la LPRPDE s’applique aux activités d’application de la loi et d’enquête (voir la rubrique Organismes d’enquête ci-dessous), le Comité a entendu des témoignages selon lesquels il faudrait faire en sorte que la LPRPDE n’ait pas d’effet sur la procédure judiciaire. Voici ce que Brian Bowman de l’Association du Barreau canadien avait à dire à ce sujet dans son mémoire au Comité :
La LPRPDE ne devrait avoir d’incidence ni sur les litiges préexistants, ni sur les procédures de contestation judiciaire communément acceptées et qui évoluent depuis des décennies, voire des siècles. Il faut modifier nombre des exceptions à l’exigence de consentement prévue dans la LPRPDE. Les exceptions actuelles concernant les litiges sont trop limitées et elles devraient, à tout le moins, être élargies pour éviter de nuire à des procédures de contestation bien fondées. Cette étroitesse des exceptions devient évidente dans le cadre d’enquêtes, de communications à sens unique, de collecte et d’utilisation d’information sur les dettes et des restrictions de divulgation pendant un litige. En outre, elle donne lieu à un traitement inadéquat de l’ensemble des aspects du processus : plaidoyer, divulgation orale, médiation, arbitrage privé, règlements à l’amiable, communications entre avocats et autres échanges d’information non ordonnés par un tribunal. Il devrait y avoir une exclusion générale en ce qui concerne l’information qu’une partie peut obtenir en vertu de la loi, dans le cadre d’un litige, et cette exclusion devrait annuler les exceptions particulières actuellement prévues dans la LPRPDE. (11 décembre 2006)
En matière d’instance judiciaire, l’Association du Barreau canadien recommande de s’inspirer des modèles proposés dans les Lois de la Colombie-Britannique et de l’Alberta en matière de protection des renseignements personnels pour formuler les dispositions de la LPRPDE. Les articles 12, 15 et 18 de la Loi de la Colombie-Britannique autorisent la collecte, l’utilisation et la communication de renseignements personnels sans le consentement du principal intéressé, si la collecte, l’utilisation ou la communication avec son consentement risquaient de compromettre l’exactitude des renseignements personnels ou l’accès à ceux-ci et si elles sont raisonnables aux fins d’une enquête ou d’une instance. Les articles 14, 17 et 20 de la loi de l’Alberta autorisent la collecte, l’utilisation et la communication de renseignements personnels sans le consentement du principal intéressé, si la collecte, l’utilisation ou la communication sont raisonnables aux fins d’une enquête ou d’une instance. Les deux Lois définissent les termes « instance » et « instance judiciaire » comme s’appliquant aux poursuites civiles, pénales ou administratives engagées à la suite d’une violation d’entente, d’une dérogation à une loi fédérale ou provinciale ou d’un recours judiciaire ou une voie de droit en common law ou en equity.
Suivant une argumentation assez semblable, le Bureau d’assurance du Canada (BAC) demande qu’une exemption soit prévue pour soustraire les déclarations de témoins à l’obligation d’obtenir un consentement en vertu de la LPRPDE. Le BAC recommande que la définition de « renseignement personnel » soit révisée de manière à préciser que les renseignements personnels communiqués par une personne (« le témoin ») au sujet d’une autre (« le sujet ») soient les renseignements personnels du témoin. Il estime aussi que l’article 7 de la LPRPDE devrait être modifié de manière à permettre à une organisation, dans le cadre d’une enquête et du règlement de différends contractuels ou de réclamations pour pertes ou dommages, de recueillir, d’utiliser et de communiquer la déclaration d’un témoin à l’insu du sujet ou sans le consentement de ce dernier. Voici la justification donnée par le BAC à l’appui de ses propositions :
À notre avis, il serait déraisonnable d’empêcher l’assureur - ainsi que le tribunal et le juré si une poursuite est entamée et l’affaire instruite - de recueillir tous les faits pertinents reliés à l’incident. Nous sommes opposés au principe selon lequel un assureur doit obtenir au préalable le consentement du réclamant ou d’un éventuel réclamant pour obtenir les déclarations des témoins. Cette position peut avoir de graves conséquences car, dans les faits, elle pourrait permettre à une personne d’empêcher une autre (le témoin) de déclarer ce qu’elle a vu ou entendu et empêcherait l’assureur, et le tribunal par ricochet, de recueillir tous les faits pertinents se rapportant à l’incident. (24 novembre 2006, mémoire, p. 4).
Le Comité convient qu’il semble y avoir certaines incohérences dans les exceptions actuellement prévues relativement à l’application des dispositions de la LPRPDE exigeant l’obtention d’un consentement, et qu’il serait préférable d’assouplir l’approche adoptée à cet égard. Nous avons entendu divers témoignages à ce sujet. De façon précise, en ce qui concerne les procédures ou instances judiciaires, le Comité croit que les dispositions de la LPRPDE sur la protection des renseignements personnels ne devraient pas nuire au bon déroulement d’une instance judiciaire et qu’il y a peut-être lieu d’apporter une modification pour soustraire à l’obligation d’obtenir un consentement les renseignements nécessaires aux fins d’une procédure judiciaire. Il faudrait, à cet égard, chercher à harmoniser la LPRPDE aux Lois de la Colombie-Britannique et de l’Alberta.
Le Comité juge préoccupants aussi les témoignages recueillis au sujet des déclarations de témoins et des renseignements personnels qu’elles contiennent. Nous savons que les compagnies d’assurance, lorsqu’elles font enquête pour régler un sinistre, sont aux prises avec la question de savoir si elles doivent obtenir le consentement du réclamant ou d’un éventuel réclamant quand des renseignements à son sujet sont contenues dans une déclaration de témoin. De plus, des assureurs nous ont signalé qu’ils hésitent à donner l’accès aux déclarations de témoins aux réclamants qui affirment avoir le droit de consulter ces documents du fait que ceux-ci constituent des renseignements personnels qui les concernent.
Nous n’avons pas recueilli de témoignages à ce sujet de la part d’organismes de protection de la vie privée ni de la part de la commissaire fédérale, mais nous estimons néanmoins qu’il faudrait peut-être nous demander s’il n’y a pas moyen de traiter des déclarations de témoins dans la LPRPDE autrement que par l’ajout de l’exception que nous proposons aux fins d’enquêtes (Recommandation 6) et des exceptions suivantes applicables aux procédures et instances judiciaires.
Recommandation 9
Le Comité recommande que la LPRPDE soit modifiée de façon à créer une exception — essentiellement comme celle que prévoient les Lois sur la protection des renseignements de l’Alberta et de la Colombie-Britannique — pour soustraire à l’obligation d’obtenir un consentement les renseignements auxquels une partie à une instance a légitimement accès.
Recommandation 10
Le Comité recommande que le gouvernement consulte la commissaire à la protection de la vie privée afin de déterminer s’il faut apporter d’autres modifications à la LPRPDE pour régler la question des déclarations de témoins et des droits des personnes dont les renseignements personnes sont contenues dans ces déclarations.
F. Exceptions aux exigences en matière de consentement pour la collecte de renseignements à des fins personnelles, familiales et d’intérêt public
L’alinéa 7(3)e) de la LPRPDE autorise la communication de renseignements personnels sans le consentement des intéressés « à toute personne qui a besoin du renseignement en raison d’une situation d’urgence mettant en danger la vie, la santé ou la sécurité de toute personne et, dans le cas où la personne visée par le renseignement est vivante, l’organisation en informe par écrit et sans délai cette dernière ». Certains témoins estiment toutefois que la portée de cette disposition n’est pas assez large pour s’appliquer à d’autres situations qui justifieraient elles aussi l’invocation d’une exception semblable.
Le Comité a entendu le Bureau d’assurance du Canada (BAC) et la Financial Advisors Association of Canada (Advocis) affirmer qu’il serait utile de prévoir une exemption à l’obligation d’obtenir un consentement en vertu de la LPRPDE dans le cas des bénéficiaires (désignés, par exemple, par testament ou dans une police d’assurance). Le BAC a fait valoir, par exemple, qu’il arrive souvent, dans le domaine de l’assurance, qu’une personne demande une assurance et que la police d’assurance soit souscrite à son nom, mais que d’autres personnes soient nommées dans la police ou y figurent à titre d’assurés supplémentaires ou de bénéficiaires. Le BAC demande donc à ce qu’une disposition de la LPRPDE stipule qu’une personne puisse donner son consentement au nom d’une autre, si cette autre personne peut se prévaloir d’un produit ou d’un service dans le cadre duquel ses renseignements personnels ont été fournis. À cet égard, certains ont évoqué le paragraphe 8(2) du Personal Information Protection Act de la Colombie-Britannique, qui est libellé comme suit :
Le particulier est réputé consentir à la collecte, à l’utilisation ou à la communication de renseignements personnels pour obtenir les avantages ou la protection découlant d’une assurance, d’une pension ou d’un régime, contrat ou police semblable lorsque les conditions suivantes sont remplies :
a) il est bénéficiaire ou a un intérêt comme assuré au titre du régime, de la police ou du contrat;
b) il n’est pas le requérant ou le proposant aux fins du régime, de la police ou du contrat.
Advocis recommande d’envisager la possibilité de s’inspirer du libellé de l’alinéa 14a) du Personal Information Protection Act de l’Alberta pour permettre aux conseillers financiers de recueillir de l’information au sujet de tierces parties au moment d’élaborer un plan financier pour leurs clients. Le paragraphe 14a) autorise une organisation à recueillir des renseignements personnels sans le consentement de l’intéressé lorsqu’« une personne raisonnable estimerait que la collecte des renseignements est manifestement dans l’intérêt du particulier et [qu’]il est impossible d’obtenir le consentement de celui-ci en temps opportun ou [qu’]il est raisonnable de s’attendre à ce que le particulier en question donne son consentement ».
L’Association des banquiers canadiens (ABC) a évoqué des situations comme les catastrophes naturelles, lorsque les membres d’une famille veulent savoir si un proche a survécu ou veulent obtenir de l’information à son sujet, et d’autres, dans le contexte du travail, où un employeur a des renseignements importants à transmettre à un employé, mais est incapable de le joindre et doit communiquer avec le plus proche parent ou la personne-ressource désignée. Les banquiers s’inquiètent également de l’incidence des abus financiers dont sont victimes les aînés et de l’incapacité de la LPRPDE de remédier à ce problème. Voici comment M. Warren Law de l’ABC a exprimé les préoccupations des banquiers à cet égard :
Dans le contexte bancaire, une telle situation survient, par exemple, lorsqu’un banquier soupçonne un abus financier — surtout dans le cas des aînés — au moment où un client retire de l’argent de son compte. Ce client semble subir la pression de la personne qui l’accompagne où le retrait ne reflète pas ses habitudes.
Avant l’entrée en vigueur de la Loi sur la protection des renseignements personnels et les documents électroniques, les banques pouvaient, en vertu de la common law, faire part de leurs soupçons aux autorités compétentes, à la famille du client vulnérable ou à toute autre personne responsable qui aurait pu faire enquête et empêcher l’abus. Les abus financiers des aînés sont un enjeu important au Canada. Le public et les familles de ces clients s’attendent à ce que les banquiers aident à les prévenir. Cependant, en vertu de la législation actuelle, même si les employés des succursales bancaires veulent apporter leur aide, ils ne sont pas autorisés à le faire, car aucune exception ne s’applique à ces situations. Nous recommandons une exemption supplémentaire en ce qui a trait à la communication sans consentement lorsque c’est dans l’intérêt public. (30 janvier 2007)
L’ABC recommande que le paragraphe 7(3) de la LPRPDE soit modifié de façon à permettre la communication de renseignements personnels aux autorités compétentes, aux proches ou à une personne désignée par le principal intéressé lorsque la divulgation de cette information est dans l’intérêt du principal intéressé ou dans l’intérêt public.
Dans son mémoire à Industrie Canada en prévision du présent examen de la Loi par le Comité[17], l’Association du Barreau canadien recommande de prendre certains facteurs en considération au moment d’évaluer la pertinence de s’appuyer sur un consentement obtenu indirectement par l’intermédiaire d’une autre personne. Par exemple, la nature de la transaction, la sensibilité des renseignements personnels, la nature du lien qui unit la personne à celle qui confirme son consentement et la mesure à laquelle la collecte, l’utilisation ou la communication profite à l’intéressé sont tous des facteurs qui devraient figurer dans la Loi au nombre des critères d’évaluation.
La commissaire à la protection de la vie privée est d’avis que certaines exceptions très précises devraient être envisagées à cet égard en ce qui concerne les exigences en matière de consentement. Elle a mentionné, à ce sujet, les exemples suivants : communication de renseignements à la famille d’une personne blessée, malade ou décédée, ou encore nécessité d’aviser dans des situations d’urgence en milieu communautaire.
Comme il est mentionné au début du présent rapport, le Comité est conscient de la nécessité d’harmoniser la LPRPDE aux lois provinciales en matière de protection des renseignements personnels dans le secteur privé. C’est là un cas où il faudrait prendre en considération les dispositions pertinentes des lois du Québec, de l’Alberta et de la Colombie-Britannique. Le Comité hésite toutefois à recommander l’utilisation de l’expression « intérêt public » dans ce contexte, étant donné son ambiguïté possible et le fait que nous avons entendu beaucoup de témoignages au sujet de l’imprécision des termes ou du manque de clarté des dispositions actuelles de la LPRPDE. Cela dit, nous sommes conscients que le recours à une expression générale comme « intérêt public » peut être nécessaire pour offrir la souplesse voulue à l’application d’une telle exemption.
Recommandation 11
Le Comité recommande que la LPRPDE soit modifiée par
l’ajout de nouvelles exceptions aux exigences en matière de consentement pour
permettre la collecte de renseignements à des fins personnelles, familiales et
d’intérêt public, de façon à harmoniser l’approche fédérale avec celles
adoptées par le Québec, l’Alberta et la
Colombie-Britannique dans leurs lois respectives sur la protection des
renseignements personnels dans le secteur privé.
G. Application de la loi et sécurité nationale
L’alinéa 7(3)c.1) de la LPRPDE habilite les organisations à communiquer des renseignements personnels aux institutions gouvernementales, à l’insu et sans le consentement du principal intéressé et sans autorisation judiciaire, dans des situations précises, aux fins de l’application de la loi et de la sécurité nationale. Des témoins s’inquiètent de ce que désigne « institution gouvernementale » dans cette disposition et proposent que des précisions soient apportées, car les renseignements sont communiqués à ce type d’entité sans que la personne concernée le sache ou y consente.
L’Association du Barreau canadien, par exemple, a recommandé d’ajouter à la LPRPDE une définition d’« institution gouvernementale » afin de préciser si, aux fins de la communication, le terme comprend ou non les entités municipales, provinciales, territoriales, fédérales et non canadiennes. La Clinique d’intérêt public et de politique d’Internet du Canada (CPPIC) insiste pour que l’expression « institution gouvernementale » figurant aux alinéas 7(3)c.1) et d) s’applique uniquement aux institutions gouvernementales canadiennes, étant donné les inquiétudes que suscitent chez la population canadienne le niveau d’impartition à l’étranger du traitement des renseignements, et les pouvoirs qu’ont les agences étrangères d’obtenir ces données sur demande auprès d’entreprises privées. Ainsi, les gouvernements étrangers qui souhaitent obtenir des renseignements sur des Canadiens devront passer par les entités gouvernementales canadiennes.
Une autre question soulevée relativement à l’alinéa 7(3)c.1) portait sur le sens « d’autorité légitime ». Certains témoins, comme les représentants de la BC Freedom of Information and Privacy Association et de la BC Civil Liberties Association, sont d’avis que les entreprises privées devraient exiger que la police ou l’organisme d’enquête concerné produise une ordonnance judiciaire (sauf dans des cas exceptionnels ou urgents) avant de divulguer un renseignement personnel en vertu de cette disposition. Par contre, selon les représentants de l’Association canadienne des chefs de police (ACCP), du Centre canadien de ressources pour les victimes de crimes et de la GRC, l’interprétation stricte des dispositions de la LPRPDE concernant la communication volontaire par des entreprises de renseignements personnels non sensibles, nuit à l’application de la Loi. M. Clayton Pecknold, de l’Association canadienne des chefs de police, a expliqué le problème au Comité de la manière suivante :
Pour prendre un autre exemple, un policier peut débuter une enquête sur une disparition et chercher à établir s’il y a eu crime. Il devra peut-être demander l’aide d’une institution financière pour savoir si la personne disparue a acheté de l’essence dans une station-service ou si elle a utilisé une carte de crédit, ou encore il devra établir si elle possède un téléphone cellulaire d’une compagnie donnée. Pour obtenir ces renseignements, nous invoquons l’alinéa 7(3)c.1) qui permet d’obtenir le renseignement en mentionnant la source de l’autorité légitime, comme on vous l’a dit tout à l’heure. Néanmoins, nous constatons de plus en plus que certaines entreprises considèrent que l’autorité légitime doit prendre la forme d’un mandat ou d’une ordonnance du tribunal. Nous vous faisons respectueusement remarquer que cette interprétation n’est pas, selon nous, conforme aux intentions du législateur. Cette interprétation qui témoigne certainement d’un désir légitime de protéger la vie privée des clients de l’entreprise est beaucoup trop limitative et va à l’encontre de l’intention de l’alinéa 7(3)c.1). (13 février 2007)
L’ACCP, le Centre canadien de ressources pour les victimes de crimes et la GRC ont tous recommandé que l’alinéa 7(3)c.1) soit modifié afin de préciser que le principe d’autorité légitime n’oblige pas à produire une ordonnance judiciaire afin d’obtenir la communication de renseignements.
Le Comité convient que la notion d’autorité légitime, aux fins de la communication en vertu de l’alinéa 7(3)c.1), suscite des préoccupations valables. Manifestement, il faut prévoir autre chose qu’une autorisation judiciaire en vertu de cette disposition, étant donné que l’alinéa 7(3)c) prévoit déjà la communication de renseignements à l’insu et sans le consentement de l’intéressé, sur production d’une assignation ou d’un mandat. Nous estimons donc important de préciser ce que l’on entend par « autorité légitime » aux fins de l’alinéa 7(3)c.1), à l’intention tant des organisations que des organismes d’application de la loi. De plus, le Comité estime qu’il faut envisager de remplacer le mot « peut » dans la formule introductive du paragraphe 7(3) afin que la disposition soit de nature obligatoire plutôt que facultative. Nous comprenons, étant donné la nature facultative du paragraphe 7(3) et la façon dont ce dernier s’insère dans le cadre de la Loi, qu’il faudra peut-être limiter l’application obligatoire aux dispositions de communication qui visent des questions d’application de la loi et de sécurité nationale.
Le Comité convient aussi qu’il faut préciser ce que désigne l’expression « institution gouvernementale » aux alinéas 7(3)c.1) et d) de la LPRPDE. Les organisations devraient plus particulièrement savoir si le terme comprend les entités municipales, provinciales, territoriales et fédérales ainsi que les entités non canadiennes.
Recommandation 12
Le Comité recommande que l’on envisage de préciser ce que l’on entend par « autorité légitime » à l’alinéa 7(3)c.1) de la LPRPDE et que la formule introductive du paragraphe 7(3) soit modifiée pour se lire comme suit : « Pour l’application de l’article 4.3 de l’annexe 1 et malgré la note afférente, l’organisation doit communiquer des renseignements personnels à l’insu de l’intéressé et sans son consentement dans les cas suivants :[…]>».
Recommandation 13
Le Comité recommande que l’expression « institution gouvernementale » aux alinéas 7(3)c.1) et d) de la LPRPDE soit éclaircie afin de préciser si elle comprend les entités municipales, provinciales, territoriales, fédérales et non canadiennes.
L’alinéa 7(1)e) a été ajouté à la LPRPDE en vertu de la Loi sur la sécurité publique de 2002 qui a modifié un certain nombre de lois fédérales en 2004, dans la foulée des événements du 11 septembre 2001 aux États-Unis. Avant 2004, les organisations assujetties à la LPRPDE étaient habilitées à communiquer des renseignements personnels à l’insu de l’intéressé et sans son consentement pour des motifs liés à la sécurité nationale, à la défense du Canada et à la conduite des affaires internationales ou quand la Loi l’exigeait (alinéa 7(3)c.1) et sous-alinéas 7(3)d)(ii) et 7(3)(i)). En vertu des modifications imposées par la Loi sur la sécurité publique, les organisations peuvent maintenant aussi recueillir et utiliser les renseignements personnels à l’insu de l’intéressé et sans son consentement, en vue de les communiquer aux fins précitées. Or, c’est ce nouveau pouvoir de collecte qui inquiète particulièrement les défenseurs de la vie privée.
Le Comité a entendu des particuliers ainsi que des organisations de protection de la vie privée déclarer que l’alinéa 7(1)e) de la LPRPDE a le défaut non seulement de contourner le régime du consentement soigneusement construit par la Loi, mais aussi d’effacer la séparation entre le secteur privé et l’application de la loi[18]. Murray Long, consultant en matière de protection de la vie privée, a formulé les commentaires suivants au sujet de la disposition :
Pour comprendre les conséquences découlant de cette modification, il convient de connaître la signification du mot « recueillir ». Alors que le mot « utilisation » est lié à l’administration et à différentes autres utilisations des renseignements personnels existants qui ont été recueillis antérieurement, le mot « recueillir » renvoie à l’acquisition de nouveaux renseignements qui n’existaient pas antérieurement au sein de l’organisation.
Aux termes de la modification apportée par la Loi sur la sécurité publique, les organisations peuvent désormais recueillir de nouveaux renseignements sur leurs clients et leurs employés ou sur toute autre partie lorsqu’elles jugent que l’intérêt national est en jeu et aux fins de les divulguer ultérieurement à une agence de sécurité.
Cela peut engendrer de nombreux abus des droits individuels à la protection de la vie privée. (6 février 2007, mémoire, p. 8)
La commissaire à la protection de la vie privée, dans son mémoire au Comité, s’est dite très préoccupée par le libellé général de l’alinéa 7(1)e). Selon elle, cette disposition, puisqu’elle s’applique à toute organisation assujettie à la LPRPDE, a malheureusement pour effet de déléguer au secteur privé des activités d’application de la loi, sans l’obligation correspondante de rendre compte publiquement[19]. La commissaire réclame, comme elle l’a fait au moment de l’adoption de la Loi sur la sécurité publique de 2002, que l’alinéa 7(1)e) de la LPRPDE soit abrogé, ou à tout le moins que sa portée soit plus restreinte.
Dans une lettre datée du 20 mars 2007, que le président a livré personnellement le même jour, le Comité a demandé son aide au ministre de la Sécurité publique afin de régler les questions soulevées par les témoins dans ce domaine. Plus précisément, le ministre a été prié de comparaître ou de présenter ses commentaires par écrit dans un délai d’environ une semaine, afin que le Comité puisse remettre son rapport à temps à la Chambre des communes. Comme le ministre n’a pas répondu, le Comité, compte tenu des témoignages recueillis et après un débat réfléchi, formule la recommandation qui suit :
Recommandation 14
Le Comité recommande que l’alinéa 7(1)e) soit retiré de la LPRPDE.
RENSEIGNEMENTS PERSONNELS SUR DES MINEURS
Certains témoins voudraient inclure dans la LPRPDE des règles spéciales conçues pour protéger les enfants contre la collecte, l’utilisation ou la communication abusive de leurs renseignements personnels. Valerie Steeves, professeure à l’Université d’Ottawa, a expliqué au Comité les moyens subtils utilisés sur Internet pour recueillir des renseignements personnels sur les enfants. Elle décrit des sites Web très en vogue qui offrent aux enfants la possibilité de jouer à certains jeux, à condition de remplir des sondages de marketing.
Il s’agit d’enfants de 9 ans qui jouent. Ils ne communiquent pas de l’information à des fins commerciales. Pourtant, le genre de loi que nous avons mise en place permet aux sociétés de créer cette sorte d’environnement et d’user d’un mécanisme de consentement assez douteux pour recueillir de l’information et lui donner la forme d’un bien commercial. (29 novembre 2006)
Philippa Lawson, de la Clinique d’intérêt public et de politique d’Internet du Canada (CIPPIC), a exhorté le Comité à recommander que la LPRPDE soit modifiée afin d’établir des limites spéciales concernant la « collecte d’information auprès des enfants dont la crédulité et l’ignorance peuvent facilement être exploitées par des intérêts commerciaux[20] ». La CIPPIC recommande d’inclure dans la Loi des règles spéciales limitant la collecte, l’utilisation et la communication des renseignements personnels des enfants, ainsi que des sanctions strictes en cas d’infraction. L’Association canadienne du marketing a d’ailleurs fait état à cet égard du Code canadien de pratiques pour la protection des consommateurs dans le commerce électronique.
En réponse à une discussion sur la collecte de renseignements personnels sur les enfants, le commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique, David Loukidelis, a formulé les commentaires suivants, disant que des mesures législatives ont été prises aux États-Unis, mais que la question est encore à l’étude au Canada :
Les enquêtes auprès des enfants soulèvent clairement des questions très délicates au sujet de la capacité des jeunes de comprendre ce à quoi ils s’engagent lorsqu’ils donnent des renseignements. Ces questions ont été jugées assez délicates par le Congrès des États-Unis pour qu’il adopte en 1998 le Children’s Online Privacy Protection Act sur la protection des renseignements personnels donnés en ligne par des enfants. Au Canada, notre expérience dans ce domaine reste assez limitée. De mon côté, j’espère qu’en Colombie-Britannique, nous pourrons, trois ans seulement après l’adoption de notre Loi, continuer à collaborer avec l’industrie pour assurer le respect des principes généraux dans le cas des enfants et, d’une façon plus générale, pour tous ces problèmes technologiques. J’espère que notre Loi donnera de bons résultats dans sa forme actuelle, sans qu’il soit nécessaire de changer radicalement notre approche à l’égard de certaines de ces technologies. (29 novembre 2006)
L’Association du Barreau canadien (ABC) présente, dans le mémoire préparé en prévision de l’examen de 2006 de la LPRPDE, un bref examen des questions touchant le consentement des mineurs[21]. L’ABC affirme que l’on ne sait pas vraiment si les mineurs peuvent consentir à des activités en ligne sans le consentement de leurs parents. Selon l’Association, il faut préciser quand les mineurs peuvent donner un tel consentement et il faudrait envisager de fixer un âge minimum, en deçà duquel le consentement ne peut être accordé sans l’approbation des parents. Elle recommande que la LPRPDE soit modifiée afin de préciser que les mineurs peuvent consentir à la collecte, à l’utilisation et à la communication de leurs renseignements personnels s’ils comprennent la nature du consentement accordé et ses conséquences et que, en deçà d’un certain âge (13 ans, par exemple), le consentement doit provenir du père, de la mère ou du tuteur légal.
Dans son document de fond intitulé Examen, prévu par la loi, de la Loi sur les renseignements personnels et les documents électroniques : aperçu de la consultation du CPVP[22], la commissaire à la protection de la vie privée mentionne qu’un groupe de défense des droits des consommateurs a abordé la question des renseignements personnels des mineurs, mais elle n’a pas pris position sur la nécessité de modifier la Loi à cet égard. Il se peut qu’elle ait évité de se prononcer parce qu’il incombe aux provinces d’établir l’âge auquel les enfants sont capables d’agir de façon indépendante. Néanmoins, le Comité estime que la question du consentement à l’égard de la collecte, de l’utilisation et de la communication des renseignements personnels de mineurs dans un contexte commercial est suffisamment importante pour mériter une étude plus approfondie, ainsi que des commentaires de la part de la commissaire à la protection de la vie privée et d’autres intervenants.
Recommandation 15
Le Comité recommande que le gouvernement examine la question du consentement des mineurs concernant la collecte, l’utilisation et la communication de leurs renseignements personnels dans un contexte commercial, en vue de modifier la LPRPDE à cet égard.
IMPARTITION DE DONNÉES (CIRCULATION TRANSFRONTALIÈRE DE RENSEIGNEMENTS PERSONNELS)
Dans l’actuel contexte de haute technologie et de mondialisation des échanges, l’impartition du traitement des données devient de plus en plus systématique. Cette pratique toujours plus répandue nous incite toutefois à nous demander si les renseignements personnels des Canadiens qui sont communiqués à des organisations non canadiennes sont aussi bien protégés à l’étranger qu’ils le sont au Canada. La plupart des entreprises estiment que la LPRPDE offre actuellement une protection suffisante à cet égard. Certains évoquent le principe de responsabilité énoncé dans la LPRPDE (principe 1, annexe 1), qui stipule que toute organisation est responsable des renseignements personnels qu’elle a en sa possession. De façon précise, le principe 4.1.3 prévoit que cette responsabilité s’applique aussi aux renseignements confiés à une tierce partie aux fins de traitement. Dans son mémoire au Comité, l’Association canadienne de la technologie de l’information (ACTI) résume le point de vue du monde des affaires :
Le principe de responsabilité contenu dans la LPRPDE exige que les entreprises qui font des affaires au Canada fassent preuve de transparence et informent le public de leurs pratiques en matière de protection des renseignements personnels. Il exige aussi qu’elles concluent des ententes contractuelles pour assurer une protection similaire aux renseignements personnels transférés à l’étranger. À ce chapitre, la LPRPDE, de même que le droit des contrats et des mandats, tiennent compte des réalités commerciales, juridiques et technologiques d’ordre pratique[…] L’imposition de restrictions accrues à l’égard de la circulation transfrontalière de renseignements personnels en vertu de la LPRPDE pourrait nuire à la compétitivité des entreprises canadiennes sur la scène mondiale. (11 décembre 2006)
D’autres témoins par contre ont réclamé la mise en œuvre de mécanismes plus rigoureux de protection des renseignements personnels qui s’appliqueraient au partage transfrontalier de renseignements par le secteur privé. Certains ont invoqué des arguments en faveur de l’adoption de règles précises pour protéger les renseignements personnels transférés à l’extérieur du pays et cité l’exemple de la Loi sur la protection des renseignements personnels dans le secteur privé[23] en vigueur au Québec, qui oblige toute personne qui communique des renseignements au sujet de citoyens québécois à des personnes à l’extérieur de la province à prendre tous les moyens raisonnables pour s’assurer que les renseignements ne seront pas communiqués à des tiers sans le consentement des principaux intéressés, sauf dans les cas prévus par la loi. Dans son mémoire au Comité, Brian Bowman, de l’Association du Barreau canadien, a formulé à ce sujet un certain nombre de propositions à examiner :
La LPRPDE devrait prévoir des exigences préventives appropriées visant à protéger les renseignements lorsqu’ils sont transférés de l’autre côté de la frontière. Nous avons considéré au préalable de nombreuses solutions de rechange afin de réaliser cet objectif, comme une exigence obligeant les organisations qui transfèrent des renseignements à des entités étrangères à établir des ententes écrites visant à assurer la sécurité et la protection des renseignements contre la divulgation ou l’accès non autorisé conformément aux lois canadiennes. […] Dans son mémoire précédent, la Section de l’ABC a également analysé des options en vue d’une exigence en matière d’avis ou de consentement pour les renseignements transférés de l’autre côté d’une frontière. Chacune de ces options se traduirait par la fourniture d’un type d’avis aux personnes dont les renseignements personnels seraient transférés à l’extérieur du Canada ou par l’obtention de leur consentement. La modification de la LPRPDE afin de mettre en œuvre une exigence en matière d’avis ou de consentement pour le transfert transfrontalier de renseignements doit être considérée soigneusement quant aux avantages et aux désavantages d’une telle approche. (11 décembre 2006)
La B.C. Freedom of Information and Privacy Association et la B.C. Civil Liberties Association nous ont aussi rappelé les questions suscitées en Colombie-Britannique par le transfert aux États-Unis du traitement de dossiers médicaux et par les inquiétudes exprimées au sujet de la portée du U.S. Patriot Act. Adoptée dans la foulée des événements du 11 septembre 2001, cette mesure législative a pour but d’accroître la capacité du gouvernement américain de mener des fouilles et de saisir des documents, ou d’en exiger la communication. Le gouvernement de la Colombie-Britannique a finalement modifié sa Loi sur la protection des renseignements personnels dans le secteur public pour donner suite aux préoccupations exprimées concernant la possibilité que des renseignements personnels soient divulgués sans autorisation à des autorités américaines. Au moment de sa comparution devant le Comité, le commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique, David Loukidelis, a parlé du problème de l’impartition en Colombie-Britannique et a expliqué la distinction qu’il convient de faire, à son avis, entre le secteur public et le secteur privé en ce qui concerne la protection des renseignements qui sont transférés outre-frontière :
Trois semaines avant le dépôt de notre rapport qui avait abouti à cette conclusion, l’Assemblée législative provinciale a décidé de modifier la Loi sur l’accès à l’information et la protection des renseignements personnels de la Colombie-Britannique pour établir d’une façon encore plus claire que les ordonnances de tribunaux étrangers n’avaient pas d’effet extraterritorial au Canada et pour imposer aux organismes publics de la Colombie-Britannique quelques autres exigences liées à la protection des renseignements personnels.
Aucune modification de ce genre n’a été apportée au PIPA, c’est-à-dire à la loi sur la protection des renseignements personnels dans le secteur privé. Dès le départ, j’avais établi une nette distinction entre le secteur public — à l’égard duquel les citoyens n’ont pas le pouvoir de consentir ou non à la décision prise par le gouvernement de donner à contrat la prestation de service public touchant leurs renseignements médicaux personnels — et le secteur privé où, en principe et en pratique aussi, à mon avis, les gens ont leur mot à dire. S’ils ne sont pas satisfaits des pratiques de l’entreprise en matière de renseignements personnels, ils peuvent toujours s’adresser ailleurs pour obtenir les biens et les services dont ils ont besoin. Je crois que cette distinction est bien réelle et qu’elle justifie un traitement différent, selon qu’il s’agit du secteur public ou du secteur privé. (29 novembre 2006)
La commissaire fédérale à la protection de la vie privée ne voit pas non plus la nécessité de modifier la loi fédérale sur la protection des renseignements personnels dans le secteur privé pour statuer sur l’impartition de données. À son avis, la meilleure façon de résoudre cette question consiste à se reporter au principe de responsabilité de la LPRPDE ainsi qu’aux lignes directrices actuelles du Conseil du Trésor concernant l’impartition[24]. La commissaire a souligné qu’elle participe aussi aux pourparlers sur cette question à l’échelle internationale. Par exemple, elle préside un Groupe de travail de l’Organisation de coopération et de développement économiques (OCDE) sur la sécurité de l’information et de la vie privée, dont le but est de relever les défis transfrontaliers que pose l’application effective des lois sur la protection de la vie privée.
Le Comité convient avec la commissaire à la protection de la vie privée qu’il n’est pas nécessaire de modifier la LPRPDE en ce qui concerne la circulation transfrontalière de renseignements personnels. À notre avis, la Loi renferme déjà des exigences suffisantes en matière de responsabilité et offre la souplesse voulue aux entreprises pour que les renseignements personnels soient dûment protégés lorsqu’ils franchissent nos frontières. Nous encourageons toutefois la commissaire à poursuivre son travail auprès de différents organismes et au sein du gouvernement fédéral, afin que cette question reçoive toute l’attention qu’elle mérite.
Recommandation 16
Le Comité recommande qu’aucune modification ne soit apportée à la LPRPDE en ce qui concerne la circulation transfrontalière de renseignements personnels.
RENSEIGNEMENTS PERSONNELS SUR LA SANTÉ
Même si la LPRPDE est entrée en vigueur le 1er janvier 2001, elle n’est applicable aux renseignements personnels sur la santé que depuis le 1er janvier 2002, en raison des amendements qui y avaient été apportés à l’état du projet de loi (C-6). Dans son rapport de décembre 1999, le Comité sénatorial permanent des affaires sociales, des sciences et de la technologie a constaté l’incertitude entourant l’application aux renseignements personnels sur la santé des dispositions du projet de loi C-6 visant à protéger la vie privée.
Le Comité sénatorial estimait nécessaire, afin de dissiper l’incertitude, d’apporter des précisions et d’ajouter des mesures législatives. Il jugeait important en particulier d’adopter des dispositions plus précises concernant, par exemple, le consentement éclairé et l’utilisation à une fin secondaire des renseignements personnels sur la santé. Le Comité sénatorial avait recommandé par conséquent que le projet de loi soit amendé pour y inclure une définition des « renseignements personnels sur la santé » et que l’application de la Loi à ce type de renseignement soit suspendue pour une période d’un an après l’entrée en vigueur du projet de loi. Le Comité sénatorial espérait que cette suspension temporaire de la partie I du projet de loi inciterait les intervenants et les gouvernements à trouver une solution appropriée pour la protection des renseignements personnels sur la santé.
D’après les témoignages recueillis par le Comité actuel lors de son examen de la LPRPDE, ce sursis dans l’application de la LPRPDE aux renseignements personnels sur la santé a permis au gouvernement fédéral de travailler en collaboration avec le milieu de la santé, ainsi que le Commissariat à la protection de la vie privée, à l’élaboration d’un ensemble de lignes directrices appelées outils de sensibilisation à la LPRPDE (OSAL). M. Wayne Halstrom, de l’Association dentaire canadienne (ADC), a formulé les commentaires suivants au sujet de l’initiative des OSAL :
L’ADC a apprécié que le gouvernement fédéral conçoive une initiative fournissant à nos membres l’information nécessaire pour comprendre leurs obligations découlant de la LPRPDE au lieu de simplement donner un avis juridique sur la façon dont la LPRPDE s’appliquerait aux dentistes. L’ADC a fait partie du groupe de travail qui s’est réuni régulièrement avec les représentants du Commissariat à la protection de la vie privée et des ministères de la Justice, de la Santé et de l’Industrie pour créer des outils de sensibilisation à la LPRPDE pour le secteur de la santé ou, comme on l’a déjà mentionné, l’initiative des OSAL. Ce processus a produit le contenu final qui sert de base à l’interprétation de la LPRPDE par le gouvernement fédéral, c’est-à-dire une série de questions et de réponses simples qui clarifient, entre autres, les exigences relatives au consentement, à la communication des renseignements personnels sur la santé aux compagnies d’assurances privées, à la sauvegarde des données dans les bureaux, et aux demandes de modification des renseignements figurant sur les fiches dentaires. (13 décembre 2006)
L’ADC, l’Association médicale canadienne et l’Association des pharmaciens du Canada se sont toutes exprimées en faveur de l’initiative des OSAL, mais elles ont aussi recommandé de donner un caractère juridique au document des OSAL ou de l’intégrer d’une façon ou d’une autre à la LPRPDE. Dans son mémoire au Comité, Inforoute Santé du Canada inc. a aussi souligné que l’examen actuel fournit l’occasion de clarifier l’application de la LPRPDE dans le secteur des soins de santé[25].
Le Comité est sensible à la volonté de donner plus de clarté et de cohérence à l’application de la LPRPDE aux renseignements personnels sur la santé; cependant, nous ne sommes pas convaincus de l’intérêt d’ajouter encore une autre annexe à la Loi, surtout que le document des OSAL est essentiellement un feuillet de questions et de réponses destiné à aider à comprendre la LPRPDE et non à servir de conseils juridiques. Le Comité recommande par conséquent que le gouvernement consulte encore les parties prenantes du secteur de la santé ainsi que le Commissariat à la protection de la vie privée afin de déterminer quels éléments des OSAL, s’il en est (par exemple ce qui concerne le consentement implicite), peuvent être inscrits dans le cadre législatif de la LPRPDE.
Recommandation 17
Le Comité recommande que le gouvernement consulte les membres du secteur des soins de santé et le Commissariat à la protection de la vie privée du Canada afin de déterminer quels éléments du document sur les outils de sensibilisation à la LPRPDE pourraient être énoncés sous forme législative.
POUVOIRS DE LA COMMISSAIRE FÉDÉRALE À LA PROTECTION DE LA VIE PRIVÉE
1. Pouvoir de rendre des ordonnances
Comme nous l’avons signalé au début du rapport[26], la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est fondée sur le modèle de l’ombudsman puisque la fonction première de la commissaire à la protection de la vie privée est de faire enquête sur les plaintes d’allégation d’atteinte à la vie privée en vertu des droits que confère la Loi, et de formuler des recommandations. La Cour suprême du Canada, dans l’affaire Lavigne c. Canada (Commissariat aux langues officielles[27], décrit le rôle de l’ombudsman comme suit :
L’ombudsman n’est pas l’avocat du plaignant. Il a le devoir d’examiner les deux côtés du litige, apprécier les torts et recommander les moyens d’y remédier. Il privilégie la discussion et l’entente à l’amiable.
Ainsi, la commissaire à la protection de la vie privée est habilitée à enquêter, à déposer des plaintes, à mener une vérification et à rendre publique de l’information sur les pratiques de gestion des renseignements personnels d’une organisation, mais la Loi ne lui confère pas le pouvoir de rendre des ordonnances.
Des témoins ont réclamé la modification de la LPRPDE afin de conférer à la commissaire le pouvoir de rendre des ordonnances. Ils ont fait valoir que ce pouvoir faciliterait le respect de la LPRPDE, réduirait le coût du processus actuel et les retards, et établirait une solide jurisprudence qui permettrait tant aux particuliers qu’aux organismes de mieux comprendre leurs droits et leurs responsabilités. M. Colin Bennett, professeur à l’Université de Victoria, dit craindre que le modèle de l’ombudsman ne soit pas le meilleur pour une loi qui s’applique au secteur privé :
La leçon que je tire de mon expérience est que le modèle de l’ombudsman, qui est très utile pour la médiation et la résolution de différends entre des particuliers et des organismes, ne convient peut-être pas dans un cas comme celui-ci, quand il s’agit simplement de sensibiliser un organisme au fait qu’il doit respecter la loi ou la réglementation. En conséquence, je crois qu’il y a un décalage entre certains des buts de la loi et le modèle de l’ombudsman utilisé pour la faire appliquer. (22 novembre 2006)
Les partisans de l’octroi de ce pouvoir à la commissaire à la protection de la vie privée ont aussi fait valoir que trois provinces sont dotées de lois essentiellement similaires à la loi fédérale concernant la protection de la vie privée dans le secteur privé (le Québec, l’Alberta et la Colombie‑Britannique), qui habilitent les commissaires, dans certaines circonstances, à rendre des décisions exécutoires. Ceux-ci, que l’on qualifie d’« ombudsmans munis d’un bâton », ont rarement recours à ce pouvoir; cependant, l’existence de ce pouvoir inciterait fortement à régler les questions de façon raisonnable et contribuerait à favoriser l’efficacité globale des commissaires.
Lors de sa comparution devant le Comité, David Loukidelis, commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique, a exprimé l’avis suivant concernant le pouvoir de rendre des ordonnances :
Comme vous l’avez dit, c’est également le cas en vertu du PIPA, la loi destinée au secteur privé, qui nous a donné ce pouvoir depuis 2004. Je dois cependant souligner, à titre personnel et compte tenu de l’expérience de notre Commissariat, que ce n’est pas du tout le moyen que nous privilégions. […] Depuis la mise en vigueur du PIPA, il y a environ trois ans, je n’ai pris que sept ordonnances en vertu de cette Loi. Nous avons réglé tous les autres cas au moyen d’une approche de type médiation semblable, sous tous les aspects importants, à celles qu’ont adoptées ma collègue fédérale ici à Ottawa et les autres commissaires provinciaux. (29 novembre 2006)
La plupart des entreprises et des organisations qui ont abordé cette question disent préférer le maintien du modèle de l’ombudsman qui offre un processus de résolution des différends qui est souple, informel, accessible et économique. Il reste d’ailleurs possible de s’adresser aux tribunaux pour obtenir un examen officiel et exécutoire. Autrement dit, le modèle actuel maintient l’équilibre entre le droit du particulier à la protection de ses renseignements personnels et le droit de l’organisation de faire une utilisation légitime de ces renseignements à des fins commerciales. Les organisations préfèrent travailler en collaboration avec le Commissariat à la protection de la vie privée pour mieux comprendre ce qui est nécessaire et ce qui ne l’est pas afin d’assurer une protection raisonnable et appropriée des renseignements personnels. Ce modèle, axé sur la collaboration avec les parties afin de résoudre les questions, semble plus productif qu’une approche axée sur les plaintes de nature accusatoire et l’instruction d’accusations de violation de la Loi.
John Gustavson, de l’Association canadienne du marketing, voit plusieurs avantages au modèle de l’ombudsman :
Les résultats des dernières années démontrent amplement que le modèle de médiateur est très bien parvenu à promouvoir et protéger les droits à la vie privée des Canadiens. Les organisations ayant fait l’objet de plaintes se sont invariablement montrées prêtes à suivre les instructions du Commissariat à la protection de la vie privée. Nous pensons également que le rôle de défenseur du Commissariat suppose intrinsèquement une certaine partialité qui le rend plus compatible avec celui d’un médiateur. Mais la réalité — et c’est l’aspect primordial — est que l’influence du Commissariat est très bien étayée par son pouvoir discrétionnaire de publier les empiétements sur la vie privée et la possibilité qu’il a de demander des ordonnances contraignantes à la Cour fédérale. (4 décembre 2006)
La commissaire fédérale à la protection de la vie privée, pour sa part, a clairement indiqué qu’elle ne voit pas la nécessité de modifier ses pouvoirs pour l’instant;
Je crois que cette question devrait être réglée à un moment plus opportun. Au cours des trois dernières années et demie, le Commissariat a tenté d’effectuer son travail avec une capacité administrative restreinte et dans une atmosphère d’instabilité et de surveillance de tous les instants. Nous émergeons tout juste de cette difficile étape. Nous voici réorganisés, renouvelés, et on nous a promis des ressources suffisantes. À notre avis, l’octroi du pouvoir de rendre des ordonnances aurait, pour l’instant, des conséquences administratives qui nous empêcheraient de satisfaire à un mandat aux multiples facettes (27 novembre 2006, mémoire)
De plus, la commissaire affirme que la Loi n’est pas en vigueur depuis assez longtemps pour lui avoir permis d’exercer tous les pouvoirs d’exécution qu’elle lui confère. Ainsi, la commissaire n’a pas encore eu l’occasion de s’adresser à la Cour fédérale pour réclamer des dommages, l’étendue de ses pouvoirs de vérification n’a pas encore été déterminée et certaines des dispositions pénales prévues dans la Loi n’ont pas encore été appliquées.
Compte tenu des préoccupations soulevées par la commissaire fédérale à la protection de la vie privée, le Comité estime qu’il est trop tôt pour modifier les pouvoirs d’exécution que prévoit la Loi. Le modèle de l’ombudsman nous paraît convenir pour obtenir qu’une organisation faisant l’objet d’une plainte se conforme à la Loi. De plus, nous pensons, comme la commissaire, qu’il est prématuré d’envisager d’ajouter un pouvoir de rendre des ordonnances avant qu’elle ait eu l’occasion d’explorer pleinement les pouvoirs d’exécution et d’utiliser davantage tous les pouvoirs que la Loi lui confère.
Le Comité reconnaît qu’il faudra peut-être, un jour, recommander que le pouvoir de rendre des ordonnances soit octroyé à la commissaire, s’il s’avère que les pouvoirs actuels de cette dernière ne lui permette pas de faire dûment respecter et observer la Loi. De plus, le Comité est bien conscient que tout changement apporté aux pouvoirs du Commissariat à la protection de la vie privée doit être étudié soigneusement dans le contexte des rapports entre ce bureau et le Commissariat à l’information du Canada; nous en tiendrons compte le moment venu.
Recommandation 18
Le Comité recommande qu’aucun pouvoir de rendre des ordonnances ne soit octroyé pour l’instant à la commissaire fédérale à la protection de la vie privée.
2. Divulgation de l’identité des contrevenants
À l’heure actuelle, le paragraphe 20(1) de la LPRPDE stipule que la commissaire et les personnes agissant en son nom ou sous son autorité sont tenues au secret en ce qui concerne les renseignements dont ils prennent connaissance dans l’exercice des attributions que leur confère la Loi. Cependant, le paragraphe 20(2) autorise la commissaire à rendre publique toute information relative aux pratiques d’une organisation en matière de gestion des renseignements personnels, si elle estime que cela est dans l’intérêt public. C’est sur ce cas d’exception circonscrit qu’ont porté les témoignages recueillis par le Comité.
De nombreux partisans de la protection de la vie privée ont exhorté le Comité à modifier la LPRPDE afin d’obliger la commissaire à rendre public le nom de toutes les organisations qui contreviennent à la Loi. D’aucuns ont fait valoir, par exemple, que les organisations devraient être responsables de leurs actions devant le public et que, en l’absence d’un pouvoir de rendre des ordonnances pour faire respecter la Loi, le public doit pouvoir exiger que les contrevenants rendent des comptes. Philippa Lawson, de la Clinique d’intérêt public et de politique d’Internet du Canada (CIPPIC), a présenté les arguments suivants :
La commissaire à la protection de la vie privée hésite trop à utiliser les pouvoirs dont elle dispose. Parmi ces pouvoirs, le plus important est celui de divulguer toute information obtenue dans le cadre de ses enquêtes, si c’est dans l’intérêt public de le faire. Ce pouvoir est prévu au paragraphe 20(2). La commissaire a indiqué qu’elle ne l’utilisera jamais. Sauf, peut-être, dans le cas de récidivistes. […] Cependant, pour que les consommateurs puissent exercer une pression sur les entreprises délinquantes en matière de protection de la vie privée, ils doivent pouvoir exprimer leur mécontentement de ces entreprises. Cela n’est pas possible lorsque l’entreprise est protégée de toute mauvaise publicité et de tout recours par les consommateurs. Si vous ne recommandez pas qu’on donne à la commissaire plein pouvoir d’ordonnance nous vous demandons à tout le moins de demander que l’article 20 de la LPRPDE soit modifié pour exiger la publication du nom des entreprises délinquantes. (6 décembre 2006)
Par contre, les organisations estiment que l’exercice du pouvoir du Commissariat à cet égard doit rester discrétionnaire. Le fait de nommer une organisation chaque fois que le Commissariat constate un non-respect de la Loi pourrait être préjudiciable à la réputation de l’entreprise et même induire le consommateur en erreur (par exemple lorsqu’une erreur mineure a été corrigée sans que le consommateur ne subisse de préjudice ou lorsque le dossier concerne une seule division d’une grande entreprise). Ariane Siegel, de l’Association canadienne de la technologie de l’information (ACTI), a formulé les observations suivantes :
Actuellement, il est fait état de la plupart des résumés sous le couvert de l’anonymat. La commissaire a adopté la position selon laquelle le fait de nommer les défendeurs ne correspond pas dans tous les cas à l’objectif d’intérêt public de la législation. L’ACTI approuve cette approche. La commissaire peut toutefois utiliser le pouvoir discrétionnaire qui lui est conféré pour nommer les défendeurs. L’ACTI est d’avis que l’adoption d’une pratique obligatoire visant à identifier les défendeurs nuirait dans tous les cas aux parties dans le cadre d’un litige, en plus de donner lieu à de fâcheuses conséquences. Le règlement d’une plainte se traduit souvent par un changement de politique et de procédure de la part de la société visée, de sorte que tous les consommateurs en bénéficient au bout du compte. Ainsi, il est possible d’obtenir des résultats positifs, et ce, d’une manière hautement efficace. (11 décembre 2006)
La commissaire n’a pas présenté de recommandations détaillées au Comité à ce sujet, mais elle a fourni un article qui résume sa position[28]. Elle insiste sur la nécessité de la confidentialité dans le cadre du modèle de l’ombudsman puisqu’il encourage les plaignants à être plus ouverts au risque de se rendre vulnérables, tout en permettant aux défendeurs d’être plus critiques face à eux-mêmes et d’accepter de modifier leurs pratiques. Cela dit, la commissaire admet que la Loi prévoit une exception à la règle de la confidentialité lorsqu’il est dans l’intérêt du public de divulguer le nom d’un défendeur. L’exception étant circonscrite, un certain nombre de critères sont censés régir son application. Par exemple, la décision de divulguer un nom doit être prise au cas par cas, le motif de la divulgation et la raison pour laquelle le pouvoir discrétionnaire est accordé doivent être rationnellement liés, et seuls doivent être rendus publics les renseignements nécessaires aux fins recherchées.
En grande partie pour les mêmes raisons que celles invoquées concernant le pouvoir de rendre des ordonnances, le Comité estime qu’il serait prématuré de modifier le pouvoir du Commissariat de divulguer l’identité des contrevenants. Le Comité appuie l’usage que fait la commissaire de ses pouvoirs discrétionnaires en vertu du paragraphe 20(2) et recommande qu’aucun changement ne soit apporté à la Loi à cet égard.
Recommandation 19
Le Comité recommande qu’aucune modification ne soit apportée au paragraphe 20(2) de la LPRPDE en ce qui concerne le pouvoir discrétionnaire de la commissaire à la protection de la vie privée de divulguer l’identité d’une organisation dans l’intérêt public.
3. Partage d’information avec d’autres autorités responsables de données
Comme nous l’avons souligné pour la divulgation de l’identité d’un contrevenant, le Commissariat à la protection de la vie privée doit généralement considérer confidentiel tout renseignement obtenu dans l’exercice de ses attributions. En d’autres mots, le Commissariat n’a pas le droit, sauf dans certains cas très précis, de communiquer des renseignements au sujet d’un plaignant sans le consentement de ce dernier. L’article 23 de la LPRPDE habilite toutefois la commissaire à consulter toute personne ayant des attributions semblables aux siennes, en vertu d’une loi provinciale essentiellement similaire à la loi fédérale. Cela signifie que la commissaire fédérale peut communiquer de l’information et collaborer dans le cadre d’enquêtes d’intérêt mutuel avec ses homologues de l’Ontario (seulement en ce qui concerne des renseignements sur la santé), de l’Alberta, de la Colombie-Britannique et du Québec. Toutefois, ce pouvoir ne s’étend pas aux efforts de coopération avec des autorités responsables de données dans d’autres provinces ou pays. Or, la commissaire demande la modification de la LPRPDE afin d’obtenir ce pouvoir.
Selon le témoignage de la commissaire à la protection de la vie privée, il est essentiel, dans un monde où les frontières sont de plus en plus de nature virtuelle et où les questions de protection des renseignements personnels ne respectent pas toujours les frontières nationales, que les responsables de la protection des données puissent travailler de concert avec les organismes de protection des consommateurs et les autres entités chargées de l’exécution de la loi dans les dossiers d’intérêt commun. Il semble d’ailleurs que de nombreuses agences de protection des données aux quatre coins du globe cherchent, en ce moment, des façons de travailler en plus étroite collaboration. Ainsi, la commissaire préside actuellement un groupe de l’Organisation de coopération et de développement économiques (OCDE) qui examine des façons d’encourager la coopération entre responsables de la protection des données et d’autres organismes d’exécution de la loi, en matière de plaintes et de causes découlant de la circulation transfrontalière de données. La Federal Trade Commission des États-Unis est d’ailleurs maintenant habilitée à partager des renseignements confidentiels avec des services étrangers d’application de la loi, sous réserve des garanties nécessaires pour protéger la confidentialité.
D’autres témoins ont appuyé la demande de la commissaire, notamment le commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique, David Loukidelis, qui estime que le Commissariat fédéral devrait avoir des pouvoirs explicites l’autorisant à mener des enquêtes et des activités d’application de la loi et d’autres activités en collaboration avec des commissaires à la protection de la vie privée et des responsables de la protection des données à l’étranger, particulièrement dans la région de l’Asie-Pacifique, aux États-Unis et dans l’Union européenne[29].
Le Comité convient que dans une économie mondiale en réseau, les questions d’atteinte à la vie privée ne sont plus limitées par les frontières provinciales ou nationales. En cette époque d’augmentation de la circulation transfrontalière de renseignements, la protection des renseignements personnels de la population canadienne risque d’exiger des mécanismes tant au Canada qu’à l’extérieur. Il semble d’ailleurs qu’un cadre international de protection de la vie privée, qui agira comme prolongement des mécanismes mis en œuvre par chaque pays, est en voie d’être créé. Le Comité recommande par conséquent que l’on envisage d’inclure dans la LPRPDE une disposition habilitant la commissaire à partager des renseignements avec ses homologues provinciaux, même en l’absence de lois provinciales similaires visant le secteur privé, ainsi qu’avec ses homologues de l’étranger lorsqu’elle participe à des enquêtes menées dans l’intérêt de la population canadienne.
Lorsqu’il formule cette recommandation, le Comité est conscient des préoccupations de la population canadienne en ce qui concerne la protection des renseignements personnels qui traversent les frontières. Ces préoccupations visent plus particulièrement les risques que présente la communication de renseignements personnels aux États-Unis en application du Patriot Act américain, adopté dans la foulée des événements du 11 septembre 2001 afin d’accroître la capacité du gouvernement américain de réaliser des fouilles et de saisir des dossiers ou d’exiger leur communication. Le Comité recommande par conséquent que le gouvernement se penche sur la façon d’empêcher que les renseignements partagés par les responsables de la protection des données soient communiqués à un tribunal étranger ou à une autre autorité gouvernementale à des fins autres que celles pour lesquelles ils ont été partagés.
Recommandation 20
Le Comité recommande qu’en vertu de la LPRPDE, la commissaire fédérale à la protection de la vie privée soit habilitée à partager des renseignements personnels et à coopérer, dans le cadre d’enquêtes d’intérêt mutuel, avec ses homologues des provinces où il n’y a pas de lois essentiellement similaires à la loi fédérale pour le secteur privé, ainsi qu’avec les instances responsables de la protection des données à l’étranger.
Recommandation 21
Le Comité recommande que les renseignements partagés avec d’autres pays, particulièrement les États-Unis, soient dûment protégés de façon à ne pas être divulgués à un tribunal étranger ou à une autre instance gouvernementale à des fins autres que celles pour lesquelles ils ont été communiqués.
4. Secret professionnel liant un avocat à un client
En vertu de la LPRPDE, les particuliers jouissent d’un large droit d’accès aux renseignements personnels les concernant détenus par une organisation; cependant, l’article 9 de la Loi prévoit un nombre limité de cas où une organisation peut refuser d’accéder à une demande d’accès, notamment dans le cas de renseignements protégés par le secret professionnel liant l’avocat à son client (alinéa 9(3)a) de la LPRPDE). Lorsqu’une organisation refuse de communiquer des renseignements personnels pour ce motif, une plainte peut être déposée auprès de la commissaire à la protection de la vie privée qui doit faire enquête. Or, la commissaire à la protection de la vie privée affirme que pour exercer ce pouvoir d’enquête, elle doit avoir accès aux documents visés par le secret afin de pouvoir déterminer si la communication a été refusée à bon escient en vertu de la Loi. Elle jouit actuellement de ce pouvoir en vertu du paragraphe 34(2) de la Loi sur la protection des renseignements personnels, mais aucune disposition à cet effet ne figure dans la LPRPDE, car on n’avait pas cru qu’une telle omission soulèverait des difficultés. Les tribunaux se penchent actuellement sur la question.
La commissaire à la protection de la vie privée a demandé en particulier au Comité de se pencher sur la récente décision de la Cour fédérale du Canada dans l’affaire Blood Tribe[30], qui pourrait permettre à une organisation d’invoquer le secret professionnel liant un avocat à son client pour empêcher le Commissariat d’examiner des documents lors d’une enquête. Cette décision dépouillera le Commissariat du pouvoir d’exiger la production de documents afin de les examiner et de vérifier s’ils contiennent vraiment des renseignements protégés par le secret professionnel. La commissaire exprime ainsi ses préoccupations :
Je voudrais parler d’une question très précise et urgente concernant une décision récente de la Cour fédérale du Canada. L’affaire porte sur le secret professionnel qui lie un avocat à son client et notre capacité d’avoir accès à des documents. La récente décision rendue dans l’affaire Blood Tribe crée une lacune béante dans notre capacité de mener des enquêtes dignes de ce nom. Elle permet ainsi aux organisations de refuser à nos enquêteurs l’accès à des renseignements personnels, sans vérification indépendante du fait que les documents visés contiennent bien des renseignements assujettis au secret professionnel. Bien que nous demandions l’autorisation d’interjeter appel de la décision, nous croyons qu’il faut dissiper cette ambiguïté en modifiant le plus rapidement possible la LPRPDE. (27 novembre 2006)
Dans l’affaire Blood Tribe, la Cour fédérale du Canada s’est penchée sur le pouvoir du Commissariat d’exiger la production de documents qui seraient protégés par le secret professionnel et a jugé que le Parlement, lorsqu’il a adopté la LPRPDE, n’avait pas l’intention de conférer au Commissariat des pouvoirs d’enquête absolus. Selon la Cour, il faut une indication explicite dans la Loi pour pouvoir passer outre au privilège du secret professionnel, à défaut de quoi, le Commissariat n’est pas habilité à exiger la production de documents afin de vérifier la légitimité du privilège. La Cour souligne que dans les cas où on invoque de façon générale le secret professionnel pour faire échec à une enquête, la commissaire peut, en vertu de l’article 15 de la LPRPDE, s’adresser à la Cour fédérale afin de demander qu’un juge examine l’allégation de secret professionnel.
Vivian Bercovici, de la compagnie d’assurance générale Dominion of Canada, appuie pour sa part la décision de la Cour fédérale du Canada dans l’affaire Blood Tribe et s’élève contre la modification demandée par la commissaire à la protection de la vie privée :
[…] le secret professionnel de l’avocat est au centre de l’ordre et de l’intégrité de notre système de justice. Une personne ou une partie à une procédure doit savoir avec certitude que toute communication qu’elle a avec son avocat restera confidentielle. Cela permet à l’avocat d’avoir des communications libres et exemptes de toute menace avec son client, ce qui facilite la préparation et la présentation d’une défense complète et énergique. Exprimer des réserves au sujet du secret professionnel de l’avocat, qui est ancré depuis des siècles dans la tradition de la common law, serait catastrophique. (6 février 2007)
Le Comité pense comme la commissaire qu’il faut un moyen de vérifier de façon indépendante s’il est légitime d’invoquer le secret professionnel liant un avocat à son client est appropriée pour refuser l’accès à des renseignements personnels en vertu de l’article 9 de la LPRPDE. Cependant, nous ne croyons pas que la vérification doit être liée au processus et aux pouvoirs d’enquête du Commissariat. Nous ne sommes pas convaincus non plus que l’article 15 de la LPRPDE offre actuellement à la commissaire la latitude voulue pour pouvoir contester devant la Cour fédérale une allégation selon laquelle des renseignements sont protégés par le secret professionnel, lorsqu’il lui est impossible de prendre connaissance des documents en question. Nous recommandons donc de modifier la LPRPDE de manière à habiliter le Commissariat à la protection de la vie privée à demander à un juge de la Cour fédérale d’effectuer un examen accéléré de l’allégation de secret professionnel. Si le juge détermine que le privilège du secret professionnel a été invoqué à mauvais escient, la Cour pourra ordonner à l’intéressé de produire les documents en cause.
Le Comité sait que sa recommandation donnera lieu à un mécanisme différent de celui que prévoit la Loi sur la protection des renseignements personnels; cependant, étant donné que la LPRPDE n’a pas la même origine ni le même objectif que la loi visant le secteur public fédéral, nous ne nous sentons pas tenus d’appliquer à la première les principes qui sous-tendent cette dernière.
Recommandation 22
Le Comité recommande que la LPRPDE soit modifiée afin que la commissaire à la protection de la vie privée soit habilitée à demander à la Cour fédérale du Canada un examen accéléré d’une allégation de secret professionnel liant un avocat à son client invoquée pour refuser l’accès à des renseignements personnels (alinéa 9(3)a)), lorsque la commissaire s’est fait refuser la production d’information dans le cadre d’une enquête.
AVIS D’ATTEINTE À LA SÉCURITÉ DES RENSEIGNEMENTS PERSONNELS
La plupart des témoins ont abordé la question du devoir des organisations d’aviser les particuliers dans les cas d’atteinte à la sécurité des fonds de renseignements personnels. À l’heure actuelle, il n’y a aucune obligation à cet égard, bien que le Comité ait été informé que, dans la pratique, les organisations consultent souvent le Commissariat à la protection de la vie privée afin de savoir si elles doivent aviser leurs clients d’une violation et, le cas échéant, comment elles doivent s’y prendre. Les entreprises réagissent donc, chacune à leur manière, aux fuites de renseignements, en tenant compte de facteurs comme le nombre de personnes touchées, la nature des données visées et la possibilité que les renseignements soient utilisés à des fins répréhensibles. Ces questions suscitent de plus en plus de préoccupations à mesure que les grands quotidiens font état d’un nombre croissant de fuites importantes de renseignements personnels touchant de nombreux Canadiens.
De nombreux États américains ont adopté des mesures législatives exigeant que les clients soient informés quand la confidentialité de leurs renseignements personnels est compromise. La plupart de ces lois prévoient d’importantes amendes en cas d’omission de notification. Au Canada, seule la Loi sur la protection des renseignements personnels sur la santé de l’Ontario oblige à donner avis en cas d’atteinte à la confidentialité. La Loi exige que les dépositaires de renseignements sur la santé avisent à la première occasion raisonnable les particuliers concernés s’il y a vol ou perte de renseignements ou si des personnes non autorisées y ont accès[31].
La plupart des entreprises estiment déjà être tenues d’aviser les particuliers s’il y a d’importantes fuites de renseignements personnels. Soulignant que le principe de transparence (principe 8) du code type de CSA sur la protection des renseignements personnels, qui figure à l’annexe 1 de la LPRPDE, laisse déjà entendre que les organisations ont des responsabilités à cet égard, elles jugent pour l’instant inutile d’adopter des dispositions législatives particulières. L’Association canadienne des compagnies d’assurances de personnes inc. a décrit son approche axée sur l’autoévaluation et le risque :
L’industrie prône, en matière de notification, une approche axée sur le risque, où la nécessité d’aviser et la méthode employée pour informer le particulier sont proportionnelles au risque de préjudice que pourraient vivre les personnes dont les renseignements personnels ont été compromis. Selon une telle approche, il est nécessaire d’aviser l’intéressé si : la violation est substantielle; l’organisation a des motifs raisonnables de croire que des renseignements personnels ont été communiqués à des personnes non autorisées; la communication présente un risque considérable de porter préjudice à des individus (par exemple le vol d’identité ou la fraude). [traduction] (1er février 2007, mémoire, p. 11-12)
De façon générale, les représentants de l’industrie se sont montrés favorables aux directives formulées par les commissaires à la protection de la vie privée du Canada, de la Colombie-Britannique et de l’Ontario. Les commissaires à l’information et à la protection de la vie privée de l’Ontario et de la Colombie-Britannique ont publié ensemble un outil d’évaluation intitulé Breach Notification Assessment Tool[32], afin d’aider les organisations à déterminer les mesures à prendre en cas d’atteinte à la vie privée. La commissaire fédérale et son bureau travaillent également en collaboration avec l’industrie afin d’élaborer à l’intention des organisations des lignes directrices d’application facultative en cas de violation de la confidentialité. Comme l’a expliqué au Comité David Elder, de la Chambre de commerce du Canada :
La Chambre de commerce du Canada ne croit pas qu’il est nécessaire d’inscrire dans la législation l’obligation de notifier. Nous encourageons plutôt les entreprises à continuer de collaborer étroitement avec la commissaire à la protection de la vie privée pour repérer les cas de violation et notifier les personnes qui peuvent être affectées par une éventuelle violation de leur vie privée. Ce mécanisme souple permet de notifier au besoin, sans effet négatif sur les consommateurs. J’aimerais aussi faire remarquer qu’il serait avantageux pour la Chambre de commerce du Canada et pour d’autres associations d’entreprises d’élaborer un ensemble de lignes directrices fondées sur les pratiques exemplaires, qu’elles pourraient utiliser lorsque des violations de la vie privée surviennent. À cette fin, les groupes d’entreprises, notamment la Chambre de commerce du Canada, l’ACTI, l’ACM, etc., sont en train d’élaborer des lignes directrices pour la notification en cas de violation conjointement avec la commissaire à la protection de la vie privée. Des détails concernant ces lignes directrices seront disponibles plus tard ce printemps. (1er février 2007)
Ceux qui prônent l’ajout à la LPRPDE d’une disposition, exigeant que les atteintes soient signalées, invoquent la nécessité d’informer les consommateurs afin de leur permettre de se défendre efficacement contre l’accroissement des vols d’identité au Canada. Dans son mémoire au Comité, le Centre pour la défense de l’intérêt public présente l’explication suivante :
La seule façon d’atteindre cet objectif consiste à imposer à chaque organisation l’obligation de signaler au CPVPC toute atteinte à la sécurité des données et d’informer toutes les personnes dont les renseignements personnels ont été ainsi compromis. De plus, cette obligation ne devrait pas être diluée ou faire l’objet de restrictions. L’organisation chargée de préserver et de protéger des renseignements personnels devrait être tenue d’informer la personne concernée chaque fois qu’il y a atteinte à la sécurité des renseignements en question. Ainsi, chaque personne serait en mesure de prendre ses propres décisions sur les prochaines mesures à prendre. Ce n’est pas l’organisation qui devrait déterminer unilatéralement le degré de risque associé au manquement ou la gravité du préjudice possible. (23 octobre 2006, p. 19)
La Clinique d’intérêt public et de politique d’Internet du Canada (CIPPIC) a publiés un livre blanc sur les avis d’atteinte à la sécurité des renseignements personnel[33], qui formule des recommandations précises en vue d’une modification de la LPRPDE. Elle demande dans ce document que les lois canadiennes obligent les organisations à aviser les personnes dont les renseignements personnels ont été compromis par suite d’une atteinte à leur sécurité. Elle réclame en particulier de modifier la LPRPDE afin d’exiger que les atteintes à la sécurité soient signalées si certains types de renseignements personnels sont exposés à un accès non autorisé. Le livre blanc analyse et appuie parfois certains aspects des dispositions législatives américaines sur les atteintes à la sécurité; plus de la moitié des États américains se dont d’ailleurs dotés d’une obligation de signaler les atteintes à la sécurité, et plusieurs lois fédérales sont à l’étude.
Murray Long, spécialiste de la protection de la vie privée, a aussi fourni au Comité un projet en quatre points concernant l’avis d’atteinte à la sécurité des renseignements personnels. En premier lieu, il devrait être obligatoire de signaler les atteintes à la sécurité de tous les types d’information sensible, pas seulement des données financières. Deuxièmement, la décision d’aviser la population devrait être laissée à la discrétion des organisations, mais celles‑ci devraient décider en fonction d’une autoévaluation et d’une norme objective afin d’agir avec prudence. La norme objective exigerait qu’une organisation informe la commissaire à la protection de la vie privée lorsqu’une personne raisonnable pourrait considérer qu’il convient de le faire, dans un court délai prescrit par la loi. Troisièmement, l’organisation serait alors tenue de décrire à la commissaire l’impact de l’atteinte, les efforts déployés pour atténuer les conséquences et la décision prise pour ce qui est d’aviser les personnes visées. L’organisation qui décide de ne pas aviser les intéressés serait tenue d’expliquer pourquoi, et la commissaire à la protection de la vie privée pourrait alors évaluer la décision. Quatrièmement, le défaut d’aviser les intéressés, quand une personne raisonnable pourrait s’attendre à ce qu’il y ait divulgation, devrait constituer une infraction aux termes de la Loi[34].
Le commissaire à l’information et à la protection de la vie privée de la Colombie‑Britannique, David Loukidelis, a mis en garde contre l’adoption intégrale des exigences d’avis explicite adoptées aux États-Unis, disant que rien encore ne prouve que l’obligation d’aviser constitue un moyen économique de réduire le risque de vol d’identité découlant d’atteintes à la sécurité.
Lors de sa première comparution devant le Comité, la commissaire fédérale à la protection de la vie privée s’est aussi montrée prudente dans ce dossier. Elle appuie l’idée d’une obligation d’aviser, mais elle souligne combien il est difficile de choisir un modèle approprié et signale que l’obligation d’aviser ne s’inscrit pas facilement dans le modèle de la LPRPDE puisqu’il n’existe pas de moyen de sanctionner directement les organisations en cas de défaut d’aviser les particuliers des atteintes à la sécurité. La commissaire a toutefois recommandé comme ajout ou comme solution de rechange à l’obligation d’aviser, l’adjonction à la LPRPDE d’une disposition qui habiliterait une organisation dont la sécurité a été violée à informer les agences d’évaluation du crédit de cette violation et des personnes touchées, sans avoir à obtenir le consentement de ces dernières. Les agences pourraient ainsi se montrer plus proactives dans la protection des consommateurs contre le vol d’identité et la fraude.
Cependant, lors de sa dernière comparution devant le Comité, la commissaire à la protection de la vie privée a signalé que plusieurs fuites importantes qui se sont produites récemment ont accru l’urgence de résoudre la question; par conséquent, elle recommande maintenant de modifier la LPRPDE en y ajoutant une disposition touchant les avis d’atteinte à la sécurité des renseignements personnels. En attendant que cette modification soit apportée, la commissaire continuera de travailler en collaboration avec les parties prenantes à l’élaboration de lignes directrices facultatives. Lorsque les membres du Comité l’ont interrogée au sujet de sa position sur la question, la commissaire a répondu qu’à son avis, l’introduction d’une modification à la LPRPDE n’aurait pas de grande incidence sur les pratiques actuelles des organisations lors d’atteinte à la sécurité des données.
Le Comité estime qu’il faut modifier la LPRPDE afin d’inclure une disposition exigeant que les atteintes à la sécurité des renseignements personnels soient signalées; cependant, nous reconnaissons que ce ne sera pas tâche facile. Nous préconisons un modèle en vertu duquel les organisations seraient tenues de signaler les atteintes à la commissaire à la protection de la vie privée, qui effectuerait ensuite une analyse pour déterminer s’il faut ou non donner avis. Mais un élément est essentiel à l’élaboration d’un modèle législatif, soit la détermination du niveau de gravité de l’atteinte.
Le Comité a entendu des témoignages à l’effet qu’il faudrait établir une sorte de norme en matière d’avis qui tiendrait compte de la nature et l’ampleur de l’atteinte. La CIPPIC, par exemple, prône le modèle législatif adopté en Californie qui énonce qu’il y a devoir de signaler une atteinte seulement s’il y a acquisition de renseignements personnels par une personne non autorisée ou s’il existe un motif raisonnable de croire à une acquisition de ce genre. Une telle norme est perçue comme étant plus sévère que le simple accès par une personne non autorisée, mais aussi moins stricte que le risque de vol d’identité. L’Association du Barreau canadien recommande une exigence équilibrée en matière d’avis, soit l’obligation d’aviser uniquement lorsque l’organisation n’est pas dotée de mécanismes de sécurité (par exemple le cryptage ou la dépersonnalisation) ou lorsqu’elle a reçu un avis que ces mécanismes ont été violés et que les renseignements mis en cause sont de nature délicate.
Le Comité reconnaît que la question du niveau de gravité intervient dans deux aspects du modèle qu’il recommande : 1) pour déterminer les situations où une organisation doit signaler une atteinte à la sécurité des données à la commissaire à la protection de la vie privée; 2) pour permettre à la commissaire de décider si l’atteinte doit être signalée ou non. Dans le premier cas, nous souhaitons éviter d’ensevelir la commissaire sous les avis d’atteinte. En exigeant que le Commissariat à la protection de la vie privée soit avisé de toutes les atteintes à la sécurité, on risque de lui imposer un fardeau excessif qui aura, à tout le moins, des répercussions importantes sur le plan des ressources. Nous sommes d’avis que cet aspect doit être soigneusement pris en considération avant d’ajouter à la LPRPDE une disposition législative sur les atteintes à signaler.
Le Comité n’est donc pas d’accord avec ce que certains appellent « l’obligation de donner avis d’une atteinte », soit le fait d’aviser toute personne dont les renseignements personnels ont été compromis, chaque fois qu’il y a une atteinte. Nous proposons que les organisations informent la commissaire à la protection de l’information de certaines atteintes à la sécurité bien définies, afin que son bureau puisse aider à déterminer s’il faut aviser les personnes visées et, le cas échéant, de quelle manière. La commissaire exercerait un pouvoir discrétionnaire en cette deuxième étape du processus, puisqu’elle déciderait au cas par cas s’il doit y avoir un avis.
Le Comité estime qu’en ce qui concerne les détails d’un modèle adapté à la LPRPDE, il faudra se pencher sur les questions de niveau de gravité, par exemple les cas où il faudra signaler à la commissaire à la protection de la vie privée les atteintes aux fonds de renseignements personnels, ainsi que les cas où la commissaire exigera qu’avis soit donné des atteintes signalées. Il faudra également prendre en compte le moment et la façon de donner avis, les sanctions en cas de défaut d’aviser, et la nécessité de prévoir un pouvoir d’aviser « sans consentement » les agences d’évaluation du crédit afin d’aider à protéger les consommateurs contre le vol d’identité et la fraude.
Recommandation 23
Le Comité recommande que la LPRPDE soit modifiée par l’ajout d’une disposition obligeant les organisations à signaler certaines violations précises de la confidentialité de leurs fonds de renseignements personnels à la commissaire à la protection de la vie privée.
Recommandation 24
Le Comité recommande que, dès qu’une organisation lui signale une atteinte à la confidentialité de son fonds de renseignements personnels, la commissaire à la protection de la vie privée décide s’il y a lieu ou non d’en informer les personnes concernées ainsi que d’autres personnes et, dans l’affirmative, détermine la façon de procéder à cette fin.
Recommandation 25
Le Comité recommande qu’au moment de décider des détails d’un modèle d’avis adapté à la LPRPDE, il faudra aussi prendre en considération le moment et la façon de signaler les atteintes, les sanctions en cas de défaut d’aviser, et la nécessité de prévoir un pouvoir d’aviser « sans consentement » les agences d’évaluation du crédit afin d’aider à protéger les consommateurs contre le vol d’identité et la fraude.
[1] La Loi ne s’applique pas aux institutions fédérales visées par la Loi sur la protection des renseignements personnels; aux renseignements personnels recueillis, utilisés ou communiqués par un individu uniquement à des fins personnelles ou domestiques; ni à une organisation à l’égard des renseignements personnels qu’elle recueille, utilise ou communique uniquement à des fins journalistiques, artistiques ou littéraires (paragr. 4(2)).
[2] Nonobstant la compétence provinciale à l’égard des relations de travail, le gouvernement fédéral peut réglementer les renseignements concernant les employés, mais uniquement par rapport aux installations, ouvrages, entreprises et secteurs d’activité soumis à l’autorité législative du Parlement fédéral.
[3] La LPRPDE s’applique uniquement aux activités commerciales parce que les provinces ont compétence exclusive en matière de propriété privée et de droits civils. Le gouvernement fédéral a donc décidé de légiférer dans ce domaine en vertu de son pouvoir général de réglementer le commerce.
[4] Au début des années 1990, devant l’absence de normes nationales de protection des données au Canada, un comité composé de représentants des consommateurs, de l’entreprise, du gouvernement et des syndicats a élaboré, sous les auspices de l’Association canadienne de normalisation (CSA), un ensemble de principes de protection de la vie privée que le Conseil canadien des normes a approuvé en 1996 à titre de normes nationales. Le Code type sur la protection des renseignements personnels de la CSA établit dix principes conçus pour servir aux entreprises de guide de pratiques équitables en matière de renseignements. Le libellé du Code a fini par être intégré à la LPRPDE, sous forme d’annexe de la Loi. Pour en connaître davantage sur le Code de la CSA et son intégration à la LPRPDE, voir The Personal Information Protection and Electronic Documents Act: An Annotated Guide by Perrin, Black, Flaherty and Rankin, Irwin Law Inc., Toronto, 2001.
[5] Par exemple, des renseignements personnels peuvent être recueillis à l’insu de l’intéressé et sans son consentement à des fins d’application de la loi, lorsque la collecte est dans l’intérêt supérieur de l’intéressé, qu’elle est faite à des fins journalistiques, artistiques ou littéraires; ou qu’il s’agit d’un renseignement auquel le public a accès. Des renseignements personnels peuvent être utilisés à l’insu de l’intéressé et sans son consentement pour des raisons semblables, ainsi qu’à des fins de recherche dans certains cas au su de la commissaire à la protection de la vie privée. Enfin, des renseignements personnels peuvent être communiqués à l’insu de l’intéressé et sans son consentement aux fins de l’application de la loi et de la sécurité nationale, dans des situations d’urgence, ainsi qu’à des fins de recherche et d’archives.
[6] Ces exemptions reflètent, en grande partie, celles que l’on trouve dans la Loi sur l’accès à l’information et fournissent un exemple de la nature complémentaire des régimes de protection des renseignements personnels et d’accès à l’information.
[7] Article 11.
[8] Loi sur la protection des renseignements personnels dans le secteur privé, L.R.Q.ch. P-39.1, art. 21.1
[9] Voir, dans la section Consentement du rapport, la partie portant sur les relations entre les employeurs et les employés.
[10] Décembre 2006.
[11] Voir la note en bas de page 4.
[12] « Compliance with Canadian Data Protection Laws : Are retailers measuring up? » Voir http://www.cippic.ca/en/bulletin/compliance_report_06-07-06_(color)_(cover-english).pdf.
[14] Commissariat à la protection de la vie privée, Examen, prévu par la loi, de la LPRPDE : Aperçu de la consultation du CPVP, 27 novembre 2006.
[15] Commissariat à la protection de la vie privée, Document de discussion sur l’examen de la LPRPDE, juillet 2006, Ibid.
[16] Association du Barreau canadien, Section nationale du droit de la vie privée et de l’accès à l’information, Preparing for the 2006 Review of the Personal Information Protection and Electronic Documents Act, août 2005, p. 21-24.
[17] Ibid., p. 42-43.
[18] Colin Bennett, Présentation à un Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique, 22 novembre 2006, p. 13.
[19] Note de bas de page 14.
[20] 6 décembre 2006.
[21] Voir la note en bas de page 16, p. 43-44.
[22] Voir la note en bas de page 14.
[23] Article 17.
[24] « Protéger les renseignements personnels — Un impératif : La stratégie fédérale visant à répondre aux préoccupations suscitées par la USA Patriot Act et le flux de données transfrontière », Secrétariat du Conseil du Trésor, http://www.tbs-sct.gc.ca/pubs_pol/gospubs/TBM_128/pm-prp/pm-prp_f.asp.
[25] Février 2007.
[26] Aperçu de la Loi.
[27] Lavigne c. Canada (Commissariat aux langues officielles), [2002] 2 R.C.S. 733, au paragraphe 39.
[28] Jennifer Stoddart, « Cherry Picking Among Apples and Oranges: Refocusing Current Debate About the Merits of the Ombuds-Model under PIPEDA », Canadian Business Law Journal, volume 44, no 1, p. 9-12.
[29] 29 novembre 2006, mémoire.
[30] Blood Tribe Department of Health c. Canada (commissaire à la protection de la vie privée du Canada) 2006 CAF 334, Cour d’appel fédérale, infirmant Blood Tribe Department of Health c. Canada (commissaire à la protection de la vie privée)(C.F.) 2005 4 R.C.F. 34.
[31] Paragraphe 12(21).
[32] Commissaires à l’information et à la protection de la vie
privée de la Colombie-Britannique
et de l’Ontario, Breach Notification Assessment Tool, décembre 2006,
http://www.ipc.on.ca/images/Resources/up-ipc_bc_breach.pdf.
[33] Clinique d’intérêt public et de politique d’Internet du Canada, Approaches to Security Breach Notification: A White Paper, 9 janvier 2007, http://www.cippic.ca/en/bulletin/BreachNotification_9jan07-web.pdf.
[34] Le modèle proposé par M. Long comporte un autre élément : modifier la section de la Loi portant sur les droits des dénonciateurs afin que la notification d’atteinte donnée de bonne foi figure parmi les droits protégés des employés.