Le droit relatif au respect de la vie privée

Le droit relatif au respect de la vie privée
chapitre
14
Le droit relatif au respect
de la vie privée
par Michael Fekete et Patricia Wilson
Les lois sur la protection des renseignements personnels à l’échelon fédéral
et provincial ont une influence considérable sur la façon dont presque
toutes les entreprises exercent leurs activités à l’échelle du pays. Les lois sur
la protection des renseignements personnels au Canada, qui sont probablement
les plus exhaustives au monde, s’apparentent de façon générale à celles des
pays européens. Les lois sur la protection des renseignements personnels aux
États-Unis ont une portée sectorielle et ne s’appliquent donc pas à l’ensemble
du monde des affaires comme c’est le cas au Canada.
14.
Des lois très complètes ont en outre été adoptées au Canada pour encadrer
l’envoi de messages électroniques à des fins commerciales et l’installation
de logiciels par les entreprises exerçant des activités en toute légalité, lois
qui ne ciblent donc pas uniquement les disséminateurs de pourriels
et de logiciels espions.
Une loi rigoureuse
La Loi canadienne anti-pourriel (« LCAP ») récemment adoptée a une très
grande portée, puisqu’elle ne fait pas qu’encadrer l’envoi massif de messages
non sollicités par courrier électronique. Cette loi instaure en effet un régime
normatif qui s’applique à la quasi-totalité des messages électroniques
incitant à participer à une activité commerciale, y compris les courriels,
les messages textuels et instantanés et certains messages de médias
sociaux, en exigeant un consentement « exprès » exprimé de manière
positive ou explicite. Cette loi édicte également des règles normatives
régissant, entre autres, les mécanismes de désabonnement, l’identité
de l’expéditeur et l’information sur la personne à contacter.
La LCAP comporte également un régime de consentement exprès avec
des exigences en matière de communication d’information applicables
à l’installation de programmes informatiques. Même si l’objectif principal
des nouvelles règles est de contrer la distribution de « logiciels espions »,
les règles de la LCAP visant les programmes informatiques s’appliquent
à l’installation de la quasi-totalité des programmes informatiques, qu’ils
soient ou non malveillants.
La LCAP est entrée en vigueur le 1er juillet 2014, mais les règles qu’elle
édicte à l’égard des programmes informatiques ne prendront effet que
le 15 janvier 2015.
> Faire des affaires au Canada
18.
Le droit relatif au respect de la vie privée
chapitre
14
Les entités qui omettent de se conformer aux dispositions de la LCAP s’exposent
à des pénalités sévères, y compris des sanctions pécuniaires administratives
pouvant atteindre 10 000 000 $ pour les personnes morales (1 000 000 $ pour
les personnes physiques). L’application de la LCAP se fera principalement par
le truchement de plaintes auprès du Conseil de la radiodiffusion et des
télécommunications canadiennes et d’enquêtes de cet organisme. Puis,
à compter du 1er juillet 2017, les consommateurs et les entreprises pourront
intenter des actions privées (y compris par voie de recours collectif) et obtenir
des dommages-intérêts pour contravention à la LCAP, y compris des dommagesintérêts prévus par la loi pouvant atteindre 1 million de dollars par jour.
Lois sur la protection des renseignements personnels
dans le secteur public
Les lois sur la protection des renseignements personnels dans le secteur public
s’appliquent aux organismes fédéraux et à la plupart des organismes provinciaux
et municipaux. À l’instar de la loi fédérale des États-Unis (Privacy Act), la Loi
sur la protection des renseignements personnels du gouvernement fédéral et les
lois correspondantes de certaines provinces canadiennes exigent des ministères
et des organismes gouvernementaux, ainsi que de la plupart des sociétés d’État
et organismes gouvernementaux municipaux, qu’ils précisent les fins légales
et autorisées auxquelles ils recueillent des renseignements personnels sur des
particuliers et qu’ils en avisent ceux-ci et leur donnent accès aux renseignements
personnels les concernant si les particuliers en font la demande. Certaines lois
sur la protection des renseignements personnels applicables au secteur public
provincial restreignent le droit des organismes du secteur public et/ou de leurs
fournisseurs de services de donner accès à des renseignements personnels
ou de les communiquer à partir d’un endroit situé à l’extérieur du Canada
ou à destination d’un tel endroit. (Se reporter à la partie Circulation
transfrontalière de renseignements personnels ci-dessous.)
Lois sur la protection des renseignements personnels
dans le secteur privé
Les entreprises canadiennes sont assujetties aux lois fédérales et provinciales
sur la protection des renseignements personnels, dont le champ d’application
s’étend aux renseignements sur leurs clients ainsi qu’à ceux sur leurs employés
(avec certaines exceptions dans ce dernier cas). La Loi sur la protection
des renseignements personnels et les documents électroniques (LPRPDE) s’applique
à toutes les entités du secteur privé au Canada, sauf dans les provinces qui se
sont dotées de lois « essentiellement similaires ». La LPRPDE est également
applicable aux renseignements personnels qui sont communiqués à l’extérieur
d’une frontière provinciale dans le cadre d’une activité commerciale, ainsi que
dans la plupart des situations où une entité au Canada reçoit ou transmet des
renseignements personnels en provenance ou à destination du Canada.
> Faire des affaires au Canada
Le droit relatif au respect de la vie privée
chapitre
14
Le Québec, la Colombie-Britannique et l’Alberta sont des provinces dotées
de lois déclarées « essentiellement similaires » à la LPRPDE et régissant les
renseignements sur les employés. Le Manitoba s’est également doté d’une telle
loi applicable au secteur privé, mais qui n’est pas encore en vigueur. Les lois sur
les renseignements médicaux personnels de l’Ontario, du Nouveau-Brunswick
et de Terre-Neuve-et-Labrador ont également été déclarées « essentiellement
similaires » à la LPRPDE.
Les lois sur la protection des renseignements personnels qui s’appliquent aux
renseignements personnels des employés au Canada ne sont pas uniformes.
Il importe donc que les propriétaires d’entreprises et/ou les investisseurs
souhaitant faire affaire au Canada se familiarisent avec les dispositions des
lois provinciales canadiennes sur la protection des renseignements personnels
applicables aux employés. La LPRPDE ne s’applique qu’aux renseignements sur
les employés des entités qui sont de compétence fédérale au regard de l’emploi
et des relations de travail. Les entreprises qui exercent leurs activités dans des
provinces où s’applique la LPRPDE ne sont assujetties aux lois sur la protection
des renseignements personnels dans leurs relations avec leurs employés que
dans la mesure où elles sont de compétence fédérale au regard de l’emploi
et des relations de travail.
La LPRPDE et les lois provinciales correspondantes ne régissent pas la collecte,
l’utilisation ou la communication de renseignements personnels à des fins
journalistiques, artistiques ou personnelles.
Exigences relatives à la protection des renseignements
personnels dans le secteur privé
La LPRPDE énonce 10 pratiques équitables de gestion des renseignements
à caractère obligatoire élaborées par l’Association canadienne de normalisation
et qui constituent le Code type sur la protection des renseignements personnels
(le « code type »).
Exigences applicables aux entités assujetties à la LPRPDE :
a ssumer la responsabilité des renseignements personnels dont l’entité est en
possession ou a la garde, y compris les renseignements personnels transmis
à des tiers aux fins de traitement et prendre des mesures, contractuelles ou
autres, fournissant un degré comparable de protection aux renseignements
ainsi traités par un tiers;
otifier les personnes concernées des fins de la collecte, de l’utilisation
n
ou de la communication de leurs renseignements personnels et obtenir leur
consentement à cet égard (la LPRPDE prévoit des exceptions limitées à cette
exigence d’informer et d’obtenir un consentement);
> Faire des affaires au Canada
Exigences applicables
aux entités assujetties
à la LPRPDE :
restreindre la quantité
de renseignements
personnels recueillis,
utilisés, communiqués
ou conservés à ce qui
est nécessaire aux fins
auxquelles ils ont
été recueillis;
Le droit relatif au respect de la vie privée
chapitre
14
a voir des fins raisonnables et appropriées lorsqu’il s’agit de recueillir,
d’utiliser ou de communiquer des renseignements personnels;
r estreindre la quantité de renseignements personnels recueillis, utilisés,
communiqués ou conservés à ce qui est nécessaire aux fins auxquelles
ils ont été recueillis;
e pas lier la fourniture de biens ou de services au consentement
n
des personnes concernées lorsque des renseignements sur ces personnes
doivent être recueillis, utilisés ou communiqués;
r especter les normes d’exactitude et de sécurité applicables aux
renseignements personnels détenus;
instaurer une politique de protection de la vie privée et nommer un responsable
de la protection de la vie privée chargé de représenter l’entité dans les dossiers
relatifs à la protection de la vie privée;
ermettre aux personnes concernées d’accéder aux renseignements
p
personnels qui les concernent (avec des exceptions limitées) et de faire
corriger sur demande des renseignements inexacts.
Les lois sur la protection des renseignements personnels des provinces
de Québec, de Colombie-Britannique et d’Alberta comportent des exigences et des
exceptions similaires, mais en raison des différences entre ces lois provinciales
et la LPRPDE, il importe de vérifier en détail les dispositions de chaque loi
eu égard aux situations dans lesquelles il est procédé à la collecte, à l’utilisation
et à la communication de renseignements personnels. On notera en particulier
que la loi intitulée Information and Privacy Commissioner (IPC) de l’Alberta exige
que le commissaire à l’information et à la protection de la vie privée de l’Alberta
soit avisé des atteintes à la protection des renseignements personnels touchant
des résidents de l’Alberta (alors que les commissaires aux échelons fédéral
et provincial ne font que recommander la transmission d’un tel avis).
Les commissaires à l’information et à la protection de la vie privée aux échelons
fédéral et provincial se sont prononcés sur un grand nombre de dossiers ayant
des répercussions importantes sur les pratiques commerciales; il s’est agi aussi bien
de décisions en matière d’avis et de consentement dans le cadre de communications
aux fins de commercialisation, de partage de renseignements entre membres d’un
groupe, d’historiques d’achat, de circulation transfrontalière de renseignements
et d’applications de médias sociaux que de mesures pour contrer les atteintes
à la protection des renseignements personnels à l’échelle internationale,
de l’utilisation de technologies de reconnaissance vocale et de localisation GPS aux
fins de collecte de renseignements, de limitation du droit de demander un permis
de conduire aux fins de prévention des fraudes, d’utilisation de renseignements
personnels à la disposition du public et de regroupement de renseignements
personnels, de normes en matière de surveillance vidéo, de collecte et d’utilisation
inappropriées de renseignements personnels par des services de profilage
> Faire des affaires au Canada
Le droit relatif au respect de la vie privée
chapitre
14
psychologique et de conservation de renseignements par les fournisseurs
de services de rencontre en ligne. Le Commissaire à la protection de la vie
privée du Canada a également publié un guide à l’intention des entreprises
et des organisations qui énonce des lignes directrices en ce qui concerne les
règles de protection de la vie privée et les obligations de déclaration relatives
à la circulation transfrontalière de renseignements, le consentement en ligne,
le profilage et le ciblage en ligne et l’infonuagique qui répond aux questions
courantes sur les activités commerciales transfrontalières.
Un aperçu des exigences des lois sur la protection des renseignements personnels
applicables aux fournisseurs de services et aux sous-traitants et régissant
l’obligation de déclaration d’atteintes à la protection des renseignements
personnels et la circulation transfrontalière de renseignements personnels
est fourni ci-après.
Exigences des lois sur la protection des renseignements
personnels dans le secteur de la santé
Lorsqu’on considère des possibilités d’affaires dans l’industrie des soins
de santé, que ce soit dans le secteur public ou le secteur privé, il faut savoir
que certaines provinces se sont dotées d’une loi portant spécifiquement sur
la collecte, l’utilisation et la communication de renseignements personnels sur
la santé. L’Alberta, la Saskatchewan, le Manitoba, l’Ontario, le Nouveau-Brunswick,
Terre-Neuve-et-Labrador et la Nouvelle-Écosse ont adopté des lois qui s’appliquent
aux fournisseurs de soins de santé dans le secteur public et dans le secteur privé,
appelés dépositaires de renseignements sur la santé. Les lois sur la protection
des renseignements personnels dans le secteur de la santé s’appliquent
également, directement ou indirectement, aux mandataires des dépositaires
de renseignements sur la santé, ainsi qu’aux fournisseurs de services de gestion
de renseignements, notamment ceux offrant des solutions de gestion de systèmes
et de stockage de données.
Les lois sur la protection des renseignements personnels dans le secteur
de la santé exigent que les dépositaires de renseignements sur la santé obtiennent
le consentement exprès des patients pour recueillir, utiliser ou communiquer des
renseignements personnels sur la santé et qu’ils les en avisent, avec des exceptions
limitées visant la communication à d’autres dépositaires de renseignements
personnels sur la santé faisant partie du cercle de soins du patient. Sous réserve
d’exceptions limitées et bien déterminées, chaque loi comprend des dispositions
pour conférer le droit aux patients d’accéder à leurs renseignements personnels
sur la santé, limiter l’accès à ces renseignements et l’utilisation de ceux-ci au sein
de l’entreprise d’un dépositaire de renseignements sur la santé, interdire leur
communication à des fins autres que celles auxquelles le patient a consenti
et définir des normes applicables aux fournisseurs de services de traitement
des renseignements personnels sur la santé œuvrant pour des fournisseurs
de soins de santé.
> Faire des affaires au Canada
Le droit relatif au respect de la vie privée
chapitre
14
Application des lois sur la protection
des renseignements personnels
Le Commissaire à la protection de la vie privée du Canada (CPVPC) supervise
l’application de la Loi sur la protection de la vie privée (Canada) et de la LPRPDE
et est responsable des enquêtes sur les entités canadiennes et internationales
en vertu de la LPRPDE.
AU PLAN NATIONAL
Le CPVPC peut ordonner des vérifications des pratiques en matière
de protection de la vie privée d’entités soupçonnées de violer la LPRPDE et être
saisi de plaintes pour non-conformité et à procéder à leur examen. Il peut
également faire des recommandations en matière de conformité à la LPRPDE
et dénoncer au Parlement les entités qui se sont avérées ne pas s’y conformer.
Le CPVPC, et en cas de non-conformité à la loi, les plaignants peuvent demander
réparation à la Cour fédérale du Canada, qui a des pouvoirs étendus en la
matière, et peut accorder des dommages-intérêts et prononcer des ordonnances
à caractère obligatoire.
Au niveau provincial, l’application des lois sur la protection des renseignements
personnels est du ressort du Commissaire à l’information et à la protection
de la vie privée (CIPVP) ou de l’ombudsman de la province, qui sont habilités
à enquêter relativement aux plaintes et à rendre des ordonnances exécutoires
exigeant le respect de la loi. En outre, les particuliers ont un droit privé d’action
qu’ils peuvent exercer en cas d’atteinte à la protection de la vie privée au Québec,
en Colombie-Britannique et en Alberta en cas de contravention aux lois provinciales
sur la protection des renseignements personnels dans le secteur de la santé
si le commissaire a rendu une ordonnance ou formulé une recommandation
après avoir constaté une violation de la loi.
Au plan international
Comme la LPRPDE s’applique aux non-résidents du Canada, ceux-ci peuvent
également porter plainte auprès du CPVPC relativement à des violations
de la part d’une entité au Canada. Par ailleurs, le CPVPC cherchera à faire
enquête sur les entités étrangères visées par des plaintes en vertu de la LPRPDE.
Le CPVPC est habilité à coopérer avec des autorités étrangères telles que
la U.S. Federal Trade Commission et à partager des renseignements avec de telles
autorités lorsqu’il y a enquête sur une atteinte à la protection de la vie privée
touchant le Canada. Le CPVPC et ses homologues des provinces feront enquête
et présenteront des conclusions à l’égard de violations alléguées de la LPRPDE
ou des lois sur la protection de la vie privée provinciales dont l’origine
ou la cause peut se trouver en dehors du Canada, mais qui concernent
les renseignements personnels de résidents du Canada.
> Faire des affaires au Canada
Le droit relatif au respect de la vie privée
chapitre
14
Obligation de donner un avis en cas d’atteinte
à la protection des renseignements personnels
En vertu de la loi albertaine intitulée Personal Information Protection Act,
les entreprises détenant des renseignements personnels auxquels il a été
porté atteinte doivent aviser le CPVPC de l’Alberta de ce fait et le CPVPC peut
ordonner aux entités d’aviser les particuliers concernés lorsque ces atteintes
représentent un « risque réel de préjudice grave » (real risk of significant harm)
pour les particuliers. Le CPVPC de l’Alberta a enjoint à de nombreuses reprises
à des entités non seulement en Alberta, mais aussi à l’extérieur de l’Alberta et/ou du
Canada dans des cas où des résidents de l’Alberta pouvaient être touchés, de donner
un avis concernant l’atteinte à la protection des renseignements personnels.
Des modifications à la LPRPDE ont été proposées pour obliger les entreprises
à aviser le CPVPC et les particuliers, ainsi que les entités susceptibles d’atténuer
le préjudice, en cas d’atteinte à la protection des renseignements personnels
présentant un risque réel de préjudice grave pour des particuliers dans les meilleurs
délais possible après avoir détecté l’atteinte et évalué les risques de préjudice s’y
rapportant. Un tel avis devrait être formulé de manière claire, directe et manifeste
et comporter suffisamment de détails pour que toute personne avisée puisse
en comprendre l’importance et, dans la mesure du possible, atténuer le préjudice
qui pourrait en résulter. Dans des recommandations qu’il a formulées avant
ces modifications proposées, le CPVPC a indiqué qu’il s’attend à être avisé des
atteintes à la protection des renseignements personnels présentant un risque
réel de préjudice grave.
Sous-traitants et fournisseurs de services
Les entités qui sous-traitent des services ou en font exécuter par d’autres
fournisseurs demeurent responsables du respect de la confidentialité des
renseignements ainsi confiés à des tiers. Les fournisseurs de services mandatés,
y compris ceux situés à l’extérieur du Canada, doivent donc veiller à ce que les
renseignements soient traités en conformité avec la LPRPDE. Il n’en demeure
pas moins que l’entité qui fait appel aux services de tels fournisseurs a de façon
générale la responsabilité d’informer les particuliers quant au traitement des
renseignements les concernant et de s’assurer, par voie contractuelle, que les
fournisseurs de services mandatés offrent un niveau de protection comparable
à celui qui est prévu par les lois canadiennes sur la protection des renseignements
personnels à l’égard des renseignements personnels qu’ils traitent ou qu’ils
conservent pour le compte des entités assujetties à ces lois.
> Faire des affaires au Canada
Le Commissaire
à la protection de la vie
privée du Canada peut
ordonner des vérifications
des pratiques en matière
de protection de la
vie privée d’entités
soupçonnées de violer
la LPRPDE et être saisi
de plaintes pour
non-conformité et à
procéder à leur examen.
Le droit relatif au respect de la vie privée
chapitre
14
Circulation transfrontalière de renseignements personnels
LOIS SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
DANS LE SECTEUR PRIVÉ
Selon la règle de la « sphère de sécurité » de l’Union européenne (U.E.),
les entités qui entendent transmettre des renseignements personnels vers
d’autres pays doivent veiller à ce que ces pays soient dotés de lois qui assurent
un « niveau de protection adéquat » des renseignements personnels. Comme
l’U.E. a reconnu que la LPRPDE assure un « niveau de protection adéquat »,
les échanges de renseignements personnels entre les États membres de l’U.E.
et le Canada ne nécessitent pas d’accord relatif à la sphère de sécurité,
en raison de l’application de la LPRPDE.
La LPRPDE et les lois provinciales sur la protection des renseignements
personnels obligent les entités qui traitent ou conservent des renseignements
personnels, ou qui font affaire avec des fournisseurs de services à de telles fins,
à en informer les particuliers concernés. La loi albertaine intitulée Personal
Information Act exige en outre que de telles entités déclarent leurs politiques et
pratiques en la matière et désignent une personne-ressource chargée de répondre
aux questions relatives aux fournisseurs de services auxquels elles confient le
traitement de renseignements personnels à l’extérieur du Canada. Par ailleurs, les
lois sur la protection des renseignements personnels de l’Alberta
et de la Colombie-Britannique et la plupart des lois sur la protection des
renseignements personnels dans le secteur de la santé exigent que la communication
de renseignements personnels à des instances chargées de l’application
de la loi et à des organismes d’enquête à l’extérieur du Canada fasse l’objet
d’un consentement.
La Loi sur la protection des renseignements personnels dans le secteur privé
de la province de Québec impute la responsabilité de respecter les exigences
à l’égard de l’utilisation, de la transmission ou de la communication de renseignements
personnels hors du Québec aux entités qui s’y livrent dans le cadre de leurs
activités. De plus, cette loi interdit le transfert ou la communication de tels
renseignements en l’absence de garantie que ces renseignements ne seront pas
utilisés ou communiqués à des fins autres que celles auxquelles ils ont été transmis
ou communiqués à des tiers sans qu’il n’y ait eu de consentement.
LOIS SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS DANS
LE SECTEUR PUBLIC
Pour calmer les inquiétudes de la population relativement au potentiel d’atteinte
à la protection des renseignements personnels qui découle de la loi des ÉtatsUnis intitulée USA PATRIOT Act, la Colombie-Britannique et la Nouvelle-Écosse
ont pris des mesures qui interdisent aux entités du secteur public (y compris
les fournisseurs de services publics, hôpitaux et sociétés d’État situés dans ces
provinces) de permettre l’accès à des renseignements ou la communication
de renseignements à l’étranger.
> Faire des affaires au Canada
Le droit relatif au respect de la vie privée
chapitre
14
Ces mesures de blocage de données imposent des restrictions importantes
aux fournisseurs de services situés à l’étranger pour ce qui est d’accéder aux
données du secteur public de la Colombie-Britannique et de la Nouvelle-Écosse
et de recueillir de telles données et d’y donner accès et d’en communiquer
et d’en conserver. De même, l’Alberta et le Québec ont des lois sur la protection
des renseignements personnels dans le secteur public et limitent également
la communication de renseignements personnels à des instances chargées
de l’application de la loi situées à l’étranger.
Qui plus est, le gouvernement fédéral et la plupart des gouvernements
provinciaux ont adopté une politique d’évaluation des risques par rapport
au traitement et à la communication de renseignements personnels dans
un cadre transfrontalier par les fournisseurs dont ils retiennent les services.
–
Le groupe d’Osler spécialisé dans le respect de la vie privée a contribué à la conception
des règles de protection de la vie privée au Canada et est en mesure d’aider les clients
à élaborer des solutions adaptées à leurs besoins en matière de protection des renseignements
personnels. Michael Fekete et Patricia Wilson sont associés au sein du groupe de notre
cabinet chargé du respect de la vie privée et de la gestion de l’information.
Michael Fekete
[email protected]
416.862.6792
> Faire des affaires au Canada
Patricia Wilson
[email protected]
613.787.1009