TÉLÉCHARGER EN FORMAT PDF : Le droit relatif au respect de la
Le droit relatif au respect de la vie privée
chapitre 14
> Faire des affaires au Canada
Le droit relatif au respect
de la vie privée
Les lois sur la protection des renseignements personnels à l’échelon fédéral
et provincial ont une inuence considérable sur la façon dont presque
toutes les entreprises exercent leurs activités à l’échelle du pays. Les lois sur
la protection des renseignements personnels au Canada, qui sont probablement
les plus exhaustives au monde, s’apparentent de façon générale à celles des
pays européens. Les lois sur la protection des renseignements personnels aux
États-Unis ont une portée sectorielle et ne s’appliquent donc pas à l’ensemble
du monde des affaires comme c’est le cas au Canada.
Des lois très complètes ont en outre été adoptées au Canada pour encadrer
l’envoi de messages électroniques à des fins commerciales et l’installation
de logiciels par les entreprises exerçant des activités en toute légalité, lois
qui ne ciblent donc pas uniquement les disséminateurs de pourriels
et de logiciels espions.
Une loi rigoureuse
La Loi canadienne anti-pourriel (« LCAP ») récemment adoptée a une très
grande portée, puisqu’elle ne fait pas qu’encadrer l’envoi massif de messages
non sollicités par courrier électronique. Cette loi instaure en effet un régime
normatif qui s’applique à la quasi-totalité des messages électroniques
incitant à participer à une activité commerciale, y compris les courriels,
les messages textuels et instantanés et certains messages de médias
sociaux, en exigeant un consentement « exprès » exprimé de manière
positive ou explicite. Cette loi édicte également des règles normatives
régissant, entre autres, les mécanismes de désabonnement, l’identité
de l’expéditeur et l’information sur la personne à contacter.
La LCAP comporte également un régime de consentement exprès avec
des exigences en matière de communication d’information applicables
à l’installation de programmes informatiques. Même si l’objectif principal
des nouvelles règles est de contrer la distribution de « logiciels espions »,
les règles de la LCAP visant les programmes informatiques s’appliquent
à l’installation de la quasi-totalité des programmes informatiques, qu’ils
soient ou non malveillants.
La LCAP est entrée en vigueur le 1er juillet 2014, mais les règles qu’elle
édicte à l’égard des programmes informatiques ne prendront effet que
le 15 janvier 2015.
par Michael Fekete et Patricia Wilson
1. 2. 3. 4.
5. 6. 7. 8.
9. 10. 11. 12.
13. 14. 15. 16.
17. 18. 19. 20.
Le droit relatif au respect de la vie privée
chapitre 14
> Faire des affaires au Canada
Les entités qui omettent de se conformer aux dispositions de la LCAP s’exposent
à des pénalités sévères, y compris des sanctions pécuniaires administratives
pouvant atteindre 10 000 000 $ pour les personnes morales (1 000 000 $ pour
les personnes physiques). L’application de la LCAP se fera principalement par
le truchement de plaintes auprès du Conseil de la radiodiffusion et des
télécommunications canadiennes et d’enquêtes de cet organisme. Puis,
à compter du 1er juillet 2017, les consommateurs et les entreprises pourront
intenter des actions privées (y compris par voie de recours collectif) et obtenir
des dommages-intérêts pour contravention à la LCAP, y compris des dommages-
intérêts prévus par la loi pouvant atteindre 1 million de dollars par jour.
Lois sur la protection des renseignements personnels
dans le secteur public
Les lois sur la protection des renseignements personnels dans le secteur public
s’appliquent aux organismes fédéraux et à la plupart des organismes provinciaux
et municipaux. À l’instar de la loi fédérale des États-Unis (Privacy Act), la Loi
sur la protection des renseignements personnels du gouvernement fédéral et les
lois correspondantes de certaines provinces canadiennes exigent des ministères
et des organismes gouvernementaux, ainsi que de la plupart des sociétés d’État
et organismes gouvernementaux municipaux, qu’ils précisent les fins légales
et autorisées auxquelles ils recueillent des renseignements personnels sur des
particuliers et qu’ils en avisent ceux-ci et leur donnent accès aux renseignements
personnels les concernant si les particuliers en font la demande. Certaines lois
sur la protection des renseignements personnels applicables au secteur public
provincial restreignent le droit des organismes du secteur public et/ou de leurs
fournisseurs de services de donner accès à des renseignements personnels
ou de les communiquer à partir d’un endroit situé à l’extérieur du Canada
ou à destination d’un tel endroit. (Se reporter à la partie Circulation
transfrontalière de renseignements personnels ci-dessous.)
Lois sur la protection des renseignements personnels
dans le secteur privé
Les entreprises canadiennes sont assujetties aux lois fédérales et provinciales
sur la protection des renseignements personnels, dont le champ d’application
s’étend aux renseignements sur leurs clients ainsi qu’à ceux sur leurs employés
(avec certaines exceptions dans ce dernier cas). La Loi sur la protection
des renseignements personnels et les documents électroniques (LPRPDE) s’applique
à toutes les entités du secteur privé au Canada, sauf dans les provinces qui se
sont dotées de lois « essentiellement similaires ». La LPRPDE est également
applicable aux renseignements personnels qui sont communiqués à l’extérieur
d’une frontière provinciale dans le cadre d’une activité commerciale, ainsi que
dans la plupart des situations où une entité au Canada reçoit ou transmet des
renseignements personnels en provenance ou à destination du Canada.
Le droit relatif au respect de la vie privée
chapitre 14
> Faire des affaires au Canada
Le Québec, la Colombie-Britannique et l’Alberta sont des provinces dotées
de lois déclarées « essentiellement similaires » à la LPRPDE et régissant les
renseignements sur les employés. Le Manitoba s’est également doté d’une telle
loi applicable au secteur privé, mais qui n’est pas encore en vigueur. Les lois sur
les renseignements médicaux personnels de l’Ontario, du Nouveau-Brunswick
et de Terre-Neuve-et-Labrador ont également été déclarées « essentiellement
similaires » à la LPRPDE.
Les lois sur la protection des renseignements personnels qui s’appliquent aux
renseignements personnels des employés au Canada ne sont pas uniformes.
Il importe donc que les propriétaires d’entreprises et/ou les investisseurs
souhaitant faire affaire au Canada se familiarisent avec les dispositions des
lois provinciales canadiennes sur la protection des renseignements personnels
applicables aux employés. La LPRPDE ne s’applique qu’aux renseignements sur
les employés des entités qui sont de compétence fédérale au regard de l’emploi
et des relations de travail. Les entreprises qui exercent leurs activités dans des
provinces où s’applique la LPRPDE ne sont assujetties aux lois sur la protection
des renseignements personnels dans leurs relations avec leurs employés que
dans la mesure où elles sont de compétence fédérale au regard de l’emploi
et des relations de travail.
La LPRPDE et les lois provinciales correspondantes ne régissent pas la collecte,
l’utilisation ou la communication de renseignements personnels à des fins
journalistiques, artistiques ou personnelles.
Exigences relatives à la protection des renseignements
personnels dans le secteur privé
La LPRPDE énonce 10 pratiques équitables de gestion des renseignements
à caractère obligatoire élaborées par l’Association canadienne de normalisation
et qui constituent le Code type sur la protection des renseignements personnels
(le « code type »).
Exigences applicables aux entités assujetties à la LPRPDE :
assumer la responsabilité des renseignements personnels dont l’entité est en
possession ou a la garde, y compris les renseignements personnels transmis
à des tiers aux fins de traitement et prendre des mesures, contractuelles ou
autres, fournissant un degré comparable de protection aux renseignements
ainsi traités par un tiers;
notifier les personnes concernées des fins de la collecte, de l’utilisation
ou de la communication de leurs renseignements personnels et obtenir leur
consentement à cet égard (la LPRPDE prévoit des exceptions limitées à cette
exigence d’informer et d’obtenir un consentement);
Exigences applicables
aux entités assujetties
à la LPRPDE :
restreindre la quantité
de renseignements
personnels recueillis,
utilisés, communiqués
ou conservés à ce qui
est nécessaire aux ns
auxquelles ils ont
été recueillis;
Le droit relatif au respect de la vie privée
chapitre 14
> Faire des affaires au Canada
avoir des fins raisonnables et appropriées lorsqu’il s’agit de recueillir,
d’utiliser ou de communiquer des renseignements personnels;
restreindre la quantité de renseignements personnels recueillis, utilisés,
communiqués ou conservés à ce qui est nécessaire aux fins auxquelles
ils ont été recueillis;
ne pas lier la fourniture de biens ou de services au consentement
des personnes concernées lorsque des renseignements sur ces personnes
doivent être recueillis, utilisés ou communiqués;
respecter les normes d’exactitude et de sécurité applicables aux
renseignements personnels détenus;
instaurer une politique de protection de la vie privée et nommer un responsable
de la protection de la vie privée chargé de représenter l’entité dans les dossiers
relatifs à la protection de la vie privée;
permettre aux personnes concernées d’accéder aux renseignements
personnels qui les concernent (avec des exceptions limitées) et de faire
corriger sur demande des renseignements inexacts.
Les lois sur la protection des renseignements personnels des provinces
de Québec, de Colombie-Britannique et d’Alberta comportent des exigences et des
exceptions similaires, mais en raison des différences entre ces lois provinciales
et la LPRPDE, il importe de vérifier en détail les dispositions de chaque loi
eu égard aux situations dans lesquelles il est procédé à la collecte, à l’utilisation
et à la communication de renseignements personnels. On notera en particulier
que la loi intitulée Information and Privacy Commissioner (IPC) de l’Alberta exige
que le commissaire à l’information et à la protection de la vie privée de l’Alberta
soit avisé des atteintes à la protection des renseignements personnels touchant
des résidents de l’Alberta (alors que les commissaires aux échelons fédéral
et provincial ne font que recommander la transmission d’un tel avis).
Les commissaires à l’information et à la protection de la vie privée aux échelons
fédéral et provincial se sont prononcés sur un grand nombre de dossiers ayant
des répercussions importantes sur les pratiques commerciales; il s’est agi aussi bien
de décisions en matière d’avis et de consentement dans le cadre de communications
aux ns de commercialisation, de partage de renseignements entre membres d’un
groupe, d’historiques d’achat, de circulation transfrontalière de renseignements
et d’applications de médias sociaux que de mesures pour contrer les atteintes
à la protection des renseignements personnels à l’échelle internationale,
de l’utilisation de technologies de reconnaissance vocale et de localisation GPS aux
ns de collecte de renseignements, de limitation du droit de demander un permis
de conduire aux fins de prévention des fraudes, d’utilisation de renseignements
personnels à la disposition du public et de regroupement de renseignements
personnels, de normes en matière de surveillance vidéo, de collecte et d’utilisation
inappropriées de renseignements personnels par des services de profilage
Le droit relatif au respect de la vie privée
chapitre 14
> Faire des affaires au Canada
psychologique et de conservation de renseignements par les fournisseurs
de services de rencontre en ligne. Le Commissaire à la protection de la vie
privée du Canada a également publié un guide à l’intention des entreprises
et des organisations qui énonce des lignes directrices en ce qui concerne les
règles de protection de la vie privée et les obligations de déclaration relatives
à la circulation transfrontalière de renseignements, le consentement en ligne,
le profilage et le ciblage en ligne et l’infonuagique qui répond aux questions
courantes sur les activités commerciales transfrontalières.
Un aperçu des exigences des lois sur la protection des renseignements personnels
applicables aux fournisseurs de services et aux sous-traitants et régissant
l’obligation de déclaration d’atteintes à la protection des renseignements
personnels et la circulation transfrontalière de renseignements personnels
est fourni ci-après.
Exigences des lois sur la protection des renseignements
personnels dans le secteur de la santé
Lorsqu’on considère des possibilités d’affaires dans l’industrie des soins
de santé, que ce soit dans le secteur public ou le secteur privé, il faut savoir
que certaines provinces se sont dotées d’une loi portant spéciquement sur
la collecte, l’utilisation et la communication de renseignements personnels sur
la santé. L’Alberta, la Saskatchewan, le Manitoba, l’Ontario, le Nouveau-Brunswick,
Terre-Neuve-et-Labrador et la Nouvelle-Écosse ont adopté des lois qui s’appliquent
aux fournisseurs de soins de santé dans le secteur public et dans le secteur privé,
appelés dépositaires de renseignements sur la santé. Les lois sur la protection
des renseignements personnels dans le secteur de la santé s’appliquent
également, directement ou indirectement, aux mandataires des dépositaires
de renseignements sur la santé, ainsi qu’aux fournisseurs de services de gestion
de renseignements, notamment ceux offrant des solutions de gestion de systèmes
et de stockage de données.
Les lois sur la protection des renseignements personnels dans le secteur
de la santé exigent que les dépositaires de renseignements sur la santé obtiennent
le consentement exprès des patients pour recueillir, utiliser ou communiquer des
renseignements personnels sur la santé et qu’ils les en avisent, avec des exceptions
limitées visant la communication à d’autres dépositaires de renseignements
personnels sur la santé faisant partie du cercle de soins du patient. Sous réserve
d’exceptions limitées et bien déterminées, chaque loi comprend des dispositions
pour conférer le droit aux patients d’accéder à leurs renseignements personnels
sur la santé, limiter l’accès à ces renseignements et l’utilisation de ceux-ci au sein
de l’entreprise d’un dépositaire de renseignements sur la santé, interdire leur
communication à des ns autres que celles auxquelles le patient a consenti
et dénir des normes applicables aux fournisseurs de services de traitement
des renseignements personnels sur la santé œuvrant pour des fournisseurs
de soins de santé.
6
7
8
9
1
/
9
100%
