Article – détails



Article

Un comité recommande que la loi fédérale canadienne sur la protection de la vie privée soit modifiée

Date

31 juillet 2007

AUTEUR(s)

Cappone D'Angelo
Wendy Gross
Barbara A. McIsaac
Charles S. Morgan
Catherine M. Samuel


Le 2 mai 2007, le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique a présenté à la Chambre des communes son rapport découlant de l’examen législatif de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) fédérale.

Les recommandations du Comité s’alignent sur les consultations élaborées menées auprès de diverses parties intéressées et consistent essentiellement en un peaufinage de la LPRPDE plutôt qu’en des modifications globales. Tel que l’a relevé le Comité, la plupart de ces « réglages » découlent de la nécessité d’harmoniser davantage la LPRPDE avec les lois du Québec, de l’Alberta et de la Colombie-Britannique, qui ont adopté des lois sur la protection des données dans le secteur privé qui se ressemblent beaucoup entre elles. Les observations présentées par diverses parties intéressées au Comité cautionnaient le point de vue voulant que les « lois de deuxième génération de la Colombie-Britannique et de l’Alberta dans le domaine de la protection de la vie privée sont mieux alignées sur les pratiques actuelles en cette matière et elles sont aussi plus pratiques. »

Voici quelques-unes des principales recommandations soumises par le Comité :

      1. Modifier la LPRPDE de manière à y prévoir une disposition relative aux avis d’infraction qui exigerait que les organisations déclarent certaines infractions définies de leur fonds de renseignements personnels à la commissaire à la protection de la vie privée du Canada.
      2. Ajouter une disposition habilitant les organisations à recueillir, utiliser et divulguer des renseignements personnels sans le consentement de l’intéressé aux fins d’opérations commerciales.
      3. Inclure une définition de « produit du travail » qui établirait explicitement que ce produit ne constitue pas des renseignements personnels.
      4. Clarifier la forme et l’utilité du consentement requis aux termes de la LPRPDE afin d’établir une distinction entre un consentement exprès, un consentement implicite et un consentement réputé ou auquel l’intéressé a renoncé.
      5. Incorporer des modifications afin de traiter la question de la collecte, de l’utilisation et de la divulgation de renseignements personnels dans un contexte d’emploi.
      6. Aucune modification ne devrait être apportée à la LPRPDE en ce qui a trait aux flux de renseignements personnels transfrontaliers.
      7. À ce stade-ci, aucun pouvoir exécutoire ne devrait être attribué à la commissaire à la protection de la vie privée.
      8. Aucune modification ne devrait être effectuée relativement au pouvoir discrétionnaire qu’a la commissaire à la protection de la vie privée de désigner publiquement des organisations lorsque cela va dans le sens de l’intérêt public.

Remarques de McCarthy Tétrault :

Plusieurs des changements recommandés par le Comité seront bien accueillis par les organisations assujettis aux exigences prévues à la LPRPDE en matière de protection de la vie privée.

Premièrement, bon nombre des changements proposés visent des obligations en matière de conformité qui se sont révélées trop compliquées pour les organisations assujetties à la LPRPDE, laquelle ne permet pas, par exemple, la collecte, l’utilisation et la divulgation de renseignements personnels sans le consentement de l’employé concerné, peu importe si l’obtention de ces renseignements est nécessaire à la gestion de la relation d’emploi. L’absence d’une telle exemption constitue un problème pour les employeurs sous réglementation fédérale.

Deuxièmement, plusieurs des changements recommandés auraient pour effet, au plan pratique, d’harmoniser la LPRPDE avec la législation provinciale actuelle en matière de protection de la vie privée, y compris la Personal Information Protection Act (C.-B. et Alberta) et la Loi sur la protection des renseignements personnels dans le secteur privé du Québec. Si, par exemple, on prévoyait une exemption pour les « renseignements relatifs au produit du travail » et que l’on précisait l’exemption relative à l’information concernant les relations d’affaires, cela accroîtrait la capacité des organisations établies dans plusieurs provinces à mettre en œuvre des pratiques et des processus cohérents en matière de protection de la vie privée dans l’ensemble du Canada.

De nombreuses organisations approuveront aussi la recommandation du Comité voulant qu’aucun changement ne devrait être apporté à la LPRPDE en ce qui a trait aux flux de renseignements personnels transfrontaliers. Dans l’esprit des recommandations faites par la commissaire à la protection de la vie privée du Canada, le Comité a noté que « [la LPRPDE] renferme déjà des exigences suffisantes en matière de responsabilité et offre la souplesse voulue aux entreprises pour que les renseignements personnels soient dûment protégés lorsqu’ils franchissent nos frontières », et il a encouragé la commissaire à continuer à fournir un encadrement aux organisations en ce qui concerne la mise en œuvre de mesures de protection appropriées.

Parmi les autres sujets brûlants examinés par le Comité, citons la question de savoir si la LPRPDE devrait être modifiée de manière à contraindre expressément les organisations à déclarer toute infraction touchant à la protection de la vie privée, ce qui comprend, plus précisément, les cas d’accès non autorisé à des renseignements personnels gérés par l’organisation ou les cas d’utilisation non permise de ces renseignements. Même si l’application d’une telle mesure pourrait mobiliser des ressources importantes au bureau de la commissaire et en dépit de l’absence d’un pouvoir de rendre des ordonnances exécutoires, le Comité recommande que les organisations soient tenues de signaler à la commissaire certaines infractions bien définies. La commissaire pourrait ensuite déterminer s’il y a lieu d’aviser les personnes concernées et d’autres parties et, le cas échéant, la filière de communication devant être utilisée à cette fin. Cette approche diffère de celle employée par d’autres juridictions, y compris de nombreux États américains qui exigent que les personnes concernées soient directement avisées de certaines infractions.

Même s’il faudra un certain temps avant que les recommandations du Comité donnent lieu à des modifications de la LPRPDE, les organisations devraient à tout le moins réexaminer leurs processus internes de protection des renseignements personnels afin de s’assurer qu’un régime interne de remontée des paliers hiérarchiques a été instauré. En vertu de ce régime, les fournisseurs de services devraient être tenus d’aviser qui de droit des infractions relatives à des renseignements personnels leur ayant été fournis par l’organisation, et il devrait aussi être possible de faire le nécessaire pour que le personnel des TI, les professionnels de la gestion du risque, le personnel des ressources humaines et d’autres personnes concernées soient prêts à réagir à toute infraction de ce genre.

Expertise