Article – détails



Article

À l’instar d’autres provinces, le Manitoba adopte sa propre législation en matière de protection des renseignements personnels dans le secteur privé

Date

4 octobre 2013

AUTEUR(s)

Daniel G.C. Glover
Roland Hung
Shannel Rajan


Le gouvernement du Manitoba a récemment adopté la Loi sur la protection des renseignements personnels et la prévention du vol d’identité (LPRPPVI) afin de régir la collecte, l’utilisation et la communication des renseignements personnels dans le secteur privé1. La loi n’est pas encore en vigueur, mais son adoption revêt une importance particulière puisqu’elle permettra au Manitoba de rejoindre les rangs de l’Alberta, de la Colombie-Britannique et du Québec, qui ont leur propre législation en matière de protection des renseignements personnels dans le secteur privé, laquelle est « essentiellement similaire » à la législation fédérale, soit la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)2. Le Manitoba est également la première province, depuis 2004, à s’engager dans cette voie avec une loi englobant tout le secteur privé.

Survol

D’un point de vue historique, il s’agit d’une étape importante dans l’évolution du droit de la protection des renseignements personnels au Canada. La LPRPPVI, malgré son titre, est en plusieurs points similaire à la version de 2009 de la loi de l’Alberta intitulée Personal Information Protection Act (PIPA de 2009 de l’Alberta)3. Elle est divisée selon les sections suivantes : l’objet, la protection, l’accès et la protection, la réglementation ainsi que les dispositions générales. Mentionnons, parmi les éléments qui distinguent ces deux lois, que la loi de l’Alberta adopte une approche différente quant à la définition de l’atteinte à la vie privée et du rôle du commissaire à la protection de la vie privée. Par conséquent, bon nombre de cas référant à la loi de l’Alberta intitulée Personal Information Protection Act (PIPA de l’Alberta)4 aideront les organisations du Manitoba à gérer leurs risques et obligations. De la même manière, la jurisprudence albertaine devrait orienter les tribunaux du Manitoba lorsque surviendront des litiges en matière de protection des renseignements personnels5.

Cet article vise à établir des distinctions entre ces deux lois et à proposer des mesures aux organisations qui souhaitent se préparer à l’entrée en vigueur de la LPRPPVI.

Collecte, utilisation et communication de données personnelles

À l’image des lois fédérale et provinciale en matière de protection des renseignements personnels, la LPRPPVI définit très largement les « renseignements personnels » comme des renseignements concernant un particulier identifiable. Sauf en de rares exceptions, un particulier doit généralement donner son consentement préalablement à la collecte, l’utilisation ou la communication des renseignements personnels le concernant. Les tribunaux de l’Alberta ont interprété cette définition clé de façon pragmatique, mais leurs décisions sont actuellement contestées dans le cadre d’un appel soumis à la Cour suprême du Canada6.

1. Consentement

Le consentement doit satisfaire à la définition de « consentement éclairé », ce qui signifie que a) le particulier doit savoir à quoi il consent et b) le consentement doit être donné préalablement à la collecte des renseignements7. Ainsi, pour se conformer à la législation, les organisations devront indiquer très clairement quelles sont les fins de la collecte, comment seront utilisés les renseignements recueillis et de quelle façon ils seront communiqués.

Une fois le consentement obtenu, les renseignements ne pourront être recueillis, utilisés ou communiqués que dans la mesure raisonnable où ils permettront la réalisation des fins indiquées8; s’il s’agit de renseignements personnels, ils devront alors être nécessaires à la réalisation des fins indiquées9.

2. Exceptions au consentement

Tout comme la législation en matière de protection des renseignements personnels de l’Alberta et de la Colombie-Britannique, la LPRPPVI prévoit des exceptions spécifiques à la règle générale qui rend obligatoire l’obtention du consentement à la collecte ainsi qu'à l’utilisation et à la communication de renseignements.

L’exception relative aux opérations commerciales en est un exemple. La LPRPPVI, à l’instar de la PIPA de 2009 de l’Alberta10 et la loi de la Colombie-Britannique intitulée Personal Information Protection Act (PIPA de la Colombie-Britannique)11, donne un sens large à la définition d’opérations commerciales afin d’inclure l’achat, la vente, la location, la fusion, l’acquisition ou l’aliénation visant une organisation, une partie d’organisation, la constitution d’une garantie ou d’un élément d’actif d’une organisation12.

L’exception relative aux opérations commerciales de la LPRPPVI adopte les dispositions de la PIPA de 2009 de l’Alberta et permet l’échange de renseignements personnels qui peuvent être nécessaires pour décider s’il y a lieu de réaliser, d’accomplir et d’achever une opération commerciale. Cette exception permet de communiquer une grande partie des renseignements relatifs à des particuliers identifiables, mais est assujettie à la conclusion par les parties d’une entente de confidentialité ou de non-divulgation13.

3. Renseignements personnels liés à l’emploi

La LPRPPVI prévoit également une exception en ce qui a trait aux renseignements personnels liés à l’emploi. De façon semblable aux législations respectives de l’Alberta et de la Colombie-Britannique, elle permet aux organisations manitobaines privées de recueillir, d’utiliser et de communiquer des renseignements personnels liés à l’emploi sans le consentement d’un particulier, dans la mesure où ces renseignements seront utilisés à des fins raisonnables liées au recrutement, à la gestion ou à la termination d'emploi14. À l’opposé, des fins non liées au recrutement, à la gestion ou à la termination d'emploi pourraient requérir qu’un consentement de l’employé soit obtenu15.

4. Impartition à un fournisseur de services

À l’image des lois fédérale et provinciale en matière de protection des renseignements personnels, la LPRPPVI exige de l’organisation qu’elle veille à ce que les fournisseurs de services qu’elle mandate se soumettent également aux exigences de la LPRPPVI16. Les organisations devraient donc examiner leurs ententes de services avec des tiers et s’assurer qu’elles respectent les termes de la LPRPPVI.

Accès aux renseignements personnels

La PIPA de 2009 de l’Alberta et la LPRPPVI permettent l’accès aux renseignements personnels sur demande d’un particulier, sous réserve de diverses restrictions, notamment dans les cas où :

  • des renseignements confidentiels de nature commerciale seraient communiqués;
  • des renseignements ont été recueillis pour une enquête ou des intérêts litigieux;
  • la communication pourrait avoir pour effet que ce genre de renseignement cesse d’être fourni à l’organisation;
  • la sécurité d’un particulier est compromise;
  • les renseignements révéleraient des renseignements personnels concernant un autre particulier;
  • il n’y a pas eu obtention de consentement17.

Il est important de noter que les renseignements peuvent être prélevés ou corrigés18.

Renseignements personnels exacts et complets

Une organisation doit déployer les efforts raisonnables pour faire en sorte que les renseignements personnels recueillis, utilisés ou communiqués soient exacts et complets19.

Avis d’atteinte à la vie privée

Une différence importante entre la LPRPPVI et la PIPA de 2009 de l’Alberta réside dans le fait que la LPRPPVI contient une disposition relative aux avis d’atteinte à la vie privée. Ainsi, en vertu de la LPRPPVI, une organisation est tenue d’aviser le particulier directement si des renseignements personnels le concernant sont volés ou perdus ou encore, si ces renseignements font l’objet d’un accès ou d’une communication sans autorisation. Toutefois, cette obligation ne s’applique pas lorsqu’un organisme chargé de l’application de la loi effectue une enquête20.

Cette obligation diffère des exigences de la PIPA de l’Alberta actuellement en vigueur, aux termes de laquelle les organisations sont tenues d’aviser d’abord le commissaire à la vie privée de la province, et non le particulier, si les renseignements personnels qu’elle détient sont perdus, s’ils ont fait l’objet d’un accès ou d’une communication sans autorisation, ou encore, s’ils ont fait l’objet d’une atteinte à la vie privée de quelque manière que ce soit. Le commissaire à la vie privée statuera ensuite sur la question de savoir si l’organisation est tenue ou non d’aviser les particuliers d’une atteinte à la vie privée21.

Par ailleurs, contrairement aux termes de la PIPA de l’Alberta, selon lesquels l’exigence d’avis est déclenchée uniquement si le seuil de préjudice est atteint, c.-à-d. [traduction] « lorsqu’une personne pourrait raisonnablement s’attendre à ce qu’il y ait un risque réel de préjudice important pour un particulier22 », la LPRPPVI ne prévoit pas de seuil de préjudice, ce qui semble suggérer que toutes les atteintes peuvent déclencher l’avis.

La LPRPPVI octroie en outre au particulier un droit d’action qu’il peut intenter contre une organisation relativement à des dommages qu’il aurait subis du fait que celle-ci : a) n’a pas protégé les renseignements personnels dont elle avait la responsabilité; et b) ne lui a pas remis un avis dans le cas où elle ne pouvait pas être raisonnablement convaincue que les renseignements personnels volés, perdus ou ayant fait l’objet d’un accès non autorisé ne seraient pas utilisés illégalement23. Contrairement à la PIPA de l’Alberta, la LPRPPVI n’exige pas qu’un avis soit transmis aux particuliers préalablement à la communication de renseignements personnels à des fournisseurs de services externes.

Conservation des renseignements

Une organisation peut, à des fins juridiques ou commerciales, conserver des renseignements personnels aussi longtemps qu’il est raisonnable de le faire et que le consentement n’a pas été retiré ou modifié24. Cet article est contenu et à la PIPA de 2009 de l’Alberta, et à la LPRPPVI.

Mise en application

La LPRPPVI inclut, tout comme la PIPA de 2009 de l’Alberta, une section sur les organismes de réglementation professionnelle et organismes à but non lucratif. La PIPA de 2009 de l’Alberta contenait une section entière sur le rôle et les pouvoirs du commissaire à la vie privée, y compris les restrictions et les droits inhérents au poste, notamment en ce qui concerne les examens et les ordonnances. Le Manitoba ne désignant pas de commissaire à la vie privée, la LPRPPVI a attribué la plupart des fonctions liées à ce poste au Protecteur du citoyen. À l’heure actuelle, le Protecteur du citoyen du Manitoba est chargé du maintien des droits à l’accès à l’information et à la protection de la vie privée par l’étude et la révision des plaintes en lien avec le respect de la Loi sur l’accès à l’information et à la protection de la vie privée et de la Loi sur les renseignements médicaux personnels.

Toutefois, puisque la LPRPPVI crée un droit d’action privé pour des dommages liés à la protection des renseignements personnels ou à l’omission de fournir un avis d’une atteinte importante, il est possible que les poursuites privées aient une influence aussi importante, sinon plus élevée, que les activités du Protecteur du citoyen.

Territoire

Lorsque la LPRPPVI entrera en vigueur, il pourrait y avoir une courte période de transition au cours de laquelle la LPRPPVI et la LPRPDE s’appliqueront aux activités ayant trait au Manitoba. Cette période de transition pourrait prendre fin lorsque le gouverneur en conseil adoptera un règlement selon lequel la LPRPPVI est « essentiellement similaire » à la partie I de la LPRPDE. Par la suite, les organisations seront dispensées de l’application de la LPRPDE à l’égard de la collecte, de l’utilisation et de la communication des renseignements personnels au Manitoba, mais demeureront assujetties à la LPRPDE ou à d’autres lois provinciales pour ce qui est de la collecte, de l’utilisation ou de la communication transfrontalière des renseignements personnels. Il est donc important de ne pas présumer que la LPRPPVI sera la seule législation applicable aux questions de protection des renseignements personnels au Manitoba.

Conseils aux entreprises

Afin de se conformer aux exigences de cette nouvelle loi, les organisations qui exercent leurs activités au Manitoba devraient prendre les mesures suivantes :

  • Nommer un responsable de la protection des renseignements personnels pour veiller au respect de la LPRPPVI;
  • S’assurer qu’un consentement a été obtenu avant de recueillir, d’utiliser ou de communiquer des renseignements personnels;
  • Déterminer les fins pour la collecte, l’utilisation et la communication des renseignements et limiter la collecte, l’utilisation et la communication des renseignements à ces fins;
  • Veiller à ce que la collecte, l’utilisation et la communication des renseignements personnels soient raisonnablement nécessaires pour réaliser les fins requises;
  • Élaborer, mettre en œuvre et réviser les politiques actuelles en matière de protection des renseignements personnels afin de s’assurer qu’elles respectent la LPRPPVI;
  • Former les employés afin qu’ils comprennent bien les responsabilités et obligations de l’organisation en vertu de la LPRPPVI;
  • Utiliser des mesures raisonnables pour protéger les renseignements personnels du vol, de la modification et de l’accès non autorisé;
  • Limiter le délai de conservation des renseignements personnels à la durée raisonnablement nécessaire pour réaliser les fins commerciales ou juridiques;
  • Détruire ou assurer l’anonymat des dossiers qui contiennent des renseignements personnels lorsque les renseignements ne sont plus nécessaires;
  • Prendre les mesures raisonnables pour s’assurer que les renseignements personnels soient exacts et suffisants aux fins requises, et qu’ils ne soient pas trompeurs;
  • Élaborer une procédure de dépôt et de traitement des plaintes;
  • Passer en revue et examiner toutes les ententes de services en vue de s’assurer qu’aux termes de ces contrats, les fournisseurs externes soient tenus aux mêmes obligations légales en matière de protection des renseignements personnels;
  • Comprendre que la portée de la LPRPDE et des autres lois en matière de protection des renseignements personnels s’étendra également à la collecte, à l’utilisation ou à la communication de ces renseignements au-delà des frontières du Manitoba.


1 Loi sur la protection des renseignements personnels et la prévention du vol d’identité, CPLM c P-33.7
2 Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, ch.5
3 Personal Information Protection Act, SA 2003, 2005-2009, c. P-6.5
4 Personal Information Protection Act, SA 2003, c P-6.5, en sa version modifiée
5 La structure et les objectifs de la PIPA de la C.-B. sont également très semblables et peuvent donner des précisions quant aux risques et aux obligations également.
6 Voir United Food and Commercial Workers, Local 401 v Alberta (Attorney General), 2012 ABCA 130 para. 77, appel entendu par la Cour suprême le 11 juin 2013; Leon’s Furniture Ltd. v Alberta (Information and Privacy Commissioner), 2011 ABCA 94 para. 46-65
7 LPRPPVI, à l’art. 7(1)
8 LPRPPVI à l’art. 8(4)
9 LPRPPVI à l’art. 7(2)
10 PIPA de 2009 de l’Alberta à l’art. 22
11 PIPA de la C.-B. à l’art. 20
12 LPRPPVI à l’art. 22(1)
13 LPRPPVI à l’art. 22(3)
14 LPRPPVI à l’art. 15(1)
15 LPRPPVI à l’art. 15(3)
16 LPRPPVI à l’art. 5(2)
17 LPRPPVI à l’art. 24(2)
18 LPRPPVI aux art. 24(4) et 25(2)
19 LPRPPVI à l’art. 33
20 LPRPPVI à l’art. 34
21 PIPA de l’Alberta à l’art.34(1)
22 PIPA de l’Alberta à l’art. 37.1
23 LPRPPVI à l’art. 34 (4)
24 LPRPPVI à l’art. 35

Expertise