Passer au contenu directement.

Le projet de loi 54 propose de nouvelles exigences en matière d’avis relativement aux violations de la vie privée et à l’emploi de fournisseurs de services étrangers

Les modifications à la Personal Information Protection Act (PIPA) de l’Alberta rendront la législation sur la protection des renseignements personnels plus sévère pour les entreprises qui font affaire dans le secteur privé en Alberta.

Les changements à venir sont dérivés de la Personal Information Protection Amendment Act, 2009 (projet de loi 54), qui a reçu la sanction royale à la fin de l’année dernière et qui entrera en vigueur lors de sa proclamation. Bien que nous ne connaissions pas le moment exact où le projet de loi 54 entrera en vigueur, les infractions et les pénalités prévues par la PIPA seront alors plus rigoureuses. En outre, le projet de loi 54 clarifie et accroît les obligations des entreprises aux termes de la PIPA se rapportant :

  • au transfert de renseignements personnels aux fournisseurs de services à l’extérieur du Canada;
  • à la collecte, à l’utilisation ou à la divulgation des renseignements sur les employés;
  • aux renseignements personnels qui sont perdus ou qui sont obtenus ou divulgués sans autorisation; et
  • aux renseignements personnels qui ne sont plus raisonnablement nécessaires.

Transfert de renseignements personnels à l’extérieur du Canada

Le projet de loi 54 impose des obligations supplémentaires aux entreprises qui emploient des fournisseurs de services à l’extérieur du Canada pour recueillir, utiliser, divulguer ou mettre en mémoire des renseignements personnels. Ces changements s’appliquent également aux entreprises qui sont contrôlées par une société mère étrangère et qui lui transfèrent des renseignements personnels.

Si votre entreprise emploie des fournisseurs de services étrangers, vous devrez prendre les mesures suivantes :

  • inclure dans vos politiques et pratiques en matière de protection des renseignements personnels de l’information au sujet des pays de ces fournisseurs de services et les fins pour lesquelles vous les autorisez à traiter les renseignements personnels. Cet avis doit indiquer :
    • la manière d’obtenir des renseignements écrits au sujet des politiques et pratiques en matière de protection des renseignements personnels de l’entreprise se rapportant à ses fournisseurs de services à l’extérieur du Canada, et
    • la personne-ressource au sein de l’entreprise qui peut répondre aux questions au sujet du traitement des renseignements personnels par le fournisseur de services étrange;
  • aviser les personnes, verbalement ou par écrit, au plus tard au moment où leurs renseignements personnels sont transférés au fournisseur de services étranger ou sont recueillis par celui-ci.

Collecte, utilisation ou divulgation des renseignements sur les employés

Le projet de loi 54 accroît la capacité d’un employeur de recueillir, d’utiliser ou de divulguer des renseignements personnels sur les employés sans le consentement d’un particulier. La définition de « renseignements personnels sur les employés » est élargie pour inclure des renseignements au sujet d’un ancien employé ainsi que des renseignements servant à gérer la relation après emploi, ce qui fournira des normes plus uniformes pour traiter les renseignements personnels des employés après l’emploi. Les employeurs se demandent souvent quels sont les renseignements pouvant être divulgués dans le cadre des vérifications des références et le projet de loi 54 fournit une certaine orientation quant aux communications qui ne nécessitent pas le consentement d’un ancien employé.

Renseignements personnels perdus ou qui sont obtenus ou divulgués sans autorisation

Aux termes de la PIPA, dans sa version modifiée par le projet de loi 54, les entreprises seront également tenues d’aviser le Commissaire à la protection de la vie privée de l’Alberta (Privacy Commissioner) si des renseignements personnels dont elles ont la gestion sont perdus, ou obtenus ou divulgués sans autorisation. Cette exigence de divulgation s’applique lorsque la perte ou la violation pourrait constituer un risque réel de préjudice important à une personne.

Obligation formelle de détruire les renseignements personnels

Lorsque la question du consentement ne se pose pas, la PIPA permet actuellement aux entreprises de conserver les renseignements personnels tant qu’il est raisonnable de le faire à des fins juridiques ou commerciales.

Lorsque le projet de loi 54 entrera en vigueur, les entreprises auront l’obligation formelle de détruire les renseignements ou de prendre des mesures pour que les renseignements ne puissent plus être utilisés pour identifier un particulier. Les renseignements personnels devront être détruits dans un délai raisonnable une fois que l’entreprise n’en n’aura plus raisonnablement besoin.

En milieu de travail, cela peut comprendre la suppression dans des rapports d’enquête et des dossiers de références à des particuliers lorsqu’un employeur souhaite garder le rapport d’enquête ou le dossier pour des raisons valables pendant une période plus longue que celle habituellement recommandée pour se prévaloir d’une protection juridique.

Pénalités et infractions

Le projet de loi 54 supprime l’exigence d’« intention » lorsque sont commises certaines infractions aux termes de la PIPA (par exemple recueillir, utiliser et divulguer des renseignements personnels sans consentement). Une entreprise pourrait donc commettre une infraction aux termes de la PIPA en violant certaines obligations prévues par la PIPA même si elle le fait de façon non intentionnelle. Les employeurs devraient prendre bonne note de ce risque.

Le projet de loi prévoit en outre de nouvelles infractions en cas de défaut d’aviser le Commissaire à la protection de la vie privée d’une violation importante à la sécurité et dans le cas d’entrave aux enquêtes du Commissaire sur les violations à la vie privée.

Conseils à l’intention des employeurs

Afin de se préparer en vue des modifications, votre entreprise devrait prendre les mesures suivantes :

  • Se demander si une entité étrangère reçoit des renseignements personnels ou des renseignements personnels sur les employés. Le cas échéant, revoir les politiques et les pratiques entourant le transfert des renseignements et les mettre à jour pour y intégrer les renseignements nécessaires et les exigences en matière d’avis.
  • Revoir les politiques en vigueur à l’égard de la collecte, de l’utilisation ou de la divulgation des renseignements personnels sur les employés après que l’employé ait quitté l’entreprise, compte tenu des nouveaux changements.
  • Réviser les politiques et procédures en matière de conservation et de destruction des dossiers de sorte que les renseignements personnels soient détruits ou « rendus anonymes » lorsqu’ils ne sont plus nécessaires.
  • Intégrer dans son protocole de violation à la vie privée une mesure pour aviser le Commissaire à la protection de la vie privée de toute violation importante à la sécurité.