La Loi sur la protection des renseignements personnels et les documents électroniques : effet sur les entreprises sous réglementation fédérale et leurs employés

Download Télécharger

Le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques (projet de loi C-6) est entrée en vigueur. La premiere partie de la Loi traite de la protection des renseignements personnels dans le secteur privé; son effet se fera surtout sentir dans le domaine des relations employeur-employé.

L’objet de la Partie I est d’établir “des regles régissant la collecte, l’utilisation et la communication de renseignements personnels d’une maniere qui tient compte du droit des individus a la vie privée … et du besoin des organisations de recueillir, d’utiliser ou de communiquer des renseignements personnels” a des fins acceptables.

APPLICATION

La Loi s’applique aux entreprises sous réglementation fédérale, telles que les banques, les sociétés de télécommunications et de transport, et vise les renseignements personnels au sujet de leurs employés qui sont recueillis, utilisés ou communiqués dans le cadre de leurs activités commerciales. La Loi ne s’applique pas aux renseignements personnels relatifs a d’autres employés du secteur privé.

“Renseignement personnel” est défini comme étant “tout renseignement concernant un individu identifiable, a l’exclusion du nom et du titre d’un employé d’une organisation et des adresse et numéro de téléphone de son lieu de travail”, exception qui vise l’information qu’on trouve sur les cartes d’affaires. A partir du 1er janvier 2002, la Loi s’applique également aux renseignements personnels sur la santé.

OBLIGATIONS FONDAMENTALES

Les 10 principes de pratique équitable du traitement de l’information

Toute organisation doit se conformer aux obligations énoncées dans l’Annexe 1 de la Loi. L’Annexe 1 comprend 10 principes sur la protection des renseignements personnels élaborés par l’Association canadienne de normalisation, visant a équilibrer les droits a la vie privée des particuliers et les intérets commerciaux légitimes. Voici un bref résumé de ces principes et des obligations qu’ils entraînent :

  • Les organisations doivent désigner des personnes qui devront s’assurer du respect des principes énoncés.
  • Il faut préciser des fins raisonnables avant la collecte de renseignements.
  • Il faut informer la personne concernée et obtenir son consentement avant de recueillir les renseignements, sauf exception.
  • L’organisation ne peut recueillir que les renseignements nécessaires aux fins déterminées.
  • Les renseignements personnels ne doivent pas etre utilisés ou communiqués a des fins autres que celles auxquelles ils ont été recueillis a moins que la personne concernée n’y consente ou que la loi ne l’exige. On ne doit conserver les renseignements personnels qu’aussi longtemps que nécessaire pour la réalisation des fins déterminées.
  • Les renseignements personnels doivent etre aussi exacts que l’exigent les fins auxquelles ils sont destinés. Les décisions ne devraient pas se fonder sur des renseignements inexacts.
  • Les renseignements personnels doivent etre protégés en fonction de leur degré de sensibilité.
  • Les compagnies doivent communiquer publiquement leurs politiques et pratiques en matiere de gestion des renseignements personnels.
  • Les particuliers ont le droit de connaître quels sont les renseignements qui les concernent dont disposent les organisations, et comment ces renseignements sont utilisés ou communiqués. Ils ont le droit d’avoir acces a ces renseignements et de les faire modifier s’il y a lieu.
  • Les particuliers ont le droit de se plaindre du non-respect des principes en communiquant avec les personnes désignées au sein de la compagnie ou avec le Commissaire a la protection de la vie privée.

Fins acceptables

Le paragraphe 5(3) de la Loi indique l’importance d’avoir des fins acceptables pour la collecte, l’utilisation ou la communication des renseignements personnels. Il ne semble y avoir aucune exception a l’exigence d’avoir des fins “qu’une personne raisonnable estimerait acceptables dans les circonstances”.

Consentement

Le consentement est également un élément important dans la nouvelle Loi. Cependant, contrairement a la regle sur les fins acceptables, des exceptions sont permises, notamment les suivantes :

Pour ce qui est de l’utilisation et de la collecte :

  • si l’action est clairement dans l’intéret de la personne concernée, et qu’il est impossible d’obtenir le consentement en temps voulu;
  • si le fait pour la personne concernée d’etre au courant de la collecte et d’y consentir compromettrait l’acces aux renseignements ou leur exactitude, et si la collecte est nécessaire pour faire enquete sur l’inexécution d’une obligation ou la contravention d’une loi;

Pour ce qui est de l’utilisation :

  • si l’organisation a des motifs raisonnables de croire que les renseignements seraient utiles pour faire enquete sur la contravention d’une loi;
  • en cas de situations d’urgence spécifiées;

Pour ce qui est de la communication :

  • a un avocat qui représente l’organisation;
  • pour recouvrer une créance que la personne doit a l’organisation;
  • pour se conformer a une ordonnance prononcée par un tribunal judiciaire ou administratif;
  • pour des fins spécifiées d’application de la loi;
  • dans des situations d’urgence spécifiées;
  • si la loi l’exige.

Acces

Une organisation doit répondre avec diligence raisonnable dans les trente jours qui suivent une demande d’acces aux renseignements personnels présentée par écrit ou, dans certaines circonstances, doit aviser la personne concernée qu’il lui faudra plus de temps, jusqu’a concurrence de trente jours additionnels, pour répondre a la demande. Le fait de ne pas répondre dans le délai prévu est réputé un refus.

Comme dans le cas du consentement, la loi prévoit des exceptions au principe de l’acces. Ainsi, une organisation doit refuser l’acces si les renseignements seraient dévoilés a une tierce partie, a moins de consentement ou d’une situation mettant en danger une vie humaine. Par ailleurs, une organisation peut refuser l’acces lorsqu’il s’agit de renseignements couverts par le secret professionnel de l’avocat, ou de renseignements produits au cours d’une procédure officielle de résolution des différends.

RECOURS

Plaintes

Les particuliers peuvent porter plainte aupres du Commissaire fédéral a la protection de la vie privée pour toute contravention aux dispositions sur la protection des renseignements personnels, ou pour non-conformité aux recommandations contenues dans les dix principes énoncés ci-dessus. Le Commissaire peut également déposer une plainte.

Le Commissaire est doté de pouvoirs importants pour faire enquete sur les plaintes, mais n’a aucun pouvoir de rendre une ordonnance. Le Commissaire peut tenir des audiences semblables aux audiences judiciaires, entrer dans les bureaux d’une organisation pour obtenir des dossiers, et tenter de régler les différends par la médiation ou la conciliation.

Lorsque, apres enquete, le Commissaire choisit de rédiger un rapport sur son enquete, le plaignant peut présenter une demande a la Cour fédérale pour toute question soulevée dans la plainte ou dans le rapport du Commissaire, pourvu que la question soit liée aux dispositions des dix principes de l’Annexe 1. La Cour peut accorder des dommages-intérets au plaignant, y compris des dommages-intérets pour humiliation subie.

Vérifications

Le Commissaire peut également, avec avis raisonnable et pour des motifs raisonnables, vérifier les pratiques de gestion des renseignements personnels dans une organisation. Le Commissaire a les meme pouvoirs pour mener ces vérifications que pour faire enquete sur les plaintes. A la suite de la vérification, le Commissaire fournit a l’organisation un rapport qui contient toute recommandation que le Commissaire juge appropriée. Il convient de souligner que le rapport peut etre inclus dans le rapport annuel que le Commissaire doit présenter au Parlement.

IMPLICATIONS

L’examen de la Loi montre qu’a tout le moins, de nouvelles obligations sont imposées aux employeurs du secteur privé sous réglementation fédérale, et que de nouveaux droits sont accordés a leurs employés.

Obligations des employeurs

En vertu des principes de responsabilité et de transparence, les employeurs doivent désigner et former des employés pour mettre en oeuvre et assurer les nouvelles procédures de protection des renseignements personnels et d’acces. En vertu du principe sur les fins, ils doivent éviter de recueillir, utiliser ou communiquer les renseignements personnels avant qu’une fin objectivement acceptable ait été identifiée. Les compagnies doivent etre conscientes de leurs obligations de répondre aux demandes d’acces dans les délais prévus, et de ne pas gener les enquetes ou vérifications menées par le Commissaire a la protection de la vie privée.

Droits des employés

Les employés d’entreprises sous réglementation fédérale peuvent désormais mettre en doute si l’employeur les a informés et a obtenu leur consentement avant de recueillir, utiliser ou communiquer leurs renseignements personnels. A part quelques exceptions limitées, ils ont le droit d’avoir acces a leurs renseignements personnels et d’exiger qu’ils soient modifiés ou corrigés s’ils sont erronés. Ils peuvent exiger que des mesures de sécurité suffisantes soient mises en place pour protéger les renseignements personnels que détient l’employeur a leur sujet, et exiger de l’employeur qui recueille, utilise ou communique les renseignements a des fins acceptables. Ces dispositions auront un effet important sur les mesures patronales telles que les programmes de surveillance ainsi que la fourniture et la réception des références des employés.

En outre, les employés ont maintenant le droit de porter plainte aupres du Commissaire a la protection de la vie privée pour qu’il fasse enquete. Dans bien des cas, l’enquete du Commissaire donnera lieu a la rédaction d’un rapport, qui permettra a l’employé d’avoir recours a la Cour fédérale.

Protection des délateurs

Il est interdit aux employeurs d’exercer des mesures de représailles contre un employé qui, agissant de bonne foi et se fondant sur une croyance raisonnable, rapporte une violation, refuse de commettre une violation ou prévient une violation.

Notre point de vue

Bien que la Loi ne s’applique qu’aux entreprises privées sous réglementation fédérale, une loi semblable est clairement envisagée pour les entreprises ontariennes sous réglementation provinciale. Les employeurs devraient donc commencer des maintenant a réfléchir a l’effet d’une telle loi sur leur entreprise, et les politiques a mettre en oeuvre pour assurer le respect de la loi. Cette question fera l’objet d’un article dans le prochain numéro d’AU POINT (voir “Comment assurer la conformité a la Loi sur la protection des renseignements personnels et les documents électroniques de votre entreprise” sous la rubrique “Publications”. Pour de plus amples renseignements sur la législation en matiere de protection de la vie privée, voir “L’Ontario publie l’ébauche de la loi sur la vie privée” sous la rubrique “Publications”.)

Pour de plus amples renseignements, veuillez communiquer avec Carole Piette au (613) 563-7660, poste 227 ou avec André Champagne au (613) 563-7660, poste 229.