Home Page d'accueil   |   Contact Us Contact   |   Search Recherche   |   English

 

Articles de Au Point archivés 

Nos archives des Actualités en    
droit de l'éducation 

Abonnez-vous à Au Point 

Abonnez-vous aux Actualités    
en droit de l'éducation 

Autres publications récentes 

  

 

version imprimable



La Loi sur la protection des renseignements personnels et les documents électroniques : effet sur les entreprises sous réglementation fédérale et leurs employés

Le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques (projet de loi C-6) est entrée en vigueur. La première partie de la Loi traite de la protection des renseignements personnels dans le secteur privé; son effet se fera surtout sentir dans le domaine des relations employeur-employé.

L'objet de la Partie I est d'établir "des règles régissant la collecte, l'utilisation et la communication de renseignements personnels d'une manière qui tient compte du droit des individus à la vie privée ... et du besoin des organisations de recueillir, d'utiliser ou de communiquer des renseignements personnels" à des fins acceptables.

APPLICATION

La Loi s'applique aux entreprises sous réglementation fédérale, telles que les banques, les sociétés de télécommunications et de transport, et vise les renseignements personnels au sujet de leurs employés qui sont recueillis, utilisés ou communiqués dans le cadre de leurs activités commerciales. La Loi ne s'applique pas aux renseignements personnels relatifs à d'autres employés du secteur privé.

"Renseignement personnel" est défini comme étant "tout renseignement concernant un individu identifiable, à l'exclusion du nom et du titre d'un employé d'une organisation et des adresse et numéro de téléphone de son lieu de travail", exception qui vise l'information qu'on trouve sur les cartes d'affaires. À partir du 1er janvier 2002, la Loi s'applique également aux renseignements personnels sur la santé.

OBLIGATIONS FONDAMENTALES

Les 10 principes de pratique équitable du traitement de l'information

Toute organisation doit se conformer aux obligations énoncées dans l'Annexe 1 de la Loi. L'Annexe 1 comprend 10 principes sur la protection des renseignements personnels élaborés par l'Association canadienne de normalisation, visant à équilibrer les droits à la vie privée des particuliers et les intérêts commerciaux légitimes. Voici un bref résumé de ces principes et des obligations qu'ils entraînent :

  • Les organisations doivent désigner des personnes qui devront s'assurer du respect des principes énoncés.
  • Il faut préciser des fins raisonnables avant la collecte de renseignements.
  • Il faut informer la personne concernée et obtenir son consentement avant de recueillir les renseignements, sauf exception.
  • L'organisation ne peut recueillir que les renseignements nécessaires aux fins déterminées.
  • Les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée n'y consente ou que la loi ne l'exige. On ne doit conserver les renseignements personnels qu'aussi longtemps que nécessaire pour la réalisation des fins déterminées.
  • Les renseignements personnels doivent être aussi exacts que l'exigent les fins auxquelles ils sont destinés. Les décisions ne devraient pas se fonder sur des renseignements inexacts.
  • Les renseignements personnels doivent être protégés en fonction de leur degré de sensibilité.
  • Les compagnies doivent communiquer publiquement leurs politiques et pratiques en matière de gestion des renseignements personnels.
  • Les particuliers ont le droit de connaître quels sont les renseignements qui les concernent dont disposent les organisations, et comment ces renseignements sont utilisés ou communiqués. Ils ont le droit d'avoir accès à ces renseignements et de les faire modifier s'il y a lieu.
  • Les particuliers ont le droit de se plaindre du non-respect des principes en communiquant avec les personnes désignées au sein de la compagnie ou avec le Commissaire à la protection de la vie privée.

Fins acceptables

Le paragraphe 5(3) de la Loi indique l'importance d'avoir des fins acceptables pour la collecte, l'utilisation ou la communication des renseignements personnels. Il ne semble y avoir aucune exception à l'exigence d'avoir des fins "qu'une personne raisonnable estimerait acceptables dans les circonstances".

Consentement

Le consentement est également un élément important dans la nouvelle Loi. Cependant, contrairement à la règle sur les fins acceptables, des exceptions sont permises, notamment les suivantes :

Pour ce qui est de l'utilisation et de la collecte :

  • si l'action est clairement dans l'intérêt de la personne concernée, et qu'il est impossible d'obtenir le consentement en temps voulu;
  • si le fait pour la personne concernée d'être au courant de la collecte et d'y consentir compromettrait l'accès aux renseignements ou leur exactitude, et si la collecte est nécessaire pour faire enquête sur l'inexécution d'une obligation ou la contravention d'une loi;

Pour ce qui est de l'utilisation :

  • si l'organisation a des motifs raisonnables de croire que les renseignements seraient utiles pour faire enquête sur la contravention d'une loi;
  • en cas de situations d'urgence spécifiées;

Pour ce qui est de la communication :

  • à un avocat qui représente l'organisation;
  • pour recouvrer une créance que la personne doit à l'organisation;
  • pour se conformer à une ordonnance prononcée par un tribunal judiciaire ou administratif;
  • pour des fins spécifiées d'application de la loi;
  • dans des situations d'urgence spécifiées;
  • si la loi l'exige.

Accès

Une organisation doit répondre avec diligence raisonnable dans les trente jours qui suivent une demande d'accès aux renseignements personnels présentée par écrit ou, dans certaines circonstances, doit aviser la personne concernée qu'il lui faudra plus de temps, jusqu'à concurrence de trente jours additionnels, pour répondre à la demande. Le fait de ne pas répondre dans le délai prévu est réputé un refus.

Comme dans le cas du consentement, la loi prévoit des exceptions au principe de l'accès. Ainsi, une organisation doit refuser l'accès si les renseignements seraient dévoilés à une tierce partie, à moins de consentement ou d'une situation mettant en danger une vie humaine. Par ailleurs, une organisation peut refuser l'accès lorsqu'il s'agit de renseignements couverts par le secret professionnel de l'avocat, ou de renseignements produits au cours d'une procédure officielle de résolution des différends.

RECOURS

Plaintes

Les particuliers peuvent porter plainte auprès du Commissaire fédéral à la protection de la vie privée pour toute contravention aux dispositions sur la protection des renseignements personnels, ou pour non-conformité aux recommandations contenues dans les dix principes énoncés ci-dessus. Le Commissaire peut également déposer une plainte.

Le Commissaire est doté de pouvoirs importants pour faire enquête sur les plaintes, mais n'a aucun pouvoir de rendre une ordonnance. Le Commissaire peut tenir des audiences semblables aux audiences judiciaires, entrer dans les bureaux d'une organisation pour obtenir des dossiers, et tenter de régler les différends par la médiation ou la conciliation.

Lorsque, après enquête, le Commissaire choisit de rédiger un rapport sur son enquête, le plaignant peut présenter une demande à la Cour fédérale pour toute question soulevée dans la plainte ou dans le rapport du Commissaire, pourvu que la question soit liée aux dispositions des dix principes de l'Annexe 1. La Cour peut accorder des dommages-intérêts au plaignant, y compris des dommages-intérêts pour humiliation subie.

Vérifications

Le Commissaire peut également, avec avis raisonnable et pour des motifs raisonnables, vérifier les pratiques de gestion des renseignements personnels dans une organisation. Le Commissaire a les même pouvoirs pour mener ces vérifications que pour faire enquête sur les plaintes. À la suite de la vérification, le Commissaire fournit à l'organisation un rapport qui contient toute recommandation que le Commissaire juge appropriée. Il convient de souligner que le rapport peut être inclus dans le rapport annuel que le Commissaire doit présenter au Parlement.

IMPLICATIONS

L'examen de la Loi montre qu'à tout le moins, de nouvelles obligations sont imposées aux employeurs du secteur privé sous réglementation fédérale, et que de nouveaux droits sont accordés à leurs employés.

Obligations des employeurs

En vertu des principes de responsabilité et de transparence, les employeurs doivent désigner et former des employés pour mettre en oeuvre et assurer les nouvelles procédures de protection des renseignements personnels et d'accès. En vertu du principe sur les fins, ils doivent éviter de recueillir, utiliser ou communiquer les renseignements personnels avant qu'une fin objectivement acceptable ait été identifiée. Les compagnies doivent être conscientes de leurs obligations de répondre aux demandes d'accès dans les délais prévus, et de ne pas gêner les enquêtes ou vérifications menées par le Commissaire à la protection de la vie privée.

Droits des employés

Les employés d'entreprises sous réglementation fédérale peuvent désormais mettre en doute si l'employeur les a informés et a obtenu leur consentement avant de recueillir, utiliser ou communiquer leurs renseignements personnels. À part quelques exceptions limitées, ils ont le droit d'avoir accès à leurs renseignements personnels et d'exiger qu'ils soient modifiés ou corrigés s'ils sont erronés. Ils peuvent exiger que des mesures de sécurité suffisantes soient mises en place pour protéger les renseignements personnels que détient l'employeur à leur sujet, et exiger de l'employeur qui recueille, utilise ou communique les renseignements à des fins acceptables. Ces dispositions auront un effet important sur les mesures patronales telles que les programmes de surveillance ainsi que la fourniture et la réception des références des employés.

En outre, les employés ont maintenant le droit de porter plainte auprès du Commissaire à la protection de la vie privée pour qu'il fasse enquête. Dans bien des cas, l'enquête du Commissaire donnera lieu à la rédaction d'un rapport, qui permettra à l'employé d'avoir recours à la Cour fédérale.

Protection des délateurs

Il est interdit aux employeurs d'exercer des mesures de représailles contre un employé qui, agissant de bonne foi et se fondant sur une croyance raisonnable, rapporte une violation, refuse de commettre une violation ou prévient une violation.

Notre point de vue

Bien que la Loi ne s'applique qu'aux entreprises privées sous réglementation fédérale, une loi semblable est clairement envisagée pour les entreprises ontariennes sous réglementation provinciale. Les employeurs devraient donc commencer dès maintenant à réfléchir à l'effet d'une telle loi sur leur entreprise, et les politiques à mettre en oeuvre pour assurer le respect de la loi. Cette question fera l'objet d'un article dans le prochain numéro d'AU POINT (voir "Comment assurer la conformité à la Loi sur la protection des renseignements personnels et les documents électroniques de votre entreprise" sous la rubrique "Publications". Pour de plus amples renseignements sur la législation en matière de protection de la vie privée, voir "L'Ontario publie l'ébauche de la loi sur la vie privée" sous la rubrique "Publications".)

Pour de plus amples renseignements, veuillez communiquer avec Carole Piette au (613) 563-7660, poste 227 ou avec André Champagne au (613) 563-7660, poste 229.

 


  Copyright 2007 Emond Harnden LLP   |   Politique sur la protection de la vie privée