La protection des renseignements personnels en entreprise en vertu
Transcription
La protection des renseignements personnels en entreprise en vertu
La protection des renseignements personnels en entreprise en vertu des lois fédérale et québécoise en la matière L’Institut des Secrétaires et des Administrateurs Agréés du Canada Division Québec Le 6 novembre 2007 Karl Delwaide, associé et responsable du groupe de pratique national Protection de l’information et de la vie privée de Fasken Martineau Table des matières • 1. Les lois applicables et les grands principes de la protection des renseignements personnels; • 2. Les similitudes entre les lois fédérale et québécoise en matière de protection des renseignements personnels; • 3. L’étendue de personnels; la protection 2 des renseignements Table des matières (suite) • 4. Le droit des tiers d’obtenir de l’information sur les clients de l’entreprise; • 5. La communication de l’information relative aux employés de l’entreprise; • 6. Les listes nominatives à des fins de prospection commerciale. 3 Les lois applicables et les grands principes de la protection des renseignements personnels 1. • Au Canada, plusieurs lois traitent de la protection des renseignements personnels dans le secteur privé : Au fédéral, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ), qui étend les principes de protection des renseignements personnels à la plupart des activités du secteur privé au Canada; Au Québec, la Charte des droits et libertés de la personne, qui énonce les règles quasi-constitutionnelles en matière de droits et de libertés applicables aux secteurs public et privé du Québec; 4 1. Les lois applicables et les grands principes de la protection des renseignements personnels (suite) Le Code civil du Québec, constitué d’un ensemble de règles qui, en toutes matières auxquelles se rapportent la lettre, l’esprit ou l’objet de ses dispositions, établit, en termes exprès ou de façon implicite, le droit commun. En ces matières, il constitue le fondement des autres lois qui peuvent elles-mêmes ajouter au code ou y déroger; La Loi sur la protection des renseignements personnels dans le secteur privé (Loi sur le secteur privé), qui s’applique, dans le secteur privé, aux personnes exploitant une entreprise au Québec et leur impose des obligations en matière de collecte, détention, utilisation et communication de renseignements personnels; 5 1. Les lois applicables et les grands principes de la protection des renseignements personnels (suite) La Loi concernant le cadre juridique des technologies de l’information, qui fixe les paramètres juridiques visant à maintenir la valeur et l’intégrité des documents transférés sur support électronique et qui prévoit la mise en œuvre et la reconnaissance juridique de moyens technologiques (tels que la biométrie); En Alberta et en Colombie-Britannique, les Personal Information Protection Acts, qui visent les renseignements personnels recueillis, utilisés ou divulgués par une organisation privée. 6 1. Les lois applicables et les grands principes de la protection des renseignements personnels (suite) • Depuis le 1er janvier 2004, si une organisation n’exerce ses activités que dans une province, et en l’absence du décret approprié adopté en vertu du paragraphe 26(2) de la LPRPDÉ, la législation fédérale et provinciale en matière de protection des renseignements personnels est susceptible de s’appliquer à une même entreprise/organisation; • Le gouvernement fédéral a adopté des décrets exemptant de l’application de la LPRPDÉ les organisations du Québec, de l’Alberta et de la Colombie-Britannique, à l’exclusion des entreprises fédérales, à l’égard de la collecte, de l’utilisation et de la communication de renseignements personnels qui s’effectuent à l'intérieur de la province visée. 7 1. Les lois applicables et les grands principes de la protection des renseignements personnels (suite) • La question des lois applicables a-t-elle une incidence en pratique sur le programme de conformité de votre organisation? • Le groupe de pratique national Protection de l’information et de la vie privée de Fasken Martineau a pris comme position de principe qu’à moins d’une raison d’affaires majeure, une entreprise/organisation doit se doter de mesures de protection des renseignements personnels qui répondent aux exigences les plus sévères des lois fédérale et provinciales de toutes les juridictions canadiennes où elle fait affaires. 8 2. Les similitudes entre les lois fédérale et québécoise en matière de protection des renseignements personnels • Les deux lois sont fondées sur les principes suivants: Elles s’appliquent aux renseignements personnels sur des individus; Toute personne ou entreprise peut recueillir des renseignements personnels à des fins sérieuses et légitimes; Toute personne ou entreprise recueillant de tels renseignements doit énoncer le but de la collecte et les autres utilisations des renseignements; 9 2. Les similitudes entre les lois fédérale et québécoise en matière de protection des renseignements personnels (suite) La collecte des renseignements personnels doit se restreindre aux renseignements nécessaires pour atteindre le but énoncé (d’où l’importance de bien identifier l’objet du dossier); Les renseignements personnels ne doivent être recueillis qu’auprès de la personne concernée ou avec son consentement (sauf si la loi permet de faire autrement); La disposition relative au consentement constitue un élément clé des lois en matière de protection des renseignements personnels relativement à la collecte, à l’utilisation et à la communication des renseignements; 10 2. Les similitudes entre les lois fédérale et québécoise en matière de protection des renseignements personnels (suite) L’obligation d’assurer la renseignements personnels; Les droits d’accès et de rectification (sous réserve des exceptions prévues aux lois). 11 confidentialité des 3. • L’étendue de la protection renseignements personnels des Définition de renseignements personnels au Québec: « 2. Est un renseignement personnel, tout renseignement qui concerne une personne physique et permet de l'identifier ». • Contrairement à la loi fédérale, il semble à prime abord ne pas avoir d’exclusion des « renseignements d’affaires ». • Cependant, la jurisprudence de la CAI1 semble faire la distinction entre des renseignements portant sur un employé en tant que représentant de l’entreprise et de véritables renseignements personnels sur un employé. 1 Voir, à titre d’exemple, X c. Maison D.V.S., CAI, 11 juillet 2005, par. 28. 12 4. Le droit des tiers d’obtenir l’information sur les clients l’entreprise de de • Que faire quand vous recevez une mise en demeure, un subpoena ou toute autre demande quant à l’accès aux renseignements personnels d’un client? • Il s’agit généralement de renseignements personnels et la règle de base est la suivante: aucune communication sans consentement, à moins d’une exception applicable; • Fardeau sur les épaules du requérant; • Les mêmes principes valent généralement à l’égard des renseignements personnels sur les employés de l’entreprise. 13 4. Le droit des tiers d’obtenir l’information sur les clients l’entreprise (suite) • de de Exceptions applicables: À votre procureur [art. 18(1)]; Au Procureur général ou à un organisme chargé de réprimer le crime pour la poursuite d’un infraction [art. 18(2 et 3)]; Lorsque c’est nécessaire à une loi applicable au Québec [art. 18(4)] ou pour l’application d’une convention collective; 14 4. Le droit des tiers d’obtenir l’information sur les clients l’entreprise (suite) de de À une personne/organisme qui a un pouvoir de contrainte [art. 18(6)] [Exemple: ordre de la Cour ou subpoena]; Situation d'urgence mettant en danger la vie, la santé ou la sécurité de la personne [art. 18(7) et 18.1]; Aux fins de recouvrer une créance de l'entreprise [art. 18(9.1)]; 15 4. Le droit des tiers d’obtenir l’information sur les clients l’entreprise (suite) de de • X c. Banque Royale du Canada, [1995] C.A.I. 371 (Rapport d’enquête): Les avocats n’ont pas le pouvoir d’exiger la communication immédiate de renseignements personnels puisqu’ils n’ont que le pouvoir de signer le bref de subpoena duces tecum. La délivrance d’un subpoena vise à forcer un témoin à se présenter lui-même devant un juge, lequel est légalement autorisé à exiger la communication de tout document conforme au paragraphe 6 de l’article 18 de la Loi sur le secteur privé. Permettre à des avocats d’obtenir au préalable des documents et d’avoir accès à des renseignements personnels qui autrement ne pourraient être communiqués sans le consentement de la personne concernée reviendrait à courtcircuiter le processus judiciaire; • Dans un même ordre d’idées, voir McCue c. Younes, J.E. 2002-2128 (Cour supérieure); 16 4. Le droit des tiers d’obtenir l’information sur les clients l’entreprise (suite) • de de Autres exceptions: À tout préposé, mandataire ou agent de l'exploitant ou à toute partie à un contrat de mandat, de service ou d'entreprise [art. 20]; Liste nominative pour fins de prospection commerciale ou philanthropique [art. 22]; – Une liste nominative est une liste de noms, de numéros de téléphone, d'adresses géographiques de personnes physiques ou d'adresses technologiques où une personne physique peut recevoir communication d'un document ou d'un renseignement technologique. 17 5. La communication de l’information relative aux employés de l’entreprise • Il faut distinguer une communication à un tiers de l’« impartition » (ou « outsourcing ») visant la gestion de renseignements personnels pour et au nom de l’entreprise. • L’importance sans cesse croissante des technologies de l’information et du flux transfrontalier de données, y compris entre les provinces du Canada, soulève de plus en plus de difficultés en ce qui a trait au « transfert » de renseignements sur les employés. • Les mêmes principes s’appliquent généralement aux transferts de renseignements personnels sur les clients. 18 5. La communication de l’information relative aux employés de l’entreprise (suite) • Un employeur peut-il impartir à un tiers fournisseur de services des renseignements sur ses employés aux fins de traitement et de gestion ? • Dans quelles conditions? Application conjointe des articles 20 et 17 de la Loi sur le secteur privé; Application, par analogie, des décisions #313 et #333 du Commissaire à la protection de la vie privée du Canada; Doit-on aussi considérer des approches différentes, comme l’ « anonymisation »? 19 5. • La communication de l’information relative aux employés de l’entreprise (suite) Article 20 de la Loi sur le secteur privé : « Dans l’exploitation d’une entreprise, un renseignement personnel n’est accessible, sans le consentement de la personne concernée, à tout préposé, mandataire ou agent de l’exploitant ou à toute partie à un contrat de service ou d’entreprise qui a qualité pour le connaître qu’à la condition que ce renseignement soit nécessaire à l’exercice de ses fonctions ou à l’exécution de son mandat ou de son contrat. » 20 5. La communication de l’information relative aux employés de l’entreprise (suite) • Une importante décision de la CAI (Deschesnes c. Groupe Jean Coutu, [2000] CAI 210) renforce l’article 20 de la Loi sur le secteur privé. Elle précise que les mandataires (agents) peuvent avoir accès aux renseignements personnels d’un particulier sans son consentement si les exigences suivantes sont respectées : le contrat entre l’entreprise et le mandataire se fait par écrit; le contrat précise : 21 5. • La communication de l’information relative aux employés de l’entreprise (suite) – la portée du mandat; – les buts pour lesquels le mandataire (agent) utilisera les renseignements (l’objet du dossier); – la catégorie de personnes qui auraient accès aux renseignements; et – l’obligation d’assurer renseignements. la confidentialité des Ces exigences, qui s’ajoutent au texte de l’article 20 à la suite de la décision Groupe Jean Coutu, devraient s’appliquer, avec les adaptations nécessaires, à un contrat de service ou d’entreprise. 22 5. • La communication de l’information relative aux employés de l’entreprise (suite) Et d’autres clauses « standards » doivent être envisagées, telles celles relatives au droit de rétention, à la notification des demandes de communication, le droit de vérifier le respect du contrat et les conséquences d’un non-respect du contrat. 23 5. La communication de l’information relative aux employés de l’entreprise (suite) • Dans son rapport publié en février 2006 et intitulé « PublicSector Outsourcing and Risks to Privacy », le commissaire à l’information et à la protection des renseignements personnels de l’Alberta a suggéré que les dispositions suivantes soient incluses dans un contrat d’impartition: L’interdiction d’affecter ou de donner en sous-traitance le contrat d’impartition sans un consentement écrit; 24 5. La communication de l’information relative aux employés de l’entreprise (suite) L’obligation du sous-contractant de donner un avis en cas de notification concernant un recours de créanciers ou une requête devant les tribunaux en faillite ou en protection contre les créanciers; L’obligation de donner un avis pour toute demande reçue par le sous-contractant concernant l’accès à des renseignements personnels ou leur divulgation; L’obligation de donner un avis relatif à toute perte de renseignements personnels ou à l’accès non autorisé à ceux-ci par le sous-contractant ou ses employés; 25 5. La communication de l’information relative aux employés de l’entreprise (suite) Le droit du donneur d’ouvrage de procéder à toute vérification relative à l’application correcte non seulement du contrat, mais aussi de toute loi applicable au contrat; Outre cette vérification, on peut exiger que le souscontractant ait en place un système de surveillance ou de vérification de l’utilisation et la divulgation des renseignements personnels par celui-ci. Le donneur d’ouvrage peut exiger l’accès à ce système sous certaines conditions; 26 5. La communication de l’information relative aux employés de l’entreprise (suite) Les conséquences d’un manquement. Outre le droit de mettre fin au contrat et d’exiger réparation, il faut prévoir la remise des renseignements personnels et de toute copie de ceux-ci, l’assistance du sous-contractant et la récupération des renseignements personnels perdus ou autrement divulgués. 27 5. • La communication de l’information relative aux employés de l’entreprise (suite) L’article 17 de la Loi sur le secteur privé soulève d’importantes questions : « 17. La personne qui exploite une entreprise au Québec et qui communique à l'extérieur du Québec des renseignements personnels ou qui confie à une personne à l'extérieur du Québec la tâche de détenir, d’utiliser ou de communiquer pour son compte de tels renseignements doit au préalable prendre tous les moyens raisonnables pour s’assurer : 1) que les renseignements ne seront pas utilisés à des fins non pertinentes à l’objet du dossier ni communiqués à des tiers sans le consentement des personnes concernées sauf dans des cas similaires à ceux prévus par les articles 18 et 23; 28 5. La communication de l’information relative aux employés de l’entreprise (suite) 2) dans le cas de listes nominatives, que les personnes concernées aient une occasion valable de refuser l’utilisation des renseignements personnels les concernant à des fins de prospection commerciale ou philanthropique et de faire retrancher, le cas échéant, ces renseignements de la liste. Si la personne qui exploite une entreprise estime que les renseignements visés au premier alinéa ne bénéficieront pas des conditions prévues aux paragraphes 1° et 2°, elle doit refuser de communiquer ces renseignements ou refuser de confier à une personne ou à un organisme à l’extérieur du Québec la tâche de les détenir, de les utiliser ou de les communiquer pour son compte. » (nous soulignons). 29 5. La communication de l’information relative aux employés de l’entreprise (suite) • Le dernier alinéa de l’article 17 a été récemment ajouté par le projet de loi 86, adopté le 14 juin 2006. • Les conséquences de cet alinéa ne sont pas claires. • Selon une interprétation, à laquelle souscrit notre cabinet, les protections contractuelles offertes dans le territoire d’origine sont réputées suffisantes pour assurer la conformité aux exigences de l’article 17 et permettre le transfert, pourvu que le territoire de destination applique, ou s’engage à appliquer, des protections similaires à celles qui prévalent au Québec. Cela doit se faire par contrat écrit (voir pages 21 et 22). 30 5. La communication de l’information relative aux employés de l’entreprise (suite) • Des protections similaires signifieraient que les exceptions prévues par les lois locales seraient applicables, car la Loi sur le secteur privé reconnaît les exceptions prévues par les lois applicables au Québec. • Selon une deuxième interprétation, plus restrictive, les lois du territoire étranger doivent être examinées en détail afin de déterminer si la protection législative est suffisante (ou véritablement équivalente) en comparaison à celle prévue par la Loi sur le secteur privé. 31 5. La communication de l’information relative aux employés de l’entreprise (suite) • Peut-on avoir recours au consentement des personnes concernées pour transférer à l’extérieur du Québec les renseignements personnels les concernant? • L’article 17 s’applique-t-il au transfert hors Québec de renseignements personnels au sein d’une même entreprise? 32 6. Les listes nominatives à des fins de prospection commerciale • La LPRPDÉ ne contient pas de dispositions équivalentes à celles (au Québec) relatives à la confection et à l’utilisation des listes nominatives; cependant, certaines exceptions à la règle du consentement explicite existent à la LPRPDÉ: Consentement implicite: Le Principe 4.3.6 de la LPRPDÉ permet l’utilisation d’un consentement implicite lorsque les renseignements sont considérés moins sensibles; Case à cocher: Les personnes qui ne cochent pas la case seront réputées consentir (Principe 4.3.7 de la LPRPDÉ). 33 6. • Les listes nominatives à des fins de prospection commerciale Le concept des listes nominatives fait exception à la règle du consentement au Québec. Les articles 22 à 26 de la Loi sur le secteur privé stipulent ce qui suit: Une liste nominative est une liste de noms, adresses géographiques ou technologiques et numéros de téléphone de personnes physiques; La communication et l’utilisation d’une liste nominative doit avoir pour objet la prospection commerciale ou philanthropique; Les personnes concernées doivent avoir eu l’occasion valable de refuser que les renseignements personnels qui leur sont propres soient utilisés ou qu’ils soient retranchés de cette liste (« opting out »). 34 6. Les listes nominatives à des fins de prospection commerciale • Deschesnes c. Groupe Jean Coutu (P.J.C.) inc., [2000] C.A.I. 216: Des renseignements personnels d’un client extraits des fichiers d’un pharmacien, sauf pour ce qui est du nom et de l’adresse, n’entrent pas dans la portée des dispositions relatives à l’usage ou à la communication d’une liste nominative prévue aux articles 22 et suivants de la Loi sur le secteur privé; • X. c. Hôtel-Dieu de St-Jérôme, [1997] C.A.I. 396: Pour que la fondation d’un centre hospitalier puisse respecter les exigences de l’article 24 de la Loi sur le secteur privé, le centre hospitalier doit obtenir le consentement de ses patients avant de communiquer leurs renseignements à la fondation en vue d’une sollicitation. 35 6. Les listes nominatives à des fins de prospection commerciale • X. c. Institut de carrière Universel, [1996] C.A.I. 407: Une personne demandant de l’information ne devient pas un « client » aux termes du paragraphe 2 de l’article 22 de la Loi sur le secteur privé et, de ce fait, les renseignements personnels obtenus auprès de personnes demandant des informations ne peuvent être communiqués. • Selon la décision précitée Deschesnes c. Groupe Jean Coutu inc., l’ajout d’un élément ciblé (comme le salaire ou les secteurs d’activités) aux nom, adresse ou numéro de téléphone ferait perdre à la liste sa qualité de liste nominative. 36 Pour nous contacter • Au bureau de Montréal, vous pouvez contacter les professionnels suivants qui exercent au sein de notre Groupe de pratique national sur la Protection de l’information et de la vie privée: Karl Delwaide : 514 397 7563, [email protected]; Claude Dallaire : 514 397 5233, [email protected]; Julie Cuddihy : Antoine Aylwin: 514 397 5123, [email protected]; Karine Fournier: 514 397 5233, [email protected]. 514 397 7521, [email protected]; 37