La protection des renseignements personnels en entreprise en vertu

Transcription

La protection des renseignements personnels en entreprise en vertu des
lois fédérale et québécoise en la matière
L’Institut des Secrétaires et des Administrateurs Agréés du Canada
Division Québec
Le 6 novembre 2007
Karl Delwaide, associé et responsable du groupe de
pratique national Protection de l’information et de la
vie privée de Fasken Martineau
Table des matières
•
1. Les lois applicables et les grands principes de la
protection des renseignements personnels;
•
2. Les similitudes entre les lois fédérale et québécoise
en matière de protection des renseignements
personnels;
•
3. L’étendue de
personnels;
la
protection
2
des
renseignements
Table des matières (suite)
•
4. Le droit des tiers d’obtenir de l’information sur les
clients de l’entreprise;
•
5. La communication de l’information relative aux
employés de l’entreprise;
•
6. Les listes nominatives à des fins de prospection
commerciale.
3
Les lois applicables et les grands
principes de la protection des
renseignements
personnels
1.
•
Au Canada, plusieurs lois traitent de la protection des
renseignements personnels dans le secteur privé :

Au fédéral, la Loi sur la protection des renseignements
personnels et les documents électroniques (LPRPDÉ),
qui étend les principes de protection des renseignements
personnels à la plupart des activités du secteur privé au
Canada;

Au Québec, la Charte des droits et libertés de la
personne, qui énonce les règles quasi-constitutionnelles
en matière de droits et de libertés applicables aux
secteurs public et privé du Québec;
4
1.
principes de
la
protection
des
renseignements personnels (suite)

Le Code civil du Québec, constitué d’un ensemble de
règles qui, en toutes matières auxquelles se rapportent la
lettre, l’esprit ou l’objet de ses dispositions, établit, en
termes exprès ou de façon implicite, le droit commun. En
ces matières, il constitue le fondement des autres lois qui
peuvent elles-mêmes ajouter au code ou y déroger;

La Loi sur la protection des renseignements personnels
dans le secteur privé (Loi sur le secteur privé), qui
s’applique, dans le secteur privé, aux personnes
exploitant une entreprise au Québec et leur impose des
obligations en matière de collecte, détention, utilisation
et communication de renseignements personnels;
5
1.

La Loi concernant le cadre juridique des technologies de
l’information, qui fixe les paramètres juridiques visant à
maintenir la valeur et l’intégrité des documents transférés
sur support électronique et qui prévoit la mise en œuvre
et la reconnaissance juridique de moyens technologiques
(tels que la biométrie);

En Alberta et en Colombie-Britannique, les Personal
Information Protection Acts, qui visent les
renseignements personnels recueillis, utilisés ou
divulgués par une organisation privée.
6
1.
•
Depuis le 1er janvier 2004, si une organisation n’exerce ses
activités que dans une province, et en l’absence du décret
approprié adopté en vertu du paragraphe 26(2) de la
LPRPDÉ, la législation fédérale et provinciale en matière de
protection des renseignements personnels est susceptible de
s’appliquer à une même entreprise/organisation;
•
Le gouvernement fédéral a adopté des décrets exemptant de
l’application de la LPRPDÉ les organisations du Québec, de
l’Alberta et de la Colombie-Britannique, à l’exclusion des
entreprises fédérales, à l’égard de la collecte, de l’utilisation
et de la communication de renseignements personnels qui
s’effectuent à l'intérieur de la province visée.
7
1.
•
La question des lois applicables a-t-elle une incidence en
pratique sur le programme de conformité de votre
organisation?
•
Le groupe de pratique national Protection de l’information
et de la vie privée de Fasken Martineau a pris comme
position de principe qu’à moins d’une raison d’affaires
majeure, une entreprise/organisation doit se doter de
mesures de protection des renseignements personnels qui
répondent aux exigences les plus sévères des lois fédérale et
provinciales de toutes les juridictions canadiennes où elle
fait affaires.
8
2.
Les similitudes entre les lois fédérale et
québécoise en matière de protection
des renseignements personnels
•
Les deux lois sont fondées sur les principes suivants:

Elles s’appliquent aux renseignements personnels sur des
individus;

Toute personne ou entreprise peut recueillir des
renseignements personnels à des fins sérieuses et
légitimes;

Toute personne ou entreprise recueillant de tels
renseignements doit énoncer le but de la collecte et les
autres utilisations des renseignements;
9
2.
Les similitudes entre les lois fédérale et
québécoise en matière de protection
des renseignements personnels (suite)

La collecte des renseignements personnels doit se
restreindre aux renseignements nécessaires pour atteindre
le but énoncé (d’où l’importance de bien identifier l’objet
du dossier);
Les renseignements personnels ne doivent être recueillis
qu’auprès de la personne concernée ou avec son
consentement (sauf si la loi permet de faire autrement);
La disposition relative au consentement constitue un
élément clé des lois en matière de protection des
renseignements personnels relativement à la collecte, à
l’utilisation et à la communication des renseignements;
10
2.
Les similitudes entre les lois fédérale
et
québécoise en matière de
protection
des
renseignements
personnels (suite)

L’obligation
d’assurer
la
renseignements personnels;

Les droits d’accès et de rectification (sous réserve des
exceptions prévues aux lois).
11
confidentialité
des
3.
•
L’étendue de la protection
renseignements personnels
des
Définition de renseignements personnels au Québec:
« 2. Est un renseignement personnel, tout renseignement
qui concerne une personne physique et permet de
l'identifier ».
•
Contrairement à la loi fédérale, il semble à prime abord ne
pas avoir d’exclusion des « renseignements d’affaires ».
•
Cependant, la jurisprudence de la CAI1 semble faire la
distinction entre des renseignements portant sur un employé
en tant que représentant de l’entreprise et de véritables
renseignements personnels sur un employé.
1
Voir, à titre d’exemple, X c. Maison D.V.S., CAI, 11 juillet 2005, par. 28.
12
4.
Le droit des tiers d’obtenir
l’information sur les clients
l’entreprise
de
de
•
Que faire quand vous recevez une mise en demeure, un
subpoena ou toute autre demande quant à l’accès aux
renseignements personnels d’un client?
•
Il s’agit généralement de renseignements personnels et la
règle de base est la suivante: aucune communication sans
consentement, à moins d’une exception applicable;
•
Fardeau sur les épaules du requérant;
•
Les mêmes principes valent généralement à l’égard des
renseignements personnels sur les employés de l’entreprise.
13
4.
l’entreprise (suite)
•
de
de
Exceptions applicables:

À votre procureur [art. 18(1)];

Au Procureur général ou à un organisme chargé de
réprimer le crime pour la poursuite d’un infraction [art.
18(2 et 3)];

Lorsque c’est nécessaire à une loi applicable au Québec
[art. 18(4)] ou pour l’application d’une convention
collective;
14
4.
de
de

À une personne/organisme qui a un pouvoir de contrainte
[art. 18(6)] [Exemple: ordre de la Cour ou subpoena];

Situation d'urgence mettant en danger la vie, la santé ou
la sécurité de la personne [art. 18(7) et 18.1];

Aux fins de recouvrer une créance de l'entreprise [art.
18(9.1)];
15
4.
de
de
•
X c. Banque Royale du Canada, [1995] C.A.I. 371 (Rapport d’enquête):
Les avocats n’ont pas le pouvoir d’exiger la communication immédiate de
renseignements personnels puisqu’ils n’ont que le pouvoir de signer le
bref de subpoena duces tecum. La délivrance d’un subpoena vise à forcer
un témoin à se présenter lui-même devant un juge, lequel est légalement
autorisé à exiger la communication de tout document conforme au
paragraphe 6 de l’article 18 de la Loi sur le secteur privé. Permettre à des
avocats d’obtenir au préalable des documents et d’avoir accès à des
renseignements personnels qui autrement ne pourraient être communiqués
sans le consentement de la personne concernée reviendrait à courtcircuiter le processus judiciaire;
•
Dans un même ordre d’idées, voir McCue c. Younes, J.E. 2002-2128
(Cour supérieure);
16
4.
•
de
de
Autres exceptions:

À tout préposé, mandataire ou agent de l'exploitant ou à
toute partie à un contrat de mandat, de service ou
d'entreprise [art. 20];

Liste nominative pour fins de prospection commerciale
ou philanthropique [art. 22];
–
Une liste nominative est une liste de noms, de
numéros de téléphone, d'adresses géographiques de
personnes physiques ou d'adresses technologiques où
une personne physique peut recevoir communication
d'un document ou d'un renseignement technologique.
17
5.
La communication de l’information
relative aux employés de l’entreprise
•
Il faut distinguer une communication à un tiers de
l’« impartition » (ou « outsourcing ») visant la gestion de
renseignements personnels pour et au nom de l’entreprise.
•
L’importance sans cesse croissante des technologies de
l’information et du flux transfrontalier de données, y
compris entre les provinces du Canada, soulève de plus en
plus de difficultés en ce qui a trait au « transfert » de
renseignements sur les employés.
•
Les mêmes principes s’appliquent généralement aux
transferts de renseignements personnels sur les clients.
18
5.
(suite)
•
Un employeur peut-il impartir à un tiers fournisseur de
services des renseignements sur ses employés aux fins de
traitement et de gestion ?
•
Dans quelles conditions?

Application conjointe des articles 20 et 17 de la Loi sur le
secteur privé;

Application, par analogie, des décisions #313 et #333 du
Commissaire à la protection de la vie privée du Canada;

Doit-on aussi considérer des approches différentes, comme
l’ « anonymisation »?
19
5.
•
(suite)
Article 20 de la Loi sur le secteur privé :
« Dans l’exploitation d’une entreprise, un renseignement
personnel n’est accessible, sans le consentement de la
personne concernée, à tout préposé, mandataire ou agent de
l’exploitant ou à toute partie à un contrat de service ou
d’entreprise qui a qualité pour le connaître qu’à la
condition que ce renseignement soit nécessaire à l’exercice
de ses fonctions ou à l’exécution de son mandat ou de son
contrat. »
20
5.
(suite)
•
Une importante décision de la CAI (Deschesnes c. Groupe
Jean Coutu, [2000] CAI 210) renforce l’article 20 de la Loi
sur le secteur privé. Elle précise que les mandataires
(agents) peuvent avoir accès aux renseignements personnels
d’un particulier sans son consentement si les exigences
suivantes sont respectées :

le contrat entre l’entreprise et le mandataire se fait par
écrit;

le contrat précise :
21
5.
•
(suite)
–
la portée du mandat;
–
les buts pour lesquels le mandataire (agent) utilisera
les renseignements (l’objet du dossier);
–
la catégorie de personnes qui auraient accès aux
renseignements; et
–
l’obligation d’assurer
renseignements.
la
confidentialité
des
Ces exigences, qui s’ajoutent au texte de l’article 20 à la
suite de la décision Groupe Jean Coutu, devraient
s’appliquer, avec les adaptations nécessaires, à un contrat de
service ou d’entreprise.
22
5.
•
(suite)
Et d’autres clauses « standards » doivent être envisagées,
telles celles relatives au droit de rétention, à la notification
des demandes de communication, le droit de vérifier le
respect du contrat et les conséquences d’un non-respect du
contrat.
23
5.
(suite)
•
Dans son rapport publié en février 2006 et intitulé « PublicSector Outsourcing and Risks to Privacy », le commissaire à
l’information et à la protection des renseignements
personnels de l’Alberta a suggéré que les dispositions
suivantes soient incluses dans un contrat d’impartition:

L’interdiction d’affecter ou de donner en sous-traitance
le contrat d’impartition sans un consentement écrit;
24
5.
(suite)

L’obligation du sous-contractant de donner un avis en
cas de notification concernant un recours de créanciers
ou une requête devant les tribunaux en faillite ou en
protection contre les créanciers;

L’obligation de donner un avis pour toute demande reçue
par le sous-contractant concernant l’accès à des
renseignements personnels ou leur divulgation;

L’obligation de donner un avis relatif à toute perte de
renseignements personnels ou à l’accès non autorisé à
ceux-ci par le sous-contractant ou ses employés;
25
5.
(suite)

Le droit du donneur d’ouvrage de procéder à toute
vérification relative à l’application correcte non
seulement du contrat, mais aussi de toute loi applicable
au contrat;

Outre cette vérification, on peut exiger que le souscontractant ait en place un système de surveillance ou de
vérification de l’utilisation et la divulgation des
renseignements personnels par celui-ci. Le donneur
d’ouvrage peut exiger l’accès à ce système sous certaines
conditions;
26
5.
(suite)

Les conséquences d’un manquement. Outre le droit de
mettre fin au contrat et d’exiger réparation, il faut prévoir
la remise des renseignements personnels et de toute copie
de ceux-ci, l’assistance du sous-contractant et la
récupération des renseignements personnels perdus ou
autrement divulgués.
27
5.
•
(suite)
L’article 17 de la Loi sur le secteur privé soulève
d’importantes questions :
« 17. La personne qui exploite une entreprise au Québec et qui
communique à l'extérieur du Québec des renseignements
personnels ou qui confie à une personne à l'extérieur du Québec
la tâche de détenir, d’utiliser ou de communiquer pour son compte
de tels renseignements doit au préalable prendre tous les moyens
raisonnables pour s’assurer :
1) que les renseignements ne seront pas utilisés à des fins non
pertinentes à l’objet du dossier ni communiqués à des tiers sans le
consentement des personnes concernées sauf dans des cas
similaires à ceux prévus par les articles 18 et 23;
28
5.
(suite)
2) dans le cas de listes nominatives, que les personnes concernées
aient une occasion valable de refuser l’utilisation des
renseignements personnels les concernant à des fins de
prospection commerciale ou philanthropique et de faire
retrancher, le cas échéant, ces renseignements de la liste.
Si la personne qui exploite une entreprise estime que les
renseignements visés au premier alinéa ne bénéficieront pas des
conditions prévues aux paragraphes 1° et 2°, elle doit refuser de
communiquer ces renseignements ou refuser de confier à une
personne ou à un organisme à l’extérieur du Québec la tâche de
les détenir, de les utiliser ou de les communiquer pour son
compte. » (nous soulignons).
29
5.
(suite)
•
Le dernier alinéa de l’article 17 a été récemment ajouté par
le projet de loi 86, adopté le 14 juin 2006.
•
Les conséquences de cet alinéa ne sont pas claires.
•
Selon une interprétation, à laquelle souscrit notre cabinet,
les protections contractuelles offertes dans le territoire
d’origine sont réputées suffisantes pour assurer la
conformité aux exigences de l’article 17 et permettre le
transfert, pourvu que le territoire de destination applique, ou
s’engage à appliquer, des protections similaires à celles qui
prévalent au Québec. Cela doit se faire par contrat écrit (voir
pages 21 et 22).
30
5.
(suite)
•
Des protections similaires signifieraient que les exceptions
prévues par les lois locales seraient applicables, car la Loi
sur le secteur privé reconnaît les exceptions prévues par les
lois applicables au Québec.
•
Selon une deuxième interprétation, plus restrictive, les lois
du territoire étranger doivent être examinées en détail afin
de déterminer si la protection législative est suffisante (ou
véritablement équivalente) en comparaison à celle prévue
par la Loi sur le secteur privé.
31
5.
(suite)
•
Peut-on avoir recours au consentement des personnes
concernées pour transférer à l’extérieur du Québec les
renseignements personnels les concernant?
•
L’article 17 s’applique-t-il au transfert hors Québec de
renseignements personnels au sein d’une même entreprise?
32
6.
Les listes nominatives à des fins de
prospection commerciale
•
La LPRPDÉ ne contient pas de dispositions équivalentes à
celles (au Québec) relatives à la confection et à l’utilisation
des listes nominatives; cependant, certaines exceptions à la
règle du consentement explicite existent à la LPRPDÉ:

Consentement implicite: Le Principe 4.3.6 de la
LPRPDÉ permet l’utilisation d’un consentement
implicite lorsque les renseignements sont considérés
moins sensibles;

Case à cocher: Les personnes qui ne cochent pas la case
seront réputées consentir (Principe 4.3.7 de la LPRPDÉ).
33
6.
•
Le concept des listes nominatives fait exception à la règle du
consentement au Québec. Les articles 22 à 26 de la Loi sur
le secteur privé stipulent ce qui suit:
Une liste nominative est une liste de noms, adresses
géographiques ou technologiques et numéros de
téléphone de personnes physiques;
La communication et l’utilisation d’une liste nominative
doit avoir pour objet la prospection commerciale ou
philanthropique;
Les personnes concernées doivent avoir eu l’occasion
valable de refuser que les renseignements personnels qui
leur sont propres soient utilisés ou qu’ils soient
retranchés de cette liste (« opting out »).
34
6.
•
Deschesnes c. Groupe Jean Coutu (P.J.C.) inc., [2000]
C.A.I. 216: Des renseignements personnels d’un client
extraits des fichiers d’un pharmacien, sauf pour ce qui est du
nom et de l’adresse, n’entrent pas dans la portée des
dispositions relatives à l’usage ou à la communication d’une
liste nominative prévue aux articles 22 et suivants de la Loi
sur le secteur privé;
•
X. c. Hôtel-Dieu de St-Jérôme, [1997] C.A.I. 396: Pour que
la fondation d’un centre hospitalier puisse respecter les
exigences de l’article 24 de la Loi sur le secteur privé, le
centre hospitalier doit obtenir le consentement de ses
patients avant de communiquer leurs renseignements à la
fondation en vue d’une sollicitation.
35
6.
•
X. c. Institut de carrière Universel, [1996] C.A.I. 407: Une
personne demandant de l’information ne devient pas un
« client » aux termes du paragraphe 2 de l’article 22 de la
Loi sur le secteur privé et, de ce fait, les renseignements
personnels obtenus auprès de personnes demandant des
informations ne peuvent être communiqués.
•
Selon la décision précitée Deschesnes c. Groupe Jean Coutu
inc., l’ajout d’un élément ciblé (comme le salaire ou les
secteurs d’activités) aux nom, adresse ou numéro de
téléphone ferait perdre à la liste sa qualité de liste
nominative.
36
Pour nous contacter
•
Au bureau de Montréal, vous pouvez contacter les
professionnels suivants qui exercent au sein de notre Groupe
de pratique national sur la Protection de l’information et de
la vie privée:

Karl Delwaide : 514 397 7563, [email protected];

Claude Dallaire : 514 397 5233, [email protected];

Julie Cuddihy :

Antoine Aylwin: 514 397 5123, [email protected];

Karine Fournier: 514 397 5233, [email protected].
514 397 7521, [email protected];
37