Au moment de décider quels renseignements inclure dans une salle de données en Alberta, il est important de tenir compte non seulement de ce que l’acheteur voudra voir et de ce qu’il est prêt à divulguer, mais aussi de l’incidence que la législation canadienne sur la protection des renseignements personnels dans le secteur privé peut avoir sur la capacité du fournisseur d’inclure des renseignements personnels dans les documents à communiquer; en particulier, si le consentement est requis ou non pour une telle divulgation.
protection de la vie privée dans le secteur privé est réglementée au Canada, en partie en raison de ce qui suit : (i) la nature des renseignements; (ii) la nature de l’organisation (sous réglementation fédérale ou provinciale); (iii) lorsqu’une activité a lieu; et iv) la nature de la relation de l’organisation avec l’individu.
En règle générale, la législation fédérale s’applique à toutes les activités commerciales mettant en cause des renseignements personnels qui ont lieu entre les provinces ou au-delà des frontières nationales, ou qui sont entreprises par des entreprises fédérales. La législation fédérale s’applique également à toutes les activités commerciales mettant en cause des renseignements personnels qui ont lieu dans une province, à moins que celle-ci n’ait adopté une loi essentiellement similaire. L’Alberta a adopté des lois essentiellement similaires. La législation fédérale ne s’applique généralement pas aux renseignements personnels des employés, à moins que la personne ne soit un employé d’une entreprise fédérale ou que les renseignements ne soient divulgués dans le cadre d’activités commerciales. La loi de l’Alberta protège les renseignements personnels des employés.
Bien que la définition des renseignements personnels varie légèrement entre la législation fédérale et la législation de l’Alberta, pour nos besoins, les renseignements personnels doivent inclure tous les renseignements sur une personne identifiable autres que ses coordonnées d’affaires, lorsque ces coordonnées d’affaires sont utilisées dans le but de communiquer avec la personne en sa qualité d’employé ou de fonctionnaire d’une organisation et à aucune autre fin. Par conséquent, dans le contexte de la divulgation de renseignements dans une salle de données, tous les renseignements qui peuvent être retracés jusqu’à une personne doivent être traités comme des renseignements personnels.
Avant d’examiner si le consentement est requis pour la divulgation de renseignements personnels dans une salle de données, il est important de noter que les lois fédérales et albertaines sur la protection des renseignements personnels exigent qu’une organisation : (i) ne recueille, n’utilise ou ne communique des renseignements personnels qu’à des fins raisonnables; et (ii) seulement dans la mesure nécessaire pour atteindre cet objectif. Ce seuil doit être atteint avant que l’on se demande si les renseignements personnels peuvent être recueillis avec ou sans préavis ou sans consentement de la personne concernée.
Cela dit, et en supposant qu’il est raisonnable de divulguer les renseignements dans la salle de données et que seuls les renseignements nécessaires à la fin seront divulgués, l’organisation doit ensuite se demander si le consentement est requis pour une telle divulgation.
En règle générale, à moins d’indication contraire dans la législation applicable en matière de protection de la vie privée, les organisations au Canada ne peuvent recueillir, utiliser ou communiquer des renseignements personnels que lorsque l’organisation a le consentement de la personne concernée à une telle collecte, utilisation ou communication. L’obligation d’obtenir le consentement ne s’étend pas toujours aux renseignements personnels des employés de l’Alberta. En particulier, la plupart des organisations de l’Alberta sont tenues de ne recueillir, d’utiliser ou de communiquer des renseignements personnels concernant leurs employés qu’avec le consentement de l’employé, à moins que ces renseignements ne soient uniquement liés à l’établissement, à la gestion ou à la résiliation de la relation d’emploi et que l’organisation ait donné à leurs employés un préavis raisonnable que les renseignements seront recueillis et aux fins de cette collecte.
Dans la récente décision de Builders Energy Services Ltd., Stikeman Elliott LLP, Shtabsky & Tussman LLP et Remote Wireline Services Ltd. (« Stikemans »), le commissaire à l’information et à la protection de la vie privée de l’Alberta a conclu que les renseignements personnels des employés divulgués au cours d’une transaction ne constituent pas des renseignements qui sont uniquement liés à la relation d’emploi et, par conséquent, les parties à la transaction avaient besoin du consentement des employés pour la divulgation de ces renseignements: une partie de la transaction.
En règle générale, l’obligation d’obtenir le consentement s’étend aux activités de divulgation ou de recouvrement liées à tout achat, vente, fusion, fusion, financement, titrisation ou autre opération impliquant l’organisation (une « transaction commerciale »).
La loi fédérale sur la protection des renseignements personnels ne prévoit pas d’exception à l’obligation de consentement pour l’utilisation ou la communication (comme dans une salle de données) de renseignements personnels dans le contexte d’une transaction commerciale. La loi de l’Alberta prévoit une exemption des exigences du consentement pourvu que certaines conditions soient remplies. Par conséquent, il peut être avantageux pour une organisation de structurer son opération pour se prévaloir d’une telle exception ou pour mener ses activités à l’égard de l’opération d’une manière qui limite l’incidence de la législation sur la protection des renseignements personnels sur cette transaction.
Pour se prévaloir de l’exception de l’Alberta, les parties à l’opération commerciale sont tenues de conclure une entente selon laquelle :
De plus, si l’opération commerciale n’a pas lieu, les renseignements personnels divulgués doivent être détruits ou retournés à la partie divulgatrice.
Par conséquent, lorsqu’une organisation souhaite se prévaloir de l’exception relative aux opérations commerciales prévue par la loi de l’Alberta, elle devra limiter la nature et la portée des renseignements personnels à communiquer dans la salle des données à ce qui est nécessaire pour que les parties décident de procéder à l’opération.
Lorsqu’une transaction se déroule par étapes (par exemple, examen initial par les soumissionnaires intéressés, acceptation d’une soumission, vérification diligente initiale, diligence raisonnable finale), la nature et la portée des renseignements personnels qui sont nécessaires pour pouvoir déterminer d’aller de l’avant avec la transaction peuvent changer à chaque étape.
Par conséquent, la nature et la portée des renseignements personnels divulgués dans la salle de données changeront probablement à chaque étape, avec un minimum de renseignements divulgués aux étapes initiales et des renseignements plus détaillés disponibles au cours de la vérification diligente finale.
De plus, la structure de la transaction (c.-à-d. la vente d’actions par rapport à la vente d’actifs) aura également une incidence sur la nature et la portée des renseignements personnels qui sont nécessaires pour que les parties décident de procéder à la transaction et, par conséquent, sur la nature et la portée des renseignements personnels qui peuvent être divulgués dans la salle de données.
Dans l’arrêt Stikemans (précité), le commissaire s’est penché sur la question de savoir si la communication des renseignements personnels des employés (noms, adresses domiciliaires et numéros d’assurance sociale) contenus dans une annexe d’un contrat d’achat et de vente satisfaisait aux exigences de l’exemption relative aux opérations commerciales ou si le consentement des employés était requis pour une telle divulgation.
Le commissaire a conclu que les parties ne pouvaient pas invoquer l’exception relative aux opérations commerciales à l’égard des renseignements personnels divulgués dans l’annexe, car elles avaient échangé plus de renseignements qu’il n’était nécessaire pour déterminer s’il y avait lieu de procéder à l’opération. Bien que le commissaire ait conclu que les parties avaient conclu une entente qui limitait de façon appropriée l’utilisation des renseignements communiqués, il a déterminé que la divulgation de l’adresse domiciliaire et du numéro d’assurance sociale des employés n’était pas nécessaire aux fins de l’opération.
En rendant sa conclusion, le commissaire a fourni des indications précieuses sur les renseignements personnels concernant les employés qui peuvent avoir une incidence sur la décision d’aller de l’avant ou sur les conditions auxquelles une transaction se déroule (y compris le prix), et donc être nécessaires aux fins d’une transaction. Bien que les faits de chaque cas s’appliquent, le commissaire a indiqué qu’il pourrait être « nécessaire » de divulguer :
Par conséquent, lorsqu’une organisation souhaite se prévaloir de l’exemption relative aux opérations commerciales de l’obligation d’obtenir le consentement pour la communication de renseignements personnels dans une salle de données en Alberta, nous recommandons un examen attentif des renseignements à communiquer pour s’assurer qu’il est nécessaire que les parties décident de procéder à l’opération; si la décision doit aller de l’avant, pour que les parties effectuent et terminent la transaction.
Comme il a été mentionné précédemment, la législation fédérale peut s’appliquer aux activités qui se déroulent à l’extérieur ou au-delà des frontières de l’Alberta et, par conséquent, lorsque les parties ne sont pas en mesure de structurer leurs opérations de manière à ce que seule la législation de l’Alberta s’applique à la divulgation de renseignements personnels dans la salle de données, la législation fédérale peut également s’appliquer et le consentement peut être requis pour une telle divulgation.