Écrit par Stephen D. Burns

Depuis le 1er janvier 2004, la plupart des organisations qui exercent des activités au Canada sont tenues de s’assurer qu’elles recueillent, utilisent et communiquent des « renseignements personnels » conformément aux lois fédérales et provinciales applicables en matière de protection des renseignements personnels.

Les « renseignements personnels » désignent tout renseignement concernant une personne identifiable. Les renseignements personnels ne comprennent pas les renseignements sur une société ni le nom, le titre, l’adresse d’affaires ou le numéro de téléphone d’un employé d’une organisation lorsque ces renseignements sont utilisés ou divulgués à des fins de communications d’affaires (les définitions fédérales et provinciales diffèrent).

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) du gouvernement fédéral s’appliquait à la plupart des organisations depuis le 1er janvier 2004. Lorsqu’une province adopte une loi essentiellement similaire, on s’attend à ce qu’elle s’applique aux activités dans cette province. La LPRPDE est déjà en vigueur pour les industries sous réglementation fédérale. L’Alberta, la Colombie-Britannique et le Québec ont adopté des lois sur la protection des renseignements personnels dans le secteur privé.

Les lois fédérales et provinciales sont très semblables, mais elles diffèrent dans un certain nombre de domaines, ce qui donne lieu à une mosaïque complexe d’obligations en matière de protection de la vie privée qui doivent être abordées.

Quelle est l’incidence de la vie privée sur votre entreprise?

Sous réserve de certaines exceptions, la loi sur la protection des renseignements personnels exige qu’une organisation, en partie :

• nomme une personne au sein de l’organisation responsable des activités de l’organisation en matière de protection de la vie privée;
• de divulguer les fins et d’obtenir le consentement d’une personne pour la collecte, l’utilisation et la communication de ses renseignements personnels par l’organisation;
• d’utiliser ou de communiquer ces renseignements personnels uniquement aux fins de la communication, à moins qu’il n’ait obtenu le consentement de la personne à cette nouvelle fin;
• pour permettre à la personne d’accéder à ses renseignements personnels, de contester leur exactitude et de retirer son consentement à la collecte, à l’utilisation et à la communication par l’organisation de ses renseignements personnels;
• pour protéger les renseignements personnels dont ils ont la garde ou le contrôle;
• mettre en œuvre des politiques et des pratiques en matière de protection de la vie privée; et
• de ne conserver les renseignements personnels qu’aussi longtemps qu’il est raisonnablement nécessaire pour atteindre les fins de la communication.

La loi a une incidence sur les renseignements personnels déjà en vigueur, peu importe quand et où ils ont été recueillis.

Les renseignements personnels des employés sont assujettis à des exigences différentes de celles des renseignements personnels non liés aux employés, et les lois fédérales et provinciales diffèrent dans leur traitement des renseignements personnels des employés.

Lorsqu’une organisation entreprend des activités à l’égard de renseignements personnels à l’extérieur d’une seule administration, elle devra déterminer dans quelles juridictions elle mène ses activités, les obligations (le cas échéant) en vertu de la législation sur la protection de la vie privée dans ces juridictions et comment l’organisation élaborera ses politiques et pratiques pour répondre à ces diverses obligations.

La conformité en matière de protection de la vie privée peut être une tâche complexe qui oblige l’organisation à trouver un équilibre entre la nécessité de se conformer à de multiples obligations en matière de protection de la vie privée et la nécessité d’adopter des politiques et des pratiques pratiques pratiques et gérables.

Comment votre entreprise devient-elle conforme à la confidentialité?

Bien que l’approche de chaque organisation en matière de conformité en matière de protection de la vie privée doive être adaptée à ses activités et à ses besoins particuliers, à tout le moins, une organisation devrait envisager :

• de nommer une personne responsable des activités de l’organisation en matière de protection de la vie privée (souvent, cette personne est appelée agent de la protection de la vie privée);
• évaluer les activités de l’organisation à l’égard des renseignements personnels; établir des politiques et des pratiques pour régir les activités de l’organisation à l’égard des renseignements personnels; et
• former le personnel de l’organisation à l’égard de ses politiques et pratiques en matière de protection de la vie privée.

Quelle est l’incidence de la loi sur la protection de la vie privée sur vos relations avec des tiers?

De nombreuses organisations échangent des renseignements personnels avec d’autres organisations et personnes. Ces échanges peuvent inclure l’externalisation de certaines activités à des tiers (telles que l’administration des avantages ou le traitement des données), l’échange d’informations entre partenaires commerciaux et le transfert d’informations à la suite de l’achat ou de la vente d’une entreprise.

Chaque organisation devra examiner comment et pourquoi elle échange des renseignements personnels avec des tiers et les ententes régissant ces échanges de renseignements afin de déterminer si la loi sur la protection des renseignements personnels permettra à de telles activités de se poursuivre et si ces ententes devront être modifiées.

Risques liés à l’impartition

En plus d’être responsables de ses propres activités de conformité, les organisations qui utilisent les services de tiers dans leur traitement des renseignements personnels peuvent être tenues responsables des activités de ces tiers. La loi fédérale prévoit qu’une organisation est responsable des renseignements personnels en sa possession ou sous son contrôle, y compris les renseignements personnels qui ont été transférés à un tiers aux fins de traitement. La loi fédérale exige ensuite que l’organisation utilise des moyens contractuels ou autres pour fournir un niveau de protection comparable pendant que le tiers traite les renseignements personnels.

La législation de la Colombie-Britannique sur la protection des renseignements personnels dans le secteur privé prévoit qu’une organisation est responsable des renseignements personnels sous son contrôle, y compris les renseignements personnels qui ne sont pas sous la garde de l’organisation. Cela ne se limite pas aux seules informations qu’un tiers traite.

La loi sur la protection des renseignements personnels de l’Alberta prévoit qu’une organisation est responsable des renseignements personnels qu’elle a sous sa garde ou sous son contrôle et que, lorsqu’une organisation fait appel aux services d’une personne, qu’il s’agisse d’un mandataire, par contrat ou autrement, l’organisation est, en ce qui concerne ces services, responsable de la conformité de cette personne à cette loi.

Par conséquent, les organisations sont bien avisées de s’assurer qu’elles ont examiné en détail les activités de leurs fournisseurs de services en ce qui concerne les renseignements personnels de l’organisation et de s’assurer que leurs ententes protègent adéquatement l’organisation en exigeant que leurs fournisseurs de services se conforment à la loi et de s’assurer que l’organisation peut se tourner vers ses fournisseurs de services pour obtenir une indemnisation en cas de problème.

Certaines organisations modifient déjà leurs ententes ou imposent des obligations en matière de protection de la vie privée aux organisations avec lesquelles elles traitent. Par conséquent, lorsque c’est l’organisation qui fournit les services, elle doit être vigilante et s’assurer qu’elle n’accepte pas de telles obligations tant qu’elle n’a pas compris la nature des obligations imposées.

Risques liés aux transactions L’obligation

de ne recueillir, d’utiliser ou de communiquer des renseignements personnels que lorsque l’organisation a obtenu le consentement de la personne à une telle collecte, utilisation ou communication s’étend à toute activité de divulgation ou de collecte liée à tout achat, vente, fusion, fusion, titrisation ou autre transaction impliquant l’organisation (une « transaction commerciale »).

La loi fédérale sur la protection des renseignements personnels ne prévoit pas d’exception à l’obligation de consentir à la communication de renseignements personnels dans le contexte d’une transaction commerciale. Les lois de la Colombie-Britannique et de l’Alberta prévoient chacune des exemptions à l’égard d’une telle exigence pourvu que certaines conditions soient remplies.

L’exception de la Colombie-Britannique n’est disponible que pour les renseignements personnels liés aux employés, aux clients, aux administrateurs, aux dirigeants et aux actionnaires de l’organisation et exige que ces personnes soient avisées que la transaction commerciale a eu lieu et que les renseignements personnels ont été divulgués. La loi exige également que les parties à une opération éventuelle qui souhaitent invoquer l’exception concluent une entente qui limite l’utilisation de ces renseignements personnels.

L’exception de l’Alberta ne se limite pas aux renseignements personnels de certaines catégories de personnes et s’applique plutôt à tous les renseignements personnels qui doivent être transférés dans le cadre de la transaction commerciale. La législation de l’Alberta n’exige pas que les particuliers soient avisés de l’opération, mais exige que certaines ententes soient conclues par les parties à une opération éventuelle et les parties à l’opération si elle va de l’avant.

En Alberta et en Colombie-Britannique, si l’opération commerciale n’a pas lieu, les renseignements personnels divulgués doivent être retournés ou détruits. De plus, la législation de chaque province limite les fins auxquelles les renseignements personnels transférés peuvent être utilisés ou communiqués. Par conséquent, lorsque l’organisation souhaite se prévaloir d’une exemption, il faut veiller à ce que l’organisation se conforme à ces exigences.

Les organisations sont bien avisées de tenir compte de la nécessité d’obtenir le consentement au transfert de renseignements personnels dans le cadre d’une transaction commerciale et des exigences des diverses exceptions à cette exigence de consentement lorsqu’elles conçoivent la structure de l’opération. Une planification minutieuse pour tirer parti de l’une des exceptions à l’exigence de consentement peut réduire considérablement les coûts de conformité à la protection de la vie privée associés à une transaction commerciale.