Lettre suite à l'avis de consultation émis par Industrie Canada au sujet de l'examen de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Le 15 janvier 2008

La commissaire à la protection de la vie privée du Canada, Jennifer Stoddart, a fait parvenir la lettre suivante à M. Richard Simpson, directeur général, Direction générale du commerce électronique, Industrie Canada, suite à l'avis de consultation émis par Industrie Canada au sujet de l'examen de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

MonsieurRichardSimpson
Directeur général
Direction générale du commerce électronique
Industrie Canada
300, rue Slater
Ottawa (Ontario) K1A0C8

Monsieur,

La présente fait suite à l'avis de consultation publié le 27octobre2007 dans la Gazette du Canada par Industrie Canada et portant sur l'examen de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Comme vous le savez, le Commissariat à la protection de la vie privée, dont je suis responsable, a fait deux présentations dans le cadre de cet examen devant le Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique (ComitéETHI), et a aussi écrit à l'honorableMaximeBernier, ministre de l'Industrie, à la suite du dépôt du rapport du ComitéETHI sur cet examen. Je ne répéterai pas nos propos ici, mais je vous demande de les garder à l'esprit lorsque vous lirez les commentaires reçus dans le cadre de la consultation^{Note de bas de page 1}.

L'avis publié dans la Gazette du Canada aborde plusieurs questions. Je désire en commenter deux et profiter de l'occasion pour exprimer des avis sur troisquestions ne figurant pas dans la Gazette du Canada.

Produit du travail

Dans la Gazette du Canada, vous indiquez que vous souhaitez obtenir des avis sur la question du «produit du travail» pour déterminer s'il est nécessaire de modifier la LPRPDE à cet effet. J'estime toujours qu'il n'est pas nécessaire d'apporter une modification à cet égard et qu'il n'est pas impératif de prévoir une exemption spéciale pour couvrir le «produit du travail». Le comité spécial d'examen de la Personal Information Protection Act ou PIPA (loi sur la protection des renseignements personnels de l'Alberta), qui a mené une étude de troisans sur la loi

albertaine en matière de protection des renseignements personnels dans le secteur privé, s'est aussi penché sur la question du produit du travail. Le comité a conclu que «l'actuelle méthode contextuelle permet une plus grande souplesse^{Note de bas de page 2} [traduction]» à cet égard. Cette conclusion concorde avec notre point de vue, selon lequel une méthode contextuelle est nécessaire et très pertinente pour traiter la délicate question du caractère personnel des renseignements produits dans le cadre du travail par un employé. À mon avis, il n'est pas indiqué, à cette étape, de définir le produit du travail. En effet, cette définition risque d'inclure, de manière malhabile et sans second regard critique, des renseignements personnels devant être protégés.

Notification des brèches dans la protection des données

La deuxièmequestion porte sur la notification des brèches dans la protection des données. Comme je l'ai mentionné dans ma présentation du 22février2007 devant le ComitéETHI, j'appuie une modification de la LPRPDE visant à ajouter une disposition obligeant les organisations à notifier les clients advenant une «brèche dans la protection des données». À cet égard, le gouvernement propose, dans sa réponse, un processus en deux étapes:

Premièrement, les organisations devraient être tenues de notifier rapidement les personnes ou les organisations touchées par la perte ou le vol de renseignements personnels quand il existe «un risque élevé de préjudice important pour les personnes ou les organisations»;
Deuxièmement, advenant «toute perte ou tout vol important», l'organisation devrait avoir l'obligation d'aviser le Commissariat à la protection de la vie privée. Cet avis devrait comprendre des détails sur l'incident et les mesures prises par l'organisation pour aviser les personnes concernées ou une justification si elle décide de ne pas les aviser.

J'appuie cette démarche générale. Je suis d'accord que la responsabilité d'aviser les personnes touchées revient à l'organisation qui détient les renseignements personnels et je suis également d'accord que cette démarche devrait reposer sur une évaluation des risques de préjudice, bien que nous suggérions d'élargir la définition de préjudice pour qu'elle comprenne les préjudices autres que financiers.

Je suggère également que le Commissariat soit averti des brèches résultant en une perte ou un vol de données majeurs. J'appuie également la notification du Commissariat dans les cas où, selon l'organisation, les personnes touchées n'ont pas à être averties. Dans sa réponse, le gouvernement «reconnaît que le fait de déterminer les paramètres précis du modèle, y compris les "éléments déclencheurs" et les "seuils" de notification [...] sera un élément essentiel dans la disposition en matière de notification». Je suis d'accord avec cette affirmation et j'insiste pour que ces éléments déclencheurs et ces seuils soient définis le plus clairement possible pour guider les organisations et pour aider les particuliers à comprendre leurs droits.

Pouvoir d'enquête

La troisièmequestion se rapporte à un cas devant les tribunaux et touche le privilège du secret professionnel de l'avocat et le pouvoir que détient le Commissariat de procéder à la vérification de la légitimité de ce privilège lorsqu'il est revendiqué par une organisation. Comme l'a indiqué IndustrieCanada dans sa réponse au quatrièmerapport du ComitéETHI, la question touchant le pouvoir que détient le Commissariat à la protection de la vie privée d'étudier les documents de communication entre un client et son avocat doit être entendue à la Cour suprême du Canada en février2008. Le gouvernement croit qu'il serait prématuré de songer à modifier la loi pour préciser la portée du pouvoir du Commissariat avant que la Cour suprême ne rende sa décision et ne fasse ses recommandations à cet égard. J'attends avec impatience la décision de la Cour, ainsi que l'occasion de revoir cet enjeu avec vous si la LPRPDE devait être modifiée à la suite de cette décision.

Code relatif aux employés

La LPRPDE est une loi d'application générale, conçue pour protéger les renseignements dans le cadre d'activités commerciales. Cette loi ne traite pas de la collecte, de l'utilisation ou de la communication de renseignements personnels dans des contextes précis comme le travail ou les services professionnels. L'application de la loi dans ces contextes a soulevé des questions et des enjeux importants. Je désire réaffirmer mon avis que l'on aurait avantage à apporter des modifications à la LPRPDE concernant la collecte, l'utilisation et la communication de renseignements sur les employés pour que cette loi corresponde davantage à la législation provinciale relative à la protection de la vie privée touchant le secteur privé.

Bien que chaque province ait sa propre façon d'assurer l'équilibre entre la protection des renseignements personnels concernant les employés et les droits des employeurs, le Commissariat considère qu'il serait intéressant de combiner la solution retenue par l'Alberta —qui utilise un code relatif aux employés basé sur les fins raisonnables^{Note de bas de page 3} —et la notion de respect, par l'employeur, de la dignité des employés qui figure dans le Code civil du Québec^{Note de bas de page 4}.

Pouvoir discrétionnaire pour le traitement des plaintes

Enfin, une question a été soulevée depuis que j'ai comparu devant le Comité, soit la nécessité de mettre en œuvre un moyen plus efficace de traiter les plaintes. Au moment où j'ai fait ma présentation, en février 2007, j'avais encore bon espoir qu'avec d'importantes ressources supplémentaires, le Commissariat serait en mesure de rattraper le retard croissant dans l'examen des plaintes tout en adoptant une méthode plus proactive pour s'attaquer aux enjeux systémiques et omniprésents liés à la protection des renseignements personnels, par la recherche, la sensibilisation du public, les plaintes déposées par le Commissariat et les vérifications faites à la demande de ce dernier. Malgré tous les efforts déployés en ce sens, les retards perdurent et continuent d'accaparer nos ressources.

D'autres organismes chargés de la protection des données, notamment au Royaume-Uni, en Europe, en Australie et en Nouvelle-Zélande, doivent relever des défis semblables pour traiter toutes les plaintes, quel que soit leur bien-fondé ou leur nature. Si nous ne pouvons rejeter certaines plaintes, à savoir celles qui ne présentent aucun intérêt public ou qui ne nécessitent pas d'enquête, très tôt dans le processus, nous doutons de notre capacité à traiter efficacement le nombre croissant d'enjeux systémiques auxquels nous devons faire face.

Auparavant, les enjeux liés à la protection des renseignements personnels survenaient dans le cadre de relations entre un particulier et une organisation, et étaient soulevés dans le cadre de plaintes formulées par des personnes. Aujourd'hui, les grands enjeux liés à la protection des renseignements personnels surviennent dans le contexte des technologies de l'information en plein essor, notamment celles rendues possibles par Internet. Ces nouvelles menaces visent l'ensemble de la société et font partie du quotidien à un point tel que, dans la plupart des cas, une personne moyenne n'en serait même pas consciente et, par le fait même, ne porterait jamais plainte. Il est question, entre autres, de la vaste gamme de technologies et de nanotechnologies de surveillance qui commencent à être offertes sur le marché, de l'identification par radiofréquence, du réseautage social et du marketing comportemental en ligne. De plus en plus, les autorités de protection des données de partout au monde reconnaissent que nous devons concentrer nos efforts sur ces nouvelles technologies si nous voulons faire face à ces menaces à la protection de la vie privée à mesure qu'elles surviennent.

Le commissaire du Royaume-Uni a demandé dernièrement au Parlement britannique le droit de mener des enquêtes seulement lorsque l'enjeu est d'intérêt public. De la même manière, la Federal Trade Commission (FTC) des États-Unis n'accepte pas les plaintes provenant des particuliers, mais les prend en considération pour cerner les enjeux systémiques justifiant l'intervention de la FTC. Au Canada, la Loi canadienne sur les droits de la personne, la Loi sur la protection des fonctionnaires divulgateurs d'actes répréhensibles, la Loi fédérale sur la responsabilité ainsi que la Loi sur la protection des renseignements personnels dans le secteur privé du Québec^{Note de bas de page 5} autorisent les commissaires à refuser ou à cesser d'examiner une affaire si la demande est frivole ou faite de mauvaise foi, si elle pourrait être traitée plus efficacement par une autre entité, ou si leur intervention ne serait manifestement pas utile.^{Note de bas de page 6}.

Je demande au gouvernement d'accorder au Commissariat un pouvoir discrétionnaire semblable. Plus précisément, je demande une plus grande marge de manœuvre pour refuser ou cesser d'examiner les plaintes tôt dans le processus, si une enquête ne serait d'aucune utilité ou ne servirait pas l'intérêt public, ce qui permettrait au Commissariat de concentrer ses efforts sur les enjeux liés à la protection de la vie privée qui ont un intérêt systémique plus vaste. Je demanderais le même pouvoir discrétionnaire aux termes de la Loi sur la protection des renseignements personnels, puisque les défis soulevés dans les deux lois sont très semblables.

Encore une fois, je tiens à remercier le ministre et Industrie Canada pour leur engagement à l'égard de la protection de la vie privée en général. Je demande aussi que le gouvernement s'assure que toute nouvelle loi touchant la protection des renseignements personnels tienne compte des modifications à apporter à la LPRPDE. Le Commissariat demeure à votre disposition pour répondre à toutes les questions ou préoccupations de votre personnel sur nos suggestions. Je vous remercie de tenir une consultation sur ces questions d'une grande importance.

Veuillez agréer, Monsieur, l'assurance de ma considération distinguée.

La commissaire à la protection de la
la vie privée du Canada,

Original signé par

Jennifer Stoddart

Notes

Note de bas de page 1

Position du Commissariat à la protection de la vie privée du Canada à la clôture des audiences sur l'Examen, prévu par la loi, de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE): Mémoire présenté au Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique, 22février2007; URL: http://www.priv.gc.ca/parl/2007/sub_070222_f.cfm. Examen, prévu par la loi, de la Loi sur les renseignements personnels et les documents électroniques: Aperçu de la consultation du CPVP, 27novembre2006; URL: http://www.priv.gc.ca/parl/2006/sub_061127_f.cfm. Lettre à l'honorable MaximeBernier; URL: http://www.priv.gc.ca/parl/2007/let_070713_f.cfm.

Retour à la référence de la note de bas de page 1

Note de bas de page 2

Select Special PIPA Review Committee Final Report, Recommendation 22 http://www.pipareview.assembly.ab.ca/report/finalpipawReport111407.pdf (en anglais seulement).

Retour à la référence de la note de bas de page 2

Note de bas de page 3

Personal Information Protection Act, P-6.5 2003, art. 15.

Retour à la référence de la note de bas de page 3

Note de bas de page 4

Code civil du Québec, L.Q., 1991, c.64, art.2087.

Retour à la référence de la note de bas de page 4

Note de bas de page 5

Loi sur la protection des renseignements personnels dans le secteur privé,L.R.Q., c.P-39, art.52: «La Commission peut refuser ou cesser d'examiner une affaire si elle a des motifs raisonnables de croire que la demande est frivole ou faite de mauvaise foi ou que son intervention n'est manifestement pas utile.» La Loi canadienne sur les droits de la personne, L.R.C.1985, c.H-6, art.41, la Loi sur la protection des fonctionnaires divulgateurs d'actes répréhensibles, L.C.2005, c.46, art.24 et la Loi fédérale sur la responsabilité, L.C.2006, c.9, art.52 renferment toutes des articles semblables.

Retour à la référence de la note de bas de page 5

Note de bas de page 6

Select Special PIPA Review Committee Final Report, Recommendation32 http://www.pipareview.assembly.ab.ca/report/finalpipawReport111407.pdf (en anglais seulement).

Retour à la référence de la note de bas de page 6

Date de modification :: 2008-01-15

Sélection de la langue

Recherche et menus

Recherche