Sélection de la langue

Recherche

Intégrer la protection de la vie privée à l'administration de la retraite et des avantages sociaux 

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Conférence régionale de l'Ontario pour l'année 2002 de l'Institut canadien de la retraite et des avantages sociaux

Le 22 octobre 2002
London, Ontario

Julien Delisle
Directeur exécutif

(Le texte prononcé fait foi)


Le domaine de la vie privée est ramifié et l'enjeu est complexe. Ce que j'espère donc réaliser aujourd'hui est de définir pour vous la vie privée, d'expliquer pourquoi la vie privée est différente de la confidentialité et de la sécurité, et vous donner un bref aperçu de la nouvelle Loi sur la protection des renseignements personnels et les documents électroniques, la LPRPDE, ainsi que de ses incidences sur l'administration des régimes de retraite et d'avantages sociaux.

Bon nombre d'entre vous connaissez déjà la LPRPDE. Ceux qui ne la connaissent pas encore la connaîtront bientôt. Au cours des prochaines années, cette loi ou une loi provinciale essentiellement similaire s'appliquera à toutes les activités commerciales au Canada. Même si la plupart des organisations que vous représentez ne sont peut-être pas touchées, celles au nom desquelles vous traitez des renseignements personnels le sont ou le seront. Leurs obligations d'utiliser ces renseignements en conformité avec la Loi sont aussi importantes pour vous que pour vos clients. En bref, la protection de la vie privée sera de plus en plus un élément du cadre commercial. Chaque intervenant de ce secteur devra avoir une connaissance et une compréhension élevées de la notion de vie privée.

Ainsi, qu'est-ce que la vie privée ?

Il n'est pas facile de la définir, bien que la plupart des gens aient une idée de ce qu'elle est.

La définition la mieux connue date de plus d'un siècle, c'est celle des juristes américains Samuel Warren et Louis Brandeis. Ceux-ci ont défini la vie privée comme « le droit d'être laissé tranquille », une définition qui est facile à comprendre, mais qui n'intègre pas très bien la complexité moderne de la vie privée et ce qui la menace.

Bien entendu, la vie privée concerne le fait d'être laissé tranquille, d'être libre d'interférences et exempt de surveillance.

Mais les menaces modernes contre la vie privée sont subtiles. Sans nuire à notre volonté d'être laissé tranquille, une organisation peut compiler et manipuler des renseignements personnels à notre sujet et se servir de ces renseignements à des fins auxquelles nous n'avons pas consenti ou dont nous ne sommes pas pleinement au courant ou que nous ne comprenons pas.

C'est pourquoi le commissaire à la vie privée du Canada, George Radwanski, définit la vie privée comme le droit de contrôler l'accès à sa personne et aux renseignements qui nous concernent. Je pense que cette définition convient mieux aux défis auxquels nous faisons face dans le monde d'aujourd'hui.

Quel que soit ce qu'ils entendent par elle, les gens reconnaissent qu'il y a quelque chose de fondamentalement important au sujet de la vie privée. 1984 de George Orwell a marqué la culture populaire et le vocabulaire à cause de son expression d'un monde sans vie privée. Les gens réagissent viscéralement à cela, ils ressentent qu'il ne peut y avoir de réelle liberté sans vie privée, que la vie privée est le droit d'où découlent toutes les libertés – la liberté d'expression, la liberté de conscience, la liberté d'association, la liberté de choix.

Le droit à la vie privée est souvent inscrit dans les constitutions nationales comme un droit inviolable. Il est sous-jacent à l'interdiction de perquisitions et saisies déraisonnables de la Charte canadienne des droits et libertés. En interprétant cette interdiction, Monsieur le juge La Forest, ex-juge en chef de la Cour suprême du Canada, a décrit la vie privée comme « étant au coeur de la liberté dans un État moderne ».

Dire que la vie privée est un droit fondamental ne signifie évidemment pas qu'elle est absolue. La vie privée existe dans un équilibre avec d'autres droits et obligations.

Mais je veux souligner qu'il n'est pas question d'équilibrer la vie privée des personnes en regard des intérêts de la société.

La vie privée n'est pas seulement un droit individuel, c'est aussi un bien social et public. Notre société dans son ensemble a intérêt à sa préservation. Nous ne pouvons pas rester une société libre, ouverte et démocratique, à moins que ne soit respecté le droit à la vie privée.

Autrement dit, les intérêts de la société incluent la vie privée des personnes. Et lorsque celle-ci est perdue, la société est aussi perdante.

Je voudrais maintenant préciser en quoi la vie privée diffère de la sécurité et de la confidentialité, parce que, malheureusement, ces termes sont souvent utilisés de façon interchangeable. Ils représentent en fait trois questions séparées et distinctes.

La vie privée est notre droit fondamental de contrôler la collecte, l'utilisation et la communication de renseignements qui nous concernent.

La confidentialité est l'obligation d'un gardien de protéger des renseignements personnels sous sa garde, de maintenir le caractère secret des renseignements et de ne pas en faire un mauvais usage ni de les communiquer de manière indue.

La sécurité est le processus qui consiste à évaluer les menaces et les risques pesant sur des renseignements et à prendre des mesures pour les protéger.

Ainsi, ces distinctions sont frappantes : la vie privée est un droit fondamental, la confidentialité est l'obligation de protéger des renseignements et la sécurité est le processus de protection.

C'est la vie privée qui entraîne l'obligation de confidentialité et la responsabilité de la sécurité. Il faut s'occuper de la vie privée avant de pouvoir traiter de la confidentialité et de la sécurité. Et si la vie privée n'est pas respectée, assurer la confidentialité et la sécurité ne suffit pas. Si des renseignements concernant une personne sont recueillis, utilisés ou divulgués à son insu ou sans son consentement, sa vie privée a été violée. Assurer la confidentialité et la sécurité de ses renseignements après le fait n'y change rien.

Pour illustrer les différences entre la vie privée, la confidentialité et la sécurité, on peut prendre le cas du long fichier de DRHC. Le ministère du Développement des ressources humaines (DRHC), qui est le plus important ministère au Canada, avait élaboré un fichier de données longitudinales sur la population active pour des fins de recherche, d'évaluation et d'analyse en vue d'appuyer les programmes du Ministère. Ce fichier contenait des enregistrements sur plus de 30 millions de personnes, extraits de fichiers internes et externes largement distincts, comme les enregistrements sur le bien-être et l'impôt sur le revenu. Le profil de toute personne donnée pouvait contenir jusqu'à 2 000 éléments de données.

Cette énorme base de données était relativement invisible pour le public. Lorsque son existence fut rendue publique, plus de 70 000 Canadiens et Canadiennes ont demandé d'avoir accès à leurs renseignements personnels qui y étaient contenus. Par suite du tollé public, la base de données a été démantelée.

La sécurité et la confidentialité de cette base de données étaient irréprochables. DRHC avait en place de stricts protocoles pour accéder à la base de données — son accès était strictement limité à un nombre très restreint de fonctionnaires et de chercheurs — et aucune information de la base de données n'a jamais été divulguée de manière impropre.

Néanmoins, les Canadiens et Canadiennes se préoccupaient de ce que leur vie privée avait été violée. Ils se préoccupaient du vaste recueil de renseignements personnels sans qu'un but particulier ne soit défini. Ils étaient préoccupés par le fait que les renseignements n'avaient jamais été supprimés dans la base de données. Ils se préoccupaient du fait que l'État s'était indûment mêlé de leur vie privée et qu'ils avaient été gardés dans l'ignorance à ce sujet.

La technologie de l'information a procuré d'énormes avantages aux entreprises et, de ce fait, à nous tous. En même temps, les solutions de la TI, avec leur facilité à manipuler des masses de renseignements, peuvent comporter des risques considérables pour la vie privée si elles n'intègrent pas dans leur conception la protection de la vie privée. En elle-même, la technologie peut être neutre. Mais, sans règles de route pour régir la manipulation des renseignements personnels, elle devient n'importe quoi, mais rien de neutre.

Une technologie non réglementée devient une menace pour la vie privée, parce qu'elle accroît de manière exponentielle notre capacité de recueillir, d'utiliser et de divulguer un grand nombre de renseignements personnels. Elle nous permet de les transmettre instantanément à de grandes distances. La technologie a supprimé la protection des renseignements personnels, qui était inhérente aux systèmes de classement manuel. Les personnes ont besoin d'une protection supplémentaire de leur vie privée, maintenant que les systèmes de classement manuel, devenus inefficaces, ne servent plus de contrôleurs d'accès de fait à la vie privée.

La crainte justifiée que la technologie éroderait ce droit fondamental de la vie privée a été l'un des moteurs clés qui a poussé à l'élaboration de la Loi sur la protection des renseignements personnels et les documents électroniques, dont la mise en vigueur a débuté le 1er janvier 2001.

Je voudrais maintenant vous donner un bref aperçu de cette loi.

La Loi vise à assurer l'équilibre entre les droits des individus à la vie privée et la nécessité pour les entreprises de recueillir, d'utiliser et de communiquer des renseignements personnels pour des besoins raisonnables et appropriés.

Actuellement, la Loi s'applique à la collecte, à l'utilisation ou à la communication des renseignements personnels dans le cadre des activités commerciales des entreprises de compétence fédérale. Ces entreprises sont, principalement, les banques, les sociétés aériennes, les entreprises de télécommunications, les radiodiffuseurs et les sociétés de transport. La Loi s'applique aussi aux renseignements personnels des employés de ces organisations. Cet aspect est manifestement important pour vous étant donné que plusieurs d'entre vous compteront sans doute certaines de ces organisations parmi leurs clients. La Loi porte aussi sur les renseignements personnels détenus par des organisations sous réglementation provinciale lorsque ces renseignements sont vendus, loués ou troqués de part et d'autre des frontières interprovinciales ou internationales.

À partir de janvier 2004, la Loi s'appliquera uniformément partout — à tous les renseignements personnels recueillis, utilisés ou communiqués dans le cadre d'activités commerciales par toutes les organisations du secteur privé, à l'exception d'une circonstance particulière.

Cette circonstance particulière est la suivante :

Dans les provinces qui se seront donné une loi sur la protection des renseignements personnels qui sera « essentiellement similaire » à la LPRPDE, le gouvernement fédéral pourra soustraire à l'application de la Loi la totalité ou une partie du secteur privé sous réglementation provinciale dans le cas des activités commerciales accomplies à l'intérieur des limites territoriales de la province. La Loi continuera de s'appliquer aux entreprises fédérales dans toutes les provinces. Elle continuera également de porter sur les renseignements personnels qui sont recueillis, utilisés ou communiqués de part et d'autre des frontières interprovinciales ou internationales.

Il en résultera que, après janvier 2004, toute activité commerciale au Canada sera soumise à la LPRPDE ou à une loi provinciale essentiellement similaire.

La Loi repose sur ce qui est connu, dans le secteur de la vie privée, comme un code de principes justes d'information. Ces principes justes d'information consistent en règles pour réglementer la collecte, l'utilisation et la communication de renseignements personnels et pour donner aux personnes un accès aux renseignements personnels détenus par d'autres.

Les renseignements personnels sont tous les renseignements concernant une personne identifiable. Les organisations incluent des associations, des partenariats, des personnes et des syndicats. Les entreprises traditionnelles et le commerce électronique sont couverts par la Loi. L'expression « activité commerciale » inclut la vente, le troc ou la location de listes de donateurs, de membres ou d'autres listes de souscripteurs.

La Loi ne couvre pas toutes les collectes de renseignements personnels. Par exemple, elle n'inclut pas les données personnelles recueillies strictement à des fins personnelles (comme votre liste personnelle de cartes de souhaits) ou dans des buts journalistiques, artistiques ou littéraires ou pour une activité non commerciale.

Le coeur de la Loi est le Code type de l'Association canadienne de normalisation, qui est intégré dans l'annexe de la Loi. Le code est un consensus élaboré par un partenariat d'entreprises et le gouvernement. Il a été conçu pour donner aux organisations les renseignements personnels dont elles ont besoin dans des buts légitimes, tout en protégeant les droits et les intérêts des personnes. Le code s'appuie sur 10 principes qui définissent normalement les responsabilités d'une organisation.

Ces principes sont les suivants.

Responsabilité

Une organisation est responsable des renseignements personnels sous son contrôle et elle désignera des personnes qui sont responsables de la conformité de l'organisation avec les principes qui suivent.

Identification des buts

L'organisation doit identifier les buts pour lesquels elle recueille des renseignements personnels au moment de la collecte ou avant celle-ci.

Consentement

Une personne doit être au courant de la collecte, de l'utilisation et de la communication des renseignements personnels et donner son accord, sauf si c'est inopportun.

Limite de la collecte

L'organisation doit limiter sa collecte de renseignements personnels à ceux qui sont nécessaires pour les buts identifiés, et elle doit le faire par des moyens justes et licites.

Limite de l'utilisation, de la communication et de la conservation

Les organisations ne doivent pas utiliser ou communiquer des renseignements personnels pour des buts autres que ceux pour lesquels ils ont été recueillis, sauf avec le consentement de la personne ou selon ce que demande une loi. Et elles ne doivent conserver les renseignements personnels que pendant le temps nécessaire pour réaliser ces buts.

Exactitude

Les renseignements personnels doivent être aussi exacts, complets et à jour que nécessaire pour les buts pour lesquels ils sont utilisés.

Protections

Les organisations doivent protéger les renseignements personnels par des protections assurant une sécurité proportionnée à la sensibilité des renseignements.

Ouverture

Une organisation doit mettre facilement à la disposition des personnes des renseignements particuliers au sujet de ses politiques et pratiques concernant la gestion des renseignements personnels.

Accès individuel

À sa demande, il faut informer une personne de l'existence, des utilisations et des divulgations de ses renseignements personnels et lui donner accès à ces renseignements. Une personne doit pouvoir contester l'exactitude et la complétude des renseignements et les faire corriger, le cas échéant.

Contestation de la conformité

Une personne doit pouvoir contester la conformité d'une organisation aux principes auprès de la personne désignée comme responsable de la conformité de l'organisation.

Bien entendu, pour se conformer à ces principes, une organisation doit effectuer un travail interne. Elle doit examiner et analyser la façon dont elle mène ses affaires pour déterminer :

Les renseignements personnels qu'elle recueille;

La raison de le faire;

La façon de le faire;

Ce que l'on en fait;

L'endroit où on les garde;

Le moment où ils sont utilisés ou éliminés;

Les bénéficiaires des renseignements.

Nombre d'organisations peuvent avoir la surprise de découvrir qu'elles ne connaissent réellement pas les renseignements personnels qu'elles recueillent, la façon dont elles les utilisent ou les contrôles de la qualité et les protections de sécurité, s'il y en a, dont elles disposent. Une leçon apprise dans les premiers jours de la Loi sur la protection des renseignements personnels fédérale a été que certains organismes gouvernementaux recueillaient des quantités excessives de renseignements personnels sans raison valable et à un coût inutile. Les lois de protection de la vie privée visent à éliminer la pratique de tout obtenir, tout de suite, et de penser plus tard à en faire l'utilisation. C'est ce dont sont faites les fiches descriptives et c'est le contraire d'une bonne pratique de la vie privée.

Essentiellement, la Loi demande aux organisations d'établir des relations ouvertes et transparentes avec leurs clients. Ce ne peut être qu'une bonne chose pour les affaires. Les exceptions à cette règle générale devraient être limitées et particulières.

Je sais que plusieurs d'entre vous sont préoccupés par les incidences de la Loi sur les rapports avec leurs employés. Tout d'abord, la Loi s'applique uniquement aux entreprises de compétence fédérale. Son élargissement, en 2004, aux pratiques touchant les renseignements personnels dans les entreprises privées sous réglementation provinciale portera uniquement sur les activités commerciales, et non sur l'emploi.

Cela dit, je crois que toute organisation du secteur privé devrait se montrer tout aussi scrupuleuse en ce qui concerne la collecte, l'utilisation et la communication des renseignements personnels en ce qui concerne ses employés qu'elle ne l'est dans le cas de ses clients. Si vous êtes soumis à la réglementation provinciale, la loi provinciale sur la protection de la vie privée s'appliquera très probablement à l'emploi. Celle du Québec le fait déjà et le projet de loi de l'Ontario porte également sur l'emploi. Les autres provinces emboîteront très probablement le pas.

Je vous ai parlé des obligations qu'impose la Loi aux organisations. Maintenant, que se passe-t-il si les choses vont mal, ce qui doit immanquablement se produire ?

Toute personne qui n'est pas satisfaite des méthodes de traitement des renseignements d'une organisation ou est mécontente des résultats d'une demande d'accès, peut se plaindre auprès de l'agent désigné de l'organisation. Ce devrait être un responsable d'un niveau assez élevé pour avoir la confiance de l'organisation et qui a assez de poids pour faire des modifications, au besoin.

Cette première étape est une partie importante du mécanisme, car elle place le poids de traiter avec des clients insatisfaits là où il devrait être — sur l'organisation. Le règlement de différend est une bonne expérience d'apprentissage. Il peut demander au personnel d'examiner en détail des procédures qu'il n'a jamais mises en question et, souvent, de les changer lorsqu'elles ne réussissent pas l'examen.

L'étape suivante du processus, si le demandeur n'est toujours pas satisfait, consiste à se plaindre auprès du commissaire à la protection de la vie privée. Le commissaire doit faire une enquête pour toutes les plaintes. Cependant, il peut décider de ne pas émettre un rapport officiel s'il conclut que le plaignant devrait d'abord utiliser d'autres mesures correctrices ou une autre loi ou si les circonstances sont simplement trop anciennes pour faire enquête ou si la plainte est sans objet, vexatoire ou faite de mauvaise foi. Le commissaire peut aussi déposer sa propre plainte, si les preuves le justifient.

Le commissaire a de larges pouvoirs d'enquête, dont assigner des témoins, contraindre à donner des preuves et entrer dans des locaux. En pratique, il n'a jamais eu besoin de se montrer aussi ferme. L'aspect le plus essentiel du rôle du commissaire est d'être un ombudsman. Et comme tout ombudsman, il met l'accent sur la découverte des faits et la résolution du problème — en obtenant des solutions raisonnables par des personnes raisonnables. Le Commissariat n'est pas un lieu de confrontation ou d'accusation.

Une fois que le commissaire émet un rapport officiel, le plaignant a le droit d'obtenir un examen par un tribunal fédéral. Le commissaire ne peut pas ordonner aux organisations de se conformer à la loi. Il tente simplement une médiation et une conciliation.

Si le tribunal en convient, il effectue un examen de novo, ce qui veut dire qu'il examine la légalité des mesures de l'organisation, non de l'enquête du commissaire. Si le tribunal conclut qu'une organisation a enfreint la loi, il peut ordonner au contrevenant de changer ses pratiques et de publier des avis au sujet de ces changements. Le tribunal peut aussi accorder des dommages-intérêts, dont des dommages-intérêts pour humiliation.

Pour que les entreprises et les organisations se conforment à la LPRPDE, elles doivent insérer la protection de la vie privée dès le début de leur plan d'activité. Une façon de le faire est d'utiliser une évaluation des incidences sur la vie privée. Elle permet l'examen de tout système ou de toute initiative que des organisations envisagent de développer, en vue de prévoir ses répercussions sur la vie privée, d'évaluer sa conformité avec des mesures législatives et des principes ainsi que de déterminer ce qui est nécessaire pour résoudre tout problème éventuel.

Les évaluations des incidences sur la vie privée permettent aux organisations de prévoir les répercussions d'une proposition sur la vie privée, d'évaluer sa conformité avec les lois et les principes concernant la vie privée et de déterminer ce qui est nécessaire pour surmonter des effets indésirables. Elles aident à éviter des coûts, une publicité négative et la perte de crédibilité et de la confiance du public, qui pourraient découler d'une proposition qui porte atteinte à la vie privée.

M. Radwanski, notre commissaire à la vie privée, défend énergiquement l'évaluation des facteurs relatifs à la vie privée (ÉFVP). Depuis son entrée en fonction, en septembre 2000, il a encouragé le gouvernement du Canada à mettre en oeuvre une politique en cette matière. Je suis heureux de signaler que l'honorable Lucienne Robillard, présidente du Conseil du Trésor, a annoncé, le 24 avril dernier, que le gouvernement du Canada était en voie de mettre en oeuvre une politique d'ÉFVP complète qui s'appliquera à tous les ministères et organismes fédéraux, ce qui fait du Canada un chef de file mondial en matière d'ÉFVP.

Pour conclure :

La LPRPDE introduit une nouvelle manière d'organiser les choses au Canada. Cependant, ce n'est pas une façon absolument nouvelle de le faire, par comparaison avec d'autres pays de l'Ouest, loin de là. La Loi permet simplement au Canada de se mettre en harmonie avec le reste du monde occidental, qui a reconnu depuis longtemps l'importance d'établir de justes pratiques concernant l'information, dans les secteurs public et privé.

Il y a eu et il continuera d'y avoir des anicroches à mesure que les organisations s'adapteront à la LPRPDE et apprendront à y conformer leurs pratiques. Le Commissariat à la protection de la vie privée n'a pas l'intention d'intervenir et de demander une conformité immédiate et parfaite avec la Loi. La Loi est un moyen d'encourager le respect d'un droit humain fondamental, non un outil d'oppression.

Nous voulons nous assurer que les organisations ont accès aux renseignements personnels dont elles ont légitimement besoin pour exercer leurs activités.

En même temps, l'abandon de la vie privée ne doit pas devenir le prix qu'il faut payer pour vivre dans une société démocratique moderne. Les règles de pratique justes en matière d'information et les lois comme la LPRPDE portent fondamentalement sur le respect que nous avons tous et que nous nous devons les uns à l'égard des autres.

Signaler un problème ou une erreur sur cette page
Erreur 1: Aucune sélection n’a été faite. Vous devez choisir au moins une réponse.
Veuillez cocher toutes les réponses pertinentes (obligatoire) :

Remarque

Date de modification :