Bulletin d’interprétation : Accès aux renseignements personnels

L’un des principaux rôles du commissaire consiste à enquêter sur des plaintes en matière de protection de la vie privée contre des organisations et à tenter de les résoudre. Bien que ses conclusions sur une question donnée peuvent varier selon les faits propres à chaque cas et la position des parties en cause, au fil du temps, ses conclusions au sujet de certaines questions clés peuvent former des principes généraux pouvant servir d’orientations utiles à la fois aux plaignants et aux organisations.

Afin de résumer les principes généraux qui se sont dégagés des décisions judiciaires et des conclusions du commissaire jusqu’à présent, le Commissariat publie des interprétations de certains concepts clés de la LPRPDE. Ces dernières n’ont pas force exécutoire, mais servent plutôt d’orientation à des fins de conformité à la LPRPDE. Ces interprétations peuvent évoluer et se préciser au fur et à mesure que le commissaire formule d’autres conclusions et que les tribunaux rendent d’autres décisions.

I. Dispositions législatives pertinentes

de la Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, ch. 5 (LPRPDE ou la Loi)

Principe 4.9 : Une organisation doit informer toute personne qui en fait la demande de l’existence de renseignements personnels qui la concernent, de l’usage qui en est fait et du fait qu’ils ont été communiqués à des tiers, et lui permettre de les consulter. Il sera aussi possible de contester l’exactitude et l’intégralité des renseignements et d’y faire apporter les corrections appropriées.

Principe 4.9.1 : Une organisation doit informer la personne qui en fait la demande du fait qu’elle possède des renseignements personnels à son sujet, le cas échéant. Les organisations sont invitées à indiquer la source des renseignements. L’organisation doit permettre à la personne concernée de consulter ces renseignements. Dans le cas de renseignements médicaux sensibles, l’organisation peut préférer que ces renseignements soient communiqués par un médecin. En outre, l’organisation doit informer la personne concernée de l’usage qu’elle fait ou a fait des renseignements et des tiers à qui ils ont été communiqués.

Principe 4.9.2 : Une organisation peut exiger que la personne concernée lui fournisse suffisamment de renseignements pour qu’il lui soit possible de la renseigner sur l’existence, l’utilisation et la communication de renseignements personnels. L’information ainsi fournie doit servir à cette seule fin.

Principe 4.9.3 : L’organisation qui fournit le relevé des tiers à qui elle a communiqué des renseignements personnels au sujet d’une personne devrait être la plus précise possible. S’il lui est impossible de fournir une liste des organisations à qui elle a effectivement communiqué des renseignements au sujet d’une personne, l’organisation doit fournir une liste des organisations à qui elle pourrait avoir communiqué de tels renseignements.

Principe 4.9.4 : Une organisation qui reçoit une demande de communication de renseignements doit répondre dans un délai raisonnable et ne peut exiger, pour ce faire, que des droits minimes. Les renseignements demandés doivent être fournis sous une forme généralement compréhensible. Par exemple, l’organisation qui se sert d’abréviations ou de codes pour l’enregistrement des renseignements doit fournir les explications nécessaires.

Principe 4.9.5 : Lorsqu’une personne démontre que des renseignements personnels sont inexacts ou incomplets, l’organisation doit apporter les modifications nécessaires à ces renseignements. Selon la nature des renseignements qui font l’objet de la contestation, l’organisation doit corriger, supprimer ou ajouter des renseignements. S’il y a lieu, l’information modifiée doit être communiquée à des tiers ayant accès à l’information en question.

Principe 4.9.6 : Lorsqu’une contestation n’est pas réglée à la satisfaction de la personne concernée, l’organisation prend note de l’objet de la contestation. S’il y a lieu, les tierces parties ayant accès à l’information en question doivent être informées du fait que la contestation n’a pas été réglée.

Paragraphe 8(1) : La demande prévue à l’article 4.9 de l’annexe 1 est présentée par écrit.

Paragraphe 8(2) : Sur requête de l’intéressé, l’organisation fournit à celui-ci l’aide dont il a besoin pour préparer sa demande.

Paragraphe 8(3) : L’organisation saisie de la demande doit y donner suite avec la diligence voulue et, en tout état de cause, dans les trente jours suivant sa réception.

Paragraphe 8(4) : Elle peut toutefois proroger le délai visé au paragraphe (3) : a) d’une période maximale de trente jours dans les cas où : (i) l’observation du délai entraverait gravement l’activité de l’organisation, (ii) toute consultation nécessaire pour donner suite à la demande rendrait pratiquement impossible l’observation du délai; b) de la période nécessaire au transfert des renseignements visés sur support de substitution.

Dans l’un ou l’autre cas, l’organisation envoie au demandeur, dans les trente jours suivant la demande, un avis de prorogation l’informant du nouveau délai, des motifs de la prorogation et de son droit de déposer auprès du commissaire une plainte à propos de la prorogation.

Paragraphe 8(5) : Faute de répondre dans le délai, l’organisation est réputée avoir refusé d’acquiescer à la demande.

Paragraphe 8(6) : Elle ne peut exiger de droits pour répondre à la demande que si, à la fois, elle informe le demandeur du montant approximatif de ceux-ci et celui-ci l’avise qu’il ne retire pas sa demande.

Paragraphe 8(7) : L’organisation qui refuse, dans le délai prévu, d’acquiescer à la demande notifie par écrit au demandeur son refus motivé et l’informe des recours que lui accorde la [partie 1 de la LPRPDE].

Paragraphe 8(8) : Malgré l’article 4.5 de l’annexe 1, l’organisation qui détient un renseignement faisant l’objet d’une demande doit le conserver le temps nécessaire pour permettre au demandeur d’épuiser tous les recours qu’il a en vertu de la [partie 1 de la LPRPDE].

Paragraphe 9(1)^{Note de bas de page 1} : Malgré l’article 4.9 de l’annexe 1, l’organisation ne peut communiquer de renseignements à l’intéressé dans le cas où cette communication révélerait vraisemblablement un renseignement personnel sur un tiers. Toutefois, si ce dernier renseignement peut être retranché du document en cause, l’organisation est tenue de le retrancher puis de communiquer à l’intéressé le renseignement le concernant.

Paragraphe 9(3) : Malgré la note afférente à l’article 4.9 de l’annexe 1, l’organisation n’est pas tenue de communiquer à l’intéressé des renseignements personnels dans les cas suivants seulement : a) les renseignements sont protégés par le secret professionnel de l’avocat ou du notaire ou par le privilège relatif au litige; b) la communication révélerait des renseignements commerciaux confidentiels; c) elle risquerait vraisemblablement de nuire à la vie ou la sécurité d’un autre individu; c.1) les renseignements ont été recueillis au titre de l’alinéa 7(1)b); d) les renseignements ont été fournis uniquement à l’occasion d’un règlement officiel des différends; e) les renseignements ont été créés en vue de faire une divulgation au titre de la Loi sur la protection des fonctionnaires divulgateurs d’actes répréhensibles ou dans le cadre d’une enquête menée sur une divulgation en vertu de cette loi.

Toutefois, dans les cas visés aux alinéas b) ou c), si les renseignements commerciaux confidentiels ou les renseignements dont la communication risquerait vraisemblablement de nuire à la vie ou la sécurité d’un autre individu peuvent être retranchés du document en cause, l’organisation est tenue de faire la communication en retranchant ces renseignements.

Paragraphe 9(5) : Si elle décide de ne pas communiquer les renseignements dans le cas visé à l’alinéa (3)c.1), l’organisation en avise par écrit le commissaire et lui fournit les renseignements qu’il peut préciser.

II. Application par les tribunaux et le Commissariat dans divers contextes

La question de savoir si une organisation satisfait aux obligations que la Loi lui impose en matière d’accès dépend des faits de chaque enquête relative à une plainte. Les exemples suivants illustrent comment le principe d’accès a été interprété et appliqué par les tribunaux et le Commissariat dans différents contextes.

Politiques, pratiques et procédures

• Les organisations devraient établir une procédure assurant le traitement en bonne et due forme des demandes d’accès aux renseignements personnels.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2007-377 – De mauvaises pratiques en matière de protection des renseignements personnels d’un cabinet d’avocats causent la perte de renseignements personnels; une demande d’accès refusée
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2007-367 – Importance mise sur le besoin d’établir des procédures pour le traitement de l’accès aux renseignements personnels
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2014-016 – Sobeys refuse de répondre aux demandes d’accès à des renseignements personnels d’un client et ne participe pas à l’enquête du Commissariat qui s’ensuit
• Les organisations devraient avoir une procédure de demande d’accès aux renseignements personnels qui soit claire et à laquelle adhère le personnel traitant les demandes.
  • Rapport de conclusions en vertu de la LPRPDE n^o 2011-002 – Compagnie aérienne doit veiller à ce que ses politiques soient conformes aux lois canadiennes sur la protection des renseignements personnels
• Les organisations doivent bien former leur personnel à la façon de traiter adéquatement les demandes d’accès aux renseignements personnels et leur apprendre les obligations juridiques de l’organisation à cet égard.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2009-014 – La détection de la fraude n’est pas un motif acceptable pour recueillir des numéros de permis de conduire aux fins d’une adhésion à un magasin

Droit d’accès

• La LPRPDE ne confère aux personnes aucun droit d’accès à aucun document. Elle permet plutôt aux personnes d’être informées de l’existence, de l’utilisation et de la communication de leurs renseignements personnels. (Fahmy c. Banque de Montréal, 2016 CF 479)
• Pour répondre à une demande d’accès à des renseignements personnels, une organisation n’est tenue de chercher et de fournir que les documents se rattachant à ses activités, non ce que des employés se sont envoyé pour des raisons personnelles. (Johnson c. Bell Canada, 2008 CF 1086)
• Les notes manuscrites prises par un médecin pendant un examen médical indépendant réalisé à la demande d’un assureur peuvent faire l’objet d’une demande d’accès. (Wyndowe c. Rousseau, 2008 CAF 39)
• Les organisations ne sont pas tenues de donner accès à des documents ne renfermant pas de renseignements personnels concernant le demandeur.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2008-390 – Les documents d’évaluation de la propriété résidentielle constituent des renseignements personnels du propriétaire
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2002-090 – Une personne allègue que la banque a refusé de lui communiquer ses renseignements personnels
• En vertu de la LPRPDE, une personne peut avoir accès uniquement à ses renseignements personnels (c.-à-d. seulement les renseignements « la concernant » aux termes de la Loi).
  • Rapport des conclusions en vertu de la LPRPDE n^o 2013-005 – En vertu de la LPRPDE, l’accès d’un bénéficiaire aux renseignements relatifs à une succession se limite à ses propres renseignements personnels

Responsabilité

• « On ne peut sérieusement donner à entendre qu’une organisation a l’obligation de récupérer des données supprimées ou écrasées s’il n’y a aucune preuve péremptoire montrant que ces données ont bien existé et qu’elles peuvent être récupérées à coût raisonnable. En outre, à mon avis, une tâche aussi colossale ne devrait jamais être imposée, si ce n’est lorsque la récupération des données est vraiment essentielle. » (Johnson c. Bell Canada, 2008 CF 1086)
• Une organisation n’a pas à donner accès à des renseignements personnels qui ne sont pas en sa possession ou sous sa responsabilité.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2005-294 – Allégations portées contre un médecin concernant le refus d’accès à des renseignements personnels et la communication inappropriée de ces renseignements
• Les renseignements personnels traités par des tiers fournisseurs de services sont généralement considérés comme relevant de la responsabilité de la partie ayant requis ces services.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2007-377 – De mauvaises pratiques en matière de protection des renseignements personnels d’un cabinet d’avocats causent la perte de renseignements personnels; une demande d’accès refusée

Recherche raisonnable

• L’organisation qui reçoit une vaste demande d’accès à des renseignements personnels a deux options : 1) soit demander à l’auteur de la demande s’il peut cibler celle-ci davantage, auquel cas cet auteur a l’obligation de coopérer en vue de délimiter sa demande, 2) soit procéder à une recherche raisonnable de renseignements qui, selon son estimation raisonnable, répond à la demande d’accès. Dans ce dernier cas, en l’absence d’autres éléments de preuve, elle n’a pas à présumer de l’existence d’une raison de rechercher des messages autres que ceux qui, selon son estimation raisonnable, sont recueillis, utilisés ou communiqués dans le cadre de ses activités. (Johnson c. Bell Canada, 2008 CF 1086)
• Lorsqu’une organisation a effectué une recherche raisonnable en réponse à une demande d’accès et que le demandeur soutient qu’il existe d’autres renseignements qui n’ont pas été produits, il incombe à ce dernier d’établir, au moins prima facie, que la recherche n’a pas été exhaustive. (Johnson c. Bell Canada, 2008 CF 1086)
• En répondant à une demande d’accès, une organisation doit chercher partout où peuvent se trouver des renseignements personnels, et non seulement dans les endroits où se trouvent habituellement de tels renseignements.
  • Rapport de conclusions en vertu de la LPRPDE n^o 2009-023 – Courriel obtenu dans le cadre d’une plainte liée à la réparation d’un véhicule utilisé sans consentement à des fins de marketing

Répondre à des demandes d’accès

• La personne qui demande accès à tous les renseignements personnels détenus à son sujet devrait recevoir tous les renseignements que l’organisation peut fournir. Si l’organisation les possède et qu’il n’existe aucun motif de refus d’accès, elle devrait donner accès à tous les renseignements se rapportant à la demande, même s’ils n’y sont pas expressément mentionnés.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2005-291 – Une agence de recouvrement donne une interprétation étroite d’une demande d’accès à des renseignements personnels
• Lorsqu’une organisation répond à une demande d’accès à des renseignements personnels, elle devrait indiquer où elle a cherché les renseignements du demandeur et quel type de renseignements elle possède. Les organisations devraient se montrer disposées à fournir des détails au sujet des sources de renseignements et des personnes auxquelles ils ont été communiqués.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2007-370 – Un transporteur élargit son interprétation des renseignements personnels et améliore le traitement de ses demandes d’accès aux renseignements personnels
• Quand elle reçoit une demande d’accès à des renseignements personnels, une organisation doit y répondre de façon sérieuse, même si ce n’est que pour mentionner qu’elle a déjà fourni à la personne tous ses renseignements ou pour indiquer qu’elle ne dispose d’aucun renseignement répondant à la demande.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2010-005 – Une organisation communique les renseignements personnels d’un client de façon inappropriée
  • Rapport des conclusions en vertu de la LPRPDE n^o 2013-005 – En vertu de la LPRPDE, l’accès d’un bénéficiaire aux renseignements relatifs à une succession se limite à ses propres renseignements personnels
• Une personne devrait être informée lorsque des renseignements personnels ont été détruits conformément à la politique de conservation d’une organisation, si cela découle d’une demande d’accès aux renseignements personnels.
  • Exemple de plainte réglée en cours d’enquête n^o 2016-001 – Plainte portant sur une demande d’accès réglée puisque les enregistrements audio avaient été supprimés conformément à la politique de conservation
• Une organisation doit, dans les délais prescrits par la LPRPDE, informer le demandeur d’accès par écrit du refus de sa demande, en fournir les motifs et l’informer des recours prévus par la LPRPDE.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2003-216 – Un aéroport est accusé de ne pas avoir communiqué tous les renseignements personnels demandés par une employée et de ne pas avoir conservé d’autres renseignements personnels
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2003-149 – Un particulier se voit refuser l’accès à des renseignements personnels
  • Rapport de conclusions d’enquête en vertu de la LPRPDE n^o 2017-008 – Jet Airways invoque la possibilité d’une poursuite pour justifier son refus de communiquer des renseignements personnels
• Lorsqu’une demande d’accès porte sur des renseignements médicaux sensibles, l’organisation peut les rendre accessibles par l’intermédiaire d’un médecin.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2006-341 – Les frais demandés et le rôle du médecin praticien sont à l’origine d’une plainte concernant le refus d’accès
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2005-322 – La communication de renseignements médicaux par l’entremise d’un médecin est contestée
• Une organisation ne peut refuser de donner accès à des renseignements personnels sous prétexte que ces renseignements peuvent être obtenus par un autre moyen, comme une poursuite judiciaire.
  • Rapport de conclusions en vertu de la LPRPDE n^o 2014-017 – Une agence de recouvrement ne peut refuser l’accès à des renseignements personnels sous prétexte qu’ils seront fournis dans le cadre d’une poursuite judiciaire

Formalités

• La demande d’accès à des renseignements personnels doit être présentée par écrit et préciser les renseignements demandés. (Nammo c. TransUnion of Canada Inc., 2010 CF 1284)
• Les organisations peuvent solliciter la fourniture de plus amples renseignements, comme une pièce d’identité, afin de traiter des demandes d’accès à des renseignements personnels.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2006-334 – Une banque exige une pièce d’identité avant de répondre à une demande d’accès à des renseignements personnels
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2006-324 – Un consommateur se plaint de devoir fournir des pièces d’identité afin d’obtenir son rapport de solvabilité
  • Sommaire de l’examen auquel on a mis fin n^o 2014-002 – La demande d’information supplémentaire émanant de la banque constitue une réponse équitable et raisonnable à une demande d’accès
• Il n’y a aucune obligation pour les demandeurs de préciser dans une demande d’accès aux renseignements personnels qu’ils font leur demande en vertu de la LPRPDE.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2003-222 – Une banque dépasse les délais prévus pour répondre à une demande d’accès
• Les renseignements demandés doivent être fournis sous une forme généralement compréhensible. Par exemple, si l’organisation emploie des abréviations ou des codes, elle doit les expliquer.
  • Rapport de conclusions en vertu de la LPRPDE n^o 2009-023 – Courriel obtenu dans le cadre d’une plainte liée à la réparation d’un véhicule utilisé sans consentement à des fins de marketing
• La LPRPDE ne garantit pas que les personnes puissent avoir accès à leurs renseignements personnels sous une forme particulière (c.-à-d. enregistrements audio contre transcriptions) ou que des copies des renseignements doivent être fournies dans tous les cas – la LPRPDE précise seulement que l’accès doit être accordé au demandeur.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2008-391 – Les entreprises ne doivent pas imposer de frais fixes pour le traitement des demandes d’accès
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2006-328 – Une société d’entreposage de dossiers médicaux revoit sa politique d’accès
  • Sommaire de l’examen auquel on a mis fin n^o 2013-003 – La banque satisfait à son obligation de donner accès aux renseignements personnels en permettant à un client d’écouter des enregistrements dans une succursale
• Le principe 4.9.4 oblige clairement l’organisation à expliquer au demandeur les renseignements en termes compréhensibles, et rien dans la LPRPDE n’autorise une organisation à diriger à cette fin le demandeur vers une autre organisation.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2002-049 – Un demandeur de crédit accuse une banque d’avoir refusé de lui communiquer des renseignements sur son crédit

Délai

• Pour s’acquitter des obligations imposées par la LPRPDE, les organisations doivent répondre par écrit aux demandes d’accès à des renseignements personnels, dans les trente jours civils suivant la demande.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2004-272 – Une banque excède le délai prévu pour répondre à une demande d’accès et ne peut transmettre l’ensemble des documents demandés
• Le délai de trente jours commence à courir à compter de la réception d’une demande d’accès aux renseignements personnels, jugée complète par l’organisation.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2006-334 – Une banque exige une pièce d’identité avant de répondre à une demande d’accès à des renseignements personnels
• Lorsqu’elle reçoit la demande d’une personne, l’organisation devrait déterminer le plus rapidement possible si elle est en mesure d’y répondre dans le délai initial prévu par la Loi. Si elle estime qu’elle ne dispose pas de suffisamment de temps et demande une prorogation, l’organisation doit aviser le plaignant par écrit dans les 30 jours suivant la demande d’accès, afin de l’informer du nouveau délai, des motifs de la prorogation et de son droit de déposer auprès du commissaire une plainte à propos de la prorogation.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2010-003 – Une mauvaise gestion des demandes d’accès d’un client entraîne la suppression de ses renseignements personnels sans raison valable
• Le commissaire a conclu qu’une réponse partielle à une demande d’accès, donnée dans les 30 jours, n’est pas suffisante pour respecter le délai de 30 jours établi par la LPRPDE.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2003-229 – Une banque refuse à une personne l’accès aux renseignements personnels la concernant
• Une prorogation invoquée par une organisation en vertu du sous-alinéa 8(4)a)(ii) de la LPRPDE a été jugée invalide parce qu’aucune consultation n’avait été entreprise pour trouver les renseignements demandés.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2004-266 – Une banque améliore le processus de demande de carte de crédit
• Le fait qu’un membre du personnel de l’organisation ait été en congé de maladie n’excuse pas l’organisation de ne pas avoir respecté les délais en vertu de la LPRPDE. L’organisation est responsable de s’assurer qu’elle dispose en tout temps de mesures appropriées lui permettant de se conformer à la Loi.
  • Rapport de conclusions d’enquête en vertu de la LPRPDE n^o 2017-008 – Jet Airways invoque la possibilité d’une poursuite pour justifier son refus de communiquer des renseignements personnels
• Même si une organisation estime avoir le droit de refuser une demande d’accès, elle doit néanmoins répondre à la demande dans les délais prévus à l’article 8 et motiver le refus.
  • Rapport de conclusions d’enquête en vertu de la LPRPDE n^o 2017-008 – Jet Airways invoque la possibilité d’une poursuite pour justifier son refus de communiquer des renseignements personnels
• L’organisation qui ne répond pas à une demande d’accès est, conformément au paragraphe 8(5), réputée avoir refusé la demande d’accès.
  • Rapport de conclusions d’enquête en vertu de la LPRPDE n^o 2010-005 – Une organisation communique les renseignements personnels d’un client de façon inappropriée
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2004-285 – Une compagnie refuse à un employé une demande d’accès
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2003-239 – Demande d’accès à l’information acheminée au mauvais endroit
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2003-179 – Une entreprise de camionnage accusée d’avoir refusé une demande d’accès provenant d’un ancien employé
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2003-165 – Une personne se voit refuser l’accès à des renseignements personnels
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2003-253 – Une banque excède le délai prévu pour répondre à une demande d’accès
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2003-221 – Une banque fait défaut de répondre à une demande d’accès dans les délais prévus
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2002-112 – Une personne se voit refuser l'accès à des renseignements personnels

Frais

• Si une organisation veut imposer des frais à un demandeur d’accès, elle doit lui en fournir une estimation et lui donner l’occasion de répondre.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2006-341 – Les frais demandés et le rôle du médecin praticien sont à l’origine d’une plainte concernant le refus d’accès
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2004-283 – Une banque exige des frais pour traiter les demandes de renseignements personnels
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2003-247 – Une femme prétend qu’une banque a refusé de lui communiquer ses renseignements personnels
• Les organisations ne doivent pas utiliser les frais à des fins dissuasives; une organisation ne devrait exiger le paiement de frais que lorsque la demande d’accès est exceptionnelle et ne demander, alors, que des frais minimes.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2006-341 – Les frais demandés et le rôle du médecin praticien sont à l’origine d’une plainte concernant le refus d’accès
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2004-283 – Une banque exige des frais pour traiter les demandes de renseignements personnels
  • Résumé des conclusions de plainte réglée rapidement n^o 2016-01 – Révision d’une demande d’accès aux renseignements personnels pour accommoder le demandeur et l’organisation
• Même si l’organisation informe le plaignant du coût approximatif de traitement de sa demande, il doit s’agir d’un montant minimal. Bien que la LPRPDE ne définisse pas le terme « minimal », il s’en dégage qu’il doit s’agir d’un montant symbolique.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2004-285 – Une compagnie refuse à un employé une demande d’accès
• Il est possible pour une organisation d’exiger des frais de photocopie, mais elle ne peut imposer des frais fixes pouvant avoir un effet dissuasif relativement à la présentation de demandes d’accès.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2008-391 – Les entreprises ne doivent pas imposer de frais fixes pour le traitement des demandes d’accès
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2004-283 – Une banque exige des frais pour traiter les demandes de renseignements personnels
• Il existe des options d’accès moins coûteuses que la fourniture de copies. Bien que des frais raisonnables de photocopie soient acceptables, il est déraisonnable de demander des frais d’entreposage.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2006-354 – Droits d’accès remis en cause

Conservation

• « D’un point de vue pratique et pragmatique, ce que le paragraphe 8(8) de la Loi impose à une organisation, c’est de conserver les renseignements qu’elle a pu repérer en effectuant ses recherches et pouvant s’avérer pertinents pour donner suite à la demande le temps nécessaire pour que l’auteur de celle-ci ait épuisé ses voies d’appel. » (Johnson c. Bell Canada, 2008 CF 1086)
• Dans le cas des renseignements personnels contenus dans une demande d’accès précise, les organisations devraient envisager de retarder et, au besoin, de ne pas appliquer leurs pratiques habituelles de suppression et de conservation jusqu’à ce que la personne ait épuisé ses recours en vertu de la Loi pour avoir accès à ces renseignements.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2010-003 – Une mauvaise gestion des demandes d’accès d’un client entraîne la suppression de ses renseignements personnels sans raison valable

Exceptions

• Les demandes d’accès aux renseignements personnels d’une personne ne sont pas automatiquement approuvées. Toute demande peut être refusée si l’une des exceptions énoncées dans la LPRPDE s’applique.
  • Rapport de conclusions en vertu de la LPRPDE n^o 2009-022 – Un détaillant accepte d’améliorer ses mesures de protection à l’égard de ses enregistrements de vidéosurveillance

9(1) – Renseignements personnels sur un tiers

• Le paragraphe 9(1) de la LPRPDE dispose que l’organisation ne peut communiquer de renseignements à l’intéressé dans le cas où cette communication révélerait vraisemblablement un renseignement personnel sur un tiers. Toutefois, si le renseignement sur le tiers peut être supprimé, il doit être supprimé. (Cote c. Day & Ross Inc., 2015 CF 1283)
• Si un renseignement personnel concernant un tiers peut être retranché du document visé par une demande d’accès, l’organisation est tenue de le retrancher puis de communiquer à l’intéressé les renseignements le concernant.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2005-314 – Une société d’assurance refuse à une personne l’accès à ses renseignements personnels contenus dans une demande de règlement présentée par un tiers
  • Résumé des conclusions de plainte réglée rapidement n^o 2017-002 – Le processus de règlement rapide facilite l’accès à des renseignements personnels détenus par une compagnie d’assurances
• Les personnes ont le droit de connaître les détails concernant l’accès non autorisé à leurs renseignements personnels par les employés d’une organisation. Toutefois, les organisations doivent protéger les renseignements personnels de tierces personnes, par exemple, les mesures disciplinaires prises à l’égard de l’employé concerné.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2016-001 – Une banque communique les détails sur les indiscrétions d’une employée, mais pas sur les mesures disciplinaires, et ce, à juste titre
• Lorsqu’elle envisage d’accorder ou non l’accès aux renseignements personnels d’un demandeur qui pourraient également être considérés comme des renseignements personnels de tiers, une organisation doit tenir compte de l’intérêt privé du demandeur et de celui des tiers ainsi que de l’intérêt public associés à la communication ou la non-communication des renseignements.
  • Rapport des conclusions en vertu de la LPRPDE n^o 2013-004 – Une banque offre à un ancien employé un accès insuffisant à ses renseignements personnels

9(2.1) à (2.4) – Renseignements relatifs aux alinéas 7(3)(c), (c.1), (c.2) ou (d) de la LPRPDE

• La procédure prévue aux paragraphes 9(2.1) à 9(2.4) vise à protéger l’intégrité des enquêtes légitimes. Lorsque l’intéressé demande : a) à être informé de toute communication à une institution gouvernementale en application de certaines dispositions ou de l’existence de renseignements dont dispose l’organisation relativement à cette communication ou b) à consulter cette information, alors l’organisation est tenue de suivre la procédure prévue au paragraphe 9(2.2), notamment de demander à l’institution gouvernementale visée si elle s’oppose, pour certains motifs, à ce qu’elle acquiesce à la demande, lorsque l’organisation a fait une communication à une institution gouvernementale ou à une subdivision d’une telle institution. Dans le cas où l’institution gouvernementale concernée s’y oppose, l’organisation devient assujettie aux obligations prévues au paragraphe 9(2.4), qui comprennent notamment de refuser d’acquiescer à la demande, d’en aviser le Commissariat et de ne communiquer aucun renseignement précisé à l’alinéa 9(2.4) c).
  • Rapport de conclusions d’enquête en vertu de la LPRPDE n^o 2017-009 – Une compagnie aérienne compte sur l’exemption d’accès pour refuser aux voyageurs l’accès à leurs renseignements personnels
• Les organisations se limitent à répondre aux demandes visées au paragraphe 9(2.4) si la demande a trait à une communication qui relève du paragraphe 9(2.1) et que l’institution gouvernementale s’y est opposée. Toutefois, si aucune communication n’a eu lieu, une organisation doit en aviser l’individu à sa demande. De même, si une communication a eu lieu, mais qu’elle n’est pas visée par le paragraphe 9(2.1) ou une autre exemption, l’organisation ne peut alors refuser la demande d’accès.
  • Rapport de conclusions d’enquête en vertu de la LPRPDE n^o 2016-008 ‒ Enquête sur la réponse d’une entreprise de télécommunications à une demande d’accès à l’information présentée par une personne concernant la communication de ses renseignements personnels à des tiers

9(3)a) Renseignements protégés par le secret professionnel de l’avocat/le secret professionnel de l’avocat ou du notaire

• Lorsqu’une organisation invoque le privilège du secret professionnel de l’avocat pour refuser de donner accès, le commissaire à la vie privée peut renvoyer la question à la Cour fédérale à tout moment dans le cadre d’une enquête ou il peut faire état d’une impasse sur ce point dans un rapport de ses conclusions et introduire un recours devant la Cour fédérale. (Canada [Commissaire à la protection de la vie privée] c. Blood Tribe Department of Health, 2008 CSC 44; Commissaire à la protection de la vie privée c. Air Canada, 2010 CF 429)
• Les renseignements auxquels l’accès est refusé en vertu de l’alinéa 9(3)a) peuvent inclure des documents préparés par les avocats de la société relativement à un litige devant une commission des accidents du travail et à un grief présenté par le demandeur d’accès.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2003-147 – Une société ferroviaire retient des renseignements personnels sur un employé
• Aux termes de l’alinéa 9(3)a) de la LPRPDE, une organisation peut refuser de donner accès à des renseignements personnels si ceux-ci sont visés par le privilège relatif au litige. Ce privilège est une composante du secret professionnel de l’avocat, qui protège les documents préparés principalement aux fins d’un litige existant ou raisonnablement prévisible.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2011-003 – Les renseignements personnels recueillis dans le cadre de la réponse d’une entreprise à une réclamation en dommages-intérêts relèvent de la LPRPDE
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2009-018 – Les notes anonymisées d’une psychologue en vue d’un examen par les pairs sont les renseignements personnels d’une patiente
• Une politique générale applicable à tous les documents générés à la suite d’incidents à bord d’un aéronef ne satisfaisait pas, selon le commissaire, au critère du secret professionnel de l’avocat ou du privilège relatif au litige.
  • Rapport de conclusions d’enquête en vertu de la LPRPDE n^o 2017-008 – Jet Airways invoque la possibilité d’une poursuite pour justifier son refus de communiquer des renseignements personnels
• Il vaut mieux que les personnes parties à des litiges civils dont les demandes d’accès à des renseignements personnels ont été refusées à cause du privilège du secret professionnel de l’avocat aient recours à la procédure civile devant les tribunaux civils pour toute question relative à ce privilège. Il est possible, dans de tels cas, de présenter une requête au tribunal pour qu’il statue sur l’applicabilité du privilège.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2010-001 – La commissaire n’est pas tenue de remettre un rapport à une personne désirant avoir accès à des renseignements personnels la concernant protégés par le secret professionnel des avocats
• L’alinéa 9(3)a) a été jugé applicable à l’égard de renseignements refusés se rapportant à des avis demandés ou donnés par le conseiller juridique d’une organisation au sujet de rapports problématiques avec une personne.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2005-309 – Une garderie refuse à un père l’accès à des renseignements personnels qui le concernent

9(3)b) Renseignements commerciaux confidentiels

• Compte tenu de la nature quasi constitutionnelle de la LPRPDE, les tribunaux ne peuvent pas simplement s’en remettre à la qualification générale donnée par une organisation aux renseignements retenus en vertu de l’alinéa 9(3)b) de la Loi relativement aux renseignements commerciaux confidentiels. Il doit y avoir des raisons précises de refuser l’accès à un document particulier. Les critères à respecter pour justifier le refus de communiquer des renseignements en vertu de l’alinéa 9(3)b) de la Loi sont très rigoureux (Bertucci c. Banque Royale du Canada, 2016 CF 332).
• Les « données brutes » sur une personne, c’est-à-dire les renseignements dont la communication ne révélerait pas de pratiques ou de techniques confidentielles ou d’analyses d’une nature commerciale, ne relèvent pas de l’exemption prévue à l’alinéa 9(3)b) de la Loi (Bertucci c. Banque Royale du Canada, 2016 CF 332).
• Les critères à respecter pour justifier le refus de communiquer des renseignements personnels au motif qu’ils révéleraient des renseignements commerciaux confidentiels sont très rigoureux. La communication des renseignements personnels sur demande est la règle et la non-communication de ces renseignements est l’exception.
  • Conclusions en vertu de la LPRPDE n^o 2017-011 – Une institution financière utilise initialement à tort la dérogation relative aux renseignements commerciaux confidentiels pour refuser de communiquer des renseignements personnels
• Des renseignements résultant de l’enquête effectuée par une banque au sujet d’une allégation de fraude en matière de carte de crédit peuvent être considérés comme des renseignements commerciaux confidentiels lorsque leur divulgation pourrait porter un préjudice irréparable aux intérêts commerciaux de l’organisation et que la préservation de la confidentialité constitue un intérêt suffisamment important.
  • Rapport des conclusions en vertu de la LPRPDE n^o 2011-010 – La banque a retranché à juste titre les renseignements concernant l’enquête sur la fraude par carte de crédit
  • Conclusions en vertu de la LPRPDE n^o 2017-011 – Une institution financière utilise initialement à tort la dérogation relative aux renseignements commerciaux confidentiels pour refuser de communiquer des renseignements personnels
• Le modèle interne en fonction duquel une banque attribue des cotes de crédit peut être considéré comme un renseignement commercial confidentiel.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2002-063 – Une banque refuse de communiquer à un client sa cote de crédit interne
• Le commissaire n’a pas retenu l’argument selon lequel les renseignements relatifs à l’indemnisation versée au plaignant et les coûts afférents à sa demande auprès de l’organisme provincial chargé de la sécurité du travail constituaient des renseignements commerciaux confidentiels.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2003-147 – Une société ferroviaire retient des renseignements personnels sur un employé
• Dans une plainte résultant d’une transaction litigieuse entre un client et un commerçant, une institution financière a fourni des raisons non convaincantes et non fondées de refuser l’accès à ses renseignements personnels, qui figuraient dans des formulaires et des questionnaires produits dans le cadre d’un processus de règlement des différends. Le commissaire n’a pu déterminer comment l’institution financière ou le commerçant subirait un préjudice irréparable dans les circonstances.
  • Conclusions en vertu de la LPRPDE n^o 2017-011 – Une institution financière utilise initialement à tort la dérogation relative aux renseignements commerciaux confidentiels pour refuser de communiquer des renseignements personnels

9(3)c.1) Renseignements recueillis en application de l’alinéa 7(1)b)^{Note de bas de page 2}

• Le commissaire a jugé que l’organisation avait à bon droit exercé le pouvoir discrétionnaire de refuser au plaignant, en application de l’alinéa 9(3)c.1), l’accès à des renseignements personnels recueillis à des fins raisonnables dans le cadre d’une enquête sur la violation d’un contrat de travail. La collecte au su et avec le consentement du plaignant aurait pu compromettre l’exactitude des renseignements ou l’accès à ceux-ci.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2002-073 – Une entreprise de télécommunications est priée d’adopter des pratiques uniformes de conservation
• L’organisation qui refuse de communiquer des renseignements personnels en se fondant sur l’alinéa 9(3)c.1) doit donner au commissaire l’avis prévu au paragraphe 9(5) de la LPRPDE.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2002-084 – Une banque invoque une disposition d’exemption pour refuser de communiquer à un ancien employé ses renseignements personnels
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2002-073 – Une entreprise de télécommunications est priée d’adopter des pratiques uniformes de conservation
• L’alinéa 9(3)c.1) s’applique aux renseignements relatifs à l’enquête d’une organisation concernant l’aptitude au travail d’un employé.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2003-147 – Une société ferroviaire retient des renseignements personnels sur un employé

9(3)d) Renseignements fournis à l’occasion d’un règlement officiel des différends

• Afin d’être défini comme un processus de « règlement officiel des différends » conformément à l’alinéa 9(3)d) de la LPRPDE et de servir de motif pour refuser l’accès à des renseignements personnels, l’objectif du processus doit être de régler un différend et le processus en soi doit être officiel. Un processus officiel impose la présence d’un cadre ou d’une structure, légiféré ou accepté par les parties au différend.
  • Rapport de conclusions d’enquête en vertu de la LPRPDE n^o 2016-006 – Le bureau de l’ombudsman interne d’une compagnie d’assurances ne constitue pas un processus de « règlement officiel des différends » en vertu de la LPRPDE
• Un processus officiel de règlement des différends suppose que les parties ont désiré se rencontrer pour négocier un règlement acceptable de part et d’autre, ce qui n’était pas le cas dans une situation où une employée de l’aéroport passible de mesures disciplinaires cherchait à accéder aux documents et aux enregistrements audio relatifs aux plaintes du public déposées contre elle. De l’avis du commissaire, cette exception n’a pas pour objet de protéger les renseignements recueillis au cours d’un processus administratif de règlement de ces plaintes ou griefs. Une telle interprétation serait contraire aux principes de justice naturelle, privant essentiellement les personnes de leur droit fondamental de connaître les allégations faites contre eux et le motif des décisions prises à leur sujet.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2002-037 – La direction d’un aéroport invoque le secret professionnel liant l’avocat à son client pour refuser de communiquer les renseignements d’une employée
• La commissaire a estimé que les notes fournies dans le cadre d’une évaluation médicale visant à permettre à un assureur d’établir l’admissibilité du plaignant à des prestations n’avaient pas été fournies « à l’occasion d’un règlement […] des différends ».
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2005-306 – Un médecin refuse à un patient l’accès à ses renseignements personnels
• Le bureau de l’ombudsman interne d’une compagnie d’assurances ne constitue pas un processus de « règlement officiel des différends » en vertu de la LPRPDE.
  • Rapport de conclusions d’enquête en vertu de la LPRPDE n^o 2016-006 – Le bureau de l’ombudsman interne d’une compagnie d’assurances ne constitue pas un processus de « règlement officiel des différends » en vertu de la LPRPDE
• Un processus de règlement de griefs et d’arbitrage peut être considéré comme un processus de règlement officiel de différends.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2006-330 – La commissaire adjointe tient compte des divers processus de règlement des différends pour refuser une plainte relative à l’accès
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2003-147 – Une société ferroviaire retient des renseignements personnels sur un employé

Corrections

• Informer simplement un tiers que des renseignements ont été modifiés, sans lui transmettre les renseignements modifiés, n’est pas suffisant pour se conformer à l’exigence énoncée à l’article 4.9.5 de l’annexe 1 de la LPRPDE. (Nammo c. TransUnion of Canada Inc., 2010 CF 1284)
• Une personne doit démontrer que les renseignements détenus par une organisation sont inexacts pour que celle-ci soit obligée de les modifier.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2005-293 – La commissaire examine les allégations portées contre une compagnie d’assurances concernant l’accès à des renseignements personnels, ainsi que leur communication inappropriée et le refus d’y apporter des corrections
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2006-359 – Communication de renseignements inexacts par une banque au sujet d’un chèque sans provisions
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2002-070 – Une banque est accusée d’attribuer une réputation de solvabilité erronée
• Les organisations doivent tenir à jour les renseignements personnels de façon à ce qu’ils soient aussi exacts et complets que l’exigent les fins auxquelles ils sont destinés. Les organisations doivent apporter les modifications nécessaires aux renseignements personnels concernant une personne quand celle-ci arrive à démontrer que les renseignements sont inexacts ou incomplets.
  • Rapport des conclusions en vertu de la LPRPDE n^o 2013-008 – Une personne conteste l’exactitude de sa cote de solvabilité en temps réel
  • Rapport des conclusions en vertu de la LPRPDE n^o 2013-010 – À la suite d’un cas où une adolescente a été victime d’usurpation d’identité en ligne, le site de réseautage social Facebook accepte d’aider, au cas par cas, les non-utilisateurs à rétablir leur réputation en ligne
• S’il y a lieu, l’information modifiée doit être communiquée à des tiers ayant accès à l’information en question.
  • Rapport des conclusions en vertu de la LPRPDE n^o 2013-010 – À la suite d’un cas où une adolescente a été victime d’usurpation d’identité en ligne, le site de réseautage social Facebook accepte d’aider, au cas par cas, les non-utilisateurs à rétablir leur réputation en ligne
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2016-010 – Une agence d’évaluation du crédit prend des mesures correctives après avoir omis de tenir à jour des dossiers exacts
• Une organisation a été jugée comme ayant respecté ses obligations en vertu du principe 4.9.6 lorsqu’elle a donné à une personne la possibilité de fournir une déclaration concernant une entrée qu’elle contestait. L’organisation a enregistré la déclaration et l’a jointe au dossier de crédit de la personne, avant de la communiquer à tous les tiers ayant accès à l’information sur le crédit de la personne.
  • Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2002-102 – Une personne s’oppose à la réponse tardive d’une agence relativement à son dossier de crédit

Pour plus de renseignements au sujet de l’accès à des renseignements personnels sous le régime de la LPRPDE, voir la fiche d’information du Commissariat intitulée Consulter vos renseignements personnels et les orientations connexes à l’intention des organisations.