Bulletin d’interprétation : Renseignements sensibles

L’un des principaux rôles du commissaire consiste à enquêter sur des plaintes en matière de protection de la vie privée déposées contre des organisations et à tenter de les résoudre. Bien que ses conclusions sur une question donnée peuvent varier selon les faits propres à chaque cas et la position des parties en cause, au fil du temps, ses conclusions au sujet de certaines questions clés peuvent former des principes généraux pouvant servir d’orientations utiles aux organisations.

Afin de résumer les principes généraux qui se sont dégagés des décisions judiciaires et des conclusions du commissaire jusqu’à présent, le Commissariat publie des interprétations de certains concepts clés de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Ces dernières n’ont pas force exécutoire, mais servent plutôt d’orientation à des fins de conformité à la LPRPDE. Ces interprétations peuvent évoluer et se préciser au fur et à mesure que le commissaire formule d’autres conclusions et que les tribunaux rendent d’autres décisions.

Le Commissariat a également élaboré des Lignes directrices pour l’obtention d’un consentement valable et un Bulletin d’interprétation sur la forme de consentement (en cours de révision) qui traitent aussi de la sensibilité des renseignements.

Dispositions législatives pertinentes

de la Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, ch. 5 (LPRPDE ou la Loi)

Principe 4.3.4 : La forme du consentement que l’organisation cherche à obtenir peut varier selon les circonstances et la nature des renseignements. Pour déterminer la forme que prendra le consentement, les organisations doivent tenir compte de la sensibilité des renseignements. Si certains renseignements sont presque toujours considérés comme sensibles, par exemple les dossiers médicaux et le revenu, tous les renseignements peuvent devenir sensibles suivant le contexte. Par exemple, les nom et adresse des abonnés d’une revue d’information ne seront généralement pas considérés comme des renseignements sensibles. Toutefois, les nom et adresse des abonnés de certains périodiques spécialisés pourront l’être.

Principe 4.7 : Les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.

Principe 4.7.2 : La nature des mesures de sécurité variera en fonction du degré de sensibilité des renseignements personnels recueillis, de la quantité, de la répartition et du format des renseignements personnels ainsi que des méthodes de conservation. Les renseignements plus sensibles devraient être mieux protégés. La notion de sensibilité est présentée à l’article 4.3.4.

Sous-alinéa 7.2(1)a)(ii) : En plus des cas visés aux paragraphes 7(2) et (3), pour l’application de l’article 4.3 de l’annexe 1 et malgré la note afférente, les organisations qui sont parties à une éventuelle transaction commerciale peuvent utiliser et communiquer des renseignements personnels à l’insu de l’intéressé ou sans son consentement si elles ont conclu un accord aux termes duquel l’organisation recevant des renseignements s’est engagée à les protéger au moyen de mesures de sécurité correspondant à leur degré de sensibilité.

Sous-alinéa 7.2(2)a)(ii) : En plus des cas visés aux paragraphes 7(2) et (3), pour l’application de l’article 4.3 de l’annexe 1 et malgré la note afférente, si la transaction commerciale est effectuée, les organisations y étant parties peuvent utiliser et communiquer les renseignements personnels, communiqués en vertu du paragraphe (1), à l’insu de l’intéressé ou sans son consentement dans le cas où elles ont conclu un accord aux termes duquel chacune d’entre elles s’est engagée à les protéger au moyen de mesures de sécurité correspondant à leur degré de sensibilité.

Paragraphe 10.1(8) : Les éléments servant à établir si une atteinte aux mesures de sécurité présente un risque réel de préjudice grave à l’endroit de l’intéressé sont notamment le degré de sensibilité des renseignements personnels en cause, la probabilité que les renseignements aient été mal utilisés ou soient en train ou sur le point de l’être et tout autre élément prévu par règlement.

Application par les tribunaux et le Commissariat dans divers contextes

Même si aux termes de la LPRPDE, tout renseignement personnel peut devenir sensible suivant le contexte, nous avons constaté que certaines catégories de renseignements personnels seront généralement considérées comme sensibles en raison des risques particuliers pour les personnes qui sont associés à la collecte, à l’utilisation ou à la communication de ces catégories de renseignements.

Certaines catégories de renseignements personnels seront généralement considérées comme sensibles et doivent faire l’objet d’une meilleure protection – notamment les renseignements sur la santé, les finances, les origines ethniques et raciales, les opinions politiques, la vie sexuelle ou l’orientation sexuelle et les croyances religieuses ou philosophiques, ainsi que les données génétiques et biométriques.

La question de savoir si des renseignements personnels sont considérés comme « sensibles » au titre de la LPRPDE variera en fonction des faits de chaque cas. Voici des cas où les considérations relatives à la sensibilité des renseignements étaient pertinentes pour l’analyse.

Le contexte est pertinent pour l’évaluation de la sensibilité

• « Le paragraphe 4.3.4 formule le critère de la “sensibilité des renseignements”, mais on apprend plus loin que “tous les renseignements peuvent devenir sensibles suivant le contexte”. Puis le paragraphe 4.3.5 pose que “[d]ans l’obtention du consentement, les attentes raisonnables de la personne sont aussi pertinentes”. Tout cela pour dire que, même si la partie 1 et l’annexe 1 de la Loi ont pour but de protéger le droit à la vie privée, elles visent aussi à faciliter la collecte, l’utilisation et la communication de renseignements personnels par le secteur privé. La Cour doit interpréter cette législation en trouvant le juste milieu entre deux intérêts concurrents. » (Englander c. Telus Communications Inc., 2004 CAF 387, paras 45 et 46)
• Bien qu’il puisse toujours se trouver des circonstances très particulières qui rehaussent le caractère sensible de renseignements personnels autrement non sensibles, notre interprétation de la Loi est qu’elle favorise une approche raisonnable et pragmatique. De plus, conformément à l’objet de la Loi, il convient de parvenir à un juste équilibre entre la protection de la vie privée d’une personne et la nécessité de faciliter l’utilisation de renseignements personnels pour des motifs commerciaux valables.
  • Rapport de conclusions en vertu de la LPRPDE n^o 2012-002 : Une enquête révèle que Facebook n’a pas obtenu le consentement des non membres en vue de l’utilisation de leurs adresses électroniques pour leur proposer des amis
• Une adresse électronique pourrait être considérée comme un renseignement personnel sensible dans certains contextes tout à fait particuliers.
  • Rapport de conclusions en vertu de la LPRPDE n^o 2012-002 : Une enquête révèle que Facebook n’a pas obtenu le consentement des non membres en vue de l’utilisation de leurs adresses électroniques pour leur proposer des amis
• Des renseignements qui pourraient sembler anodins pris isolément dans un autre contexte (p. ex. le nom et l’adresse de courriel) peuvent devenir sensibles lorsqu’ils sont associés à des services qui peuvent révéler les activités et les préférences personnelles de leurs utilisateurs.
  • Rapport de conclusions d'enquête en vertu de la LPRPDE n^o 2016-005 : Enquête conjointe sur Ashley Madison menée par le commissaire à la protection de la vie privée du Canada et le commissaire à la protection de la vie privée/commissaire à l’information par intérim de l’Australie

Les renseignements personnels peuvent être considérés comme sensibles une fois combinés à d’autres renseignements

• Le fait que des renseignements sensibles sont utilisés pour générer des catégories d’intérêts non sensibles ne change rien au fait que les renseignements sous-jacents utilisés sont sensibles. Lorsque des renseignements sensibles sont utilisés pour générer des catégories d’intérêts non sensibles, il faut évaluer à la fois les renseignements sous-jacents et les catégories qui en découlent pour établir la sensibilité des renseignements en question.
  • Rapport de conclusions d'enquête en vertu de la LPRPDE n^o 2015-001 : Résultats de l’enquête sur le Programme de publicité pertinente de Bell lancée par le commissaire
• Les profils créés en combinant plusieurs données (c’est-à-dire les noms des clients, leurs coordonnées, leurs interactions avec une organisation) peuvent présenter un certain degré de sensibilité et celui-ci peut être encore plus élevé en raison de l’environnement de risque connu (dans le présent cas, l’augmentation importante du nombre d’arnaques ciblées de soutien technique) et les préjudices potentiels découlant d’une atteinte.
  • Rapport de conclusions d'enquête en vertu de la LPRPDE n^o 2020-003 : Dell améliore ses mesures de sécurité et de traitement des plaintes à la suite d’atteintes à la vie privée et d’une enquête du Commissariat
• Lorsque des renseignements personnels sont combinés, ils peuvent être exploités par des personnes malveillantes pour usurper les identités des personnes concernées. Les mesures de sécurité mises en place pour protéger les renseignements personnels devraient donc être proportionnellement élevées.
  • Rapport de conclusions d'enquête en vertu de la LPRPDE n^o 2020-005 : Enquête sur la conformité à la LPRPDE de Desjardins suite à l’atteinte aux mesures de sécurité des renseignements personnels entre 2017 et 2019

Les renseignements personnels sur la santé en tant que renseignements sensibles

• La Cour fédérale reconnaît que les renseignements médicaux sont extrêmement sensibles et doivent faire l’objet du plus haut degré de protection. (Townsend c. Financière Sun Life, 2012 CF 550, para 38)
• Les renseignements portant sur le nombre de fois par semaine qu’une personne fréquente un centre de culture physique font partie des renseignements qui sont les moins sensibles et qui peuvent, dans la plupart des cas, être assujettis à un consentement implicite. Cependant, les renseignements sur ce que fait une personne dans un centre de culture physique, le temps qu’elle y demeure, en quoi consiste son programme d’entraînement et sa condition physique constituent des renseignements plus sensibles. (Randall c. Nubody’s Fitness Centres, 2010 CF 681, para 42)
• La diffusion de publicité comportementale en ligne exige un consentement explicite valable pour la collecte et l’utilisation de renseignements sensibles sur l’état de santé de l’utilisateur.
  • Rapport de conclusions d’enquête en vertu de la LPRPDE n^o 2014-001 : L'utilisation par Google de renseignements sensibles sur l'état de santé aux fins de l'affichage de publicités ciblées soulève des préoccupations en matière de vie privée
• Les institutions financières doivent obtenir le consentement adéquat d’un client lorsqu’elles communiquent les renseignements médicaux sensibles de celui-ci à des agences d’évaluation du crédit.
  • Rapport de conclusions d’enquête en vertu de la LPRPDE n^o 2015-017 : Une institution financière communique à une agence d’évaluation du crédit des renseignements sensibles sur la santé d’une personne (paras 26-27)
• Les renseignements personnels sur la santé contenus dans une base de données antidopage sur les athlètes, comme des problèmes médicaux, des médicaments, des prescriptions, des analyses d’échantillons de substances corporelles ainsi que des renseignements génétiques, sont hautement sensibles. Les préjudices que pourrait causer la fuite de ces renseignements sont multiples.
  • Rapport de conclusions d’enquête en vertu de la LPRPDE n^o 2018-006 : Intrusion dans la base de données de l’Agence mondiale antidopage
• Les renseignements biométriques sont de nature délicate dans presque toutes les circonstances, car ils sont intrinsèquement, et dans la plupart des cas de façon permanente, liés à la personne. Ils sont distinctifs, stables au fil du temps, difficiles à changer et en grande partie uniques à la personne.
  • Rapport de conclusions d’enquête en vertu de la LPRPDE n^o 2020-004 : Enquête conjointe sur La Corporation Cadillac Fairview limitée par le commissaire à la protection de la vie privée du Canada, la commissaire à l’information et à la protection de la vie privée de l’Alberta et le commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique
• Les renseignements biométriques faciaux sont particulièrement sensibles, car ils peuvent permettre d’identifier une personne par comparaison avec un vaste éventail d’images disponibles sur Internet ou par surveillance clandestine.
  • Rapport de conclusions d'enquête en vertu de la LPRPDE n^o 2021-001 : Enquête conjointe sur Clearview AI, Inc. par le Commissariat à la protection de la vie privée du Canada, la Commission d’accès à l’information du Québec, le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique et le Commissariat à l’information et à la protection de la vie privée de l’Alberta

Les renseignements financiers en tant que renseignements sensibles

• « En ce qui concerne la question du caractère sensible des renseignements, je conviens avec le Commissaire que les renseignements financiers sont généralement des renseignements extrêmement sensibles. Comme notre Cour l’a fait observer dans R. c. Cole, 2012 CSC 53, [2012] 3 R.C.S. 34, les renseignements d’ordre financier appartiennent à l’une des catégories de renseignements personnels se situant au cœur de “l’ensemble de renseignements biographiques” des particuliers (paras 47‑48). Toutefois, le degré selon lequel un renseignement d’ordre financier précis est sensible est fonction du contexte. Pour évaluer le caractère sensible de renseignements financiers – en l’espèce le solde actuel d’une hypothèque – il faut tenir compte des renseignements financiers connexes qui sont déjà du domaine public, de la raison pour laquelle les renseignements financiers sont rendus publics et de la nature de la relation entre le débiteur hypothécaire, le créancier hypothécaire et les tiers directement touchés. » (Banque Royale du Canada c. Trang, 2016 CSC 50, para 36)
• Il a été conclu que la communication par une banque de renseignements financiers confidentiels à ses sociétés affiliées (en l’espèce, des numéros d’assurance sociale) exigeait un consentement « positif ».
  • Résumé de conclusions d'enquête en vertu de la LPRPDE n^o 2003-203 : Un particulier laisse percer ses inquiétudes quant aux clauses de consentement sur un formulaire de demande de carte de crédit
• Des renseignements personnels sensibles comme des renseignements financiers ou des renseignements d’identification détaillés (p. ex. le numéro d’assurance sociale, la date de naissance et les réponses aux questions de sécurité) risquent d’être la cible d’hameçonnage ou de vol d’identité. Les entreprises doivent donc mettre en place des mesures de sécurité plus vigoureuses pour protéger ces renseignements sensibles contre tout accès non autorisé.
  • Rapport de conclusions d'enquête en vertu de la LPRPDE n^o 2015-007 : Une institution financière prend de vigoureuses mesures correctives après que des mesures de sécurité insuffisantes et un stockage inutile ont rendu vulnérables aux atteintes à la vie privée des données sensibles

Renseignements personnels ayant une incidence sur la réputation d’une personne

• L’indexation de décisions de cours et de tribunaux par des moteurs de recherche peut causer une importante atteinte à la réputation et un profond embarras aux personnes en exposant inutilement leurs renseignements personnels sensibles à la découverte fortuite (c’est-à-dire des plaintes relatives aux droits de la personne, des audiences en matière d’immigration, une procédure de faillite).
  • Rapport de conclusions d’enquête en vertu de la LPRPDE n^o 2015-002 : Un site Web générant des revenus en publiant des décisions judiciaires canadiennes et en permettant leur indexation par les moteurs de recherche a contrevenu à la LPRPDE
• Il est essentiel que les organisations détenant des renseignements personnels sous forme électronique adoptent des processus, des procédures et des systèmes explicites et appropriés afin de gérer les risques d’atteinte à la sécurité des données, et que ces derniers soient soutenus par l’expertise nécessaire, en particulier lorsqu’il s’agit de renseignements sensibles dont la communication pourrait porter gravement atteinte à la réputation des personnes touchées ou leur causer préjudice autrement.
  • Rapport de conclusions d'enquête en vertu de la LPRPDE n^o 2016-005 : Enquête conjointe sur Ashley Madison menée par le commissaire à la protection de la vie privée du Canada et le commissaire à la protection de la vie privée/commissaire à l’information par intérim de l’Australie
• Les renseignements personnels financiers sont souvent sensibles sur le plan de la réputation, car ils comprennent, dans de nombreux cas, des renseignements détaillés sur la solvabilité des personnes.
  • Rapport de conclusions d’enquête en vertu de la LPRPDE n^o 2019-001 : Enquête sur la conformité d’Equifax Inc. et d’Equifax Canada à la LPRPDE à la suite de l’atteinte à la sécurité des renseignements personnels en 2017

Mesures de sécurité pour la protection des renseignements sensibles

• Lorsque la collecte, l’utilisation ou la communication non autorisée de renseignements personnels sensibles (par exemple, le fait qu’une personne a appris qu’elle était atteinte d’une infection transmissible sexuellement) pourrait entraîner une stigmatisation sociale, des problèmes émotifs et une atteinte à la réputation à long terme pour les personnes concernées, les renseignements doivent être protégés par des mesures de sécurité rigoureuses.
  • Rapport de conclusions d'enquête en vertu de la LPRPDE n^o 2013-003 : Des profils affichés sur le site de rencontres PositiveSingles.com se retrouvent sur d’autres sites Web de rencontres affiliés
• Toute organisation qui détient de grandes quantités de renseignements personnels sensibles doit disposer d’un cadre de gouvernance adéquat et cohérent afin d’assurer convenablement la sécurité des données.
  • Rapport de conclusions d'enquête en vertu de la LPRPDE n^o 2016-005 : Enquête conjointe sur Ashley Madison menée par le commissaire à la protection de la vie privée du Canada et le commissaire à la protection de la vie privée/commissaire à l’information par intérim de l’Australie
  • Rapport de conclusions d'enquête en vertu de la LPRPDE n^o 2015-007 : Une institution financière prend de vigoureuses mesures correctives après que des mesures de sécurité insuffisantes et un stockage inutile ont rendu vulnérables aux atteintes à la vie privée des données sensibles
• Dans le cas où un volume important de renseignements personnels sensibles appartenant à un grand nombre de personnes est traité sur une période prolongée, le niveau de contrôle mis en place pour garantir la protection des renseignements lorsqu’ils sont traités par un tiers devrait être proportionnellement élevé.
  • Rapport de conclusions d’enquête en vertu de la LPRPDE n^o 2019-001 : Enquête sur la conformité d’Equifax Inc. et d’Equifax Canada à la LPRPDE à la suite de l’atteinte à la sécurité des renseignements personnels en 2017
• Lorsque des organisations combinent des renseignements personnels comme des numéros d’assurance sociale et des adresses courriel, elles doivent prévenir le risque que ces renseignements soient exploités par des personnes malveillantes à des fins d’usurpation d’identité. Ce type de renseignements personnels doit donc être protégé par des mesures de sécurité proportionnellement élevées.
  • Rapport de conclusions d'enquête en vertu de la LPRPDE n^o 2020-005 : Enquête sur la conformité à la LPRPDE de Desjardins suite à l’atteinte aux mesures de sécurité des renseignements personnels entre 2017 et 2019

Autres renseignements généralement considérés comme sensibles

• Choisir préalablement le paramètre de confidentialité « accessible à tous » pour les utilisateurs est inapproprié lorsqu’il s’agit de profils de réseaux sociaux pouvant contenir des renseignements personnels très sensibles concernant par exemple la consommation de drogues et d’alcool, des références à la solitude, à la dépression ou à l’orientation sexuelle.
  • Rapport de conclusions d'enquête en vertu de la LPRPDE n^o 2012-001 : Nexopia, site de réseautage social pour jeunes, a enfreint la loi canadienne sur la protection des renseignements personnels
• Les renseignements qui révèlent les pratiques, les préférences et les fantasmes sexuels d’une personne sont généralement considérés comme sensibles.
  • Rapport de conclusions d'enquête en vertu de la LPRPDE n^o 2016-005 : Enquête conjointe sur Ashley Madison menée par le commissaire à la protection de la vie privée du Canada et le commissaire à la protection de la vie privée/commissaire à l’information par intérim de l’Australie
• Les utilisateurs peuvent penser qu’un grand nombre des activités en ligne auxquelles ils se livrent au moyen de ce système sont privées. Les renseignements personnels associés à ces activités pourraient être de nature très sensible – par exemple, une application de rencontre pour les personnes appartenant à une religion en particulier.
  • Rapport de conclusions d’enquête en vertu de la LPRPDE n^o 2018-004 : Microsoft va obtenir le consentement exprès, améliorer la transparence pour les paramètres de confidentialité de Windows 10
• Les renseignements personnels dont la collecte, l’utilisation et la communication révèlent l’origine ethnique d’une personne sont généralement considérés comme sensibles et exigent en général un consentement explicite.
  • Rapport de conclusions d’enquête en vertu de la LPRPDE n^o 2019-004 : Enquête conjointe du Commissariat à la protection de la vie privée du Canada et du Bureau du Commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique au sujet d’AggregateIQ Data Services Ltd.
• La communication de l’adresse électronique d’une personne (potentiellement avec d’autres coordonnées) à un autre service aux fins de transmission de messages politiques à cette personne est susceptible de révéler ses sensibilités ou ses affiliations politiques, ce qui représente des renseignements personnels sensibles.
  • Rapport de conclusions d’enquête en vertu de la LPRPDE n^o 2019-004 : Enquête conjointe du Commissariat à la protection de la vie privée du Canada et du Bureau du Commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique au sujet d’AggregateIQ Data Services Ltd.