Rapport au Parlement relativement aux lois provinciales essentiellement similaires
Cette page Web a été archivée dans le Web
L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.
Juin 2003
Commissaire à la protection de la vie privée du Canada
112, rue Kent
Ottawa (Ontario)
K1A 1H3
(613) 995-8210, 1-800-282-1376
Téléc. (613) 947-6850
ATS (613) 992-9190
No de cat. IP34-11/2003
ISBN 0-662-67351-4
L'honorable Daniel Hays
Président
Le Sénat du Canada
Monsieur,
J'ai l'honneur de vous remettre mon deuxième Rapport au Parlement relativement aux lois provinciales essentiellement similaires.
Aux termes de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), je suis tenu de rendre compte chaque année au Parlement du Canada de la mesure avec laquelle les provinces ont promulgué des lois essentiellement similaires à la LPRPDE.
Je vous ai remis mon premier rapport sur la question en mai 2002, rapport dans lequel j'ai fait valoir qu'en me fondant sur mon analyse, la Loi sur la protection des renseignements personnels dans le secteur privé du Québec est essentiellement similaire à la LPRPDE en ce concerne la mesure avec laquelle elle protège les renseignements personnels. Dans ce rapport, j'aborde le statut des lois dans les autres provinces sur la protection des renseignements personnels s'appliquant au secteur privé.
Veuillez agréer, Monsieur, l'expression de mes sentiments les meilleurs.
George Radwanski
Commissaire à la protection de la vie privée du Canada
L'honorable Peter Milliken
Président
Chambre des communes
Monsieur,
J'ai l'honneur de vous remettre mon deuxième Rapport au Parlement relativement aux lois provinciales essentiellement similaires.
Aux termes de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), je suis tenu de rendre compte chaque année au Parlement du Canada de la mesure avec laquelle les provinces ont promulgué des lois essentiellement similaires à la LPRPDE.
Je vous ai remis mon premier rapport sur la question en mai 2002, rapport dans lequel j'ai fait valoir qu'en me fondant sur mon analyse, la Loi sur la protection des renseignements personnels dans le secteur privé du Québec est essentiellement similaire à la LPRPDE en ce concerne la mesure avec laquelle elle protège les renseignements personnels. Dans ce rapport, j'aborde le statut des lois dans les autres provinces sur la protection des renseignements personnels s'appliquant au secteur privé.
Veuillez agréer, Monsieur, l'expression de mes sentiments les meilleurs.
George Radwanski
Commissaire à la protection de la vie privée du Canada
Introduction
Le paragraphe 25(1) de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) exige que je dépose devant le Parlement un rapport annuel « sur la mesure dans laquelle les provinces ont édicté des lois essentiellement similaires à la LPRPDE ».
J'espère que le présent rapport constituera un facteur clé qui aidera le ministre de l'Industrie à décider si une loi provinciale ou territoriale est essentiellement similaire ou non. Industrie Canada a déclaré que le ministre sollicitera l'avis du commissaire à la protection de la vie privée et l'inclura dans toute présentation au gouverneur en conseil pour recommander que la loi provinciale ou territoriale soit désignée essentiellement similaire. Ces rapports peuvent également être utiles aux autres parties intéressées qui souhaitent formuler des commentaires sur la loi.
La désignation d'une loi comme essentiellement similaire permet au gouverneur en conseil en vertu de l'alinéa 26(2)b) d'exclure une organisation, une catégorie d'organisations, une activité ou une catégorie d'activités de l'application de la LPRPDE « à l'égard de la collecte, de l'utilisation ou de la communication de renseignements personnels qui s'effectue à l'intérieur de la province en cause ».
Le but de cette disposition est de permettre aux provinces et aux territoires de réglementer les pratiques de gestion des renseignements personnels des organisations faisant affaires à l'intérieur de leurs frontières, sous réserve qu'ils disposent d'une loi qui soit essentiellement similaire.
Cependant, cette disposition ne signifie pas qu'une province peut simplement adopter une loi et espérer que le Cabinet fédéral va automatiquement la désigner comme essentiellement similaire. Faire cela irait à l'encontre du but et de l'effet visé de la LPRPDE, soit fournir une protection uniforme et significative des renseignements personnels partout au Canada.
Si le gouverneur en conseil émet un décret déclarant qu'une loi provinciale est essentiellement similaire, la collecte, l'utilisation ou la communication de renseignements personnels par des organisations assujetties à la loi provinciale ne seront pas visées par la LPRPDE. Néanmoins, les renseignements personnels qui seront communiqués à l'extérieur de cette province ou du pays seront assujettis à la LPRPDE, et la LPRPDE continuera également à s'appliquer, dans les limites d'une province, aux activités des installations, ouvrages entreprises et secteurs d'activité fédéraux qui relèvent de la compétence fédérale, telles les opérations bancaires, la radiotélévision, les télécommunications et les transports.
Si une province adopte une loi sur la protection des renseignements personnels dans le secteur privé qui n'a pas été considérée comme étant essentiellement similaire à la LPRPDE, la loi provinciale demeurera bien entendu en vigueur. Mais dès le 1er janvier 2004, elle s'appliquera simultanément avec la loi fédérale.
Les dispositions fédérales auront préséance jusqu'à concurrence de toute incohérence, et toutes les organisations qui exercent des activités commerciales devront se conformer aux dispositions de la LPRPDE. Ceci ne s'applique cependant pas dans le cas des droits à la protection de la vie privée dans le contexte de l'emploi, auquel la LPRPDE ne s'appliquera pas, même si une province adopte une loi qui n'est pas essentiellement similaire ou n'en adopte pas du tout.
En mai 2002, j'ai présenté mon premier rapport relativement aux lois provinciales essentiellement similaires. Dans ce rapport, j'ai conclu que la Loi sur la protection des renseignements personnels dans le secteur privé du Québec est essentiellement similaire à la LPRPDE en ce qui a trait à l'étendue avec laquelle elle protège les renseignements personnels.
Mes critères d'évaluation des lois provinciales
Dans ce rapport, j'ai également établi les critères que j'utiliserai lors de mon évaluation des lois provinciales. La LPRPDE ne fournit pas de conseils précis portant sur les critères à utiliser pour déterminer si la législation adoptée par une province est essentiellement similaire.
En évaluant les lois provinciales, j'interpréterai « essentiellement similaire » comme égal ou supérieur à la LPRPDE quant au niveau et à la qualité accordés à la protection de la vie privée. La loi fédérale est le seuil ou le plancher. Une loi provinciale en matière de protection des renseignements personnels doit être au moins aussi bonne, sans quoi elle n'est pas essentiellement similaire.
Pour être considérée essentiellement similaire, toute loi provinciale doit comprendre, au bas mot, les dix principes établis à l'Annexe I de la LPRPDE. Bien que je sois d'avis que les dix principes de ce code sont interdépendants et également importants, je considère que le consentement, les droits d'accès et de correction, ainsi que le critère de la personne raisonnable sont les composantes principales dans l'évaluation de la nature essentiellement similaire. De plus, toute loi provinciale devrait être assortie de mécanismes efficaces de surveillance et de recours.
Consentement
La loi fédérale précise que le consentement doit être éclairé et qu'une organisation peut recueillir, utiliser ou communiquer des renseignements personnels sur une personne seulement avec le consentement de la personne, sauf dans certaines circonstances stipulées dans la Loi.
Une fois recueillis, les renseignements personnels peuvent seulement être utilisés ou communiqués pour la raison pour laquelle le consentement a été accordé, sauf dans certaines circonstances établies par la Loi.
Critère de la personne raisonnable
Le critère de la personne raisonnable impose une autre contrainte importante aux organisations. La loi prévoit que la collecte, l'utilisation et la communication des renseignements personnels doivent se faire seulement aux fins qu'une personne raisonnable estimerait acceptables dans les circonstances.
Ce critère empêche les organisations d'énoncer en des termes trop larges ou vagues les fins auxquelles les renseignements sont recueillis et de forcer les personnes de donner leur consentement.
Droits d'accès et de correction
Les personnes doivent avoir le droit d'accéder aux renseignements personnels que les organisations détiennent à leur sujet et de faire corriger toute inexactitude (ou de faire mentionner tout désaccord et demander qu'il soit porté à la connaissance de toute partie ayant reçu les renseignements).
Surveillance
Lorsqu'une personne est d'avis que ses droits de protection de la vie privée ont été enfreints ou que la loi sur la protection des renseignements personnels n'a pas été respectée, cette personne doit pouvoir déposer une plainte auprès d'un organisme de surveillance pleinement indépendant qui est investi du mandat précis de régler les plaintes, de mener des enquêtes exhaustives, de soumettre les plaintes à la médiation et à la conciliation, de formuler des recommandations ou d'émettre des ordonnances. Un tel organisme de surveillance doit également être investi de vastes pouvoirs d'enquête permettant de saisir des documents, de pénétrer dans des locaux, de contraindre à témoigner et de procéder à la vérification des pratiques d'une organisation en matière des renseignements personnels.
Recours
À la suite d'une plainte et de la publication de mon rapport, la Loi fédérale permet au plaignant (ou à moi-même directement) de demander une audience à la Cour fédérale du Canada. Le plaignant ou moi-même pouvons demander à la Cour d'ordonner à l'organisation en question de corriger ses pratiques de traitement de l'information et de rendre publiques les mesures adoptées à cet égard. Il est possible de demander à la Cour de dédommager le plaignant.
Il est possible d'en appeler des décisions de la Cour fédérale auprès de la Cour d'appel fédérale et auprès de la Cour suprême du Canada sur autorisation.
Il doit y avoir des dispositions équivalentes en matière de recours dans toutes les lois provinciales qui se prétendent « essentiellement similaires ».
Processus d'Industrie Canada pour évaluer la nature « essentiellement similaire »
À la suite de discussions avec le Commissariat, le ministère de l'Industrie a publié un avis dans la partie I de la Gazette du Canada (22 septembre 2001) établissant le processus que le ministère utilisera pour déterminer si les lois provinciales ou territoriales sont réputées être essentiellement similaires.
Le processus sera enclenché par une province, un territoire ou une organisation avisant le ministre de l'Industrie de la loi qui, à son avis, est essentiellement similaire à la LPRPDE. Le ministre peut aussi agir de son propre chef et recommander au gouverneur en conseil de désigner une loi provinciale ou territoriale comme étant essentiellement similaire.
Le ministre sollicitera le point de vue du commissaire à la protection de la vie privée en vue de déterminer si la législation est essentiellement similaire et il inclura ce point de vue dans la soumission au gouverneur en conseil.
Le processus offre également une occasion au public et aux parties intéressées de commenter la législation dont il est question.
Selon l'avis publié dans la Gazette du Canada, le ministre s'attend à ce que les lois essentiellement similaires des provinces ou des territoires comportent ce qui suit :
- qu'elles intègrent les dix principes de l'Annexe 1 de la LPRPDE ;
- qu'elles prévoient un mécanisme de surveillance et de recours indépendant et efficace comportant des pouvoirs d'enquête ;
- qu'elles restreignent la collecte, l'utilisation et la communication des renseignements personnels à des fins qui sont appropriées ou légitimes.
Lois provinciales s'appliquant au secteur privé
À ce jour, le Québec est la seule province au Canada qui dispose d'une loi d'ensemble s'appliquant aux renseignements personnels dans le secteur privé. La Loi sur la protection des renseignements personnels dans le secteur privé est entrée en vigueur, à quelques exceptions près, le 1er janvier 1994. La loi établit des dispositions détaillées qui élargissent et rendent exécutoires les droits à la protection de la vie privée en matière de renseignements personnels prévus aux articles 35 à 41 du Code civil du Québec.
Tel que je l'ai mentionné ci-dessus, j'ai officiellement présenté au Parlement ma conclusion selon laquelle cette loi est essentiellement similaire à la LPRPDE.
Le gouvernement de l'Ontario a publié en juillet 2000 un document de travail au sujet d'une proposition de loi ontarienne sur la protection des renseignements personnels. Le 4 février 2002, cette étape a été suivie de la publication d'un avant-projet de loi destiné à recueillir des commentaires. La nouvelle loi s'appelle la Loi de 2002 sur la protection des renseignements personnels.
Le document publié par le ministère des Services aux consommateurs et aux entreprises de l'Ontario se veut à la fois un projet de loi et un document de consultation. Les citoyens et les organisations de la province ont été invités à faire part de leurs commentaires sur cet avant-projet de loi avant le 31 mars 2002.
Cependant, au moment de la rédaction de ce rapport, il n'y a aucune indication permettant de croire que le gouvernement de l'Ontario est sur le point de faire passer une loi qui entrerait en vigueur le 1er janvier 2004.
Le projet de loi 38 de la Colombie-Britannique, la Loi sur la protection des renseignements personnels
Le 30 avril 2003, le gouvernement de la Colombie-Britannique a déposé le projet de loi 38, la Loi sur la protection des renseignements personnels. La portée du projet de loi est large; contrairement à la LPRPDE, il s'applique à toutes les organisations, à quelques exceptions près, notamment celles qui n'exercent pas d'activités commerciales. La définition de renseignements personnels y est comparable à celle de la LPRPDE; en particulier, elle n'exige pas que les renseignements soient enregistrés ou stockés.
Le projet de loi contient de nombreux éléments positifs. Malheureusement, il présente également un certain nombre de graves lacunes qui, à mon avis, empêcheraient le gouvernement du Canada de reconnaître cette loi, sous sa forme actuelle, comme essentiellement similaire à la LPRPDE.
Tout d'abord, les alinéas 14b) et 17b) permettent l'utilisation et la communication, respectivement, des renseignements recueillis avant l'entrée en vigueur de la loi lorsque cette utilisation et cette communication répondent au but visé au moment de la collecte des renseignements. Ces dispositions d'« antériorité » la rendent considérablement différente de la LPRPDE, qui n'établit pas de distinction entre les renseignements personnels recueillis avant ou après son entrée en vigueur. En fait, le projet de loi supprime tout besoin de consentement à l'utilisation ou à la communication des renseignements déjà recueillis.
Le projet de loi prévoit que toute utilisation ou communication de renseignements recueillis avant l'entrée en vigueur de la loi doit être conforme au but énoncé au moment de la collecte de l'information. Cependant, comme il n'existait pas d'exigence de préciser le but avant l'entrée en vigueur de la loi, une organisation peut utiliser ou communiquer les renseignements existants à n'importe quelle fin et prétendre qu'elle ne fait qu'utiliser ou communiquer des renseignements pour un but qu'elle avait préalablement en vue. Une personne pourrait très difficilement contester l'utilisation de ces renseignements personnels « d'antériorité » déjà acquis.
Ceci est clairement incompatible avec la LPRPDE, dont l'approche est bien plus axée sur la protection des renseignements personnels : pour utiliser ou communiquer des renseignements recueillis avant l'entrée en vigueur de la loi, les organisations doivent obtenir le consentement.
Deuxièmement, le projet de loi est clairement inférieur à la LPRPDE en ce qui concerne le concept du consentement, qui est au cœur de toute loi qui se prétend protéger la vie privée.
À l'article 8, le projet de loi fait expressément référence au consentement implicite, une forme faible de consentement qui n'est acceptable que dans des circonstances limitées, mais omet le consentement explicite ou écrit.
Il s'agit d'une omission critique, parce qu'elle pourrait très bien inciter une organisation à présumer qu'elle peut entièrement compter sur le consentement implicite. Rien dans la loi n'empêche une organisation de faire de la sorte ou ne permet au commissaire d'exiger le consentement explicite.
Par contraste, la LPRPDE recommande vivement l'utilisation du consentement explicite en ce qui concerne la collecte, l'utilisation ou la communication de renseignements sensibles. Le principe 4.3.4, à l'annexe 1, précise que « [p]our déterminer la forme que prendra le consentement, les organisations doivent tenir compte de la sensibilité des renseignements ». Dans sa forme actuelle, le projet de loi 38 ne précise pas, le cas échéant, le moment où le consentement explicite devrait être demandé.
Un système législatif qui permettrait à des organisations de compter entièrement sur le consentement implicite offrirait un niveau de protection considérablement inférieur à celui offert par la LPRPDE.
Troisièmement, le projet de loi est clairement inférieur à la LPRPDE en ce qui concerne les droits à la vie privée dans le domaine de l'emploi. Les articles 13, 16 et 19 permettent précisément la collecte, l'utilisation et la communication des renseignements personnels concernant les employés sans le consentement de ces derniers. Cela prive complètement un employé actuel ou éventuel d'exercer un contrôle sur les renseignements qui le concernent.
Bien que le projet de loi exige que la collecte, l'utilisation ou la communication des renseignements personnels des employés soit raisonnable pour établir et gérer des relations employeur-employé ou y mettre fin, il s'agit d'un faible critère qui ne protégerait pas les employés ou les employés éventuels préoccupés par la protection de leurs renseignements personnels. Un employeur pourrait prétendre que presque n'importe quelle mesure portant atteinte au droit à la vie privée des employés est « raisonnable » dans le sens où elle peut éventuellement aider à établir et gérer des relations employeur-employé ou y mettre fin.
Une fois le fait accompli, l'employé pourrait se plaindre que cette ingérence n'était pas raisonnable, mais l'information aurait déjà été recueillie et communiquée. Une fois qu'on a enfreint au droit à la vie privée, on ne peut réparer les pots cassés. Le mal est fait.
Par opposition, la LPRPDE n'établit aucune distinction entre les renseignements recueillis, utilisés ou communiqués dans le cadre d'un emploi ou d'activités commerciales. La protection accordée aux employés en vertu du projet de loi 38 serait considérablement inférieure à celle dont bénéficient les employés visés par la LPRPDE.
Quatrièmement, un élément fondamental de la LPRPDE est le pouvoir offert aux personnes de s'informer des renseignements personnels dont disposent les organisations à leur égard et de faire corriger tout renseignement incomplet ou inexact.
Les dispositions en matière d'accès et de correction du projet de loi 38 n'offrent pas de protection efficace semblable. En vertu de l'alinéa 23(4)d), les gens ne pourraient avoir accès aux renseignements qui les concernent si cela avait pour effet de révéler l'identité de la personne qui a fourni l'information. Cette disposition empêcherait une personne d'avoir accès à des commentaires négatifs d'un collègue ou d'un superviseur ou à des renseignements défavorables fournis à un banquier ou à d'autres fournisseurs de crédit dans les cas où cela révélerait l'identité de la personne qui a émis les commentaires. N'ayant pas accès à cette information, une personne en ignorerait même l'existence et manifestement, ne serait pas en mesure d'en contester l'exactitude.
En outre, il n'y a aucune exigence, lorsque l'exactitude de l'information est en cause, selon laquelle l'organisation qui contrôle l'information doit informer les autres organisations qui y ont accès à la teneur du litige. L'alinéa 24(3) exige seulement que l'organisation indique que les renseignements personnels qu'elle contrôle font l'objet d'un litige. Les autres organisations peuvent garder, utiliser et même communiquer des renseignements personnels, sans égard au fait que leur exactitude est contestée. La LPRPDE contient une telle exigence, comme le devrait toute bonne loi sur la protection des renseignements personnels, et l'incapacité du projet de loi 38 à établir une telle exigence constitue une importante faiblesse.
Enfin, l'avant-projet de la loi permet la collecte, l'utilisation ou la communication de renseignements sans consentement pour les besoins d'une enquête ou de procédures. Il s'agit d'un élément nécessaire de toute loi sur la protection des renseignements personnels, mais la définition du terme « enquête » dans le projet de loi est beaucoup plus vaste que celle qui est donnée à ce terme dans la LPRPDE. La LPRPDE limite le terme aux enquêtes « sur la violation d'un accord ou la contravention du droit fédéral ou provincial ».
La définition dans le projet de loi 38 englobe aussi l'enquête liée « à des circonstances ou comportements qui pourraient donner lieu à un recours ou un redressement en vertu d'un texte législatif, de la common law ou en équité », à « la prévention de fraude » et au commerce des valeurs. Le projet de loi contient aussi une définition générale semblable de « procédures ».
Ces définitions sont préjudiciables au niveau de protection qu'offre le projet de loi. Le fait de permettre un nombre excessif de situations dans lesquelles des renseignements personnels peuvent être recueillis, utilisés ou communiqués sans consentement mine sérieusement le principe fondamental du consentement sous-jacent à toute bonne loi sur la protection des renseignements personnels.
Sur une note positive, le projet de loi contient un critère de la personne raisonnable, et les dispositions de surveillance et de recours sont comparables aux dispositions équivalentes de la LPRPDE. Une différence notable réside dans le fait que le projet de loi 38 confère au commissaire à l'information et à la protection de la vie privée de la Colombie-Britannique le pouvoir de rendre des ordonnances.
En ce qui a trait aux dix principes de l'annexe 1 de la LPRPDE, le projet de loi 38 ne les intègre pas tous au sens où il ne leur donne pas pleinement effet. L'absence de toute référence au consentement explicite et l'omission d'exiger le consentement pour la collecte, l'utilisation ou la communication de renseignements personnels des employés signifient que le principe du consentement n'est pas pleinement intégré au projet de loi. Dans le même ordre d'idées, les dispositions d'« antériorité » empêchent le projet de loi de limiter adéquatement l'utilisation et la communication, et le principe de l'accès aux renseignements personnels n'est pas pleinement intégré dans le projet de loi.
Selon mon évaluation du projet de loi 38, dans sa forme actuelle, l'avant-projet de la loi ne peut être considéré comme étant essentiellement similaire à la LPRPDE en ce qui concerne la mesure dans laquelle il protège les renseignements personnels.
Le projet de loi 44 de l'Alberta, la Loi sur la protection des renseignements personnels
Le 14 mai 2003, le gouvernement de l'Alberta a déposé le projet de loi 44, la Loi sur la protection des renseignements personnels. Le projet de loi 44 est très semblable à l'avant-projet de la loi de la Colombie-Britannique, le projet de loi 38. Les deux projets de loi ont la même structure et un grand nombre des dispositions utilisent le même libellé.
Dans le même ordre d'idées, le projet de loi 44 comporte un certain nombre de graves lacunes qui, à mon avis, empêcheraient le gouvernement du Canada de le considérer, sous sa forme actuelle, comme étant essentiellement similaire à la LPRPDE.
Premièrement, l'article 62 confère au lieutenant gouverneur en conseil (le Cabinet) le pouvoir discrétionnaire d'édicter des règlements d'une vaste portée qui traitent d'une multitude d'aspects, notamment :
- l'octroi d'un consentement ;
- les procédures à suivre pour présenter des demandes d'accès et y répondre ;
- les circonstances dans lesquelles des renseignements personnels peuvent être recueillis, utilisés ou communiqués sans consentement ;
- les renseignements personnels non visés par la loi.
Ce vaste pouvoir en ce qui touche l'adoption de règlements d'application est profondément inquiétant, car il pourrait réduire considérablement le degré de protection offert par le projet de loi et affaiblir les principes équitables en matière d'accès à l'information qui composent l'essentiel d'une bonne loi sur la protection des renseignements personnels. La LPRPDE ne confère aucun pouvoir discrétionnaire aussi vaste sur le plan de la réglementation.
Les pouvoirs de réglementation devraient être limités à des questions administratives imprévues. Les changements fondamentaux qui influeraient sur le droit des personnes à la protection des renseignements personnels les concernant, comme ceux que ce projet de loi permettrait d'apporter, devraient faire l'objet d'un véritable débat public.
Deuxièmement, l'article 4 permet à une organisation d'utiliser et de communiquer des renseignements recueillis avant l'entrée en vigueur de la loi aux fins pour lesquelles les renseignements ont été recueillis. L'avant-projet de la loi de l'Alberta précise clairement que ces renseignements seront « réputés avoir été recueillis avec le consentement d'une personne en question ». Cela élimine toute nécessité d'une organisation de demander le consentement d'une personne pour utiliser ou communiquer des renseignements la concernant qui ont déjà été recueillis.
Le fait de restreindre l'utilisation ou la communication de ces renseignements à des fins pour lesquelles ils ont été recueillis ne constitue pas une protection efficace, étant donné qu'il n'existait aucune exigence de préciser les fins en question au moment de la collecte des renseignements. Une organisation peut utiliser ou communiquer ces renseignements personnels à n'importe quelle fin et prétendre qu'ils ont été recueillis à cette fin, avec pour conséquence qu'il serait extrêmement difficile pour une personne de contester l'utilisation de ces renseignements personnels « d'antériorité » déjà acquis.
Ceci est clairement incompatible avec la LPRPDE, qui n'établit pas de distinction entre les renseignements personnels recueillis avant ou après son entrée en vigueur. La LPRPDE a une approche bien plus axée sur les renseignements personnels des personnes : pour utiliser ou communiquer des renseignements recueillis avant l'entrée en vigueur de la loi, les organisations doivent obtenir le consentement.
Troisièmement, le projet de loi est clairement inférieur à la LPRPDE en ce qui concerne les droits des employés à la protection de la vie privée. Les articles 15, 18 et 21 permettent expressément la collecte, l'utilisation et la communication de renseignements personnels concernant les employés sans leur consentement ce qui priverait complètement un employé actuel ou éventuel d'exercer un contrôle sur les renseignements qui le concernent.
Le projet de loi ne renferme même pas de dispositions exigeant que l'organisation informe les employés a posteriori que des renseignements qui les concernent ont été recueillis, utilisés ou communiqués sans leur consentement. Par conséquent, les employés peuvent ne pas avoir la moindre idée que des renseignements qui les concernent ont été recueillis, utilisés ou communiqués et, ce faisant, être privés du droit de se plaindre. Même s'ils devenaient conscients de la chose, ils ne pourraient, en se plaignant a posteriori, remédier au préjudice subi. Une fois qu'il y a eu atteinte à la vie privée, on ne peut réparer les pots cassés.
Le projet de loi exige que la collecte, l'utilisation ou la communication de renseignements personnels concernant des employés soit raisonnable. Cependant, cela n'offre pas une protection vraiment efficace. Du point de vue de l'employeur qui semble être celui à partir duquel ces dispositions du projet de loi ont été rédigées presque toute atteinte à la vie privée d'un employé peut être jugée « raisonnable ».
Par opposition, la LPRPDE ne fait aucune distinction entre les renseignements recueillis, utilisés ou communiqués dans le cadre d'un emploi ou d'activités commerciales. La protection accordée aux employés en vertu du projet de loi 44 serait considérablement inférieure à celle dont bénéficient les employés visés par la LPRPDE.
Quatrièmement, la LPRPDE confère aux personnes le droit d'avoir accès aux renseignements personnels que les organisations possèdent à leur égard et de faire corriger les renseignements qui sont inexacts (ou de faire noter tout désaccord et de le faire porter à la connaissance de toute partie qui a reçu les renseignements). En exerçant ces droits, les personnes peuvent aider à surveiller les pratiques d'une organisation en veillant à ce que les renseignements recueillis ne soient pas excessifs et à ce que les renseignements inexacts ne soient pas utilisés pour prendre des décisions qui pourraient les toucher. Les droits en matière d'accès et de correction du projet de loi 44 sont considérablement plus limités que ceux prévus par la LPRPDE.
En vertu de l'alinéa 24(3)c), les personnes ne pourraient avoir accès à des renseignements qui les concernent si cela avait pour effet de révéler l'identité de la personne qui a fourni l'information. Comme il est mentionné ci-dessus, cette disposition pourrait empêcher une personne d'avoir accès à des commentaires négatifs d'un collègue ou d'un superviseur, dans les cas où cela révélerait l'identité de la personne qui a émis les commentaires. N'ayant pas accès à cette information, une personne en ignorerait même l'existence et manifestement, ne serait pas en mesure d'en contester l'exactitude.
En outre, une personne pourrait se voir refuser l'accès à des renseignements pour le motif que leur communication risquerait de priver l'organisation de ce genre de renseignements à l'avenir. La LPRPDE ne renferme aucune disposition semblable, et il est difficile de voir quelle est sa raison d'être, compte tenu des autres motifs qui pourraient être invoqués aux termes du projet de loi pour refuser l'accès à des renseignements. Il s'agit là d'une façon très amorphe de refuser l'accès à des renseignements qu'une personne ne serait pratiquement pas en mesure de contester.
Par ailleurs, le projet de loi 44 diffère de la LPRPDE en ce qui touche les droits à payer. Le projet de loi 44 permet à une organisation d'exiger le paiement de droits « raisonnables » pour l'accès à des renseignements personnels. Aux termes de la LPRPDE, on ne peut exiger, pour ce faire, que des « droits minimes ». Le droit d'une personne d'avoir accès à ses renseignements personnels ne devrait pas être limité par les coûts.
En cas de contestation de l'exactitude de renseignements, aucune disposition n'exige que l'organisation qui a la gestion des renseignements en question informe les autres organisations qui y ont accès de l'objet du litige. Le paragraphe 25(3) exige seulement que l'organisation indique que les renseignements personnels qu'elle contrôle font l'objet d'un litige. Les autres organisations qui ont accès aux renseignements pourraient conserver et utiliser, voire communiquer, des renseignements personnels, et ce, sans égard au fait que leur exactitude est contestée. La LPRPDE contient une telle exigence et l'incapacité du projet de loi 44 à établir une telle exigence constitue une importante faiblesse.
Cinquièmement, l'avant-projet de la loi permet la collecte, l'utilisation ou la communication de renseignements, sans consentement, pour les besoins d'une enquête ou de procédures judiciaires. Le problème consiste en ce que la définition du terme « enquête » dans le projet de loi est beaucoup plus vaste que celle qui est donnée à ce terme dans la LPRPDE. Le projet de loi renferme une définition tout aussi vaste de l'expression « procédures judiciaires ».
De plus, il n'y a pas dans le projet de la loi de dispositions semblables à celles que l'on retrouve dans la LPRPDE selon lesquelles des renseignements personnels peuvent être recueillis, utilisés et communiqués sans consentement aux seules fins d'une enquête, s'il est raisonnable de s'attendre à ce que « la collecte effectuée au su et avec le consentement de l'intéressé puisse compromettre l'exactitude ou la disponibilité du renseignement ».
En conséquence, le projet de loi accorderait trop de latitude aux organisations pour recueillir, utiliser ou communiquer des renseignements personnels sans consentement parce que cela est nécessaire aux fins d'une enquête ou de procédures judiciaires. Le fait de permettre un nombre excessif de situations dans lesquelles des renseignements personnels peuvent être recueillis, utilisés ou communiqués sans consentement mine sérieusement le principe fondamental du consentement sous-jacent à toute bonne loi sur la protection des renseignements personnels.
Enfin, je souhaite commenter les articles 55 et 56 concernant les organismes de réglementation des professions et les organismes sans but lucratif. Le projet de loi permettrait au lieutenant gouverneur en conseil d'exempter ces catégories d'organisations de l'application de la loi ou de leur accorder un sursis à cet égard. Je ne verrais aucun problème si la loi ne s'appliquait aux organismes de réglementation des professions et aux organismes sans but lucratif que dans la mesure où ils exerceraient des activités commerciales ce qui serait conforme à la LPRPDE ; toutefois, le niveau de protection serait inférieur à celui offert par la LPRPDE si on leur accordait une exemption totale. Certains organismes sans but lucratif recueillent des renseignements très sensibles, notamment sur la santé des personnes. Permettre à des sociétés sans but lucratif de communiquer de tels renseignements sans consentement, à des fins lucratives, équivaudrait à accorder un niveau de protection moindre que celui garanti par la LPRPDE.
Le projet de loi contient un critère de la personne raisonnable, et les dispositions de surveillance et de recours sont comparables aux dispositions équivalentes de la LPRPDE, même si le projet de loi 44 confère au commissaire à l'information et à la protection de la vie privée de l'Alberta le pouvoir de rendre des ordonnances.
Le projet de loi 44 n'intègre pas pleinement les dix principes de l'annexe 1 de la LPRPDE. L'omission d'exiger le consentement pour la collecte, l'utilisation ou la communication de renseignements personnels des employés signifie que le principe du consentement n'est pas pleinement intégré au projet de loi. De même, les dispositions d'« antériorité » empêchent le projet de loi de limiter adéquatement l'utilisation et la communication, et le principe de l'accès aux renseignements personnels n'est pas pleinement intégré dans le projet de loi.
Selon mon évaluation du projet de loi 44, dans sa forme actuelle, le projet de loi ne peut être considéré comme étant essentiellement similaire à la LPRPDE en ce qui concerne la mesure dans laquelle il protège les renseignements personnels.
Lois provinciales s'appliquant à des secteurs précis
De nombreuses lois provinciales s'appliquant à des secteurs précis comportent des dispositions sur la protection des renseignements personnels. Chaque province, à l'exception du Nouveau-Brunswick dispose de lois traitant de l'évaluation du crédit des consommateurs. Ces lois imposent généralement l'obligation aux agences d'évaluation du crédit d'assurer l'exactitude de l'information, fixent des limites à la communication des renseignements et donnent aux consommateurs le droit d'avoir accès aux renseignements et d'en contester l'exactitude.
De nombreuses lois imposent des obligations qui restreignent la communication de renseignements personnels. Plusieurs provinces ont adopté des lois qui imposent des restrictions à la communication de renseignements personnels par des détectives privés. Les lois régissant les coopératives d'épargne et de crédit contiennent généralement des dispositions sur la confidentialité des renseignements ayant trait aux transactions effectuées par les membres. Un grand nombre de lois provinciales recèlent des dispositions sur la confidentialité des renseignements personnels recueillis par les professionnels.
Le secteur de la santé
Les provinces de l'Alberta, du Manitoba et de la Saskatchewan ont toutes adopté des lois s'appliquant à des secteurs précis sur la protection des renseignements personnels dans le domaine de santé. Les lois du Manitoba et de l'Alberta sont actuellement en vigueur. La Saskatchewan n'a pas encore annoncé la date d'entrée en vigueur de sa loi. Le gouvernement de la Saskatchewan a présenté, le 8 mai 2003, le projet de loi 28, une Loi visant à amender la Loi sur la protection des renseignements sur la santé et visant à modifier en conséquence la Loi sur les services de santé régionaux.
Les trois lois établissent des règles pour la collecte, l'utilisation et la communication des renseignements personnels en matière de santé. Chacune prévoit des droits d'accès et de correction ainsi que le droit de demander un examen par un organisme de surveillance qui peut faire enquête sur les plaintes.
Ces lois s'appliquent aux renseignements personnels sur la santé détenus par les ministères provinciaux, les hôpitaux, les professions de la santé réglementées (comme les médecins, les pharmaciens, les dentistes, les infirmières), les laboratoires et d'autres établissements de santé.
Au Québec, la Loi sur la protection des renseignements personnels dans le secteur privé traite des renseignements sur la santé dans le secteur privé. Elle s'applique à toutes les entreprises au Québec, notamment aux organisations du secteur privé qui fournissent des soins de santé ainsi qu'à tout professionnel qui exploite un cabinet. La Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels du Québec s'applique au reste du secteur de la santé.
La Colombie-Britannique ne dispose pas de loi sectorielle dans le domaine de la santé, mais sa loi relative au secteur public, la Freedom of Information and Protection of Privacy Act, traite des renseignements sur la santé détenus par tous les organismes de santé financés à même les fonds publics et par les fournisseurs de soins de santé, y compris les cliniques, les universités et les hôpitaux.
En 1995, la portée de la Loi a été étendue de façon à couvrir tous les organismes professionnels autogérés. Ces organismes comprennent le College of Physicians and Surgeons, le College of Dental Surgeons, le College of Pharmacists, la Registered Nurses Association et le Health Professions Council. Les praticiens en pratique privée dans les cliniques privées et en laboratoire ne sont pas visés par la Loi.
Si elle est adoptée, le projet de loi de la Colombie-Britannique, la Loi sur la protection des renseignements personnels, s'appliquera aux renseignements personnels sur la santé qui ne sont pas assujettis à la Loi sur la liberté d'information et la protection des renseignements personnels.
En décembre 2000, l'Ontario a présenté le projet de loi 159, la Loi sur la protection des renseignements médicaux personnels. Ce projet de loi est resté au Feuilleton en raison de la prorogation de l'assemblée législative provinciale le 2 mars 2001.
Comme je l'ai souligné dans mon premier rapport au Parlement relativement aux lois provinciales essentiellement similaires en mai 2002, j'estime qu'il est inopportun d'émettre des commentaires sur une loi provinciale s'appliquant à des secteurs précis avant d'avoir une idée plus claire sur quelles provinces vont vraisemblablement mettre en place une loi d'ensemble concernant le secteur privé le 1er janvier 2004. Par conséquent, j'envisage aborder la question des lois provinciales essentiellement similaires s'appliquant au secteur précis dans un prochain rapport au Parlement cet automne.
Conclusion
D'un point de vue législatif, rien n'a changé depuis le dépôt de mon dernier rapport dans le sens où aucune province n'a édicté de nouvelle loi d'ensemble s'appliquant aux renseignements personnels dans le secteur privé qui pourrait être examinée en vertu du paragraphe 25(1) ou de l'alinéa 26(2)b) de la Loi sur la protection des renseignements personnels et les documents électroniques.
Toutefois, comme la date du 1er janvier 2004 approche à grands pas et que deux provinces ont déposé deux mesures législatives importantes à cet égard, j'ai estimé utile de préciser dans les meilleurs délais que le projet de loi de la Colombie-Britannique et le projet de loi de l'Alberta ne me permettent pas de conclure qu'ils sont essentiellement similaires en vertu du paragraphe 25(1) de la LPRPDE.
Le projet de loi de la Colombie-Britannique n'intègre pas suffisamment les principes 4.3 (Consentement), 4.5 (Limitation de l'utilisation, de la communication et de la conservation) et 4.9 (Accès aux renseignements personnels) de la loi. Le projet de loi 38 ne satisfait donc pas les critères de la détermination d'une loi essentiellement similaire que j'ai déjà établis, ainsi que ceux établis par Industrie Canada dans la Gazette du Canada du 22 septembre 2001.
Le projet de loi de l'Alberta n'intègre pas suffisamment les principes 4.5 (Limitation de l'utilisation, de la communication et de la conservation) et 4.9 (Accès aux renseignements personnels) de la loi. De plus, le vaste pouvoir de réglementation priverait la loi de la certitude et de la spécificité essentielles pour qu'elle soit essentiellement similaire à la LPRPDE où le pouvoir de réglementation est plus limité. Le projet de loi 44 ne satisfait donc pas les critères de la détermination d'une loi essentiellement similaire que j'ai déjà établis, ainsi que ceux fixés par Industrie Canada dans la Gazette du Canada du 22 septembre 2001.
Par conséquent, je suis d'avis que si ces projets de loi étaient adoptés dans leur forme actuelle, il ne serait pas possible pour le ministre de l'Industrie de recommander au Cabinet une exemption pour la Colombie-Britannique ou l'Alberta en vertu de l'alinéa 26(2)b) de la loi sans ainsi contrevenir aux exigences, au but et à l'effet visé de la LPRPDE en vue de la protection des renseignements personnels de tous les Canadiens et de toutes les Canadiennes.
Supports de substitution
- PDF (689 Ko) Accessibilité non vérifiée
- Date de modification :