La LPRPDE et votre pratique juridique
Avis
En cours de révision.Guide sur la protection de la vie privée à l’intention des avocats
Introduction
Les avocats et la protection de la vie privée
Les avocats ont régulièrement accès à des renseignements personnels de nature délicate dans le cadre de leur pratique et lorsqu’ils représentent des clients. Protéger la confidentialité de l’information qui leur est transmise dans l’exercice de leurs fonctions constitue pour eux une obligation en vertu, entre autres, de règles de déontologie et de procédure établies de longue date. Les barreaux et les assureurs professionnels fournissent des lignes directrices supplémentaires en ce qui a trait notamment aux questions relatives à la gestion de la pratique, au droit en matière de privilège, à la conservation et à la responsabilité des dossiers ainsi qu’à l’accès à ceux-ci.
Au même titre que d'autres organisations au Canada, les avocats sont tenus de se conformer aux lois applicables en matière de protection de la vie privée. Les exigences de ces lois, y compris la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE ou la Loi) le cas échéant, doivent être prises en considération par les avocats pour toute collecte, utilisation et communication de renseignements personnels ou pour l’accès à ceux-ci.
Compte tenu du rôle unique qu’ils jouent lorsqu’ils représentent leurs clients, les avocats doivent aussi être au courant des lois relatives à la protection de la vie privée pouvant s’appliquer à leurs clients, particulièrement dans le cadre du contentieux civil. Les lois sur la protection de la vie privée applicables aux clients peuvent déterminer et restreindre les activités auxquelles les avocats peuvent prendre part au nom de leurs clients.
Portée du guide
Le guide vise à fournir un aperçu des exigences de la LPRPDE qui peuvent s’appliquer aux avocats et aux cabinets d’avocats en pratique privée, ainsi qu'à certains avocats de société. Il est conçu pour aider les avocats à maintenir des pratiques exemplaires en ce qui a trait à la gestion de la collecte, de l’utilisation et de la communication de renseignements personnels ainsi que de l’accès à ces renseignements conformément aux normes établies par la LPRPDE. Le guide porte aussi sur l’application potentielle de la LPRPDE dans le contexte du contentieux civil.
Le présent guide est axé sur la LPRPDE. Il n’aborde pas les exigences en matière de protection de la vie privée qui peuvent s’appliquer aux avocats de la Couronne et aux avocats du secteur public. Il ne traite pas non plus des lois provinciales sur la protection de la vie privée concernant le secteur privé qui peuvent s’appliquer à certains avocats ou à leurs clients.
Enfin, le guide ne traite pas des poursuites pénales et des instances devant les tribunaux administratifs.
Application de la LPRPDE
La LPRPDE s’applique aux organisations qui recueillent, utilisent ou communiquent des renseignements personnels dans le cadre d’activités commerciales, y compris les installations, les ouvrages, les entreprises ou les secteurs d’activité de compétence fédérale (les « entreprises fédérales »). Compte tenu de la nature de leurs activités, les avocats et les cabinets d’avocats du secteur privé seraient aussi visés, ainsi que, dans de nombreux cas, leurs clients.
La LPRPDE s’applique aussi aux entreprises fédérales à l’égard des renseignements personnels des employés et des candidats à un emploi. Les organisations situées au Yukon, au Nunavut et dans les Territoires du Nord-Ouest sont considérées comme des entreprises fédérales.
En général, la LPRPDE s’applique aux activités commerciales des organisations dans toutes les provinces, sauf les organisations qui recueillent, utilisent ou communiquent des renseignements personnels exclusivement en Alberta, en Colombie-Britannique ou au Québec (ou en Ontario, Nouveau-Brunswick et Terre-Neuve-et-Labrador à l’égard des renseignements personnels sur la santé recueillis, utilisés ou communiqués par les dépositaires de renseignements sur la santé; autrement, la LPRPDE s’applique aux activités commerciales en ces provinces). Dans ces cas, c’est la loi provinciale essentiellement similaire qui s’appliquera au lieu de la LPRPDE, même si la LPRPDE continue de s’appliquer aux transferts interprovinciaux ou internationaux de renseignements personnels.
Exigences de la LPRPDE
La LPRPDE a pour objectif d’établir un équilibre entre le droit à la vie privée des personnes à l’égard de leurs renseignements personnels et le besoin des organisations de recueillir, d’utiliser ou de communiquer des renseignements personnels dans le cours de leurs activités. La LPRPDE exige que les organisations se conforment à un ensemble d’obligations juridiques fondées sur les dix principes suivants :
- Responsabilité
- Détermination des fins de la collecte des renseignements
- Consentement
- Limitation de la collecte
- Limitation de l’utilisation, de la communication et de la conservation
- Exactitude
- Mesures de sécurité
- Transparence
- Accès aux renseignements personnels
- Possibilité de porter plainte à l’égard du non-respect des principes
De plus, le paragraphe 5(3) de la LPRPDE prévoit que les organisations ne peuvent recueillir, utiliser ou communiquer des renseignements personnels qu’aux fins qu’une personne raisonnable estimerait acceptables dans les circonstances. Les avocats devraient consulter la LPRPDE pour obtenir plus de détails concernant les obligations et exigences applicables.
Qu’est-ce qui constitue un « renseignement personnel » aux termes de la LPRPDE?
La LPRPDE s’applique à la collecte, à l’utilisation et à la communication de « renseignements personnels ». Cette expression est définie de façon large et s’entend de « tout renseignement concernant un individu identifiable ».
Il n’est pas toujours facile de déterminer si un renseignement constitue un « renseignement personnel » aux fins de la LPRPDE. Selon la jurisprudence portant sur la notion de « renseignements personnels », une interprétation large et libérale s'impose. Des renseignements « concernent » une personne non seulement lorsqu’ils portent sur celle-ci, mais aussi lorsqu’ils lui touchent ou qu’ils peuvent y être associésNote de bas de page 1. Une personne est « identifiable » lorsqu'il y a de fortes possibilités que celle-ci puisse être identifiée à l’aide de cette information, seule ou en combinaison avec des renseignements d'autres sourcesNote de bas de page 2.
Qu’est-ce qui constitue une « activité commerciale » aux termes de la LPRPDE?
Aux termes du paragraphe 2(1) de la LPRPDE, une « activité commerciale » s’entend de toute « activité régulière ainsi que tout acte isolé qui revêtent un caractère commercial de par leur nature ». Dans un arrêt, la Cour d’appel fédérale a confirmé qu’une activité professionnelle pouvait constituer une activité commerciale. La Cour a déterminé qu’un médecin qui procède à un examen médical indépendant d’une personne assurée au nom d’une compagnie d’assurance et qui est rémunéré par la compagnie aux fins du traitement d’une demande de prestations d’assurance, le fait dans le cadre d’une activité commercialeNote de bas de page 3. La commissaire adjointe a aussi conclu qu’un cabinet d’avocats exerce une activité commerciale lorsqu’il vérifie la solvabilité de clients potentiels, et que les clients avaient le droit d’avoir accès à leurs renseignements personnels qui sont en la possession de leur avocatNote de bas de page 4.
Au su et avec le consentement aux termes de la LPRPDE
La LPRPDE exige que les intéressés soient informés de toute collecte, utilisation et communication des renseignements personnels qui les concernent et qu’ils y consentent, sauf si une exception s’applique.
Une organisation doit déterminer et documenter les fins pour lesquelles elle cherche à recueillir des renseignements personnels au moment de la collecte ou avant celle-ci. Les organisations chercheront généralement à obtenir un consentement pour la collecte, l’utilisation ou la communication ultérieure de renseignements personnels au moment de la collecte. Dans certaines circonstances, le consentement à l’égard de l’utilisation ou de la communication peut être demandé après que les renseignements ont été recueillis, mais avant qu’ils ne soient utilisés ou communiqués (par exemple, lorsqu’une organisation veut utiliser les renseignements dans un but qui n’était pas déterminé au préalable).
Le consentement aux termes de la LPRPDE doit être valable, ce qui signifie que les organisations doivent faire un effort raisonnable pour s’assurer que les personnes dont les renseignements seront recueillis, utilisés ou communiqués sont avisées des fins de la collecte. Ces fins doivent être expliquées de façon à ce que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués. Le consentement de l’intéressé n’est valable que s’il est raisonnable de s’attendre à ce qu’un individu visé par les activités de l’organisation comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles il a consenti.
Le consentement aux termes de la LPRPDE peut être explicite ou implicite. La forme du consentement que l’organisation cherche à obtenir peut varier selon les circonstances et la nature des renseignements. Les organisations doivent tenir compte du degré de sensibilité des renseignements pour déterminer la forme du consentement recherché. Les attentes raisonnables de la personne constituent aussi un facteur clé à prendre en compte.
Une personne peut retirer son consentement en tout temps, sous réserve de restrictions contractuelles ou légales, et avec préavis raisonnable; l’organisation doit informer la personne des conséquences d'un tel retrait.
Le Commissariat à la protection de la vie privée du Canada
Au Commissariat à la protection de la vie privée, nous comprenons que les avocats sont confrontés quotidiennement à des défis uniques liés à la protection de la vie privée, puisqu’ils gèrent leurs propres pratiques relatives aux renseignements personnels et informent les clients sur la façon dont ils peuvent le mieux gérer les leurs. Une partie de notre mandat consiste à informer les intervenants, y compris les avocats, sur la manière de respecter leurs obligations aux termes de la LPRPDE dans l’exercice de leurs fonctions. Les personnes ont le droit de porter plainte au Commissariat à la protection de la vie privée concernant les pratiques de gestion des renseignements personnels des organisations, et le commissaire peut lui-même prendre l’initiative d’une plainte en se fondant sur des motifs raisonnables.
À la fin de son enquête au sujet d’une plainte présentée aux termes de la LPRPDE, le commissaire peut présenter des conclusions et formuler des recommandations non contraignantes, le cas échéant. Les personnes concernées ou le commissaire peuvent ensuite demander à la Cour fédérale de rendre une décision relativement à l’application de la Loi, s’il y a lieu. En outre, dans certains cas, le commissaire à la protection de la vie privée peut conclure avec une organisation un accord de conformité contraignant en vertu duquel l’organisation prend certains engagements de se conformer à la LPRPDE.
Pour obtenir de plus amples renseignements concernant le rôle du commissaire et pour accéder aux conclusions de celui-ci aux termes de la LPRPDE et à d’autres renseignements utiles, les avocats sont encouragés à visiter le site Web du Commissariat à l’adresse suivante : www.priv.gc.ca.
La protection de la vie privée dans le cadre de la gestion de la pratique du droit
Aperçu
Les avocats doivent s’assurer qu’ils se conforment à toutes les exigences générales de la LPRPDE. Pour de nombreux cabinets d’avocats, la conformité à la LPRPDE débute avec la nomination d’une personne responsable de veiller à ce que l’organisation respecte la Loi, par exemple, un agent à la protection de la vie privée. Les petits cabinets et les professionnels exerçant à titre individuel doivent aussi désigner une personne qui assumera les responsabilités prévues par la LPRPDE afin d'assurer la conformité à la Loi. Les professionnels exerçant à titre individuel doivent assumer cette responsabilité eux-mêmes.
Les avocats et les cabinets d’avocats doivent comprendre de quelle façon et à quelles fins les renseignements personnels sont recueillis, utilisés et communiqués dans le cadre de l’exercice de leur pratique. Les politiques et les pratiques relatives au respect de la vie privée doivent être élaborées et mises en œuvre de manière à aborder les diverses façons dont les renseignements seront traités, y compris l’obtention de consentements au besoin et l’élaboration de procédures pour traiter les plaintes et les demandes d’accès aux renseignements personnels aux termes de la LPRPDENote de bas de page 5.
Même s’il n’y a pas d’approche universelle en matière de respect de la vie privée pour les avocats et les cabinets d’avocats, les sections suivantes font ressortir certaines questions qui se posent couramment dans le cadre de la pratique du droit.
Collecte de renseignements personnels
Les avocats peuvent avoir besoin de recueillir certains renseignements personnels de leurs clients actuels ou potentiels afin d’effectuer les contrôles de conflits d’intérêts nécessaires avant d’ouvrir un nouveau dossier. Les barreaux peuvent aussi exiger la collecte de certains renseignements d’identification des clients aux fins de l’obtention d’un mandat de représentation en justice. Les personnes devront être informées, et leur consentement sera exigé dans de tels cas. Les fins auxquelles les renseignements seront recueillis puis utilisés devraient être expliquées aux personnes concernées. Généralement, les personnes qui communiquent avec un avocat afin d’obtenir des services juridiques donnent soit un consentement explicite à la collecte de renseignements, soit un consentement implicite en fournissant les renseignements demandés à l’avocat afin que la vérification des conflits d’intérêts soit effectuée ou que le mandat de représentation en justice puisse être obtenu.
Les avocats peuvent aussi recueillir des renseignements personnels au sujet d’un client ou d’un client potentiel auprès de tierce parties. Par exemple, certains avocats effectuent une vérification de la solvabilité d’un client potentiel avant d’accepter de le représenter. Ces vérifications exigent le consentement explicite de l’intéressé. En ce qui concerne la gestion des risques financiers, cependant, les avocats devraient prendre en considération d’autres mesures à leur disposition qui sont moins envahissantes sur le plan de la vie privée, y compris la pratique courante de demander un acompte au client.
De plus, les avocats ne devraient conserver les renseignements personnels de clients qu’aussi longtemps que nécessaire pour l’obtention d’un mandat de représentation en justice, y compris pour le règlement de tout conflit d’intérêts potentiel. Même si un avocat peut vouloir noter le fait qu’il a eu une consultation avec une personne et les motifs pour lesquels il n'a pu représenter celle-ci dans une affaire, les avocats devraient considérer réduire au minimum la quantité de renseignements personnels qu’ils conservent à la suite de ces consultations pour déterminer les conflits d’intérêts possibles. Différentes considérations relatives à la conservation de documents peuvent s’appliquer une fois que les services d’un avocat sont retenus.
Utilisation et communication de renseignements personnels
Comme c’est le cas de nombreuses organisations, les avocats feront souvent la promotion de leurs services en utilisant des renseignements concernant leurs clients, des clients potentiels et d’autres personnes. La plupart du temps, ceci comprend les coordonnées des entreprises, qui peuvent être soumises à la Loi si elles sont recueillies, utilisées ou communiquées à d’autres fins que pour communiquer avec une personne ou faciliter la communication avec une personne pour des raisons d’affaires, professionnelles ou liées à l’emploi. Cela peut aussi parfois entraîner l’utilisation d’autres types de renseignements personnels (par exemple dates d’anniversaire, intérêts personnels, relations entre des clients actuels et de nouveaux clients recommandés). Dans les cas où des renseignements personnels sont utilisés ou communiqués par des avocats aux fins d’activités secondaires, c’est-à-dire à des fins autres que celles pour lesquelles les renseignements personnels ont été initialement recueillis, les avocats doivent obtenir le consentement des personnes visées. Par exemple, lorsque des renseignements personnels ont été initialement recueillis dans le but de donner des conseils juridiques, l’avocat doit obtenir un autre consentement en vue de l’utilisation ultérieure des renseignements à une fin secondaire, comme le marketing. Lorsqu’un avocat cherche à utiliser des renseignements personnels à une fin secondaire, il doit déterminer la forme appropriée que devrait prendre le consentement. Un consentement « actif » exige qu’une personne accepte l’utilisation proposée des renseignements, alors que dans le cas d’une formule de « retrait » du consentement, il est présumé que la personne a consenti à l’utilisation proposée jusqu’à ce qu’elle retire son consentement.
Les avocats devraient aviser les personnes de la possibilité que leurs renseignements personnels soient utilisés ou communiqués à des fins secondaires. Par exemple, l’utilisation secondaire des renseignements personnels dans le cas d’une formule de « retrait » du consentement peut, aux termes de la LPRPDE, être appropriée à l’utilisation secondaire des renseignements personnels aux fins de marketing. Toutefois, pour qu’une formule de « retrait » de consentement soit valide dans ces circonstances, le Commissariat à la protection de la vie privée a fourni les lignes directrices suivantes :
- les renseignements personnels doivent être clairement non sensibles de par leur nature et à l’égard du contexte dans lequel ils sont censés être utilisés;
- l’organisation qui a l’intention d’utiliser ou de communiquer des renseignements personnels à des fins de marketing doit circonscrire et définir clairement la nature des renseignements personnels à utiliser ou à communiquer et l’étendue de l’utilisation ou de la communication envisagées;
- les intentions de l’organisation à l’égard de l’utilisation ou de la communication de renseignements personnels aux fins de marketing doivent être circonscrites et bien définies, énoncées de manière raisonnablement précise et compréhensible et signalées à la personne au moment où les renseignements personnels sont recueillis ou avant l’utilisation ou la communication ultérieures;
- l’organisation qui utilise ou communique des renseignements personnels à des fins de marketing doit établir une procédure appropriée qui permet à la personne de retirer son consentement, à peu de frais et immédiatement, ou de retirer son consentement relativement aux activités secondaires, et l’organisation doit aviser la personne de cette procédure soit au moment où les renseignements personnels sont recueillis, soit avant l’utilisation secondaire ou la communication des renseignementsNote de bas de page 6.
Les avocats reçoivent parfois des renseignements personnels de clients ou d’autres personnes concernant des individus qui pourraient avoir besoin de services juridiques. Les avocats ne devraient pas nécessairement présumer que leurs clients ou d’autres personnes ont obtenu le consentement de la part de clients potentiels leur permettrait de communiquer avec eux. L’avocat devrait plutôt encourager les clients qui recommandent une autre personne ayant besoin de conseils juridiques à proposer à celle-ci de communiquer avec lui. La collecte, l’utilisation ou la communication de renseignements ne devraient pas être effectuées par l’avocat avant qu’il n’y ait eu une communication avec la personne en cause et que l’avocat ait pu évaluer la portée de tout consentement explicite ou implicite de cette personne.
Les avocats doivent s'assurer de ne pas communiquer par inadvertance les renseignements personnels de leurs clients, y compris au cours de conversations avec d’autres personnes, dans des documents, ou dans le cadre de présentations données à l’occasion de conférences. Grâce à l’établissement de règles de déontologie strictes relatives à la confidentialité, il est possible d’éviter ou de réduire les risques que de telles communications se produisent. Pour sa part, la LPRPDE interdit toute communication de renseignements personnels effectuée sans le consentement de la personne visée. Dans la plupart des cas, les personnes concernées ne peuvent être considérées comme ayant donné un consentement implicite à ces communications de renseignements, et seul un consentement explicite sera admissible.
En fin de compte, les avocats devraient veiller à limiter la communication des renseignements personnels auxquels ils ont accès. À titre de pratique exemplaire, les avocats qui préparent des bulletins d’information ou qui font des exposés à l’occasion de conférences devraient penser à anonymiser ou à dépersonnaliser les décisions ou les ressources sur lesquelles ils se fondent. Dans la plupart des cas, il n’est pas nécessaire de communiquer l’identité d'une personne pour expliquer le raisonnement juridique sur lequel est fondée une décision.
Les avocats font parfois face à des demandes provenant d’autorités chargées de l’application des lois, d’organismes de réglementation et d’autres personnes qui cherchent à obtenir des renseignements concernant leurs clients. Des responsabilités déontologiques strictes relatives à la confidentialité peuvent empêcher un avocat de communiquer tout renseignement concernant un client dans ces circonstances ou limiter ses communications. La LPRPDE permet toutefois (bien qu’elle ne l’exige pas) aux organisations de communiquer des renseignements personnels à l’insu et sans le consentement des personnes intéressées à la demande d’une institution fédérale ayant l’autorité légitime nécessaire pour appliquer ou administrer une loi du Canada ou d’une province. La LPRPDE permet aussi aux organisations de communiquer des renseignements personnels concernant des personnes lorsque la loi l’exige.
Accès aux renseignements personnels
La LPRPDE prévoit que, sur demande écrite, une personne doit être informée de l’existence de renseignements personnels qui la concernent, de l’usage qui en est fait et de la communication de ceux-ci et qu’elle doit pouvoir les consulter. Les personnes peuvent aussi contester l’exactitude et l’intégralité des renseignements et peuvent demander d’y faire apporter les corrections appropriées.
La LPRPDE exige que les organisations répondent aux demandes d’accès dans un délai de trente jours (ou un autre délai établi conformément à l’article 8 de la LPRPDE). Puisque la LPRPDE oblige les organisations à fournir l’accès aux renseignements à un coût minimal ou sans frais, les avocats ne devraient pas facturer de frais pour le temps qu’ils ont pris ou que leur personnel administratif a pris pour répondre aux demandes d’accès.
Les avocats et les cabinets d’avocats doivent élaborer des politiques et des procédures qui traitent des questions d’accès et d’exactitude. Par exemple, lorsqu’ils corrigent des renseignements inexacts, les avocats doivent transmettre les renseignements corrigés aux tiers qui ont accès aux renseignements en question, le cas échéant.
Lorsqu’ils répondent à une demande d’accès, les avocats doivent fournir l’intégralité des renseignements demandés et non simplement un résumé de ceux-ci. Lorsqu’on répond à une demande d’accès aux termes de la LPRPDE, on doit aussi informer la personne concernée de l’usage qui a été fait ou qui est fait des renseignements, et de toute communication qui a été faite ou qui peut avoir été faite à des tiers.
Les avocats peuvent refuser de donner accès à des renseignements personnels dans un nombre limité de situations prévues au paragraphe 9(3) de la LPRPDE. Il peut s’agir des situations suivantes : les renseignements sont protégés par le secret professionnel liant l’avocat à son client; la communication révélerait des renseignements commerciaux confidentiels; les renseignements ont été recueillis sans le consentement de l’intéressé dans le cadre d’une enquête sur la violation d’un accord ou une infraction à une loi fédérale ou provinciale, et les renseignements ont été fournis à l’occasion d’un processus de règlement officiel des différends.
Le paragraphe 9(3) de la LPRPDE fournit une liste exhaustive des circonstances dans lesquelles l’accès aux renseignements personnels peut être refusé. Dans un cas, par exemple, la commissaire a conclu que les avocats doivent se conformer à leurs obligations de permettre aux personnes d’avoir accès aux renseignements personnels qui les concernent, malgré l’existence d’un privilège de procureur valideNote de bas de page 7.
Les avocats devraient aussi connaître les paragraphes 9(2.1) à 9(2.4) de la Loi, qui peuvent restreindre l’information à laquelle une personne peut avoir accès dans certaines circonstances définies comprenant des communications de renseignements à certaines institutions fédérales.
Le retranchement de parties d’un document doit être envisagé dans certaines circonstances. Tout refus d’accès doit être transmis par écrit et motivé, et l’intéressé doit être informé des recours possibles. De plus, dans le cas de renseignements médicaux sensibles, les avocats peuvent aussi choisir que ces renseignements soient communiqués par un médecin.
Les avocats ne doivent pas communiquer de renseignements personnels dans le cas où cette communication révélerait vraisemblablement les renseignements personnels d’un tiers, sauf si les renseignements en cause peuvent être retranchés; si le tiers consent à la communication ou si l’intéressé a besoin du renseignement parce que la vie, la santé ou la sécurité d’une personne est menacée.
Protection des renseignements personnels
Les avocats connaissent la nécessité de protéger les renseignements de leurs clients. Toutefois, comme pour toutes les organisations, les outils de travail à la disposition des avocats ont évolué considérablement. Dans le cadre de leur travail, les avocats et le personnel de soutien utilisent souvent des ordinateurs, des ordinateurs portatifs, des téléphones intelligents et d’autres appareils mobiles. L’utilisation de ces appareils présente un certain nombre de défis pour la protection des renseignements personnels.
Les avocats peuvent faire face à un certain nombre de vulnérabilités potentielles dans le cadre de leur travail, notamment les suivantes :
- mesures de sécurité insuffisantes pour les documents papier, les systèmes informatiques, les applications sur ordinateurs, les appareils mobiles, les réseaux informatiques, les réseaux sans fil ou la transmission de courriels;
- documents papier ou électroniques mal classés;
- traces laissées par des documents électroniques (par exemple des métadonnées)
- service de messagerie ou communication postale non protégés;
- tiers fournisseurs et partenaires qui peuvent mal utiliser les renseignements (y compris des tiers offrant des services d’infonuagique).
La LPRPDE exige que les renseignements personnels soient protégés en tout temps. Les renseignements personnels devraient être protégés grâce à l’utilisation :
- de mesures physiques, par exemple classeurs verrouillés et accès restreint aux bureaux;
- de mesures organisationnelles, par exemple habilitations de sécurité et limitation de l’accès en fonction du « besoin de connaître »;
- de mesures technologiques, par exemple utilisation de mots de passe et du chiffrement.
Plus les renseignements sont sensibles, plus les mesures de sécurité doivent être rigoureuses.
L’une des mesures à prendre pour assurer la protection des renseignements personnels consiste à ne pas sortir physiquement les renseignements du bureau ou d’éviter de le faire le plus possible. Il existe de nombreuses solutions technologiques qui permettent aux avocats d’accéder à distance aux systèmes du bureau de façon sécuritaire. Ces solutions, à condition qu’elles soient mises en œuvre de façon sécuritaire et qu’elles utilisent des normes de chiffrement et des pare-feux appropriés, peuvent offrir la meilleure protection pour les renseignements personnels.
Tous les ordinateurs portatifs et les autres appareils mobiles et supports doivent être sécurisés, notamment à l’aide de méthodes de chiffrement. On doit aussi être très prudent lorsque l’on travaille dans des espaces publics ou avec des appareils auxquels plus d’une personne peut avoir accès. De plus, les avocats ou les cabinets d’avocats qui envisagent d’adopter des solutions d’infonuagique doivent examiner attentivement les répercussions liées à la protection de la vie privée et à la sécurité de tout service qu’ils peuvent créer ou auquel ils peuvent s’inscrire.
Les avocats doivent, par voie contractuelle ou d’autres moyens, fournir un degré de protection comparable aux renseignements qui sont en cours de traitement par une tierce partie. Lorsque des tiers fournisseurs de services peuvent avoir accès à des renseignements personnels ou qu’ils traitent des renseignements personnels au nom d’un avocat, y compris des fournisseurs de services d’infonuagique, il est fortement recommandé qu’une entente écrite soit conclue entre la tierce partie et l’avocat. Le contrat devrait comprendre des dispositions déterminant la juridiction où les renseignements seront traités ou conservés, la propriété et l’utilisation des renseignements, le niveau de mesures de protection de la vie privée utilisé par le fournisseur de services, les procédures d’accès et de correction, les vérifications, et les procédures de suppression. Les avocats doivent se rappeler qu’ils demeurent responsables des renseignements transmis à des tiers aux fins de traitement. La LPRPDE exige aussi que les organisations soient transparentes au sujet de leurs pratiques de gestion des renseignements personnels. En conséquence, les organisations devraient aviser les clients lorsqu’elles utilisent un fournisseur de services situé à l’extérieur du Canada et les informer du fait que leurs renseignements personnels peuvent être assujettis aux lois d’un pays étrangerNote de bas de page 8.
Le Commissariat à la protection de la vie privée a élaboré un outil d’auto-évaluation pour aider les organisations à déterminer dans quelle mesure elles assurent la protection des renseignements personnelsNote de bas de page 9.
Conservation des renseignements personnels
Parce qu’ils traitent des renseignements personnels, les avocats ont l’obligation de s’assurer qu’ils conservent des renseignements personnels seulement pour la période nécessaire à la réalisation des fins auxquelles les renseignements ont été recueillis. Les barreaux canadiens fournissent des lignes directrices à l’intention des avocats concernant la propriété des dossiers qu’ils traitent et les procédures qui devraient être suivies dans le cadre de la fermeture d’un dossier, y compris les considérations liées à la conservation. Dans la mesure où les dossiers des avocats contiennent des renseignements personnels, les avocats doivent harmoniser leurs obligations déontologiques avec les exigences de la LPRPDE. Par exemple, la LPRPDE exige que les organisations conservent les renseignements personnels uniquement pendant la période nécessaire à la réalisation des fins pour lesquelles ils ont été recueillis, utilisés ou communiqués. Cette exigence peut donner à penser que les renseignements personnels devraient être détruits ou anonymisés lorsqu’un dossier d’un avocat est fermé. Toutefois, les avocats doivent s’assurer qu’ils conservent tout renseignement dont ils pourraient avoir besoin pour se défendre contre toute allégation ultérieure de négligence ou d’inconduite ou dans le cadre d’une évaluation ou d’un examen de dossier. À ces fins, les avocats devraient néanmoins limiter la conservation de renseignements personnels au strict nécessaire. Après l’expiration de tout délai de prescription applicable à ces allégations, les avocats devraient détruire ou anonymiser les renseignements.
Dans le cadre de la préparation de leurs politiques relatives à la conservation de documents, les avocats sont aussi fortement encouragés à veiller au transfert et à l’archivage appropriés des dossiers des clients au moment de leur retraite ou de leur décès, d’un déménagement ou de toute autre situation qui les amènerait à cesser la pratique du droit.
Atteintes à la protection des données
Il est possible de prévenir les risques d’atteinte à la protection des données ou de les réduire de manière significative par l’entremise de mécanismes de sécurité efficaces hors ligne et en ligne, de pratiques et de politiques en matière de protection de la vie privée et de formations offertes aux employés. Il est aussi possible d’éviter les atteintes à la protection des données ou de les réduire au minimum en évitant ou en limitant d’emblée la collecte de renseignements personnels. Les avocats devraient toujours déterminer s’ils ont vraiment besoin de recueillir et de conserver des renseignements personnels. Il s’agit non seulement d’une exigence de la LPRPDE, mais aussi d’une saine pratique de gestion qui peut réduire au minimum la probabilité d’une atteinte à la protection des données ou la portée de celle-ci.
Même si les mesures techniques constituent un élément important des mécanismes de sécurité, les mesures administratives et organisationnelles sont également importantes. Les atteintes à la protection des données sont souvent dues à la négligence ou à l’ignorance. Dans le cadre d’une pratique de droit très occupée, où les personnes doivent souvent respecter des délais serrés et travailler dans un environnement stressant, il est important que les avocats s’attendent à ce que des erreurs puissent se produire et qu’ils mettent en place des mesures pour atténuer les risques d’atteinte à la protection des données. Voici quelques exemples de situations à risque : envoi par télécopieur, par la poste ou par courriel de renseignements personnels au mauvais destinataire; apporter à la maison du travail à faire le soir ou la fin de semaine et perdre des documents contenant des renseignements personnels ou se les faire voler; laisser un message contenant des renseignements personnels détaillés à un client dans un système de messagerie vocale auquel d’autres personnes peuvent avoir accès; tomber dans le piège de personnes qui prétendent être quelqu’un d’autre dans le but d’avoir un accès non autorisé à des renseignements sur des clients; ou commettre la grave erreur d’ouvrir des pièces jointes et des courriels suspects et rendre tout le serveur du bureau vulnérable aux pirates informatiques ou aux voleurs d’identité.
Pour éviter que ces accidents ou actes de négligence relativement à la communication des renseignements personnels se produisent, les avocats doivent établir et mettre en œuvre des politiques et des procédures qui mettent l’accent sur l’évaluation et la formation continues des employés. Ces politiques et procédures devraient comprendre des dispositions portant sur les communications avec des clients et d’autres personnes, les obligations de confidentialité de même que sur les processus d’authentification et d’identificationNote de bas de page 10. Les employés devraient signer des ententes de confidentialité et reconnaître qu’ils ont reçu une formation sur les questions relatives à la protection de la vie privée. De nombreuses organisations qui traitent des renseignements personnels sensibles offrent de la formation et évaluent les employés sur les questions relatives à la protection de la vie privée chaque année et conservent un dossier sur ces activités. Les avocats devraient envisager d’appliquer de telles procédures.
En cas d’atteinte à la protection des données, les avocats devraient immédiatement suivre les quatre étapes ci-dessous.
- Étape 1 : Limiter la portée de l’atteinte et effectuer une évaluation préliminaire;
- Étape 2 : Évaluer les risques associés à l’atteinte, y compris l’examen des renseignements personnels concernés, la cause et l’étendue de l’atteinte, le nombre de personnes touchées par l’atteinte et la probabilité qu’un préjudice se produise et le type de préjudice;
- Étape 3 : Déterminer s’il faut aviser la ou les personnes suivantes et de quelle façon : les personnes ou les clients concernés, le commissaire, la police, les assureurs, le barreau ou d’autres personnes;
- Étape 4 : Empêcher que d’autres atteintes se produisent à l’avenir en tirant des leçons de l’incident et en effectuant les vérifications ou d’autres enquêtes qui peuvent être nécessaires pour régler tout problème systémique ayant causé l’atteinteNote de bas de page 11.
Le commissaire recommande fortement que les organisations assujetties à la LPRPDE suivent les étapes énumérées ci-dessus à titre de saine mesure de gestion d’entreprise. Les organisations peuvent signaler les atteintes au Commissariat à la protection de la vie privée de diverses façons, y compris par téléphone, par courriel et par courrier ordinaireNote de bas de page 12.
Les avocats devraient prendre note que le signalement d’atteintes à la protection des données est obligatoire dans un certain nombre d’autres administrations, comme l’Alberta, et en Ontario pour ce qui est des renseignements personnels sur la santé.
Renseignements personnels des employés
La LPRPDE ne s’applique pas aux renseignements personnels des employés, sauf à l’égard des organisations sous réglementation fédérale, y compris toute organisation qui exerce des activités sur l’un des trois territoires. Toutefois, les avocats et les cabinets d’avocats peuvent être assujettis aux lois provinciales en matière de protection de la vie privée à cet égard. Toutefois, même en l’absence d’une loi applicable, les avocats et les cabinets d’avocats devraient néanmoins protéger les renseignements personnels des employés et peuvent s’inspirer d’un certain nombre de conclusions relatives aux organisations sous réglementation fédérale émises dans le cadre de la LPRPDE.
Par exemple, la surveillance des employés s’assortit de considérations uniques et a fait l’objet d’un certain nombre de conclusions de la part de la commissaire et des tribunauxNote de bas de page 13. Les organisations devraient disposer d’éléments de preuve démontrant que le lien de confiance a été rompu avant d’effectuer de la vidéosurveillance au moyen d'appareils dissimulés. Un simple soupçon ne constitue pas une preuve suffisante.
Enjeux internationaux
Lorsqu’ils travaillent à des affaires qui ont une portée internationale concernant des clients ou des entreprises, les avocats doivent, pour chaque affaire, déterminer si la LPRPDE peut s’appliquer à certains aspects de celle-ci. La LPRPDE n'était pas destinée à avoir une portée extraterritoriale. Toutefois, le commissaire a le pouvoir de mener une enquête sur des plaintes portant sur la circulation transfrontalière de renseignements personnels. La LPRPDE peut s’appliquer à des entités étrangères qui reçoivent des communications du Canada ou qui en envoient, ou qui recueillent et communiquent des renseignements personnels concernant des personnes au Canada. S’il existe un lien réel et substantiel avec le Canada, la LPRPDE peut s’appliquer à l’activité en causeNote de bas de page 14.
D’autres sections du présent guide portent sur les exigences auxquelles doivent satisfaire les organisations, y compris les avocats et les cabinets d’avocats, lorsqu’ils ont recours à des fournisseurs de services établis à l’étranger pour traiter des renseignements. La nécessité d’aviser les personnes et de fournir, par voie contractuelle ou autre, un degré comparable de protection aux renseignements s’applique à toutes les situations où les avocats peuvent confier le traitement de certains aspects de leur travail à un fournisseur de services à l’étranger. Cette situation s’applique de plus en plus aux avocats et à leurs clients. Il arrive aux fournisseurs de services établis à l’étranger d’effectuer des examens de documents dont ils codent le degré de pertinence aux fins d’un litige. Des contrats ou d’autres formes de protection doivent être mis en œuvre. Les pratiques exemplaires en la matière prévoient que ces fournisseurs devraient être assujettis à des obligations contractuelles strictes et qu’ils devraient seulement pouvoir accéder aux renseignements à distance depuis leur pays. Les avocats devraient aussi penser à informer leurs clients de leurs pratiques d’impartition et de tout risque en cause, puisque c’est au client que peut incomber, aux termes de la LPRPDE, la responsabilité ultime envers les personnes dont les renseignements personnels sont communiqués au fournisseur de services.
Les avocats qui traversent les frontières devraient aussi être conscients du fait que les documents ou appareils qu’ils transportent peuvent faire l’objet d’une fouille par les agents des douanes. Par exemple, les ordinateurs portatifs, les clés USB, les téléphones intelligents et d’autres supports pourraient faire l’objet de fouilles par des agents des douanes au Canada ou à l’étranger. Les avocats devraient prendre en considération ces possibilités lorsqu’ils déterminent de quelle façon ils peuvent le mieux respecter leurs obligations aux termes de la LPRPDE, y compris la protection appropriée des renseignements personnelsNote de bas de page 15.
La protection de la vie privée dans les litiges civils
Application de la LPRPDE aux litiges
À la différence des lois en matière de protection de la vie privée applicables au secteur privé en vigueur en Colombie-Britannique et en Alberta, la LPRPDE ne prévoit pas d’exception générale à l’égard des renseignements personnels auxquels une partie a légalement accès dans le cadre d’une instance judiciaire. Elle prévoit cependant plusieurs exceptions qui permettent la collecte, l’utilisation ou la communication de renseignements personnels à l’insu de l’intéressé dans le cadre d’instances judiciaires (qui seront examinées ci-après). La LPRPDE vise ainsi à garantir que la collecte, l’utilisation ou la communication de renseignements personnels par les organisations qui sont parties à un litige ne sont pas indûment restreintes lorsqu’elles sont appropriées et nécessaires.
La LPRPDE vise les organisations qui recueillent, utilisent et communiquent des renseignements personnels au cours d’activités commerciales. Un litige civil est-il une « activité commerciale » aux sens de la LPRPDE? Dans une décision antérieure, la Cour supérieure de l’Ontario a fait une remarque incidente selon laquelle la LPRPDE ne s’applique pas à une partie qui recueille des renseignements concernant une partie adverse par l’entremise d’un enquêteur privéNote de bas de page 16. Selon la Cour, la LPRPDE ne s’appliquait pas dans ce cas, puisque le défendeur recueillait des renseignements dans un but purement personnel, à savoir pour se défendre dans le cadre d’une poursuite, même s’il avait engagé un enquêteur privé pour recueillir les renseignements en question.
Plus récemment, la Cour fédérale a statué que la collecte de renseignements personnels concernant un plaignant par une compagnie d’assurance agissant à titre de mandataire pour un défendeur dans le cadre d’une poursuite d'indemnisation pour blessures corporelles n’a pas lieu dans le cadre d’une activité commerciale aux termes de la LPRPDENote de bas de page 17.
Toutefois, compte tenu des faits particuliers sur lesquels ces décisions s’appuient, celles-ci ne devraient pas nécessairement être considérées comme faisant autorité à l’égard de la proposition selon laquelle la LPRPDE ne s’applique à aucun litige. La LPRPDE peut continuer de s’appliquer à certains aspects des instances judiciaires selon le contexte. Par exemple, la collecte, l’utilisation ou la communication de renseignements personnels dans un litige auquel des organisations commerciales sont parties peuvent aussi bien être effectuées dans le cadre d’activités commerciales, par opposition à une demande d’indemnisation pour lésion corporelle à laquelle des individus prennent part à titre personnel.
Les avocats devraient par conséquent continuer d’être soucieux de leurs obligations aux termes de la LPRPDE et de celles de leurs clients. Ils devraient s’efforcer de s’assurer que toute collecte, utilisation et communication de renseignements personnels en lien avec tout litige raisonnablement prévu ou réel sont effectuées avec le consentement explicite ou implicite des personnes concernées, ou qu’elles sont autrement conformes à l’une des exceptions applicables aux principes de la connaissance et du consentement de la Loi.
Lorsque la collecte, l’utilisation ou la communication de renseignements personnels dans le cadre d’un litige contrevient à la LPRPDE, une plainte pourrait être déposée auprès du commissaire. Le commissaire peut initier une plainte lui-même s'il a des motifs raisonnables de le faire. L’affaire pourrait ultimement faire l’objet d’une audience devant la Cour fédérale. Même si une infraction à la LPRPDE durant une instance ne rendra pas nécessairement les renseignements non admissibles dans le cadre d’une affaire civileNote de bas de page 18, le non‑respect de la vie privée d’une personne peut être un facteur qui sera pris en considération par les tribunaux au moment d’accorder des dépens et pour déterminer si l’avocat devrait se retirer du dossierNote de bas de page 19.
Consentement explicite ou implicite et exceptions au consentement
La connaissance et le consentement individuels sont la pierre angulaire de la LPRPDE. Le consentement explicite ou implicite, ou une exception précise à l’exigence du consentement, est toujours nécessaire à l’égard de toute collecte, utilisation ou communication de renseignements personnels.
Consentement explicite
Dans le cadre d’un litige, l’obtention d’un consentement explicite est souvent irréalisable ou inappropriée, particulièrement au moment de la collecte de renseignements concernant une partie adverse aux fins de servir la cause d’une partie. Toutefois, un consentement explicite devrait être obtenu lorsque la communication de renseignements personnels de quiconque n’est pas partie à l’instance est demandée, sauf si une exception prévue par la LPRPDE s’applique, comme l’obligation de se conformer à une assignation à témoigner ou à une ordonnance de la cour.
Consentement implicite
Le consentement implicite est la forme de consentement la plus couramment invoquée dans le cadre d’un litige. Les tribunaux ont statué qu’une partie qui introduit une instance donne nécessairement un consentement implicite à un certain nombre de questions concernant ses affaires personnelles afin qu’une décision appropriée soit rendue à l’égard du litigeNote de bas de page 20. Un certain nombre de conclusions émises par la commissaire se font l’écho de ce principe.
Les organisations peuvent se fonder sur le consentement implicite d’une personne pour recueillir, utiliser ou communiquer des renseignements personnels dans le cadre d’un large éventail d’activités liées aux litiges, y compris au cours de la négociation de règlements dans certaines circonstancesNote de bas de page 21.
Les règles de procédure établies régiront la portée du consentement implicite dans la plupart des cas. Un consentement implicite ne permet pas de recueillir, d’utiliser ou de communiquer de façon illimitée ou inappropriée des renseignements personnels concernant une personne. Le consentement est plutôt limité à ce qu’une personne raisonnable considérerait comme acceptable et aux renseignements utiles au bien-fondé de la cause. Il est aussi limité par les paramètres généraux de la règle de l’engagement implicite. Toutefois, les organisations doivent rester conscientes des autres dispositions de la LPRPDE lorsqu’elles s’appuient sur un consentement implicite dans le cadre d’un litige.
Exceptions au consentement
Dans de nombreux litiges, ni le consentement explicite ni le consentement implicite ne seront applicables. Cela peut être le cas lorsque des personnes concernées ne sont pas parties au litige (par exemple lorsqu’il est question de renseignements personnels concernant un employé d’une organisation partie à un litige ou un client). Dans ces cas, les avocats et leurs clients doivent déterminer si une exception au principe de la connaissance et du consentement prévue à l’article 7 de la LPRPDE s’applique.
Les éléments suivants sont des articles pertinents de la LPRPDE qui sont susceptibles d’être mentionnés dans le cadre d’un litige :
- La collecte de renseignements sans le consentement de l’intéressé est permise en vertu de l’alinéa 7(1)b) lorsqu’il est raisonnable de s’attendre à ce que :
- la collecte effectuée au su et avec le consentement de l’intéressé puisse compromettre l’exactitude du renseignement ou l’accès à celui‑ci;
- la collecte est raisonnable à des fins liées à une enquête sur la violation d’un accord ou la contravention du droit fédéral ou provincial, y compris la common law.
- L’utilisation de renseignements sans le consentement de l’intéressé est permise en vertu de l’alinéa 7(2)d) lorsque les renseignementsont été recueillis aux termes de l’alinéa 7(1)b) ci-dessus;
- La communication sans le consentement de l’intéressé est visée par l’une des exceptions parmi celles énumérées au paragraphe 7(3) :
- elle est faite en vue du recouvrement d’une créance contre l’intéressé;
- elle est exigée par assignation, mandat ou ordonnance ou par des règles de procédure se rapportant à la production de documents;
- elle est faite à une autre organisation et est raisonnable en vue d’une enquête sur la violation d’un accord ou sur la contravention au droit fédéral ou provincial qui a été commise ou est en train ou sur le point de l’être, s’il est raisonnable de s’attendre à ce que la communication effectuée au su ou avec le consentement de l’intéressé compromettrait l’enquête.
La LPRPDE permet aussi la collecte, l’utilisation ou la communication sans le consentement de l’intéressé de certains renseignements exigés par règlement auxquels le public a accès. Toutefois, le simple fait que le renseignement soit du domaine public, par exemple sur un site Web ou dans un dossier d’un tribunal, ne signifie pas que l’on considérera qu’il s’agit d’un renseignement « auquel le public a accès » au sens de la LPRPDE.
Pour que la collecte, l’utilisation et la communication d’un renseignement accessible au public ne soient pas soumises aux exigences du consentement, le renseignement en cause doit être visé par l’une des catégories prescrites établies par règlement (par exemple des renseignements personnels qui figurent dans des annuaires téléphoniques, dans des répertoires à caractère professionnel ou d'affaires, dans des registres créés par une loi pour lesquels un droit d'accès public est autorisé par la loi ou dans des documents d’un organisme judiciaire ou quasi judiciaire qui sont accessibles au public) et la collecte, l'utilisation ou la communication des renseignements doivent être directement liées à la raison pour laquelle ils figurent dans le dossier, document ou registre public. Cela dit, même si le renseignement personnel est accessible au public au sens du règlement et qu’il est visé par l’une des exceptions relatives aux exigences du consentement, il doit quand même être protégé dans le cadre des autres principes de la LPRPDE relatifs à la protection des données. Par exemple, la collecte, l’utilisation, la conservation ou la communication de ce renseignement devraient être limitées uniquement à ce qui est nécessaire pour la réalisation des fins déterminées.
Questions relatives à la protection de la vie privée soulevées dans le cadre de la préparation d’une instance
Avant le début d’une instance, les parties éventuelles et leurs avocats recueilleront, utiliseront et communiqueront des renseignements personnels dans le cadre de la préparation de l’instance.
Avant qu’une instance ne soit effectivement introduite et qu’une défense soit produite, on ne peut présumer que les parties à une instance éventuelle ont implicitement consenti à certaines activités relatives au litige nécessitant leurs renseignements personnels. À moins que le consentement n’ait été obtenu par d’autres moyens (par exemple la personne et l’organisation sont parties à un contrat qui comprend une clause permettant la collecte, l’utilisation ou la communication du renseignement en cas de litige), l’organisation doit examiner les exceptions au consentement énumérées à l’article 7 de la LPRPDE pour savoir si la collecte, l’utilisation ou la communication envisagées sont permises.
Vérifications de la solvabilité
L’une des questions qui se posent préalablement au litige et qui soulèvent de graves préoccupations sur le plan de la protection de la vie privée est la pratique qui consiste à mener des vérifications de la solvabilité d’une personne, plus particulièrement d’un client potentiel ou d’un défendeur. Ces vérifications sont généralement effectuées en vue d’évaluer la capacité d’un client de financer un procès et de payer efficacement ses factures ou la solvabilité d’un défendeur potentiel et la probabilité de faire appliquer tout jugement pécuniaire. Dans la mesure où la vérification de la solvabilité est menée dans le cadre d’une activité commerciale, par exemple pour servir les intérêts commerciaux du cabinet d’avocats ou de ses entreprises clientes, la LPRPDE interdira généralement ces vérifications de solvabilité sans le consentement de la personne, sauf si l’une des exceptions prévues à l’article 7 de la LPRPDE s’applique.
Surveillance
La surveillance et des formes semblables d’enquête sont un autre domaine courant d’activité préalable à un litige touchant la collecte, l’utilisation et la communication de renseignements personnels. Les avocats sont souvent appelés à orienter des activités de surveillance et des enquêtes ou à donner des conseils à cet égard.
Les organisations qui mènent des activités de surveillance directement ou par l’intermédiaire d’un enquêteur privé avant le début d’un litige doivent être conscients des exigences de la LPRPDE en la matière. Les organisations ne peuvent recueillir des renseignements personnels au moyen d’une surveillance secrète sauf si l’une des exceptions énumérées au paragraphe 7(1) de la Loi qui renvoient à l’obligation d’informer l’intéressé et d’obtenir son consentement.
Pour évaluer si une personne raisonnable estimerait que les fins d’une organisation à l’égard de la surveillance et de l’enregistrement de renseignements personnels sont acceptables aux termes du paragraphe 5(3) de la LPRPDE, la Cour fédérale a appliqué le critère suivant :
- Est-il possible d’établir que la surveillance et l’enregistrement sont nécessaires pour répondre à un besoin particulier?
- La surveillance et l’enregistrement sont-ils susceptibles d’être efficaces pour répondre à ce besoin?
- La perte de vie privée est‑elle proportionnelle à l’avantage obtenu?
- Existe-t-il un autre moyen portant moins atteinte à la vie privée qui permette d’arriver au même butNote de bas de page 22?
En se fondant sur le critère ci‑dessus, les organisations devraient restreindre le type et la quantité de renseignements à ce qui est nécessaire pour réaliser les fins déterminées, y compris en limitant la durée et la portée de la surveillance.
De plus, les organisations devraient limiter la collecte de renseignements personnels concernant des tiers qui ne font pas l’objet d’une enquête en évitant sélectivement au départ d’enregistrer leur image ou tout autre renseignement personnel les concernant. Si un renseignement personnel est recueilli par inadvertance ou de façon inévitable, l’organisation devrait le détruire ou le dépersonnaliser au moyen d’une technologie permettant de brouiller les images, ou d’autres moyens, dans les plus brefs délais possiblesNote de bas de page 23.
Les organisations devraient documenter chaque décision d’entreprendre une surveillance et conserver un dossier sur les progrès réalisés et les résultats atteints, idéalement dans le cadre d’une politique de surveillance officielleNote de bas de page 24. Afin d'assurer que les organisations tiennent compte de tous les facteurs pertinents pour déterminer si des activités de surveillance seront réalisées et comment elles le seront, chacun des facteurs décrits plus haut devrait être mentionné dans une documentation écrite. Ces facteurs sont pertinents à l’égard des activités de surveillance menées à l’instigation des avocats ou des cabinets d’avocats eux‑mêmes à titre d’organisations qui peuvent être assujetties à la LPRPDE. Ils sont aussi utiles pour tout conseil que des avocats ou des cabinets d’avocats fournissent à leurs organisations clientes ou dans le cadre de tout acte qu’ils posent en leur nom en effectuant la surveillance dans le cadre d’une activité commerciale visée par la LPRPDE.
Retenir les services d’un enquêteur privé
Les organisations, y compris les avocats, qui cherchent à engager un enquêteur privé dans le cadre d'un litige possible, ou pour d’autres raisons, devraient conclure une entente écrite avec l’enquêteur comprenant des dispositions explicites sur les questions relatives à la protection de la vie privée. Il incombe à l’enquêteur et à l’organisation (souvent suivant les conseils de son avocat) de s’assurer que l’enquête est menée conformément à la LPRPDE, chaque fois que celle‑ci s’applique. L’entente écrite avec l’enquêteur devrait comprendre, entre autres, les dispositions suivantes :
- confirmation par l’enquêteur privé qu’il recueillera les renseignements personnels conformément à toute loi applicable, y compris la LPRPDE;
- reconnaissance par l’organisation qui retient les services de l’enquêteur qu’elle a le pouvoir aux termes de la LPRPDE de recueillir les renseignements personnels concernant la personne qui fait l’objet d’une enquête et de les communiquer à l’enquêteur;
- description précise des fins visées par la surveillance et du type de renseignements recherchés;
- exigence selon laquelle la collecte de renseignements personnels doit être limitée;
- exigence selon laquelle l’enquêteur doit éviter de recueillir des renseignements non pertinents concernant des tiersNote de bas de page 25.
Actes de procédure
Les activités préalables à un litige se terminent souvent par la rédaction et la production d’un acte de procédure, généralement une déclaration. Même s’il est largement admis en pratique qu’une partie peut communiquer des renseignements personnels importants dans un acte de procédure sans obtenir le consentement de la personne concernée, à titre de pratique exemplaire, les avocats devraient s’assurer que la communication de renseignements personnels dans un acte de procédure est réduite au minimum. Les renseignements personnels non pertinents ou non importants ne devraient pas figurer dans un acte de procédure.
Questions relatives à la protection de la vie privée soulevées dans le cadre d’un litige
Le déroulement d’un litige est rarement prévisible. Un grand nombre des questions préalables à un litige mentionnées dans la section précédente du guide peuvent se poser et se posent effectivement après le début d’un litige. Les enquêtes peuvent se poursuivre tout au long du processus. Les questions de droit et de fait peuvent être ajoutées ou enlevées de la procédure au fur et à mesure qu’elle se déroule, ce qui exige que l’on recueille plus de renseignements personnels ou, au contraire, que l’on retranche des renseignements personnels à l’égard de questions qui ne sont plus en litige. Les avocats doivent être vigilants à l’égard de la protection de la vie privée et de la surveillance de leurs propres pratiques de gestion des renseignements personnels et de celles de leurs clients à chaque étape du déroulement d’une affaire.
La présente section du guide met l’accent sur les questions liées à la protection de la vie privée dans le cadre de la conduite d’un litige, en particulier au cours de l’enquête préalable (y compris l’administration de la preuve électronique et l’interrogatoire de tiers) et les demandes d’accès à des renseignements personnels. Parmi les autres questions qui peuvent avoir trait à la LPRPDE, les avocats doivent examiner la portée de ce qui devrait être conservé et produit au cours d’une enquête préalable (par exemple la question de savoir si les lecteurs de disques durs et les bandes de sauvegarde doivent être produits en entier), le retranchement de renseignements personnels non pertinents de documents autrement pertinents et le lieu où les documents peuvent être examinés par la partie adverse.
Règle de la présomption d’engagement
Avant d’aborder les exigences de la LPRPDE, il est important de souligner que les tribunaux ont protégé la vie privée de diverses manières par des règles de procédure civile et d’autres moyens. Par exemple, la règle de la présomption d’engagement protège depuis longtemps la vie privée dans le cadre des litiges. La notion d’engagement implicite ou de présomption d’engagement existe dans chaque administration canadienne, y compris la province de Québec. La règle prévoit que « tout ce qui est divulgué dans la pièce où se déroule l’interrogatoire préalable reste dans cette pièce, sauf si cela est finalement révélé en salle d’audience ou révélé par suite d’une ordonnance judiciaireNote de bas de page 26 ». Les renseignements obtenus dans le cadre d’un interrogatoire préalable ne doivent pas être utilisés à des fins accessoires ou ultérieures à la procédure au cours de laquelle ils sont communiqués. La justification principale sous-jacente à cette règle est la protection de la vie privée.
La règle de la présomption d’engagement complète les principes de la LPRPDE selon lesquels les organisations ne peuvent recueillir, utiliser ou communiquer des renseignements personnels uniquement qu’aux fins qu’une personne raisonnable estimerait acceptables dans les circonstances, et ne doivent pas utiliser ces renseignements à des fins autres que celles auxquelles ils ont été recueillis.
De plus, dans les cas qui concernent des renseignements personnels particulièrement sensibles, les parties ont la possibilité de protéger ces renseignements en demandant une ordonnance de mise sous scellés du dossier du tribunal, en désignant les parties seulement à l’aide de leurs initiales ou en protégeant les renseignements personnels sensibles par d’autres ordonnances judiciaires accessibles.
Pertinence et proportionnalité
Les principes de la pertinence et de la proportionnalité peuvent protéger la vie privée d’une personne parce qu’ils limitent la portée des renseignements qui doivent être communiqués au cours du processus d’enquête préalable. Si des renseignements personnels ne sont pas pertinents au litige, ils ne devraient pas être recueillis, utilisés ou communiqués. Comme cela a été décrit précédemment dans le présent guide, la pertinence peut aussi avoir pour effet de limiter la portée du consentement implicite accessible à une partie qui recueille des renseignements concernant une partie adverse dans le cadre d’un litige. Autrement dit, le consentement implicite d’une partie à la collecte, à l’utilisation ou à la communication de renseignements personnels qui la concernent s’étendra seulement aux renseignements qui sont pertinents au litige.
De plus, le principe de la proportionnalité en matière de litiges prévoit que l’atteinte au droit à la vie privée constitue l’un des coûts non monétaires qui devrait être pris en considération pour déterminer si les documents doivent être conservés, produits ou communiqués dans le cadre d’un litige. Même si l’on peut soutenir que le principe de la proportionnalité a toujours fait partie du contexte des litiges canadiensNote de bas de page 27, ce principe a récemment été officialisé à l’égard de l’administration de la preuve électronique dans les principes de Sedona Canada relatifs à l’administration de la preuve électroniqueNote de bas de page 28. Le deuxième de ces principes prévoit ce qui suit :
[…] les parties devraient s’assurer que les étapes suivies dans le cadre de l’administration de la preuve sont proportionnelles, eu égard à (i) la nature et l’importance du litige, incluant l’importance et la complexité des questions en litige, des intérêts et des montants en jeu; (ii) la pertinence des informations sur support électronique disponibles; (iii) l’incidence des informations sur support électronique sur le processus décisionnel du tribunal dans chaque instance; et aux (iv) coûts, fardeau et délais que les parties devront assumer afin de gérer les informations sur support électronique.
Le commentaire formulé à l’égard du deuxième principe confirme que la protection de la vie privée est l’un des coûts dont les parties au litige doivent tenir compte dans le cadre du traitement des renseignements conservés sous forme électronique. Les avocats devraient examiner de quelle façon la pertinence et la proportionnalité peuvent réduire ou éliminer le besoin de leurs clients de demander ou de communiquer des renseignements personnels dans le cadre d’un litige.
Ententes et directives du tribunal visant à protéger la vie privée
Le neuvième principe des principes de Sedona Canada énonce que les parties devraient s’entendre pour protéger la vie privée dans le cadre de l’administration de la preuve électronique ou demander des directives au tribunal à cet égard. Comme cela a été mentionné plus haut, cette protection pourrait prendre la forme d’une ordonnance de mise sous scellés, par laquelle la Cour pourrait ordonner que la totalité ou une partie du dossier de preuve demeure confidentielle. Toutefois, il y a d’autres domaines où les directives d’un tribunal peuvent être nécessaires. Par exemple, les parties peuvent avoir besoin de demander des directives concernant le retranchement de renseignements personnels de documents qui sont normalement pertinents au litige ou de demander une ordonnance enjoignant à une partie adverse de conserver au Canada tout document communiqué dans le cadre d’une enquête préalable comprenant des renseignements personnelsNote de bas de page 29. À défaut de demander des directives au tribunal à cet égard, les avocats devraient essayer de prévoir et de régler les questions relatives à la protection de la vie privée par une entente, y compris la participation à une rencontre pour discuter de ces questions.
Protection de la vie privée dans le cadre de l’administration de la preuve électronique
Comme le soulignent les principes de Sedona Canada, les avocats et leurs clients doivent être particulièrement sensibles aux exigences de la LPRPDE en matière d’administration de la preuve électronique. Dans de nombreux cas, les appareils électroniques, comme les ordinateurs et les téléphones intelligents, comprendront un nombre considérable de renseignements personnels de nature extrêmement sensible concernant un certain nombre de personnes qui ne sont pas pertinentes au litige. Les personnes utilisent souvent ces appareils dans le cadre de leur travail ou à des fins commerciales et personnelles, ce qui soulève habituellement des questions relatives à la protection de la vie privée dans le cadre des litiges.
Les tribunaux ont à maintes reprises rejeté des demandes de production de lecteurs de disques durs complets et d’autres renseignements électroniques au motif que cette production constitue une atteinte injustifiée à la vie privéeNote de bas de page 30. Même lorsque la production est ordonnée, les tribunaux imposeront souvent des mesures visant à réduire au minimum les atteintes à la vie privée. Par exemple, le tribunal pourrait exiger qu’un expert indépendant examine l’appareil relativement aux renseignements pertinentsNote de bas de page 31.
Les avocats et les clients qui engagent des fournisseurs de services pour les aider à gérer les questions relatives à l’administration de la preuve électronique devraient se satisfaire à ce que le fournisseur de services se conformera aux normes de la LPRPDE. La question de l’utilisation de fournisseurs de services est abordée dans d’autres sections du guide. L’avocat ou le client doit, par voie contractuelle ou d’autres moyens, s’assurer de fournir un degré de protection comparable aux renseignements personnels qui sont en cours de traitement par le fournisseur de services. Il devrait toujours être demandé aux fournisseurs de services s’ils traitent ou conservent des renseignements à l’extérieur du Canada. Le commissaire recommande que les organisations informent les intéressés lorsque des renseignements qui les concernent sont traités par un fournisseur de services à l’extérieur du Canada. Cette recommandation peut être difficile à appliquer dans le cadre de certains litiges où il n’est pas toujours possible de donner un avis, en particulier dans le cas de renseignements personnels reçus d’une partie adverse au cours de l’enquête préalable.
Interrogatoire préalable de tiers
Les organisations et leurs avocats examinent souvent des sources d’information de tiers dans le cadre des litiges. L’interrogatoire de tiers est souvent possible aux termes des règles de procédure civile et par l’entremise d’ordonnances Norwich. Ces dernières permettent aux victimes d’une fraude présumée d’accéder à des renseignements qui pourraient être pertinents auprès de tiers, comme des institutions financièresNote de bas de page 32. Les tiers, tels que des fournisseurs de services Internet, des fournisseurs de services de télécommunication, des fournisseurs de médias sociaux, des banques, des hôpitaux et autres, détiennent un grand nombre de renseignements concernant les activités quotidiennes de personnes. Ces renseignements peuvent être extrêmement utiles dans le cadre d’un litige; toutefois, ils doivent être obtenus en conformité avec la LPRPDE.
Sauf dans des circonstances exceptionnelles, comme une menace à la santé et à la sécurité, les tiers ne devraient pas accepter de communiquer des renseignements personnels à des parties ou à des parties éventuelles à un litige sans le consentement de l’intéressé ou une ordonnance du tribunalNote de bas de page 33. Une assignation à témoigner peut être considérée comme une ordonnance d’un tribunal; toutefois, aucun renseignement ne devrait être communiqué à moins d’une disposition précise à cet égard dans l’assignationNote de bas de page 34. Par exemple, s’il est demandé à un témoin, dans le cadre d’une assignation, de se présenter devant le tribunal pour témoigner et d’apporter les documents pertinents, les documents contenant des renseignements personnels ne devraient pas être communiqués à la partie requérante avant la comparution, à moins que la personne concernée ait donné son consentement.
La conformité avec la LPRPDE dans ce contexte exige que les renseignements personnels à communiquer soient pertinents et qu’ils soient limités à ce qui est nécessaire pour réaliser les fins déterminées. La communication doit uniquement être faite à l’organisation désignée dans l’ordonnance. À titre de pratique exemplaire, les avocats devraient toujours examiner la question de savoir s’il existe d’autres moyens d’obtenir les renseignements recherchés, y compris des façons moins susceptibles d’entraîner des atteintes à la vie privée. On devrait épuiser la liste des solutions de rechange avant de demander des renseignements à un tiers. Les tribunaux peuvent refuser d’obliger un tiers à communiquer des renseignements lorsqu’il existe d’autres moyens de les obtenirNote de bas de page 35.
Les avocats doivent aussi être conscients du fait qu’un tribunal peut refuser d’ordonner à un tiers de communiquer des renseignements personnels si les documents à l’appui de la requête démontrent que la partie requérante a enfreint indûment le droit à la vie privée de la personne touchéeNote de bas de page 36.
Demandes d’accès et litiges
Demandes d’accès aux termes de la LPRPDE
Dans le cadre d’un litige et dans certains cas, avant un litige, les avocats et leurs clients peuvent recevoir des demandes d’accès à des renseignements personnels de parties adverses, réelles ou potentielles, ou d’autres personnes, y compris des témoins.
Même si une procédure judiciaire est en cours, toutes les organisations doivent répondre aux demandes d’accès conformément à la LPRPDENote de bas de page 37. L’accès peut être légitimement refusé aux termes de la LPRPDE au motif que les renseignements font l’objet du secret professionnel qui lie un avocat à son client (notamment les conseils juridiques et le privilège relatif au litige)Note de bas de page 38, ou qu’ils ont été fournis uniquement à l’occasion d’un règlement officiel des différends. Toutefois, l’accès ne peut être refusé simplement parce qu’il existe une procédure judiciaire parallèle en cours qui peut impliquer certains de ces renseignements. Le droit d’accès est un droit fondamental, non tempéré par le motif pour lequel une demande est présentée.
Les avocats devraient aussi savoir que, lorsque l’accès à des renseignements personnels est refusé et que la personne dépose par la suite une plainte au commissaire, cette dernière n’est pas obligée de procéder à l’examen de la plainte dans chaque cas. Le commissaire peut refuser de mener une enquête s’il est convaincu que la plainte pourrait avantageusement être instruite, dans un premier temps ou à toutes les étapes, au moyen de la procédure accessible aux parties dans le cadre du processus judiciaire parallèleNote de bas de page 39. Par exemple, lorsque la seule question en litige dans la plainte consiste à déterminer si les renseignements qui sont demandés sont visés par le privilège relatif au litige, le commissaire peut ordonner aux parties de chercher à régler le litige devant les tribunaux dans le cadre du litige en coursNote de bas de page 40.
Réclamations de secret professionnel liant un avocat à son client aux termes de la LPRPDE
Le commissaire a le devoir d’examiner les plaintes relatives aux infractions à la LPRPDE, y compris les plaintes contre une organisation qui refuse de fournir l’accès à des renseignements personnels à la suite d’une demande. Pendant son enquête, le commissaire dispose de vastes pouvoirs pour assurer un examen des plaintes efficace et valable. Toutefois, les tribunaux ont récemment précisé que le commissaire ne peut contraindre une organisation à lui produire des renseignements à l’égard desquels l’organisation invoque le secret professionnel liant un avocat à son client, ou obliger une organisation à produire une justification de sa réclamation, au moyen d’un affidavit par exemple.
Néanmoins, et sauf si le commissaire exerce son pouvoir discrétionnaire pour refuser de procéder à l’examen d’une plainte dans les circonstances applicables, le commissaire doit quand même mener une enquête et produire un rapport sur des plaintes de refus d’accès fondées sur une allégation de secret professionnel liant un avocat à son client. Pour accomplir son mandat, le commissaire peut admettre des éléments de preuve volontairement présentés par l’organisation à l’appui de sa requête. Autrement, il peut renvoyer l’affaire devant la Cour fédérale en vertu de l’article 18.3 de la Loi sur les Cours fédérales, ou il peut signaler une situation d'impasse et présenter par la suite une demande d’audience devant la Cour fédérale aux termes de l’article 15 de la LPRPDE.
Les organisations, y compris les avocats, devraient sérieusement évaluer si les renseignements personnels qu’ils refusent de communiquer à une personne sont vraiment visés par le secret professionnel liant un avocat à son client et, dans les cas concernant des allégations de privilège relatif au litige, si les renseignements personnels demandés ont été créés à des fins principalement liées à un litige réel ou raisonnablement prévu et si ce privilège s’applique encore.
Conclusion
Comme il est décrit dans le guide, les avocats ont souvent accès à des renseignements personnels sensibles concernant leurs clients et d’autres personnes. Même s’ils sont assujettis depuis longtemps à des responsabilités juridiques et déontologiques concernant la collecte, l’utilisation et la communication de ces renseignements, les avocats doivent aussi examiner attentivement leur obligation de se conformer aux lois relatives à la protection de la vie privée, y compris la LPRPDE le cas échéant.
Dans certains cas, les exigences de la LPRPDE reflètent les obligations déontologiques actuelles des avocats. Dans d’autres, le respect des exigences de la LPRPDE dans le cadre de la pratique juridique peut ajouter de la complexité. Les avocats doivent non seulement examiner leurs propres obligations relatives à la protection de la vie privée, mais aussi les différentes obligations auxquelles chacun de leurs clients peut être confronté. Les obligations relatives à la protection de la vie privée applicables à des clients peuvent parfois restreindre ce que les avocats peuvent faire avec les renseignements personnels qu’ils recueillent, utilisent ou communiquent au nom de leurs clients. Il est à souhaiter que le guide aidera les avocats à déterminer les diverses exigences de la LPRPDE qui s’appliquent à la gestion quotidienne de la pratique juridique et dans les affaires civiles, et à s’y conformer. En plus du présent guide, les avocats sont encouragés à consulter la LPRPDE et d’autres ressources supplémentaires, y compris l’information publiée par le commissaire à l’adresse suivante : www.priv.gc.ca.
Le site Web du Commissariat est fréquemment mis à jour et comprend un large éventail de liens et de ressources supplémentaires qui approfondissent un certain nombre des questions mises en évidence dans le guide, y compris :
- des résumés des principales conclusions à l’égard de l’interprétation des dispositions de la LPRPDE;
- des lignes directrices sur la surveillance, les atteintes à la protection des données et d’autres sujets;
- des outils, des conseils, des listes de vérification et des questionnaires pour aider les organisations à se conformer à la LPRPDE;
- des bulletins d’interprétation qui traitent des principales dispositions de la LPRPDE, comme la définition des termes « renseignement personnel » et « activité commerciale »;
- des rapports de consultations publiques et d’autres initiatives prises par le commissaire.
Le site renferme aussi un nombre croissant de décisions judiciaires qui portent sur différents aspects de la LPRPDE. Les avocats sont encouragés à se tenir au courant des changements pertinents afin de s’assurer qu’ils continuent de se conformer à la LPRPDE, et, plus important encore, de servir de modèles exemplaires de comportement éthique et respectueux au nom de la profession et des clients qu’ils représentent.
Supports de substitution
- PDF (3,6 Mo) Accessibilité non vérifiée
- Date de modification :