Imprimer Envoyer à un collègue Augmenter la taille de la police

Publication

TITRE

Développements récents sur les renseignements personnels (Projet de loi C-6)

DATE

19 mars 2002

EXPERTISE

Protection de la vie privée et accès à l'information

La Loi sur la protection des renseignements personnels et les documents électroniques a été adoptée par la Chambre des Communes le 4 avril 2000 et il est prévu qu'elle entrera en vigueur le 1er janvier 2001. Cette loi établit un ensemble de règles régissant la cueillette, l'utilisation, la conservation et la communication des renseignements personnels.

Son adoption donne lieu à une série de questions fondamentales relativement à sa constitutionnalité, son vocabulaire ainsi que sa structure particulière et posera des problèmes pratiques et juridiques aux entreprises et à la gestion quotidienne de leurs activités.

Le but de ce bulletin est de vous présenter un survol de ce que vous, en tant que dirigeant d'une entreprise fédérale, devriez savoir sur la vie privée. Si vous dirigez une entreprise de juridiction provinciale, même au Québec, nous vous prions de ne pas ignorer ce bulletin puisque la Loi pourrait vraisemblablement influencer vos pratiques commerciales.

À qui la loi s'adresse-t-elle?

Cette loi s'applique à toutes les entreprises fédérales (comme par exemple les banques, les compagnies ferroviaires, les transporteurs aériens) et à toutes les entreprises qui sont normalement assujetties aux lois provinciales, dans le cours de leurs activités commerciales dans plus d'une province (y compris les entreprises au Québec). La Loi régit la cueillette, l'utilisation et la communication des renseignements personnels qui sont définis comme tout renseignement concernant un individu identifiable, à l'exclusion du nom et du titre d'un employé, d'une organisation et des adresse et numéro de téléphone de son lieu de travail.
Même si la Loi prévoit que le gouverneur en conseil peut exempter, par décret, une entreprise ou un secteur d'activité de son application lorsqu'il existe dans une province une législation substantiellement similaire à la Loi, une telle exemption ne s'appliquerait qu'à l'égard de la collecte, l'utilisation et la communication d'un renseignement personnel qui a lieu uniquement dans les limites de cette province. En conséquence, cette exemption a une portée très limitée, et les entreprises demeureront assujetties tant aux lois provinciales qu'à la loi fédérale lorsqu'elles exerceront leurs activités commerciales dans plus d'une province.

Principes de base

Cette loi s'applique à un large éventail de renseignements relatifs aux employés et à la clientèle d'une entreprise : adresse et numéro de téléphone à la maison; âge, état civil; éducation et antécédents d'emploi; évaluations; références; revenus et actifs, dettes; utilisation d'avantages sociaux, renseignements médicaux, dossiers disciplinaires, dossiers d'enquête et de surveillance. La loi contient en outre une définition spécifique de renseignement personnel sur la santé.

La loi établit certains principes de base régissant la cueillette, l'utilisation et la communication des renseignements personnels. Ceux-ci se résument comme suit :

  • Mis à part certaines exceptions, des renseignements personnels ne peuvent être recueillis, utilisés ou communiqués à l'insu de l'intéressé ou sans son consentement.
  • La forme du consentement peut varier selon les circonstances.
  • Généralement, les organisations ne seront autorisées à recueillir les renseignements personnels qu'auprès des intéressés qui sont concernés et seulement après leur avoir divulgué l'utilisation qui sera faite de ces renseignements ainsi que la façon dont ils seront communiqués.
  • Les renseignements personnels ne devront pas être utilisés ou communiqués d'une manière autre que celle qui a été indiquée lors de la cueillette à moins d'obtenir à nouveau le consentement de l'intéressé. Une personne peut révoquer le consentement préalablement accordé.
  • La personne visée par les renseignements détenus pourra, sur demande écrite, obtenir des informations quant à l'existence, l'utilisation et la communication des renseignements personnels la concernant et, hormis quelques exceptions, obtenir accès à ces renseignements. Une personne pourra aussi contester l'exactitude des renseignements et faire corriger ceux-ci lorsque cela sera approprié.
  • Les renseignements personnels ne devront être conservés que pour le temps nécessaire à l'accomplissement de l'acte pour lequel ils ont été recueillis ou pour permettre à une personne d'accéder aux renseignements la concernant en vertu d'une demande d'accès.
  • Les organisations sont tenues de protéger les renseignements détenus de façon à empêcher l'utilisation ou la communication par des personnes non autorisées.

Les principes énoncés ci-dessus obligent, mis à part quelques exceptions, les organisations à obtenir le consentement (implicite ou explicite) des personnes pour la cueillette, l'utilisation ou la communication des renseignements personnels les concernant.

Afin d'éviter la cueillette arbitraire de renseignements personnels inutiles, les organisations devront évaluer si les renseignements demandés sont réellement nécessaires et correspondent aux fins pour lesquelles ils sont recueillis.

Le droit d'une personne d'obtenir des détails relativement à l'existence, à l'utilisation et à la communication des renseignements personnels la concernant, et, sauf quelques exceptions, d'obtenir l'accès à ces renseignements, exigera des organisations qu'elles consignent l'utilisation et la divulgation des renseignements personnels et qu'elles établissent des systèmes de repérage des renseignements demandés.

La protection contre l'utilisation ou la communication non autorisée des renseignements personnels exigera des organisations l'établissement de règles régissant l'accès tant interne qu'externe aux renseignements personnels. Ces mesures de sécurité devraient comprendre :

  • restreindre la conservation des renseignements sur les personnes selon le type de dossiers;
  • restreindre le genre de renseignements personnels ou de dossier pouvant être accessibles par certains employés ou groupes d'employés;
  • établir des mesures de sécurité afin de restreindre l'accès au personnel autorisé;
  • établir des systèmes de surveillance de la consultation et de la communication des renseignements personnels;
  • établir des protocoles d'approbation et de consignation des demandes de renseignements non usuelles et provenant de l'extérieur;
  • établir des systèmes de protection des renseignements personnels lors de la copie ou de la transmission électronique ou par télécopieur; et
  • établir des normes afin de maintenir l'exactitude des renseignements conservés et pour l'élimination des renseignements qui ne sont plus nécessaires.

De nos jours, la majorité des organisations reconnaissent leur obligation morale sinon légale de protéger et restreindre la cueillette et l'utilisation des renseignements personnels se rapportant à leurs employés et aux personnes avec qui elles transigent. Nonobstant ce fait, la Loi requiert même des organismes les plus sophistiqués de modifier la façon dont ils traitent les renseignements personnels. En plus d'établir des politiques qui répondent aux normes législatives, les organismes devront surveiller et réviser sur une base régulière la cueillette, l'utilisation et la communication des renseignements personnels afin de réduire les risques de plaintes et d'enquêtes sous l'égide de la Loi.

Le présent document est un instrument d'information et de vulgarisation. Son contenu ne saurait en aucune façon être interprété comme un exposé complet du droit ni comme un avis juridique d'Ogilvy Renault ou de l'un des membres du cabinet sur les points de droit qui y sont discutés.
Si vous désirez corriger ou modifier vos coordonnées,
veuillez communiquer avec notre Service à la clientèle par téléphone au (514) 847-4859 ou par télécopieur au (514) 286-5474.

© OGILVY RENAULT 2002 - Tous droits réservés

 Retour aux résultats de la recherche de publications



Pour recevoir nos publications