Assemblée législative du Nouveau-Brunswick
Comités parlementaires
Accueil | English

Introduction

En juillet 1996, le ministre de la Justice a déposé à l'Assemblée législative, en vue de l'étude par le Comité permanent de modification des lois, un document de travail intitulé Loi sur la protection des renseignements personnels au Nouveau-Brunswick. Celui-ci renfermait des recommandations au sujet du contenu des mesures législatives visant la protection et la confidentialité des renseignements personnels qui se trouvent en possession du gouvernement du Nouveau-Brunswick.

Le Comité permanent de modification des lois a tenu des audiences publiques en octobre et en novembre 1996, et il a présenté son rapport en février 1997. Ce rapport renfermait deux recommandations. La première approuvait en principe le document de travail. Des mesures législatives fondées sur ce document, à savoir la Loi sur la protection des renseignements personnels, ont été promulguées en février 1998; les préparatifs en vue de la proclamation vont débuter bientôt. L'expression « Loi visant le secteur public » servira à désigner ces mesures législatives dans les pages qui suivent.

La deuxième recommandation du Comité permanent de modification des lois se lisait comme suit :

RECOMMANDATION 2

Le comité recommande fortement que le gouvernement prépare un document de travail sur-le-champ, en vue d'audiences publiques, pour ce qui est d'étendre au secteur privé l'application de la mesure législative sur la protection des renseignements personnels.

Pour expliquer cette recommandation, le comité s'est exprimé de la façon suivante :

Le comité entend, dans diverses interventions, que la mesure législative sur la protection des renseignements personnels ne devrait pas seulement s'appliquer aux organismes gouvernementaux mais aussi au secteur privé. Il est avancé que, peu importe si l'organisme ayant la surveillance des données personnelles se trouve dans un ministère ou dans une entreprise du secteur privé, les renseignements personnels sur les particuliers doivent quand même être protégés contre un accès préjudiciable.

Le présent document de travail a été préparé pour faire suite à la recommandation 2 du Comité permanent de modification des lois.

La première question que soulève cette recommandation est celle de savoir si le nouveau document de travail doit être fondé sur une définition plus restreinte ou plus large de son objet. Le document de 1996 se penchait sur ce que l'on appelle « la protection des données », c'est-à-dire l'établissement de règles qui régissent le traitement des renseignements personnels dont les organismes font la collecte dans le cadre de leurs activités. Si on adopte un point de vue restrictif, il suffirait de discuter ici des mesures législatives sur la protection des données dans le secteur privé qui seraient comparables à la Loi visant le secteur public.

Si on adopte une approche plus large, par contre, on s'aperçoit que la protection des données ne constitue qu'une partie de la question plus vaste de la protection de la vie privée. La définition que l'on donne souvent à la vie privée de nos jours comporte trois principales facettes : la protection de l'intégrité physique (le respect du corps de la personne), la protection de l'espace personnel (l'intimité spatiale) et la protection des renseignements personnels (qui sait quoi à votre sujet et que fait-on de ce qu'on sait?). La protection des données appartient en grande partie au domaine de la protection des renseignements personnels, n'étant par conséquent qu'une facette de la protection de la « vie privée » dans son sens large. Dans certains documents, comme le rapport intitulé La vie privée : Où se situe la frontière? qui a été rendu public en 1997 par le Comité permanent des droits de la personne et de la condition des personnes handicapées de la Chambre des communes, on avance que la protection de la vie privée dans son ensemble - et non seulement celle des renseignements personnels - soulève des préoccupations sociales et devrait faire l'objet de mesures législatives.

Bien qu'on pourrait ne s'en tenir dans ce document qu'aux mesures législatives visant précisément la protection des données, il est opportun d'examiner parallèlement le contexte global des lois assurant la protection de la vie privée. Il existe un lien évident entre les deux, surtout du point de vue des recours qui pourraient être créés par les mesures législatives sur la protection des données. Ce qui s'imposerait dans ce contexte serait en partie tributaire des recours que prévoient ou pourraient établir les lois relatives à la protection de la vie privée. Il existe aussi un lien important au chapitre de la portée de toute mesure législative qui pourrait être adoptée en vue de promouvoir la protection de la vie privée. La protection des données est-elle la seule ou la plus pressante des préoccupations? L'examen de la législation sur la protection de la vie privée dans son ensemble de même que les mesures auxiliaires sur la protection des données permettra de soumettre ces questions à un débat public.

Le présent document abordera donc la législation sur la protection de la vie privée entendue dans son sens large. Le document est divisé en deux parties. La première traite de la Protection des données dans le secteur privé. Il s'agit du prolongement logique et inéluctable du document de travail de 1996 et de la Loi visant le secteur public. Dans cette partie, on s'interrogera sur l'opportunité d'adopter des mesures législatives relatives à la protection des données dans le secteur privé; pour orienter la discussion, on y a décrit le contenu possible d'une loi portant sur cette question. Le modèle tracé est fondé sur le Code type sur la protection des renseignements personnels de l'Association canadienne de normalisation (appelé ci-après le « code de la CSA ») et sur la Loi visant le secteur public qui s'inspire en grande partie du code de la CSA.

Dans la deuxième partie, intitulée La vie privée en général, les recours judiciaires qui s'offrent actuellement au Nouveau-Brunswick en cas d'atteinte au droit à la vie privée seront examinés. On s'interrogera sur la nécessité de légiférer davantage à ce sujet. À cet égard, deux questions seront abordées. La première consiste à savoir si le Nouveau-Brunswick devrait suivre l'exemple de plusieurs (mais pas toutes) provinces canadiennes et légiférer afin de faire de l'atteinte à la vie privée un « délit civil » en bonne et due forme. Le délit civil est un acte fautif dont la victime peut demander réparation aux tribunaux dans le cadre de recours comme l'action en dommages-intérêts, le jugement déclaratoire et l'injonction. La deuxième question consiste à savoir si des recours pourraient être exercés devant des organismes autres que les tribunaux en cas de violation du droit à la vie privée. Diverses possibilités seront étudiées, notamment celle qui consiste à élargir le mandat de la Commission des droits de la personne du Nouveau-Brunswick de sorte à lui permettre de jouer un rôle en matière de protection de la vie privée, en plus de son travail actuel de lutte à la discrimination. S'ils étaient adoptés, les recours judiciaires et extrajudiciaires examinés dans la partie II s'appliqueraient à tous les cas, qu'ils proviennent du secteur public ou du secteur privé.

Dans le présent document on ne présente pas de recommandations précises au sujet des diverses questions abordées. On présente plutôt des propositions en vue d'alimenter la discussion. Bon nombre de ces propositions ont été formulées de façon détaillée et pourraient servir de base à des mesures législatives si l'on concluait, à la suite des consultations, qu'une démarche semblable s'impose. Aucune décision n'a cependant été prise à ce sujet jusqu'à maintenant. Il est toujours possible de ne pas promulguer de loi, de légiférer à la pièce au sujet de l'une ou l'autre ou de plusieurs des questions examinées, ou d'adopter des mesures législatives qui aborderaient toutes les facettes de la question. Le présent document de travail a pour but d'aider à établir, au plan de la politique, les choix les plus appropriées dans les circonstances.

I. Protection des données dans le secteur privé

Dans la présente partie du document, on posera les deux questions suivantes : « Des mesures législatives sur la protection des données s'imposent-elles dans le secteur privé? »; « Dans l'affirmative, quel pourrait en être le contenu? » Les deux questions sont étroitement reliées. Plus on pourra préciser la teneur possible de la loi, plus on pourra argumenter à son sujet de façon éclairée.

Heureux effet du hasard, le présent document de travail a été préparé au moment même ou un document en particulier, le code de la CSA, domine les débats touchant la protection des données dans le secteur privé. Ce code a été préparé à l'intention de l'Association canadienne de normalisation par un comité technique composé de représentants du gouvernement fédéral, de l'industrie, des commissariats à la protection de la vie privée et des groupes de pression. De la façon dont il a été conçu, le code n'a pas force obligatoire; les organismes du secteur privé peuvent donc l'adopter intégralement s'ils le désirent ou même le modifier en fonction de leur situation particulière s'ils le jugent à propos. Mais on a peu à peu commencé à y voir le fondement d'une loi plutôt qu'une simple mesure d'autoréglementation. Le gouvernement fédéral est en faveur d'un tel point de vue. Il a fait connaître son intention d'adopter d'ici l'an 2000 des mesures législatives sur la protection des renseignements personnels dans les industries du secteur privé qui relèvent de sa compétence; le document de consultation qu'il a récemment rendu public et qui est intitulé La protection des renseignements personnels : Pour une économie et une société de l'information au Canada (janvier 1998) fait porter le débat sur le code de la CSA. Un certain nombre de commissaires à la protection de la vie privée au Canada se sont exprimés de manière favorable sur l'utilisation du code de la CSA comme base de la loi.

Cependant, on ne voit pas encore se dégager aucun consensus clair quant à l'intégration de la substance du code de la CSA dans une loi dont il serait le fondement. Même si certaines industries représentées au sein du comité technique de la CSA ont déjà adopté leur propre code sectoriel inspiré de celui de la CSA, rares sont celles qui préconisent de rendre le code obligatoire en le transformant en loi. Même ceux qui appuient en principe l'adoption de mesures législatives axées sur le code de la CSA veulent savoir comment celui-ci serait transformé en loi avant de concrétiser leur appui.

C'est ce besoin de clarté qui rend tout à fait opportun la Loi visant le secteur public du Nouveau-Brunswick. Cette loi, qu'on trouvera à l'annexe B, est carrément fondée sur le code de la CSA; elle constitue donc un exemple possible de la façon d'élaborer une loi en s'inspirant du code de la CSA. Par surcroît, ce modèle pourrait facilement trouver application dans le secteur privé, si les consultations actuelles indiquent qu'il s'agit de la voie à suivre.

Voilà précisément la question qui sera posée dans la première partie du présent document : convient-il d'appliquer des mesures législatives comparables dans le secteur privé? Il existe une marge entre le fait pour le gouvernement d'adopter des règles juridiques pour régir sa propre conduite et celui d'imposer à autrui des règles semblables. De nombreuses lois néo-brunswickoises créent des règles particulières qui s'appliquent au fonctionnement du secteur public. Celles-ci portent par exemple sur des questions comme les méthodes d'embauche ou d'achat, les finances publiques ou l'équité salariale. Bon nombre de ces lois établissent des règles qui n'ont pas à être édictées sous forme législative; le fait de les intégrer à des mesures législatives donne cependant un poids additionnel à un engagement politique. On pourrait soutenir que les règles sur la protection des données se classent dans cette catégorie. On pourrait aussi avancer que des facteurs particuliers inhérents aux activités du secteur public et absents de celles du secteur privé rendent d'autant plus importante l'adoption de lois, plutôt que de règles, dans le secteur public dans le but de régir l'utilisation des renseignements personnels. Le fait que la Loi visant le secteur public pourrait être appliquée au secteur privé ne signifie pas nécessairement qu'elle devrait l'être. Les choix politiques et législatifs qui conviennent dans le secteur privé peuvent fort bien être différents de ceux qui réussissent dans le secteur public.

A. Doit-on légiférer dans le secteur privé?

Les mesures législatives visant la protection des données font en grande partie écho à l'informatisation croissante de notre société. Comme il est de plus en plus facile d'accumuler et de manipuler des renseignements, des préoccupations ont été soulevées sur la quantité de données dont disposent les organismes sur les particuliers et sur le peu de mesures de contrôle qui sont exercées relativement à leur utilisation. Ces préoccupations s'expriment de diverses façons selon le moment et le contexte. Le récent document de consultation du gouvernement fédéral, qui met l'accent sur le commerce électronique en vue de faire du Canada « le pays le plus branché du monde » (p.1), énonce ce qui suit :

Le défi de l'ère électronique est qu'à chacune de nos transactions, nous laissons des données retraçables qui, combinées, peuvent révéler des détails personnels et nos préférences. À cause de la numérisation des dossiers médicaux, des dossiers scolaires, des dossiers d'emploi et de consommation, il devient possible, en combinant des renseignements, de tracer le profil d'un consommateur, et ce, à partir de données que la plupart d'entre nous estiment très personnelles. Ces renseignements peuvent être transmis d'une province à l'autre, voire d'un pays à l'autre, être vendus, réutilisés ou intégrés dans d'autres bases de données sans que nous le sachions ou y consentions. (p. 2)

D'autres descriptions pourraient élargir les perspectives pour englober d'autres formes de collectes de renseignements en plus des méthodes électroniques ainsi que d'autres utilisations possibles des renseignements en plus de l'élaboration de profils de consommateurs.

C'est pour répondre à ces préoccupations que les lois sur la protection des données tentent d'établir une panoplie de « méthodes équitables de gestion des renseignements personnels » que les organismes doivent adopter. Les règles portent sur le genre de renseignements personnels que les organismes peuvent recueillir, sur la durée de leur conservation ainsi que sur leur utilisation. Elles accordent aussi aux particuliers le droit d'avoir accès aux organismes qui les concernent et d'en demander la correction. Ces règles ont pour objet global de faire valoir l'intérêt continu qu'ont les particuliers à l'égard des renseignements que les organismes obtiennent à leur sujet et de ce qu'elles en font. Elles ont pour but d'établir que les renseignements n'appartiennent pas uniquement aux organisations pour en disposer comme bon leur semble.

La plupart des États européens ont adopté des lois qui s'appliquent à la fois au secteur privé et au secteur public en matière de protection des données. La Directive 95/46/CE (la « Directive de l'Union européenne ») oblige les membres de l'Union européenne à se doter de telles mesures législatives.

À l'extérieur de l'Europe, toutefois, la législation en matière de protection des données en général est moins bien établie, particulièrement dans le secteur privé. Pour les fins de la rédaction du présent document, les lois de Hong Kong et de la Nouvelle-Zélande qui s'appliquent au secteur privé ainsi qu'au secteur public ont été passées en revue. Le ministère de la Justice a aussi appris que Taiwan et Israël se sont dotés de lois en la matière. Les autres pays qui ont adopté des mesures législatives relatives à la protection des données (p. ex. : le Japon, l'Australie et les États-Unis) ont surtout mis l'accent sur le secteur public.

Au Canada, seul le Québec a adopté des mesures législatives visant à la fois le secteur privé et le secteur public. Ailleurs (sauf à Terre-Neuve et à l'Île-du-Prince-Édouard), il existe des lois portant sur le secteur public, bien que celui-ci soit défini de façon plus large par certaines administrations que par d'autres. En Colombie-Britannique, par exemple, la loi s'applique à des organisations comme les organismes d'autoréglementation des professions. Le Manitoba a récemment promulgué une loi traitant spécifiquement de l'utilisation des renseignements relatifs à la santé, que ce soit par le secteur public ou par le secteur privé.

De son côté, le gouvernement fédéral s'est engagé à adopter d'ici l'an 2000 une loi sur la protection des données dans les industries du secteur privé qui relèvent de sa compétence, et il incite les provinces à élaborer des lois correspondantes en ce qui concerne les activités de compétence provinciale. Le récent document de travail du gouvernement fédéral mentionne que des tribunes comme les rencontres des ministres responsables de l'autoroute électronique de l'information et des ministres de la Consommation servent de lieux de débats à ce sujet. Il indique aussi que la Conférence sur l'harmonisation des lois du Canada prépare une loi uniforme sur la protection des données; cette conférence permet aux représentants des diverses autorités canadiennes de tenter d'élaborer des modèles de lois dans des domaines où il serait souhaitable d'harmoniser les lois provinciales.

La Directive de l'Union européenne a été l'un des éléments qui ont incité le gouvernement fédéral à agir dans ce domaine. La Directive, qui a été adoptée en octobre 1995, exige que tous les pays membres de l'Union européenne mettent en vigueur, d'ici octobre 1998, des mesures législatives sur la protection des données qui satisfont aux critères énoncés. En vertu de l'un de ces critères, les pays membres doivent interdire le transfert de renseignements personnels vers des pays non-membres, à moins que ceux-ci assurent un « niveau de protection adéquat » des renseignements (art. 25) ou, en l'absence d'un « niveau de protection adéquat », à moins que « le responsable du traitement offre des garanties suffisantes au regard de la protection (des renseignements personnels transférés); ces garanties peuvent notamment résulter de clauses contractuelles appropriées » (art. 26). Voici ce qu'on pouvait lire à ce sujet dans le récent document de consultation du gouvernement fédéral : « Cette directive peut faire de la protection des renseignements personnels un obstacle non tarifaire majeur au commerce avec le Canada » (p. 8).

Un discours prononcé à Ottawa par Allan Rock alors qu'il était procureur général du Canada, en septembre 1996, devant la Conférence internationale des commissaires à la protection des données, résume de façon commode les arguments qui militent en faveur de l'application au secteur privé des mesures législatives sur la protection des données. Il a fait remarquer à l'audience que lorsque le gouvernement fédéral a promulgué la première loi sur la protection des données, il ne l'a fait que pour le secteur public; à l'époque, le gouvernement était de loin le principal agent de collecte, de conservation et d'utilisation des renseignements concernant les particuliers. Par la suite, le gouvernement a choisi d'inciter le secteur privé à prendre des mesures de protection des données dans le cadre de mécanismes d'autoréglementation. Mais depuis, le gouvernement a conclu que l'autoréglementation n'était pas suffisante dans le secteur privé.

(trad.) Notre position antérieure est devenue désuète. Les technologies de l'information modernes facilitent infiniment l'accumulation et l'échange de données par les entreprises et les organismes privés à l'intérieur et à l'extérieur des frontières. Les progrès des ordinateurs et des réseaux ont multiplié et accru les risques pour la vie privée.

Parallèlement, le Canada est passé rapidement d'une économie basée sur les ressources à une société axée sur l'information et le savoir. Dans ce contexte, un nombre sans cesse croissant d'établissements privés amassent, utilisent et échangent des renseignements au sujet de nos habitudes de consommation et des services que nous utilisons.

Compte tenu de la situation, le gouvernement du Canada est d'avis que la protection des renseignements personnels ne peut plus être tributaire du fait que les renseignements sont en possession d'un organisme public ou d'un organisme privé. Cela ne signifie pas que les règles régissant la collecte, l'utilisation, la communication et la destruction des renseignements personnels doivent être identiques quelle que soit la personne ou l'organisme. Mais cela signifie qu'elles doivent être fondées sur une série de principes communs, et cela signifie que les renseignements personnels dont le secteur privé est dépositaire doivent être protégés par la loi.

Mais les opinions divergent à ce sujet. En Australie, le ministère du Procureur général du Commonwealth (fédéral) a rendu public un document de travail, en septembre 1996, dans lequel il examine l'application au secteur privé des lois sur la protection des données. En 1997 cependant, le ministère a décidé de ne pas aller de l'avant. Il se préoccupait surtout des coûts que devraient assumer les entreprises, petites ou grandes, et de la nécessité de réduire le fardeau réglementaire, plutôt que de créer de nouveaux régimes obligatoires. Depuis cette décision, on a organisé en Australie des consultations au sujet d'un mécanisme national d'autoréglementation qui a donné lieu à la publication par le commissaire à la protection de la vie privée du Commonwealth des National Principles for the Fair Handling of Personal Information, en février 1998.

Aux États-Unis, les discussions qui ont eu lieu jusqu'à maintenant à l'échelon fédéral n'ont apparemment pas permis de conclure là non plus que l'adoption de mesures législatives généralisées s'imposait. Dans Options for Promoting Privacy on the National Information Infrastructure, un document de consultation rendu public en avril 1997 par le comité sur la politique de l'information du groupe de travail sur l'infrastructure nationale de l'information, la protection des données par voie législative était seulement l'une des nombreuses possibilités examinées. Le document faisait aussi place à l'opinion de ceux qui constataient une évolution satisfaisante dans les critères et les pratiques du marché et qui voulaient laisser cette évolution se poursuivre; il mentionnait aussi l'alternative de continuer, comme on l'a fait dans le passé, de faire appel aux solutions législatives pour régler des problèmes ponctuels, le cas échéant, plutôt que d'adopter une loi de portée générale. L'adoption de mesures législatives d'application générale dans le secteur privé en matière de protection des données semble peu probable aux États-Unis à l'heure actuelle.

Voilà donc le contexte dans lequel s'inscrit la première question, c'est-à-dire doit-on légiférer dans le secteur privé? D'une part, compte tenu de la technologie de l'information moderne, on se préoccupe du fait qu'une trop grande quantité de renseignements personnels circule entre les mains d'intervenants trop nombreux qui en font une utilisation assujettie à trop peu de mesures de contrôle. On souhaite établir au moins un cadre composé de principes fondamentaux qui traduiraient l'intérêt continu qu'ont les particuliers à l'égard des renseignements que les organisations possèdent à leur sujet, et on juge que la voie législative est la façon la plus efficace de mettre sur pied un cadre commun qui serait respecté par tous.

Par contre, on s'inquiète non seulement du contenu des règles proposées, mais aussi de leur incidence pratique sur les organisations qui devront s'y conformer. Quant au contenu, on se préoccupe du fait que les mesures législatives pourraient faire obstacle à des activités désirables. En ce qui concerne leurs incidences pratiques, on craint que la loi impose un fardeau administratif excessif et qu'elle entraîne d'autres coûts. On se demande aussi si le problème est suffisamment grave pour justifier le recours à la solution législative.

Voilà les questions au sujet desquelles l'opinion du public et des intéressés devra être recueillie. Il y aura probablement peu de désaccords sur les grands principes qu'une telle loi sur la protection des données dans le secteur privé aurait pour objectif de promouvoir : les renseignements personnels ne doivent être ni recueillis ni utilisés à mauvais escient et, sous réserve de limites raisonnables, les particuliers doivent être en mesure de prendre connaissance de ce que les organismes savent d'eux et d'y apporter les corrections nécessaires. Cependant, les opinions vont certes diverger quant aux questions de savoir si l'adoption de mesures législatives est la bonne façon de faire valoir ces principes, si la loi atteindrait vraiment ses objectifs et si les avantages l'emportent sur les inconvénients. Il est facile d'inclure des expressions comme « à mauvais escient » ou « sous réserve de limites raisonnables » dans d'abstraits énoncés de principes. Elles peuvent cependant susciter la controverse lorsqu'on se pose réellement la question de savoir ce qui est fait ou n'est pas fait « à mauvais escient » ou ce qui constitue ou ne constitue pas une « limite raisonnable ».



Proposition 1

Les objectifs généraux des initiatives en matière de protection des données sont louables. Les grandes questions à être examinées dans le cadre des consultations publiques sont les suivantes:

a) L'adoption d'une loi est-elle la bonne façon de réaliser ces objectifs?

b) La loi atteindrait-elle ses objectifs?

c) Les avantages de l'adoption d'une loi justifient-ils les coûts et les restrictions qui en découleraient?

B. Quel pourrait être le contenu des mesures législatives sur la protection des données ?

La simple mention de certaines questions comme l'efficacité de la loi de même que ses coûts et ses avantages fait ressortir l'importance d'examiner en détail les mesures législatives proposées, ne serait-ce qu'à titre indicatif, de sorte à fournir un point de départ solide aux intervenants qui voudront réagir au présent document. Heureusement, la combinaison du code de la CSA et de la Loi visant le secteur public nous fournit un bon cadre pour la discussion du contenu possible de la loi sur la protection des données dans le secteur privé. Dans l'état actuel du débat au Canada, le code de la CSA est le point de départ tout indiqué pour l'élaboration d'une loi.



Proposition 2

La possible loi sur la protection des données dans le secteur privé devrait s'inspirer du Code type sur la protection des renseignements personnels de l'Association canadienne de normalisation.

Jusqu'à quel point, toutefois, les mesures législatives sur la protection des données devraient-elles s'inspirer du code de la CSA? Il conviendrait ici d'expliquer la structure du code. Celui-ci se compose de dix principes et de six définitions; un commentaire explicatif accompagne chacun des principes, et deux de ceux-ci font l'objet d'une note. Ces deux notes ont leur importance, puisqu'elles décrivent l'application des principes fondamentaux relatifs au consentement et à l'accès aux renseignements personnels lorsque des impératifs opposés comme la protection de la santé ou de la sécurité publique sont en cause. Dans les mots mêmes du code, la note à la suite d'un principe fait partie intégrante de ce principe (paragraphe 3.1.2).

L'une des façons d'élaborer une loi sur la protection des données qui s'inspire du code consiste, comme le suggèrent certains, à adopter intégralement celui-ci. D'après une communication qui a été présentée lors de l'assemblée de 1997 de la Conférence sur l'harmonisation des lois du Canada, il semble que cette position rallie certains participants aux consultations. Si on optait pour cette solution, on pourrait probablement procéder au moyen d'un renvoi législatif, comme on le fait parfois avec les normes techniques de la CSA.

Toutefois, cette façon de procéder ne semble pas convenir à l'élaboration d'une loi de portée générale en matière de protection des renseignements personnels. Si cette question doit faire l'objet de mesures législatives, c'est qu'il faut protéger d'importantes valeurs sociales; dans ce cas, le législateur devrait l'exprimer directement, plutôt que par renvoi à un code qui n'a pas valeur de loi. D'autant plus que l'un des avantages que présenterait l'adoption par renvoi du code de la CSA, comme le prétendent certains des partisans de cette façon de faire, serait de faciliter la mise à jour des normes relatives à la protection des renseignements personnels, à mesure que le code de la CSA sera passé en revue et mis à jour à la lumière de l'expérience. Cette position sous-entend que le jugement de la CSA, quant aux critères convenables en matière de protection des renseignements personnels, ferait jurisprudence avec le temps. Il y a lieu de douter du bien-fondé de cette façon de voir les choses.

S'il n'est pas question que les mesures législatives renvoient simplement au code, quel devrait donc en être le contenu? Il ne semble pas possible de simplement transposer intégralement le texte du code dans la loi, notamment parce que la plupart des commentaires se présentent sous formes d'explications, de descriptions et d'exemples qui seraient déplacés dans un texte législatif. Par conséquent, si on veut s'inspirer du code de la CSA pour élaborer une loi sur la protection des données, on doit le faire de façon sélective et ne transposer dans la loi que les parties du code qui y sont à leur place.

Les principales caractéristiques du code de la CSA, soit ses dix principes, qui constituent son énoncé des pratiques équitables en matière de traitement des renseignements, peuvent être adoptées pratiquement telles quelles comme base de la loi. C'est ce que l'on a fait dans le cas de la Loi visant le secteur public. Si on se conforme étroitement à la formulation des principes de la CSA, c'est qu'ils sont le résultat d'un consensus apparemment fragile qui n'a pas été facile à faire. La communication présentée lors de l'assemblée de 1997 de la Conférence sur l'harmonisation des lois du Canada laissait entendre que ce consensus pourrait se désintégrer si les mesures législatives adoptées étaient formulées de façon différente. Le code de la CSA a aussi été adopté comme Norme nationale du Canada par le Conseil canadien des normes. Il faudrait probablement apporter certaines modifications à leur formulation si on intégrait les dix principes à la loi, mais il s'agirait de détails. On trouvera des précisions et des explications à ce sujet dans les pages qui suivent.

Les commentaires, les notes et les définitions pourront servir de matériel de référence lorsqu'on déterminera ce qui doit être ajouté aux principes énoncés par la CSA en matière de protection des renseignements personnels afin de bien guider l'interprétation et l'application des principes. Dans la Loi visant le secteur public, les principes sont énoncés à l'annexe A sous la rubrique « Code de pratique statutaire », et l'annexe B porte sur l'interprétation et l'application de ce Code de pratique statutaire. La loi touchant le secteur privé pourrait suivre le même modèle.



Proposition 3

Une loi sur la protection des données devrait adopter dans la mesure du possible les dix principes de la CSA tels que formulés dans le code. Les définitions, les notes et les commentaires du code de la CSA devraient être utilisés comme matériel de référence pour l'élaboration de la loi sur la protection des données, mais leurs éléments essentiels pourraient être adoptés en tout état de cause.

B.1 La portée d'une loi sur la protection des données

Comme on le faisait remarquer à la page 1 du document de consultation rendu public par le Ministère en 1996, deux questions préliminaires déterminent la portée d'une loi sur la protection des données : « À qui la loi s'applique-t-elle? » et « Qu'entend-on par renseignements personnels? ».

a. À qui la loi s'applique-t-elle?

Il était relativement simple de répondre à la même question posée dans le document de travail de 1996, puisque celui-ci ne portait que sur le gouvernement provincial; il suffisait simplement de définir le gouvernement provincial. On a alors choisi de dresser une liste d'organismes gouvernementaux. Toutefois, lorsqu'on sort du secteur public, les choses se compliquent. Une loi sur la protection des données dans le secteur privé est susceptible de s'appliquer à toute une panoplie d'organismes, notamment aux organisations commerciales. Toutefois, des organisations à but non lucratif, comme les organismes de bienfaisance, les églises, les partis politiques et les syndicats, peuvent aussi recueillir et utiliser des renseignements personnels. Elles possèdent à tout le moins une liste de membres et des dossiers sur leurs employés qui sont constitués de renseignements personnels qui doivent être conservés conformément aux principes relatifs à la protection des données. Même dans le secteur strictement commercial, on peut se poser des questions sur la possibilité d'appliquer la loi sur la protection des données à de petites entreprises familiales ou aux professionnels qui exercent seuls.

Le code de la CSA décrit ce que les « organismes » doivent faire, et il définit le terme « organisme » de façon très générale en indiquant qu'il comprend « les associations, les entreprises, les œuvres de bienfaisance, les clubs, les organismes gouvernementaux, les institutions, les ordres professionnels et les syndicats » (paragraphe 2.1). Placée dans son contexte, cette définition a une importance plutôt secondaire. Le code de la CSA est une norme volontaire; il ne s'applique donc qu'aux organismes qui acceptent d'y être assujettis. Néanmoins, une définition générale de ce genre semble convenir, même dans le contexte d'une loi qui impose des obligations à quiconque est visé par la définition. La plupart des organismes, même les plus petits, possèdent des renseignements personnels, et même dans les plus petites organisations, certains de ces renseignements sont vulnérables et peuvent être utilisés à mauvais escient. Les professionnels qui exercent seuls, notamment les médecins, possèdent eux aussi des renseignements personnels comme des dossiers médicaux. Les petites entreprises comme le dépanneur du coin peuvent aussi conserver des renseignements tels les registres des locations de vidéos, dont l'utilisation à des fins détournées a entraîné l'adoption de la Video Privacy Protection Act 1988 aux États-Unis. Une loi sur la protection des données ne doit pas imposer aux petites entreprises des obligations dont elles ne pourraient vraisemblablement pas s'acquitter. (On reviendra périodiquement sur cette question dans les pages qui suivent). Cependant, à l'étape actuelle des discussions, il serait préférable d'envisager que des organismes de tous les genres et de toutes les tailles pourraient être assujettis à la loi.

L'une des réserves dignes de mention que contient la Directive de l'Union européenne énonce que les mesures législatives sur la protection des renseignements personnels ne s'appliquent pas aux « traitements effectués par une personne physique pour l'exercice d'activités exclusivement personnelles ou domestiques ». Il faudrait prévoir une réserve de ce genre si l'on songe à assujettir à la loi les particuliers lorsqu'ils agissent dans le cadre d'une activité commerciale. Dans un tel cas, il faudrait établir une distinction entre les activités

commerciales de la personne, qui seraient assujetties à la loi, et ses activités personnelles, qui ne le seraient pas. La Directive de l'Union européenne fait la distinction qui s'impose.



Proposition 4

Une loi sur la protection des données pourrait s'appliquer à tous les organismes constitués ou non en personnes morales ainsi qu'aux particuliers lorsqu'ils recueillent et utilisent des renseignements personnels à des fins autres que leurs fins personnelles ou domestiques.

La Directive de l'Union européenne contient une autre réserve. En effet, les mesures législatives doivent s'appliquer à toutes les formes de traitement « automatisé » (c.-à-d. informatisé) de renseignements personnels, mais elles ne doivent s'appliquer au traitement « manuel » que si les renseignements personnels font partie d'un « système de classement », c'est-à-dire tout « ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ». La loi du Québec contient une disposition semblable qui fait de l'établissement d'un dossier sur une personne l'élément déclencheur de l'application de la loi.

Le code de la CSA ne fait aucune distinction entre le traitement manuel et le traitement informatisé et il ne contient aucun critère explicite relatif à l'établissement d'un dossier sur une personne. À cet égard, le présent document s'inspirera du code de la CSA. Étant donné que le but de l'exercice consiste à examiner l'utilité du code de la CSA comme fondement d'une loi sur la protection des données dans le secteur privé, il semble tout naturel d'emprunter la voie du code pour voir où elle conduit. Si l'exercice donne des résultats trop vagues auxquels il serait possible de remédier en intégrant la notion « d'établissement d'un dossier sur une personne », celle-ci pourrait probablement être incluse.

b. Qu'entend-on par renseignements personnels?

Le code de la CSA contient une définition assez lapidaire, que voici : enregistrement de renseignements concernant un individu identifiable, quelle que soit sa forme (paragraphe 2.1). L'article 1 de la Loi visant le secteur public est substantiellement identique et contient la précision suivante au paragraphe 1(3) :

Un particulier est identifiable aux fins de la présente loi si des renseignements

a) comprennent son nom,

b) rendent évidente son identité, ou

c) ne comprennent pas son nom ou ne rendent pas évidente son identité mais sont susceptibles dans les circonstances d'être adjoints à d'autres renseignements qui comprennent son nom ou rendent son identité évidente.

Il convient de s'attarder à deux attributs d'une définition de cette nature. En premier lieu, les renseignements personnels n'ont pas à être de nature sensible ou particulièrement privée. Il suffit qu'on soit en présence de « renseignements concernant un individu identifiable ». À cet égard, la définition est vaste, comme l'est, par voie de conséquence, la portée de la loi.

Toutefois, l'exigence selon laquelle il doit s'agir de renseignements enregistrés sous quelque forme que ce soit restreint la portée de la loi. Les renseignements personnels ne sont donc pas assujettis à la loi s'ils ne sont pas enregistrés sous une forme quelconque. Bien sûr, la portée de la loi pourrait être plus large. La partie III de la Loi sur l'accès à l'information et la protection de la vie privée de l'Ontario (secteur public), à titre d'exemple, applique les principes de la protection des données aux renseignements qui n'existent pas sous forme enregistrée. La portée de la loi serait élargie si on adoptait cette approche. Par contre, la mention de « dossier » dans la Directive de l'Union européenne et dans la loi du Québec qui ont été abordées auparavant semble avoir un effet légèrement restrictif. Pour les fins de l'exercice, cependant, la définition de la CSA semblant s'approcher de la norme, c'est celle qui sera utilisée dans les pages qui suivent.



Proposition 5

Une loi sur la protection des données pourrait s'inspirer de la définition que donne le code de la CSA des renseignements personnels; elle traiterait donc des renseignements concernant un individu identifiable enregistrés sous quelque forme que ce soit.

B.2 Les principes de la CSA

Dans les pages qui suivent, on retrouvera une analyse des principes de la CSA à titre de composantes possibles du Code de pratique statutaire. Pour ce faire, chacun des principes sera examiné individuellement. Dans certains cas, de légères modifications à leur formulation sera suggérée, mais surtout on s'interrogera sur la nécessité d'étoffer, dans la loi sur la protection des données, chaque principe au moyen de dispositions régissant son interprétation et son application. Lorsque chaque principe aura été passé en revue, d'autres éléments importants d'un programme législatif fondé sur le code de la CSA seront examinés, notamment en ce qui concerne l'application de la loi. Contrairement à une loi, le code de la CSA n'a pas à tenir compte de cet aspect, puisqu'il est de la nature d'une norme volontaire.

Dans l'examen des principes, il sera important de se reporter au sens large des expressions « organisme » et « renseignements personnels ». Les principes sont conçus de sorte à s'appliquer à tous les organismes, qu'ils soient petits ou grands, aux petits et aux gros utilisateurs de renseignements personnels ainsi qu'à tous les genres de renseignements personnels, qu'ils soient ou non de nature confidentielle. Les principes établissent donc un cadre général susceptible de s'appliquer à un vaste éventail de situations. Pour les appliquer à des cas précis, les organismes devront s'en remettre à leur jugement.

Premier principe de la CSA - Responsabilité

Un organisme est responsable des renseignements personnels dont il a la gestion et doit désigner une ou des personnes qui devront s'assurer du respect des principes énoncés ci-dessous.

Ce principe a pour objet d'énoncer la responsabilité qu'a chaque organisme d'assurer le fonctionnement de la loi et de faire en sorte qu'une personne est chargée de cette tâche au sein de l'organisme. Toutefois, la formulation de ce principe soulève certaines difficultés d'ordre pratique. Tout d'abord, le principe ne prévoit rien en cas de vacance au poste de « responsable » si l'organisme néglige ou omet de désigner une ou des personnes. En second lieu, on peut prétendre que le principe s'applique mieux dans une grande société que dans un petit organisme. Dans le cas d'une petite organisation (il peut même s'agir d'une seule personne selon la formulation de la proposition 4), il sera parfois bizarre de voir « l'organisme » désigner une personne qui devra s'assurer du respect des dispositions du code.

Dans le cas de la Loi visant le secteur public, on a réglé le problème en modifiant la formulation du premier principe de la CSA afin de rendre « le directeur exécutif de l'organisme public et ses représentants » responsables du respect de la loi. Le second problème ne se présentait pas, puisque les organismes publics - même les plus petits d'entre eux - sont tous dotés d'une structure organisationnelle dans laquelle on peut facilement identifier le directeur exécutif, peu importe son titre.

Dans le secteur privé, où les formes d'organismes sont plus diversifiées, on devra faire appel à une légère variante de cette approche. La loi devrait prévoir un poste de « responsable par défaut », à moins que l'organisme ne prenne les dispositions nécessaires pour confier à une personne la responsabilité d'assurer le respect de la loi. Si le poste de chef de la direction existe au sein de l'organisme, son titulaire devrait être d'office responsable d'assurer le respect de la loi. Dans le cas des organismes qui sont dotés d'une structure organisationnelle plus nébuleuse, on pourrait confier d'office la responsabilité d'assurer la conformité de l'organisme à la loi sur la protection des données à la personne ou aux personnes qui en dirigent les activités. L'identité du responsable sera assez facile à établir dans la plupart des cas, mais moins évidente dans d'autres cas. On peut penser aux sociétés constituées de trois associés ayant chacun un droit de vote. Dans un tel cas, les trois associés dirigeraient collectivement les activités de l'organisme. En vertu de la règle proposée de la responsabilité par défaut, les associés seraient collectivement responsables d'assurer le respect de la loi, à moins qu'ils désignent une autre personne.



Proposition 6

À moins qu'une personne soit désignée conformément au premier principe de la CSA, la personne responsable d'assurer le respect de la loi au sein d'un organisme devrait être :

a) le chef de la direction, si ce poste existe au sein de l'organisme; ou

b) la ou les personne(s) qui dirigent les activités de l'organisme, si le poste de chef de la direction n'existe pas au sein de celui-ci.

Deuxième principe de la CSA - Détermination des fins de la collecte des renseignements

Les fins pour lesquelles des renseignements personnels sont recueillis doivent être déterminées par l'organisme avant ou au moment de la collecte.

L'idée selon laquelle les fins pour lesquelles les renseignements personnels sont recueillis doivent être déterminées est l'un des principes essentiels du code de la CSA et d'autres documents relatifs à la protection des données. Les fins déterminées jouent un rôle pivot dans les décisions prises en vertu des quatrième et cinquième principes de la CSA en ce qui concerne les renseignements qu'un organisme peut recueillir et ce qu'il peut faire des renseignements qu'il a recueillis. Toutefois, la détermination des fins présente certains défis conceptuels et opérationnels.

L'un des détails qui peut être rapidement réglé concerne la question de savoir s'il y a des limites aux fins pour lesquelles les organismes peuvent recueillir des renseignements personnels. Le code de la CSA est tout à fait muet à ce sujet. Par contre, la Loi visant le secteur public (annexe B, paragraphe 2.1) et les mesures législatives comparables des autres provinces canadiennes prévoient qu'un organisme public ne peut recueillir des renseignements personnels que pour des fins se rattachant directement à ses activités. Une restriction semblable devrait aussi être acceptable dans le secteur privé.



Proposition 7

Les fins pour lesquelles un organisme recueille des renseignements personnels doivent être licites et se rattacher directement à une de ses activités existantes ou proposées.

Certaines des questions relatives à la détermination des fins sont plus complexes. Si on examine le code de la CSA, la détermination des fins désigne deux réalités. D'une part, l'organisme formule pour lui-même, dans le cadre de ses procédés internes, les motifs pour lesquels il désire recueillir des renseignements personnels. D'autre part, dans le cadre d'un mécanisme externe, il détermine ce qu'il dira au particulier au sujet des fins de la collecte. En apparence, le deuxième principe de la CSA trouve son application principale dans la seconde facette de l'exercice. Le commentaire brouille cependant les choses. Il ajoute que l'organisme doit « documenter » ses fins, mettant ainsi l'accent sur l'aspect interne de la détermination des fins. Par contre, il est moins catégorique lorsqu'il aborde le genre d'explications qui doivent être données au particulier (procédé externe). En effet, le paragraphe 4.2.3 se lit comme suit : « Il faudrait préciser à la personne auprès de laquelle on recueille des renseignements, avant ou au moment de la collecte, les fins auxquelles ils sont destinés ». Mais l'emploi des mots « il faudrait » est délibéré et important. Le paragraphe 3.1.3 précise en effet que l'emploi de termes de cette nature dénote une recommandation, par opposition à une obligation.

Dans la Loi visant le secteur public, le deuxième principe de la CSA (qui équivaut au deuxième principe du code figurant à l'annexe A) est globalement considéré comme une explication à l'externe des fins, pas nécessairement de façon formaliste. Dans le cours normal des affaires, la collecte de renseignements personnels sera généralement accompagnée d'au moins une indication quelconque des raisons pour lesquelles l'organisme veut recueillir les renseignements en question. Cet énoncé se fait parfois brièvement lors d'une entrée en matière d'une conversation ou d'une lettre. De ce point de vue, l'obligation de déclarer les fins pour lesquelles les renseignements sont recueillis ne semble donc pas exagérée.

L'annexe B de la Loi visant le secteur public prévoit aussi l'obligation pour l'organisme de « documenter, relativement à tout système d'enregistrement des renseignements personnels, la ou les fins pour lesquelles les renseignements personnels sont conservés dans le système » (paragraphe 2.2). Le système d'enregistrement des renseignements personnels est défini comme étant « un système d'enregistrement informatisé ou manuel qui contient des renseignements sur des particuliers et qui est organisé de manière à donner facilement accès à des renseignements sur des particuliers spécifiques » (paragraphe 2.3). Selon cette définition, pratiquement tout registre structuré de renseignements conservé au sujet de particuliers peut être considéré comme un système d'enregistrement des renseignements personnels. Le fait de documenter les fins pour lesquelles les renseignements sont conservés dans le système lie en pratique les fins à l'utilisation des renseignements qui se trouvent dans le système.

Une telle obligation de « documenter les fins » pourrait-elle trouver application dans le secteur privé? Elle présente l'avantage d'assurer une certaine clarté administrative, en particulier dans les grands organismes qui pourraient ainsi s'assurer que tous les intervenants connaissent les renseignements qui peuvent être recueillis ainsi que les fins auxquelles ils seront utilisés. Toutefois, l'obligation générale de documenter les fins pourrait en fait imposer aux petits organismes un fardeau administratif qui ne contribuerait en rien à assurer la protection de la vie privée des particuliers. Est-il vraiment utile, par exemple, d'exiger d'un petit organisme (comme un commerçant indépendant) qu'il documente les fins pour lesquelles il recueille des renseignements personnels lorsque celles-ci sont évidentes et lorsqu'il est seul à utiliser les renseignements? Certains affirmeront que même dans les grands organismes la documentation des fins aura lieu en pratique sans que la loi ne les y force.



Proposition 8

Le deuxième principe de la CSA pourrait être accompagné d'une obligation pour l'organisme de documenter les fins pour lesquelles il tient un système d'enregistrement des renseignements personnels; dans ce cas, cette obligation ne s'appliquerait pas lorsque le fait de documenter les fins ne serait d'aucune utilité au contrôle administratif.

Par ailleurs, le code de la CSA ne répond pas à la question suivante : Qu'arrive-t-il lorsque les fins, telles que documentées à l'interne, ne correspondent pas aux explications qui sont données au particulier? Dans un tel cas, l'explication donnée au particulier doit prévaloir. L'utilisation qui pourrait être faite des renseignements ne dépend pas des fins documentées que l'organisme a fait défaut d'expliquer de façon convenable, mais bien de l'explication qui a été donnée et de ce à quoi la personne a consenti (au sens décrit dans le troisième principe de la CSA, qui figure ci-dessous) à la lumière de ladite explication.

Cela ne signifie pas que l'organisme qui recueille des renseignements personnels est tenu de réciter machinalement chaque fois les fins telles qu'elles sont décrites dans ses documents internes. Cette façon de procéder pourrait convenir dans certains cas et pas dans d'autres. Ainsi, on peut s'attendre à ce que la version documentaire des fins de certains organismes soit énoncée dans des termes généraux, voire dans un langage bureaucratique. Le fait de la réciter n'aidera pas beaucoup à l'expliquer. Dans d'autres cas, l'indication des fins ne fera que confirmer l'évidence, notamment lorsque le fait pour la personne de s'adresser à l'organisme explique en soi le contexte dans lequel les renseignements sont demandés et fournis. Mais la plupart du temps, les fins qui font l'objet de la documentation interne pourront être accompagnées d'une explication mieux adaptée au contexte de la relation entre la personne et l'organisme. Différentes explications peuvent mieux convenir à certains moments ou en rapport avec certains éléments d'information. Cela signifie toutefois que l'organisme a le fardeau de s'assurer que les fins déterminées « à l'interne » sont expliquées convenablement à la personne de la manière que choisit l'organisme, de façon que ses fins « documentées » correspondent à ce que le consentement de la personne l'autorise à faire.



Proposition 9

Si les fins documentées de l'organisme ne correspondent pas aux explications qu'il fournit à la personne, ces dernières prévaudront conformément au troisième principe de la CSA relatif au consentement.

Troisième principe de la CSA - Consentement

Toute personne doit être informée et consentir à toute collecte, utilisation ou communication de renseignements personnels qui la concernent, à moins qu'il ne soit pas approprié de le faire.

Ce principe soulève trois grandes questions. La première a trait à sa formulation; la seconde porte sur l'opposition entre le consentement implicite et le consentement exprimé. La troisième question consiste à déterminer les cas où l'obligation d'obtenir le consentement ne serait pas appropriée.

a) Formulation

Selon le troisième principe de la CSA, l'obligation d'informer la personne et d'obtenir son consentement ne s'applique pas seulement à la collecte, mais aussi à l'utilisation et à la communication. Le paragraphe 4.3.2 montre clairement que l'expression « être informée et consentir » a été employée sciemment. Cette formulation est toutefois incohérente par rapport à celle du cinquième principe, qui traite aussi de l'utilisation et de la communication, mais qui comporte la simple obligation d'obtenir le consentement, par opposition à celle d'informer la personne et d'obtenir son consentement.

On devrait éviter les incohérences de la sorte dans un texte législatif. La meilleure façon d'y parvenir consisterait à éliminer les termes « être informée et » du troisième principe de la CSA. Du point de vue de la collecte, on ne semble pas amoindrir la portée de l'exigence, puisque « consentir » a un sens plus large. On voit mal, en effet, comment la personne pourrait donner son consentement à une collecte de renseignements si elle n'en a pas été informée. Par contre, la situation serait plus complexe du point de vue de « l'utilisation » et de la « divulgation » si les mots « informée » et « consentir » devaient être interprétés comme deux critères distincts. On peut supposer qu'il est possible de consentir à une utilisation sans savoir si elle a véritablement été faite. Si l'obligation d'informer la personne constituait un critère additionnel, le principe imposerait une obligation dont il pourrait être difficile de s'acquitter.



Proposition 10

Le troisième principe de la CSA porte essentiellement sur le consentement. Une loi sur la protection des données ne doit pas faire de l'obligation d'informer la personne un critère distinct et indépendant auquel devraient satisfaire les organismes.

b) Consentement exprimé et consentement implicite

Le code de la CSA établit clairement que le consentement peut être exprimé ou implicite (paragraphe 2.1). Voici la suite de cette disposition :

Le consentement exprimé se donne de façon explicite, de vive voix ou par écrit. Le consentement explicite est non équivoque et n'oblige pas l'organisme qui demande le consentement de la personne à l'inférer. Le consentement implicite survient lorsque les actes ou l'inaction de la personne permettent raisonnablement de déduire qu'il y a consentement. (paragraphe 2.1)

La notion de consentement, implicite semble essentielle au fonctionnement d'une loi sur la protection des données. Il est en effet impossible d'exiger le consentement exprimé chaque fois que l'on recueille, utilise ou communique des renseignements personnels. À titre d'exemple, lorsqu'une personne réclame un service, son consentement, loin d'être exprimé, est plutôt implicite. Le consentement est souvent implicite lorsqu'un organisme agit en faveur d'une personne. Le consentement implicite revêt une importance toute particulière dans les mesures législatives fondées sur le code de la CSA. Celui-ci est en effet un des rares documents consultés dans la préparation du présent exposé qui n'accorde pas explicitement aux organismes la souplesse nécessaire pour utiliser les renseignements personnels à des fins qui sont « compatibles avec » les fins qui sont exposées à la personne. Dans le cadre contextuel du code de la CSA, la notion de consentement implicite recoupe apparemment l'autorisation législative d'agir « à des fins compatibles ».

Le commentaire de la CSA laisse entendre que « les attentes raisonnables de la personne » (paragraphe 4.3.5) sont le critère déterminant de l'existence du consentement implicite. Cette approche semble acceptable, puisqu'elle met l'accent sur ce que la personne s'attend à ce que l'on fasse des renseignements qu'elle fournit, plutôt que sur ce que l'organisme juge raisonnable de son propre point de vue.



Proposition 11

Une loi sur la protection des données doit inclure la notion de consentement implicite fondé sur les attentes raisonnables de la personne.

La loi doit-elle expliquer plus en profondeur le consentement implicite ou peut-elle se contenter de parler des attentes raisonnables de la personne? Il est impossible de donner une définition exhaustive du consentement implicite; cependant, la Loi visant le secteur public contient une disposition qui élabore ce sujet de deux façons. Elle énonce que le particulier « ne doit pas être susceptible de désapprouver » une mesure prise par l'organisme pour que son consentement soit considéré comme tacite, et elle énumère les principaux facteurs que l'organisme public doit prendre en considération. La proposition suivante est extraite directement du paragraphe 3.2 de l'annexe B de la Loi visant le secteur public, et elle contient de légères modifications de formulation.



Proposition 12

Les mesures pour lesquelles un consentement peut être tacite sont celles que le particulier devrait raisonnablement s'attendre à voir prendre par l'organisme, et qu'il n'est pas susceptible de désapprouver, eu égard à

a) la nature des renseignements personnels en question, y compris la question de savoir si les renseignements ont ou non une nature sensible ou confidentielle,

b) tout avantage ou inconvénient pour le particulier,

c) toute explication que l'organisme a donnée des mesures qu'il entend prendre,

d) toute indication que le particulier a donnée de ses désirs réels, et

e) la facilité ou la difficulté avec laquelle les désirs réels du particulier peuvent être identifiés.

c) Quand l'obtention du consentement ne serait pas appropriée?

Le troisième principe de la CSA exige le consentement de la personne pour toute collecte, utilisation ou communication de renseignements personnels qui la concernent, « à moins qu'il ne soit pas approprié de le faire ». Dans sa note accompagnant le troisième principe (laquelle fait partie intégrante du principe selon le paragraphe 3.1.2), la CSA ajoute ce qui suit :

Dans certaines circonstances, il est possible de recueillir, d'utiliser et de communiquer des renseignements personnels à l'insu de la personne concernée et sans son consentement. Par exemple, pour des raisons d'ordre juridique ou médical ou pour des raisons de sécurité, il peut être impossible ou peu réaliste d'obtenir le consentement de la personne concernée. Lorsqu'on recueille des renseignements aux fins de l'application de la loi, de la détection d'une fraude ou de sa répression, on peut aller à l'encontre du but visé si l'on cherche à obtenir le consentement de la personne concernée. Il peut être impossible ou inopportun de chercher à obtenir le consentement d'un mineur, d'une personne gravement malade ou souffrant d'incapacité mentale. De plus, les organismes qui ne sont pas en relation directe avec la personne concernée ne sont pas toujours en mesure d'obtenir le consentement prévu. Par exemple, il peut être peu réaliste pour une œuvre de bienfaisance ou une entreprise de marketing direct souhaitant acquérir une liste d'envoi d'un autre organisme de chercher à obtenir le consentement des personnes concernées. On s'attendrait, dans de tels cas, à ce que l'organisme qui fournit la liste obtienne le consentement des personnes concernées avant de communiquer des renseignements personnels. (par. 4.3)

L'exception « à moins qu'il ne soit pas approprié de le faire » est l'une des plus difficiles à intégrer dans une loi. Les lois canadiennes sur la protection des renseignements personnels témoignent éloquemment de la complexité de cette tâche. Au fil des ans, on y a en effet ajouté de longues listes de collectes, d'utilisations et de communications non consensuelles mais néanmoins autorisées. Ces exceptions regroupent les dispositions les plus substantielles et évidentes, comme la divulgation de renseignements en vue de protéger la santé ou la sécurité d'un tiers; elles comprennent d'autres dispositions qui soulèvent davantage de questions qu'elles ne règlent de problèmes, comme la divulgation à l'avocat. Il paraît surprenant qu'une autorisation explicite en vertu de la loi soit exigée pour qu'il soit permis à une personne de faire des divulgations à son avocat. Si tel est le cas, qu'en est-il de la divulgation à d'autres professionnels ou consultants que la loi ne désigne pas de façon expresse? Les listes que contiennent les lois existantes renferment aussi habituellement une disposition générale permettant la collecte, l'utilisation et la communication de renseignements personnels sans le consentement de la personne concernée lorsque l'intérêt public l'emporte clairement sur toute atteinte à la vie privée qui pourrait en résulter.

Dans la Loi visant le secteur public, on a fait des efforts en vue de raccourcir ces listes et d'édicter des énoncés généraux plutôt que des dispositions particulières. La loi adopte aussi une approche en deux étapes qui force l'organisme public à s'assurer non seulement d'agir à des fins déterminées, mais aussi de faire en sorte que les mesures qu'il entend prendre sont justifiées compte tenu des circonstances. La proposition suivante est fondée sur les dispositions correspondantes de la Loi visant le secteur public (paragraphes 3.4 à 3.7 de l'annexe B), auxquelles on a apporté quelques modifications terminologiques et dont on a omis le paragraphe 3.5 qui touche la divulgation dans l'intérêt du public de rendre le gouvernement plus transparent et qui porte spécifiquement sur le secteur public.



Proposition 13

Le consentement ne devrait pas être nécessaire lorsqu'un organisme recueille, utilise ou divulgue des renseignements personnels

a) pour protéger la santé ou la sécurité du public ou d'un particulier,

b) aux fins d'une enquête liée à l'exécution d'une mesure législative,

c) pour protéger ou affirmer ses propres droits légaux, y compris des droits légaux contre le particulier,

d) pour vérifier auprès d'un organisme gouvernemental l'admissibilité du particulier à un programme ou à une prestation pour lequel le particulier a fait une demande à l'organisme en question,

e) pour les fins de toute recherche légitime faite dans l'intérêt de la science, de l'enseignement ou de l'ordre public ou pour des travaux d'archives,

f) tel que requis ou expressément autorisé par la loi, ou

g) pour toute autre raison importante dans l'intérêt du public, qu'elle soit ou non semblable à celle des alinéas a) à f).

Avant de recueillir, d'utiliser ou de divulguer des renseignements personnels sans consentement, un organisme doit prendre en considération la nature des renseignements en question et la fin des mesures qu'il prend, et doit se convaincre que dans les circonstances cette fin justifie les mesures projetées.

Toute collecte, toute utilisation ou toute divulgation de renseignements personnels sans consentement doit se limiter aux exigences raisonnables de la situation.

À première vue, la proposition 13 ne fait aucune distinction entre la collecte, l'utilisation et la divulgation, étant donné que le troisième principe de la CSA, auquel elle se rapporte, traite les trois opérations d'un seul bloc. Dans les faits, toutefois, les divers éléments de la proposition 13 auraient une incidence différente sur différents organismes selon leurs activités et les décisions qu'ils prendraient. À titre d'exemple, on peut supposer que très peu d'organismes du secteur privé recueilleraient des renseignements dans le but d'appliquer un texte législatif, étant donné que cette fin « ne se rattache pas directement à leurs activités », comme l'énonce la proposition 7. De plus, les organismes du secteur privé pourront rarement invoquer une « raison importante dans l'intérêt du public » pour justifier la divulgation de renseignements personnels; cependant, il importe de ne pas éliminer cette possibilité, notamment pour que les organismes du secteur privé puissent à tout le moins divulguer des renseignements aux autorités publiques responsables. L'utilisation de renseignements personnels à des fins de recherche fera aussi partie des cas inusités, étant donné que les renseignements devraient normalement être utilisés sous une forme garantissant l'anonymat, de sorte qu'il ne s'agira plus de renseignements « personnels. »

Quatrième principe de la CSA - Limitation de la collecte

L'organisme ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées et doit procéder de façon honnête et licite.

La Loi visant le secteur public énumère les sources auprès desquelles les renseignements personnels peuvent être recueillis. Il s'agit : a) de la personne elle-même; b) d'une autre personne avec le consentement de la personne concernée; c) des sources et par les moyens auxquels la population dans son ensemble peut avoir accès; et d) de toute source dans tous les cas où, en vertu de la disposition de la Loi qui correspond à la proposition 13, un organisme public peut recueillir des renseignements sans le consentement de la personne concernée (par. 4.1 de l'annexe B). Un tel souci de précision à ce sujet devrait aussi caractériser la loi touchant le secteur privé.

La Loi visant le secteur public contient en outre une disposition interdisant à un organisme de refuser de fournir un service ou une prestation à une personne parce que celle-ci ne consent pas à fournir des renseignements qui ne sont pas essentiels aux fins légitimes de l'organisme public (par. 4.2 de l'annexe B). Cette disposition correspond au paragraphe 4.3.3 du code de la CSA.

Par ailleurs, la Loi visant le secteur public ne contient aucun précision au sujet de « la façon honnête et licite ». Le mot « licite » est suffisamment clair, mais on s'est demandé pendant la préparation de la Loi si le terme « honnête » ne devait pas être clarifié. Selon le commentaire de la CSA, « l'exigence selon laquelle les organismes sont tenus de recueillir des renseignements personnels de façon honnête et licite a pour objet de les empêcher de tromper les gens et de les induire en erreur quant aux fins auxquelles les renseignements sont recueillis » (paragraphe 4.4.2). Il s'agirait là d'un exemple de méthode malhonnête de collecte, mais la loi ne devrait pas restreindre à des situations particulières comme celle-là l'application de la notion d'honnêteté. Même si l'honnêteté est une notion générale, elle est suffisamment précise pour avoir une existence autonome dans la législation sans qu'on sente le besoin de l'expliquer davantage.



Proposition 14

Une loi sur la protection des données devrait énumérer les sources auprès desquelles les renseignements personnels peuvent être recueillis, et prévoir qu'il est interdit de refuser de fournir à une personne des biens ou des services sous prétexte qu'elle n'a pas consenti à transmettre des renseignements personnels qui ne sont pas essentiels aux fins énoncées de l'organisme.

L'exigence selon laquelle les organismes sont tenus de recueillir des renseignements personnels de façon honnête et licite n'a pas à être expliquée davantage dans la loi sur la protection des renseignements.

Cinquième principe de la CSA - Limitation de l'utilisation, de la communication et de la conservation

Les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée n'y consente ou que la loi ne l'exige. On ne doit conserver les renseignements personnels qu'aussi longtemps que nécessaire pour la réalisation des finalités déterminées.

a) Formulation

L'un des détails de la formulation du cinquième principe de la CSA a besoin d'être revu. Le principe mentionne l'utilisation et la communication exigées par la loi. Si on le lit d'un point de vue strictement juridique, le terme « exige » pourrait viser les utilisations et les communications que l'organisme est tenu par la loi de faire, mais non les situations prévues par des mesures législatives expresses ou des décisions explicites des tribunaux ou d'autres organismes investis de pouvoirs légaux qui autorisent (mais n'exigent pas) une utilisation ou

a.une communication en particulier. Dans la Loi visant le secteur public, cette lacune a été comblée en modifiant légèrement la proposition « (…) ou que la loi ne l'exige » de sorte qu'elle se lise ainsi : « (…) ou que la loi ne l'exige ou ne l'autorise expressément » (cinquième principe, annexe A). Cette lacune revêt une importance toute particulière dans le secteur public, puisque de nombreuses lois accordent une certaine discrétion aux ministres et fonctionnaires. Mais cette brèche peut exister en ce qui concerne le secteur privé.



Proposition 15

Le cinquième principe de la CSA devrait permettre les utilisations et les communcations qui sont autorisées expressément par la loi en plus de celles qui sont exigées par la loi.

b) Interdépendance entre les fins, le consentement et la loi

Quel est le lien entre les trois justifications possibles de l'utilisation ou de la communication que prévoit le cinquième principe de la CSA, à savoir les fins pour lesquelles les renseignements ont été recueillis, le consentement de la personne et une exigence ou une autorisation légale? Qu'en est-il, en particulier, lorsque ces facteurs donnent des indications opposées?

En principe, les trois facteurs intégrés au cinquième principe de la CSA doivent être considérés comme équivalents. La présence de l'un d'entre eux suffit. Par conséquent, on pourrait soutenir, par exemple, qu'un refus explicite de consentir à l'utilisation ou à la communication n'empêcherait pas l'organisme de prendre les mesures que la loi l'autorise à prendre.

Dans la pratique, toutefois, la relation qui existe entre les fins déterminées, le consentement et la loi peut être plus subtile dans certains cas. Supposons, par exemple, que la personne fournit volontairement des renseignements, mais en demandant explicitement qu'ils ne soient pas utilisés d'une façon particulière qui fait partie des fins déterminées de l'organisme. Si l'organisme reçoit des renseignements personnels après une telle mise en garde, il ne pourra prétendre que ses fins documentées en régissent l'utilisation. Pensons aux situations dans lesquelles les désirs réels ou probables de la personne ont un impact sur le critère de prépondérance de la proposition 13 touchant les actes non consensuels; ces désirs détermineront donc en partie ce qui est « expressément autorisé par la loi ». Dans la préparation de la Loi visant le secteur public, on s'est demandé s'il était possible de prévoir des repères législatifs au sujet de l'interdépendance entre les trois justifications de l'utilisation et de la communication des renseignements personnels. On a abouti à la conclusion que ce n'était pas possible. La notion de l'équivalence des trois éléments semble se dégager clairement à la lecture du cinquième principe de la CSA, et les possibles subtilités de leur interdépendance dans des situations précises ne peuvent être résumées sous une forme qui éclairerait la situation davantage qu'elle ne la rendrait confuse.



Proposition 16

Il n'est pas nécessaire que la loi sur la protection des données élabore au sujet de la relation entre les fins, le consentement et la loi comme justifications équivalentes de l'utilisation et de la communication de renseignements personnels.

c) Conservation

Le cinquième principe de la CSA édicte qu'on ne doit conserver les renseignements personnels qu'aussi longtemps que nécessaire pour la réalisation des finalités déterminées. Dans de nombreux cas, le respect de cette disposition entraînera la destruction de renseignements personnels devenus superflus. Cependant, une autre façon de cesser de conserver des renseignements personnels consiste à donner à ceux-ci une forme rendant impossible l'identification des personnes auxquelles ils se rapportent. Pour des fins de précision, on aurait avantage à prévoir cette seconde possibilité dans la loi.



Proposition 17

Une loi sur la protection des données devrait spécifier clairement que l'organisme peut satisfaire à son obligation de ne pas conserver indûment des renseignements personnels s'il conserve ceux-ci sous une forme rendant impossible l'identification des personnes auxquelles ils se rapportent.

Il faudrait aussi clarifier un autre point, soit celui de la durée de la période de conservation. La question est plus simple à régler dans le cas des renseignements personnels qui font partie d'un « système d'enregistrement des renseignements personnels » que dans le cas des autres renseignements personnels. En ce qui concerne les systèmes d'enregistrement de renseignements personnels, les décisions touchant la durée de la conservation des renseignements et le sort de ceux-ci après le traitement devraient être prises dans le cadre de l'établissement du système. Il faudrait prévoir un certain délai de façon à ne pas détruire prématurément des renseignements personnels. À l'instar de l'organisme, la personne concernée pourrait avoir intérêt à ce que les renseignements soient conservés pendant un certain temps après leur utilisation.

Hormis les systèmes d'enregistrement de renseignements personnels - dans des endroits comme les fichiers d'élaboration de politiques ou de conception de produits qui peuvent contenir à titre incident des renseignements personnels, par exemple - une approche plus flexible semble s'imposer en matière de conservation et de destruction. Tenter d'extraire tous les renseignements personnels de tels fichiers serait une tâche fastidieuse, d'autant plus que les fichiers de ce genre sont destinés à devenir quasi anonymes. Une fois le dossier fermé, tout renseignement personnel qu'il est susceptible de contenir devient relativement inaccessible. Bien sûr, si on rouvrait ultérieurement le dossier contenant des renseignements de nature non personnelle, toute utilisation ou communication des renseignements personnels qui s'y trouvent encore serait toujours assujettie à la loi.



Proposition 18

On ne devrait pas exiger des organismes qu'ils éliminent de leurs fichiers de renseignements de nature non personnelle tous les renseignements personnels qui pourraient s'y trouver à titre incident.

Sixième principe de la CSA - Exactitude

Les renseignements personnels doivent être aussi exacts, complets et à jour que l'exigent les fins pour lesquelles ils sont utilisés.

Ce principe est suffisamment explicite. L'argument principal qu'ajoute le commentaire de la CSA est le suivant : « Un organisme ne devrait pas systématiquement mettre à jour les renseignements personnels à moins que cela ne soit nécessaire pour atteindre les fins auxquelles ils ont été recueillis » (paragraphe 4.6.2). On ne devrait donc pas en déduire que le principe impose l'obligation générale de tenir les renseignements personnels à jour; en effet, un degré convenable d'exactitude ne s'impose véritablement que lorsqu'on utilise les renseignements. La formulation générale du sixième principe de la CSA permet cependant d'arriver assez facilement à cette conclusion.



Proposition 19

Le sixième principe de la CSA est suffisamment explicite. Il ne sera pas nécessaire d'inclure dans une loi sur la protection des données des dispositions additionnelles relatives à son interprétation et à son application.

Septième principe de la CSA - Mesures de sécurité

Les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.

a) Formulation

Dans la Loi visant le secteur public, on a substitué l'expression « dispositifs de protection » à l'expression « mesures de sécurité », parce que celle-ci semblait réduire la portée du principe. Dans son commentaire, la CSA indique que les mesures de sécurité doivent protéger les renseignements personnels contre « la perte ou le vol ainsi que contre la consultation, la communication, la copie, l'utilisation ou la modification non autorisées » (paragraphe 4.7.1). Elle indique aussi que les méthodes de protection devraient comprendre des moyens matériels, des mesures administratives et des mesures techniques ainsi que le fait pour les organismes de sensibiliser leur personnel à l'importance de protéger le caractère confidentiel des renseignements personnels (paragraphes 4.7.3 et 4.7.4). L'expression « mesures de sécurité » décrit en partie le sens des dispositions à prendre, mais elle détourne l'attention du fait que l'un des meilleurs moyens d'empêcher l'utilisation ou la divulgation non autorisée consiste à bien déterminer les types d'utilisations et de divulgations qui sont autorisés. Dans ce contexte plus global, le septième principe de la CSA impose aux organismes l'obligation de prendre elles-mêmes les mesures nécessaires pour que la loi opère. La mention de « mesures de sécurité » semble donc avoir pour effet de réduire la portée du principe.



Proposition 20

Qu'on retire l'expression « mesures de sécurité » du septième principe de la CSA de sorte à éviter d'en réduire la portée.

b) Quels genres de dispositifs de protection?

Comme il a été indiqué ci-dessus, le commentaire de la CSA fait spécifiquement mention de divers genres de mesures que chapeaute la notion de « dispositifs de protection ». Pour des fins de clarté, il convient que la loi imite cet exemple. En ce qui concerne la question des genres de dispositifs de protection qui correspondent au degré de sensibilité des renseignements personnels au sens du septième principe de la CSA, on s'est demandé s'il fallait que la loi soit plus explicite au sujet des mécanismes convenables. Toutefois, il semble que ce simple énoncé est aussi satisfaisant qu'une formule plus élaborée.



Proposition 21

Une loi sur la protection des données devrait prévoir que les dispositifs de protection qui seront mis en œuvre comprennent la formation, des moyens matériels ainsi que des mesures administratives et techniques, selon ce que commandent les circonstances. La loi ne devrait pas tenter de définir de quelle façon un dispositif de protection peut correspondre à la sensibilité des renseignements.

c) Transfert vers des tiers

L'une des sous-questions les plus importantes que soulèvent les dispositifs de protection est la suivante : quels genres de dispositifs l'organisme devrait-il prévoir, le cas échéant, lorsqu'il transfère des renseignements personnels à un autre organisme?

Selon le principe directeur en la matière, un organisme est responsable des renseignements personnels dont il a la gestion (premier principe de la CSA), et il continue d'assumer cette responsabilité au moins jusqu'au moment du transfert des renseignements personnels. L'organisme doit donc s'assurer que le transfert est autorisé par la loi, par le consentement de la personne concernée ou par les fins de la collecte originale (troisième et cinquième principes de la CSA), et il doit prendre les mesures qui s'imposent, en vertu du principe relatif aux dispositifs de protection, pour s'acquitter de la responsabilité que lui confère le premier principe de la CSA de protéger les renseignements personnels.

Les dispositifs que les organismes devront mettre en œuvre dépendront des circonstances. Dans bien des cas, le respect des troisième et cinquième principes de la CSA suffiront, notamment lorsque l'organisme destinataire est lui aussi assujetti à la loi, puisque l'utilisation qu'il pourra faire des renseignements personnels sera limitée aux fins licites pour lesquelles l'organisme qui les transfère en fait la divulgation. Dans d'autres cas, l'organisme destinataire sera assujetti à des obligations contractuelles ou professionnelles de confidentialité qui permettront à l'organisme qui transfère les renseignements de se dispenser de la mise en œuvre de dispositifs de protection additionnels. Par contre, dans certaines situations, aucun cadre juridique n'assurera la protection des renseignements personnels; l'organisme qui effectuera le transfert devra prendre des mesures pour s'assurer que les conditions de celui-ci tiennent compte de ses responsabilités.

Mais la loi peut-elle aller plus loin et décrire ces mesures? Cela est discutable. Les conditions contractuelles peuvent parfois être efficaces à cet égard, en particulier dans le contexte d'une relation continue entre les organismes concernés, mais il serait très ardu de décrire des situations particulières dans lesquelles l'organisme qui effectue le transfert serait tenu de prévoir des mesures de protection contractuelles. À moins qu'on soit disposé à énumérer ces situations dans la loi, on se contenterait de laisser l'organisme libre de prendre la décision et on ne dirait rien de plus que l'énoncé général selon lequel l'organisme qui effectue le transfert doit protéger les renseignements personnels au moyen de dispositifs de protection correspondant à leur degré de sensibilité.



Proposition 22

Une loi sur la protection des données devrait établir clairement que des dispositifs de protection correspondant au degré de sensibilité des renseignements personnels peuvent être nécessaires lorsqu'un organisme transfère des renseignements à un autre organisme; elle ne devrait cependant pas prescrire la forme des dispositifs de protection requis.

Huitième principe de la CSA - Transparence

Un organisme doit mettre à la disposition de toute personne des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels.

À l'instar d'autres principes de la CSA, le huitième semble trouver plus naturellement son application dans les grands organismes qui sont plus susceptibles que les petits d'être dotés de politiques et de pratiques en bonne et due forme. Toutefois, il semble possible de donner un sens intelligible à l'expression « politiques et pratiques », même dans les plus petits organismes. Si l'on s'informe des politiques et pratiques de l'organisme, celui-ci doit exposer la situation telle qu'elle est. On présume que tous les organismes sont en mesure de satisfaire à cette exigence élémentaire.



Proposition 23

Le huitième principe de la CSA est suffisamment explicite; une loi sur la protection des données ne doit pas chercher à le clarifier davantage.

Neuvième principe de la CSA - Accès aux renseignements personnels

Un organisme doit informer toute personne qui en fait la demande de l'existence de renseignements personnels qui la concernent, de l'usage qui en est fait et du fait qu'ils ont été communiqués à des tiers, et lui permettre de les consulter. Il sera aussi possible de contester l'exactitude et l'état complet des renseignements et d'y faire apporter les corrections appropriées.

a) Formulation

Le neuvième principe est le second de la série qui est accompagné d'une note, laquelle « fait partie intégrante de ce principe » (paragraphe 3.1.2). La note explique les raisons pour lesquelles l'accès ne peut être absolu.

Ces raisons peuvent comprendre le coût prohibitif de l'information à fournir, le fait que les renseignements personnels contiennent des détails sur d'autres personnes, l'existence de raisons d'ordre juridique, de raisons de sécurité ou de raisons d'ordre commercial exclusives et le fait que les renseignements sont protégés par le secret professionnel ou dans le cours d'une procédure de nature judiciaire. (par. 4.9)

Les lois sur la protection des données qui ont été adoptées par d'autres administrations prévoient fréquemment des exceptions de cette nature. Dans la Loi visant le secteur public, on a ajouté les mots « à moins qu'il ne soit pas approprié de le faire » à la fin de la première phrase du neuvième principe de la CSA afin d'indiquer que le droit de la personne d'avoir accès aux renseignements personnels qui la concernent n'est pas absolu. Le même ajout semble s'imposer dans la loi destinée au secteur privé.



Proposition 24

Les mots « à moins qu'il ne soit pas approprié de le faire » devraient être ajoutés au droit à l'information prévu dans le neuvième principe de la CSA.

b) La nature du droit

Même si le principe de la CSA est intitulé « Accès aux renseignements personnels », il semble en réalité comporter deux éléments, soit le droit d'être informé et le droit d'avoir accès. En pratique, on invoquera vraisemblablement plus souvent le droit à l'information que le droit d'accès qui équivaut au droit d'obtenir les documents. Une simple demande de la personne suffit à obliger l'organisme en vertu de ce principe. Dans la plupart des cas, la personne se contentera probablement de demander l'information; une réponse directe satisfera alors aux exigences du neuvième principe de la CSA.

Il arrivera bien sûr que la personne demande spécifiquement d'avoir accès aux documents. Dans un tel cas, si le fait d'accéder à la demande n'entraîne pas des coûts prohibitifs (voir le point c. Exceptions au droit d'accès) et si aucune autre exception de fond ne trouve application, les documents devraient être mis à la disposition de la personne. Il arrivera aussi parfois que des documents soient soustraits au droit d'accès, mais l'organisme devra tout de même fournir de l'information au moins partielle au sujet de leur contenu pour se décharger de l'obligation qui lui impose ce principe.

Dans la Loi visant le secteur public, il était superflu de clarifier ce lien entre le droit d'être informé et le droit d'avoir accès, puisque la Loi sur le droit à l'information règle cette question. Dans la loi qui s'appliquerait au secteur privé, cependant, ce lien devrait être établi clairement.



Proposition 25

Une loi sur la protection des données devrait établir clairement que le fait de fournir l'information suffit à l'organisme pour se décharger de l'obligation que lui impose le neuvième principe, à moins que la personne ne réclame spécifiquement l'accès aux documents.

c) Exceptions au droit d'accès

La Loi visant le secteur public renvoie à la Loi sur le droit à l'information en ce qui concerne les exceptions au droit qu'a la personne d'avoir accès aux renseignements. La plupart des « organismes publics » sont déjà assujettis à cette loi. Par contre, les mesures législatives destinées au secteur privé devraient contenir leur propre liste d'exceptions.

Une partie de cette liste ressemblerait à celle que contient la proposition 13 et qui énumère les circonstances dans lesquelles la collecte, l'utilisation ou la divulgation sans consentement de renseignements personnels peuvent être effectuées. Dans bon nombre des situations énumérées, il convient aussi de permettre la non-divulgation à la personne concernée. Cependant, certains motifs additionnels justifiant la non-divulgation s'appliquent aussi dans le contexte d'une demande d'accès par un particulier. On se demande en outre si la liste devrait contenir une disposition générale traitant des situations qui ne sont pas couvertes par les points spécifiques qui y sont énumérés; par ailleurs, on s'interroge à savoir s'il faudrait, dans certaines circonstances, exiger de l'organisme qui refuse de divulguer des renseignements des explications au sujet du contenu de ceux-ci.



Proposition 26

L'organisme ne devrait pas être tenu de divulguer des renseignements personnels à la personne concernée :

a) lorsque la divulgation serait préjudiciable à la santé ou à la sécurité du public ou d'un particulier, y compris de la personne qui présente la demande d'accès;

b) lorsque la divulgation entraverait le cours d'une enquête liée à l'application d'une loi;

c) lorsque la non-divulgation est exigée ou expressément autorisée par la loi ou lorsque la personne n'aurait pas le droit d'obtenir les renseignements dans le cadre d'une instance judiciaire;

d) lorsque les renseignements ont été fournis par un tiers sous le sceau de la confidence ou sont de nature confidentielle;

e) lorsque les renseignements demandés sont inextricablement liés à des renseignements personnels concernant un tiers;

f) lorsqu'il serait indûment dispendieux ou fastidieux de fournir les renseignements demandés;

On devrait envisager d'autoriser la non-divulgation lorsqu'il existe un autre motif légitime et substantiel de refuser l'accès aux renseignements demandés.

Les cas de non-divulgation devraient se limiter aux exigences raisonnables de chacune des situations. S'il peut expliquer le contenu des renseignements qu'il refuse de divulguer sans pour autant porter atteinte aux motifs pour lesquels ils ne sont pas divulgués, l'organisme devrait le faire.

d) Modalités

Le neuvième principe de la CSA est muet en ce qui concerne les modalités qui doivent permettre aux personnes d'obtenir les renseignements, les documents ou les corrections auxquels elles ont droit. On en déduit qu'il revient à chacun des organismes d'établir ses propres modalités.

Cette façon de procéder semble acceptable. Le neuvième principe de la CSA prévoit de nombreux scénarios allant des demandes faites sans formalités auxquelles les organismes sont en mesure de répondre rapidement et facilement, aux situations qui peuvent donner lieu à une opposition. Il serait difficile d'inclure dans la loi des modalités qui couvriraient toutes ces situations; cette solution risquerait en outre de bureaucratiser indûment le mécanisme. Si les mesures législatives sur la protection des données étaient muettes au sujet des mécanismes d'accès, elles fonctionneraient conformément au principe selon lequel la personne a des droits que l'organisme doit respecter. Selon ce principe, l'organisme doit se rendre à la demande de la personne dans un délai raisonnable; s'il ne fait pas d'efforts véritables pour permettre à la personne d'exercer ses droits, il porte atteinte au principe.



Proposition 27

Une loi sur la protection des données pourrait être muette au sujet des mécanismes d'accès prévus dans le neuvième principe de la CSA.

e) Corrections

À première vue, la notion selon laquelle il est possible pour la personne « de contester l'exactitude et l'état complet des renseignements et d'y faire apporter les corrections appropriées » semble suffisamment explicite et autonome. De toute évidence, l'organisme n'a aucun intérêt à conserver des renseignements inexacts ou incomplets dans ses dossiers. Par conséquent, le problème que soulèvera fort probablement l'application de cet élément du neuvième principe de la CSA se posera lorsque la personne et l'organisme ne s'entendront pas sur l'exactitude des renseignements. Dans une telle situation, l'organisme ne devrait pas être forcé de modifier ses renseignements, mais il devrait être tenu de prendre note du fait que la personne en conteste l'exactitude. C'est probablement ce qui se produira dans le cours normal des choses, même si la loi est silencieuse à ce sujet. Mais étant donné que le neuvième principe de la CSA est muet en ce qui concerne les désaccords entre les parties, il convient probablement de clarifier cette question par voie législative.



Proposition 28

Si la personne remet en question l'exactitude ou le caractère exhaustif des renseignements sans réussir à convaincre l'organisme, celui-ci devrait prendre note du fait que la personne conteste les renseignements concernés.

Dixième principe de la CSA - Possibilité de porter plainte contre le non-respect des principes

Toute personne doit être en mesure de se plaindre du non-respect des principes énoncés ci-dessus en communiquant avec le ou les individus responsables de les faire respecter au sein de l'organisme concerné.

Il faut remarquer que ce principe vise un processus d'examen interne par l'organisme lui-même; les questions relatives aux examens externes par d'autres organismes sont abordées ci-dessous, sous la rubrique Application de la loi.

Dans un mécanisme d'examen interne, il importe de préserver la crédibilité du processus. Dans tous les cas, l'organisme examinera sa propre conduite; parfois, surtout dans les plus petits organismes, la personne chargée de l'examen sera aussi celle dont la décision est remise en question. Ce genre de situation est inévitable. Mais la loi peut toujours contenir une disposition exigeant la tenue d'un véritable examen. On peut bien sûr déduire cette exigence du dixième principe de la CSA, mais l'inclusion dans la loi sur la protection des données de l'obligation qu'a l'organisme de faire enquête de bonne foi ainsi que de son devoir de prendre les mesures qui s'imposent s'il conclut que la plainte est fondée a un certain mérite sur le plan de la clarté.



Proposition 29

Un organisme devrait être tenu de faire enquête de bonne foi au sujet des plaintes qu'il reçoit et de prendre les mesures qui s'imposent quand il conclut qu'une plainte est fondée.

B.3 Autres enjeux

Dans la partie 2 du document de consultation rendu public par le gouvernement fédéral en 1998, on soulève deux questions dignes d'intérêt à propos desquelles le code de la CSA est muet. La première concerne les codes sectoriels, et la seconde, l'application de la loi.

a) Codes sectoriels

La question consiste à savoir si une loi sur la protection des données pourrait permettre à des secteurs de l'industrie d'élaborer leur propre code, qu'il s'agisse d'une adaptation du code de la CSA ou d'un document entièrement inédit; dans l'affirmative, on devra déterminer la portée juridique de ces codes. Cette question se pose en raison des préoccupations que soulève la formulation du code de la CSA et des mesures législatives qu'il inspire, laquelle ne serait pas tout à fait applicable à tous les organismes ou pourrait être trop vague pour vraiment définir ce qui serait permis ou non dans certaines situations. Un code sectoriel permettrait à l'industrie d'élaborer des règles qui tiennent compte des exigences de son propre fonctionnement.

La principale question que suscite cette possibilité consiste à savoir si le code sectoriel devrait avoir un effet juridique et, plus particulièrement s'il aurait préséance sur le code légiféré en cas de conflit entre les deux. Si c'était le cas, le code sectoriel devrait recevoir l'approbation d'un organisme compétent en vertu de la loi. Autrement, les industries auraient le pouvoir de se soustraire d'elles-mêmes à la loi. Par contre, si le code légiféré a préséance sur les codes sectoriels, le mécanisme officiel d'approbation revêtirait un caractère beaucoup moins impératif. Quelles que soient les dispositions du code sectoriel, le code légiféré contiendrait toujours les principes directeurs. Les codes sectoriels auraient ainsi moins de valeur aux yeux de l'industrie, puisque même si elle s'y conformait, elle n'aurait aucune assurance qu'elle respecte ainsi la loi.

Même si les codes sectoriels présentent certains avantages (comme tout code ou toute politique interne d'un organisme), l'approche qui semble convenir au cas qui nous occupe consisterait à encadrer le fonctionnement des codes et politiques au moyen des dispositions prévues par la loi, lesquelles auraient préséance sur ceux-ci en cas de conflit. Bien sûr, ce cadre serait exprimé en termes généraux, mais la protection des données n'est pas - peu s'en faut - le seul domaine assujetti à des règles juridiques énoncées en termes généraux, et les organismes doivent élaborer des politiques et des pratiques à la lumière de leur compréhension de la portée des règles. Si un genre d'organismes ou d'activités en particulier exige l'adoption de règles juridiques plus précises que les principes généraux du code légiféré, il serait préférable d'intégrer celles-ci par voie de règlement plutôt que dans le cadre de codes sectoriels.



Proposition 30

Les codes sectoriels ne devraient pas avoir force de loi en vertu d'une loi sur la protection des données. Celle-ci devrait édicter le pouvoir de faire les règlements qui, le cas échéant, pourraient contenir des dispositions plus précises à l'égard du genre d'organismes, de renseignements ou d'activités concerné.

b. Application de la loi

Le code de la CSA n'avait pas à se pencher sur la question de l'application de la loi, puisqu'il s'agit d'une norme purement volontaire dont le respect est régi par des mécanismes d'autosurveillance. Dans un cadre législatif, cependant, on doit aborder la question de savoir ce que l'on fera si les règles ne sont pas respectées. Si la loi était muette à ce sujet, il incomberait, en dernière analyse, aux tribunaux d'interpréter les mesures législatives et de décider des recours qu'on doit en déduire.

Les trois principales approches en matière d'application de la loi sont les suivantes : a) le recours pénal; b) le recours civil; et c) le recours administratif. Le recours pénal sert à réprimer les conduites inacceptables et à punir les contrevenants; les poursuivants sont généralement des avocats de la fonction publique, et les amendes sont versées au tribunal. Le recours civil permet aux justiciables de s'adresser aux tribunaux en leur propre nom afin d'obtenir un dédommagement en raison d'un préjudice qu'on leur a fait subir ou d'empêcher un tel préjudice. Tout dédommagement ainsi adjugé est versé au justiciable. Le recours administratif comporte la mise sur pied d'un organisme parajudiciaire qui verrait à l'application des mesures législatives concernées et qui pourrait disposer d'un éventail de pouvoirs de réparation. La position du justiciable et le rôle du tribunal varieront selon la nature de ces pouvoirs.

Le recours pénal

Selon la Loi visant le secteur public, commet une infraction tout organisme public ou tout dirigeant, tout employé ou tout représentant d'un organisme public qui recueille, utilise ou divulgue des renseignements personnels d'une façon qui porte intentionnellement atteinte aux troisième (consentement), quatrième (limitation de la collecte) et cinquième (limitation de l'utilisation, de la communication et de la conservation) principes du Code de pratique statutaire. Selon l'interprétation que l'on en donne habituellement, l'expression « atteinte intentionnelle » désigne le fait de commettre un acte fautif en le sachant fautif ou en négligeant de tenir compte de son caractère fautif. Les mesures législatives interdisant la divulgation fautive de renseignements sont plus courantes dans le secteur public que dans le secteur privé, mais il conviendrait peut-être de prévoir une infraction de la sorte dans la loi destinée au secteur privé. Celle-ci pourrait en outre créer une infraction de refus intentionnel de fournir des renseignements ou de faire une correction d'une façon qui porte atteinte à l'un des droits que confère aux particuliers le neuvième principe du code de la CSA. Cette question ne se pose pas dans la Loi visant le secteur public, puisque l'application du droit à l'accès relève de la Loi sur le droit à l'information.



Proposition 31

Une loi sur la protection des données pourrait énoncer que toute atteinte intentionnelle aux troisième (consentement), quatrième (limitation de la collecte), cinquième (limitation de l'utilisation, de la communication et de la conservation) et neuvième (accès aux renseignements personnels) principes de la CSA constitue une infraction.

Le recours civil

Les recours civils ont-ils leur place dans une loi sur la protection des données? Les principaux recours civils sont le jugement déclaratoire, l'injonction et l'action en dommages-intérêts. Le jugement déclaratoire se contente d'énoncer le droit et la façon dont il s'applique à une série de faits donnés. L'injonction comporte aussi une déclaration de la façon dont la loi s'applique à une série de faits donnés, mais elle présente un élément obligatoire additionnel qui sert à forcer le justiciable à faire ou à ne pas faire quelque chose. L'action en dommages-intérêts, enfin, oblige une partie à dédommager l'autre partie en raison d'un dommage imputable à un acte fautif.

Quel rôle les recours civils pourraient-ils jouer dans l'application de la loi sur la protection des données? Ces recours, pris isolément, seront examinés dans les pages qui suivent. La question sera ensuite abordée de nouveau après avoir étudié le recours administratif. Si l'on mettait sur pied un important mécanisme administratif d'application de la loi, les recours civils seraient en effet appelés à jouer un rôle beaucoup plus effacé.

La principale fonction du recours civil, par opposition au recours pénal, consiste à accorder au justiciable qui est victime d'un préjudice un droit personnel de faire valoir ses propres intérêts. Mais le recours civil a aussi un effet plus général. Même s'il porte sur des cas individuels, le recours civil permet aux tribunaux de formuler des jugements qui font jurisprudence quant à la signification de dispositions particulières de la loi. Il se produit ainsi un effet d'entraînement lorsque les tribunaux établissent des normes que doivent respecter tous les organismes assujettis à la loi. On dit fréquemment que les instances judiciaires sont coûteuses et pénibles; mais bien des gens sont parfois prêts à plaider des questions qui leur tiennent à cœur, et ces procès peuvent trancher d'importantes questions de principes. L'un des meilleurs exemples dans le domaine de la protection des renseignements est l'affaire McInerney c. Macdonald (1992) 126 NBR (2d) 271; dans cette affaire, qui a pris naissance au Nouveau-Brunswick, la Cour suprême du Canada a reconnu le droit qu'avait le patient d'un médecin de consulter un rapport à son sujet qui avait été préparé par un consultant.

En règle générale, on serait porté à croire qu'en l'absence d'un recours administratif empêchant le justiciable de s'adresser aux tribunaux, ceux-ci devraient avoir le pouvoir d'expliquer le sens de la loi une fois qu'elle a été adoptée. Le jugement déclaratoire semble donc tout indiqué en la matière. On pense aussi tout naturellement à l'injonction, puisqu'il serait illogique de permettre aux tribunaux de déterminer le sens d'une loi tout en les privant du pouvoir d'exiger d'un organisme qu'il agisse conformément à ce que la loi lui dit de faire. Il faudra se souvenir de la possibilité de forcer les organismes à se conformer à la loi si on formule des mesures législatives; en effet, la loi doit à tout prix éviter d'imposer aux organismes des obligations qu'on ne peut raisonnablement leur demander d'assumer. Si l'on impose des obligations raisonnables, toutefois, les injonctions ne devraient susciter aucun problème.

On doit être plus circonspect à l'égard des jugements octroyant des dommages-intérêts. L'examen de documents relatifs à la protection des données dans les autres ressorts donne lieu aux deux questions suivantes : a) devrait-on pouvoir invoquer le recours en dommages-intérêts en cas d'atteinte aux principes régissant la protection des données; et b) dans l'affirmative, dans quelles circonstances pourrait-on l'invoquer? La plupart des lois canadiennes en vigueur en matière de protection des renseignements personnels dans le secteur public ne permettent pas l'octroi de dommages-intérêts. Au Québec, où la loi couvre aussi le secteur privé, les mécanismes fondamentaux de protection des renseignements personnels sont énoncés dans le Code civil et le justiciable peut se prévaloir du recours en dommages-intérêts. Dans les lois sur la protection des données dans le secteur privé des administrations de common law de l'extérieur du Canada (il n'en existe aucune au Canada à l'heure actuelle), on aborde toutefois avec circonspection la question des dommages-intérêts. La Privacy Act 1993 de la Nouvelle-Zélande énonce explicitement qu'elle ne crée aucun droit qui serait susceptible d'être déclaré exécutoire par les tribunaux. Le Complaints Review Tribunal peut ordonner le paiement d'un dédommagement, mais il s'agit là d'un pouvoir discrétionnaire et non d'un droit dont peut se prévaloir le justiciable. Au Royaume-Uni, le Data Protection Act 1984 permet l'octroi de dommages-intérêts dans certaines situations, mais pas dans celles où l'organisme a pris des précautions raisonnables, eu égard aux circonstances, pour que l'atteinte ne se produise. Dans l'évaluation du montant des dommages, le tribunal peut tenir compte des souffrances psychologiques qu'a endurées la victime, mais celles-ci ne donnent pas, en tant que telles, droit à un dédommagement. La présence de dommages semble être l'une des conditions préalables essentielles à l'exercice du recours (voir les articles 22 et 23).

On a raison d'être prudent lorsqu'il s'agit de permettre le recours en dommages-intérêts en raison d'une atteinte à un principe en matière de protection des données. Ceux-ci établissent des normes de pratique, mais les actes qui ne s'y conforment pas et qui ne sont donc pas tout à fait bons ne revêtent pas tous une gravité telle qu'ils justifient des réclamations en dommages-intérêts lorsqu'ils provoquent des dommages ou de la souffrance psychologique. Si l'on définit les renseignements personnels de la façon suggérée dans la proposition 5 (tout renseignement concernant un particulier identifiable enregistré sous quelque forme que ce soit), on couvrira un vaste éventail de données, certaines sensibles, la plupart non. Le traitement des renseignements personnels - et les possibilités d'erreur qui en découlent - se fait de façon routinière dans les organismes, et la mise en œuvre de la loi exigera que l'on prenne régulièrement des décisions au sujet de ce qui est « approprié » et de ce qui ne l'est pas, de ce qui est « raisonnable » et de ce qui ne l'est pas. La loi deviendrait vite encombrante si chacune des décisions pouvait être contestée devant les tribunaux et si chaque erreur de jugement, même lorsque l'organisme a déployé des efforts sincères et importants en vue de se conformer à la loi, pouvait donner lieu à des poursuites en dommages-intérêts.

C'est la raison pour laquelle il paraît sage, en ce qui concerne le recours en dommages-intérêts, de prévoir une marge d'erreur dans une loi sur la protection des données, de sorte que le simple fait pour un organisme de ne pas satisfaire aux normes établies par la loi et de causer ainsi des dommages ne suffirait pas en soi pour donner ouverture à une réclamation en dommages-intérêts. On peut définir de diverses façons cette marge d'erreur. Au Royaume-Uni, comme il en a été fait mention auparavant, le critère applicable à l'octroi de dommages-intérêts est celui de l'absence de précautions raisonnables. On pourrait aussi examiner les conséquences du non-respect de la loi et prévoir que l'octroi de dommages-intérêts n'est permis que si la violation équivaut à une atteinte au droit à la vie privée. Il conviendrait peut-être, de préférence à ces deux scénarios, d'élaborer un critère « d'incompatibilité manifeste avec la loi » comme fondement de ce que devrait prouver le plaignant qui réclame des dommages-intérêts. Face à un tel critère, si l'organisme fait un geste erroné qui n'est pas déraisonnable, il ne s'exposerait pas à être condamné à payer des dommages-intérêts.



Proposition 32

À moins qu'une loi sur la protection des données ne prévoie des recours administratifs qui rendent superflus les recours civils, les justiciables devraient pouvoir se prévaloir du jugement déclaratoire, de l'injonction et de l'action en dommages-intérêts à titre de mesures d'application de la loi. Toutefois, on ne devrait permettre l'octroi de dommages-intérêts que lorsque la violation de la loi par l'organisme entraîne une perte et satisfait un autre critère, comme celui de l'incompatibilité manifeste avec la loi.

Le recours administratif

Dans le secteur public, la question du recours administratif soulevait relativement peu de problèmes. Un organisme statutaire existait déjà (l'Ombudsman de la province), et son mandat englobait naturellement des questions relatives au traitement des renseignements du genre de celles qui sont visées par les principes de protection des données. Ce lien a été officialisé lorsque la province a adopté son Code de protection des renseignements personnels en 1994; l'Ombudsman a en effet été désigné comme organisme responsable d'assurer le respect du code. Le document de travail rendu public par le ministère de la Justice en 1996 proposait que l'Ombudsman joue le même rôle dans le cadre de la loi sur la protection des données dans le secteur public; cette proposition a été entérinée par le Comité de modification des lois, et c'est ce que prévoit actuellement la Loi visant le secteur public. En vertu de la Loi, le recours administratif exercé devant l'Ombudsman est en réalité le recours prépondérant, et les recours judiciaires ont une portée beaucoup plus restreinte.

Toutefois, les choses ne sont pas aussi simples dans le secteur privé. Aucun organisme n'a actuellement un mandat qui englobe naturellement la protection des données dans la plupart, voire dans l'ensemble, des « organismes » qui seraient assujettis à la loi sur la protection données en vertu de la proposition 4. Cependant, dans de nombreux secteurs d'activité, on trouve des organismes de réglementation prévus sous le régime d'une loi dont le mandat englobe ou pourrait englober les questions relatives à la protection des données. Au rang des organismes assujettis à la réglementation, on compte les assureurs, les établissements financiers, les agences de recouvrement, les enquêteurs privés et les foyers de soins, pour n'en nommer que quelques-uns. Les occupations assujetties à l'autoréglementation, comme celles d'avocat et de médecin, font aussi l'objet de mécanismes légaux de traitement des plaintes qui pourraient servir dans les affaires relatives à la protection des données et qui servent déjà probablement dans le cadre de l'examen de questions relatives au caractère confidentiel des communications avec le client. Des organismes volontaires de normalisation, comme les associations sectorielles, ont aussi mis sur pied des mécanismes non statutaires de traitement des plaintes. Le récent document de discussion du gouvernement fédéral mentionne que tous ces organismes pourraient avoir un rôle à jouer dans l'application non judiciaire des mesures législatives sur la protection des données dans le secteur privé (p. 21).

Les discussions en ce qui concerne les recours administratifs dans le cadre d'une loi sur la protection des données ont toutefois tendance à porter sur la question de savoir s'il faut mettre sur pied un organisme désigné de protection des données qui serait chargé d'assurer le respect de la loi. On utilise souvent l'expression « commissariat à la protection de la vie privée » pour désigner cet organisme, mais cette expression est trompeuse. Elle laisse entendre que l'organisme s'occupe de la vie privée entendue dans le sens large et naturel décrit dans la partie II du présent document, et non des questions plus restreintes ayant trait à la protection des données, qui constituent le mandat premier de l'organisme. Dans le présent document, l'expression « organisme de protection des données » sera donc utilisée, plutôt que les termes « commissariat à la protection de la vie privée ». Bien sûr, la création de recours administratifs dans le cadre de la loi sur la protection des données ne doit pas nécessairement entraîner la mise sur pied d'un organisme de protection des données. Il existe d'autres possibilités.

Deux grandes raisons justifieraient la création de recours administratifs dans le cadre d'une loi sur la protection des données. La première consisterait à restreindre le rôle que les tribunaux joueraient autrement dans l'application de la loi. C'est ce qui pourrait se produire, par exemple, si les obligations établies par la loi ne se prêtaient pas aisément à l'exécution par les tribunaux ou si on craignait que la loi fasse courir aux organismes des risques exagérés de poursuites pour une foule de motifs. Deuxièmement, on pourrait soutenir que même si les recours judiciaires ont leur place dans les mesures législatives sur la protection des données, ils ne sont pas suffisamment exhaustifs en la matière. Certains les jugent trop lents ou trop coûteux pour régler les questions courantes d'observation de la loi et ils les estiment inefficaces en matière de prévention et d'éducation, un secteur que doit englober la protection des données, selon eux.

La première de ces raisons laisse essentiellement sous-entendre que les recours judiciaires n'ont pas leur place dans la loi sur la protection des données. Certains soutiennent, par exemple, que le code de la CSA doit être considéré comme un énoncé déontologique plutôt que comme une mesure législative; on ne pourrait donc pas concrètement s'attendre à ce que les organismes se conforment aux critères qu'il établit, et ils ne devraient pas être menacés de poursuites judiciaires toutes les fois qu'ils y contreviennent. Compte tenu de cet argument, un recours administratif en grande partie fondé sur la dissuasion pourrait mieux convenir que l'intervention des tribunaux.

La force de cet argument dépend du degré de précision avec lequel le code de la CSA et les mesures législatives sur la protection des données qui s'en inspirent décrivent des normes réalistes de pratiques convenables. Elle dépend aussi de la nature des recours judiciaires proposés; à la lumière des propositions 31 et 32, ceux-ci prendraient la forme a) de poursuites en cas d'atteintes intentionnelles de principes particuliers, b) de poursuites en dommages-intérêts lorsqu'un acte « manifestement incompatible avec la loi » cause une perte et c) de requêtes en jugement déclaratoire et en injonction en cas de non-respect de la loi. La question de savoir si cet équilibre entre les obligations et les recours est satisfaisant et réaliste devra alimenter le débat public.

Il convient cependant de souligner que les obligations énoncées dans le code de la CSA sont de la nature de celles que les tribunaux font respecter dans d'autres contextes. Le code contient des assouplissements (« à moins qu'il ne soit pas approprié de le faire » dans le troisième principe, « les attentes raisonnables de la personne » au paragraphe 4.3.5). Les tribunaux sont habitués de manipuler des notions souples comme celles-là. Il suffit de penser par exemple à la « prudence raisonnable » du droit de la responsabilité et aux « attentes raisonnables en matière d'intimité » de l'article 8 de la Charte canadienne des droits et libertés. En fait, les tribunaux sont probablement beaucoup plus à l'aise que la plupart des organismes administratifs lorsqu'il s'agit de faire respecter des normes génériques semblables, à plus forte raison s'ils sont en présence d'un vaste éventail de secteurs d'activité. Par conséquent, on voit mal comment on pourrait prétendre que les obligations que comportent les mesures législatives sur la protection des données ne se prêtent pas à l'interprétation et à l'application qu'en feraient les tribunaux. On pourrait bien sûr songer à restreindre le rôle des tribunaux sous prétexte que les organismes et les particuliers seront « plus à l'aise » de faire affaires avec un organisme administratif en cas de litige en vertu de la loi. Mais cette position est différente de celle qui soutient que les tribunaux ne sont pas l'arène convenable pour interpréter des principes comme ceux du code de la CSA.

Ce raisonnement nous amène à la deuxième raison énoncée ci-dessus qui pourrait justifier la création de recours administratifs dans le cadre d'une loi sur la protection des données (les recours judiciaires pourraient convenir en matière de protection des données, mais les recours administratifs seraient préférables). Cette position soulève deux points importants. Le premier a trait aux plaintes et à la nature du mécanisme de résolution des différends. Le second porte sur des questions comme la prévention et l'éducation qui, si elles étaient intégrées au projet législatif, ne pourraient manifestement pas relever des tribunaux.

En ce qui concerne les plaintes, l'argument en faveur de la création de recours administratifs peut être énoncé de façon très abrupte : les litiges coûtent cher et sont intimidants, et la plupart des gens dans la plupart des situations n'intenteront pas de poursuites au sujet des genres de questions que soulève la protection des données. Selon cet argument, en l'absence de recours administratif, l'application de la loi sera impossible. On serait tenté d'ajouter que l'application de la loi par voie administrative pourrait se faire en grande partie au moyen de la médiation et de la conciliation, alors que les recours judiciaires sont fondés sur le principe de l'antagonisme.

Certains répondent à cet argument que les recours administratifs sont l'exception et non la règle dans la plupart des litiges juridiques. Même s'il existe des organismes comme le médiateur des loyers, les agents des normes d'emploi et les commissions des droits de la personne, les parties à un litige juridique doivent normalement régler elles-mêmes leur différend, accepter leur sort ou intenter des poursuites. C'est cette position qu'adopte la loi en ce qui concerne les questions relatives aux « renseignements personnels » comme la diffamation et l'abus de confiance. C'est également le cas des droits fondamentaux de la personne énoncés dans la Charte canadienne des droits et libertés, y compris du droit à la vie privée qui en découle, de l'avis des tribunaux. C'est aussi en grande partie le cas des lois sur la protection des consommateurs (en vertu desquelles les consommateurs s'adressent généralement à la Division des petites créances s'ils doivent plaider leur cause). L'analogie avec la protection des consommateurs est pertinente, puisqu'une grande partie des discussions au sujet des mesures législatives sur la protection des données dans le secteur privé, y compris le récent document de consultation du gouvernement fédéral, situent la protection des données dans le contexte de la nécessité de protéger les droits des consommateurs, spécialement sur l'autoroute de l'information.

On ne devrait donc pas tenir pour acquise la création d'un mécanisme administratif de traitement des plaintes. Il faudra faire des choix au chapitre des coûts, des avantages et des priorités. D'une part, les ressources administratives consacrées à l'application des mesures législatives sur la protection des données feront sans doute accroître le respect des méthodes équitables de traitement de l'information. D'autre part, étant donné que les ressources administratives sont toujours très sollicitées, le fait de laisser aux justiciables l'initiative de se prévaloir de leurs recours devant les tribunaux s'ils le désirent ne diminue en rien les valeurs dont la loi sur la protection des données fait la promotion. Les organismes de réglementations existants continueraient bien sûr de recevoir les plaintes dans leur domaine de compétence.

Même si un mécanisme administratif de traitement des plaintes en matière de protection des données peut sembler a priori souhaitable, il faut aussi se demander ce que comporterait un tel mécanisme. L'une des possibilités serait d'en faire un processus de médiation et de conciliation auquel ne serait rattaché aucun pouvoir de contrainte légale. Cette façon de procéder améliorera sans doute les possibilités de règlements à l'amiable; cependant, sa faiblesse apparente ne manquera pas de susciter des critiques. Par contre, si on va plus loin en ajoutant des pouvoirs de contrainte à l'exercice du recours administratif, on devra s'interroger sur la portée de ces pouvoirs. S'ils comprenaient celui de délivrer des ordonnances exécutoires, il faudrait sans doute aussi prévoir le pouvoir de tenir des audiences, en plus d'y rattacher celui d'assigner des témoins et de forcer la production d'éléments de preuve. Les pouvoirs de pénétrer dans des lieux et d'inspecter des registres et des dossiers pourraient aussi être nécessaires, sans compter l'examen que l'on devrait faire des mécanismes d'application de la loi chargés d'assurer le respect de ces ordonnances exécutoires.

Bref, tout s'enchaîne. La question qui doit être soumise au débat à l'heure actuelle est la suivante : Jusqu'où doit-on aller dans la mise sur pied d'un mécanisme administratif de traitement des plaintes. Voici les trois façons de procéder qui ressortent de l'éventail des solutions possibles : 1) s'en remettre entièrement au processus judiciaire; 2) mettre sur pied un mécanisme administratif sans pouvoir de contrainte légale; et 3) mettre en œuvre un mécanisme administratif doté de pouvoirs de contrainte qui seraient probablement assez exhaustifs. Quelle approche s'impose dans le contexte du respect des pratiques équitables en matière de renseignements personnels?

L'autre question qui a été soulevée au sujet des recours administratifs consiste à savoir si le mécanisme administratif présente certains avantages dont seraient dénués les recours judiciaires essentiellement enclenchés par des plaintes. L'un des aspects déjà mentionné est celui de la prévention; on peut aussi penser à l'éducation.

Si l'on veut prendre en considération des fonctions comme celles-là, le mécanisme de redressement administratif en vertu de la loi sur la protection des données commence à prendre des allures d'organisme permanent, pas nécessairement spécialisé uniquement dans la protection des données, mais qui aurait au moins une existence permanente et dont le mandat comprendrait la protection des données. Par contre, le mécanisme de traitement des plaintes décrit au paragraphe précédent pourrait être une entité plus éphémère mise sur pied au besoin pour traiter les plaintes au fur et à mesure qu'elles se présentent.

Quoiqu'il en soit, certaines des questions que soulèvent ces fonctions additionnelles se comparent aux interrogations que suscite le mécanisme de traitement des plaintes. La prévention semble souhaitable à première vue. Mais si la prévention signifie en pratique qu'un organisme administratif a le pouvoir de pénétrer dans les locaux de toute organisation et d'y inspecter les registres et les méthodes même en l'absence d'une plainte, convient-il de déléguer un tel pouvoir pour assurer le traitement adéquat des renseignements personnels?

Par ailleurs, la prévention pourrait signifier de donner des conseils aux organismes afin de leur permettre de rendre leurs méthodes conformes aux mesures législatives. Mais cette possibilité soulève aussi des interrogations, puisque l'organisme administratif devrait toujours se réserver le droit de faire enquête de façon impartiale au sujet des questions relativement auxquelles on solliciterait son avis si un particulier déposait subséquemment une plainte. Par conséquent, les avis de l'organisme ne pourraient pas faire autorité; dans ce cas, ils ne seraient pas très utiles aux organisations qui les demanderaient.

Les fonctions d'éducation, entendue dans le sens de fournir de l'information générale à la population au sujet des mesures législatives, et de promotion de la cause, entendue dans le sens d'inciter les gouvernements et les organisations à porter une plus grande attention aux questions relatives à la protection des données dans leurs décisions et dans leurs méthodes, présenteront probablement moins de difficultés pratiques ou techniques. Toutefois, il faut penser en termes de priorités et de ressources. Ces fonctions pourraient être souhaitables dans le cadre du mandat d'un organisme essentiellement axé sur le traitement des plaintes. Mais on peut se demander si elles justifieraient en elles-mêmes un mandat distinct, en l'absence d'une quantité importante de plaintes.

Il est bon de noter que le nombre de plaintes reçues par le Bureau de l'Ombudsman en vertu des dispositions du Code de protection des renseignements personnels en vigueur dans le secteur public du Nouveau-Brunswick au cours des trois premières années suivant son entrée en vigueur a été peu élevé, soit moins de 25 plaintes chaque année. On ne peut pas tirer beaucoup de conclusions de ces quelques chiffres, mais on peut à tout le moins déduire que les politiques concernant la loi sur la protection des données ne devraient pas prendre pour acquis que la quantité de plaintes sera élevée. Il sera intéressant de vérifier si le remplacement du Code de protection des renseignements personnels par la Loi sur la protection des renseignements personnels dans le secteur public entraînera une augmentation du nombre des plaintes.



Proposition 33

La création de recours administratifs n'est pas essentielle à une loi sur la protection des données; mais elle représente un choix politique. Les grandes questions à être examinées dans le cadre des consultations publiques sont les suivantes :

a) Les recours judiciaires sont-ils suffisants et convenables?

b) La création d'un mécanisme administratif de traitement des plaintes sans pouvoir de contrainte serait-elle utile?

c) Le fait d'assortir le mécanisme administratif de traitement des plaintes de pouvoirs de contrainte serait-il improductif ou exagéré?

d) Peut-on penser à une fonction qui ne serait pas axée sur les plaintes, qui serait substantielle et viable et qui justifierait à elle seule que l'on consacre des ressources à un organisme administratif ayant un mandat précis en matière de protection des données?




Assemblée législative du Nouveau-Brunswick
Courrier électronique | Coordonnées | Décharge