Protection des données dans le secteur privé - options en vue d'une loi uniforme 1996

1996 Ottawa ON

ANNEXE C

La protection des données dans le secteur privé: Options en vue d'une loi uniforme

Tom McMahon, président 1

INTRODUCTION

LES CONSULTATIONS MENÉES

1. UNE SOLUTION LÉGISLATIVE EST-ELLE SOUHAITABLE?

2. QUEL DEVRAIT ÊTRE LE CONTENU DE L'ÉNONCÉ DE PRINCIPES SUR LA PROTECTION DES DONNÉES?

3. QUEL TYPE DE MÉCANISME DE SURVEILLANCE DEVRAIT EXISTER?

4. QUELS SONT LES POUVOIRS DONT UN ORGANISME DE SURVEILLANCE DEVRAIT ÊTRE INVESTI?

  • Mandat en matière d'éducation publique
  • Pouvoirs d'enquête
  • Pouvoirs d'arbitrage
  • Obligation d'épuiser les recours internes
  • Évaluation de la technologie
  • Vérifications de la conformité
  • Pouvoirs réparateurs
  • Ordonner l'inscription au code type de la CSA?
  • Publier les noms?
  • Adopter une disposition créant une infraction?
  • Accorder une indemnité?


5. QUEL DEVRAIT ÊTRE L'OBJET D'UNE LOI UNIFORME SUR LA PROTECTION DES DONNÉES?

  • Adoption de codes sectoriels?

6. QUESTIONS DIVERSES

CONCLUSION ET ÉTAPES À VENIR

ANNEXE I - RÉSUMÉ DES RECOMMANDATIONS

ANNEXE II - LES PRINCIPES DU CODE TYPE DE L'ASSOCIATION CANADIENNE DE NORMALISATION SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS

ANNEXE III - LA MODÈLE QUÉBECOISE

ANNEXE IV - QUESTIONNAIRE SUR LES OPTIONS VISANT UNE LOI TYPE SUR LA PROTECTION DES DONNÉES DANS LE SECTEUR PRIVÉ

ANNEXE V - PERSONNES CONSULTÉES


INTRODUCTION

Au cours de la Conférence pour l'harmonisation des lois de 1995, un document a été présenté au sujet des renseignements personnels et de la protection de la vie privée. Le document avait été préparé par Denis Kratchanov, mon collègue du ministère de la Justice fédéral, avec l'aide de différents spécialistes. Voici les commentaires que Denis a formulés dans le dernier paragraphe de son texte :

Si la CHLC décidait de s'occuper de cette question, la première étape consisterait à s'entendre sur l'idée qu'une loi sur la protection des données personnelles devrait promouvoir, soit les principes énoncés dans le projet de code type sur la protection des renseignements personnels de la CSA ou du moins, des principes compatibles avec les lignes directrices de l'OCDE. La deuxième étape serait de déterminer la meilleure façon d'obtenir le respect de ces principes, c'est-à-dire l'adoption d'une loi "allégée" ou "renforcée". La troisième et dernière étape consisterait à préparer un projet de loi qui pourrait être adopté par les gouvernements du Canada qui souhaitent le faire. La CHLC peut jouer un rôle essentiel pour que les lois adoptées dans ce domaine par le Parlement et les provinces ne viennent pas compliquer la situation pour les consommateurs et les entreprises, ni créer de nouvelles barrières non tarifaires entre les provinces.

Plus tôt dans le document, les options relatives à une loi "allégée" et à une loi "renforcée" ont été expliquées en ces termes :

Les lois sur la protection des données peuvent prendre diverses formes, mais pour être efficaces elles doivent être fondées sur des pratiques équitables en matière d'information, comparables aux dix principes énoncés dans le projet de code type sur la protection des renseignements personnels de la CSA. La différence réside dans le caractère plus ou moins impératif, ou plus ou moins indicatif de la loi. Une version "allégée" prévoirait l'adoption, dans un certain délai, de codes de protection des renseignements personnels, inspirés du modèle de la CSA, par les organismes qui recueillent et utilisent les renseignements personnels. Un comité consultatif pourrait faciliter la rédaction et la promulgation de ces codes et la loi pourrait imposer des codes créés par ce comité si les délais n'étaient pas respectés. Les codes seraient applicables sur une base purement volontaire. Une version "renforcée" accorderait à un organisme public le pouvoir d'obliger les organismes du secteur privé à respecter leur propre code. Entre ces deux versions, il existe toute une série de versions intermédiaires.

On pourrait envisager une autre variation sur les deux options décrites ci-dessus qui consisterait à concevoir des codes sectoriels. Ceux-ci introduiraient une plus grande souplesse dans la protection des renseignements personnels selon le contexte. Toutefois, l'existence de plusieurs types de lois ou règlements visant la protection des données personnelles pour tenir compte des besoins particuliers de certains secteurs, comme les télécommunications et l'assurance, risque de poser des problèmes graves d'application, étant donné que les différents secteurs économiques s'échangent des renseignements et que la ligne de démarcation entre ces divers secteurs a tendance à s'estomper.

Après avoir examiné ce rapport, la CHL a adopté la résolution suivante :

[TRADUCTION] Que le comité directeur de la Section de l'uniformisation des lois crée un groupe de travail chargé d'élaborer des propositions relatives à une loi uniforme sur la protection des renseignements personnels comportant un énoncé de principes et des options concernant la mise en oeuvre.

Depuis ce temps, le gouvernement fédéral a annoncé sa réponse au rapport du Comité consultatif sur l'autoroute de l'information (CCAI). De l'avis du CCAI, il est nécessaire d'adopter une loi et d'assurer une surveillance efficace et indépendante; de plus, toutes les parties devraient se conformer aux mêmes règles et le gouvernement devrait :

créer des règles du jeu équitables pour la protection des renseignements personnels sur l'autoroute de l'information en élaborant et en mettant en oeuvre un cadre législatif souple pour les secteurs public et privé. Les mesures législatives adoptées exigeraient que les divers secteurs et organismes respectent la norme fixée par le code type de la CSA tout en leur laissant la possibilité d'améliorer leurs propres codes. (p. 165)

Le CCAI accorde ensuite une attention spéciale aux dossiers médicaux, notamment à la possibilité d'identifier les participants aux recherches sur la santé, reconnaissant qu'il n'est pas toujours possible ou souhaitable d'obtenir le consentement des individus concernés (p. 172). La réponse du gouvernement au rapport du CCAI comporte les remarques suivantes :

[...] le droit à la protection des renseignements personnels doit être reconnu dans la loi, surtout dans un monde électronique de bases de données privées ... Afin d'encourager les entreprises et les consommateurs à avoir confiance dans l'autoroute de l'information, les ministres de l'Industrie et de la Justice, après avoir consulté les provinces et les autres intervenants, proposeront une loi-cadre régissant la protection des renseignements personnels dans le secteur privé.

À l'heure actuelle, le gouvernement fédéral met au point une stratégie de consultation et un document de réflexion dont il s'inspirera pour élaborer un projet de loi visant à réglementer la protection des données dans le secteur privé.

Les raisons qui militent en faveur de l'adoption d'une loi sur la protection des données dans le secteur privé sont nombreuses et ont été commentées longuement dans le document que Denis a présenté l'an dernier. En résumé, plusieurs personnes et organismes, dont le Comité consultatif sur l'autoroute de l'information, le commissaire à la protection de la vie privée fédéral, les commissaires à l'information et à la protection de la vie privée de l'Ontario et de la Colombie-Britannique et l'Association canadienne du marketing direct ont demandé l'adoption d'une loi de cette nature. Au Québec, cette loi existe déjà.

De plus, l'Association canadienne de normalisation a rédigé sous forme définitive une norme volontaire sur la protection des données, laquelle norme comporte dix principes de base que les organismes du secteur privé devraient respecter. Cette norme volontaire a été acceptée à

l'unanimité par un comité composé de représentants du gouvernement, de consommateurs, d'entreprises et d'autres groupes d'intérêt et démontre qu'il existe un consensus croissant quant à la nécessité d'assurer la protection des données dans le secteur privé et quant aux principes clés régissant cette protection. Le code de la CSA est devenu une norme nationale en mars 1996, et le Comité de l'ISO pour la politique en matière de consommation procède actuellement à son examen. Les consultations qui ont été menées et le consensus qui a déjà été atteint constituent un fondement intéressant qui pourra être utilisé pour l'élaboration d'une loi uniforme. (REMARQUE : le code de la CSA, qui énonce les dix principes de base sur la protection des données, se trouve à l'annexe II, tandis qu'un résumé de deux pages des principales dispositions de la Loi du Québec figure à l'annexe III.)

L'élaboration d'une loi uniforme est souhaitable pour plusieurs raisons d'ordre commercial : éviter que le commerce avec les pays de l'Union européenne ne soit entravé par suite de l'omission de respecter le critère énoncé dans la Directive sur la protection des données du Parlement européen; promouvoir l'uniformisation des lois afin d'éviter d'exposer les consommateurs et les entreprises de différents territoires canadiens à une panoplie de règles différentes et promouvoir la confiance des consommateurs à l'endroit du commerce électronique.

Les consultations menées

Afin de donner suite à la résolution de la CHLC en faveur de l'adoption d'une loi uniforme sur la protection des données, j'ai consulté environ 30 représentants bien informés du secteur privé, de consommateurs et de gouvernements, ainsi que d'autres spécialistes en matière de protection des données et j'ai distribué deux documents préparatoires à la consultation qui comportent des questions sur différents sujets liés au contenu d'une loi uniforme sur la protection des données. (Voir, à l'annexe V, la liste des personnes consultées. Ce ne sont pas toutes les personnes consultées qui ont répondu à mes documents préparatoires.) Le second document préparatoire à la consultation contenait un questionnaire (le questionnaire et de brefs commentaires sur les "pour" et les "contre" de chaque question figurent à l'annexe IV). J'ai reçu 22 réponses au questionnaire, soit six du secteur privé (dont deux d'avocats d'un cabinet privé), trois d'organismes gouvernementaux provinciaux et treize de commissions de la protection de la vie privée, de commissions de réforme du droit ou des droits de la personne, de groupes de consommateurs ou de travailleurs et de professeurs d'université.

Le premier document préparatoire à la consultation avait donné lieu à des réponses de deux autres entreprises du secteur privé ainsi qu'à une rencontre avec l'Association médicale canadienne, en plus des réponses obtenues de la plupart des personnes qui ont répondu au questionnaire. Tom Onyshko, stagiaire en droit terminant sa maîtrise en droit sur la protection des données, a écrit une longue lettre plutôt que de répondre à notre questionnaire (et il n'est pas inclus dans les vingt-deux réponses reçues au questionnaire). Compte tenu des délais fixés, les personnes qui ont répondu n'ont pas eu la possibilité de consulter leurs organisations et n'ont pu exprimer les positions officielles de celles-ci. Il est impossible d'affirmer que les consultations découlaient d'un échantillonnage scientifique, que les questions posées ou les réponses reçues étaient parfaitement claires ou qu'une question donnée a fait l'objet d'un accord unanime.

Dans le présent document, les questions suivantes sont examinées :

1.Une solution législative est-elle souhaitable?
2.Quel devrait être le contenu de l'énoncé de principes sur la protection des données?
3.Quel type de mécanisme de surveillance devrait exister?
4.Quels sont les pouvoirs dont un organisme de surveillance devrait être investi?
5.Quel devrait être l'objet d'une loi type sur la protection des données?
6.Questions diverses.

Étant donné que la Conférence pour l'harmonisation des lois vise à promouvoir l'uniformité dans le pays et que le Québec a déjà légiféré dans le domaine de la protection des données dans le secteur privé, tout écart par rapport à la Loi du Québec rendrait l'uniformité plus difficile à réaliser. Par conséquent, dans les recommandations qui suivent, j'ai souligné la mesure dans laquelle elles sont compatibles avec la solution retenue par le Québec. Par ailleurs, il est souhaitable que la réglementation de la protection des données dans le secteur privé ressemble dans la mesure du possible à celle qui s'applique au secteur public; il s'agit donc là d'un autre objectif à respecter en matière d'uniformité. Cela dit, John Gustavson, de l'Association canadienne du marketing direct (ACMD), a mentionné que l'ACMD appuie l'adoption d'une loi, mais s'oppose au modèle de la loi québécoise, soulignant que le choix d'une loi par une province ne devrait pas déterminer la loi uniforme que la Conférence pour l'harmonisation des lois pourrait finalement décider d'adopter.

1.Une solution législative est-elle souhaitable?

Le premier document préparatoire à la consultation contenait la phrase suivante :

[TRADUCTION] Compte tenu du rapport et de la résolution que la Conférence pour l'harmonisation des lois a adoptée en 1995, je ne crois pas qu'il nous appartienne de déterminer si les gouvernements devraient adopter une loi ou si la CHL devrait préparer une loi type.

Malgré ce qui précède, plusieurs commentaires ont été reçus sur l'opportunité d'une solution législative. Bon nombre de ceux qui ont répondu, qu'il s'agisse d'individus ou de représentants d'un gouvernement, de la Commission de réforme du droit de l'Ontario, du Congrès du travail du Canada ou de l'Association canadienne sur la santé mentale, étaient en faveur d'une solution législative.

En revanche, les représentants d'Equifax et de l'Association des banquiers canadiens n'étaient pas convaincus qu'une loi s'imposait, mais ont reconnu qu'en l'absence d'une loi, des règles uniformes devraient exister. Un représentant de Stentor a répondu que la loi-cadre devrait se fonder sur des ententes fédérales-provinciales-territoriales afin d'assurer l'uniformisation et l'égalité parmi tous les intervenants du secteur privé. Pour sa part, l'Association canadienne du marketing direct s'est montrée favorable à l'idée d'une "loi-cadre" dont la mise en oeuvre repose principalement sur des codes sectoriels. Equifax a dit souhaiter que des lois réglementant la protection des données dans le secteur privé remplacent les lois sur l'évaluation du crédit plutôt que de s'ajouter à celles-ci.

Par ailleurs, personne d'autre que l'ACMD n'a signalé de problèmes découlant de l'adoption de la Loi sur la protection des renseignements personnels dans le secteur privé au Québec (même si Equifax a mentionné que certains consommateurs ont cru initialement, à tort, que la Loi du Québec pouvait les aider à éliminer des rapports négatifs mais exacts sur leur solvabilité et que certains défenseurs de la protection des données ont soutenu que la Commission d'accès à l'information du Québec s'était montrée plutôt faible dans l'application de la loi à l'endroit du secteur privé). Dans un document qu'il a préparé pour Industrie Canada, l'avocat Jacques St-Amant cite l'extrait suivant de l'allocution qu'a prononcée Étienne Dubreuil, vice-président de Téléglobe Canada Inc. :

[TRADUCTION] La loi n'est pas déraisonnable; en fait, à quelques exceptions près, c'est une loi que les entreprises n'auront pas vraiment de mal à respecter. D'après l'expérience vécue au cours des quatre derniers mois, les entreprises québécoises ont dû modifier quelques-unes de leurs pratiques, mais la plupart considèrent ce changement comme une mesure transparente et satisfaisante tant pour les clients que pour elles-mêmes. Certaines personnes vont même jusqu'à dire que cette loi a constitué un bon outil de commercialisation... Somme toute, le seul problème que comporte le projet de loi 68 réside peut-être dans le fait qu'il s'applique au Québec seulement. C'est un problème de taille pour les institutions financières canadiennes qui font affaires un peu partout au Canada et pour lesquelles une multiplication des normes de protection des renseignements personnels est inacceptable.

Par contre, John Gustavson, de l'ACMD, a précisé ce qui suit :

[TRADUCTION] [U]n grand nombre de participants [au comité de l'Association canadienne de normalisation qui a rédigé le code type de la CSA sur la protection des renseignements personnels], et je compterais certainement l'ACMD parmi eux, considèrent que la loi québécoise est beaucoup trop intrusive et impose un fardeau inutile aux entreprises de cette province. Par contre, le grand avantage d'une loi-cadre simple, comme celle approuvée par le gouvernement dans sa réponse au CCAI, est qu'elle permet aux groupes de l'industrie, aux associations et aux défenseurs de la vie privée de chacune des entreprises de prendre la question en charge. De ce fait, elle retire au gouvernement la charge d'adopter des codes détaillés pour imposer aux organisations l'obligation de s'autoréglementer par secteur, ce qui permet d'utiliser beaucoup plus efficacement la pression du groupe et d'autres instruments d'autoréglementation. Cette solution n'entraîne pas nécessairement une exécution sectorielle exclusive.

Cela dit, j'appuie de façon générale les conclusions que vous avez formulées en réponse à ces dernières consultations. Je soulignerais simplement que, même si je n'ai pas eu la possibilité de les examiner en détail, elles ne semblent présenter aucun élément incompatible avec notre solution de légiférer.

Soulignons qu'un certain nombre d'entreprises canadiennes sont florissantes dans d'autres pays, comme la Nouvelle-Zélande, qui appliquent déjà des lois sur la protection des données dans le secteur privé.

CONCLUSION: D'après les réponses reçues à l'égard du premier document préparatoire à la consultation, on s'entend généralement pour dire qu'une loi de cette nature devrait s'appliquer à toutes les entreprises du secteur privé, quelle qu'en soit la taille, y compris les organismes sans but lucratif, ainsi qu'à tous les renseignements personnels, à l'aide de définitions courantes de cette dernière expression (tout renseignement concernant une personne physique et permettant de l'identifier). Les véritables questions à trancher porteront sur le contenu de la loi et les mécanismes et pouvoirs d'exécution plutôt que sur l'opportunité d'une loi.

2. Quel devrait être le contenu de l'énoncé de principes sur la protection des données?

Cette question n'a pas été abordée de façon vraiment approfondie lors des consultations. Dans mon deuxième document préparatoire à la consultation, les réponses à mon premier document au sujet de la question des principes relatifs à la protection des données ont été résumées comme suit:

[TRADUCTION] La plupart des personnes interrogées sont d'accord avec l'énoncé de principes du code type de la CSA et favorisent l'adoption d'une loi uniforme qui reprend ces principes. En général, les principes relatifs à la protection des données sont assez généraux, bien qu'il existe des différences de formulation entre le code type de la CSA, la Directive du Parlement européen, les lignes directrices de l'OCDE et les lois fédérales et provinciales sur la protection des données dans le secteur public. Cependant, les principes généraux eux-mêmes ne semblent pas être contestés. Personne n'a recommandé un modèle autre que celui du code type de la CSA, sauf les personnes interrogées du Québec, qui ont simplement mentionné qu'une loi existait déjà dans cette province. Par conséquent, ce qu'il faut déterminer, ce n'est pas le contenu des principes, mais la forme du mécanisme d'exécution.

Voir l'annexe pour l'énoncé de principes sur la protection des données du code type de la CSA.

Tout énoncé de principes comportera inévitablement des ambiguïtés et des exceptions. Le code type dela CSA renferme des commentaires assez détaillés au sujet de ses principes. Dans le numéro de mai1996 de Privacy Files (nouvelle publication examinant les questions de protection des renseignements personnels au Canada et dans d'autres pays), Rohan Samarajiva souligne deux imprécisions importantes de la Loi du Québec. (Ses commentaires pourraient s'appliquer aussi à d'autres énoncés de principes sur la protection des données.) D'abord, il souligne le principe qui restreint la collecte aux renseignements personnels "nécessaires" aux fins de l'organisation. Il peut être difficile de s'entendre sur ce qui est "nécessaire" . Ensuite, la Loi du Québec porte que les renseignements personnels ne doivent pas être communiqués à un "tiers" ou "utilisés à des fins non pertinentes à l'objet du dossier". Le problème ici est le fait que la communication au sein d'une entreprise ou à des filiales ne sera peut-être pas considérée comme une communication à un tiers, et il peut être difficile de s'entendre sur les fins "pertinentes à l'objet du dossier". Le code type de la CSA énonce que les renseignements personnels se limitent à ceux qui sont "nécessaires" à l'objet identifié par l'organisation et qu'ils ne doivent pas être "communiqués à des fins autres que celles auxquelles ils ont été recueillis" (la communication étant définie comme la communication à des tiers).

Le principe selon lequel la connaissance et le consentement des personnes concernées sont nécessaires pour la collecte, l'utilisation ou la communication de renseignements personnels, "à moins qu'il ne soit pas approprié de le faire" (d'après le code type de la CSA), peut représenter un autre problème d'interprétation. Notons un dernier problème possible, soit que les principes relatifs à la protection des données ont tendance à ne pas définir les utilisations des renseignements personnels qui pourraient être permises : les organisations peuvent désigner les fins qu'elles choisissent.

Dans le premier document préparatoire à la consultation, un certain nombre de problèmes que pouvaient comporter les principes relatifs à la protection des données ont été soulevés, mais peu de personnes interrogées ont indiqué que ces problèmes les préoccupaient. On semble s'entendre pour dire que

  • des principes formulés de façon générale assurent une protection efficace des données;
  • il est raisonnable de s'attendre à ce que les corrections demandées puissent être communiquées aux autres personnes qui ont reçu les renseignements initiaux si le délai est suffisamment court (p. ex., six mois) et si la demande de correction concerne des renseignements inexacts qui pourraient causer un préjudice (p. ex., les risques de préjudice sont très faibles dans le cas d'une correction qui est apportée à l'adresse d'une personne figurant dans une liste de distribution directe et qui n'est pas communiquée aux autres personnes qui ont reçu la liste en question);
  • il est raisonnable de s'attendre à ce que les organisations puissent conserver séparément les données acquises à des fins précises.

 

RECOMMANDATION : Les principes relatifs à la protection des données sont assez universels, même s'ils peuvent être formulés différemment d'un instrument à l'autre. Les principes énoncés dans le code type de la CSA pourraient servir de fondement à l'élaboration d'une loi uniforme et ces principes sont compatibles avec ceux de la loi québécoise qui réglemente la protection des données dans le secteur privé. Il ne semble pas y avoir d'options différentes importantes en ce qui a trait à la sélection des principes relatifs à la protection des données.

3.Quel type de mécanisme de surveillance devrait exister?

La plupart des personnes interrogées (20/22) reconnaissent que la surveillance du traitement des renseignements personnels dans le secteur privé devrait être confiée aux organismes de réglementation déjà en place plutôt qu'aux tribunaux administratifs, qu'il s'agisse de tribunaux nouvellement constitués à cette fin ou de tribunaux qui réglementent déjà certains secteurs, et que cette forme de surveillance est préférable à celle qui repose exclusivement sur l'appareil judiciaire. L'utilisation des organismes de réglementation existants minimiserait la création de nouvelles bureaucraties (et, par conséquent, les frais liés à l'application de la loi), miserait sur la compétence qui existe déjà en matière de protection des données et favoriserait l'uniformité sur le plan de l'élaboration et de l'interprétation des principes relatifs à la protection des données pour les secteurs public et privé.

Voici ce qu'a écrit Jacques St.-Amant, avocat représentant l'Association coopérative d'économie familiale du centre de Montréal :

TRADUCTION. Dans le contexte d'une loi uniforme pouvant être utilisée par toutes les provinces, il conviendra peut-être de permettre une certaine souplesse sur le plan de la mise en oeuvre : une province pourra décider d'attribuer la compétence en matière de protection des données à son commissaire à la vie privée déjà en place, tandis qu'une autre préférera accorder ces pouvoirs à sa commission des droits de la personne, par exemple. ...

Cependant, une chose demeure indéniable : la compétence sectorielle n'est nullement justifiée. Les principes relatifs à la protection des données sont fondamentalement identiques dans toutes les régions, la compétence territoriale assure une plus grande uniformité et les ressources spécialisées devraient être concentrées. Cela ne signifie pas que les organismes de réglementation sectoriels seraient éliminés : au-delà des principes généraux, il se peut que certains secteurs nécessitent à l'occasion une compétence spécialisée que des organismes comme le CRTC peuvent fournir. Cependant, de façon générale, des organismes comme le CRTC et le BSIF ne sont pas prêts à réglementer dans le domaine de la protection des données et ne sont pas en mesure non plus de trancher de façon concluante les plaintes individuelles. ...

Quoi qu'il en soit, la réglementation sectorielle ne peut être avantageuse pour les citoyens, ni même pour la plupart des entreprises. Elle risque de pénaliser fortement le consommateur, qui se trouverait ainsi devant différentes règles et devrait trouver l'organismecompétent, selon qu'il s'agit d'un problème avec une banque, une société de télécommunications, une entreprise de services publics ou un détaillant. La situation serait également cauchemardesque pour les entreprises, qui seraient régies par différents organismes de réglementation quant à l'élaboration de leurs politiques sur la protection des données, comme la situation des banques l'indique clairement : seraient-elles tenues d'établir certaines règles dans le domaine du travail, d'autres dans le domaine des services bancaires aux clients et encore d'autres qui s'appliqueraient aux courtiers en valeurs mobilières qui sont leurs filiales?

Cependant, Colin McNairn, avocat d'un cabinet privé qui a rédigé un ouvrage sur la législation canadienne en matière d'accès aux renseignements personnels et de protection de la vie privée, n'était pas d'accord et a présenté la suggestion suivante :

TRADUCTION. Je favorise une approche sectorielle, d'abord dans le cas des industries réglementées ou des secteurs de services réglementés définis de façon large (p. ex. les institutions financières (et non seulement les banques) et les services de soins médicaux (et non seulement les médecins)) susceptibles de recevoir des renseignements personnels; dans leur cas, les plaintes seraient examinées par un comité de médiateurs ou d'arbitres indépendants formé par l'organisme de réglementation du secteur et payé à partir des cotisations exigées des entreprises ou des personnes réglementées, du moins lorsqu'il existe des mécanismes permettant de refiler ces frais à ces personnes.

De plus, quelques personnes ont mentionné que les commissions d'accès à l'information et de protection de la vie privée ainsi que les commissions sectorielles existantes pourraient jouer un rôle en matière de protection des renseignements personnels. Ainsi, de l'avis de Pierrôt

Péladeau, rédacteur en chef de Privacy Files, [TRADUCTION] "nous avons besoin des commissions de la protection des données existantes et des commissions sectorielles comme le CRTC pour examiner les questions qui concernent non seulement la protection des données, mais aussi la protection de la vie privée (p. ex., protection de la vie privée en matière de télécommunications, etc.)". Selon un représentant d'Equifax, lorsque des commissions sectorielles existent, elles devraient être utilisées; cependant, lorsqu'il n'en existe pas, il faudrait recourir aux commissions de la protection des données. Un représentant de Stentor préférait quant à lui que le CRTC ait un rôle important dans la protection des données.

Charles Ferris de la Commission des droits de la personne du Nouveau Brunswick a dit que la Commission doit représenter et être sensible au secteur privé et doit remplir son mandat de façon efficace et économe. Il a suggéré que chaque secteur pourrait créer des procédures spécifiques à leur secteur et s'occuperait de l'éducation du public, des évaluations de l'impact de la technologie, des vérifications de conformité et de la procédure de plainte. M. Ferris a proposé que la loi uniforme et la Commission devrait énoncer des règles minimales a être respectées par les secteurs et que la Commission superviserait ou gérerait l'application sectorielle de ces règles, plutôt que des appliquer elle-même. Il n'était pas en faveur de la reconnaissance de codes sectorielles par la loi uniforme.

Eugene Oscapella, du Commissariat à la protection de la vie privée du Canada, a fait valoir que le rôle devrait être confié à un commissaire plutôt qu'à une commission.

ECOMMANDATION:
Parmi les différentes options qui existent (appareil judiciaire seulement; nouveaux organismes; commissions sectorielles; comités de médiateurs ou d'arbitres nommés sur une base sectorielle; commissions de la protection des données existantes), l'utilisation des organismes existants pour surveiller l'application des lois qui régissent la protection des données dans le secteur privé semble la plus populaire. C'est la solution qui a été retenue au Québec.

4. Quels sont les pouvoirs dont un organisme de surveillance devrait être investi?

Les questions les plus importantes qui faisaient l'objet de divergences d'opinions portaient sur les pouvoirs dont l'organisme de surveillance devrait être investi; cependant, un consensus satisfaisant a été atteint malgré tout sur certains aspects de cette question.

Mandat en matière d'éducation publique

Presque toutes les personnes interrogées ont admis que la Commission (quelle que soit celle nommée par le territoire afin d'assurer la protection des données) devrait posséder un pouvoir en matière d'éducation publique (19/22), mais une personne a mentionné que la Commission ne devrait pas avoir la part du lion dans ce domaine, dont la responsabilité devrait revenir au gouvernement. Aucun mandat explicite en matière d'éducation publique n'a été confié à la Commission du Québec.

Pouvoirs d'enquête

Presque toutes les personnes interrogées ont reconnu que la Commission devrait avoir des pouvoirs d'enquête (18/22) et de médiation (17/22) à l'égard des plaintes. La Loi du Québec accorde à la Commission le pouvoir de mener des enquêtes.

Pouvoirs d'arbitrage

Presque toutes les personnes interrogées ont admis que la Commission devrait avoir le pouvoir de statuer sur les plaintes (de l'avis de neuf personnes, cette fonction devrait être exercée par la Commission et, selon sept de ces personnes, cette tâche devrait être confiée à des comités (semblables aux commissions des droits de la personne) (17/22)). D'autres personnes ont mentionné que le modèle qui convient le mieux est celui de l'ombudsman, semblable à celui du commissaire à l'information et du commissaire à la vie privée fédéraux, pour lequel le premier recours est le renvoi de la question au commissaire en vue de la médiation ou de l'obtention d'une recommandation non exécutoire, suivi d'un appel que le commissaire pourrait interjeter devant une cour de justice au nom du plaignant, s'il le juge à propos.

De l'avis de Pierrôt Péladeau et d'autres intervenants du Québec, une commission qui tente de jouer trop de rôles risque de semer la confusion et de créer d'autres problèmes encore plus graves (Pierrôt Péladeau, "Visions for Privacy", Privacy Files, juillet-août 1996, p. 9, rapport concernant une conférence sur la protection des données qui a récemment été tenue en Colombie-Britannique) :

[TRADUCTION] Nathalie Belleau, qui défend les droits des locataires, et Raymond Doray, avocat représentant les utilisateurs importants de données publiques et privées, ont tous deux critiqué la procédure de traitement des plaintes de la Commission d'accès à l'information du Québec parce que, à leur avis, elle ne respecte guère les exigences liées à l'équité procédurale et à la justice naturelle. Comme plusieurs autres personnes, Doray souligne les conflits structurels entre différents rôles que joue la CAI. : organisme consultatif, tribunal, organisme de réglementation et organisme chargé d'examiner les plaintes. ... Deux solutions ont été mises de l'avant. La première consistait à retirer à la CAI sa fonction judiciaire et à la confier à un tribunal indépendant; la seconde consistait à élaborer des lignes directrices plus claires et plus strictes, notamment en ce qui a trait à l'équité procédurale devant caractériser toutes les activités de la Commission.

Jacques St.-Amant était d'accord avec les commentaires précités selon lesquels le rôle décisionnel devrait être séparé des autres rôles. Charles Ferris a suggéré que les rôles d'enquête et de médiation devraient être gardés séparés au sein de la Commission et qu'il y ait recours à la cour.

Obligation d'épuiser les recours internes

Treize personnes interrogées ont reconnu que la loi devrait obliger les personnes à utiliser la procédure de règlement des plaintes de l'entreprise avant de soumettre le cas à la Commission, pour autant que cette disposition est rédigée avec soin afin d'empêcher l'entreprise d'utiliser cette démarche pour retarder l'examen de la plainte. La disposition ne s'appliquerait pas non plus lorsque ce type de procédure n'existe pas au sein de l'entreprise (surtout chez les petites entreprises). Charles Ferris a suggéré qu'il devrait y avoir une procédure de plainte "sectorielle", plutôt qu'à la "compagnie", que les secteurs pourraient établir eux-mêmes. D'autres personnes ont fait valoir qu'en pratique, la Commission imposerait cette exigence simplement pour gérer le volume des plaintes et qu'il n'est pas nécessaire d'intégrer cette disposition dans la loi. La Loi du Québec ne renferme aucune disposition de cette nature.

Évaluation de la technologie

Onze personnes interrogées ont mentionné que la Commission devrait jouer un rôle dans l'évaluation des incidences des nouvelles technologies sur le plan de la protection des données. Cependant, selon les intervenants du secteur privé, il n'est pas nécessaire que ce pouvoir soit confié à la Commission, cette fonction pourrait être exercée par le secteur privé. De l'avis de deux des personnes interrogées, ce rôle est important, mais ne doit pas nécessairement être exercé par une commission de la protection des données. Eugene Oscapella estimait qu'un ministère gouvernemental compétent pourrait exercer cette fonction. Pour sa part, Pierrôt Péladeau s'est exprimé comme suit :

[TRADUCTION] Nous avons également besoin d'un type d'office de l'évaluation de la technologie pour examiner les questions qui débordent le cadre de la protection des renseignements personnels et fournir des ressources spécialisées publiques pour le déroulement des débats publics (notamment par l'entremise des services de recherche des ministères et de certains organismes, par le financement de la recherche publique dans les universités et par l'attribution de frais aux organisations qui représentent des citoyens). À première vue, je n'aurais pas tendance à confier un mandat de cette nature aux commissaires chargés d'assurer la protection des données, parce que leur enquête se limite généralement à ce type de questions... C'est là un piège dangereux pour les commissions de la protection des données : penser que l'évaluation de la protection des données constitue une évaluation suffisante de la technologie... L'évaluation de la technologie représente un investissement judicieux et très rentable sur le plan financier (j'ai déjà écrit quelques textes à ce sujet). En réalité, l'évaluation de la technologie permet d'abaisser les risques liés à la conception des systèmes et se traduit également par une diminution des coûts...

La Loi du Québec ne renferme aucune disposition particulière sur les évaluations de la technologie.

Vérifications de la conformité

Parmi les personnes interrogées, seulement dix, dont aucune ne provenait du secteur privé, étaient favorables à l'idée que la Commission procède à des vérifications de la conformité. Certaines personnes interrogées provenant du secteur privé préféraient des registraires indépendants. La Loi du Québec ne prévoit aucune vérification qui serait distincte de l'examen des plaintes, mais permet à la Commission de mener les enquêtes qu'elle estime opportunes de "sa propre initiative".

Pouvoirs réparateurs

Ordonner l'inscription au code type de la CSA?

Douze des personnes interrogées ont recommandé l'intégration d'une procédure d'inscription des entreprises du secteur privé dans la loi. Quatre personnes seulement ont mentionné que l'inscription devrait être obligatoire dans le cas des grandes entreprises (selon le nombre de renseignements personnels recueillis, le nombre d'employés ou selon le total des revenus), tandis que six étaient d'avis que le commissaire devrait avoir le pouvoir d'ordonner aux entreprises fautives de s'inscrire. Colin McNairn a mentionné que, si le gouvernement utilisait des procédures privées d'inscription des normes de façon généralisée, cette démarche deviendrait trop onéreuse pour le secteur privé. Pour sa part, Pierrôt Péladeau a répondu en ces termes :

[TRADUCTION] L'inscription n'est nécessaire que pour les intermédiaires comme les agences d'évaluation du crédit, avec lesquelles les données en question n'ont aucun lien commercial direct... La démarche devrait être très simple (il suffirait de remplir un formulaire d'une page) et aucune vérification ne devrait être exigée. L'objectif est la transparence, c'est-à-dire veiller à ce que le public connaisse l'existence de cette organisation.

L'attestation ou l'inscription de normes NE donne AUCUN avantage aux personnes que les données concernent .souligné dans l'original.. L'intérêt se situe au niveau des entreprises et des organisations elle-mêmes : intégrité des réseaux, liens commerciaux, etc. Aucune attestation n'empêchera la survenance de conflits politiques avec les personnes visées par les données ni n'en permettra la résolution. Les vérifications concernent surtout les exigences procédurales objectives et non les différends subjectifs. L'attestation ou l'inscription de normes ne devrait pas être obligatoire, mais le pouvoir d'ordonnance [le pouvoir de rendre des ordonnances remédiatrices] devrait être suffisamment large pour permettre implicitement à une commission de demander l'inscription dans des cas spéciaux.

Colin Bennett, professeur agrégé en études politiques à la University of Victoria, a exprimé l'avis contraire. Voici ce qu'il a écrit dans un texte qu'il a rédigé récemment pour Industrie Canada : [TRADUCTION] "L'inscription au code type de la CSA constitue un élément important du mécanisme d'exécution de tout régime de réglementation. ... Il peut servir à récompenser la bonne conduite et à ramener les récalcitrants dans le droit chemin. ... La procédure d'inscription des normes peut libérer les organismes de réglementation de l'obligation de vérifier le contenu des codes .sectoriels. de protection des renseignements personnels." La Loi du Québec ne prévoit aucune procédure d'inscription.

Publier les noms?

Une majorité des personnes interrogées ont reconnu que la Commission devrait avoir le pouvoir de publier les noms des entreprises qui ont été reconnues coupables d'avoir violé les exigences de la loi (15/22), malgré une grande distinction entre les intervenants du secteur privé et les autres personnes interrogées, alors que deux seulement des personnes provenant du secteur privé étaient d'accord avec l'idée et une seule a mentionné que la publication découlerait du caractère public des décisions de la Commission. Selon Pierrôt Péladeau : [TRADUCTION] "la publicité est la bombe atomique de la Commission et est beaucoup plus efficace que toute autre pénalité. Une commission devrait toujours avoir ce pouvoir. " La Loi du Québec renferme une disposition sur la publication.

Adopter une disposition créant une infraction?

Treize personnes interrogées ont recommandé que la loi renferme une disposition créant une infraction; cependant, peu de personnes croient qu'une disposition de cette nature serait employée très souvent ou qu'elle serait très utile pour promouvoir le respect général de la loi et le règlement satisfaisant des plaintes. Les représentants du secteur privé n'étaient pas favorables à l'intégration d'une disposition de ce genre. Eugene Oscapella a recommandé l'utilisation d'une disposition de cette nature pour les cas d'entrave à une enquête d'un commissaire, mais estimait que, par ailleurs, aucune disposition créant une infraction ne devrait être adoptée (comme c'est le cas pour la Loi sur la protection des renseignements personnels fédérale). La Loi du Québec renferme une disposition énonçant que quiconque recueille, détient, communique ou utilise un renseignement personnel sur autrui sans se conformer à la Loi commet une infraction. Soulignons que, même en l'absence d'une infraction précise, tous les territoires ont une disposition générale créant une infraction dans les cas où les lois n'en prévoient pas une de façon expresse.

Accorder une indemnité?

La question de savoir si la Commission devrait avoir le pouvoir d'ordonner le paiement d'indemnités n'a pas été examinée au cours de la consultation. Il serait donc prématuré de formuler une recommandation à ce sujet. La Loi du Québec ne renferme aucune disposition explicite sur ce point, mais permet à la Commission d'ordonner "l'application de toute mesure corrective propre à assurer la protection des renseignements personnels." Tom Onyshko recommande l'adoption d'une disposition prévoyant l'octroi d'indemnités.

RECOMMANDATION: Compte tenu de ce qui précède, une loi uniforme devrait confier à la commission de la protection des données un mandat en matière d'éducation publique ainsi que le pouvoir d'examiner les plaintes (mais, de façon générale, uniquement une fois que les recours internes ont été épuisés), de mener des enquêtes et de procéder à la médiation et à l'arbitrage. D'autres consultations devraient être menées sur la question de savoir si l'arbitrage devrait être confié à un commissaire seul, à des agents d'audition à temps plein ou à des personnes inscrites sur une liste constituée à cette fin. De plus, la loi ne devrait pas renfermer de dispositions prévoyant expressément des vérifications de la conformité ou des évaluations de la technologie (même s'il est acceptable qu'une commission publie des documents de réflexion ou des rapports sur la façon dont certaines technologies touchent la protection de la vie privée). La loi devrait conférer à la commission le pouvoir de publier les noms des organisations qui ne se conforment pas aux dispositions législatives (bien que, même si aucune disposition explicite n'existait dans la loi, les décisions et les rapports de la Commission seraient publics de toute façon). Il serait utile de mener d'autres consultations sur la question de savoir si et comment la loi pourrait reconnaître les procédures privées d'inscription des normes. La loi devrait comporter une disposition créant une infraction semblable à celle de la Loi du Québec.

5. Quel devrait être l'objet d'une loi uniforme sur la protection des données?

D'après les documents préparatoires à la consultation, peu d'uniformité existe dans le domaine de la protection des renseignements personnels et les lois sur le sujet varient considérablement entre elles. Voici un extrait du deuxième document sur ce point :

[TRADUCTION] Il existe déjà une panoplie de lois sur la protection des données et de la vie privée et l'adoption d'une loi «uniforme» visant à réglementer la protection des données dans le secteur privé ne ferait qu'ajouter à la confusion. Presque tous les territoires ont adopté une loi sur la protection des données pour leur secteur public; la plupart appliquent un règlement sur les évaluations de crédit (tel qu'il est mentionné plus haut, Equifax souhaite qu'une loi sur la protection des données dans le secteur privé remplace les huit lois provinciales distinctes sur les évaluations de crédit) et plusieurs associations industrielles et professionnelles ont adopté des codes qui comportent des dispositions sur la protection des données. Des privilèges sont parfois expressément reconnus dans le cas des documents d'ordre juridique, médical, financier et autre, que ce soit dans des dispositions législatives ou des règles de common law, et ces privilèges constituent une forme de protection des données. Le CCAI semble considérer les dossiers médicaux différemment des autres types de renseignements personnels. L'Ontario songerait à adopter une loi portant explicitement sur la protection des renseignements médicaux. Récemment, la protection des dossiers sur les consultations suivant les viols a fait l'objet de litiges et il se peut que des modifications soient apportées au Code criminel à ce sujet. Bon nombre de lois comportent des règles précises sur la protection des données et certaines d'entre elles s'appliquent au secteur privé (p. ex., la Loi de l'impôt sur le revenu et l'utilisation du numéro d'assurance sociale à des fins autres que la déclaration de revenus; la Loi sur les banques et les dispositions concernant la sécurité et le caractère confidentiel des registres financiers). Le commissaire à la vie privée fédéral a reconnu qu'il était souhaitable de préserver les droits inhérents aux renseignements personnels des employés du secteur public mutés au secteur privé. Le CRTC est investi de certaines responsabilités en matière de protection de la vie privée dans l'industrie des télécommunications (c'est pour cette raison que certains ont proposé que le CRTC soit responsable de la réglementation de la protection des données dans cette industrie), tandis que le Bureau du surintendant des institutions financières est également investi de responsabilités similaires dans le domaine des opérations bancaires2.

Il peut être difficile pour le citoyen ordinaire de connaître les droits sur la protection des données ou de la vie privée qui s'appliquent à une situation donnée, de savoir comment exercer les droits dont il dispose et de comprendre pourquoi les règles ne sont pas les mêmes pour toutes les situations. Ces difficultés risquent de s'aggraver si nous ajoutons aux lois qui existent déjà des codes sectoriels, si nous continuons à préserver la distinction entre les dispositions faisant de l'atteinte à la vie privée un délit et les recours relatifs à la protection des données ainsi que la distinction entre la protection des données dans le secteur privé et dans le secteur public ou si nous permettons l'existence de plusieurs commissions sur la protection des données (p.ex., exercice de compétence partagée par les commissions fédérale et provinciale dans une province, ou encore, exercice des fonctions liées à la protection des données à l'échelle fédérale par le commissaire à la vie privée fédéral, le CRTC, le BSIF, etc.).

L'adoption de lois uniformes, compréhensibles et cohérentes en matière de protection de la vie privée représente donc un défi de taille. Même si plusieurs personnes interrogées voient ce défi d'un bon oeil, la plupart s'entendent pour dire qu'une loi uniforme sur la protection des données aura plus de chances d'être acceptée si elle se limite à la protection des données et ne vise pas d'autres types de protection de la vie privée et si elle ne cherche pas à réglementer de façon trop spécifique certains types de renseignements personnels délicats.

Moins de la moitié des personnes interrogées étaient favorables à l'idée d'inclure dans la loi uniforme des dispositions portant sur les évaluations de crédit (Equifax aurait cependant opté pour des dispositions uniformes dans tous les territoires, de préférence dans le cadre d'une loi uniforme sur la protection des données) (10/22), sur les délits d'atteinte à la vie privée (d'après la loi type de la Conférence pour l'harmonisation des lois dans ce domaine) (7/22), sur la protection de la vie privée au travail (c'est-à-dire des restrictions touchant le droit de l'employeur de procéder à des contrôles par double saisie, à la surveillance du courrier électronique ou à la surveillance vidéo ou encore d'exiger que l'employé se soumette à des tests de dépistage des drogues, etc.) (7/22) ou sur les dossiers médicaux (9/22). Selon l'opinion générale, la loi sur la protection des données devrait formuler des principes applicables de façon universelle qui ne concernent pas précisément un contexte ou une technologie donné. La Loi du Québec renferme des dispositions concernant les évaluations de crédit. La plupart des territoires ont adopté des lois comportant des dispositions à ce sujet.

Tom Onyshko était l'un de ceux qui favorisaient des mesures de protection plus rigoureuses pour certains types de renseignements personnels, dans la loi uniforme :

[TRADUCTION] [U]ne loi uniforme pourrait prévoir des mesures de contrôle à l'égard de la collecte d'au moins certains renseignements délicats. Selon les dispositions législatives sur la protection des données actuellement en vigueur, des mesures de contrôle régissent l'utilisation des renseignements; toutefois la meilleure façon de prévenir l'usage abusif est en premier lieu de contrôler les renseignements qui peuvent être recueillis. Ainsi que j'ai conclu dans ma thèse :

Par exemple, la loi pourrait interdire la collecte d'identificateurs du gouvernement, par exemple le NAS, sauf si la loi l'exige. Elle pourrait interdire la collecte de renseignements sur les principaux motifs visés dans les articles de la législation sur les droits de la personne relatifs à la discrimination (race, croyances politiques ou religieuses, orientation sexuelle, etc.), sauf si les renseignements sont recueillis directement auprès de la personne concernée et si la collecte est facultative. Elle pourrait interdire la collecte de renseignements sur la santé ou les habitudes sexuelles en dehors du contexte médical, sauf dans des circonstances exceptionnelles

Même si le bon sens nous dit que certains renseignements personnels sont plus délicats que d'autres, les principes relatifs à la protection des données permettent habituellement aux organisations de préciser les fins choisies et de recueillir les renseignements personnels qui sont pertinents pour les fins précisées. Ce fait peut faire ressortir en partie la difficulté à distinguer les renseignements personnels délicats de ceux qui ne le sont pas (en particulier dans l'établissement de profils) et à déterminer les cas dans lesquels existe le droit légitime de recueillir même les renseignements personnels délicats. Il permet également de poser l'hypothèse que les organisations ne recueillent habituellement que les renseignements liés directement à leurs activités, sinon elles gaspilleraient leurs ressources.

Adoption de codes sectoriels?

Onze des personnes interrogées étaient en faveur de l'adoption de codes sectoriels. De l'avis de certaines personnes, les principes relatifs à la protection des données qui s'appliquent de façon universelle ne varient pas d'un secteur à l'autre et les codes sectoriels risquent d'accroître la complexité et le manque d'uniformité de cette protection. Par ailleurs, certaines personnes interrogées ont mentionné que, si les codes sectoriels étaient autorisés, ils devraient être fondés sur la loi et non l'inverse, et devraient être approuvés par un règlement. En d'autres termes, les codes sectoriels sont acceptables s'ils sont conformes aux normes prévues par les lois. D'autres consultations devraient être menées sur l'opportunité d'intégrer des codes sectoriels dans la loi uniforme et, le cas échéant, sur la façon de procéder à cette fin. La Loi du Québec ne reconnaît pas de codes sectoriels.

RECOMMANDATION: La loi uniforme devrait formuler des principes applicables de façon universelle en matière de protection des données ainsi qu'un mécanisme de mise en oeuvre sans tenter d'énoncer des règles précises au sujet des renseignements médicaux ou des évaluations de crédit ou des règles qui débordent le cadre de la protection des données, notamment des règles portant sur la surveillance au travail et sur l'atteinte à la vie privée. D'autres consultations devraient être menées au sujet de l'utilisation de codes sectoriels.

6.Questions diverses

Les personnes interrogées semblent généralement s'entendre pour dire qu'il n'est pas nécessaire d'adopter des règles relatives à la protection des données qui s'appliqueraient précisément à certaines technologies. La Loi du Québec ne renferme aucune règle de cette nature.

Peu de personnes interrogées semblaient se préoccuper des flux de données transfrontaliers ou de la nécessité d'adopter des règles spéciales à ce sujet. La Loi du Québec oblige les organisations qui communiquent des renseignements personnels provenant de la province à des endroits situés à l'extérieur du Québec à prendre toutes les mesures raisonnables pour s'assurer que les renseignements ne seront pas utilisés à des fins étrangères à l'objet du dossier ni communiqués à des tiers sans le consentement des personnes concernées (sous réserve de certaines exceptions, voir l'annexe).

Dans l'ensemble, les personnes interrogées semblent assez favorables à l'idée d'"exclure" certaines utilisations désirées (ainsi, les organisations peuvent utiliser les renseignements personnels aux fins indiquées, sauf si la personne concernée exclut l'utilisation, plutôt que d'être tenues d'obtenir le consentement explicite de cette personne à cette fin. Cette possibilité est particulièrement importante pour la vente et l'échange des listes de distribution). Cette règle est compatible avec la Loi du Québec.

Même s'il est reconnu qu'il est presque impossible d'empêcher les personnes d'utiliser le droit d'accès dont elles disposent à des fins non autorisées, une seule personne interrogée a mentionné qu'une infraction spécifique devrait être créée à l'égard de ces situations. La Loi du Québec ne renferme aucune disposition portant directement sur ce problème.

Les limites constitutionnelles concernant l'applicabilité des lois fédérales et provinciales aux activités n'ont pas été examinées dans le document préparatoire à la consultation. Pierrôt Péladeau a souligné que, lorsqu'il n'existe pas de loi, la règle de droit existante peut s'appliquer. Il a cité à titre d'exemple le cas d'une entreprise qui fait affaires dans plusieurs provinces : [TRADUCTION] "Les travailleurs des Maritimes peuvent utiliser la Loi du Québec, car leurs dossiers sont tenus au bureau régional de Montréal de l'entreprise et au siège social de Toronto. Étant donné que l'entreprise a un établissement au Québec, même les dossiers de Toronto sont assujettis à la compétence de la Commission d'accès."

De l'avis de onze personnes interrogées, une loi uniforme devrait comporter une disposition énonçant qu'en cas d'incompatibilité entre les lois applicables en matière de protection des données, la loi qui protège le mieux les données personnelles devrait l'emporter. D'autres personnes préféraient se fonder sur la règle traditionnelle de la primauté des lois fédérales, qui favoriserait une plus grande certitude du droit.

Conclusion et étapes à venir

En 1995, la CHLC a adopté une résolution par laquelle elle a convenu de travailler à l'élaboration d'une loi uniforme réglementant la protection des renseignements personnels dans le secteur privé. Depuis ce temps, beaucoup de travail a été accompli au sein de la CHLC et ailleurs en vue de trouver un consensus parmi les différents intervenants. Dans une large mesure, ce consensus a été atteint, comme en témoignent le code de la CSA et le rapport du Comité consultatif sur l'autoroute de l'information. Les principes relatifs à la protection des données sont assez universels, qu'ils soient énoncés dans le code de la CSA, dans la Loi sur la protection des renseignements personnels dans le secteur privé du Québec ou dans la Directive du Parlement européen. Les principes constitueront le fondement de toute loi uniforme, mais les décisions clés à prendre porteront sur les mécanismes de mise en oeuvre. Dans le présent document, un certain nombre de recommandations ont été formulées au sujet de ces mécanismes. Dans certains domaines, d'autres consultations et recherches sont souhaitables, notamment en ce qui a trait à l'utilisation de codes sectoriels, au mécanisme d'arbitrage (comités d'experts, cours de justice, commission générale), à l'étendue des pouvoirs réparateurs d'une commission (octroi d'indemnités, utilisation de procédures d'inscription privées, publicité) et au rapport entre les lois fédérale et provinciales. Il appartient maintenant à la CHLC d'examiner les recommandations énoncées dans le présent document et de formuler des propositions qui mèneront à l'élaboration d'une loi uniforme dans ce domaine.

RECOMMANDATION: La CHLC devrait approuver et appuyer la rédaction d'une loi uniforme fondée sur les orientations et les recommandations du présent rapport (sous réserve des changements particuliers qui pourraient être proposés lors de l'assemblée de 1996 de la CHLC) et sur les consultations et recherches supplémentaires qui seront menées au sujet de l'adoption de codes sectoriels, du mécanisme d'arbitrage et des pouvoirs réparateurs.


Annexe I - Résumé des recommandations

Soulignons que ces recommandations sont le fruit de consultations auprès d'une trentaine de représentants du gouvernement, du secteur privé et de consommateurs, ainsi que d'autres spécialistes en matière de protection de données. Ce ne sont pas toutes les personnes consultées qui ont répondu. Parmi les vingt-deux réponses reçues, il n'y en a eu que six du secteur privé. Il est impossible d'affirmer que les consultations découlaient d'un échantillonnage scientifique.

1. Une solution législative est-elle souhaitable?

CONCLUSION: D'après les réponses reçues à l'égard du premier document préparatoire à la consultation, on s'entend généralement pour dire qu'une loi de cette nature devrait s'appliquer à toutes les entreprises du secteur privé, quelle qu'en soit la taille, y compris les organismes sans but lucratif, ainsi qu'à tous les renseignements personnels, à l'aide de définitions courantes de cette dernière expression (tout renseignement concernant une personnes physique et permettant de l'identifier). Les véritables questions à trancher porteront sur le contenu de la Loi et les mécanismes et pouvoirs d'exécution plutôt que sur l'opportunité d'une loi.

2. Quel devrait être le contenu de l'énoncé des principes sur la protection des données?

RECOMMANDATION : Les principes relatifs à la protection des données sont assez universels, même s'ils peuvent être formulés différemment d'un instrument à l'autre. Les principes énoncés dans le code type de la CSA pourraient servir de fondement à l'élaboration d'une loi uniforme et ces principes sont compatibles avec ceux de la Loi québécoise qui réglemente la protection des données dans le secteur privé. Il ne semble pas y avoir d'options différentes importantes en ce qui a trait à la sélection des principes relatifs à la protection des données.

3. Quel type de mécanisme de surveillance devrait exister?

RECOMMANDATION : Parmi les différentes options qui existent (appareil judiciaire seulement; nouveaux organismes; commissions sectorielles; comités de médiateurs ou d'arbitres nommés sur une base sectorielle; commissions de la protection des données existantes), l'utilisation des organismes existants pour surveiller l'application des lois qui régissent la protection des données dans le secteur privé semble la plus populaire. C'est la solution qui a été retenue au Québec.

4. Quels sont les pouvoirs dont un organisme de surveillance devrait être investi?

RECOMMANDATION : Compte tenu de ce qui précède, une loi uniforme devrait confier à la commission de la protection des données un mandat en matière d'éducation publique ainsi que le pouvoir d'examiner les plaintes (mais, de façon générale, uniquement une fois que les recours internes ont été épuisés), de mener des enquêtes et de procéder à la médiation et à l'arbitrage. D'autres consultations devraient être menées sur la question de savoir si l'arbitrage devrait être confié à un commissaire seul, à des agents d'audition à temps plein ou à des personnes inscrites sur une liste constituée à cette fin. De plus, la loi ne devrait pas renfermer de dispositions prévoyant expressément des vérifications de la conformité ou des évaluations de la technologie (même s'il est acceptable qu'une commission publie des documents de réflexion ou des rapports sur la façon dont certaines technologies touchent la protection de la vie privée).

La loi devrait conférer à la commission le pouvoir de publier les noms des organisations qui ne se conforment pas aux dispositions législatives (bien que, même si aucune disposition explicite n'existait dans la loi, les décisions et les rapports de la Commission seraient publics de toute façon). Il serait utile de mener d'autres consultations sur la question de savoir si et comment la loi pourrait reconnaître les procédures privées d'inscription des normes. La loi devrait comporter une disposition créant une infraction semblable à celle de la Loi du Québec.

5. Quel devrait être l'objet d'une loi type sur la protection des données?

RECOMMANDATION : La loi uniforme devrait formuler des principes applicables de façon universelle en matière de protection des données ainsi qu'un mécanisme de mise en oeuvre sans tenter d'énoncer des règles précises au sujet des renseignements médicaux ou des évaluations de crédit ou des règles qui débordent le cadre de la protection des données, notamment des règles portant sur la surveillance au travail et sur l'atteinte à la vie privée. D'autres consultations devraient être menées au sujet de l'utilisation de codes sectoriels.

RECOMMANDATION : La CHLC devrait approuver et appuyer la rédaction d'une loi uniforme fondée sur les orientations et les recommandations du présent rapport (sous réserve des changements particuliers qui pourraient être proposés lors de l'assemblée de 1996 de la CHLC) et sur les consultations et recherches supplémentaires qui seront menées au sujet de l'adoption de codes sectoriels, du mécanisme d'arbitrage et des pouvoirs réparateurs.


Annexe II - Les principes du code type de l'Association canadienne de normalisation sur la protection des renseignements personnels 3


Résumé des Principes

Le code type de la CSA sur la protection des renseignements personnels est basé sur dix principes interdépendants. Il faut lire chacun des principes conjointement avec le commentaire qui l'accompagne.

1. Responsabilité

Un organisme est responsable des renseignements personnels dont il a la gestion et doit désigner une ou des personnes qui devront s'assurer que du respect des principes énoncés ci-dessous.

2. Détermination des fins de la collecte des renseignements

Les fins pour lesquelles des renseignements personnels sont recueillis doivent être déterminées par l'organisme avant ou au moment de la collecte.

3. Consentement

Toute personne doit être informée et consentir à toute collecte, utilisation ou communication de renseignements personnels la concernant, à moins qu'il ne soit pas approprié de le faire.

4. Limitation de la collecte

L'organisme ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées et doit procéder de façon licite et honnête.

5. Limitation de l'utilisation, de la communication et de la conservation

Les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée n'y consente ou que la loi ne l'exige. On ne doit conserver les renseignements personnels qu'aussi longtemps que nécessaire pour la réalisation des finalités déterminées.

6. Exactitude

Les renseignements personnels doivent être aussi exacts, complets et à jour que l'exigent les fins pour lesquelles ils sont utilisés.

7. Mesures de sécurité

Les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.

8. Transparence

Un organisme doit mettre à la disposition de toute personne des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels.

9. Accès aux renseignements personnels

Un organisme doit informer toute personne qui en fait la demande de l'existence de renseignements personnels qui la concernent, de l'usage qui en est fait et du fait qu'ils ont été communiqués à des tiers, et lui permettre de les consulter. Il sera aussi possible de contester l'exactitude et l'état complet des renseignements et y faire apporter les corrections appropriées.

10. Possibilité de porter plainte contre le non-respect des principes

Toute personne doit être en mesure de se plaindre du non-respect des principes énoncés ci-dessus en communiquant avec le ou les individus responsables de les faire respecter au sein de l'organisme concerné.


Annexe III - La Modèle québecoise

Nous présentons ce résumé de la Loi du Québec parce que presque aucune des personnes interrogées n'a mentionné la loi québécoise; quelques-unes ont suggéré qu'il serait utile d'avoir plus de renseignements à cet égard; que la loi québécoise avait été mise en oeuvre, suscitant très peu de résistance de la part du secteur privé et peu de critiques de la part des défenseurs de la vie privée; enfin, parce que toute tentative «d'uniformisation» de la protection des données personnelles dans le secteur privé devrait tenir sérieusement compte de la seule démarche ayant jusqu'à maintenant fait l'objet d'une loi.

*Les principes de la loi québécoise reflètent de façon générale les principes du code type de la CSA et de la Directive sur la protection des données du Parlement européen.

*La Loi s'applique à toutes les entreprises privées, notamment les organismes sans but lucratif.

*La Loi s'applique à tous les renseignements qui concernent une personne et permettent de l'identifier.

*Les entreprises ne doivent recueillir que les renseignements nécessaires à la fin visée et doivent énoncer les fins visées sur le dossier, lorsque le dossier sur la personne est constitué.

*Les renseignements doivent être recueillis directement auprès de la personne concernée, sauf si celle-ci consent à la collecte indirecte ou si la loi autorise la collecte indirecte, si les renseignements sont recueillis dans l'intérêt de la personne concernée et ne peuvent l'être auprès de celle-ci en temps opportun, ou si la collecte auprès d'un tiers est nécessaire pour assurer l'exactitude des renseignements.

*La source des renseignements doit être identifiée et consignée dans le dossier lorsque les renseignements sont recueillis.

*L'entreprise ne peut refuser d'acquiescer à une demande de bien ou de service, ou à une demande relative à un emploi à cause du refus de la personne de lui fournir un renseignement personnel, sauf si le renseignement personnel est nécessaire à la conclusion ou à l'exécution d'un contrat, si la collecte est autorisée par la loi ou s'il y a des motifs raisonnables de croire qu'une telle demande n'est pas licite.

*L'entreprise doit informer la personne de l'existence et de l'objet du dossier qu'elle a sur cette dernière, de l'endroit où le dossier est détenu et des droits d'accès ou de rectification de la personne à l'égard des renseignements au dossier.

*L'entreprise doit donner suite à une demande écrite d'accès ou de rectification dans les trente jours suivant la date de la demande.

*L'entreprise doit prendre et appliquer des mesures de sécurité propres à assurer la confidentialité des renseignements en cause.

*Les renseignements doivent être à jour et exacts au moment où l'entreprise les utilise.

*Les renseignements personnels ne peuvent être communiqués à des tiers sans le consentement de la personne concernée (qui doit être manifeste, libre et éclairé, et donné à des fins spécifiques) ou pour une fin non précisée par la Loi. La Loi énonce dix fins particulières, dont la majorité concerne la communication de renseignements à des organismes publics touchant divers programmes du gouvernement ou d'application de la loi, mais également les agents de recouvrement et les conseillers juridiques d'entreprise, et visant la communication d'une liste de noms, d'adresses ou de numéros de téléphone, ou d'un renseignement servant à la constitution d'une telle liste, si la communication est prévue dans un contrat comportant une stipulation interdisant la communication à des fins autres que de prospection commerciale ou philanthropique, si elle accorde aux personnes dont le nom figure sur la liste l'occasion valable de refuser de ne pas y figurer (faculté d'exclusion) et si la communication ne porte pas atteinte à la vie privée des personnes concernées.

*Les renseignements personnels ne peuvent être communiqués à des parties à l'extérieur du Québec sauf si l'entreprise au Québec prend "tous les moyens raisonnables pour s'assurer que les renseignements ne seront pas utilisés à des fins non pertinentes à l'objet du dossier" (ou aux autres fins autorisées par la Loi, résumées ci-dessus) et, dans le cas des listes de noms et d'adresses, si la personne concernée a une occasion valable de refuser de ne pas y figurer.

*L'entreprise qui refuse d'acquiescer à la demande d'accès ou de rectification d'une personne concernée doit lui notifier par écrit son refus en le motivant et l'informer de ses recours. La Loi prévoit certains cas dans lesquels l'entreprise peut refuser le droit d'accès, notamment pour des raisons médicales, la prévention d'un préjudice à un tiers, la protection d'une enquête en matière d'application de la loi ou si la communication des renseignements a "un effet sur une procédure judiciaire dans laquelle l'une ou l'autre de ces personnes a un intérêt."

*Un recours est possible à la Commission d'accès à l'information du Québec pour toute mésentente entre une personne et une entreprise relativement à l'application de la loi concernant l'accès ou la rectification d'un renseignement personnel, ou le retrait d'un nom d'une liste nominative. La personne doit présenter sa demande dans les 30 jours suivant le refus de l'entreprise. En outre, la Commission peut mener une enquête, de sa propre initiative ou en réponse à une plainte, sur toute question reliée à la protection des renseignements personnels. La Commission peut ordonner à une entreprise de prendre les mesures voulues pour respecter les exigences prévues par la Loi et elle peut publier un avertissement indiquant que l'entreprise n'a pas respecté une ordonnance de la Commission. Les décisions de la Commission peuvent être portées en appel, sur autorisation, devant la Cour du Québec, relativement à des questions de droit ou de compétence. La décision du juge de la Cour du Québec est sans appel.

*La Loi contient un certain nombre de dispositions concernant les agences d'évaluation du crédit ("agents de renseignements personnels").

*La Loi contient des dispositions pénales prévoyant des amendes entre 1000$ et 20000$, selon l'infraction. Si une personne morale commet une infraction, son administrateur, dirigeant ou représentant peut être tenu responsable. Quiconque recueille, détient, communique ou utilise des renseignements personnels contrairement à la Loi commet une infraction, et une infraction distincte est prévue pour les agences d'évaluation du crédit.

Soulignons que la Loi ne s'applique pas «à la collecte, la détention, l'utilisation ou la communication de matériel journalistique à une fin d'information du public»; elle ne prévoit pas des codes sectoriels; elle n'oblige pas les entreprises à désigner une personne responsable de la détention des renseignements personnels et de ses pratiques connexes; enfin, elle n'impose aucune règle concernant la conservation des dossiers.

Annexe IV -
QUESTIONNAIRE SUR LES OPTIONS VISANT UNE LOI UNIFORME SUR LA PROTECTION DES DONNÉES DANS LE SECTEUR PRIVÉ

Les questions suivantes reposent sur l'hypothèse que la Conférence pour l'harmonisation des lois élaborera une loi uniforme régissant la protection des renseignements personnels dans le secteur privé. En outre, on présume que la loi uniforme s'inspirera des principes énoncés dans le code type de la CSA, qu'elle s'appliquera à toutes les entreprises privées dans un ressort législatif donné ainsi qu'à tous les renseignements concernant des individus identifiables, et que les entreprises privées pourront avoir leur propre procédure de traitement des plaintes outre une procédure faisant appel à un tiers qui pourrait être établie.

Si vous voulez expliquer une réponse, veuillez le faire sur une feuille distincte (peut-être au verso du questionnaire) qui accompagnera le questionnaire ci-joint.

Option de
mise en oeuvre

Pour

Contre

Veuillez
cocher

Une commission? Favorisez-vous une commission de la protection des données ayant des pouvoirs de surveillance à l'égard de la loi uniforme ?

permet d'obtenir une opinion crédible, objective et spécialisée; accès universel à une procedure de traitement des plaintes efficiente et efficace

pourrait représenter des frais supplémentaires et causer des retards, exercer une trop grande intrusion à l'égard des entreprises; ne tient pas compte de la réalité du monde des affaires

Oui

Non

Si vous NE favorisez PAS une commission quelconque, favoriseriez-vous :
a) le recours, par les plaignants, uniquement aux tribunaux civils

b) une infraction réglementaire en cas de non-conformité et aucun autre recours
c) une autre option? Veuillez préciser :

Oui

Non

Si la loi uniforme prévoit une commission, de quelle commission devrait-il s'agir?

commissariat à l'information et à la protection de la vie privée existant; commission des droits de la personne (ou un autre organisme existant quand une telle commission n'existe pas)

les spécialistes et le personnel sont déjà en place; permettrait de minimiser les frais supplémentaires et les délais de mise en place, d'uniformiser les solutions retenues par les secteurs public et privé

soumettrait certaines entreprises à plusieurs organismes de réglementation

Oui

Non

commission sectorielle si elle existe (p. ex. CRTC, BSIF, commission des valeurs mobilières, etc.)?

un seul organisme de réglementation pour les entreprises

pourrait affaiblir l'expertise et l'uniformité dans la protection des données; il serait plus difficile pour les citoyens de savoir où et comment adresser leur plainte; la protection des données pourrait avoir une faible priorité pour l'organisme de réglementation sectoriel

Oui

Non

nouvel organisme

pourrait donner plus de visibilité à la loi


représenterait des frais supplémentaires, alors que le gouvernement procède à des compressions

Oui

Non


Si le modèle de la commission est retenu, quelles fonctions la commission devrait-elle remplir?

éducation du public, recherche sur la protection des données, publication régulière de rapports

favorise la conformité et la sensibilisation aux questions concernant la protection des données

pourrait donner lieu à un plus grand nombre de plaintes et coûterait plus cher

Oui

Non

Évaluation des incidences de la technologie

comme ci-dessus

coûterait plus cher et pourrait être inutile. Si les principes ne s'appliquent pas de façon précise à une technologie, pourquoi une évaluation portant sur une technologie particulière serait-elle nécessaire?

 

Oui

Non

vérifications de conformité

peut rendre la loi plus crédible, favorise la conformité des entreprises; permet de régler des questions inconnues du public ou ne pouvant pas surgir dans le cadre des plaintes; peut prévenir les problèmes avant qu'ils ne surgissent

peut être une indication de la présomption qu'une entreprise n'obéit pas à la loi; ajouterait des frais; les vrais problèmes surgiront dans les plaintes, et les vérifications de conformité sont donc inutiles

Oui

Non

obligation d'épuiser les recours internes? La loi devrait-elle interdire les plaintes à un tiers avant l'épuisement des recours internes?

la procédure de traitement des plaintes de l'entreprise permettrait d'obtenir une réponse plus rapide et plus directe que l'intervention d'un tiers; l'entreprise devrait avoir la possibilité de régler les choses avant l'intervention d'un tiers; le recours à la procédure interne réduirait la charge de travail des autres instances

pourrait occasionner des retards indus; pourrait dissuader les plaignants qui n'ont pas confiance dans la procédure de l'entreprise; pourrait vouloir dire que des personnes dans la même situation ne bénéficient pas de la procédure de règlement des plaintes

Oui

Non

inscription? Si la commission ne procède pas à des vérifications de conformité, favoriseriez-vous un système dans lequel

a) la commission est autorisée à ordonner aux entreprises fautives à s'inscrire auprès d'un tiers?

évite les frais de vérification de conformité pour l'organisme public; utilise une procédure bien connue du secteur privé

l'inscription n'est pas obligatoire; les registraires indépendants ne sont pas responsables envers le public; il faudrait que des registraires effectuent ces vérifications et inscriptions; les registraires dépendent des bonnes relations suivies qu'ils ont avec les entreprises qu'ils

Oui

Non

b) les entreprises d'une taille donnée seraient obligées par la loi d'inscrire leurs pratiques en matière de protection des données auprès d'un registraire des normes (p.ex. inscription de la conformité au code type de la CSA), présumément aux frais de l'entreprise, de la façon habituelle pour l'enregistrement des normes

inscrivent, de sorte que leur objectivité ou leur diligence pourrait en être mise en cause; l'intégration d'une norme officielle dans un texte législatif soulève une question de droit d'auteur; si l'inscription est obligatoire, le recours à des registraires du gouvernement plutôt qu'à des tiers registraires coûterait-il moins cher ou serait-il plus objectif? Si l'inscription est obligatoire, l'entreprise ne devrait pas être obligée de payer

Oui

Non

toute fonction de règlement des différents nécessite une composante enquête

il suffit d'avoir recours au rôle de médiateur sans engager de frais supplémentaires pour les enquêteurs; la nature systémique de l'emploi pourrait inciter les titulaires à chercher des problèmes touchant la protection des renseignements personnels

Oui

Non

médiation

l'objectif est de régler les différends et non pas de trouver des coupables; la médiation est donc appropriée et peut être un moyen efficace et efficient

si la composante enquête ou arbitrage existe, la neutralité de la fonction médiation peut être mise en cause

Oui

Non

publicité La commission aurait le pouvoir de publier le nom des entreprises ayant de mauvaises pratiques de protection des données (les entreprises auraient le droit de recevoir un avis préalable et d'interjeter appel avant publication)

peut être le moyen le moins cher et le plus efficace d'assurer la conformité

peut être l'option de pénalité la plus intrusive en ce qui concerne ses répercussions sur l'entreprise en cause

Oui

Non

arbitrage

assure le règlement des différends, évite les frais et les retards judiciaires, peut offrir plus d'expertise et d'uniformité et entraîner moins de frais qu'une cour de justice

les tribunaux sont plus aptes à l'arbitrage (voir le modèle du commissaire fédéral à la protection de la vie privée); si la fonction vérification, enquête ou médiation existe, la neutralité de la fonction arbitrage peut être mise en cause

Oui

Non

Comités d'arbitrage? Si la commission n'a pas la fonction arbitrage, cette dernière devrait-elle être confiée à des comités spéciaux d'experts?

aucuns frais de traitement à temps plein ni de frais généraux pour les membres des comités ils sont indépendants de la commission; ce modèle est bien connu dans d'autres contextes

les comités renouvelés par roulement peuvent réduire l'uniformité et exiger plus de temps que les agents d'audition

Oui

Non

Dispositions créant une infraction? La loi devrait-elle contenir des dispositions créant des infractions en cas de non-conformité?

c'est essentiel pour assurer le respect de la loi

la Loi sur l'accès à l'information fédérale et la Loi sur la protection de la vie privée fédérale ne contiennent aucune disposition créant des infractions; les lois sur les poursuites sommaires de tous les ressorts contiennent des dispositions générales créant des infractions

Oui

Non

Objet de la loi uniforme

Codes sectoriels? La loi devrait-elle reconnaître légalement les codes sectoriels?

les codes sectoriels donnent de la souplesse; ils reconnaissent les différences entre les divers types d'entreprises; ils peuvent favoriser un plus grand appui de la loi et une plus grande conformité de la part des entreprises

l'existence de divers codes réduit l'uniformité; il est plus difficile pour les citoyens de connaître les disposition qui s'appliquent à eux dans différents contextes

Oui

Non

Lois sur les évaluations de crédit? La loi uniforme devrait-elle intégrer et remplacer les loi sur les évaluations de crédit?

répondrait à une préoccupation d'une agence d'évaluation du crédit; aiderait à uniformiser les lois

rendrait la loi uniforme trop lourde pour être développée et approuvée

Oui

Non

Lois relatives à «l'atteinte à la vie privée»? La loi devrait-elle intégrer les lois existantes qui prévoient une action civile en cas d'atteinte à la vie privée?

aiderait à uniformiser les lois et à en faciliter l'accès par le public; se fonderait sur une loi uniforme existante de la CUL

confusion de la protection de la vie privée avec la protection des données; ce ne sont pas toutes les provinces qui ont des lois relatives à «l'atteinte à la vie privée»; le délit d'atteinte à la vie privée englobe un cadre beaucoup vaste que le contexte privé affaires-consommateur; cet ajout rendrait la loi trop lourde pour être développée et approuvée

Oui

Non

Protection de la vie privée au travail? La loi devrait-elle traiter précisément des questions relatives à la protection de la vie privée au travail?

la protection de la vie privée au travail est un aspect essentiel de la protection des données et de la protection de la vie privée; de telles dispositions favoriseraient la sensibilisation à ces questions; créeraient une norme minimale relative à la protection de la vie privée des travailleurs et considéreraient le respect minimal de la vie privée comme un droit de la personne plutôt qu'un avantage professionnel indirect «négociable»; obligeraient le législateur à régler directement le problème de la protection de la vie privée au travail plutôt que de forcer les employés et les entreprises à régler ces questions cas par cas, devant les tribunaux

les conventions collectives, les codes du travail et les lois sur les droits de la personne traitent déjà de ces questions. Un autre palier d'intervention est inutile; cet ajout rendrait la loi uniforme trop lourde pour être développée et approuvée

Oui

Non

Protection de la vie privée en matière médicale? Une loi uniforme sur la protection des données devrait-elle traiter des utilisations autorisées des dossiers médicaux?

il s'agit de l'un des aspects les plus délicats de la protection des données, qui ne devrait pas être traité cas par cas ou de la même façon que les autres renseignements personnels

les questions médicales devraient faire l'objet d'un examen spécial. À cette fin, il faudrait les distinguer des principes plus généraux régissant la protection des données. Toute tentative d'intégrer des règles spéciales en matière médicale dans la loi uniforme rendrait celle-ci trop lourde pour faire le consensus ou être approuvée

Oui

Non

Règles visant la communication? Une loi uniforme devrait-elle prévoir l'autorisation ou l'obligation expresse de communiquer des renseignements lorsque c'est nécessaire à la protection de la santé ou de la sécurité d'autrui?

récemment, les médecins en Ontario ont approuvé une résolution suivant laquelle ils peuvent recevoir des renseignements de patients, indiquant que ceux-ci représentent un risque pour autrui; dans le contexte juridique, le cas des cassettes de Bernardo indique qu'il peut être nécessaire de régler cette question par une loi

des règles générales visant la communication pourraiententraîner trop de cas de communication et ne pas protéger suffisamment les données, afin de préserver la confiance qu'une personne a en son médecin, en son avocat, etc.; ces questions sont trop complexes pour être incluses dans une loi uniforme générale sur la protection des données

Oui

Non

Conflit de lois En cas de conflit entre les loi de divers ressorts (p. ex. féd./prov.), la loi uniforme devrait-elle préciser que c'est la loi qui protège le mieux les renseignements personnels qui s'applique?

favorise la protection des données; évite l'application de la théorie de la primauté des lois fédérales

la théorie de la primauté des lois fédérales est suffisante et favorise la certitude du droit

Oui

Non


Annex V - Personnes consultées

John Gregory - 416-325-7630, fax: 416-325-7135
Counsel to Cabinet Office

Government of Ontario

4th floor 99 Wellesley St. W.

Toronto M7A 1A1

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

David Phillips, Vice-President, 416-362-6092; fax 416-362-7708 General Counsel and Secretary
Canadian Bankers Association

Box 348 Commerce Court West, 30th floor
Toronto Ontario M5L 1G2

Rosalie Daly Todd, - 238-2533; fax 563-2254
Executive Director and Legal Counsel
Canadian Consumers Association
267 O = Connor, suite 307
Ottawa Ontario K2P 1P7

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

Robert Parent - 418-643-8782; fax: 418-643-9749
Coordinateur des lois sur l = accès et sur la protection de l = information
Gouvernement du Québec

1200 route de l = Église
Ste-Foy, Quebec G1V 4M1

John Gustavson, President and CEO - 416-391-2362 (ext. 228); fax 416-441-4062
Scott McClellan, Director of Communications
Canadian Direct Marketing Association
1 Concorde Gate, suite 607

Don Mills, Ontario M3C 3N6

Robert McGarry - 521-3400; fax 521-4655
Canadian Labour Congress

2841 Riverside Dr.

Ottawa Ontario K1V 8X7

Kerri Sinclair - 604-356-2750; fax 604-953-4348
Counsel, Legal Services Branch

Ministry of Attorney General

Government of B.C.

1001 Douglas St., 6th floor

Victoria B.C. V8V 1X4

Suzanne Morin, Counsel - 567-7077; fax 567-7001
Stentor Telecom Policy Inc.

45 O = Connor St., suite 1800
Ottawa Ontario K1P 1A4

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

John Hylton, Executive Director - 306-525-5601; fax 306-569-3788
Canadian Mental Health Association (Sask. Division)
2702 - 12th Ave.
Regina Sask. S4T 1J2

Gilbert Sharp - 416-327-8591, fax 327-8605
Director of Legal Services, Ministry of Health
80 Grosvenor, 10th floor Hepburn Block
Toronto Ontario M7A 1S3

Steven Lingard, Counsel - 416-362-2031; fax 416-361-5952
Insurance Bureau of Canada

181 University Ave., 13th floor

Toronto Ontario M5H 3M7

Phillippa Lawson - 562-4002, ext. 24; fax 562-0007
Public Interest Law Advocacy Centre
1 Nicholas

Ottawa Ontario K1M 7B7

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. m

David Flaherty - 604-387-5629
B.C. Information and Privacy Commissioner
4th flr., 1675 Douglas St.
Victoria, B.C., V8V 1X4

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

Michael Globensky - 514-493-2396; fax: 514-493-2563
Equifax Canada Inc.

7171 Jean Talon East, 6th floor

Anjou, Québec H1M 3N2

Ian Lawson (Lawyer, Smithers, B.C.) - 604-847-4720; fax 604-847-1992 (formerly with the Public Interest Advocacy Centre in Ottawa)

André Ouimet - 418-528-7741; fax (418) 529-3102
Commission d'accès à l'information
888, rue Saint-Jean, bureau 420
Québec (Québec), G1R 5P1

Roland McDonald - 416-863-9600; fax 416-863-9041
Director of Security and Risk Management
Mastercard International

2 First Canadian Place, suite 3680
P.O. Box 52

Toronto Ontario M5X 1B1

Colin Bennett - 604-721-7495; fax 604-721-7485
Dept. of Political Science University of Victoria
P.O. Box 3050

Victoria B.C. V8W 3P5

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

Eugene Oscapella (CBA) - 992-4862; fax: 995-1501
Office of the Privacy Commissioner of Canada
112 Kent St., 3rd floor

Ottawa, Ontario K1A 1H3

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

Judith Bedford-Jones, Counsel
731-8610 ext 2283; fax 731-1779
Canadian Medical Association

1867 Alta Vista Drive

Ottawa Ontario K1G 3Y6

Tom Onyshko (CBA; - Student-at-Law) - 416-369-7200, ext. 2445; fax 416-369-7250
Smith Lyons

Suite 5800, Scotia Plaza

40 King St. W.

Toronto, Ontario M4Y 1R6

Charles Ferris (CBA) - 506-453-2292; fax: 506-453-2653
New Brunswick Human Rights Commission
751 Brunswick St.

P.O. Box 6000

Fredricton, N.B. E3B 5H1

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

Carla Peppler - 905-470-8995; fax 905-470-9595
Director of Policy and Resident Care
Ontario Nursing Home Association
345 Renfrew Drive, suite 202

Markham Ontario L3R 9S9

Colin McNairn (author and private practice) - 416-863-4726; fax: 416-863-4592
Fraser & Beatty

1 First Canadian Place

Toronto, Ontario M5X 1B2

colin.mcnairn@fraserBeatty. ca

John McCamus - 416-736-5569; fax: 416-736-5736
Ontario Law Reform Commission

Brian Gray Senior VP of Policy and Research
Canadian Federation of Independent Business -
416-222-8022; fax 416-222-7593

Jacques Dufresne (CBA and private practice) - 514-847-4475; fax: 514-286-5474
Ogilvy Renault

1981 Avenue McGill College, bureau 1100
Montréal, QC H3C 3C1

Tom Wright - 416-326-3333; fax 416-325-9195
Ontario Information and Privacy Commissioner

Ron Perozzo - 204-945-2847; fax: 204-948-2041
Associate Deputy Minister Justice
Manitoba Department of Justice

7th floor Woodsworth Building

405 Broadway

Winnipeg, Manitoba

R3C 3L6

Pierrôt Péladeau - 514-990-2786; fax 514-990-3085
Vice-Président Recherche et Développement, Progesta Inc.
C.P. 42029

succursale Jeanne Mance

Montreal Québec H2W 2T3

Ann Jacklin, Counsel : ph. 902-423-2633; fax: 902-423-0222
Nova Scotia Law Reform Commission
1484 Carlton St.

Halifax, N.S. B3H 3B7

Marie Vallée - 514-521-6820; fax 514-521-0736;
Fédération Nationale Association de Consommateurs du Québec
1215 Visitation, bureau 103

Montréal, Québec

H2L 2Y7

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

Jacques St. Amant - 514-598-7288; fax 514-598-8511
Association Coopérative d'Économie Familiale du Centre de Montréal, 2120,
Sherbrooke St. East, Rm 604, Montréal, Qc, H2K 1C3
Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.




FOOTNOTES

Footnote: 1 Tom McMahon est conseiller juridique à la Section du droit à l'information et à la protection des renseignements personnels du ministère de la justice du Canada. Les opinions exprimées dans le présent document ne sont pas nécessairement celles du gouvernement du Canada. Les membres du "Groupe consultatif" ne se sont pas réunis et Tom en a dirigé les travaux en joignant un certain nombre de représentants de gouvernements, d'entreprises et de consommateurs ainsi que d'autres spécialistes qui lui ont ensuite répondu directement.


Footnote: 2 De plus, cinq provinces ont adopté des dispositions législatives énonçant que l'atteinte à la vie privée constitue un délit et la CHL a adopté une loi type de cette nature l'an dernier. La Charte des droits et libertés de la personne du Québec et le Code civil du Québec renferment des dispositions explicites sur la protection de la vie privée et la Charte canadienne des droits et libertés ainsi que le Code criminel renferment des dispositions créant implicitement un droit à la vie privée, notamment par les concepts de la fouille, de la perquisition et de la saisie abusives. Même si ces dispositions protègent la vie privée plutôt que de s'appliquer simplement à la protection des données, il est évident que les deux concepts sont liés : la "protection des données" concerne la vie privée et il peut y avoir atteinte à la vie privée par suite de mauvaises pratiques en matière de protection des données.


Footnote: 3 Le présent énoncé des principes du code type de la CSA est reproduit avec l'autorisation de l'Association canadienne de normalisation. Il provient de la norme de la CSA CAN/CSA-Q830-96, Code type sur la protection des renseignements personnels, dont les droits d'auteur appartiennent à la CSA, 178 boul. Rexdale, Etobicoke (Ontario), M9W 1R3. La CSA autorise l'utilisation du document, mais elle ne peut être tenue responsable de la façon dont les renseignements sont présentés ou interprétés.

 

Réunion annuelle

Réunion annuelle 2018 (centenaire)

L'Hôtel Delta

Québec, QC

du 12 au 16 août, 2018