La protection de la vie privée au secteur privé 1995

1995 Québec QC

ANNEXE M

PROTECTION DE LA VIE PRIVÉE DANS LE SECTEUR PRIVÉ

par: Denis C. Kratchanov, avocat

Section du droit à l'information et à la protection des renseignements personnels

Ministère de la Justice du Canada

[Voir le Compte-rendu de la réunion de 1995 à la page 57.]

Remerciements

L'auteur tient à exprimer sa reconnaissance à MM. Tom Onyshko, John Gregory, Colin H.H. McNairn, Jacques Dufresne, Gerald Taggart et Douglas Moen pour leurs commentaires et suggestions. L'auteur est particulièrement redevable à M. Tom Onyshko de lui avoir fourni des documents qui vont figurer dans la thèse qu'il prépare sur ce sujet. Les opinions exprimées ici ne reflètent pas nécessairement le point de vue du ministère de la Justice.

AVANT-PROPOS
INTRODUCTION
HISTORIQUE DE LA QUESTION
LE CADRE JURIDIQUE
LES PRINCIPES APPLICABLES À LA PROTECTION DES DONNÉES
APPLICATION
CONCLUSION
ANNEXE 1 : LIGNES DIRECTRICES DE L'OCDE

AVANT-PROPOS

Ce document d'étude a pour but de préciser les principes sur lesquels pourrait se fonder une loi uniforme sur la protection de la vie privée et des renseignements personnels.

Puisque la Conférence sur l'uniformisation des lois du Canada a adopté en 1994 une loi uniforme sur la protection de la vie privée qui a créé le délit d'atteinte à la vie privée, cette étude vise l'élaboration de lignes directrices en vue de l'adoption d'une loi visant la protection des données personnelles. L'uniformité des lois étant particulièrement nécessaire dans le secteur privé, c'est sur ce domaine en particulier que porte donc la présente étude.

Le document de discussion contient un bref historique de l'apparition des lois concernant la protection de la vie privée et examine le contexte juridique dans lequel évolue actuellement cette question. Les lois sur la protection des données personnelles ne sont pas un phénomène nouveau et il n'est donc pas difficile de déterminer les principes qui doivent sous-tendre ces lois. Le véritable problème pour la CULC, si elle décide de faire sien ce projet, ne sera pas d'en arriver à un consensus sur la nature de ces principes, mais plutôt sur la façon dont ils devraient être mis en oeuvre.

INTRODUCTION

Des enquêtes récentes démontrent que les Canadiens considèrent toujours que la question de la vie privée est très importante. L'enquête sur le respect de la vie privée effectuée en 1992 par Ekos Research Associates avait permis d'établir que la plupart des Canadiens sont, au minimum, assez intéressés par la protection de leur vie privée, question qualifiée même d'extrêmement préoccupante par la moitié de ces personnes, ce qui la place à égalité avec le chômage et l'environnement et loin devant l'unité nationale (1). Ce grand intérêt à l'égard de la protection de la vie privée s'explique, comme l'ont proposé certains sociologues, par le fait que les gens s'opposent instinctivement à ce que d'autres surveillent leur conduite et souhaitent que certains aspects de leur vie soient à l'abri des regards officiels (2). Il est important pour les gens de conserver des relations sociales suffisamment « lâches » pour que les individus ne soient pas écrasés par le poids de leur conduite passée, et ils s'inquiètent du fait que les grands systèmes qui se chargent de réunir des renseignements détaillés sur la population modifient l'équilibre entre le public et les institutions centrales.

Les commissaires à la protection de la vie privée, les défenseurs de la vie privée et le public demandent une réglementation détaillée des données qui serait applicable tant au secteur public qu'au secteur privé du Canada. Le Comité consultatif sur l'autoroute de l'information créé par le ministre de l'Industrie en 1994 pour aider le gouvernement fédéral à élaborer une stratégie de l'information a adopté une position semblable. La surveillance des employés au travail, les analyses visant à dépister les consommateurs de drogues et les comparaisons de données sont des aspects de la vie privée qui sont en train d'acquérir de l'importance dans le contexte des droits de la personne et des relations de travail.

La technologie : un danger pour notre vie privée

Le Commissaire à la protection de la vie privée du Canada, Bruce Phillips, et ses homologues provinciaux considèrent qu'il est urgent de mettre en place un cadre réglementaire pour l'autoroute de l'information à cause du volume impressionnant de données personnelles qui vont y circuler et à cause de l'établissement de partenariats publics et privés désireux de la construire. Selon M.

Phillips(3), les codes sectoriels, l'auto-réglementation, les dispositions ponctuelles et la surveillance exercée par l'industrie ne suffisent plus à la tâche et la solution passe nécessairement par l'adoption d'une loi protégeant la vie privée des atteintes qu'elle risque de subir de la part du gouvernement et des entreprises.

Le Commissaire préconise l'adoption de normes nationales très larges dont l'un des grands principes serait l'application de la Loi sur la protection des renseignements personnels à tous les échanges d'information entre le gouvernement fédéral et le secteur privé. Il propose l'élaboration de codes précisant quelles sont les pratiques équitables en matière d'information dans le but de contrôler la circulation de l'information électronique et accordant au gouvernement un rôle prépondérant en matière de protection des renseignements personnels.

Rapport du Comité consultatif sur l'autoroute de l'information

Le Comité consultatif sur l'autoroute de l'information a été créé au printemps 1994 et il est chargé d'examiner les répercussions technologiques et autres de la construction de l'infrastructure canadienne en matière de communications. Le Comité va présenter son rapport définitif au ministre de l'Industrie cet été mais il a déjà transmis au gouvernement, pour fins de réflexion et d'action, un certain nombre de recommandations, notamment des recommandations sur la protection des renseignements personnels, l'accès à l'information et l'équité en matière d'accès, la sécurité, le droit d'auteur et les problèmes de contenu de l'information.

Les recommandations finales au sujet de la protection de la vie privée invitent le gouvernement à élaborer et appliquer des mesures législatives souples destinées à protéger les renseignements personnels dans les secteurs public et privé. Le Comité recommande que ces mesures soient fondées sur le code type de l'Association canadienne de normalisation, qui porte sur la protection des renseignements personnels.

Pressions internes et internationales

Un autre facteur qui force les gouvernements à adopter un cadre législatif est le fait que le Québec a pris l'initiative de réglementer le secteur privé. Le Québec est la première juridiction en Amérique du Nord à avoir imposé une réglementation des données personnelles au secteur privé. Après s'être opposées au départ à cette réglementation, les entreprises ne semblent pas éprouver de difficulté à respecter cette loi en matière de protection des données personnelles. Il y a même des entreprises qui ont décidé d'adopter ces exigences pour leurs activités exercées à l'extérieur du Québec, faisant ainsi de la protection des renseignements personnels un argument de commercialisation.

Il existe également des pressions internationales qui vont dans le sens d'une réglementation de ce domaine. La directive de l'Union européenne en matière de protection des renseignements personnels a déjà reçu l'accord de principe du Conseil des ministres et elle est maintenant étudiée

par la Commission juridique du Parlement européen. Cette directive aura des répercussions au Canada parce qu'elle contient une disposition qui autorise les pays membres à bloquer les flux transfrontières de données vers les pays dépourvus d'une protection adéquate. Si le Canada ne se donne pas de réglementation, la directive pourrait en fait jouer le rôle d'une barrière non tarifaire au commerce.



I - HISTORIQUE DE LA QUESTION

Exception faite de la personne qui vit sur une île déserte, personne ne vit dans un complet isolement. Avant la révolution industrielle, il n'y avait guère d'intimité pour les gens qui vivaient dans les petites villes et les villages(4). Il était impossible de dissimuler bien longtemps aux autres sa situation financière ou son état de santé. Quelqu'un qui aurait voulu dissimuler sa vie privée aurait fait l'objet de soupçons.

La révolution industrielle et l'apparition des grandes villes ont complètement bouleversé cette situation. L'ère industrielle a fait apparaître l'individualisme, l'anonymat et le droit à la vie privée(5). Les citoyens sont devenus plus mobiles, se déplaçant principalement pour trouver du travail. Les communications téléphoniques et par radio ont fait perdre de leur importance aux notions de temps et d'espace. Peu à peu, les petites collectivités où tout le monde connaissait tout le monde ont commencé à disparaître. L'État n'avait pas encore atteint une taille suffisante pour recueillir beaucoup de renseignements personnels concernant ses citoyens, et de toute façon il n'aurait pas eu les ressources, ni la volonté de le faire, et les rares renseignements qui existaient n'avaient pas encore acquis une valeur suffisante pour que les grandes sociétés naissantes s'y intéressent. C'est ainsi que les citoyens en sont venus à bénéficier d'un degré d'intimité encore jamais vu, et à le tenir pour acquis.

Cette même révolution industrielle qui a renforcé le degré d'intimité dont bénéficiaient les citoyens a aussi donné naissance à des outils qui portaient atteinte à cette intimité et qui peuvent éventuellement avoir pour effet de la supprimer. L'État, par le biais de l'impôt sur le revenu et des programmes sociaux, a progressivement rassemblé une quantité croissante de renseignements personnels. L'invention de l'ordinateur, avec sa capacité de traitement de tous ces renseignements, a permis de les utiliser à des fins nouvelles et à leur faire acquérir une valeur économique. Les travailleurs ont été remplacés par des machines-outils automatisées et les nouvelles technologies de communication ont permis de relier entre eux non seulement les grands centres financiers mondiaux mais également les endroits les plus isolés de la planète; l'information et les connaissances ont pris une nouvelle importance dans nos économies. Grâce à l'informatique, il est maintenant possible de réunir, de traiter, d'entreposer, d'utiliser et de diffuser des renseignements à des vitesses et des volumes qu'on n'aurait pu imaginer, il y a quelques années seulement.

C'est au cours des années 1960 que l'on a commencé à s'intéresser aux États-Unis à la

protection de la vie privée et aux conséquences de l'informatisation des renseignements personnels. Au cours de cette décennie, les secteurs privé et public ont été de gros consommateurs de renseignements personnels et il y a eu des efforts de création de banques de données informatisées. On avait également proposé d'établir un centre national de données qui regrouperait dans une banque centrale de données tous les renseignements personnels que possédait le gouvernement américain. Au cours des années 1960 et au début des années 1970, ces nouvelles menaces à la vie privée ont suscité des audiences du Congrès, des études gouvernementales, la publication d'études spécialisées et de livres de vulgarisation.

La question de la protection de la vie privée dans une économie basée sur l'information a fait surface pour la première fois au Canada au début des années 1970. L'ancien ministère des Communications et le ministère de la Justice ont en effet créé à cette époque un groupe d'étude sur la protection de la vie privée et l'informatique. L'étude préparée par ce groupe de travail lançait un avertissement; on craignait que les ordinateurs n'aggravent, ou du moins n'exacerbent, les problèmes que posent les systèmes d'information pour la protection de la vie privée (6). Aujourd'hui, les gros ordinateurs qui opéraient en vase clos ont été remplacés par des ordinateurs personnels tout aussi puissants qui sont reliés en réseau et cet avertissement paraît très en-dessous de la vérité. Avec les progrès réalisés dans l'informatisation des données personnelles, les risques d'utilisation non autorisée de renseignements concernant les particuliers ont beaucoup augmentés(7).

Depuis la publication de cette étude, la question de la protection des renseignements personnels a pris de l'importance; les Canadiens ont constaté que l'intimité dont ils croyaient bénéficier dans leur société post-industrielle faisait en fait l'objet d'attaques incessantes. Dans cette nouvelle économie, l'information est devenue un bien et le public la considère comme un objet de droits qui doivent être définis et protégés(8).


II - LE CADRE JURIDIQUE

Comme l'on pouvait s'y attendre, la définition juridique de la vie privée a évolué dans le temps. Dans un traité de 1888, le juge Thomas Cooley parlait « du droit de vivre en paix » ("the right

to be let alone") dans le contexte de la protection contre les atteintes à l'intégrité corporelle(9). Cette expression a rapidement été reprise dans un article publié en 1890 par deux juristes qui s'intéressaient aux atteintes à la vie privée que pouvaient occasionner les images photographiques(10). Dans un article désormais célèbre, Samuel Warren et Louis Brandeis ont plaidé en faveur de la création d'un droit général à la protection de la vie privée, qui autoriserait chaque citoyen à empêcher la presse d'utiliser sans permission des éléments appartenant à sa vie privée. Les auteurs avaient prévu que les nouvelles technologies, comme le téléphone et la photographie, allaient saper le droit de vivre en paix et concluent que la protection de la vie privée devait être organisée juridiquement. Ils ont également prévu que des particuliers demanderaient aux tribunaux d'interdire la vente et la publication non autorisées de photographies les représentant.

Cette prédiction s'est rapidement réalisée. En 1902, un tribunal de l'État de New York a jugé que l'utilisation non autorisée d'une photographie dans une annonce publicitaire pouvait entraîner des poursuites(11). L'État de New York a ainsi été le premier à adopter une loi visant à protéger la vie privée en interdisant l'usage non autorisé de photographies à des fins commerciales(12).

En 1967, le professeur Alan Westin a proposé une définition plus moderne et plus globale du droit au respect de la vie privée. Cette définition a été acceptée très largement et notamment par la Cour suprême du Canada(13) et par la Cour suprême des États-Unis(14): il s'agit de « la revendication par les particuliers, les groupes et les institutions de déterminer librement les modalités selon lesquelles les renseignements qui les concernent pourront être communiqués à d'autres ».(15) Autrement dit, le droit à la vie privée est le « droit d'exercer un certain contrôle sur l'information personnelle ».

Au Canada, le droit de vivre en paix est reconnu de deux façons dans nos lois. Tout d'abord, au niveau constitutionnel, la Charte canadienne des droits et libertés ne reconnaît pas expressément le droit au respect de la vie privée mais elle offre une protection contre les atteintes indues à la vie privée : comme la Cour suprême du Canada l'a reconnu dans une décision prononcée en 1990, l'article 8 de la Charte (le droit à la protection contre les fouilles, les perquisitions ou les saisies

abusives) vise d'abord et avant tout à assurer le respect de la vie privée (16). La Cour suprême du Canada a donc reconnu une valeur constitutionnelle à la protection de la vie privée (17), ne serait-ce que dans le contexte du droit pénal, pour ce qui est des fluides corporels(18) et la surveillance électronique des citoyens(19); elle semble toutefois plus réticente à faire de même lorsqu'il s'agit de renseignements personnels contenus dans des banques de données (20). La Cour suprême a, dans d'autres décisions, réduit sensiblement la portée de l'article 8 dans le contexte du droit administratif et il est possible que la protection qu'offre la Constitution en matière de renseignements personnels soit en fait limitée(21).

On pourrait soutenir que l'article 7 de la Charte protège un certain aspect du droit au respect de la vie privée, mais compte tenu des réticences de la Cour suprême du Canada à prendre une attitude ferme sur cette question, cet argument demeure théorique(22). a Charte est un document qui permet principalement de limiter les pouvoirs des gouvernements sur les citoyens et ce droit constitutionnel à la protection de la vie privée s'impose uniquement à l'État et non aux personnes privées(23).

Par ailleurs, certaines provinces de common law ont adopté des lois créant un délit dans les cas d'atteinte à la vie privée. Il s'agit de la Colombie-Britannique(24), de la Saskatchewan(25), du

Manitoba(26) et de Terre-Neuve(27). Les lois provinciales en matière de protection de la vie privée qui créent un délit n'ont guère été analysées par les tribunaux(28) et ont été d'application difficile (29).

Au Québec, le droit à la vie privée est protégé à trois niveaux différents. Tout d'abord, l'article 5 de la Charte des droits et libertés de la personne(30), de valeur quasi-constitutionnelle reconnaît un droit étendu à la vie privée puisqu'il énonce que « toute personne a droit au respect de sa vie privée ». La Charte québécoise prévoit également l'indemnisation du préjudice découlant des atteintes à ce droit. Le Code civil(31) vient compléter la Charte québécoise en désignant ce qui constitue une atteinte à la vie privée et limite le droit de collecte, d'utilisation et de diffusion des renseignements personnels. La Charte québécoise et le Code civil lient aussi bien les personnes de droit public que de droit privé, et donc les particuliers; ces deux textes accordent un droit d'action aux victimes de telles atteintes. (La troisième source de protection, à savoir la protection des données personnelles, est examinée plus loin.)

À la fin des années 1980 et au début des années 1990, la Conférence sur l'uniformisation des lois a entamé l'élaboration d'une loi uniforme sur la protection de la vie privée qui reconnaîtrait le délit d'atteinte à la vie privée. Cette Loi uniforme a été finalement adoptée par la Conférence en 1994(32).

La définition du droit à la protection de la vie privée, c'est-à-dire le droit d'exercer un certain contrôle sur les renseignements personnels, a entraîné l'adoption de ce que l'on appelle maintenant les lois relatives à la protection des données personnelles dans la plupart des pays de l'Europe occidentale(33) et, du moins pour ce qui est du secteur public, aux États-Unis (34) ainsi qu'au Canada.

Au Canada, la Loi sur la protection des renseignements personnels (35), adoptée en 1982 et remplaçant la partie IV de la Loi canadienne sur les droits de la personne (36), régit la collecte, l'utilisation, la communication, la conservation et la disposition des renseignements personnels par une institution gouvernementale, notion qui comprend tous les ministères fédéraux, la plupart des organismes fédéraux et certaines sociétés d'État fédérales. Ce ne sont pas toutefois les seules lois qui protègent les renseignements personnels détenus par le gouvernement du Canada. D'autres lois comme la Loi de l'impôt sur le revenu(37) et la Loi sur la statistique(38) viennent compléter, pour ce qui est de certaines catégories de renseignements personnels, la protection qu'offre déjà la Loi sur la protection des renseignements personnels.

La plupart des provinces ont aujourd'hui adopté une loi sur la protection des renseignements personnels applicable au secteur public semblable à la Loi sur la protection des renseignements personnels : la Colombie-Britannique(39), l'Alberta(40), la Saskatchewan (41), l'Ontario (42), le Québec(43) et la

Nouvelle-Écosse(44).

Le Québec est la seule province qui ait adopté une loi générale en matière de protection des données personnelles qui soit applicable au secteur privé (45). Cette loi définit un cadre détaillé pour la mise en application des dispositions du Code civil concernant la collecte, l'utilisation et la diffusion des renseignements personnels. Cette loi est entrée en vigueur en janvier 1994 et s'il est peut-être encore trop tôt pour pouvoir en évaluer les résultats, prévus ou non, on peut tout de même dire que jusqu'ici elle n'a pas causé de graves problèmes aux entreprises québécoises.

Cela ne veut toutefois pas dire qu'à l'extérieur du Québec, l'utilisation des renseignements personnels par le secteur privé soit complètement déréglementée. Mais dans le secteur privé canadien, cette protection prend la forme d'une série de lois, de règlements et de codes limités qui créent des normes variables ne s'appliquant qu'à quelques activités particulières.

Le Code criminel(46), par exemple, incrimine le fait d'intercepter une communication privée. Dans l'industrie de la télécommunication, le cahier des charges des compagnies de téléphone approuvé par le CRTC contient une disposition sur le caractère confidentiel des dossiers-clients. La vive réaction du public à l'introduction du service d'identification des appels a amené le CRTC à obliger les compagnies de téléphone à offrir gratuitement le blocage des appels et, pour ceux qui ont des besoins particuliers, le blocage des lignes. La Loi sur les télécommunications(47) fait de la protection des renseignements personnels un principe fondamental du secteur des télécommunications. Ce principe ne s'applique toutefois qu'aux transporteurs réglementés par le gouvernement fédéral et non pas aux revendeurs de télécommunications ou aux fournisseurs de services d'information. Dans le secteur bancaire, l'article 459 de la Loi sur les banques(48) autorise le gouvernement a réglementer la façon dont les banques utilisent les renseignements qu'elles obtiennent de leurs clients. Le Comité sénatorial permanent des banques et du commerce a fait préparé en 1993 un tel projet de règlement, mais il n'a toutefois pas été adopté par le gouvernement. L'Association des banquiers canadiens a, quant à elle, adopté un code type de protection des renseignements personnels qui a amené les différentes banques à adopter leur propre code dans ce domaine. Dans le secteur de l'assurance, l'Association canadienne des compagnies d'assurances de
personnes a adopté des directives en matière de protection des renseignements personnels et le Bureau d'assurance du Canada a adopté son propre code type de protection des renseignements personnels. De plus, il existe au niveau provincial des lois concernant les renseignements relatifs au crédit comme la Loi sur les renseignements concernant le consommateur (49) de l'Ontario.


III - LES PRINCIPES APPLICABLES À LA PROTECTION DES DONNÉES

Les lois relatives à la protection des données dont nous venons de parler, qu'elles s'appliquent au secteur public, au secteur privé ou aux deux, reprennent les principes adoptés par l'OCDE en 1980 dans les Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel. Les Lignes directrices ont pour but d'harmoniser les lois nationales visant à protéger les renseignements de caractère personnel et en même temps, de garantir la poursuite du libre flux des données entre les pays membres(50). Le Canada a officiellement adhéré aux Lignes directrices en 1984, démontrant ainsi que le gouvernement fédéral s'engageait à protéger les renseignements personnels, tant dans le secteur public que privé. Au coeur des lignes directrices de l'OCDE, on retrouve huit principes qui caractérisent les pratiques équitables en matière d'information (voir annexe 1). Ces huit principes sont à la base des lois relatives à la protection des renseignements personnels, qu'elles s'appliquent au secteur public ou au secteur privé. Dans le cadre de l'engagement qu'il avait pris lorsqu'il a ratifié les Lignes directrices de l'OCDE, le gouvernement du Canada a invité les entreprises du secteur privé à mettre au point et à adopter des codes volontaires de protection des renseignements personnels. Étant donné qu'il existe déjà dans le secteur public fédéral et dans celui de la plupart des provinces des lois relatives à la protection de la vie privée qui reprennent les Lignes directrices de l'OCDE, c'est évidemment dans le secteur privé qu'il est le plus nécessaire d'agir.

Le gouvernement du Canada travaille en étroite collaboration avec l'Association canadienne de normalisation (la CSA) qui a commencé à rédiger un code type sur la protection des renseignements personnels. Ce code serait conforme ou supérieur aux Lignes directrices de l'OCDE, tout en conciliant les intérêts et les nécessités du commerce avec le droit inhérent des consommateurs à la protection des données les concernant. La CSA a réuni des groupes de défense des consommateurs, des syndicats, des représentants du secteur du transport, des télécommunications, de l'assurance, des services de santé et des services financiers, des fonctionnaires du secteur public et d'autres groupes de défense d'intérêts généraux.

La CSA devrait adopter la version définitive de ce code type au cours de l'automne 1995 mais elle a déjà fait circuler un avant-projet pour recueillir les commentaires du public (voir annexe 2) : c'est l'ensemble de lignes directrices le plus récent dans le domaine de la protection des renseignements personnels dans le secteur privé. Ce code représente un des moyens les plus utiles pour intervenir dans ce domaine. Le Comité consultatif sur l'autoroute de l'information a invité le gouvernement fédéral à adopter une loi qui obligerait divers secteurs ou organismes à respecter les normes de pratiques équitables en matière d'information contenue dans le code type de la CSA.

Le projet de code type de la CSA s'inspire de dix principes interdépendants applicables au domaine de la protection des renseignements personnels. En voici un résumé :

1. Les organismes sont responsables des renseignements qu'ils recueillent.

2. Les organismes doivent identifiés les finalités de la collecte de renseignements personnels.

3. Les personnes concernées doivent consentir à la collecte, à l'utilisation et à la communication.

4. La collecte devraient être limitée.

5. L'utilisation, la communication et la conservation des renseignements devraient être limitées.

6. Les renseignements recueillis doivent être exacts.

7. Des mesures de sécurité doivent être prises pour protéger les renseignements.

8. Les politiques et les pratiques des organismes doivent être transparentes.

9. Les personnes concernées doivent avoir un droit d'accès à leur renseignements personnels.

10. Un individu doit avoir la possibilité de porter plainte contre le non-respect des principes.

Ces principes qui devraient se retrouver sous une forme ou une autre dans toutes les lois sur la protection des données personnelles peuvent être complétés par des mesures supplémentaires dans des domaines connexes. Pour suivre l'exemple du Royaume-Uni, la loi pourrait donner aux citoyens le droit d'intenter des poursuites en cas de préjudice découlant de renseignements personnels inexacts, de perte de renseignements personnels ou de destruction non autorisée de renseignements personnels (51). De plus, cette loi pourrait tenir compte du rôle central que joue la technologie dans ce domaine en exigeant que l'on procède à une évaluation des répercussions des nouvelles technologies sur la vie privée avant qu'on ne les utilise(52).



IV - APPLICATION

L'adoption d'une loi n'est pas une panacée qui peut guérir tous les maux de la société. Pendant longtemps, les gouvernements ont cru qu'en adoptant une loi ils pouvaient réglementer non seulement les déséquilibres commerciaux créés par les monopoles, mais également des grands secteurs d'activités qui n'offriraient pas un service acceptable aux citoyens s'il n'y avait pas de cadre réglementaire. Dans une économie ouverte comme la nôtre, ce sont les marchés et la loi de l'offre et de la demande qui réglementent les activités économiques. Depuis la déréglementation du transport aérien aux États-Unis à la fin des années 1970, les gouvernements tentent de réglementer moins et mieux. Cette tendance s'est également fait sentir au Canada où des secteurs entiers d'activités économiques ont été déréglementés au cours des quinze dernières années. Cette tendance se poursuit, comme en témoigne la présentation au Parlement en 1994 d'un projet de loi, Loi sur l'efficacité de la réglementation, qui autoriserait le remplacement des règlements par des normes négociées entre le ministre responsable et l'organisme réglementé. Même si l'avenir de ce projet de loi est incertain, la tendance est bien établie : les gouvernements ne devront agir par voie législative ou réglementaire que lorsque les autres méthodes visant à contrôler une activité ou un comportement ont échoué.

Ceci ne veut toutefois pas dire qu'il ne faudrait pas adopter une loi visant à protéger les renseignements personnels pour ce qui est du secteur privé. La vie privée est un droit qui est protégé par la Charte canadienne des droits et libertés. Il touche à d'autres droits de la personne, comme les droits à l'égalité, qui, en plus de la protection dont ils bénéficient en vertu de la Charte, sont garantis par d'autres lois. Les mêmes motifs qui sont à la base de l'adoption des lois contre la discrimination, qui garantissent la sécurité au travail ou protègent l'environnement justifient l'adoption d'une loi sur la protection des renseignements personnels, c'est-à-dire le désir de protéger une valeur sociale fondamentale pour tous les citoyens.

Du point de vue législatif, la protection de la vie privée et des renseignements personnels n'est pas un domaine qui est exclusivement de compétence fédérale ou provinciale. S'il s'agit bien là d'un domaine de responsabilité partagée, comme celui des lois concernant les droits de la personne, il serait préférable que les lois dans ce domaine, en particulier celles qui visent le secteur privé, soient sinon identiques d'un bout à l'autre du pays, du moins fondées sur les mêmes principes de base. Compte tenu de la vitesse avec laquelle les renseignements traversent les frontières, il est essentiel que les gouvernements fédéral et provinciaux collaborent dans ce domaine pour obtenir un résultat qui réponde aux préoccupations qu'ont manifestées les Canadiens à ce sujet.

Les lois sur la protection des données peuvent prendre diverses formes, mais pour être efficaces elles doivent être fondées sur des pratiques équitables en matière d'information, comparables aux dix principes énoncés dans le projet de code type sur la protection des renseignements personnels de la CSA. La différence réside dans le caractère plus ou moins impératif, ou plus ou moins indicatif de la loi. Une version « allégée » prévoirait l'adoption, dans un certain délai, de codes de protection des renseignements personnels, inspirés du modèle de la CSA, par les organismes qui recueillent et utilisent les renseignements personnels. Un comité consultatif pourrait faciliter la rédaction et la promulgation de ces codes et la loi pourrait imposer des codes créés par ce comité si les délais n'étaient pas respectés. Les codes seraient applicables sur une base purement volontaire. Une version « renforcée » accorderait à un organisme public le pouvoir d'obliger les organismes du secteur privé à respecter leur propre code(53). Entre ces deux versions, il existe toute une série de versions « intermédiaires ».

On pourrait envisager une autre variation sur les deux options décrites ci-dessus qui consisterait à concevoir des codes sectoriels. Ceux-ci introduiraient une plus grande souplesse dans la protection des renseignements personnels selon le contexte. Toutefois, l'existence de plusieurs types de lois ou règlements visant la protection des données personnelles pour tenir compte des besoins particuliers de certains secteurs, comme les télécommunications et l'assurance, risque de poser des problèmes graves d'application, étant donné que les différents secteurs économiques s'échangent des renseignements(54) et que la ligne de démarcation entre ces divers secteurs a tendance à s'estomper.



CONCLUSION

L'adoption de normes en matière de protection des données personnelles par les secteurs privé et public est un objectif souhaitable et l'introduction de telles normes dans une loi, même dans une loi qui ne contiendrait pas de mesures strictement impératives, inciterait les secteurs public et privé à donner aux renseignements personnels en leur possession la protection qu'ils méritent. Ces lois pourraient également aider le Canada à se conformer aux normes de protection des renseignements personnels qu'édictent ses partenaires commerciaux en Europe. De telles lois existent en Europe et au Canada depuis plusieurs années et les Canadiens les connaissent bien. Elles n'ont pas pour objectif d'empêcher les entreprises ou les gouvernements de recueillir ou d'utiliser les renseignements personnels dont ils ont besoin, mais de redonner aux citoyens un certain contrôle sur ce que les autres savent à leur sujet.

Si la CULC décidait de s'occuper de cette question, la première étape consisterait à s'entendre sur l'idée qu'une loi sur la protection des données personnelles devrait promouvoir, soit les principes énoncés dans le projet de code type sur la protection des renseignements personnels de la CSA ou du moins, des principes compatibles avec les lignes directrices de l'OCDE. La deuxième étape serait de déterminer la meilleure façon d'obtenir le respect de ces principes, c'est-à-dire l'adoption d'une loi « allégée » ou « renforcée ». La troisième et dernière étape consisterait à préparer un projet de loi qui pourrait être adopté par les gouvernements du Canada qui souhaitent le faire. La CULC peut jouer un rôle essentiel pour que les lois adoptées dans ce domaine par le Parlement et les provinces ne viennent pas compliquer la situation pour les consommateurs et les entreprises, ni créer de nouvelles barrières non tarifaires entre les provinces.


ANNEXE 1 : LIGNES DIRECTRICES DE L'OCDE

Principes fondamentaux applicables au plan national

Principe de la limitation en matière de collecte

1. Il conviendrait d'assigner des limites à la collecte des données de caractère personnel et toute donnée de ce type devrait être obtenue par des moyens licites et loyaux et, le cas échéant, après en avoir informé la personne concernée ou avec son consentement.

Principe de la qualité des données

2. Les données de caractère personnel devraient être pertinentes par rapport aux finalités en vue desquelles elles doivent être utilisées et, dans la mesure où ces finalités l'exigent, elles devraient être exactes, complètes et tenues à jour.

Principe de la spécification des finalités

3. Les finalités en vue desquelles les données de caractère personnel sont collectées devraient être déterminées au plus tard au moment de la collecte des données et lesdites données ne devraient être utilisées par la suite que pour atteindre ces finalités ou d'autres qui ne soient pas incompatibles avec les précédentes et qui seraient déterminées dès lors qu'elles seraient modifiées.

Principe de la limitation de l'utilisation

4. Les données de caractère personnel ne devraient pas être divulguées, ni fournies, ni utilisées à des fins autres que celles spécifiées conformément au paragraphe 9, si ce n'est :

a)avec le consentment de la personne concernée; ou
b)lorsqu'une règle de droit le permet.

Principes des garanties de sécurité

5. Il conviendrait de protéger les données de caractère personnel, grâce à des garanties de sécurité raisonnables, contre des risques tels que la perte des données ou leur accès, destruction, utilisation, modification ou divulgation non autorisés.

Principe de la transparence

6. Il conviendrait d'assurer, d'une façon générale, la transparence des progrès, pratiques et politiques, ayant trait aux données de caractère personnel. Il devrait être possible de se procurer aisément les moyens de déterminer l'existence et la nature des données de caractère personnel, et les finalités principales de leur utilisation, de même que l'identité du maître du fichier et le siège habituel de ses activités.

Principe de la participation individuelle

7. Toute personne physique devrait avoir le droit :

a)d'obtenir du maître d'un fichier, ou par d'autres voies, confirmation du fait que le fichier détient ou non des données la concernant;

b)de se faire communiquer les données la concernant;

i) dans un délai raisonnable;

ii) moyennant, éventuellement, une redevance modérée;

iii) selon des modalités raisonnables; et

iv) sous une forme qui lui soient aisément intelligible;




FOOTNOTES

(1) Ekos Research Associates., La vie privée exposée, Ottawa, 1993, p. 4. Plus récemment, une enquête de Gallup Canada indiquait qu'en 1994, plus de 80 p. cent des Canadiens étaient préoccupés par les renseignements personnels que pourraient collecter les sociétés qui utilisent l'autoroute de l'information : Gallup Canada, The Information Highway, Andersen Consulting Canada, 1994; une enquête de Louis Harris & Associates tenue à l'automne 1994 a confirmé que la question de la protection de la vie privée continuait de préoccuper une grande partie de la population: Louis Harris & Associates, The Equifax Canada Report on Consumers and Privacy in the Information Age, Anjou, Equifax Canada Inc., 1995.


(2) James B. RULE et al., Preserving Individual Autonomy in an Information-Oriented Society, in Computers and Privacy in the Next Decade, ed. by Lance J. HOFFMAN, New York, Academic Press, 1980, p. 65-87.


(3) Commissaire à la protection de la vie privée du Canada, Rapport annuel 1993-1994, Ottawa, Groupe communication Canada, 1994, p. 6-7.


(4) Jeremy RIFKIN, Biosphere Politics, New York, Harper Collins, 1992, p. 154.


(5) Louis NIZER, The Right of Privacy, a Half Century's Developments, (1940-41) 39 Mich. L.R. 526.


(6) Groupe d'étude sur l'ordinateur et la vie privée, Ordinateur et vie privée, Ottawa, Information Canada, 1972.


(7) Il existe de nombreux exemples de cas où l'on ait fait un usage détourné de renseignements personnels. Un exemple récent de la Colombie-Britannique est celui d'un policier qui s'était servi des numéros de plaque d'immatriculation des véhicules stationnés devant une clinique où l'on pratiquait des avortements pour se procurer, grâce à la base informatisée de données concernant les véhicules automobiles de la province, les noms et adresses des membres du personnel de la clinique. Ceci a permis à des groupes opposés à l'avortement d'appeler ces personnes par téléphone et de leur envoyer du courrier. Voir le rapport d'enquête P95-005, 31 mars 1995, Information and Privacy Commissioner of British Columbia; on trouvera une analyse des questions générales que soulève la protection des renseignements personnels dans le cas d'une base de données complexes comportant de nombreux utilisateurs.


(8) Anne Wells BRANSCOMB, Who Owns Information?, New York, BasicBooks, 1994, p. 1.


(9) Thomas COOLEY, A Treatise on the Law of Torts or the Wrongs which arise independent of contract, 2nd ed. (1888) p. 29.


(10) S. WARREN and L. BRANDEIS, The Right of Privacy, (1890) 4 Harv. L. Rev. 193.


(11) Robertson v. Rochester Folding Box Co., (1902), 171 N.Y. 538.


(12) 1903 N.Y.L. C. 132, Sec. 1, 2.


(13) R. c. Duarte, [1990] 1 R.C.S. 30, 46.


(14) U.S. Department of Justice v. Reporters Committee for Freedom of the Press, (1989) 489 U.S. 749. L'affaire concernant une demande d'accès à des renseignements personnels présentée aux termes du Freedom of Information Act des É.-U.


(15) A. WESTIN, Privacy and Freedom, New York, Atheneum, 1967, p. 32.


(16) R. c. Duarte, [1990] 1 R.C.S. 30, 43.


(17) La Cour suprême des États-Unis a reconnu un droit constitutionnel au respect de la vie privée en 1967 dans sa décision Griswold v. Connecticut, (1967) 381 U.S. 479.


(18) R. c. Dyment [1988] 2 R.C.S. 417; R. c. Collaruso [1994] 1 R.C.S. 20.


(19) R. c. Duarte, [1990] 1 R.C.S. 30 (interception de communications privées); R. c. Wong, [1990] 3 R.C.S. 36 (surveillance par caméra-vidéo) et R. c. Wise, [1992] 1 R.C.S. 527 (installation et utilisation d'un dispositif de dépistage placé dans un véhicule).


(20) R. c. Plant [1993] 3 R.C.S. 281: la Cour a jugé que le fait que des policiers aient obtenu sans mandat de la compagnie d'électricité des dossiers indiquant la consommation d'électricité du défendeur ne violait pas l'article 8 parce que ces dossiers n'étaient pas « confidentiels ». La cour n'a toutefois pas écarté la possibilité que l'on puisse invoquer l'article 8 à l'égard de dossiers établis en contexte commercial. (Voir, toutefois, la forte dissidence de Madame le juge McLaughlin).


(21)/a> R. c. McKinlay Transport Ltd., [1990] 1 R.C.S. 627: la cour a jugé qu'à l'égard du ministère du Revenu au moins, le droit d'un contribuable au respect de sa vie privée, notamment de ses dossiers financiers, était assez restreint.


 

(22) Voir par exemple les commentaires du juge La Forest dans R. c. Beare, [1988] 2 R.C.S. 387, p. 412 et ceux du juge en chef Dickson dans R. c. Morgentaler, [1988] 1 R.C.S. 30, p. 56.


(23) McKinney c. University of Guelph, [1990] 3 R.C.S. 229.


(24) Privacy Act, R.S.B.C. 1979, c. 336.


(25) Privacy Act, R.S.S. 1978, c. P-24.


(26) The Privacy Act, R.S.M. 1987, c. P 125.


(27) Privacy Act, R.S.N. 1990, c. P-22.


(28) Ian LAWSON, Privacy and Free Enterprise, Ottawa, Public Interest Advocacy Centre, 1992, p. 74.


(29) Georges S. TAKACH, Law in the Digital Age: A Tour d'Horizon, dans Heading into the Information Age, compte rendu d'une conférence organisée par l'Association du Barreau canadien et la section de common law de la faculté de droit de l'Université d'Ottawa, 16 mai 1995, p. 11.


(30) L.R.Q., ch. C-12.


(31) L.Q. 1991, ch. 64.


(32) Le procès-verbal de la réunion de 1994 n'avait pas encore été publié au moment où cette étude a été terminée en juin 1995.


(33) Les premiers pays européens à adopter au cours des années 1970 des lois relatives à la protection des données personnelles applicables à la fois aux secteurs public et privé ont été l'Allemagne, la France, l'Autriche et la Suède. L'Union européenne travaille depuis 1990 à l'élaboration d'une directive en matière de protection des données personnelles de façon à harmoniser les lois en vigueur dans la communauté européenne et éviter que les transferts de données entre pays membres ne soient restreints par les commissaires nationaux aux renseignements personnels. Il est toutefois possible que cette directive ait pour effet d'empêcher le transfert de données personnelles à des pays tiers qui n'offrent pas un niveau suffisant de protection pour les renseignements personnels.


(34) Le Privacy Act fédéral adopté en 1974 protège les renseignements personnels contenus dans les dossiers du gouvernement fédéral.


(35) S.R.C. (1985), ch. P-21.


(36) S.C. 1976-77, ch. 33.


(37) S.R.C. 1952, ch. 148, telle que modifiée par S.C. 1970-71-72, ch. 63 (telle que modifiée).


(38) L.R.C. (1985), ch. S-19, art. 17.


(39) Freedom of Information and Protection of Privacy Act, S.B.-C . 1992, ch. 61.


(40) Freedom of Information and Protection of Privacy Act, S.A. 1994, ch. F-18.5.


(41) Freedom of Information and Protection of Privacy Act, S.S. 1990-91, ch. F-22.01 and the Local Authority Freedom of Information and Protection of Privacy Act, S.S. 1990-91, ch. L-27.1.


(42) Loi sur l'accès à l'information et la protection à la vie privée, L.R.O. 1990, ch. F.31 et Loi sur l'accès à l'information municipale et la protection de la vie privée, L.R.O. 1990, ch. M.56.


(43) Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, L.R.Q., ch. A-2.1.


(44) Freedom of Information and Protection of Privacy Act, S.N.-S. 1993, ch. 5.


(45) Loi sur la protection des renseignements personnels dans le secteur privé, L.Q. 1993, ch. 17.


(46) L.R.C. (1985), ch. C-46, art. 183-196.


(47) L.C. 1993, ch. 38, art. 7.


(48) L.R.C. (1985), ch. B-1.


(49) L.R.O. 1990, ch. C.33.


(50) OECD, Lignes directrices régissant la protection de la vie privée et les flux transfrontrières de données de caractère personnel, 1980, p. 5.


(51) Data Protection Act, 1984, ss. 22-24.


(52) Voir à ce sujet la recommandation 7.7 du Comité parlementaire qui a étudié en 1987 la Loi sur la protection des renseignements personnels : Comité permanent de la justice et du Solliciteur général, Une question à deux volets : comment améliorer le droit d'accès à l'information tout en renforçant les mesures de protection des renseignements personnels, Ottawa, ministère des Approvisionnements et Services, 1987, p. 78.


(53) Certaines études sur la protection des données personnelles soulignent l'importance de l'existence d'un commissaire indépendant à la protection de la vie privée. Dans une étude de la mise en oeuvre des lois sur la protection des données personnelles dans cinq pays, le professeur David H. Flaherty (nommé depuis commissaire à l'accès à l'information et à la protection des renseignements personnels en Colombie-Britannique) a soutenu que la réussite de ces mesures législatives était presque toujours associée à l'existence d'un organisme indépendant chargé de les administrer : David H. FLAHERTY, Protecting privacy in surveillance Societies: The federal republic of Germany, France, Canada and the United states, Chapel Hill, University of North Carolina Press, 1989, p. 381-385.


(54) Georges S. TAKACH, Law in the Digital Age: A Tour d'Horizon, dans Heading into the Information Age, compte rendu de la Conférence organisée par l'Association du Barreau du Canada et la section de common law de la Faculté du droit de l'Université d'Ottawa, le 16 mai 1995, p. 11-12.

Réunion annuelle

Réunion annuelle 2018 (centenaire)

L'Hôtel Delta

Québec, QC

du 12 au 16 août, 2018