Protection des données dans le secteur privé - options en vue d'une loi uniforme 1996

Annexe III - La Modèle québecoise

Nous présentons ce résumé de la Loi du Québec parce que presque aucune des personnes interrogées n'a mentionné la loi québécoise; quelques-unes ont suggéré qu'il serait utile d'avoir plus de renseignements à cet égard; que la loi québécoise avait été mise en oeuvre, suscitant très peu de résistance de la part du secteur privé et peu de critiques de la part des défenseurs de la vie privée; enfin, parce que toute tentative «d'uniformisation» de la protection des données personnelles dans le secteur privé devrait tenir sérieusement compte de la seule démarche ayant jusqu'à maintenant fait l'objet d'une loi.

*Les principes de la loi québécoise reflètent de façon générale les principes du code type de la CSA et de la Directive sur la protection des données du Parlement européen.

*La Loi s'applique à toutes les entreprises privées, notamment les organismes sans but lucratif.

*La Loi s'applique à tous les renseignements qui concernent une personne et permettent de l'identifier.

*Les entreprises ne doivent recueillir que les renseignements nécessaires à la fin visée et doivent énoncer les fins visées sur le dossier, lorsque le dossier sur la personne est constitué.

*Les renseignements doivent être recueillis directement auprès de la personne concernée, sauf si celle-ci consent à la collecte indirecte ou si la loi autorise la collecte indirecte, si les renseignements sont recueillis dans l'intérêt de la personne concernée et ne peuvent l'être auprès de celle-ci en temps opportun, ou si la collecte auprès d'un tiers est nécessaire pour assurer l'exactitude des renseignements.

*La source des renseignements doit être identifiée et consignée dans le dossier lorsque les renseignements sont recueillis.

*L'entreprise ne peut refuser d'acquiescer à une demande de bien ou de service, ou à une demande relative à un emploi à cause du refus de la personne de lui fournir un renseignement personnel, sauf si le renseignement personnel est nécessaire à la conclusion ou à l'exécution d'un contrat, si la collecte est autorisée par la loi ou s'il y a des motifs raisonnables de croire qu'une telle demande n'est pas licite.

*L'entreprise doit informer la personne de l'existence et de l'objet du dossier qu'elle a sur cette dernière, de l'endroit où le dossier est détenu et des droits d'accès ou de rectification de la personne à l'égard des renseignements au dossier.

*L'entreprise doit donner suite à une demande écrite d'accès ou de rectification dans les trente jours suivant la date de la demande.

*L'entreprise doit prendre et appliquer des mesures de sécurité propres à assurer la confidentialité des renseignements en cause.

*Les renseignements doivent être à jour et exacts au moment où l'entreprise les utilise.

*Les renseignements personnels ne peuvent être communiqués à des tiers sans le consentement de la personne concernée (qui doit être manifeste, libre et éclairé, et donné à des fins spécifiques) ou pour une fin non précisée par la Loi. La Loi énonce dix fins particulières, dont la majorité concerne la communication de renseignements à des organismes publics touchant divers programmes du gouvernement ou d'application de la loi, mais également les agents de recouvrement et les conseillers juridiques d'entreprise, et visant la communication d'une liste de noms, d'adresses ou de numéros de téléphone, ou d'un renseignement servant à la constitution d'une telle liste, si la communication est prévue dans un contrat comportant une stipulation interdisant la communication à des fins autres que de prospection commerciale ou philanthropique, si elle accorde aux personnes dont le nom figure sur la liste l'occasion valable de refuser de ne pas y figurer (faculté d'exclusion) et si la communication ne porte pas atteinte à la vie privée des personnes concernées.

*Les renseignements personnels ne peuvent être communiqués à des parties à l'extérieur du Québec sauf si l'entreprise au Québec prend "tous les moyens raisonnables pour s'assurer que les renseignements ne seront pas utilisés à des fins non pertinentes à l'objet du dossier" (ou aux autres fins autorisées par la Loi, résumées ci-dessus) et, dans le cas des listes de noms et d'adresses, si la personne concernée a une occasion valable de refuser de ne pas y figurer.

*L'entreprise qui refuse d'acquiescer à la demande d'accès ou de rectification d'une personne concernée doit lui notifier par écrit son refus en le motivant et l'informer de ses recours. La Loi prévoit certains cas dans lesquels l'entreprise peut refuser le droit d'accès, notamment pour des raisons médicales, la prévention d'un préjudice à un tiers, la protection d'une enquête en matière d'application de la loi ou si la communication des renseignements a "un effet sur une procédure judiciaire dans laquelle l'une ou l'autre de ces personnes a un intérêt."

*Un recours est possible à la Commission d'accès à l'information du Québec pour toute mésentente entre une personne et une entreprise relativement à l'application de la loi concernant l'accès ou la rectification d'un renseignement personnel, ou le retrait d'un nom d'une liste nominative. La personne doit présenter sa demande dans les 30 jours suivant le refus de l'entreprise. En outre, la Commission peut mener une enquête, de sa propre initiative ou en réponse à une plainte, sur toute question reliée à la protection des renseignements personnels. La Commission peut ordonner à une entreprise de prendre les mesures voulues pour respecter les exigences prévues par la Loi et elle peut publier un avertissement indiquant que l'entreprise n'a pas respecté une ordonnance de la Commission. Les décisions de la Commission peuvent être portées en appel, sur autorisation, devant la Cour du Québec, relativement à des questions de droit ou de compétence. La décision du juge de la Cour du Québec est sans appel.

*La Loi contient un certain nombre de dispositions concernant les agences d'évaluation du crédit ("agents de renseignements personnels").

*La Loi contient des dispositions pénales prévoyant des amendes entre 1000$ et 20000$, selon l'infraction. Si une personne morale commet une infraction, son administrateur, dirigeant ou représentant peut être tenu responsable. Quiconque recueille, détient, communique ou utilise des renseignements personnels contrairement à la Loi commet une infraction, et une infraction distincte est prévue pour les agences d'évaluation du crédit.

Soulignons que la Loi ne s'applique pas «à la collecte, la détention, l'utilisation ou la communication de matériel journalistique à une fin d'information du public»; elle ne prévoit pas des codes sectoriels; elle n'oblige pas les entreprises à désigner une personne responsable de la détention des renseignements personnels et de ses pratiques connexes; enfin, elle n'impose aucune règle concernant la conservation des dossiers.

Annexe IV -
QUESTIONNAIRE SUR LES OPTIONS VISANT UNE LOI UNIFORME SUR LA PROTECTION DES DONNÉES DANS LE SECTEUR PRIVÉ

Les questions suivantes reposent sur l'hypothèse que la Conférence pour l'harmonisation des lois élaborera une loi uniforme régissant la protection des renseignements personnels dans le secteur privé. En outre, on présume que la loi uniforme s'inspirera des principes énoncés dans le code type de la CSA, qu'elle s'appliquera à toutes les entreprises privées dans un ressort législatif donné ainsi qu'à tous les renseignements concernant des individus identifiables, et que les entreprises privées pourront avoir leur propre procédure de traitement des plaintes outre une procédure faisant appel à un tiers qui pourrait être établie.

Si vous voulez expliquer une réponse, veuillez le faire sur une feuille distincte (peut-être au verso du questionnaire) qui accompagnera le questionnaire ci-joint.

Option de
mise en oeuvre

Pour

Contre

Veuillez
cocher

Une commission? Favorisez-vous une commission de la protection des données ayant des pouvoirs de surveillance à l'égard de la loi uniforme ?

permet d'obtenir une opinion crédible, objective et spécialisée; accès universel à une procedure de traitement des plaintes efficiente et efficace

pourrait représenter des frais supplémentaires et causer des retards, exercer une trop grande intrusion à l'égard des entreprises; ne tient pas compte de la réalité du monde des affaires

Oui

Non

Si vous NE favorisez PAS une commission quelconque, favoriseriez-vous :
a) le recours, par les plaignants, uniquement aux tribunaux civils

b) une infraction réglementaire en cas de non-conformité et aucun autre recours
c) une autre option? Veuillez préciser :

Oui

Non

Si la loi uniforme prévoit une commission, de quelle commission devrait-il s'agir?

commissariat à l'information et à la protection de la vie privée existant; commission des droits de la personne (ou un autre organisme existant quand une telle commission n'existe pas)

les spécialistes et le personnel sont déjà en place; permettrait de minimiser les frais supplémentaires et les délais de mise en place, d'uniformiser les solutions retenues par les secteurs public et privé

soumettrait certaines entreprises à plusieurs organismes de réglementation

Oui

Non

commission sectorielle si elle existe (p. ex. CRTC, BSIF, commission des valeurs mobilières, etc.)?

un seul organisme de réglementation pour les entreprises

pourrait affaiblir l'expertise et l'uniformité dans la protection des données; il serait plus difficile pour les citoyens de savoir où et comment adresser leur plainte; la protection des données pourrait avoir une faible priorité pour l'organisme de réglementation sectoriel

Oui

Non

nouvel organisme

pourrait donner plus de visibilité à la loi


représenterait des frais supplémentaires, alors que le gouvernement procède à des compressions

Oui

Non


Si le modèle de la commission est retenu, quelles fonctions la commission devrait-elle remplir?

éducation du public, recherche sur la protection des données, publication régulière de rapports

favorise la conformité et la sensibilisation aux questions concernant la protection des données

pourrait donner lieu à un plus grand nombre de plaintes et coûterait plus cher

Oui

Non

Évaluation des incidences de la technologie

comme ci-dessus

coûterait plus cher et pourrait être inutile. Si les principes ne s'appliquent pas de façon précise à une technologie, pourquoi une évaluation portant sur une technologie particulière serait-elle nécessaire?

 

Oui

Non

vérifications de conformité

peut rendre la loi plus crédible, favorise la conformité des entreprises; permet de régler des questions inconnues du public ou ne pouvant pas surgir dans le cadre des plaintes; peut prévenir les problèmes avant qu'ils ne surgissent

peut être une indication de la présomption qu'une entreprise n'obéit pas à la loi; ajouterait des frais; les vrais problèmes surgiront dans les plaintes, et les vérifications de conformité sont donc inutiles

Oui

Non

obligation d'épuiser les recours internes? La loi devrait-elle interdire les plaintes à un tiers avant l'épuisement des recours internes?

la procédure de traitement des plaintes de l'entreprise permettrait d'obtenir une réponse plus rapide et plus directe que l'intervention d'un tiers; l'entreprise devrait avoir la possibilité de régler les choses avant l'intervention d'un tiers; le recours à la procédure interne réduirait la charge de travail des autres instances

pourrait occasionner des retards indus; pourrait dissuader les plaignants qui n'ont pas confiance dans la procédure de l'entreprise; pourrait vouloir dire que des personnes dans la même situation ne bénéficient pas de la procédure de règlement des plaintes

Oui

Non

inscription? Si la commission ne procède pas à des vérifications de conformité, favoriseriez-vous un système dans lequel

a) la commission est autorisée à ordonner aux entreprises fautives à s'inscrire auprès d'un tiers?

évite les frais de vérification de conformité pour l'organisme public; utilise une procédure bien connue du secteur privé

l'inscription n'est pas obligatoire; les registraires indépendants ne sont pas responsables envers le public; il faudrait que des registraires effectuent ces vérifications et inscriptions; les registraires dépendent des bonnes relations suivies qu'ils ont avec les entreprises qu'ils

Oui

Non

b) les entreprises d'une taille donnée seraient obligées par la loi d'inscrire leurs pratiques en matière de protection des données auprès d'un registraire des normes (p.ex. inscription de la conformité au code type de la CSA), présumément aux frais de l'entreprise, de la façon habituelle pour l'enregistrement des normes

inscrivent, de sorte que leur objectivité ou leur diligence pourrait en être mise en cause; l'intégration d'une norme officielle dans un texte législatif soulève une question de droit d'auteur; si l'inscription est obligatoire, le recours à des registraires du gouvernement plutôt qu'à des tiers registraires coûterait-il moins cher ou serait-il plus objectif? Si l'inscription est obligatoire, l'entreprise ne devrait pas être obligée de payer

Oui

Non

toute fonction de règlement des différents nécessite une composante enquête

il suffit d'avoir recours au rôle de médiateur sans engager de frais supplémentaires pour les enquêteurs; la nature systémique de l'emploi pourrait inciter les titulaires à chercher des problèmes touchant la protection des renseignements personnels

Oui

Non

médiation

l'objectif est de régler les différends et non pas de trouver des coupables; la médiation est donc appropriée et peut être un moyen efficace et efficient

si la composante enquête ou arbitrage existe, la neutralité de la fonction médiation peut être mise en cause

Oui

Non

publicité La commission aurait le pouvoir de publier le nom des entreprises ayant de mauvaises pratiques de protection des données (les entreprises auraient le droit de recevoir un avis préalable et d'interjeter appel avant publication)

peut être le moyen le moins cher et le plus efficace d'assurer la conformité

peut être l'option de pénalité la plus intrusive en ce qui concerne ses répercussions sur l'entreprise en cause

Oui

Non

arbitrage

assure le règlement des différends, évite les frais et les retards judiciaires, peut offrir plus d'expertise et d'uniformité et entraîner moins de frais qu'une cour de justice

les tribunaux sont plus aptes à l'arbitrage (voir le modèle du commissaire fédéral à la protection de la vie privée); si la fonction vérification, enquête ou médiation existe, la neutralité de la fonction arbitrage peut être mise en cause

Oui

Non

Comités d'arbitrage? Si la commission n'a pas la fonction arbitrage, cette dernière devrait-elle être confiée à des comités spéciaux d'experts?

aucuns frais de traitement à temps plein ni de frais généraux pour les membres des comités ils sont indépendants de la commission; ce modèle est bien connu dans d'autres contextes

les comités renouvelés par roulement peuvent réduire l'uniformité et exiger plus de temps que les agents d'audition

Oui

Non

Dispositions créant une infraction? La loi devrait-elle contenir des dispositions créant des infractions en cas de non-conformité?

c'est essentiel pour assurer le respect de la loi

la Loi sur l'accès à l'information fédérale et la Loi sur la protection de la vie privée fédérale ne contiennent aucune disposition créant des infractions; les lois sur les poursuites sommaires de tous les ressorts contiennent des dispositions générales créant des infractions

Oui

Non

Objet de la loi uniforme

Codes sectoriels? La loi devrait-elle reconnaître légalement les codes sectoriels?

les codes sectoriels donnent de la souplesse; ils reconnaissent les différences entre les divers types d'entreprises; ils peuvent favoriser un plus grand appui de la loi et une plus grande conformité de la part des entreprises

l'existence de divers codes réduit l'uniformité; il est plus difficile pour les citoyens de connaître les disposition qui s'appliquent à eux dans différents contextes

Oui

Non

Lois sur les évaluations de crédit? La loi uniforme devrait-elle intégrer et remplacer les loi sur les évaluations de crédit?

répondrait à une préoccupation d'une agence d'évaluation du crédit; aiderait à uniformiser les lois

rendrait la loi uniforme trop lourde pour être développée et approuvée

Oui

Non

Lois relatives à «l'atteinte à la vie privée»? La loi devrait-elle intégrer les lois existantes qui prévoient une action civile en cas d'atteinte à la vie privée?

aiderait à uniformiser les lois et à en faciliter l'accès par le public; se fonderait sur une loi uniforme existante de la CUL

confusion de la protection de la vie privée avec la protection des données; ce ne sont pas toutes les provinces qui ont des lois relatives à «l'atteinte à la vie privée»; le délit d'atteinte à la vie privée englobe un cadre beaucoup vaste que le contexte privé affaires-consommateur; cet ajout rendrait la loi trop lourde pour être développée et approuvée

Oui

Non

Protection de la vie privée au travail? La loi devrait-elle traiter précisément des questions relatives à la protection de la vie privée au travail?

la protection de la vie privée au travail est un aspect essentiel de la protection des données et de la protection de la vie privée; de telles dispositions favoriseraient la sensibilisation à ces questions; créeraient une norme minimale relative à la protection de la vie privée des travailleurs et considéreraient le respect minimal de la vie privée comme un droit de la personne plutôt qu'un avantage professionnel indirect «négociable»; obligeraient le législateur à régler directement le problème de la protection de la vie privée au travail plutôt que de forcer les employés et les entreprises à régler ces questions cas par cas, devant les tribunaux

les conventions collectives, les codes du travail et les lois sur les droits de la personne traitent déjà de ces questions. Un autre palier d'intervention est inutile; cet ajout rendrait la loi uniforme trop lourde pour être développée et approuvée

Oui

Non

Protection de la vie privée en matière médicale? Une loi uniforme sur la protection des données devrait-elle traiter des utilisations autorisées des dossiers médicaux?

il s'agit de l'un des aspects les plus délicats de la protection des données, qui ne devrait pas être traité cas par cas ou de la même façon que les autres renseignements personnels

les questions médicales devraient faire l'objet d'un examen spécial. À cette fin, il faudrait les distinguer des principes plus généraux régissant la protection des données. Toute tentative d'intégrer des règles spéciales en matière médicale dans la loi uniforme rendrait celle-ci trop lourde pour faire le consensus ou être approuvée

Oui

Non

Règles visant la communication? Une loi uniforme devrait-elle prévoir l'autorisation ou l'obligation expresse de communiquer des renseignements lorsque c'est nécessaire à la protection de la santé ou de la sécurité d'autrui?

récemment, les médecins en Ontario ont approuvé une résolution suivant laquelle ils peuvent recevoir des renseignements de patients, indiquant que ceux-ci représentent un risque pour autrui; dans le contexte juridique, le cas des cassettes de Bernardo indique qu'il peut être nécessaire de régler cette question par une loi

des règles générales visant la communication pourraiententraîner trop de cas de communication et ne pas protéger suffisamment les données, afin de préserver la confiance qu'une personne a en son médecin, en son avocat, etc.; ces questions sont trop complexes pour être incluses dans une loi uniforme générale sur la protection des données

Oui

Non

Conflit de lois En cas de conflit entre les loi de divers ressorts (p. ex. féd./prov.), la loi uniforme devrait-elle préciser que c'est la loi qui protège le mieux les renseignements personnels qui s'applique?

favorise la protection des données; évite l'application de la théorie de la primauté des lois fédérales

la théorie de la primauté des lois fédérales est suffisante et favorise la certitude du droit

Oui

Non

Réunion annuelle

Réunion annuelle 2017

Hotel Saskatchewan

Regina, SK

du 13 au 17 août, 2017
Creative Commons Licence
This work is licensed under a Creative Commons Attribution 2.5 Canada License
L'usage de cette œuvre est autorisé selon les dispositions de la Licence Creative Commons Attribution 2.5 Canada