Faire des affaires au Canada (11e édition)

CHAPITRE 10 Commerce électronique, protection des données et respect de la vie privée

Pour qu’une loi provinciale soit considérée comme étant essentiellement similaire à la LPRPDE, elle doit être interprétée comme contenant les 10 « principes relatifs à l’équité dans le traitement de l’information » de la LPRPDE (fondés sur le guide international intitulé Lignes directrices de l’OCDE sur la protection de la vie privée et les flux transfrontières de données de caractère personnel ). Par conséquent, toutes les organisations canadiennes doivent effectivement mettre sur pied une structure administrative pour s’assurer que les 10 principes suivants sont appliqués : − responsabilité − détermination des fins de la collecte des renseignements − consentement − limitation de la collecte − limitation de l’utilisation, de la communication et de la conservation − exactitude − mesures de sécurité adéquates en place − transparence − accès aux renseignements personnels − p ossibilité de porter plainte à l’égard du non-respect des principes Aux termes de la LPRPDE, les entreprises du secteur privé sont également tenues de mettre en œuvre des politiques en matière de collecte, d’utilisation et de communication des renseignements personnels et de faire en sorte que ces politiques soient accessibles à leurs clients. De plus, selon la LPRPDE, une personne doit pouvoir, sur demande, consulter les renseignements qui la concernent en la possession d’une organisation et faire corriger les renseignements inexacts. Les lois provinciales essentiellement similaires à la LPRPDE prévoient chacune des obligations similaires. La LPRPDE ne s’applique pas aux organisations, à l’exception des entreprises fédérales, en ce qui concerne la collecte de renseignements sur les employés. Cependant, les renseignements sur les employés au Québec, en Alberta et en Colombie-Britannique sont protégés par la législation provinciale applicable en matière de protection de la vie privée.

La plupart des provinces ont également adopté des dispositions législatives précises qui encadrent la protection des renseignements personnels sur la santé qui se trouvent en la possession des fournisseurs de soins de santé (par exemple, les médecins, les cliniques et les hôpitaux), de leurs fournisseurs de services et de leurs mandataires. Les lois sur les renseignements personnels sur la santé de l’Ontario, du Nouveau-Brunswick, de la Nouvelle-Écosse et de Terre-Neuve-et-Labrador sont considérées comme essentiellement similaires à la LPRPDE et s'appliquent donc à la place de celle-ci en ce qui concerne les renseignements personnels sur la santé visés par ces lois.

CONSENTEMENT

La législation canadienne sur la protection des renseignements personnels dans le secteur privé est fondée sur le consentement; il n’existe aucun autre fondement juridique indépendant permettant la collecte, l’utilisation ou la communication de renseignements personnels, comme c’est le cas dans certains autres territoires, notamment l’Union européenne. Cependant, il existe des exceptions relatives au consentement, qui sont habituellement interprétées de manière restrictive par les tribunaux et les organismes de réglementation. Selon la LPRPDE, il faut obtenir le consentement éclairé d’une personne avant de recueillir, d’utiliser ou de communiquer les renseignements personnels de celle-ci. Le consentement n’est valide que s’il est raisonnable de s’attendre à ce que les personnes qui le donnent comprennent la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles elles ont consenti. La forme de consentement acceptable (c’est-à-dire, explicite ou implicite) dépend de la nature et du degré de sensibilité des renseignements personnels en cause et des circonstances dans lesquelles la collecte a eu lieu. Par exemple, le consentement explicite est nécessaire pour tous les renseignements sensibles. Tout renseignement peut être considéré comme sensible en fonction du contexte, mais certains types de renseignements sont habituellement considérés comme sensibles, quel que soit le contexte (comme les renseignements sur la santé, les renseignements financiers, les renseignements biométriques et les renseignements sur le sexe, l’orientation sexuelle, la religion et l’origine ethnique).

103

Davies | dwpv.com