Faire des affaires au Canada (11e édition)

Toutefois, que le consentement obtenu respecte ou non les exigences de forme et de validité, une organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances. Les lois provinciales qui sont essentiellement similaires à la LPRPDE prévoient des exigences de forme et de validité ainsi que des limites concernant la collecte (consentement explicite ou implicite) similaires.

TRANSACTIONS COMMERCIALES

ATTEINTES À LA PROTECTION DES DONNÉES

La LPRPDE prévoit une exception visant l’utilisation et la communication de renseignements personnels à l’insu de l’intéressé ou sans son consentement aux fins d’une transaction commerciale éventuelle, laquelle est définie de manière à comprendre l’achat d’actions ou d’actifs. Cette exception s’applique à l’utilisation et à la communication de renseignements personnels entre les parties à une transaction commerciale éventuelle sans le consentement de l’intéressé si − les renseignements sont nécessaires pour permettre aux parties de décider si la transaction aura lieu et, le cas échéant, pour l’effectuer; − les parties ont conclu un accord aux termes duquel l’organisation recevant des renseignements s’est engagée : > à ne les utiliser et à ne les communiquer qu’à des fins liées à la transaction, > à les protéger au moyen de mesures de sécurité correspondant à leur degré de sensibilité, > à les remettre ou à les détruire si la transaction n’a pas lieu. Dans le cadre de cette exception, des exigences s’appliquent également une fois la transaction effectuée, notamment des restrictions relatives à l’utilisation et à la communication, et il est obligatoire d’informer les personnes dont les renseignements ont été transférés dans le cadre de la transaction commerciale. Les lois provinciales essentiellement similaires à la LPRPDE prévoient toutes une exception semblable.

À l’exception de celle de la Colombie-Britannique, toutes les lois canadiennes d'application générale sur la protection des renseignements personnels dans le secteur privé imposent des obligations juridiques aux organisations qui ont subi une atteinte à la protection des données où des renseignements personnels sont en cause. Selon la LPRPDE, les organisations sont tenues de déclarer au Commissariat à la protection de la vie privée du Canada la perte, l’utilisation ou la communication de renseignements personnels ou l’accès non autorisé à ceux-ci lorsqu’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un risque réel de préjudice grave à l’endroit des personnes dont les renseignements personnels sont en cause. Le « préjudice grave » vise notamment la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte, et la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles. Les organisations doivent prendre en considération divers facteurs (comme le degré de sensibilité des renseignements personnels en cause et la probabilité d’une mauvaise utilisation) lorsqu’elles déterminent la gravité du préjudice. Les organisations doivent aussi aviser les personnes touchées, ainsi que les autres organisations et les institutions gouvernementales, qui peuvent être en mesure de réduire le risque de préjudice résultant de l’atteinte. Un règlement prévoit les exigences concernant le contenu de l’avis en cas d’atteinte à la protection des données. De plus, les organisations doivent conserver le registre de toute atteinte à la protection des données, qu’elle présente ou non des risques de préjudice grave.

104

Faire des affaires au Canada