Vous êtes sur la page 1sur 26

ARGUMENTS EN FAVEUR DE LA RFORME DE LA LOI SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS ET LES DOCUMENTS LECTRONIQUES

Mai 2013

TABLE DES MATIRES

SOMMAIRE .......................................................................................... 1 INTRODUCTION.................................................................................... 3 DFIS LIS LA PROTECTION DES RENSEIGNEMENTS PERSONNELS DANS LCONOMIE NUMRIQUE ...................................................................... 4 POINTS DE PRESSION : LES DFIS LIS LAPPLICATION DE LA LPRPDE ET LES RECOMMANDATIONS POUR ASSURER LA CONFORMIT ....................... 6 Point de pression 1 : Application .......................................................... 6 Point de pression 2 : Atteintes la scurit des donnes et absence de mcanismes rendant obligatoire le signalement ................................... 13 Point de pression 3 : Communication en vertu dune autorit lgitime et manque de transparence ............................................................... 15 Point de pression 4 : Faire preuve de responsabilit ............................. 17 CONCLUSION ..................................................................................... 21 NOTES EN FIN DE TEXTE ..................................................................... 22

SOMMAIRE
Lenvironnement dans lequel les renseignements personnels sont recueillis, utiliss et communiqus a grandement chang depuis ladoption de la Loi sur la protection des renseignements personnels et les documents lectroniques (LPRPDE) au dbut du XXIe sicle. Au cours de cette courte priode, les perces dans le domaine de la puissance de traitement et de la capacit de stockage des ordinateurs, ainsi que laugmentation importante de la quantit de renseignements personnels sur les individus que les organisations peuvent recueillir, emmagasiner, utiliser et communiquer ont conjointement prpar le terrain pour une explosion du rle que les renseignements personnels jouent dans lconomie numrique. ces changements se sont joints les risques que les renseignements personnels des individus soient utiliss dune faon qui peut tre intrusive, ou non sciemment prvue ou choisie par les personnes, alors que les organisations sempressent de crer de nouveaux services et produits. Dans certains cas, les renseignements personnels sont susceptibles dtre vols ou perdus en raison de labsence de mesures de scurit appropries. Il faut pouvoir compter sur des mesures incitatives pour sassurer que les organisations intgrent ds le dbut des mesures de protection de la vie prive leurs produits et services, par exemple, un rgime dapplication de la loi plus strict. Parmi dautres mesures incitatives, mentionnons des mcanismes de reddition de comptes et de vrification de la transparence plus vigoureux, afin de veiller ce que les renseignements personnels des Canadiennes et des Canadiens soient adquatement protgs dans un environnement complexe et branch sur le monde. Ces mesures permettront de relever les dfis actuels et futurs en matire de protection de la vie prive, daccrotre la confiance des Canadiennes et des Canadiens dans lconomie numrique, de renforcer linnovation et la croissance au pays, ainsi que dassurer que le Canada reste un pays dont le cadre de protection de la vie prive est appropri, jour et quilibr. Le prsent document recommande les changements suivants la LPRPDE afin dtablir de telles mesures incitatives : Rformer la LPRPDE afin de pouvoir compter sur de plus grands pouvoirs en matire dapplication de la loi. Cela pourrait comprendre des dommages-intrts lgaux (administrs par les tribunaux fdraux), ou le fait daccorder la commissaire le pouvoir dmettre des ordonnances ou dimposer des sanctions administratives pcuniaires, ou une combinaison de ces options; Obliger les organisations signaler les atteintes la protection des renseignements personnels la commissaire et aviser les personnes concernes, sil y a lieu, afin que les mesures dattnuation appropries puissent tre prises en temps opportun; Exiger des organisations quelles rendent public le nombre de communications effectues des autorits charges de lapplication de la loi en vertu de lalina 7(3)c.1), linsu de lintress et sans son consentement, et sans mandat, afin de faire la lumire sur la frquence laquelle cette exception extraordinaire est invoque et sur lutilisation qui en est faite. Modifier le principe de responsabilit nonc lannexe 1 pour indiquer que les organisations ont lobligation de dmontrer, sur demande, quelles prennent leurs responsabilits, pour inclure le concept d ententes excutoires , et pour assujettir lexamen de la Cour fdrale certaines dispositions relatives la responsabilit.

La LPRPDE est neutre sur le plan technologique et est fonde sur des principes deux qualits qui doivent tre conserves, car elles constituent des forces de la loi. Grce aux changements recommands, la LPRPDE pourra devenir une loi sur la protection des renseignements personnels plus moderne qui reflte les forces des autres lois sur la protection des donnes au Canada et lchelle internationale et les amliorations qui y ont t apportes, assurant ainsi la protection des renseignements personnels des Canadiennes et des Canadiens dans lconomie numrique.

INTRODUCTION
La Loi sur la protection des renseignements personnels et les documents lectroniques (LPRPDE) a reu la sanction royale le 13 avril 2000 et est entre en vigueur par tapes compter du 1er janvier 2001. Elle est entre pleinement en vigueur le 1er janvier 2004. La LPRPDE a t adopte pour attnuer les inquitudes des consommateurs concernant le respect de la vie prive et pour permettre au milieu des affaires canadien de soutenir la concurrence dans lconomique numrique mondiale 1 . La Loi avait pour objectif stratgique de renforcer la confiance lgard du commerce lectronique 2. La loi sapplique aux organisations qui recueillent, utilisent ou communiquent des renseignements personnels dans le cadre de leurs activits commerciales. Elle sapplique galement la collecte, lutilisation et la communication des renseignements personnels des employs des entreprises fdrales banques, transporteurs ariens, entreprises de tlcommunication et de radiodiffusion, et autres industries sous rglementation fdrale 3. La LPRPDE renferme une disposition nonant quun examen de la loi est prvu aux cinq ans pour sassurer que la loi produit les effets attendus et quelle permet dobtenir les rsultats souhaits. Le premier examen a commenc en 2006 et a donn lieu des recommandations du Comit permanent de laccs linformation, de la protection des renseignements personnels et de lthique (ETHI) lintention du gouvernement. Le gouvernement a rpondu au Comit en prsentant un projet de loi en 2010, qui est mort au Feuilleton prs dun an plus tard lors du dclenchement dlections. Il a t dpos de nouveau en tant que projet de loi C-12 lautomne 2011, mais, la date de la prsente publication, il navait pas encore franchi ltape de la deuxime lecture. Le deuxime examen de la LPRPDE accuse aussi du retard. En 2012, le Comit ETHI sest pench sur la protection de la vie prive et les mdias sociaux. Le 23 avril 2013, le Comit a prsent son rapport, qui comporte sept recommandations et demande au gouvernement de donner une rponse. Annex au rapport, on trouve le rapport dissident du Nouveau Parti dmocratique (NPD), qui comprend neuf recommandations. Ltude a fourni une occasion importante dexaminer un grand nombre des nouveaux enjeux en matire de protection de la vie prive qui sont lis aux nouvelles technologies 4. Au fil des annes, le Commissariat la protection de la vie prive du Canada (le Commissariat) a men diverses tudes et consultations pour mieux comprendre les dfis de lenvironnement actuel et valuer lefficacit de la loi. Nous comptons galement plus dune dcennie dexprience pratique dans la ralisation denqutes sur les plaintes, la conduite de vrifications et la surveillance des atteintes la protection des renseignements personnels du moins les quelques incidents qui sont ports notre attention de faon volontaire ou par le biais des mdias. Le prsent expos de position prsente nos observations sur la faon dont lenvironnement a chang depuis le dbut du XXIe sicle, et dcrit certains des plus importants points de pression qui font quil est ou quil sera difficile de faire respecter la LPRPDE et de veiller ce que les organisations respectent la loi. Lexpos de position prsente galement notre point de vue sur la faon dont la Loi pourrait tre amliore pour favoriser une conformit proactive.

DFIS LIS LA PROTECTION DES RENSEIGNEMENTS PERSONNELS DANS LCONOMIE NUMRIQUE


Lenvironnement dans lequel les renseignements personnels sont recueillis, utiliss et communiqus a grandement chang depuis lentre en vigueur de la LPRPDE. En 2001, les sites de rseautage social, les sites de partage de vidos et le microblogage taient pratiquement inexistants. Les tlphones cellulaires devenaient de plus en plus rpandus, mais leur utilisation ntait pas gnralise, et ils ne servaient pas naviguer sur le Web, jouer des jeux ou rvler leur emplacement. Au dbut de la dcennie, le Web tait en expansion et certaines entreprises commenaient faire des affaires en ligne, mais pas au niveau actuel. Depuis le dernier examen de la Loi, qui a eu lieu en 2006, les perces dans le domaine de la puissance de traitement et de la capacit de stockage des ordinateurs, ainsi que laugmentation importante de la quantit de renseignements personnels sur les individus que les organisations peuvent recueillir, emmagasiner, utiliser et communiquer ont conjointement prpar le terrain pour une explosion du rle que les renseignements personnels jouent dans lconomie numrique. La technologie volue rapidement et le monde virtuel sest transform grce aux nouvelles faons dont les personnes peuvent communiquer et partager des renseignements personnels. Ladoption et lutilisation grande chelle de divers sites de mdias sociaux par les organisations et les personnes brouillent toutefois les frontires entre les activits commerciales et non commerciales, de mme quentre lunivers public et priv. Les consquences sont dailleurs de plus en plus videntes. Mgadonnes et gants des donnes Un grand nombre de gens passent une bonne partie de leur vie en ligne. Selon certaines estimations, les Canadiennes et les Canadiens sont des chefs de file dans lutilisation dInternet, y consacrant une moyenne de 43,5 heures par mois, soit deux fois la moyenne mondiale 5. Lorsque nous naviguons sur Internet, faisons des recherches, communiquons avec nos amis ou tlchargeons de la musique, nous laissons des traces sous forme de donnes qui en disent long sur qui nous sommes nos intrts, nos habitudes, nos opinions et, dans bien des cas, mme lendroit o nous nous trouvons. Nous vivons lpoque des mgadonnes . Selon IBM, nous crons, lchelle mondiale, 2,5 quintillions doctets de donnes par jour (ce qui quivaut environ 57,5 milliards diPads de 32 Go 6). Quatre-vingt-dix pour cent des donnes qui existent dans le monde aujourdhui ont t cres au cours des deux dernires annes 7. Les renseignements personnels sont au cur de lconomie numrique mondiale. Certaines organisations qui recueillent de grandes quantits de renseignements personnels des Canadiennes et des Canadiens sont devenues des gants des donnes, des quasi-monopoles qui permettent de bien connatre les intrts, les habitudes et les opinions des internautes. Certaines des plus importantes entreprises se rjouissent davoir des centaines de millions de consommateurs ou dutilisateurs. Facebook, par exemple, compte plus dun milliard dutilisateurs lchelle mondiale, y compris prs de 20 millions dutilisateurs au Canada. Pour sa part, Twitter compte actuellement plus de 500 millions dutilisateurs. Mme les plus petites organisations, en particulier celles qui ont une prsence numrique, recueillent de plus en plus dimportantes quantits de renseignements personnels 8.

La majorit des socits Internet offrent leurs services sans frais. Elles subissent toutefois de plus en plus de pressions pour trouver des faons de rentabiliser leurs services, une des options les plus videntes tant de tirer parti de leur richesse inoue en renseignements personnels. Il sagit dun environnement hautement concurrentiel dans lequel apparaissent de nouveaux intervenants presque chaque jour. Les habitudes des personnes et les dtails personnels les concernant sont suivis, profils et cibls dans lempressement dinnover, damliorer les services et de trouver de nouveaux marchs. De plus en plus dentreprises souhaitent regrouper les donnes en ligne et les donnes hors ligne, ce qui leur permettrait de mieux connatre leurs consommateurs et danticiper leurs besoins et dsirs parfois mme avant que les personnes concernes en soient elles-mmes conscientes 9. Par ailleurs, la confiance des personnes, qui est ncessaire pour que lconomie numrique prospre, a galement t menace. Soizante-dix pour cent des Canadiennes et des Canadiens que nous avons interrogs en 2012 sont davis que leurs renseignements personnels sont moins bien protgs quil y a dix ans. Cinquante-six pour cent affirment ne pas savoir quelle est lincidence des nouvelles technologies sur le respect de la vie prive, ce qui reprsente une augmentation par rapport aux quarante-sept pour cent obtenus en 2000 10. Comme lindiquait le Comit ETHI, les mdias sociaux forment une industrie en rapide volution, un secteur confront aux limites de la vie prive et se devant de garantir la vie prive pour susciter la confiance des consommateurs 11 . Selon nous, il en va ainsi pour tous les intervenants de lconomie numrique. Les risques en matire de protection de la vie prive croissent avec lvolution de lenvironnement. Les organisations utilisent les renseignements personnels de faons antrieurement inimaginables. Mme si bon nombre de ces nouvelles utilisations pourraient profiter aux personnes et la socit, le risque que les renseignements personnels puissent tre utiliss de faons extrmement intrusives et qui heurtent notre sentiment de vie prive est rel. Mme si les renseignements ne sont pas utiliss mauvais escient, ils pourraient tre perdus, consults sans autorisation ou vols par des pirates informatiques expriments. Compte tenu du fait que lobjectif de la LPRPDE est de trouver un quilibre entre le droit des personnes la vie prive et les besoins lgitimes des organisations de recueillir, dutiliser et de communiquer des renseignements personnels une fin approprie, il est important de vrifier si cet objectif est atteint dans lenvironnement en volution et de dterminer comment la LPRPDE pourrait tre amliore pour mieux atteindre cet objectif.

POINTS DE PRESSION : LES DFIS LIS LAPPLICATION DE LA LPRPDE ET LES RECOMMANDATIONS POUR ASSURER LA CONFORMIT
Nous avons dgag quatre points de pression au cours des douze annes o nous avons supervis la conformit la LPRPDE et surveill lvolution du milieu. Ils portent principalement sur le modle dapplication actuel de la LPRPDE, compte tenu dun contexte international en volution et de notre capacit tenir les organisations responsables et exiger quelles fassent preuve de transparence en ce qui concerne leurs pratiques de traitement des renseignements personnels.

Point de pression 1 : Application

En vertu de la Loi, la commissaire la protection de la vie prive est une enquteure administrative 12 dote dun ventail de pouvoirs, dont la capacit dentreprendre ses propres enqutes et vrifications (avec des motifs raisonnables) ainsi que le pouvoir dexiger la production de preuves et dentrer sur les lieux dans le cadre de la ralisation dune enqute. La commissaire peut chercher rgler une plainte par le biais de la ngociation, de la persuasion et de la mdiation. Mme si elle peut encourager la conformit en nommant les organisations mises en cause sil est dans lintrt public de le faire, elle na aucun pouvoir excutoire direct. La commissaire peut seulement, dans certaines circonstances, demander la Cour fdrale dentendre certains lments soulevs dans les plaintes prsentes au Commissariat, ordonner au mis en cause de prendre des mesures pour corriger ses pratiques ou accorder des dommages-intrts au plaignant. La pertinence du modle actuel dapplication de la LPRPDE a fait lobjet de dbats avant lentre en vigueur de la loi et dans les annes suivantes. Mme si la question a t souleve durant le premier examen obligatoire de la loi en 2006, la commissaire la protection de la vie prive a alors choisi de ne pas proposer de changements la structure dapplication pour plusieurs raisons. Le Commissariat sortait peine dune priode dinstabilit, de surveillance et de capacit rduite, et on en tait encore aux dbuts de linterprtation et de lapplication de la LPRPDE. Au lieu de cela, le Commissariat a indiqu quil avait lintention de faire un plus grand usage de ses pouvoirs existants pour mener des vrifications, dposer des plaintes et avoir recours aux tribunaux pour encourager un plus grand respect de la loi. En plus denquter sur des milliers de plaintes prsentes par des personnes, la commissaire a, de sa propre initiative, lanc 38 enqutes relatives des plaintes et men trois vrifications dorganisations assujetties la LPRPDE depuis 2001. Toujours depuis 2001, des entreprises ont t nommes dans lintrt public 32 reprises et 17 poursuites ont t lances en justice. Lconomie du Canada dpend du commerce et de la circulation de linformation. La LPRPDE pourrait bien sappliquer plus dun million dentreprises au Canada 13. La mondialisation crant une conomie plus ouverte, le Commissariat ne traite toutefois plus uniquement avec des entreprises canadiennes. Le sige social de bon nombre de ces entreprises est situ dans dautres pays, qui ont tabli ou non leurs propres exigences rglementaires en matire de protection des renseignements personnels. Il est lgitime de se demander comment une petite entit disposant de ressources limites, comme le Commissariat, peut attirer lattention de ces

entreprises et les encourager activement se conformer la LPRPDE, alors quen ralit, le fait de contrevenir la loi canadienne en matire de protection de la vie prive entrane trs peu de consquences. Comme lindiquait le Comit ETHI dans son rapport : il importe que les Canadiens qui utilisent les services [mdias sociaux] de ces entreprises soient protgs par leurs propres lois et valeurs 14. Nous avons utilis les outils offerts par la Loi, et, dans certains cas, nous avons russi susciter un changement mais souvent aprs avoir investi dimportantes ressources et presque toujours aprs coup. Nous avons vu des organisations ignorer nos recommandations jusqu ce que la Cour soit saisie de laffaire. Dautres, au nom dune consultation avec le Commissariat, rpondent pour la forme nos proccupations, pour ensuite ignorer nos conseils. Rien dans la loi nincite les organisations investir dans la protection de la vie prive de faon notable, dans la mesure o elles peuvent toujours revenir sur leur entente dapporter des changements leurs pratiques et dcider de ne pas donner suite aux recommandations de la commissaire aprs lenqute ou la vrification. Les recommandations douces assorties de peu de consquences en cas de manquement la loi 15 ne sont plus efficaces dans un environnement qui volue rapidement et o les risques pour la vie prive sont la hausse. Il est temps de mettre en place des mesures incitatives financires pour veiller ce que les organisations assument de plus grandes responsabilits en ce qui a trait ladoption, ds le dpart, de mesures de protection adquates, et de prvoir des sanctions pour les organisations qui ne le font pas. En labsence de telles mesures, la commissaire la protection de la vie prive aura une capacit limite pour ce qui est de sassurer que les organisations protgent les renseignements personnels adquatement lre des mgadonnes. Le contexte national et international Plusieurs commissaires provinciaux ont le pouvoir de rendre des ordonnances, en plus des autres fonctions prescrites dans la loi qui rgit leurs activits, qui sont semblables celles du Commissariat. Ces autres fonctions concernent notamment la tenue denqutes, la ralisation de recherches ou la sensibilisation des entreprises ou du public aux questions de protection de la vie prive. Ce pouvoir nentrave pas la capacit des commissaires sacquitter dune vaste gamme de fonctions. De fait, cette multitude de rles est courante dans de nombreux organismes administratifs. Dans dautres juridictions, on constate une tendance confrer des pouvoirs dexcution de la loi plus forts, et imposer des pnalits et des amendes plus importantes. La Federal Trade Commission (FTC) des tats-Unis a ngoci de nombreux rglements financiers mdiatiss la suite datteintes la vie prive 16. Les autorits de protection des donnes du Royaume-Uni, de lIrlande, de la Nouvelle-Zlande et de lEspagne ont galement le pouvoir de rendre des ordonnances 17, le Royaume-Uni et lEspagne disposant en outre de la capacit dimposer une amende aux organisations. Au Royaume-Uni, ces pouvoirs dapplication de la loi plus grands nont pas empch la mise en place dune approche de type ombudsman. Des amendes sont en effet imposes seulement lorsquune mthode plus douce na pas fonctionn. La Privacy Act australienne a rcemment t modifie pour donner au commissaire la capacit daccepter des engagements excutoires et de sadresser la Cour fdrale en vue dimposer des amendes de plus de 1 million de dollars (australiens) pour une entreprise.

Le 25 janvier 2012, la Commission europenne a publi sa Proposition de rglement du Parlement europen et du Conseil relatif la protection des personnes physiques lgard du traitement des donnes caractre personnel et la libre circulation de ces donnes (rglement sur la protection des donnes). lheure actuelle, les pouvoirs dapplication de la loi varient grandement au sein de lUnion europenne. Pour favoriser une certaine uniformit des pouvoirs sur lensemble du continent, un aspect du rglement demande que les autorits de protection des donnes aient le pouvoir dmettre des ordonnances pour faire cesser certaines activits, corriger, effacer ou dtruire des donnes, et permettre aux personnes davoir accs leurs donnes. En plus de rendre obligatoire le signalement des atteintes la protection des donnes, le rglement propos permettrait chaque autorit de protection des donnes dimposer des sanctions administratives, allant du simple avertissement une amende 18. Lune des raisons pour lesquelles la LPRPDE a t adopte tait la cration dun mcanisme permettant au Canada doffrir un niveau de protection des renseignements personnels qui faciliterait lacheminement de renseignements personnels en provenance dtats membres de lUnion europenne au Canada. La Directive de lUnion europenne sur la protection des donnes actuelle, qui a t adopte en 1995 (et qui serait remplace par le rglement propos), renferme une disposition exigeant que les tats membres permettent les transferts de renseignements personnels un tiers pays comme le Canada, seulement si le tiers pays peut assurer un niveau adquat de protection de ces renseignements. Le concept de caractre adquat est conserv dans le rglement. Il reste dterminer les rpercussions que le rglement propos, sil est adopt dans sa forme actuelle, pourrait avoir sur la dtermination du caractre adquat de la capacit du Canada de protger les renseignements personnels, compte tenu de ltat actuel de la LPRPDE 19. Le risque de prendre du retard Dans le contexte de ces changements, le modle dapplication de la loi prvu par la LPRPDE semble de plus en plus dsuet. Lors de son entre en vigueur en 2000, la LPRPDE tait considre comme un chef de file parmi les lois en matire de protection des donnes parce quelle tait neutre sur le plan technologique et fonde sur les principes. Nous continuons de croire que cette approche de la LPRPDE constitue sa force. Au cours de la dernire dcennie, nous avons toutefois assist ladoption ailleurs dans le monde de nouvelles lois qui accordent aux autorits de protection des donnes plus de pouvoirs qui sont proportionnels aux risques accrus pour les renseignements personnels. Mme si la commissaire a, actuellement, le pouvoir de nommer une entreprise si cest dans lintrt public, ce qui peut inciter certaines entreprises adopter ses recommandations afin dviter la publicit ngative associe des pratiques relatives la protection des renseignements personnels qui contreviennent aux rgles, la dnonciation publique des entreprises dlinquantes nest ultimement quun moyen dencourager la conformit la loi. Compte tenu de la porte ou de la quantit de renseignements personnels dtenus par les organisations (particulirement celles qui oprent en ligne), il est difficile pour les personnes de voter avec leurs pieds et daller voir ailleurs lorsque des quantits croissantes de renseignements personnels sont dtenues par un nombre sans cesse plus petit dorganisations. Pour avoir une incidence significative sur la protection de la vie prive, le Canada doit se doter de pouvoirs comparables ceux des autres gouvernements qui vont de lavant et qui confrent leurs autorits de protection des donnes le pouvoir daccorder des dommages-intrts, dadministrer des amendes, de rendre des ordonnances et dexiger que les organisations

signalent les atteintes graves. Cela est particulirement ncessaire compte tenu du contexte de mondialisation du monde des affaires daujourdhui et du fait que les joueurs les plus puissants de lconomie numrique daujourdhui uvrent lchelle internationale. Le Canada ne peut se permettre daccuser du retard et de ne pouvoir imposer que des consquences minimales aux organisations qui ne respectent pas les lois fdrales sur la protection des renseignements personnels. Recommandation 1 : Renforcer lapplication de la Loi et encourager une plus grande conformit celle-ci Rformer la LPRPDE afin de pouvoir compter sur des pouvoirs dapplication plus solides. Cela pourrait comprendre des dommages-intrts lgaux (administrs par les tribunaux fdraux), ou accorder la commissaire le pouvoir dmettre des ordonnances ou dimposer des sanctions administratives pcuniaires, ou une combinaison de ces options.

Il existe un certain nombre doptions qui, sparment ou conjointement, pourraient renforcer le modle dapplication actuel et encourager une plus grande conformit la Loi, notamment un rgime de dommages-intrts lgaux joint aux dispositions rvisables 20 de la Loi indiques larticle 14 de la LPRPDE, administr par la Cour fdrale. Une autre option serait de confrer la commissaire le pouvoir dordonner aux organisations de poser ou de cesser de poser des gestes afin de se conformer la LPRPDE. Une dernire option consisterait confrer la commissaire le pouvoir dimposer des sanctions administratives pcuniaires dans les cas o cela serait justifi. Toutes ces options sont examines ci-dessous. A. Dommages-intrts lgaux La LPRPDE pourrait tre modifie pour confrer un tribunal le pouvoir dordonner des dommages-intrts dans le cas de certaines infractions. Conformment ce modle, des dommages-intrts seraient accords pour les infractions certaines dispositions de la LPRPDE, sans lobligation pour un demandeur de prouver une perte relle dcoulant de linfraction. Une fourchette de dommages-intrts pourrait tre tablie, et des montants minimum et maximum pourraient tre prvus pour les infractions des dispositions prcises. lintrieur de cette fourchette, les tribunaux pourraient valuer les dommages-intrts en sappuyant sur divers facteurs explicites prendre en considration. Dun point de vue stratgique, les dommages-intrts lgaux sont appropris dans les cas o il est difficile ou impossible pour le plaignant de prouver une perte quantifiable en raison de la violation de la loi. En tablissant une fourchette ou des montants, les dommages-intrts lgaux facilitent les dlibrations des tribunaux sur les montants appropris, particulirement dans le cas de pertes non financires, comme lhumiliation dcoulant dune atteinte la vie prive. Une certitude accrue relativement aux dommages-intrts pouvant tre accords pourrait encourager les plaignants faire respecter leurs droits devant les tribunaux dans des circonstances appropries (et dcourager les plaignants qui ont des attentes irralistes dintenter une poursuite en justice). Une certitude accrue dans les dispositions de la loi profiterait galement aux organisations, car elles sauraient ce quoi elles peuvent sexposer et seraient mieux mme dvaluer les risques et de prvoir les rsultats.

Les dommages-intrts lgaux pourraient permettre latteinte dobjectifs stratgiques semblables ceux qui sont viss par les rgimes de sanctions administratives pcuniaires (SAP), savoir encourager les organisations, sous forme de mesures incitatives financires, se conformer la LPRPDE. Il existe toutefois dimportantes diffrences entre ces deux types de mesures. Premirement, des dommages-intrts lgaux pourraient tre accords des victimes dactes dlictuels, alors que les sanctions administratives pcuniaires sont normalement dues au Trsor. Deuximement, en vertu dun rgime de dommages-intrts lgaux, la Cour fdrale continuerait dtre larbitre des dommages-intrts accords dans les limites prvues dans la loi selon une exprience et des procdures judiciaires bien tablies.

Exemples de rgimes de dommages-intrts lgaux La Loi sur le droit dauteur prvoit un rgime de dommages-intrts lgaux pour la violation du droit dauteur. Ce rgime a t modifi en 2012, de faon tablir des dommages-intrts minimum et maximum pour les infractions des fins commerciales et non commerciales. Pour chaque uvre pour laquelle linfraction est des fins commerciales, les dommages-intrts vont de 500 $ (minimum) 20 000 $ (maximum). En revanche, dans le cas des infractions des fins non commerciales, les dommages-intrts vont de 100 $ (minimum) 5 000 $ (maximum) pour toutes les uvres en cause dans linstance. Autre exemple, la Loi canadienne anti-pourriel prvoit des dommages-intrts lis un nouveau droit priv daction pour toute violation ou des modifications connexes la Loi sur la concurrence ou la LPRPDE. Les dommages-intrts vont de 200 $ pour chaque infraction jusqu un maximum de 1 million de dollars pour chaque journe durant laquelle il y a eu infraction, selon la disposition en question. Il sagit dun point souligner tant donn que le Parlement a dj estim quil tait appropri de crer un rgime de dommages-intrts lgaux applicable diverses infractions la LPRPDE.

B. Pouvoir de rendre des ordonnances Si elle avait le pouvoir de rendre des ordonnances, la commissaire pourrait mettre une ordonnance excutoire obligeant une organisation poser ou cesser de poser des gestes afin de prvenir une infraction ou de corriger les consquences dune infraction qui a dj eu lieu. En dautres mots, la commissaire serait en mesure dordonner ce quelle ne peut actuellement que recommander. Dans le cadre du modle envisag (et comme cest normalement le cas pour les autres tribunaux administratifs fdraux qui ont le pouvoir de rendre des ordonnances), dans le cas o une ordonnance ne serait pas respecte, le plaignant ou la commissaire pourrait enregistrer lordonnance auprs de la Cour fdrale et veiller ce quelle soit excute comme une ordonnance de la Cour, conformment aux pouvoirs lis la sanction dun outrage de la Cour. Pour sa part, lorganisation pourrait demander un contrle judiciaire. La porte des dispositions pour lesquelles la commissaire aurait le pouvoir de rendre des ordonnances serait une question de politique lgislative.

10

Exemples de pouvoir de rendre des ordonnances dans les lois provinciales sur la protection des donnes LAlberta, la Colombie-Britannique et le Qubec se sont dots de lois qui rgissent les activits du secteur priv et qui sont considres comme essentiellement similaires la LPRPDE. En vertu de ces lois, des ordonnances peuvent tre imposes lendroit dorganisations du secteur priv pour certains gestes poss. Les commissaires de ces provinces ont galement dautres fonctions qui leur permettent de jouer de nombreux rles : ducateur, arbitre, excuteur, dfenseur, etc.

C. Sanctions administratives pcuniaires (SAP) Les sanctions administratives pcuniaires (SAP) sont des sanctions civiles ou des amendes qui peuvent tre imposes dans les cas de non-conformit la loi. Une SAP nest pas de nature punitive. Elle a surtout pour but de favoriser la conformit ou, inversement, de prvenir la non-conformit, grce un incitatif montaire. Plus quun simple prix payer pour faire des affaires , les SAP reprsentent un moyen rapide et efficace damener les organisations se conformer la loi. Les SAP sont imposes par lorganisme qui applique la loi, plutt que par les tribunaux. Si elles ne sont pas payes, elles deviennent des crances de la Couronne qui peuvent tre recouvres au moyen dune poursuite civile. La dcision dimposer une SAP, comme toute autre dcision dun organe administratif, pourrait faire lobjet dun contrle judiciaire. Les SAP peuvent tre considres comme une application distincte du pouvoir de rendre des ordonnances, mais elles se distinguent des autres ordonnances excutoires par le fait quelles obligent lorganisation vise payer un montant dargent dtermin. Les rgimes lgislatifs de SAP prcisent habituellement que la norme de preuve applicable est celle de la prpondrance des probabilits, et ils fixent les montants maximums et minimums; ils peuvent aussi comprendre une liste de critres utiliser pour dterminer limportance de la SAP, ou faire tat des motifs qui peuvent ou ne peuvent pas tre invoqus comme dfenses dans les procdures relatives la SAP. Les rgimes lgislatifs de SAP se caractrisent aussi parfois par des rgles procdurales, des dlais, et des mcanismes dexamen ou dappel particuliers.

11

Exemples de rgimes comportant des sanctions administratives pcuniaires (SAP) Depuis que la LPRPDE a t adopte, plusieurs rgimes de SAP ont t mis en place au Canada. Le CANAFE, par exemple, a t cr en 2000 pour faciliter la dtection, la prvention et la dissuasion du blanchiment d'argent et du financement des activits terroristes. En 2008, il a obtenu le pouvoir dimposer une SAP aux entits dclarantes qui ne se conforment pas la Loi sur le recyclage des produits de la criminalit et le financement des activits terroristes. La Loi canadienne anti-pourriel contient aussi un rgime de SAP. En vertu de cette loi, le Conseil de la radiodiffusion et des tlcommunications canadiennes (CRTC) pourra imposer des sanctions administratives pcuniaires en cas dinfraction. Le montant maximal sera de 1 million de dollars par infraction dans le cas dun particulier, et de 10 millions par infraction dans les autres cas (p. ex. les personnes morales). Les entreprises qui enfreignent les dispositions connexes de la Loi sur la concurrence lorsquelles envoient des messages lectroniques peuvent se voir imposer une pnalit pouvant atteindre 10 millions de dollars pour une premire infraction et 15 millions de dollars pour les infractions subsquentes. Contrairement ses partenaires dans lapplication de la Loi canadienne anti-pourriel, le Commissariat na pas la capacit de solliciter ou dimposer des sanctions administratives pcuniaires en tant quoutil dapplication de la loi. Parmi les autres agents du Parlement, la commissaire aux conflits d'intrts et l'thique a le pouvoir dimposer une SAP aux titulaires de charge publique principaux qui ne respectent pas certaines exigences de la Loi sur les conflits d'intrts lies la production de rapports. Aux termes de la Loi, lamende maximale est de 500 $ et, jusqu maintenant, les amendes imposes allaient de 100 $ 300 $. La Loi sur les conflits d'intrts fait actuellement lobjet dun examen, et il appert que la commissaire aux conflits dintrts et lthique a demand que le rgime de SAP soit largi pour inclure les violations des dispositions de fond de la loi et que le montant maximal des amendes soit suprieur 500 $ pour certaines infractions 21.

12

Point de pression 2 : Atteintes la scurit des donnes et absence de mcanismes rendant obligatoire le signalement
Le fait que les organisations dtiennent de vastes quantits de renseignements personnels peut entraner des risques graves pour la protection de la vie prive des personnes. Les cas dutilisation inattendue, indsirable ou intrusive rsultant de lacunes au chapitre de la scurit et de la protection des renseignements personnels dans les pratiques des organisations 22 ont normment augment. Certes, ces atteintes ne sont pas nouvelles. Ce qui a chang, cependant, mme depuis le premier examen de la LPRPDE entrepris en 2006, cest la nature, lventail et le volume des renseignements vulnrables 23. Les atteintes reprsentent une grave menace pour les renseignements personnels de la population canadienne et pour les organisations. Elles risquent de porter atteinte aux mcanismes de protection de lidentit et aux rputations, et les parties concernes peuvent devoir assumer des cots levs pour y remdier. Au cours des dernires annes, il y a eu de nombreuses atteintes la scurit des donnes trs mdiatises au Canada et ltranger qui ont mis en pril la confidentialit des renseignements personnels des Canadiennes et des Canadiens. Ces atteintes peuvent occasionner de multiples effets dommageables, comme le vol didentit, des pertes financires, des cotes de crdit ngatives et mme des prjudices physiques. Si certaines recherches semblent indiquer que, globalement, on sattend ce que les organisations augmentent leurs dpenses en matire de scurit des TI afin de protger les donnes quelles dtiennent contre le vol et les attaques 24, dautres donnent penser que les organisations, particulirement au Canada, naffectent pas assez de ressources ce domaine 25. Nous pensons quil faut accorder plus dattention ces questions. Recommandation 2 : Mettre en lumire les atteintes la scurit des donnes Obliger les organisations signaler les atteintes la scurit des renseignements personnels la commissaire et aviser les personnes concernes, sil y a lieu, afin que les mesures dattnuation appropries puissent tre prises en temps opportun.

Au Canada, la loi sur la protection des renseignements personnels qui rgit les activits du secteur priv de lAlberta, la Personal Information Protection Act, et certaines lois provinciales sur la protection des renseignements personnels en matire de sant, contiennent des dispositions rendant obligatoires les signalements datteinte la vie prive. Cependant, les organisations assujetties la LPRPDE ne sont pas tenues de signaler les atteintes la commissaire fdrale la protection de la vie prive. Si certaines organisations signalent volontairement les incidents, et informent les personnes concernes de latteinte la scurit des donnes (dans les cas appropris), beaucoup ne le font pas, et les personnes concernes se retrouvent ainsi vulnrables. Tant que le signalement des atteintes ne sera pas obligatoire, ce qui permettrait de connatre le nombre, la nature et lampleur des atteintes la scurit des donnes, il sera impossible de se faire une ide prcise du portrait densemble.

13

Ce qui est clair cependant, cest que la situation actuelle cre des ingalits entre les organisations. Celles qui signalent les incidents risquent de voir leur rputation entache et davoir assumer les frais connexes, tandis que celles qui se taisent peuvent ventuellement sen tirer sans prjudice pour leur rputation et leurs bnfices. Il convient galement de mentionner les attentes de la population canadienne. Selon un sondage effectu en 2012 par le Commissariat, 59 % des rpondants pensent quil est peu probable quune organisation les avise en cas datteinte la scurit des renseignements personnels. Pourtant, presque toutes les personnes sondes (97 %) disaient vouloir tre informes dans un tel cas 26. Ces dernires annes, dautres instances internationales ont mis au point de nouvelles approches pour faire face aux atteintes graves la scurit des renseignements personnels, et elles ont pris des mesures pour consolider leurs cadres de protection de la vie prive. Les tats-Unis, par exemple, ont t un chef de file dans llaboration de lois rendant obligatoire le signalement des atteintes, et la plupart des tats ont adopt de telles lois. Comme nous lavons mentionn prcdemment, le Royaume-Uni a aussi le pouvoir dimposer des amendes aux organisations dans les cas datteinte grave. Au dbut de 2013, le Commissariat linformation du Royaume-Uni a inflig une amende de 250 000 Sony cause dune atteinte la scurit des renseignements personnels de millions dutilisateurs de la Playstation. Tous les tats membres de lUnion europenne doivent adopter des lois sur le signalement en cas datteinte qui sappliquent aux entreprises de tlcommunications et aux autres fournisseurs de services de communications lectroniques. Le rglement propos par lUnion europenne largirait la porte de ces lois pour quelles sappliquent dautres organisations. Ladoption de dispositions rendant obligatoire le signalement des atteintes 27 mettrait donc la LPRPDE au diapason des lois de nombreuses autres juridictions. En plus dobliger les organisations signaler les atteintes au Commissariat et informer les personnes concernes conformment aux seuils applicables, le dfaut daviser devrait faire lobjet dune disposition rvisable tout comme le dfaut dtablir des mesures de scurit et sujet une application plus rigoureuse, tel que dcrit la section 1, ci-dessus.

14

Point de pression 3 : Communication en vertu dune autorit lgitime et manque de transparence


Aux termes de lalina 7(3)c.1) de la LPRPDE, une organisation peut communiquer des renseignements personnels une institution gouvernementale ou une subdivision dune telle institution linsu de lintress et sans son consentement si linstitution a demand obtenir le renseignement en mentionnant la source de lautorit lgitime tayant son droit de lobtenir et le fait, selon le cas : (i) (ii) quelle souponne que le renseignement est affrent la scurit nationale, la dfense du Canada ou la conduite des affaires internationales; que la communication est demande aux fins du contrle dapplication du droit canadien, provincial ou tranger, de la tenue denqutes lies ce contrle dapplication ou de la collecte de renseignements en matire de scurit en vue de ce contrle dapplication; quelle est demande pour lapplication du droit canadien ou provincial.

(iii)

Cette disposition a t insre aux tapes finales de lexamen de la LPRPDE par le Parlement, en 1999, la demande des autorits policires et gouvernementales, pour faire en sorte que les relations de longue date avec les entreprises puissent tre maintenues. lheure actuelle, en vertu de cette disposition, les entreprises peuvent contester ou rejeter de telles demandes prsentes en vertu de la LPRPDE; beaucoup lont fait lorsquelles croyaient que lautorit comptente devait dabord obtenir une ordonnance de la cour. Mais dautres opposent parfois moins de rsistance tant donn les termes gnraux de lalina 7(3)c.1) tel quil est libell actuellement. Plus prcisment : Le terme institution gouvernementale nest pas dfini et pourrait sappliquer un grand nombre dorganisations provinciales ou fdrales; le terme autorit lgitime nest pas dfini non plus; Le seuil pour le critre aux fins du contrle dapplication du droit canadien, provincial ou tranger, de la tenue denqutes lies ce contrle dapplication ou de la collecte de renseignements en matire de scurit en vue de ce contrle dapplication dcrit des paramtres gnraux pour des demandes ventuelles; La formule application du droit canadien ou provincial est aussi vague.

Nous navons aucun moyen de connatre avec certitude le nombre, lampleur, la frquence ou les raisons justifiant de telles communications, mais nous comprenons quils sont importants. Aucune disposition noblige les organisations rendre compte de ces communications, de sorte que les Canadiennes et les Canadiens qui demandent accs leurs renseignements personnels ne seraient probablement pas en mesure de savoir si ceux-ci ont t divulgus en vertu de lalina 7(3)c.1), tant donn que le paragraphe 9(2) de la LPRPDE ne permet pas de donner suite leur demande.

15

Ce rgime est inquitant du point de vue de la protection de la vie prive puisquil ny a pas de transparence ni de rgles tablies concernant les renseignements personnels qui peuvent ou qui devraient tre communiqus aux institutions gouvernementales sans lobtention dune ordonnance dune cour ou dun mandat. Compte tenu de la quantit de renseignements personnels dtenus par les organisations, les risques pour la vie prive dcoulant des communications sans mandat sont considrables et mritent un nouvel examen. Recommandation 3 : Lever le voile sur les communications autorises Exiger des organisations quelles rendent public le nombre de communications aux fins dapplication de la loi effectues en vertu de lalina 7(3)c.1), linsu de lintress et sans son consentement, et sans mandat, afin de faire la lumire sur la frquence laquelle on invoque cette exception et sur lutilisation qui en est faite.

Les Canadiennes et les Canadiens ont exprim des inquitudes importantes au sujet de laccs sans mandat aux renseignements personnels par les organismes chargs de lapplication de la loi. Il est de plus en plus vident quune plus grande transparence est requise en ce qui a trait cette disposition. Les organisations devraient, tout le moins, tre obliges de tenir un registre des donnes de base se rapportant ces communications, et elles devraient tre tenues de rendre public le nombre de communications quelles effectuent chaque trimestre. Cette information pourrait tre affiche sur le site Web des organisations. Pour ce qui est de la transparence, certaines organisations ont dj commenc montrer la voie 28.

16

Point de pression 4 : Faire preuve de responsabilit

La LPRPDE a t lune des premires lois sur la protection des donnes faire explicitement rfrence au principe de la responsabilit et fournir des prcisions ce sujet. La LPRPDE a beaucoup t influence par les Lignes directrices rgissant la protection de la vie prive et les flux transfrontires de donnes de caractre personnel de lOrganisation de coopration et de dveloppement conomiques (OCDE), publies en 1980, qui parlaient pour la premire fois du principe de la responsabilit 29. Ce principe a t inclus dans le cadre de protection de la vie prive de lAPEC (Coopration conomique Asie-Pacifique), et le concept de responsabilit a aussi suscit de lintrt en Europe. Le nouveau cadre juridique propos par lUnion europenne contient une disposition sur la responsabilit, y compris une obligation dtre en mesure de dmontrer sa responsabilit. Les intrts commerciaux des tats-Unis ont aussi dirig le dbat sur la responsabilit ces dernires annes, dans lespoir de faciliter les transferts internationaux de renseignements personnels avec lEurope. Bon nombre des mmes parties se sont intresses lapproche et au modle canadiens. Le Commissariat, tout comme ses homologues de lAlberta et de la Colombie-Britannique, a publi des lignes directrices 30 sur ce que devrait contenir le programme de gestion de la protection de la vie prive dune organisation responsable. Conformit proactive Mme si la LPRPDE exige des organisations quelles rendent des comptes quant leurs pratiques et leurs procdures de protection des renseignements personnels, et quelle prcise comment le faire, elle contient trs peu dlments pour favoriser et renforcer la conformit proactive. Nos enqutes ont trop souvent mis jour des organisations qui avaient maintes reprises omis dadapter leurs processus de gouvernance de la protection des renseignements personnels afin de rsoudre certains problmes et ce, parfois, mme aprs que nous ayons fait une enqute leur sujet. Certains de ces problmes auraient saut aux yeux si le produit ou le service avait t examin plus attentivement ds le dpart. Par exemple : Une premire plainte contre une grande entreprise de vente au dtail a t dpose en octobre 2004; une autre plainte contre la mme entreprise a t dpose par une autre personne en fvrier 2006. Les deux plaintes portaient sur linsuffisance des mesures prises pour supprimer les renseignements personnels des appareils qui avaient t retourns lentreprise puis revendus. Dans les deux cas, la commissaire avait formul des recommandations que lentreprise avait accept de mettre en uvre. Aprs des reportages dans les mdias, en 2009, au sujet de la mme entreprise et du mme

17

problme, le Commissariat a effectu une vrification. Ce nest quau terme de cette vrification, en 2011 prs de sept ans aprs le dpt de la premire plainte que lentreprise sest rellement occupe du problme.

Il y a eu plusieurs plaintes concernant des activits inappropries de la part de certains employs du secteur financier. Ces employs semblent faire fi des procdures de lentreprise pour protger les renseignements personnels des clients, en dpit du rgime de gestion de la protection de la vie prive de leur employeur. Si on prend chaque cas isolment, il semble sagir dune erreur ponctuelle dun employ mais, si on les prend ensemble, il appert que ce sont des erreurs rptes systmatiquement auxquelles il faut remdier plus efficacement en renforant les structures et les processus de gouvernance. Plus dune fois, certaines organisations ont dmontr que, dans leur empressement offrir des produits et des services, elles navaient pas prvu les nombreuses difficults qui en dcouleraient sur le plan de la protection de la vie prive et navaient pas pris les mesures ncessaires pour y faire face ds ltape de la conception. Dans une tude sur les fuites sur Internet , le Commissariat a constat quun site test sur quatre soit communiquait, son insu, des informations des tierces parties, soit ninformait pas clairement les Canadiennes et les Canadiens quil transfrait des renseignements personnels des fournisseurs de services 31.

Nous pourrions donner dautres exemples. notre avis, et compte tenu du fait que lconomie numrique repose en bonne partie sur la confiance et que les renseignements personnels y jouent un rle essentiel, la protection de la vie prive dans les pratiques commerciales ne reoit pas limportance quelle mrite. Vu la complexit du traitement des renseignements personnels, lnorme quantit de renseignements en cause, et la ncessit pour les organisations davoir la flexibilit de mettre en uvre les principes de protection de la vie prive noncs dans la Loi, les organisations doivent crer de meilleurs programmes de gestion de la protection de la vie prive, et elles doivent les appliquer avec diligence et de manire systmatique. Les organisations doivent accorder plus dattention aux questions lies la protection de la vie prive, de manire ce que les renseignements personnels des Canadiennes et des Canadiens soient mieux protgs et que lon vite la gne et les dpenses aprs le fait. Il faut accorder une plus grande place la protection de la vie prive pour appuyer le travail des professionnels de la protection des renseignements personnels au sein des organisations. Responsabilit lgard de la mise en uvre des recommandations Le suivi des organisations qui ont accept de mettre en uvre les recommandations dcoulant dune enqute peut entraner des facteurs dincertitude et des dfis administratifs pour le Commissariat. Veiller ce que les organisations respectent leurs engagements lgard des recommandations est devenu un fardeau de plus en plus lourd pour le Commissariat, et requiert beaucoup de temps et de ressources. Mme si, techniquement parlant, nos enqutes sont termines au moment o la commissaire publie ses conclusions, les Canadiennes et les Canadiens ont besoin de savoir que les organisations prennent leurs responsabilits au srieux une fois lenqute

18

termine. Surveiller et analyser les actions dune entreprise par la suite peut cependant prendre autant de temps que la ralisation dune enqute. Par exemple, le suivi concernant Facebook, aprs la publication des conclusions de notre enqute en 2009, a ncessit des ressources considrables et pris toute une anne. Le suivi de Nexopia vaut aussi la peine dtre mentionn. Plus dun an aprs la publication des conclusions, nous faisions le suivi de lengagement quavait pris lentreprise de mettre en uvre nos 24 recommandations. Aux termes de la LPRPDE, la commissaire ou le plaignant a 45 jours pour demander la Cour fdrale de faire appliquer les recommandations de la commissaire. Il arrive souvent que les recommandations complexes ne puissent pas tre appliques dans le dlai de 45 jours, particulirement dans les cas exigeant des solutions technologiques. Bien que les demandes puissent tre prsentes aprs le dlai de 45 jours, il faut pour cela obtenir la permission de la Cour. Recommandation 4 : Joindre le geste la parole Modifier le principe de la responsabilit nonc lannexe 1 pour : indiquer que les organisations ont lobligation de dmontrer, sur demande, quelles prennent leurs responsabilits; inclure le concept d ententes excutoires ; et assujettir lexamen de la Cour fdrale certaines dispositions relatives la responsabilit.

Le principe de la responsabilit, tel quil est nonc dans la LPRPDE, pourrait tre renforc afin damliorer la protection des renseignements personnels des Canadiennes et des Canadiens. Dmonstration de la conformit Lun des fondements de la responsabilit, cest que les organisations doivent tre en mesure de dmontrer aux organismes de surveillance, sur demande, quelles ont mis en place un programme pour sassurer que leurs pratiques sont conformes la loi sur la protection des renseignements personnels. Sous sa forme actuelle, la LPRPDE ne prvoit pas une telle obligation. Nous estimons que la loi devrait tre modifie pour exiger des organisations quelles dmontrent, la demande de la commissaire, quelles ont mis en place un programme de protection de la vie prive. Ce changement harmoniserait la loi avec lorientation de lUnion europenne ce chapitre. Il est peut-tre temps dexaminer comment le concept de la responsabilit pourrait servir de mesure incitative en vue dune plus grande conformit la LPRPDE. Une organisation sera davantage porte prendre ses responsabilits, et par consquent ses obligations en matire de protection de la vie prive, au srieux si les consquences dun manquement cet gard se rpercutent sur ses bnfices. Exiger des organisations quelles dmontrent quelles sont responsables pourrait les inciter vraiment joindre le geste la parole. Par exemple, en cas denqute ou datteinte la scurit des renseignements personnels, lexistence dun programme de gestion de la protection de la vie prive 32 qui fonctionne manifestement et qui est jour (et qui devrait comprendre des valuations des facteurs relatifs la vie prive) pourrait constituer un facteur attnuant au moment de lvaluation des dommages.

19

On pourrait aussi tudier la question des marques de fiabilit et des certifications par un tiers. Selon ces formules, une organisation montre quelle se conforme certaines pratiques pour obtenir la certification ou la note voulue. Ces formules ont cependant fait lobjet de critiques en raison de labsence dun mcanisme dapplication. Ententes excutoires La LPRPDE devrait tre modifie afin dintgrer explicitement le concept d ententes excutoires , qui ferait en sorte quune organisation, au terme dune enqute, accepterait de se conformer aux recommandations de la commissaire et de dmontrer quelle sy est conforme dans un laps de temps dtermin. La Loi pourrait aussi tre modifie pour indiquer les recours du Commissariat lorsquune organisation ne respecte pas ses engagements. De cette faon, on pourrait amliorer la protection des renseignements personnels et utiliser avec plus defficacit et defficience les ressources publiques du Commissariat. Si les organisations avaient clairement lobligation de dmontrer quelles mettent en uvre les recommandations du Commissariat et, lorsquelles ne le font pas, sil y avait des options claires en matire de recours, il y aurait moins dincertitude et le fardeau du Commissariat en ce qui concerne le suivi sen trouverait peut-tre allg. Autres changements possibles Une autre modification possible la LPRPDE qui permettrait de renforcer la responsabilit organisationnelle et de lui donner un effet positif consisterait faire en sorte quun plus grand nombre des principes relatifs la responsabilit noncs lannexe 1 figurent dans la liste des dispositions rvisables numres larticle 14, qui peuvent faire lobjet dun examen par la Cour fdrale. Actuellement, seul le principe 4.1.3 peut faire lobjet dun examen 33.

20

CONCLUSION
Le Parlement a adopt la LPRPDE pour permettre lconomie numrique de prosprer en aidant les Canadiennes et les Canadiens se sentir en scurit lorsquils utilisent Internet pour faire des affaires et se renseigner. Cest une loi qui est neutre sur le plan technologique et qui est fonde sur des principes. Ce sont l des caractristiques quil faut conserver alors que nous avanons dans le XXIe sicle. Toutefois, il est de plus en plus clair notre avis que lquilibre vis par la LPRPDE nexiste plus. Trop souvent, le droit la vie prive des personnes est supplant par les besoins oprationnels des organisations. cette tape de lvolution de la LPRPDE, il faut des incitatifs pour encourager les organisations se conformer rigoureusement au respect de la vie prive ds les premires tapes de la conception dun produit ou dun service, et des sanctions devraient tre imposes lorsque les choses tournent mal. Compte tenu des changements remarquables dans la faon dont les renseignements personnels sont recueillis, utiliss et communiqus par les organisations, ainsi que de la dimension mondiale de lconomie numrique daujourd'hui, il faut renforcer la loi fdrale de protection des renseignements personnels dans le secteur priv pour la rendre semblable aux lois sur la protection des renseignements personnels qui ont t adoptes ailleurs au Canada et dans le monde. Il est dans lintrt des consommateurs et des entreprises de soutenir une conomie numrique florissante laquelle les gens peuvent participer activement, en sachant que leurs renseignements personnels seront protgs.

21

NOTES EN FIN DE TEXTE


1

Du site Web dIndustrie Canada, Protection des renseignements en affaires, Commerce lectronique au Canada.
2

Tir des notes pour une allocution de lhonorable John Manley, prsentation devant le Comit snatorial charg dtudier le projet de loi C-6, 2 dcembre 1999. La LPRPDE ne sapplique pas aux organisations qui recueillent, utilisent ou communiquent des renseignements personnels uniquement dans les provinces qui ont une loi essentiellement similaire lAlberta, la Colombie-Britannique et le Qubec (ainsi que lOntario, le Nouveau-Brunswick et Terre-Neuve-et-Labrador, lgard des renseignements personnels sur la sant recueillis, utiliss et communiqus par les dpositaires de renseignements sur la sant). La LPRPDE sapplique dautres activits commerciales dans les trois dernires provinces. Le cas chant, cest la loi provinciale essentiellement similaire qui sappliquera au lieu de la LPRPDE, mme si la LPRPDE continue de sappliquer aux transferts interprovinciaux ou internationaux de renseignements personnels et aux renseignements personnels dtenus par les entreprises fdrales.
4 3

Protection de la vie prive et mdias sociaux lre des mgadonnes. Canadians Internet usage nearly double the worldwide average [en anglais seulement]. 2.5 Quintillon Bytes Created Each Day, Calculated ViaWest [en anglais seulement]. Bringing smarter computing to big data [en anglais seulement].

Par exemple, avant son achat en 2012 par Facebook, Instagram, un site dhbergement de photos, comptait environ 13 employs. En 2011, Instagram avait cinq millions dutilisateurs.

How companies learn your secrets , Charles Duhigg, New York Times, 16 fvrier 2012 [en anglais seulement].
10

Voir Sondage auprs des Canadiens sur les enjeux lis la protection de la vie prive.

11

Page 7 du Rapport du Comit permanent de laccs linformation, de la protection des renseignements personnels et de lthique : Protection de la vie prive et mdias sociaux lgard des mgadonnes.
12

Canada (commissaire la protection de la vie prive) c. Blood Tribe Department of Health, [2008] 2 R.C.S. 574, 2008 CSC 44.

13

Le Registre des entreprises ne comptabilise que les entreprises qui rpondent au moins un des critres suivants : compter au moins un employ rmunr (versement de retenues salariales lAgence du revenu du Canada ARC), avoir un chiffre daffaires annuel dau moins 30 000 $ ou tre constitue en socit et avoir produit au moins une dclaration fdrale de revenus des socits au cours des trois dernires annes. Le Canada comptait environ 2 428 270 entreprises si on retire les entreprises du Qubec, de lAlberta et de la Colombie-Britanique, 1 217 410 entreprises sont assujetties la LPRPDE.
14

Page 8 du Rapport du Comit permanent de laccs linformation, de la protection des renseignements personnels et de lthique : Protection de la vie prive et mdias sociaux lgard des mgadonnes. Mme si une personne peut dsormais poursuivre une entreprise en justice, les dommages-intrts accords en vertu de la LPRPDE ce jour ont t faibles.
15

22

16

Google a accept de payer une amende de 22,5 millions de dollars pour rgler les accusations dposes par la FTC pour de fausses dclarations auprs des utilisateurs du navigateur Safari dApple concernant le placement de fichiers tmoins, en violation dune entente antrieure avec la FTC portant sur les pratiques de confidentialit de Google. [traduction, en anglais seulement].
17

Cette liste nest pas exhaustive. Ces renseignements taient jour en date du 8 mai 2013.

18

Une bauche de rapport de la Commission des liberts civiles, de la justice et des affaires intrieures du Parlement de lUE propose des modifications au rglement qui exigeraient que lorganisme de contrle de lautre pays dispose de pouvoirs de sanction suffisants pour arriver une constatation du niveau de protection adquat. La Commission et quatre autres comits font des commentaires sur le rglement. Lexamen du rglement se poursuit.
20

19

En vertu de larticle 14 de la LPRPDE, un plaignant peut adresser la Cour fdrale une demande daudience pour toute question pour laquelle il a port plainte ou pour toute question traite dans le rapport de conclusions denqute de la commissaire. Une telle demande doit porter sur des articles prcis de la LPRPDE ou des principes tablis lannexe 1, qui sont indiqus larticle 14. Ils sont dcrits comme des dispositions rvisables .

21

Voir la page 71 du mmoire de la commissaire prsent au Comit ETHI, o on propose que les pnalits maximales dans certains cas (en loccurrence les contraventions aux rgles de fond dans les cas o une tude ne simpose pas puisquil est clair quil y a eu contravention) pourraient tre suprieures la limite actuelle de 500 $ .
22

OCDE (2011), The Evolving Privacy Landscape: 30 Years After the OECD Privacy Guidelines, OECD Digital Economy Papers, no 176, Publications de l'OCDE [en anglais seulement].
23

Dans un cas datteinte la scurit des donnes visant Sony, 77 millions de comptes dutilisateurs contenant des noms, des adresses et peut-tre des donnes relatives aux cartes de crdit ont t vols [en anglais seulement].
24

Global security spending to hit $86B in 2016 [en anglais seulement].

25

Le Canada est en retard sur la plupart des pays en ce qui concerne les innovations dans le domaine de la scurit. En effet, peine plus de 5 % des dpenses ont t consacres aux nouvelles technologies et aux processus de gestion ciblant la scurit de linformation au cours des 12 derniers mois. [traduction]
26

Voir Sondage auprs des Canadiens sur les enjeux lis la protection de la vie prive.

Le projet de loi C-12 contient des dispositions concernant le signalement obligatoire des atteintes. Au moment o le prsent document est rdig, le projet de loi en est ltape de la deuxime lecture.
28

27

Voir les sites Googles Transparency Report [en anglais seulement], Microsofts 2012 Law Enforcement Requests Report [en anglais seulement], et Twitters Transparency Report [en anglais seulement]. Il semble quune rflexion plus pousse sur la responsabilit pourrait faire partie de lexamen de ces lignes directrices, qui est en cours. Voir Terms of Reference for the Review of the OECD Guidelines Governing the Protection of Privacy and Transborder Data Flows of Personal Data, 31 octobre 2011 [en anglais seulement].
30 29

Voir Un programme de gestion de la protection de la vie prive : la cl de la responsabilit.

23

31

Voir Projet de recherche du Commissariat la protection de la vie prive du Canada concernant les fuites sur Internet . Pour de plus amples renseignements sur ce que le Commissariat considre comme un solide programme de gestion de la protection de la vie prive, voir Un programme de gestion de la protection de la vie prive : la cl de la responsabilit, publi par le Commissariat et les commissariats linformation et la protection de la vie prive de lAlberta et de la Colombie-Britannique en avril 2012. En vertu du principe 4.1.3, une organisation est responsable des renseignements personnels quelle a en sa possession ou sous sa garde, y compris les renseignements confis une tierce partie aux fins de traitement. Lorganisation doit, par voie contractuelle ou autre, fournir un degr comparable de protection aux renseignements qui sont en cours de traitement par une tierce partie.
33 32

24