Lun. au mer., 10h-16h, H de l'Est
1.855.281.5499 (sans frais)

Vos obligations pour assurer la protection des renseignements personnels conformément aux lois canadiennes et provinciales

Data & Relationship Management

Imran Ahmad and Eloise GagneÉcrit par: Imran Ahmad and Eloïse Gagné, Miller Thomson

Les organisations à but non lucratif (« OBNL ») recueillent, utilisent et communiquent une quantité grandissante de renseignements personnels (par exemple, des informations sur leurs donateurs, employés, bénévoles etc.) dans le cadre de leurs opérations au Canada. Il devient alors essentiel que les OBNL s’assurent que leur traitement des renseignements personnels se fasse en conformité avec les lois applicables.

Cadre juridique fédéral

De manière générale, au Canada, la protection des renseignements personnels est régie par une série de lois provinciales et fédérales qui ont pour objectif d’assurer le respect du droit à la vie privée des individus.

La Loi sur la protection des renseignements personnels et les documents électroniques (la « Loi fédérale ») s’applique à toute organisation qui recueille, utilise ou communique des renseignements personnels dans le cadre d’activités commerciales. Une activité commerciale est une activité régulière ainsi que tout acte isolé qui revêtent un caractère commercial du fait de leur nature, y compris la vente, le troc ou la location de listes de donateurs, d’adhésion ou de collecte de fonds. Cela veut dire que la Loi fédérale ne s’applique pas automatiquement aux OBNL, mais bien uniquement à celles exerçant des activités commerciales. Tel qu’expliqué par le Commissariat à la protection de la vie privée au Canada : « La collecte de droits d'adhésion, l'organisation d'activités de club, l'établissement d'une liste de noms et d'adresses de membres et l'envoi de bulletins de nouvelles n'entrent pas dans la définition d'activités commerciales, et il en est de même pour les collectes de fonds. Il arrive toutefois que certains clubs, par exemple de nombreux clubs de golf et d'athlétisme, prennent part à des activités commerciales assujetties à la Loi. »

Certaines distinctions provinciales

La Loi fédérale ne s’applique pas non plus aux organisations qui exercent leurs activités exclusivement à l’intérieur d’une province qui s’est dotée d’une loi essentiellement similaire à la Loi fédérale, à moins que n’intervienne un transfert interprovincial ou international de renseignements personnels. Le Québec, l’Alberta et la Colombie-Britannique ont adopté des lois considérées similaires et des organisations situées dans ces provinces pourraient être contraintes à d’autres obligations en vertu de ces lois.

Reprenant le libellé de la Loi fédérale, le Personal Information Protection Act (la « Loi albertaine ») s’applique dans le cas où une OBNL collecte, utilise ou divulgue de l’information dans le contexte de toute activité commerciale menée par l’organisation. Plusieurs critères retenus afin d’identifier ce qui constitue une activité commerciale en vertu de cette loi s’assimilent à ceux développés pour la Loi fédérale.

Au Québec, la Loi sur la protection des renseignements personnels dans le secteur privé (la « Loi québécoise ») trouve application lorsque des renseignements sont recueillis, détenus, utilisés ou communiqués à des tiers à l’occasion de l’exploitation d’une entreprise au sens de l’article 1525 du Code civil du Québec, soit l’exercice, par une ou plusieurs personnes, d’une activité économique organisée, qu’elle soit ou non à caractère commercial, consistant dans la production ou la réalisation de biens, leur administration ou leur aliénation, ou dans la prestation de services.

Il ressort de ces définitions que les termes « activités commerciales » et « exploitation d’une entreprise » ont un sens large, faisant en sorte que la conduite de certaines activités peut assujettir une OBNL aux obligations de ces lois. Pour toutes ces juridictions, cette analyse doit se faire au cas par cas.

En Colombie-Britannique, toutes les organisations, incluant les OBNL, sont visées par l’application du Personal Information Protection Act (la « Loi britanno-colombienne »)  et doivent ainsi se conformer aux règles régissant la collecte, l’utilisation, la sauvegarde et la divulgation des renseignements tel que décrit dans cet article, mais sous réserve des spécificités qui peuvent être applicables en vertu de la Loi britanno-colombienne.

Collecte, utilisation, sauvegarde et divulgation

La définition de « renseignements personnels » varie selon les lois applicables. En vertu de la Loi fédérale, albertaine et britanno-colombienne, un renseignement personnel peut généralement être tout renseignement qui concerne un individu identifiable. Au Québec, un renseignement personnel se dit de tout renseignement qui concerne une personne physique et qui permet de l’identifier.

Que l’on soit assujetti à la Loi fédérale, albertaine, québécoise ou britanno-colombienne, les lois en matière de protection des renseignements personnels régissent :

1. la collecte ;

2. l’utilisation ;

3. la sauvegarde ; et

4. la divulgation des renseignements personnels.

Les règles à suivre

En se basant sur la Loi fédérale (sur laquelle les lois provinciales s’appuient), il est suggéré de suivre les règles de base suivantes afin de se conformer aux exigences minimales applicables.

Limitez la collecte

La règle d’or est que la collecte de renseignements personnels doit être faite pour des fins définies et que seuls les renseignements personnels nécessaires à l’accomplissement de ces fins peuvent être collectés.

Par exemple, vous pourriez collecter des renseignements personnels à propos de vos donateurs, comme leurs noms et adresses courriel, afin de leur envoyer des infolettres, de les inviter à vos événements, et dans le but de préparer vos rapports annuels. Par contre vous ne pourriez pas collecter de l’information qui ne servirait pas à ces fins, comme leur numéro d’assurance sociale ou leur numéro de carte de crédit, parce que cela dépasse les visées de la collecte.

Afin de se conformer à ces principes, les organisations devraient notamment se poser les questions suivantes pour circonscrire le type et la quantité de renseignements collectés :

  • Quel est le but de ma collecte de renseignements personnels ?
  • Quelles informations sont nécessaires afin d’atteindre ce but ?
  • Comment les renseignements seront-ils utilisés ?

Après avoir obtenu réponse à ces questions, assurez-vous que la collecte ne soit pas faite de façon arbitraire, et demeurez rigoureux dans vos pratiques. Vous devriez toujours être en mesure de justifier pourquoi ces renseignements spécifiques sont collectés. Si certaines informations ne sont plus nécessaires, prenez les mesures appropriées afin de les détruire.

Obtenez le consentement

Il est de plus essentiel d’obtenir le consentement libre et éclairé des individus tant pour la collecte que pour l’utilisation, la préservation et la divulgation des renseignements personnels. Ainsi, chaque organisation devrait :

  • clairement divulguer les raisons de la collecte ;
  • indiquer les utilisations qui seront faites des renseignements ;
  • préciser si les informations seront communiquées à des tiers ;
  • informer les individus quant à la manière et l’endroit où leurs renseignements seront conservés.

Ces indications devraient être facilement accessibles et être assez détaillées afin que toute personne puisse pleinement consentir à la cueillette et la préservation de ses renseignements. Il est important de garder une preuve du consentement reçu. Cela dit, certaines situations exceptionnelles prévues dans les lois applicables peuvent justifier qu’aucun consentement ne soit reçu de la part des individus. Nous recommandons d’obtenir un avis juridique si vous désirez utiliser, collecter ou divulguer des renseignements personnels sans le consentement d’un individu.

Si la conduite de vos activités vous mène à modifier votre utilisation, sauvegarde ou communication des renseignements, obtenez de nouveau le consentement des personnes concernées en précisant les changements qui sont apportés.

Limitez l’utilisation, la sauvegarde et la divulgation des renseignements personnels

Une fois les informations collectées, vous avez l’obligation de les utiliser conformément aux fins pour lesquelles elles ont été recueillies, et pour lesquelles les individus ont consenti à la collecte. À ce stade, il est important de revoir les raisons qui ont mené à la collecte des renseignements et de toujours vous assurer d’agir en conformité avec l’utilisation consentie.

Ne conservez que les informations qui doivent être utilisées afin d’éviter des coûts et des risques élevés en matière de gestion des renseignements personnels. À titre indicatif, il est bon de réfléchir aux questions suivantes :

  • Pendant combien de temps ai-je besoin de préserver ces renseignements personnels ?
  • De quelle manière l’information doit-elle être répertoriée ?
  • De quelle manière allons-nous détruire l’information qui n’est plus nécessaire ?
  • Qui sera responsable d’assurer la destruction adéquate des renseignements ?

Encore une fois, soyez rigoureux dans vos pratiques et faites en sorte qu’une personne soit responsable de la gestion des renseignements pour assurer le respect des politiques en place.

Finalement, vous pourriez avoir besoin de communiquer certains renseignements pour atteindre vos objectifs ; par exemple, à des fournisseurs de services ou à des tiers pour fins de stockage. Dans ce cas, assurez-vous que le consentement des individus soit obtenu pour cette communication et que vous ayez des ententes adéquates en place afin d’assurer la protection des renseignements et de limiter votre responsabilité en cas de problèmes. Ne communiquez que les informations qui doivent être connues des tiers, et assurez-vous que ceux-ci ont des mécanismes adéquats en place pour assurer la protection des renseignements personnels.

Maintenez vos dossiers à jour, sécuritaires et accessibles

Les renseignements collectés doivent être aussi à jour que possible. Tout renseignement qui ne le serait plus ou qui n’est plus nécessaire devrait être supprimé.

Certaines lois, comme la Loi québécoise, peuvent également prévoir des exigences précises quant à la manière dont l’information doit être organisée.

Ensuite, il vous faudra prendre les mesures adéquates pour la sauvegarde des renseignements, peu importe la manière dont ils sont conservés. Dans ce but, posez-vous les questions suivantes :

  • Qui aura accès à ces informations et qui aura la responsabilité de les protéger ?
  • Comment protègerons-nous les renseignements contre la perte ou le vol ? Quelles mesures devrions-nous mettre en place dans ce but ?

La mise en place d’une politique adéquate en matière de sécurité, et le fait d’avoir une personne responsable attitrée à la sauvegarde peuvent permettre de limiter la responsabilité de l’OBNL et de réagir plus efficacement en cas de faille de sécurité. Il est en effet possible que seulement quelques personnes aient véritablement besoin d’utiliser les renseignements. Les autres employés ne devraient donc pas pouvoir accéder aux informations sauvegardées. 

Finalement, de manière générale, toute personne a le droit d’avoir accès à l’information répertoriée à son sujet et de savoir comment ces renseignements ont été utilisés et à qui ils ont été communiqués. Ayez les mesures adéquates en place afin de respecter ces exigences. Il peut par exemple s’agir d’une personne au sein de l’organisation attitrée à la gestion des dossiers qui devra répondre aux demandes dans un délai raisonnable. Des mécanismes de plainte doivent aussi être disponibles.

Conclusion

Chaque OBNL devrait vérifier si les activités qu’elle mène sont des « activités commerciales » (si l’entité est régie par la Loi fédérale ou albertaine) ou représentent « l’exploitation d’une entreprise » (si régie par la Loi québécoise), afin d’établir si elle est assujettie aux lois en matière de protection des renseignements personnels. Les OBNL en Colombie-Britannique sont toutefois automatiquement assujettis à la loi de cette province. 

Pour éviter toute réclamation (dont notamment des recours en dommages-intérêts ou des pénalités), mettez en place des procédures et systèmes adéquats pour la collecte, l’utilisation, la sauvegarde et la communication des renseignements personnels en conformité avec ces lois et assurez-vous d’être rigoureux dans le respect de ces exigences. Être organisés vous évitera plusieurs soucis !


À propos des auteurs

Imran Ahmad est un associé en droit des affaires du bureau de Toronto de Miller Thomson. Eloïse Gagné est une avocate en droit des affaires du bureau de Montréal de Miller Thomson.