12 February 2016

La protection des renseignements personnels : mon organisation est-elle visée?

Deschênes-Hébert Sophie

Le présent article est une introduction aux principes incontournables que toute personne œuvrant au sein d’une organisation doit avoir en tête au jour le jour dans le cadre de ses fonctions.

Une personne vous envoie un courriel vous demandant une estimation; un échange de communications s’engage par la suite. Une autre personne vous appelle et vous laisse un message vocal, puis vous la rappelez et elle devient votre cliente. Vous échangez votre carte professionnelle avec un client potentiel lors d’un événement de réseautage; vous lui envoyez par la suite des courriels portant sur les activités de votre organisation. Là ne sont que quelques exemples de situations, banales en apparence, soulevant néanmoins des considérations en matière de protection de renseignements personnels. Votre organisation est-elle conforme aux lois applicables dans la gestion des renseignements personnels qu’elle détient? Y a-t-il des règles à respecter?

i. Fondement du régime

 

Il convient tout d’abord de préciser la source législative du régime de protection des renseignements personnels dans le secteur privé. Au fédéral, les dispositions à respecter sont principalement issues de la Loi sur la protection des renseignements personnels et des documents électroniques (LPRPDE). Cette loi s’applique à toutes activités interprovinciales et internationales. Pour les activités se déroulant à l’intérieur de la province de Québec, elles sont soumises à la Loi sur la protection des renseignements personnels dans le secteur privé (Loi québécoise), puisque cette loi a été déclarée essentiellement similaire à la LPRPDE, et au Code civil du Québec (C.c.Q.) principalement ses articles 35 à 40). Soulignons que, depuis le 1er juillet 2014, les organisations doivent de plus respecter la Loi canadienne anti-pourriel s’appliquant à l’envoi de messages électroniques commerciaux, lesquels sont des messages envoyés à une adresse électronique (courriel, texto, compte de messagerie sur les médias sociaux, etc.) visant à promouvoir une activité commerciale, qu’elle soit ou non effectuée dans le but de réaliser un profit.

ii. Collecte, utilisation, communication et conservation des renseignements personnels

 

Toute organisation qui souhaite collecter des renseignements personnels sur un individu doit obtenir le consentement de ce dernier pour ce faire. Cette collecte doit s’effectuer auprès de l’individu lui-même, sauf en circonstances particulières prévues par la loi, et par des moyens licites. Ce consentement doit être obtenu préalablement ou au moment de collecter les renseignements personnels. Pour être valide selon la Loi québécoise, ce consentement doit être manifeste, libre et éclairé et il doit être donné à des fins spécifiques. Au moment de solliciter le consentement de l’individu, l’organisation qui procède à la collecte doit informer ce dernier: de l’objet du dossier qui est ainsi constitué sur lui, des fins auxquelles ces renseignements personnels seront utilisés, des catégories de personnes au sein de l’organisation qui y auront accès, des circonstances dans lesquelles ces renseignements peuvent être communiqués à des tiers et l’identité de ces tiers, de l’endroit où ils seront conservés et du doit d’accès et de rectification de l’individu. Il est important de noter que seuls les renseignements qui sont nécessaires pour réaliser les fins auxquelles ils ont été recueillis peuvent être collectés. Si l’organisation souhaite utiliser les renseignements à des fins autres que celles divulguées à l’individu au moment de la collecte, l’organisation devra alors obtenir le consentement de l’individu à ces fins avant d’entreprendre toute utilisation en ce sens. Soulignons qu’une organisation ne doit conserver les renseignements personnels que pendant la durée nécessaire pour accomplir les fins auxquelles ils ont été collectés. Sous réserve des lois applicables, une fois ces fins accomplies, les organisations doivent donc détruire ou rendre anonymes les bases de données qu’elles détiennent.

iii. Prospection commerciale et envoi de messages électroniques commerciaux

 

La Loi québécoise prévoit cependant une exception à ce principe d’obtention du consentement manifeste, libre et éclairé dans le cas des listes nominatives (liste de noms, numéros de téléphone, adresses géographiques ou technologiques) utilisée à des fins de prospection commerciale. Ainsi, il est possible pour une organisation d’effectuer, à partir d’une liste nominative de ses clients, de ses membres ou de ses employés, de la prospection commerciale sans obtenir le consentement des personnes concernées, sous réserve qu’il ait été donné à ces personnes une occasion valable de refuser que leurs renseignements soient utilisés à ces fins. L’organisation peut également communiquer une liste nominative de ses clients, membres ou employés à un tiers à des fins de prospection commerciale, sous réserve que cette communication ait été prévue et encadrée par un contrat entre l’organisation et ce tiers, et qu’avant cette communication, il ait été donné aux personnes concernées l’occasion valable de refuser que leurs renseignements soient utilisés par un tiers à des fins de prospection commerciale.

Toute organisation effectuant de la prospection commerciale doit s’identifier auprès de l’individu concerné, l’informer de son droit de se faire retrancher de cette liste et lui fournir une adresse géographique ou technologique, selon le mode de communication utilisée, à laquelle il peut effectuer cette demande de retrait.

La Loi canadienne anti-pourriel pose également des exceptions à ce principe d’obtention du consentement manifeste, libre et éclairé dans le cas d’envoi de messages électroniques commerciaux, puisqu’elle prévoit certaines circonstances dans lesquelles il n’est pas requis d’obtenir le consentement de l’individu ou dans lesquelles son consentement est considéré comme ayant été tacitement obtenu. À titre d’exemple, une personne qui vous remet sa carte professionnelle dans un évènement de réseautage sera, à moins d’instructions contraires de cette dernière, considérée comme ayant tacitement consenti à recevoir des messages électroniques commerciaux de votre part pour autant que ces messages soient en lien avec les fonctions exercées par cette personne au sein de son organisation ou dans le cadre de son emploi. Ce consentement sera valide jusqu’à ce que cette dernière vous signifie sa volonté de se désinscrire de cette liste, le cas échéant.

Soulignons que la Loi canadienne anti-pourriel prévoit toutefois certaines exigences de forme et de contenu à respecter pour les messages envoyés.

iv. Conséquences en cas de violation

 

Il convient de souligner que la Loi québécoise prévoit que quiconque recueille, utilise, communique à un tiers ou conserve des renseignements personnels d’une manière contraire à la loi est passible d’une amende de 1 000$ à 10 000 $, et de 10 000$ à 20 000$, en cas de récidive.

Pour ce qui est de la Loi canadienne anti-pourriel, les amendes maximales peuvent aller jusqu’à 1 000 000$ dans le cas d’une personne physique, ou 10 000 000$ dans le cas d’une personne morale. Il est à noter que constitue une violation le fait d’accomplir, même indirectement, ou d’aider ou d’encourager quiconque à accomplir un acte contraire à la Loi canadienne anti-pourriel.

Bref, les situations dans lesquelles une organisation peut être amenée à collecter et à utiliser des renseignements personnels concernant des individus, clients ou non, sont innombrables. Il convient de faire preuve de prudence en cette matière et de mettre en place, de manière consciente et proactive, des pratiques de gestion des renseignements personnels qui soient conformes aux lois applicables, afin d’éviter de créer un obstacle évitable au bon déroulement des activités de votre organisation.

**** L’information contenue dans la présente publication, bien qu’elle soit de nature juridique, ne saurait constituer un avis d’ordre juridique ou une opinion. L’information n’est fournie qu’à titre informatif et LJT ne prétend pas exposer l’état complet du droit sur quelque question. Les utilisateurs ne devraient d’aucune façon prendre des décisions uniquement sur la base des informations contenues dans cette publication ou obtenues sur le site web de LJT sans obtenir les conseils juridiques d’un professionnel. Le contenu de cette publication est protégé par la Loi sur le droit d’auteur et par les conventions internationales applicables. Veuillez-vous référer aux Conditions d'utilisation.




Ajouter un commentaire

Saviez-vous que...

Au Québec, certains concours doivent être enregistrés auprès de la Régie des alcools, des courses et des jeux.

Auteur

Deschênes-Hébert Sophie
Sophie Deschênes-Hébert
Me Deschênes-Hébert conseille les annonceurs et les agences de publicité dans l'élaboration de leurs campagnes.
Consulter sa fiche

Conférences

Autres conférences

Brochure d'entreprise

Brochure d'entreprise

Pour plus d'informations relativement à notre cabinet, ses membres et ses services, consulter notre brochure d'entreprise.

Voir le PDF(1411Ko)