Protection de la vie privée : qu’est-ce qui est raisonnable? Le Document d’orientation sur les pratiques inacceptables du traitement des données du CPVPC est désormais en vigueur

À l’ère numérique, les données et les renseignements personnels constituent pratiquement une nouvelle devise. L’utilisation d’un service numérique « gratuit » au sens habituel a souvent une incidence sur la protection de la vie privée. Dès 2009, le CPVPC a reconnu cet état de fait et a constaté, entre autres, ce qui suit :

Le modèle organisationnel de Facebook est différent de ceux des organisations sur lesquelles nous nous sommes penchés jusqu’à maintenant. Si le site est gratuit pour les utilisateurs, il ne l’est pas pour Facebook qui a besoin de revenus publicitaires afin de fournir le service. De ce point de vue, la publicité est essentielle à la prestation de ce service. Ceux et celles qui souhaitent utiliser le service doivent donc accepter de recevoir une certaine quantité de publicité.

Ce point de vue a été réitéré en 2017 par la Cour suprême du Canada dans Douez c. Facebook, Inc., où la Cour a souligné que « chacun est libre d’adhérer à Facebook et de l’utiliser, mais tous les utilisateurs potentiels… doivent alors accepter ses modalités d’utilisation qui font partie du processus d’inscription ». Les modèles d’affaires ont peut-être évolué au cours de la dernière décennie, mais comme l’a souligné la Cour dans l’arrêt Douez, le fait est que « les opérations qui interviennent entre une entreprise et un consommateur sont le plus souvent régies par un contrat type non négociable que le consommateur n’a d’autre choix que “d’accepter ou non” ».

En mai, le Commissariat à la protection de la vie privée du Canada (le « CPVPC ») a publié le Document d’orientation sur les pratiques inacceptables du traitement des données : Interprétation et application du paragraphe 5(3) (les « Lignes directrices sur les pratiques inacceptables du traitement des données »). Les Lignes directrices interprètent le paragraphe 5(3) de la LPRPDE :

L’organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances.

L’application de ce paragraphe nécessite un équilibre des intérêts entre l’individu et l’organisation, et cette analyse doit être perçue à travers le regard d’une personne raisonnable. Le CPVPC est d’avis que les objectifs suivants de collecte, d’utilisation ou de divulgation de renseignements personnels seraient généralement considérés comme « inappropriés » par une personne raisonnable et donc, sont actuellement considérés comme exclus de la portée de la LPRPDE.

1. Profilage ou catégorisation donnant lieu à un traitement injuste, contraire à l’éthique ou discriminatoire interdit en vertu de la législation sur les droits de la personne. L’analyse des données et les autres formes de profilage/catégorisation pouvant donner lieu à une discrimination contraire à la législation en matière de droits de la personne pourraient être considérées comme étant « inappropriées ». Des résultats injustes ou non éthiques nécessitent une évaluation au cas par cas; cependant, le CPVPC est d’avis que ces types de résultats seront de façon générale également considérés comme étant inappropriés.
2. Collecte, utilisation ou communication à des fins qui causent ou sont susceptibles de causer un préjudice probable et grave à un individu. Les personnes comprennent généralement qu’il leur faut faire beaucoup de compromis au chapitre de leur vie privée, sur le marché numérique; toutefois, les organisations ne peuvent pas exiger d’une personne qu’elle subisse un préjudice grave à la vie privée en contrepartie du coût connu ou probable des produits ou des services. L’expression « préjudice grave » signifie une lésion corporelle, une humiliation, un dommage à la réputation ou à des relations, une perte d’occasions d’affaires ou de possibilités d’emploi, une perte financière, un vol d’identité, des effets négatifs sur un dossier de crédit (d’une personne) ainsi que des dommages aux biens ou leur perte.
3. Publication de renseignements personnels dans le but de réclamer un paiement aux individus pour retirer ces renseignements. Le recours au « chantage » ne constitue pas une fin acceptable et a déjà été déclaré comme contrevenant manifestement à la LPRPDE (voir l’examen du site Web Globe24h.com réalisé par le CPVPC).
4. Obligation de communiquer le mot de passe des comptes de médias sociaux aux fins de la sélection des employés. Le fait d’exiger des mots de passe afin d’accéder aux comptes privés de médias sociaux peut exposer des renseignements personnels très sensibles qui ne sont ni pertinents ni nécessaires aux fins des opérations commerciales légitimes des employeurs. Par conséquent, le fait d’exiger les mots de passe des comptes de médias sociaux aux fins de sélection des employés n’est généralement pas approprié.
5. Surveillance exercée par une organisation au moyen des fonctions audio ou vidéo de l’appareil de l’individu lui-même. De façon générale, les organisations ne peuvent suivre à la trace un individu au moyen des fonctions audio ou vidéo de l’appareil de celui-ci, que ceci soit fait secrètement ou avec son consentement, lorsque cette pratique est nettement disproportionnée par rapport aux objectifs commerciaux visés. L’activation régulière ou constante des fonctions audio ou vidéo d’un appareil pour fournir un service peut être autorisée si l’individu est pleinement conscient de cette pratique et exerce un contrôle sur celle-ci et que les renseignements saisis ne sont pas enregistrés, utilisés, communiqués ni conservés dans un but autre que celui de fournir le service en question.
6. Collecte, utilisation ou communication qui autrement est illégale. Les organisations devraient connaître toutes les exigences réglementaires et législatives qui peuvent régir leurs activités. Les individus devraient se sentir en sécurité en sachant que leurs renseignements personnels ne seront pas recueillis, utilisés ou communiqués à des fins contrevenant aux lois du Canada ou de ses provinces. C’est ce que confirme le principe 4 de la LPRPDE, en vertu duquel la collecte doit se faire « de façon honnête et licite ».

Il est important que les entreprises se familiarisent avec les Lignes directrices, car le CPVPC a commencé à les mettre en application en juillet dernier. Le CPVPC a souligné que ces « zones interdites » peuvent évoluer au fil du temps, et il prévoit revoir et mettre à jour périodiquement cette liste.

Pour de plus amples renseignements, veuillez communiquer avec notre groupe Réglementation, publicité et marketing.