1

Questions de vie privée. « On recherche : Directeur de la protection de la vie privée »

| septembre 1, 2003

Steven Williams, Emond Harnden, LLP

INTRODUCTION

Voici le premier d’une série d’articles qui paraîtront dans Mise a jour cette année. Nous espérons pouvoir traiter du nombre croissant de problemes de conformité aux lois sur la protection des renseignements personnels auxquels fait face votre organisation maintenant et pour les mois a venir. Dans le présent article, nous abordons le rôle, les responsabilités et les qualités du directeur de la protection de la vie privée.

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) s’applique depuis le 1er janvier 2001 a la collecte, l’utilisation et la communication de renseignements personnels dans les organisations relevant de la compétence fédérale. A l’heure actuelle, les organisations sous réglementation provinciale ne sont pas régies par la LPRPDE a moins qu’elles ne vendent des renseignements personnels au-dela des frontieres provinciales ou nationales. La LPRPDE s’appliquera, cependant, a la collecte, l’utilisation et la communication de renseignements personnels dans le cours des activités commerciales des organisations sous réglementation provinciale en Ontario si le gouvernement provincial n’a pas édicté une loi « essentiellement similaire » d’ici le 1er janvier 2004. Nous ne pensons pas que le gouvernement ontarien adoptera une telle loi d’ici la. Il faut bien souligner, toutefois, que pour une organisation relevant de la compétence provinciale, la LPRPDE ne s’appliquera pas aux renseignements personnels de ses employés.

Commençons par une breve description de la LPRPDE afin de comprendre pourquoi le poste de directeur de protection de la vie privée est nécessaire. Essentiellement, la LPRPDE établit les regles de base qui régissent la façon dont les organisations du secteur privé collectent, utilisent et communiquent les renseignements personnels. Le but de la Loi est notamment de fixer,

…dans une ere ou la technologie facilite de plus en plus la circulation et l’échange de renseignements, des regles régissant la collecte, l’utilisation et la communication de renseignements personnels d’une maniere qui tient compte du droit des individus a la vie privée a l’égard des renseignements personnels qui les concernent et du besoin des organisations de recueillir, d’utiliser ou de communiquer des renseignements personnels a des fins qu’une personne raisonnable estimerait acceptables dans les circonstances.

Toutes les organisations visées par la LPRPDE doivent se conformer aux principes suivants, que l’on trouve dans la Loi :

  1. Responsabilité
  2. Détermination des fins de la collecte des renseignements
  3. Consentement
  4. Limitation de la collecte
  5. Limitation de l’utilisation, de la communication et de la conservation
  6. Exactitude
  7. Mesures de sécurité
  8. Transparence
  9. Acces aux renseignements personnels
  10. Possibilité de porter plainte a l’égard du non-respect des principes

Le premier principe est celui de la responsabilité. Dans le contexte de la Loi, cela signifie qu’il faut désigner une personne (ou plusieurs) responsable d’assurer le respect des principes. La personne ainsi désignée est le Directeur de la protection de la vie privée (DPVP). La plupart des organisations ont choisi de donner le rôle de DPVP a un membre de l’exécutif. D’autres organisations, généralement plus considérables, ont créé un nouveau poste distinct de DPVP. A vous de décider.

RÔLE

Le DPVP est la personne clé en matiere de vie privée dans votre organisation. Le DPVP illustre concretement l’engagement de votre organisation quant a la protection de la vie privée. Dans un récent discours, le Commissaire a la protection de la vie privée déclarait, « Les DPVP sont a l’avant-garde de la protection de la vie privée. Et ils se doivent d’etre les défenseurs de la vie privée, a l’interne, dans leur organisation ».

RESPONSABILITÉS

La responsabilité principale du DPVP est d’assurer que l’organisation traite les renseignements personnels conformément aux dix principes énoncés dans la Loi. Pour ce faire, sa premiere tâche est de mettre au point pour l’organisation une politique sur la protection de la vie privée. Puisque cette politique s’appliquera a l’organisation toute entiere, le DPVP devrait travailler avec une équipe de protection de la vie privée dont les membres proviennent des principaux secteurs de l’organisation.

Une fois élaborée la politique de protection de la vie privée, le DPVP devra alors la mettre en ouvre. Afin d’assurer le respect et la compréhension de la politique, le DPVP devra faire en sorte que tous les employés comprennent et appliquent bien la politique. Le DPVP doit également s’assurer que les clients de l’organisation sont au courant de leurs droits quant a la protection de leurs renseignements personnels. Les entrepreneurs et les fournisseurs qui traitent avec l’organisation sont tenus de protéger les renseignements personnels provenant de l’organisation. En renseignant les employés, les clients, les entrepreneurs et les fournisseurs, le DPVP est en mesure d’assurer que les pratiques relatives a la protection des renseignements personnels sont appliquées uniformément a l’échelle de l’organisation, dans le respect de la LPRPDE.

Mises a part quelques exceptions, la LPRPDE permet aux particuliers d’avoir acces a tout renseignement personnel que l’organisation détient a leur sujet. Idéalement, la politique sur la protection des renseignements personnels exigera du particulier qu’il dépose une demande d’acces par écrit aupres du DPVP. Le DPVP doit répondre a la demande dans un délai de trente jours, selon ce que prévoit la LPRPDE, sous peine de contrevenir a la Loi. Nombre d’organisations ont été jugées en contravention de cette disposition par le Commissaire a la protection de la vie privée.

Le DPVP est également chargé de mettre en place un processus interne de résolution des plaintes. Si une plainte et déposée, le DPVP doit faire enquete. Si la plainte est fondée, le DPVP doit prendre les mesures nécessaires pour modifier toute politique ou toute procédure dans la politique de protection de la vie privée, ou toute pratique de l’organisation dans le traitement des renseignements personnels, qui contrevient a la Loi.

Le DPVP doit également faire en sorte que les renseignements personnels qui ne sont plus nécessaires sont détruits.

Outre ses responsabilités quotidiennes pour assurer la conformité a la Loi, le DPVP joue un rôle critique au cours d’une enquete menée par le Commissaire a la protection de la vie privée, notamment par les moyens suivants :

  • établir aupres de l’enqueteur qu’il est la principale personne ressource;
  • tenir un dossier des échanges, conversations et correspondance avec le Bureau du Commissaire a la protection de la vie privée;
  • tenir un dossier ou garder une copie de tous les dossiers consultés par l’enqueteur;
  • participer directement a tout processus de résolution des différends;
  • demander d’etre tenu au courant de l’enquete;
  • en tout temps, traiter de façon courtoise et professionnelle avec le Bureau du Commissaire a la protection de la vie privée; et
  • travailler pour résoudre le probleme avec le plaignant le plus rapidement et le plus efficacement possible.

QUALITÉS

Pour etre un directeur de la protection de la vie privée qui remplit bien son rôle, la personne choisie doit avoir une bonne compréhension des regles relatives a la protection des renseignements personnels.

Les DPVP sont souvent appelés a prendre des décisions difficiles, qui risquent de déplaire a certaines personnes de l’organisation. Le DPVP doit donc avoir le pouvoir inhérent a un poste de la haute direction. Un poste de cadre supérieur donne au DPVP acces aux plus hauts échelons de l’organisation et aux ressources nécessaires pour bien faire son travail.

La personne choisie comme DPVP doit avoir de la crédibilité dans l’organisation.

Comme nous l’avons déja dit, le DPVP ne peut accomplir seul son travail. Il doit pouvoir diriger une équipe de protection de la vie privée et montrer a l’organisation comment relever les défis parfois lourds que pose la protection de la vie privée.

Tous les DPVP semblent d’accord pour dire que la qualité la plus essentielle a ce poste est la patience. Les exigences des diverses lois en matiere de protection des renseignements personnels sont complexes, et obligeront nombre d’organisations a changer leur façon de traiter les renseignements personnels, et meme, dans certains cas, leur façon de fonctionner. Il peut arrive que l’organisation soit réticente a faire les changements qui sont nécessaires pour se conformer a la LPRPDE. Un chef crédible, doté de pouvoirs suffisants et armé de beaucoup de patience sera sans doute le mieux en mesure de réussir comme DPVP.