Ayant quitté mon poste de commissaire à la protection de la vie privée du Canada par intérim pour me joindre à Dentons, j’ai décidé de faire le point sur mon expérience à ce titre et d’en tirer quelques leçons. Je vous en fais part dans l’espoir que cela pourra aider les sociétés à réagir aux demandes ou aux enquêtes des organismes de réglementation.
Pendant mon mandat au Commissariat à la protection de la vie privée du Canada (le « Commissariat »), j’ai supervisé des enquêtes nombreuses et variées en matière de protection de la vie privée ou des renseignements personnels. Dans le cadre de mon examen des questions en jeu, je ne pouvais m’empêcher de considérer la stratégie adoptée par les sociétés qui en faisaient l’objet. Certaines d’entre elles m’ont impressionnée par les principes qui les animaient, leur ouverture et leur détermination à régler l’affaire. J’ai même loué leur collaboration publiquement à certaines occasions. Dans d’autres cas, je me demandais pourquoi elles faisaient preuve d’hostilité à l’égard d’une question aussi délicate que la protection de la vie privée, puisqu’il s’agit d’un enjeu auquel leurs clients, les sondages peuvent en témoigner, attachent un très grand prix. Il était évident que la stratégie qu’elles avaient adoptée nuisait à leur cause. Même si le Commissariat pouvait leur donner des conseils en droit de la protection de la vie privée, ce n’était pas à moi de leur dire quelle était la meilleure façon de présenter leurs arguments.
Mais maintenant je peux le faire. Voici donc cinq conseils pratiques qui, selon moi, pourraient aider les sociétés qui doivent répondre à une demande ou subir l’enquête d’un organisme de réglementation de la protection de la vie privée.
Je ne nommerai aucune société pour des raisons de confidentialité, mais je peux vous dire que j’étais toujours impressionnée lorsqu’un nouveau chef de la direction, ou un chef de la direction profitant tout simplement de l’occasion pour passer à Ottawa, ou encore une société qui venait d’être mise sur pied ou de lancer une nouvelle initiative susceptible d’avoir des répercussions sur le plan de la vie privée ou des renseignements personnels se présentait au Commissariat. Pour moi, ce n’était pas seulement une question de relations publiques ou de rapports personnels. Ces sociétés démontraient ainsi qu’elles reconnaissaient leurs obligations en matière de protection de la vie privée ou des renseignements personnels.
Dans certains cas, la société souhaitait informer le Commissariat de certaines des difficultés que posait la protection des données. Le Commissariat pouvait ainsi faire certaines observations et exprimer ses attentes, ce qui aidait la société à aiguiller sa politique et ses pratiques en matière de protection des renseignements personnels. Dans d’autres cas, la société et le Commissariat pouvaient discuter d’interprétations juridiques hors du cadre d’une enquête en bonne et due forme. Dans tous les cas, cela démontrait, à mon avis, que la société avait la volonté de comprendre ses obligations en matière de protection des renseignements personnels et de les remplir.
Certaines des sociétés qui avaient ainsi communiqué ouvertement avec le Commissariat ont fini par subir des atteintes graves. Dans le cadre de mon enquête, je tenais compte du fait que la société avait démontré au Commissariat qu’elle avait scrupuleusement assumé ses responsabilités en matière de protection des renseignements personnels. Je décidais des mesures d’application de la loi qui s’imposaient après avoir pris en considération tant l’effet de l’atteinte sur les particuliers que la mesure dans laquelle la société avait rempli ses responsabilités en matière de protection des renseignements personnels avant l’atteinte. Voilà comment le fait d’avoir établi une relation avec l’organisme de réglementation peut servir à démontrer sa détermination à assumer ses responsabilités.
Je cite souvent Robert Mueller, ancien directeur du FBI, qui affirmait qu’il y avait deux types de sociétés : celles qui avaient fait l’objet d’une atteinte et celles qui allaient en faire l’objet un jour. Cette affirmation ne signifie pas qu’il faut baisser la garde. À mon avis, elle incite plutôt les entreprises à mettre en œuvre des mesures de protection proportionnelles aux risques auxquels elles sont exposées et les organismes de réglementation à adapter leur démarche en conséquence, c’est-à-dire tenir compte de la dure réalité des risques et de la qualité de la réaction à l’atteinte.
À titre d’exemple, je nommerai une société, étant donné que je me suis déjà exprimée publiquement sur cette affaire.
En juin 2012, LinkedIn a subi une atteinte et en a avisé le Commissariat et le public immédiatement. LinkedIn comptait parmi les sociétés qui avaient présenté un exposé au Commissariat au moment où elle avait commencé à exercer des activités au Canada. Le Commissariat savait donc déjà que LinkedIn prenait la protection de la vie privée et des renseignements personnels très au sérieux et prenait les moyens de protection nécessaires.
Au moyen de conférences téléphoniques régulières, LinkedIn et ses conseillers juridiques ont tenu le Commissariat et les trois organismes de réglementation provinciaux qui avaient juridiction sur le secteur privé au courant de chaque mesure qu’elle avait prise pour remédier à la situation et corriger les points vulnérables qui avaient été exploités. Tout au long du processus, LinkedIn a démontré son efficacité et sa volonté de remédier à la situation. Sa stratégie avait évidemment été établie longtemps à l’avance et elle n’a épargné aucun effort dans son exécution.
Le Commissariat a pris en considération la façon impressionnante dont LinkedIn avait réagi et, comme l’effet sur les particuliers était limité et que LinkedIn avait agi de manière responsable, il a décidé de limiter son intervention à un échange de lettres comportant des recommandations que LinkedIn a acceptées.
La manière dont LinkedIn a réagi a démontré qu’elle était véritablement déterminée à protéger la vie privée et les renseignements personnels.
Je nomme encore une fois la société pour illustrer mon propos, car notre enquête a été rendue publique. Dans le cadre de l’enquête sur le ciblage publicitaire en ligne de Google, qui a débuté en janvier 2014, j’ai été impressionnée par l’ouverture dont Google a fait preuve et j’en ai tiré des enseignements. À titre strictement confidentiel, Google a décrit au Commissariat les mesures de protection internes qu’elle avait prises afin de s’assurer que les annonceurs tiers appliquent sa politique de protection des renseignements personnels. Cela m’a permis de mieux comprendre les difficultés que Google, ainsi que le secteur en général, avait à surmonter pour surveiller les annonceurs tiers, ainsi que la qualité des mesures de protection que Google avait mises en place.
En conséquence, le Commissariat a été en mesure de faire des recommandations pertinentes à Google, que cette dernière a pu accepter et qui ont révélé les difficultés systémiques posées par la surveillance du ciblage publicitaire en ligne. J’estime qu’à l’issue de cette enquête, l’image de Google était celle d’une société prête à collaborer et déterminée à protéger la vie privée et les renseignements personnels. Et fait peut-être plus important encore, les Canadiens, le milieu des affaires et les organismes de réglementation ont tous compris les énormes défis que comporte, sur ce plan, un modèle d’entreprise selon lequel la gratuité d’Internet repose sur la publicité en ligne.
La confidentialité était sauve et le fait que Google ait fait preuve de toute la transparence voulue a joué en sa faveur et contribué à l’établissement de nouveaux jalons en matière de droit de la protection de la vie privée.
À titre d’exemple, le fait qu’une société visée par une demande ou une enquête remette en question la compétence territoriale du Commissariat était toujours pour moi un signal d’alarme qui jetait des doutes sur la volonté qui animait cette société de protéger la vie privée. Premièrement, les tribunaux ont bel et bien établi que la compétence territoriale du Commissariat visait les sociétés étrangères qui ont un lien important avec le Canada. Cette compétence est donc très vaste. Deuxièmement, la collaboration internationale entre les organismes de protection des données est de plus en plus serrée, ce qui signifie que, de toute manière, le Commissariat fera probablement appel à l’autorité compétente du territoire où la société est établie. Dernièrement, et c’est là le point le plus important, le droit à la protection de la vie privée revêt une trop grande importance pour que les allégations d’atteinte soient rejetées pour des questions de forme seulement. La société qui invoque de tels arguments démontre le peu d’importance qu’elle accorde à la protection de la vie privée.
Je comprends très bien que les sociétés qui craignent pour leur réputation utilisent tous les arguments à leur disposition pour contester le bien-fondé de l’enquête de l’organisme de réglementation. Toutefois, en ce qui a trait à la protection de la vie privée, justement pour protéger sa réputation, il pourrait être utile de faire preuve d’ouverture et d’entendre le fond de la plainte pour démontrer sa bonne foi.
Je conseille donc aux sociétés qui remettent en question la compétence du Commissariat ou soulèvent d’autres questions de forme (par exemple, une convention conclue avec le plaignant à l’égard d’une autre question) de mettre ces aspects secondaires de côté et de se concentrer d’abord sur la question de la protection de la vie privée. Voilà qui m’amène à mon dernier conseil pratique.
À ma première rencontre avec l’Association des banquiers canadiens, j’ai posé la question suivante : « Qu’est-ce que la protection de la vie privée ou des renseignements personnels signifie pour vous? ». On m’a répondu, bien évidemment, « qu’il s’agissait d’un élément d’un bon service à la clientèle ». En effet, les banques ont les règles de confidentialité les plus rigoureuses. L’obligation de confidentialité implicite qui leur incombe est reconnue dans notre système juridique depuis longtemps. Mais les banques ont aussi intégré la protection des renseignements personnels à leur mission de servir leurs clients. Cela n’est peut-être pas évident pour les autres types de sociétés, mais la protection des renseignements personnels devrait être, et les clients s’attendent à ce qu’elle soit, la priorité numéro un. Malgré la multitude de voix qui soutiennent que personne ne se préoccupe véritablement de protéger sa vie privée vu la quantité de renseignements personnels que les gens partagent volontairement sur Internet, les sondages démontrent que le public évitera de faire affaire avec une société qui a subi une atteinte en la matière ou qui s’immisce trop dans sa vie privée.
L’organisme de réglementation doit voir comment la société s’y prend pour intégrer la protection des renseignements personnels à son service à la clientèle. Cela sera démontré par ses politiques internes en la matière, qui doivent être détaillées et complètes, en plus d’être faciles d’accès pour ses clients, par ses pratiques, qui doivent être intégrées à ses activités et surveillées, par sa transparence et par un cadre de gouvernance sain qui permet la mise en œuvre de ces politiques, qui en confie la responsabilité à un dirigeant désigné et qui prévoit la formation du personnel, une chaîne de responsabilité claire et des recours.
Voilà le point où les intérêts du client et ceux de l’organisme de réglementation convergent. La protection de la vie privée et des renseignements personnels est bonne pour les affaires et le fait de démontrer sa volonté d’assumer ses responsabilités en la matière gagne la confiance de l’organisme de réglementation.
Me Chantal Bernier, avocate-conseil, Dentons Canada S.E.N.C.R.L., ancienne commissaire à la protection de la vie privée du Canada par intérim, professionnelle en résidence, École supérieure d’affaires publiques et internationales, Université d’Ottawa
Les courriels non sollicités et les autres renseignements envoyés à Dentons ne seront pas considérés comme confidentiels, pourraient être communiqués à des tiers ou ne pas obtenir de réponse et ne créent pas de relation avocat client. Si vous n’êtes pas un client de Dentons, vous ne devriez pas nous envoyer de renseignements confidentiels.
Ce contenu est disponible en anglais seulement. S'il vous plaît cliquer sur Continuer ci-dessous pour lire cela en anglais.
Vous quittez maintenant le site Web de Dentons. Vous serez redirigé vers le site Web de $redirectingsite en anglais. Pour continuer, cliquez sur « Continuer ».
Vous quittez maintenant le site Web de Dentons. Vous serez redirigé vers le site Web de Beijing Dacheng Law Offices, LLP. Pour continuer, cliquez sur « Continuer ».