Comment se conformer aux exigences en matière de protection des renseignements personnels ?

June 29, 2017 | Éloïse Gagné

( Available in French only)

De plus en plus, plusieurs organisations dont les organismes sans but lucratif et les organismes de bienfaisance recueillent, utilisent et communiquent une quantité grandissante de renseignements personnels (par exemple, des informations sur leurs donateurs, employés, etc.) dans le cadre de leurs opérations hebdomadaires. Il devient alors essentiel d’assurer que le traitement des renseignements personnels collectés se fasse en conformité avec les lois applicables.

Cadre juridique

De manière générale, au Canada, la protection des renseignements personnels est régie par une série de lois provinciales et fédérales. La Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE »), une loi fédérale, régit la collecte, l’utilisation et la sauvegarde de renseignements personnels, soit tout renseignement qui concerne un individu identifiable. L’objectif de cette loi est d’assurer le respect du droit à la vie privée des individus.

Toutefois, la LPRPDE ne s’applique pas aux organisations qui exercent leurs activités exclusivement à l’intérieur d’une province qui s’est dotée d’une loi essentiellement similaire à la LPRPDE, à moins qu’il y ait un transfert interprovincial ou international de renseignements personnels. Le Québec, la Colombie-Britannique et l’Alberta ont adopté des lois considérées similaires, et des organisations situées dans ces provinces pourraient être contraintes à d’autres obligations en vertu de ces lois.

Déterminer si la LPRPDE s’applique

Bien que la LPRPDE ne s’applique pas d’emblée à des organismes sans but lucratif ou organismes de bienfaisance, il faut toutefois analyser les activités conduites afin d’entièrement exclure l’application de cette loi.

La LPRPDE s’applique en effet à toute organisation qui recueille, utilise ou communique des renseignements personnels dans le cadre d’activités commerciales. Une activité commerciale est une activité régulière ainsi que tout acte isolé qui revêtent un caractère commercial de par leur nature, y compris la vente, le troc ou a location de listes de donateurs, d’adhésion ou de collecte de fonds.

Il ressort de cette définition que le terme « activités commerciales » a un sens large, faisant en sorte que la conduite de certaines activités peut assujettir un organisme à but non lucratif ou un organisme de bienfaisance aux obligations de ces lois.

Il est bien établi par la jurisprudence que cette analyse doit se faire au cas par cas. Sous la LPRPDE, les facteurs à considérer vont inclure, par exemple : le fait de générer des profits, de recevoir une contrepartie pour les services rendus ou de conduire des activités comme le ferait une entreprise commerciale. Si l’organisation conduit de telles « activités commerciales », elle doit se conformer à la LPRPDE.

Ce que les organisations doivent faire

Sous cette loi, être assujetti implique notamment qu’une organisation doit obtenir le consentement à la collecte des renseignements personnels, laquelle doit être faite pour des fins définies. Seuls les renseignements personnels nécessaires aux fins déterminées peuvent être collectés, et l’utilisation, la communication et la conservation de ces renseignements doivent être limitées.

Ces obligations peuvent paraitre onéreuses pour certaines organisations. Toutefois, les conséquences en cas de non-conformité peuvent être significatives. Ainsi, il est important d’avoir en place des politiques et procédures internes qui énoncent comment les renseignements personnels seront recueillis, utilisés et communiqués par l’organisation. De plus, la gestion des renseignements personnels entraine certains risques cybernétiques, dont nous avons traité dans une de nos publications antérieures.

Conclusion

Chaque organisation devrait vérifier si les activités qu’elle conduit sont des « activités commerciales » au sens de la LPRPDE. Le cas échéant, pour éviter toute réclamation (dont notamment des recours en dommages-intérêts), elle devra mettre en place des procédures et systèmes adéquats pour la collecte, l’utilisation et la sauvegarde des renseignements personnels en conformité avec la LPRPDE.

Ceci dit, si l’organisation opère au Québec, en Colombie-Britannique ou en Alberta, l’organisation doit aussi conduire une analyse en fonction des lois provinciales adoptées dans ces provinces.

Disclaimer

This publication is provided as an information service and may include items reported from other sources. We do not warrant its accuracy. This information is not meant as legal opinion or advice.

Miller Thomson LLP uses your contact information to send you information electronically on legal topics, seminars, and firm events that may be of interest to you. If you have any questions about our information practices or obligations under Canada's anti-spam laws, please contact us at privacy@millerthomson.com.

© 2019 Miller Thomson LLP. This publication may be reproduced and distributed in its entirety provided no alterations are made to the form or content. Any other form of reproduction or distribution requires the prior written consent of Miller Thomson LLP which may be requested by contacting newsletters@millerthomson.com.