La législation
Le secteur public du Canada est réglementé au niveau fédéral par la Loi sur la protection des renseignements personnels. La Loi sur la protection des renseignements personnels protège la vie privée des individus en indiquant explicitement le droit d'accès des individus aux renseignements personnels qui les concernent relevant des institutions fédérales et des sociétés d'État. La loi détermine aussi la façon dont ces institutions peuvent recueillir et utiliser les renseignements personnels.
La Loi sur la protection des renseignements personnels définit également les « renseignements personnels », notamment les renseignements relatifs à la race, à l'origine nationale ou ethnique, à la religion, à l'âge ou à la situation familiale, les renseignements relatifs à l'éducation, au dossier médical, au casier judiciaire, aux antécédents professionnels de l'individu ou à des opérations financières auxquelles il a participé, tout numéro identificateur, l'adresse, les empreintes digitales ou le groupe sanguin de l'individu ou les renseignements concernant les idées ou les opinions de l'individu.
En plus de la Loi sur la protection des renseignements personnels, chaque province et territoire a une législation qui régit les secteurs publics provinciaux et leurs responsabilités à l'égard de la protection des renseignements personnels. Ces législations provinciales s'appliquent notamment aux ministères provinciaux, aux collèges et aux universités, aux conseils scolaires et aux conseils locaux. Des liens vers la législation spécifique de chaque province et de chaque territoire sont disponibles ici.
En termes de protection de la vie privée, le secteur privé est régi au Canada par la Loi sur la protection des renseignements personnels et les documents électroniques, communément appelée la LPRPDE. Cette législation, promulguée en 2000, reconnaît la capacité croissante à recueillir et à stocker des renseignements personnels à l'aide de la technologie, mais également le besoin des sociétés commerciales et des organisations de recueillir certains renseignements personnels pour s'acquitter de leur mandat. Par conséquent, la LPRPDE expose « des règles régissant la collecte, l’utilisation et la communication de renseignements personnels d’une manière qui tient compte du droit des individus à la vie privée à l’égard des renseignements personnels qui les concernent et du besoin des organisations de recueillir, d’utiliser ou de communiquer des renseignements personnels à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances ». [1]
Cette législation du secteur privé est fondée sur le code modèle de l'Association canadienne de normalisation (CSA) et ses dix principes. Ces principes définissent les responsabilités de l'organisation liées à la protection et à la communication de renseignements personnels, y compris la nécessité de dévoiler les fins de la collecte de renseignements, la nécessité d'obtenir le consentement, dans la mesure du possible, avant de recueillir ou d'utiliser des renseignements personnels, la limitation de la collecte aux renseignements qui sont nécessaires aux fins déterminées et le droit de l'individu à accéder à ses renseignements personnels ou à les consulter.
La LPRPDE a été révisée en 2015 pour spécifier que « le consentement de l’intéressé n’est valable que s’il est raisonnable de s’attendre à ce qu’un individu visé par les activités de l’organisation comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles il a consenti. »
De plus, un bon nombre de sociétés commerciales et d'associations utilisent le modèle de la CSA pour se doter d'un code volontaire de protection des renseignements personnels. Bien que ces codes soient volontaires et ne soient donc pas juridiquement exécutoires, ils servent toujours de guide aux sociétés et aux particuliers sur le plan de la vie privée et des renseignements personnels.
Seulement trois provinces, soit le Québec, l'Alberta et la Colombie-Britannique, ont élaboré une législation qui se rapporte au secteur privé. Ces codes provinciaux prévalent sur la LPRPDE dans ces trois provinces, bien que le contenu de la législation soit très semblable.
En 2008, le Commissariat à la protection de la vie privée du Canada a proposé une résolution qui traite de la vie privée des enfants en ligne. Notant l'augmentation de la fréquence à laquelle les jeunes ont accès à la technologie et l'exigent pour communiquer avec les autres, apprendre, lire et réaliser des travaux scolaires, le Commissariat à la protection de la vie privée du Canada a conseillé vivement aux sites Web dont le contenu est destiné aux enfants de revoir la conception de leurs politiques de confidentialité afin que les jeunes puissent les lire et les comprendre, en plus d'assurer la conformité des sociétés commerciales en ce qui concerne les lois à l'égard de la vie privée, en particulier lorsqu'il s'agit des jeunes, et de souligner la nécessité de programmes d'éducation du public afin d'enseigner aux jeunes la valeur des renseignements personnels ainsi que leur droit à la vie privée et au contrôle de leurs renseignements. [2]
Aux États-Unis, il n'y a pas d'approche législative sus-jacente unique pour la vie privée et la protection de la vie privée. Au lieu de cela, les États-Unis adoptent une approche fragmentaire selon laquelle les normes et les lignes directrices diffèrent entre les secteurs de compétence et sont adoptées dans le cadre du droit coutumier (la common law), des constitutions fédérales et des États ainsi que des lois qui s'appliquent aux différents secteurs, problèmes et domaines. [3] Toutefois, plusieurs textes législatifs définissent la façon dont les renseignements personnels peuvent être recueillis et utilisés.
La USA PATRIOT Act (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act) [Unifiant et renforçant l'Amérique en offrant les outils appropriés nécessaires à l'interception et à l'obstruction des actes terroristes] est le texte législatif le plus connu. Cette loi a été promulguée par le gouvernement des États-Unis en octobre 2001 dans le but avoué d'accroître l'accès à l'information afin de prévenir et de combattre le terrorisme. [4] La loi réduisait les restrictions antérieures relatives au contrôle des individus et à la collecte et à l'accès aux renseignements personnels, tout en renforçant les pouvoirs de contrôle et d'observation des individus et des transactions financières.
La PATRIOT Act est une préoccupation mondiale, car elle permet expressément au gouvernement américain d'accéder aux renseignements personnels des citoyens des autres pays, à condition que ces renseignements soient physiquement présents aux États-Unis ou électroniquement accessibles. Alors que, à ce jour, le gouvernement fédéral n'a pas dévoilé l'usage de la PATRIOT Act pour accéder aux renseignements personnels de Canadiens [5], les dispositions incluses dans la loi permettent de limiter la démocratie aux États-Unis et ailleurs.
À l’échelle internationale, des organisations telles que l'Organisation des Nations Unies et l'UNICEF ont explicitement déclaré que le droit à la vie privée est un droit fondamental de la personne. En outre, l'Union européenne (UE) a élaboré un cadre pour la protection des renseignements personnels et la vie privée des citoyens de tous ses États membres.
Selon les principaux principes de l'accord de l'UE, les États membres prévoient que les données à caractère personnel doivent être :
- traitées loyalement et licitement ;
- recueillies pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités ;
- adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées ;
- exactes et, si nécessaire, mises à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, au regard des finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans délai ;
- conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles les données à caractère personnel sont traitées. [6]
De manière similaire à la législation du Canada sur la vie privée, ces principes font en sorte que les individus sont informés des fins pour lesquelles les renseignements sont recueillis, que ces motifs de collecte ne sont modifiés ni élargis sans obtention du consentement et que les renseignements personnels ne doivent être ni partagés ni dévoilés, sauf dans des situations spécifiques, comme lorsque le consentement est obtenu ou dans le cadre d'une enquête criminelle, par exemple.
[1] Ministère de la Justice. (2012). Loi sur la protection des renseignements personnels et les documents électroniques. Extrait le 14 mai de http://laws-lois.justice.gc.ca/fra/lois/P-8.6/page-2.html.
[2] Commissariat à la protection de la vie privée du Canada. (2008). Résolution des commissaires à la protection de la vie privée et responsables de la surveillance de la protection de la vie privée du Canada. Extrait le 14 mai 2012 de http://www.priv.gc.ca/media/nr-c/2008/res_080604_f.asp.
[3] Levin, A. & Nicholson, M.J. (2005). Privacy Law in the United States, the EU and Canada: The Allure of the Middle Ground. University of Ottawa Law & Technology Journal, 2(2), 357-395.
[4] Secrétariat du Conseil du Trésor du Canada. (2006). Foire aux questions : Résultats de l'évaluation approfondie de la USA PATRIOT Act. Accédé le 14 mai 2012 de http://www.tbs-sct.gc.ca/pubs_pol/gospubs/TBM_128/usapa/faq-fra.asp.
[5] Idem.
[6] Commission européenne. (2012). Proposition de directive du parlement européen et du conseil relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à libre circulation de ces données. Extrait le 14 mai 2012 de http://ec.europa.eu/home-affairs/doc_centre/police/docs/com_2012_10_fr.pdf.