Le Commissaire à la vie privée du Canada clarifie l’interprétation des « renseignements sensibles » en vertu de la LPRPDE

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), la loi fédérale sur la protection de la vie privée dans le secteur privé, prévoit que les organisations doivent protéger les renseignements personnels au moyen de mesures de sécurité appropriées.

Ces mesures doivent être proportionnelles à la sensibilité des renseignements, laquelle est également essentielle pour déterminer la forme du consentement que les organisations doivent obtenir ainsi que pour évaluer si une violation des mesures de sécurité crée un risque réel de préjudice grave pour un individu.

Au fil des ans, les décisions des tribunaux et les conclusions du Commissariat à la protection de la vie privée (CPVP) ont donné naissance à des principes généraux d’interprétation de la notion de renseignements sensibles. Suite à une annonce initiale au mois d’août 2021, ces principes sont maintenant résumés dans un bulletin d’interprétation publié le 16 mai 2022 qui offre une mise à jour des lignes directrices du CPVP en ce qui a trait à l’interprétation de l’expression « renseignements sensibles » au sens de la LPRPDE.

Bien que les interprétations du CPVP ne soient pas juridiquement contraignantes, elles peuvent servir de guide utile aux organisations. D’ailleurs, le terme « renseignements sensibles » a déjà fait l’objet de discussions générales dans le contexte des orientations liées à la déclaration obligatoire des atteintes aux mesures de sécurité et dans le Bulletin d’interprétation : Renseignements personnels. Cependant, il s’agit du premier bulletin d’interprétation sur le sujet depuis l’adoption de la LPRPDE.

Contexte dans l’évaluation de la sensibilité

En vertu de la LPRPDE, certaines catégories de renseignements seront généralement toujours considérées comme sensibles (et nécessiteront donc un degré de protection plus élevé). Il s’agit notamment des renseignements sur la santé, sur les finances, les origines ethniques et raciales, les opinions politiques, les données génétiques et biométriques, la vie sexuelle ou l’orientation sexuelle d’un individu et les croyances religieuses ou philosophiques.

Toutefois, d’autres types de renseignements personnels peuvent aussi être considérés comme sensibles, selon le contexte.

Le CPVP nous rappelle qu’il peut y avoir des circonstances particulières qui accroissent la sensibilité de renseignements personnels autrement non sensibles. Ce principe a été établi par la Cour suprême du Canada dans R c. Spencer, cause dans laquelle un agent de police a demandé à un fournisseur de services Internet d’obtenir les renseignements de l’abonné associés à une adresse IP. Par exemple, le CPVP fait remarquer que les adresses de courriels électroniques pourraient être considérées comme sensibles lorsque le contexte le justifie, notamment si les renseignements revêtent une nature plus sensible lorsque liés à des services qui peuvent révéler les activités et les préférences personnelles d’un utilisateur. Cependant, compte tenu de l’objectif de la LPRPDE, il faut également établir un équilibre entre le droit à la vie privée des personnes et la nécessité de faciliter l’utilisation des renseignements personnels à des fins commerciales appropriées.

Exemples de « renseignements sensibles »

La Cour fédérale a statué que les renseignements médicaux et sur la santé doivent être considérés comme étant de la plus grande sensibilité et devraient donc recevoir le plus haut degré de protection. Dans le même ordre d’idée, le CPVP souligne que les renseignements financiers et les renseignements d’identification détaillés, comme un numéro d’assurance sociale, une date de naissance ou les réponses à des questions de sécurité, sont généralement considérés comme extrêmement sensibles. Les renseignements personnels qui risquent de nuire à la réputation d’une personne, comme les plaintes relatives aux droits de la personne, les audiences d’immigration et les procédures de faillite, sont également considérés comme sensibles.

Le Commissariat adopte une approche plus souple à l’égard de certains renseignements, comme les adresses courriels électroniques, qui peuvent néanmoins être considérés comme sensibles dans « certains contextes uniques ». Le CPVP reconnaît également que la combinaison de différentes données peut avoir un certain degré de sensibilité qui peut être accentué par l’environnement de risque connu.

Projet de loi 64 au Québec

En comparaison, une modification apportée par le projet de loi 64 à la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP) du Québec prévoit que le consentement doit être donné expressément lorsqu’il s’agit de renseignements personnels sensibles. Bien qu’elle ne soit pas encore en vigueur, la modification prévoit également qu’aux fins de la LPRPSP, un renseignement personnel est « sensible lorsque, de par sa nature notamment médicale, biométrique ou autrement intime, ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d’attente raisonnable en matière de vie privée. »

Respect du RGPD

Le Règlement général sur la protection des données (RGPD) harmonise la législation sur la vie privée dans l’UE. Le RGPD prévoit que tous les quatre ans, les lois des autres juridictions seront examinées pour déterminer leur adéquation par rapport aux normes du RGPD.

En 2001, la LPRPDE canadienne a été reconnue par l’UE comme offrant une protection adéquate. Pour que les données puissent circuler librement entre le Canada et l’UE, il est essentiel que le Canada maintienne ce statut d’adéquation qui est actuellement à l’étude. Étant donné que le RGPD a déterminé des catégories précises de renseignements personnels sensibles, la clarification apportée par le dernier bulletin d’interprétation du CPVP vise à permettre une comparaison plus précise afin d’appuyer le maintien de l’adéquation du Canada.

Pour toute question que votre organisation pourrait avoir au sujet du présent bulletin d’interprétation, de la conformité générale à la LPRPDE et à d’autres lois canadiennes sur la protection des renseignements personnels y compris les récentes modifications apportées au Québec, n’hésitez pas à communiquer avec nous.