La protection des renseignements personnels est un domaine relativement jeune.

La protection des renseignements personnels est un domaine relativement jeune.

Mais, il est rapidement devenu essentiel pour les entreprises avec l'arrivée de l'informatique et la mondialisation des marchés.

Aujourd'hui, l'information voyage à une vitesse folle partout sur la planète.

Dans ce contexte, les vols d'identité, les fuites de renseignements et les failles des systèmes de sécurité sont de plus en plus fréquents. Et ils peuvent détruire la réputation d'une société.

Dès 1994, le Québec a été la première province canadienne à légiférer sur le sujet, rappelle Me Christine Carron, associée principale chez Ogilvy Renault.

Six ans plus tard, c'était au tour du gouvernement fédéral d'adopter une loi. Ces champs d'applications s'appliquent, dans certains cas, au Québec, à l'Alberta et à la Colombie-Britannique, les deux autres provinces à avoir légiféré dans le domaine.

Une entreprise qui fait affaire dans l'ensemble du pays doit donc se plier à toutes ces lois. Un véritable casse-tête canadien!

Comment s'en tirer?

"Les entreprises doivent identifier la norme la plus sévère (dans les quatre lois) et l'appliquer partout au pays", explique Raymond Doray, avocat spécialisé en droit de l'information chez Lavery, de Billy.

Sans oublier que la loi fédérale a des champs d'application précis qui s'imposent dans toutes les provinces (voir encadré).

En d'autres mots, il est nécessaire de décortiquer chacune des lois. De cette façon, on découvre celle qu'il faut adopter pour être légitime d'une province à l'autre.

Ainsi, pour la notion des renseignements personnels, la loi québécoise est la plus sévère.

Pour l'exactitude des renseignements? C'est la fédérale qui l'emporte. Et ainsi de suite.

Mais, la complexité de l'exercice n'est pas une excuse pour s'en soustraire.

Les avocats et les comptables sont de plus en plus sollicités pour aider les compagnies à bien faire leurs devoirs.

Sinon, les entreprises s'exposent à des plaintes et à des recours collectifs.

"On a longtemps dit que la pire sanction pour une entreprise était l'atteinte à sa réputation, dit Charles S. Morgan, associé en droit de la technologie chez McCarthy Tétrault. Mais les recours collectifs peuvent faire encore plus mal."

Pour aider les entreprises à s'y retrouver, ce dossier spécial présente différents conseils liés à la protection des renseignements personnels.

Principes de baseLes lois adoptées partout dans le monde reposent sur une prémisse essentielle: les renseignements personnels sont confidentiels. Il y a une obligation pour les entreprises de mettre en place des mesures de sécurité pour assurer le caractère confidentiel de ces renseignements.

Voici les grands principes:

1- Les sociétés ne peuvent recueillir que les renseignements qui sont nécessaires aux fonctions qu'elles exercent.

2- Elles ne peuvent utiliser les renseignements qu'avec le consentement de la personne ou l'autorisation de la loi.

3- Elles ne peuvent communiquer les renseignements qu'avec le consentement de la personne ou l'autorisation de la loi.

4- Dans certaines juridictions, l'on prévoit la destruction des renseignements. Dans plusieurs autres, on ne peut plus les utiliser lorsque leur finalité est accomplie.

5- On doit donner à la personne concernée accès à son dossier.

6- On doit lui permettre de le rectifier.

7- On doit mettre en place des mesures de sécurité aptes à assurer le caractère confidentiel des renseignements.

Champs d'application de la loi fédéralePour les sociétés de compétence fédérale exclusive, notamment les télécoms, les banques, le transport aérien, etc. Elle concerne les relations avec leurs employés et leurs clients. Elle s'applique partout au pays, incluant les provinces qui ont déjà une loi pour la protection des renseignements personnels.

> La loi fédérale s'intéresse aussi aux relations des sociétés avec leurs clients dans le cadre d'activités commerciales dans les provinces qui n'ont pas adopté de loi jugée adéquate par le fédéral.

> Enfin, elle s'applique pour les activités interprovinciales et internationales des sociétés. Dans ce cas, il est essentiellement question des relations avec les clients.