Le 1er janvier 2004, de nouvelles lois - fĂ©dĂ©rale et provinciales - entreront en vigueur et modifieront en profondeur les normes que les avocats et avocates de la pratique privĂ©e devront suivre lorsqu’ils et elles auront Ă traiter des renseignements personnels dans le cadre de leur cabinet.
La Loi fĂ©dĂ©rale sur la protection des renseignements personnels et les documents Ă©lectroniques (LPRPDÉ) s’appliquera aux cabinets juridiques et aux juristes qui recueillent, utilisent et divulguent des renseignements personnels dans le cadre de leurs activitĂ©s commerciales, exceptĂ© pour ce qui est des opĂ©rations entièrement entreprises au sein d’une province disposant d’une lĂ©gislation provinciale qui aura Ă©tĂ© dĂ©clarĂ©e « essentiellement similaire » Ă la loi fĂ©dĂ©rale . Trois provinces ont Ă l’heure actuelle une lĂ©gislation d’application gĂ©nĂ©rale sur la protection de la vie privĂ©e—au QuĂ©bec, en Colombie-Britannique et en Alberta.
Ces lois obligeront les cabinets juridiques Ă ne recueillir, utiliser et divulguer les renseignements personnels d’un particulier qu’avec son contentement, lequel peut ĂŞtre exprès ou implicite, selon la dĂ©licatesse des renseignements visĂ©s et des attentes raisonnables de cette personne. Il existe certes des exceptions Ă cette règle, elles sont cependant limitĂ©es. Les lois obligeront en outre les cabinets juridiques Ă charger un de leurs cadres Ă veiller au respect de la loi au sein du cabinet et Ă instaurer des politiques et pratiques (et Ă former les employĂ©es et employĂ©s afin de s’y conformer) qui mettent en Ĺ“uvre les exigences des lois.
Les 10 principes que les cabinets juridiques devront respecter figurent Ă l’annexe 1 de la LPRPDÉ et sont ainsi Ă©numĂ©rĂ©s : responsabilitĂ©; dĂ©termination des fins de la collecte des renseignements; consentement; limitation de la collecte; limitation de l’utilisation, de la communication et de la conservation; exactitude; mesures de sĂ©curitĂ©; transparence; accès aux renseignements personnels; et possibilitĂ© de porter plainte Ă l’Ă©gard du non-respect des principes.
Afin de réaliser cet objectif de conformité aux obligations prescrites par ces lois, le cabinet du Commissaire à la protection de la vie privée du Canada a recommandé à toutes les organisations du secteur privé de procéder à une évaluation de leurs pratiques en matière de renseignements personnels.
Pour veiller Ă ce que votre cabinet juridique respecte bien la loi, vous devrez suivre les Ă©tapes suivantes :
1. Nommez un agent, une agente chargé des questions de vie privée
Faites en sorte de dĂ©signer un agent ou une agente dotĂ© du pouvoir et des ressources suffisants pour accomplir ces fonctions. Cette personne jouerait le rĂ´le de personne ressource pour la clientèle, les employĂ©s, les employĂ©es, les tiers et le public aussitĂ´t qu’une question liĂ©e Ă la protection de la vie privĂ©e surgit. Cette personne serait en outre tenue de veiller au respect des principes et politiques sur le respect de la vie privĂ©e au sein du cabinet juridique.
Dans les cabinets juridiques plus importants, il est possible de rĂ©partir cette responsabilitĂ© entre plusieurs personnes. Une Ă©quipe sera d’autant plus efficace que plusieurs secteurs du cabinet, tels que la technologie d’information, la gestion des dossiers, les services Ă la clientèle, les ressources humaines, les opĂ©rations financières et le marketing risquent d’ĂŞtre touchĂ©s.
2. Familiarisez-vous avec la législation applicable
Votre cabinet devra connaĂ®tre en profondeur la loi, tout au moins la LPRPDÉ. On peut consulter des outils de rĂ©fĂ©rence sur le site Web du Commissaire fĂ©dĂ©ral Ă la protection de la vie privĂ©e Ă l’adresse suivante : www.privcom.gc.ca. Le principe fondamental de la LPRPDÉ est que votre cabinet doit obtenir le consentement d’une personne pour pouvoir recueillir, utiliser ou divulguer ses renseignements personnels, sous rĂ©serve des exceptions limitĂ©es prĂ©vues par la loi. Les renseignements personnels sont dĂ©finis comme Ă©tant tout renseignement concernant un individu identifiable, Ă l’exclusion du nom et du titre d’un employĂ© d’une organisation et des adresse et numĂ©ro de tĂ©lĂ©phone de son lieu de travail. Les obligations imposĂ©es aux cabinets juridiques prĂ©valent donc sur le devoir de confidentialitĂ© que le conseiller juridique a envers sa clientèle. Les exceptions prĂ©vues Ă l’article 7 de la loi sont particulièrement importantes pour votre cabinet dans la mesure oĂą elles concernent les enquĂŞtes, le recouvrement de dettes, les renseignements accessibles au public, les productions obligatoires et les divulgations « exigĂ©es par la loi ».
3. Analysez toutes les pratiques relatives au traitement des renseignements personnels
Votre cabinet juridique est responsable de la collecte, de l’utilisation et de la divulgation des renseignements personnels Ă compter de leur rĂ©ception jusqu’Ă leur destruction. Posez-vous donc les questions suivantes :
- Quels types de renseignements personnels recueillez-vous (p.ex., ceux de la clientèle, de tiers, de clientes et clients potentiels, de parties adverses potentielles, d’employĂ©s, d’employĂ©es, de futurs employĂ©s et employĂ©es, de spĂ©cialistes). Pour quelle(s) raison(s) et de quelle manière?
- Quels renseignements sont-ils considérés comme délicats (médicaux, financiers, etc.)?
- Quel usage en faites-vous? À quel endroit les utilisez-vous?
- Ă€ qui ces renseignements sont-ils divulguĂ©s? Votre cabinet juridique transmet-il ou divulgue-t-il ces renseignements personnels Ă des fournisseurs de services? (Nota : transmettre des renseignements aux seules fins de traiter des donnĂ©es n’exige pas le consentement de l’intĂ©ressĂ©)
- OĂą ces renseignements sont-ils conservĂ©s? Sur place? Ă€ l’extĂ©rieur du cabinet?
- Quelle méthode utilisez-vous pour assurer leur sécurité?
- Qui peut y accéder ou les utiliser? Qui doit y avoir accès?
- À quel moment ces renseignements sont-ils détruits? Et de quelle manière?
4. Obtenez les consentements requis
Êtes-vous en mesure de répondre aux questions suivantes :
- S’agit-il de renseignements personnels?
- Avez-vous obtenu le consentement, exprès ou implicite, de la personne visĂ©e en vue de recueillir, d’utiliser ou de divulguer ses renseignements personnels? (Nota : les renseignements de nature dĂ©licate exigent un consentement exprès)
- Lorsque vous obtenez ce consentement, la personne visée était-elle au courant des objectifs pour lesquels les resneignements étaient receuillis, utilisés ou divulgués?
- L’avez-vous avisĂ©e de son droit de retirer son consentement?
- Votre cabinet peut-il se prĂ©valoir des exceptions prĂ©vues? (Nota : n’oubliez pas l’exception limitĂ©e prescrite Ă l’article 7 de la LPRPDÉ)
5. Élaborez des politiques et des pratiques en matière de protection de la vie privée
Les politiques en question ne devraient ĂŞtre adoptĂ©es qu’Ă l’issue de l’Ă©valuation exhaustive telle que dĂ©crite ci-dessus. Les renseignements obtenus en vertu de ces politiques devront ĂŞtre mises Ă la disposition du public, sur demande. Élaborez et mettez en vigueur des politiques et pratiques dans les domaines suivants :
- DĂ©finir les objectifs visĂ©s par la collecte, l’utilisation et la divulgation des renseignements
- Les méthodes visant à obtenir et consigner les consentements requis et la gestion des retraits de consentement
- Les méthodes visant à consigner les utilisations et divulgations des renseignements personnels
- Les méthodes visant à tenir les renseignements aussi à jour que possible pour prendre des décisions éclairées
- La limitation de la collecte, de l’utilisation et de la divulgation
- Les mesures de sĂ©curitĂ© adĂ©quates pour protĂ©ger les renseignements personnels de la clientèle, des tiers et des employĂ©s Ă l’aide de mesures concrètes, technologiques et indispensables qui respectent la nature dĂ©licate des renseignements visĂ©s
- Des procédures de conservation et de destruction qui vous permettent de détruire des renseignements personnels devenus inutilisables compte tenu des objectifs de leur collecte. Cette politique différera sans doute des politiques de conservation actuellement en vigueur dans votre cabinet juridique
- ProcĂ©dures relatives au traitement des demandes d’accès aux renseignements et au traitement des enquĂŞtes et des plaintes
6. Examinez votre documentation
Vous devriez passer en revue les documents tels que les mandats, les lettres d’engagement, tec, afin de dĂ©terminer dans quelle mesure vous disposez des consentements requis concernant les renseignements personnels que vous pouvez receuillir, utiliser ou divulguer dans le cadre de votre mandat.
Votre site web devrait renfermer une dĂ©claration au sujet de la politique en vigueur dans votre cabinet. Si vous n’avez pas de site web, vous devez ĂŞtre en mesure de fournir des dĂ©tails sur vos politiques, sur demande. Votre responsabilitĂ© en matière de respect de la vie privĂ©e s’Ă©tend Ă l’entente conclue avec un conseiller externe Ă qui vous transmettez des renseignements personnels. Si votre cabinet transmet ce type de rensseignements Ă des tiers, dans ce cas tous les contrats affĂ©rents devraient contenir des clauses prĂ©cisant que le cabinet est lĂ©galement responsable de ces renseignements personnels et devraient aussi prĂ©voir des mesures de sĂ©curitĂ© adĂ©quates. Vous pouvez Ă©galement stipuler dans ces contrats les modalitĂ©s d’indemnisation et les droits de vĂ©rification.
7. Mettez vos pratiques Ă l’Ă©preuve
VĂ©rifiez si les procĂ©dures adoptĂ©es par votre cabinet en matière de traitement de l’information satisfait aux exigences prĂ©vues par la Loi. Dressez un plan pour combler les lacunes ainsi relevĂ©es, en commençant par les secteurs les plus problĂ©matiques. Ce qui comprend le traitement des renseignements personnels recueillis les plus dĂ©licats ou les renseignements les plus susceptibles d’ĂŞtre utilisĂ©s ou divulguĂ©s Ă mauvais escient.
8. Formez les avocats et le personnel
Veillez Ă dispenser aux membres du personnel de votre cabinet juridique la formation nĂ©cessaire pour qu’ils puissent s’acquitter de leurs responsabilitĂ©s en matière de respecter de la vie privĂ©e. Cette formation peut porter sur les questions suivantes :
- Les principes régissant la protection des renseignements personnels
- Les politiques et pratiques en vigueur dans l’organisation
- La manière dont la Loi influence leurs tâches spĂ©cifiques et les renseignements personnels qu’ils auront Ă traiter ou dont ils seront responsables dans le cadre de leurs fonctions
- La manière dont ils devront répondre ou référer des questions posées en rapport avec la législation sur la protection de la vie privée
9. Soyez prĂŞts Ă rĂ©pondre aux demande d’accès
En gĂ©nĂ©ral, une personne a le droit d’accĂ©der Ă ses renseignements personnels dans les 30 jours suivant sa demande. Par consĂ©quent, Ă©tudiez la question avec votre client qui sera chargĂ© de remplir toute demande d’accès de demande de renseignements personnels contenus dans les dossiers de ce client. Soyez conscient de l’exception applicable au privilège du secret professionnel et des autres exceptions limitĂ©es Ă ce droit d’accès. Si votre cabinet juridique est obligĂ© d’accepter un accès aux renseignements, soyez au fait des pĂ©riodes de prescription prĂ©vues par les lois applicables.
10. Soyez prêts à répondre aux plaintes/enquêtes au sujet des pratiques du cabinet en matière de renseignements personnels
Toute personne peut dĂ©poser une plainte au sujet d’une violation de la vie privĂ©e auprès du bureau du Commissaire. La plainte peut ĂŞtre anonyme. La Loi prĂ©voit en outre une mesure de protection pour la personne qui dĂ©nonce une telle violation. Lorsqu’une plainte concerne votre cabinet, il vaut mieux que votre cabinet soit conciliant et accepte de coopĂ©rer avec l’enquĂŞteur dĂ©signĂ© pour traiter la plainte. Rappelez-vous que bon nombre de plaintes donnent lieu Ă des reportages peu reluisants dans les mĂ©dias et Ă des conclusions nĂ©gatives de la part du Commissaire.
Ces lignes directrices ont Ă©tĂ© prĂ©parĂ©es par Jeffrey Kaufman de chez Fasken Martineau DuMoulin s.r.l., co-prĂ©sident de la Section sur le respect de la vie privĂ©e de l’ABO et membre de l’ExĂ©cutif de la Section nationale sur le droit de la vie privĂ©e de l’ABC. Karen Spector, avocate, et Mark Hayes de chez Ogilvy Renault, tous deux membres de l’ExĂ©cutif de la Section sur le droit de la vie privĂ©e de la division ontarienne de l’ABC, ont collaborĂ© Ă la conception de ces lignes directrices.
Pour obtenir des renseignements sur les conditions de l’adhĂ©sion Ă la Section nationale sur le droit de la vie privĂ©e de l’ABC et pour recevoir ses bulletins et des renseignements au sujet des questions liĂ©es Ă la protction des renseignements personnels, rendez-vous sur http://www.cba.org/ABC/Sections/privacy_f.