Les principes dans les textes

L’étude du principe de finalité de façon isolée ne permet pas d’avoir un véritable aperçu du système de protection basé sur l’ensemble des principes de protection. De plus, les différents principes appellent à une application qui tienne compte du reste. Une vision d’ensemble s’impose afin de comprendre comment les textes encadrent la protection des renseignements personnels.

Nous avons étudié comment les textes œuvrant dans le contexte européen établissent de façon très claire les principes de loyauté de la collecte et du traitement, ainsi que le principe de spécification des finalités.

362 _{COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA, Rapport annuel}

Nous observons dans le paysage canadien que le principe de détermination des fins de la collecte a été adopté dans le contexte du secteur privé (paragraphe 4(2) Annexe 1 de la LPRPDE)) et que d’autres textes parlent plutôt des usages des renseignements personnels au sein de l’administration (Article 7 de la LPRP).

Le cadre légal canadien se base fondamentalement sur les principes relatifs à la limitation de l’utilisation, de la communication et de la conservation des renseignements personnels (paragraphe 4(5) Annexe 1 de la LPRPDE ), ainsi que sur des règles trouvant leur base dans les conditions devant régir la collecte des renseignements personnels, la conservation et le retrait de ces renseignements personnels dans le contexte du secteur public (Articles 4 à 6 de la LPRP).

Nous retrouvons également dans le contexte canadien des règles régentant la communication des renseignements personnels (Article 8 de la LPRP) dans l’administration et d’autres préconisant le principe d’exactitude (paragraphe 4(6) Annexe 1 de la LPRPDE)) des renseignements détenus par les organisations appartenant au secteur privé.

Le principe relatif à la qualité des données est également présent dans les dispositions contenues dans les instruments canadiens et européens (par exemple, à l’article 5 de la Convention 108 et au paragraphe 6(3) de la Loi et L modifiée). Un principe sur les conditions de conservation des données sous forme nominative par rapport aux finalités de collecte et de traitement (paragraphe 6(5) de la Loi I et L) est également préconisé par les textes.

Le catalogue de dispositions se divise parfois très clairement en « Obligations incombant aux responsables de traitements et droits des personnes » (Chapitre V de la Loi I et L) et en « Droits des personnes à l’égard des traitements de données à caractère personnel » (Section II de la Loi I et L modifiée) en reprenant ainsi les principes basiques de protection contenus également dans la Convention 108 et dans la Directive 95/46/CE.

Nous identifions ainsi certains droits des personnes à l’égard des traitements de données à caractère personnel, droits pouvant être exercés par les titulaires des renseignements personnels, tels que le droit d’accès de la personne concernée à ses données (par exemple, à l’article 12 de la Directive 95/46/CE et au paragraphe 4(9) Annexe 1 de la LPRPDE), le droit d’opposition de la personne concernée à que ses données soient traitées (article 14 de la Directive 95/46/CE et arts. 38 et suiv. de la Loi I et L modifiée), ainsi que le droit de rectification.

Nous repérons également le principe de « l’information de la personne concernée » (par exemple, aux articles 10 et 11 de la Directive 95/46/CE et article 32 de la Loi I et L modifiée) ainsi que d’autres dispositions consacrant le principe de transparence (paragraphe 4(8) Annexe 1 de la LPRPDE) devant être respecté dans le contexte des traitements à caractère personnel.

Les textes accordent également une importance particulière aux « Décisions individuelles automatisées » (article 15 de la Directive 95/46/CE), en reconnaissant le droit à toute personne de ne pas être soumise à une décision prise sur le seul fondement d’un traitement automatisé de données.

Nous observons que les textes disposent quelles sont les « Obligations incombant aux responsables de traitements » (Section 1 de la Loi I et L modifiée) et affirment le principe de responsabilité (paragraphe 4(1) Annexe 1 de la LPRPDE)), le principe relatif aux garanties complémentaires pour la personne concernée (art.8 de la Convention 108), ainsi que les principes de confidentialité (article 16 de la Directive 95/46/CE) et de sécurité des traitements (article 17 de la Directive 95/46/CE, article 7 de la de la Convention 108 et article 34 de la Loi I et L modifiée et art. 4.7 Annexe 1 de la LPRPDE).

Les législateurs ont procédé à la catégorisation de certaines données comme étant « sensibles » (article 8 de la Directive 95/46/CE) et pose les conditions pour établir des traitements portant sur des « Catégories particulières de traitements » (article 6

de la Convention 108 et articles 8 à 10 de la Loi I et L modifiée), qui visent à leur accorder une protection particulière en raison de leur degré de sensibilité.

Nous notons également que les textes établissent les conditions à respecter lors des transferts de données à caractère personnel vers des pays tiers (par exemple, aux articles 25 et 26 de la Directive 95/46/CE et aux arts. 68 et suiv. de la Loi I et L modifiée).

Des questions relatives aux exceptions et restrictions (art. 9 de la Convention 108), aux sanctions et aux recours (art. 10 de la Convention 108) ainsi qu’à la présentation d’une plainte (paragraphe 4(10) Annexe 1 de la LPRPDE) ont également été abordées par les textes en la matière.

Certaines dispositions font référence au principe du consentement (article 7 de la Loi I et L modifiée et paragraphe 4(3) Annexe 1 de la LPRPDE) de la personne concernée comme règle générale et condition essentielle pour le traitement de ses renseignements personnels.

En effet, une des nouveautés découlant de la Loi I et L modifiée est celle qui fait référence à la consécration à titre de principe général, de l’obligation d’obtenir le consentement des personnes fichées pour la mise en œuvre des traitements.

Comme certains l’ont souligné, le législateur a profité de la réforme de la loi française pour ériger le consentement à titre de principe à l’article 7 de la Loi I et L modifiée. Nous observons la grande importance que le législateur accorde à la nécessité du consentement, même si ce principe n’existait pas dans l’ancienne loi363.

Toutefois, le législateur a également multiplié considérablement le régime des exceptions, « au point qu’on peut se demander si les exceptions ne sont pas

devenues la règle »364. Il faut mettre l’accent sur une des cinq conditions pouvant remplacer à l’exigence du consentement que la loi I et L modifiée prévoit.

En effet, nous pouvons citer comme exemple l’exécution d’une mission de service public comme étant une des exceptions à la règle générale de l’obtention du consentement pour la mise en œuvre d’un traitement. Il s’agit de voir si la mise en place des fonctionnalités et des services propres à l’administration électronique pourrait s’assimiler à une mission de service public, pouvant supposer une exception au régime général du consentement préalable. Tout cela, bien sûr, si des conditions existent pour que les données personnelles restent confidentielles.

En général, nous retrouvons un catalogue de principes de protection des renseignements personnels plus ou moins équivalent, et cela des deux côtés de l’Atlantique. Le principe de finalité doit être appliqué au regard de cet ensemble de principes formant un « tout » qui accorde aux renseignements personnels une protection de base.

PARTIE 1 : L’application du principe de finalité et le recours aux standards