Écrit par Michael R. Whitt Q.C., James D. Beeby, Stephen D. Burns, Kees de Ridder and Graeme S. Harrison

À la suite de la récente légalisation du cannabis, les détaillants privés sont ouverts aux affaires d’un océan à l’autre. Bien que le cannabis demeure illégal dans d’autres territoires de compétence, les renseignements personnels des consommateurs de cannabis sont très sensibles. À la lumière de ce qui se passe, la commissaire à la protection de la vie privée de la Colombie-Britannique a publié un document d’orientation pour aider les détaillants à comprendre leurs obligations.

Les lignes directrices sont fondées sur l’interprétation que fait le commissaire de la Personal Information Protection Act (Colombie-Britannique), en particulier de l’article 11, qui prévoit que « ... une organisation ne peut recueillir des renseignements personnels qu’à des fins qu’une personne raisonnable jugerait appropriées dans les circonstances...

Le commissaire souligne la nécessité pour les détaillants d’informer les personnes des renseignements personnels recueillis et des fins de leur collecte; et recommande un ensemble de pratiques exemplaires pour les détaillants de cannabis :

• utiliser la surveillance vidéo seulement si des mesures moins envahissantes pour la vie privée, comme l’embauche d’un agent de sécurité, sont infructueuses;
• afficher des affiches clairement visibles à l’extérieur des points de vente au détail pour les avertir de toute surveillance vidéo;
• pour les transactions de cannabis en personne, demander une pièce d’identité pour s’assurer que l’acheteur a plus de 19 ans, mais ne pas enregistrer les renseignements personnels de l’acheteur;
• si un achat est effectué à l’aide d’une carte de crédit, la collecte du numéro de carte de crédit et du nom du titulaire de la carte est autorisée;
• recueillir le moins de renseignements possible, p. ex., si un détaillant offre un club d’adhésion ou un bulletin d’information, recueillir des adresses de courriel, mais pas des noms;
• éviter de stocker les renseignements personnels des clients sur les services d’informatique en nuage, en particulier ceux situés à l’extérieur du Canada;
• établir des mesures de sécurité physique, comme le verrouillage des classeurs et des bureaux de gestion, et le déchiquetage des documents;
• établir des mesures de sécurité technologiques, telles que le cryptage, les pare-feu, la restriction de l’accès des employés, l’utilisation d’identifiants électroniques uniques pour chaque membre du personnel et la suppression des informations personnelles qui ne sont plus nécessaires; et
• établir des mesures de sécurité administratives, comme des politiques de protection de la vie privée, une formation obligatoire du personnel, des évaluations régulières des risques, des processus de réponse aux plaintes, la désignation d’un agent de la protection de la vie privée et la surveillance de la conformité.

En plus des directives du commissaire de la Colombie-Britannique, les détaillants voudront peut-être tenir compte de l’étendue de tout contenu détaillé dans les renseignements sur la transaction fournis aux fournisseurs de points de vente, de dédouanement de carte ou de paiement, et tenter d’éviter de divulguer explicitement des renseignements qui pourraient incriminer leurs clients dans les territoires où l’achat ou la consommation de cannabis n’est pas autorisé.

Par exemple, une description de transaction générique pourrait présenter moins de risques pour le client qu’une description détaillant un achat de ce qui peut être une substance illégale dans d’autres juridictions. Le fournisseur peut à la place utiliser une description de type de référence d’une transaction, telle qu’un jeton, un numéro de série ou un lien, auquel le fournisseur, mais pas des tiers, peuvent accéder à des fins de gestion de la relation du fournisseur avec le client.

La Loi est délibérément vague dans son exigence que les organisations prennent des « dispositions de sécurité raisonnables pour empêcher l’accès non autorisé » aux données personnelles sous leur garde. Cela oblige les organisations à mettre à jour leurs mesures de sécurité physiques, technologiques et administratives à mesure que la technologie et l’industrie progressent. Lorsqu’on lit des documents d’orientation fournis par le commissaire, il faut tenir compte du rôle de l’organisme de réglementation dans la promotion de la protection de la vie privée des consommateurs – dans certains cas, les lignes directrices peuvent être plus rigoureuses que les tribunaux ont ou peuvent interpréter les obligations commerciales. 

Si vous souhaitez en savoir plus sur ce que votre entreprise peut faire pour se conformer aux lois canadiennes sur la protection de la vie privée, les membres de notre équipe de Privacy and Data Protection peuvent vous aider.