Les atteintes à la vie privée – déjà supervisées par le Commissariat à la protection de la vie privée du Canada (ainsi que par les commissaires provinciaux à la protection de la vie privée) – pourraient bientôt faire l’objet d’amendes en vertu de la Loi sur la concurrence fédérale. Dans une déclaration faite hier lors de la 26e Conférence annuelle sur le droit de la publicité et du marketing à Toronto, un haut fonctionnaire du Bureau de la concurrence a confirmé que le Bureau de la concurrence a l’intention de prendre des mesures lorsque les organisations « font des déclarations fausses ou trompeuses sur le type de données qu’elles recueillent, pourquoi elles les recueillent et comment elles les utiliseront, les conserveront et les effaceront ».
On ne sauriez sous-estimer l’importance de cette déclaration. Toutes les organisations qui ont la garde ou le contrôle de renseignements personnels devraient en prendre immédiatement note compte tenu des amendes qui pourraient être imposées pour des pratiques commerciales trompeuses comportant des questions de protection de la vie privée.
En vertu des lois fédérales et provinciales canadiennes sur la protection des renseignements personnels, les organisations sont tenues de mettre en œuvre une sécurité raisonnable pour les renseignements personnels dont elles ont la garde ou le contrôle et d’obtenir le consentement valable d’une personne en ce qui concerne l’utilisation et la communication des renseignements personnels de cette personne. La loi fédérale sur la protection des renseignements personnels semble avoir peu de mordant en ce qu’il n’y a pas d’amendes pour défaut de se conformer à ces obligations.
En revanche, en vertu de la Loi sur la concurrence, il y a des amendes importantes pour les pratiques commerciales déloyales ou trompeuses. Le Bureau de la concurrence peut demander une pénalité administrative pouvant aller jusqu’à 10 millions de dollars et jusqu’à concurrence de 15 millions de dollars pour chaque ordonnance subséquente contre la société. Dans le cas d’une personne, le Bureau de la concurrence peut demander une pénalité administrative pouvant aller jusqu’à 750 000 $ et jusqu’à 1 million de dollars pour chaque ordonnance subséquente contre le particulier.
Les politiques de confidentialité qui sont affichées sur les sites Web et mises à la disposition des consommateurs comprennent presque toujours une déclaration du genre « nous prenons toutes les mesures raisonnables pour protéger vos informations » ou « nous n’utiliserons vos informations qu’aux fins pour lesquelles le consentement a été donné ». Si l’on soupçonne qu’un manquement révèle un manquement à ces engagements, le Bureau de la concurrence peut engager des procédures d’application de la loi. Même en l’espace de ces déclarations expresses, il est concevable que le Bureau de la concurrence cherche à faire respecter les atteintes à la vie privée en vertu de ce qui est considéré comme des déclarations implicites aux consommateurs.
La Federal Trade Commission (FTC) des États-Unis s’appuie depuis longtemps sur son pouvoir de réglementer les actes ou pratiques malhonnêtes ou trompeurs dans le contexte d’un défaut des organisations de mettre en œuvre des mesures de protection raisonnables ou de l’utilisation de renseignements personnels au-delà de la portée du consentement. Aux États-Unis, la FTC a imposé avec succès des amendes importantes aux entreprises pour de telles violations.
Comme nous l’avons déjà signalé, et comme nous l’avons réédité en mai 2019, l’engagement de la FTC à réglementer les atteintes à la vie privée laissait présager des choses à venir au Canada. En mai 2019, il y a eu la première indication publique que la Loi sur la concurrence peut être invoquée pour réglementer la protection de la vie privée - lors d’un forum à Ottawa, le commissaire à la concurrence a commenté que les amendes pour les pratiques commerciales trompeuses peuvent être appropriées pour les violations de la vie privée par les fabricants d’applications.
Compte tenu de cette tendance, les administrateurs et les dirigeants devraient prendre note au-delà du risque pour la société elle-même. Récemment, la FTC a conclu un règlement impliquant une amende contre l’ancien PDG d’une entreprise en lien avec un défaut de protection des renseignements personnels par l’entreprise.1
Afin de se protéger contre les amendes potentielles en vertu de la Loi sur la concurrence, il est important que les organisations (et leurs cadres supérieurs) investissent le temps et les ressources nécessaires pour comprendre les catégories précises de renseignements personnels qu’ils ont sous leur garde ou leur contrôle, les mesures (technologiques, opérationnelles et physiques) mises en œuvre pour protéger ces renseignements, et toute lacune dans ce qui est requis dans les circonstances compte tenu de la sensibilité des renseignements, les normes et les lignes directrices de l’industrie qui prescrivent efficacement des contrôles particuliers. De plus, les organisations (et leurs cadres supérieurs) doivent déterminer comment elles utilisent les renseignements personnels et si cette utilisation dépasse la portée du consentement obtenu. Ce processus est souvent appelé « évaluation des risques et de la vulnérabilité » ou « analyse des lacunes », pour laquelle l’assistance d’experts (juridique et médico-légal) est recommandée.
Aujourd’hui, les enjeux sont plus élevés et les entreprises doivent investir les ressources nécessaires pour savoir si elles font ce qu’elles disent lorsqu’il s’agit de questions de protection de la vie privée.
Si vous avez besoin de plus amples renseignements à ce sujet, veuillez communiquer avec l’équipe de protection de la vie privée et des données de Bennett Jones.
1 En janvier 2020, la FTC a finalisé un règlement avec InfoTrax Systems, LC et son ancien PDG à la suite d’allégations selon lesquelles ils n’avaient pas utilisé de protections de sécurité raisonnables, peu coûteuses et facilement disponibles pour protéger les renseignements personnels qu’ils conservaient.