Top Class Actions Official Logo

Protection de la vie privée pour les entreprises canadiennes

Top Class Actions  |  July 10, 2020

Category: Fr-Privacy
Follow Article

Top Class Actions’s website and social media posts use affiliate links. If you make a purchase using such links, we may receive a commission, but it will not result in any additional charges to you. Please review our Affiliate Link Disclosure for more information.

shopkeeper swiping credit card potential privacy breach

Au cours des derniers mois, les Canadiens ont été confrontés à de nombreuses atteintes à la vie privée et à des cyberattaques visant de grandes entreprises, telles que MGM Resorts et Fitness Depot. Des recours collectifs ont été intentés contre ces entreprises pour manque d’infrastructures de sécurité. Parmi ces poursuites, la plus récente, et peut-être la plus importante, concerne LifeLabs, l’une des plus grandes sociétés spécialisées dans les analyses médicales au monde. Dans cette affaire, une cyberattaque contre la multinationale était considérée comme la plus grande violation de la vie privée en matière de cybersécurité de l’histoire du Canada.

Ces recours collectifs en matière de protection de la vie privée se concentrent sur un point essentiel : les entreprises ont fait preuve de négligence dans la protection des données des consommateurs. Les demandeurs ont la possibilité de faire valoir une telle revendication car le Canada dispose de lois fédérales et provinciales visant à assurer que les entreprises respectent certaines normes en matière de protection des données.

La loi la plus importante du Canada en matière de protection de la vie privée dans le secteur privé est la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Au cours de cet article, nous examinerons les exigences de la LPRPDE en matière de protection de la vie privée imposées aux entreprises à la lumière de cas récents et importants de violation de la vie privée.

Qu’est-ce que la LPRPDE ?

La LPRPDE est la loi fédérale canadienne qui s’applique aux organisations du secteur privé qui recueillent, utilisent ou communiquent des renseignements personnels dans le cadre de leurs activités commerciales, telles que les données privées de votre compte Amazon ou les informations personnelles associées à votre abonnement à une salle de sport.

Les provinces qui disposent d’une législation sur la protection de la vie privée dans le secteur privé jugée essentiellement similaire à la LPRPDE, se conforment aux règles provinciales en matière de protection de la vie privée. Parmi les provinces canadiennes qui sont exemptées de la LPRPDE de manière plus ou moins importante, on trouve l’Alberta, la Colombie-Britannique, le Québec, l’Ontario, le Nouveau-Brunswick, la Nouvelle-Écosse et Terre-Neuve-et-Labrador.

Les entreprises qui exercent des activités au Canada et qui traitent des renseignements personnels qui vont au-delà des frontières provinciales ou nationales sont assujetties à la LPRPDE, quel que soit le territoire ou la province où elles se situent. Cela inclut les entreprises basées dans des provinces dont la législation provinciale sur la protection de la vie privée est essentiellement similaire à la LPRPDE.

Qu’est-ce que les renseignements personnels ?

La LPRPDE définit les renseignements personnels comme « tout renseignement concernant un individu identifiable  ». On entend par « renseignements personnels » les renseignements concernant un individu identifiable lorsqu’il existe une possibilité sérieuse qu’un individu puisse être identifié par l’utilisation de ces renseignements, seuls ou en combinaison avec d’autres renseignements.

Les renseignements personnels comprennent :

  • l’âge, le nom, un numéro d’identification, le revenu, l’origine ethnique ou le groupe sanguin ;
  • une opinion, une évaluation, un commentaire, le statut social ou une mesure disciplinaire ; et
  • le dossier d’un employé, un dossier de crédit ou de prêt, un dossier médical, l’existence d’un différend entre un consommateur et un commerçant ou le projet d’une personne (par exemple, l’intention d’acquérir des biens ou des services ou de changer d’emploi).

Les règles de protection de la vie privée de la LPRPDE

La LPRPDE énonce dix principes relatifs à l’équité dans le traitement de l’information que les entreprises canadiennes doivent respecter :

  • Responsabilité : une entreprise est responsable des renseignements personnels dont elle a la gestion. Elle doit nommer une personne qui devra s’assurer de sa conformité à ces principes relatifs à l’équité.
  • Détermination des fins de la collecte des renseignements : les fins auxquelles des renseignements personnels sont recueillis doivent être déterminées par l’organisation avant la collecte ou au moment de celle-ci.
  • Consentement : les entreprise doivent obtenir un consentement valable pour la collecte, l’utilisation et la communication de renseignements personnels.
  • Limitation de la collecte : les entreprises ne peuvent recueillir que les renseignements personnels nécessaires aux fins déterminées et doit procéder de façon honnête et licite.
  • Limitation de l’utilisation, de la communication et de la conservation : à moins que la personne concernée n’y consente ou que la loi ne l’exige, les renseignements personnels ne doivent être utilisés ou communiqués qu’aux fins auxquelles ils ont été recueillis. On ne doit conserver les renseignements personnels qu’aussi longtemps que nécessaire pour répondre à ces fins.
  • Exactitude : les renseignements personnels doivent être aussi exacts, complets et à jour que possible afin de satisfaire aux fins auxquelles ils sont destinés.
  • Mesures de sécurité : les entreprise doivent protéger les renseignements personnelles d’une manière adaptée à leur degré de sensibilité.
  • Transparence : les entreprises doivent faire en sorte que des renseignements précis sur leurs politiques et leurs pratiques concernant la gestion des renseignements personnels soient facilement accessibles au public.
  • Accès aux renseignements personnels : les entreprises doivent informer toute personne qui en fait la demande de l’existence de renseignements personnels qui la concernent, de l’usage qui en est fait et du fait qu’ils ont été communiqués à des tiers, et lui permettre de les consulter. Il sera aussi possible de contester l’exactitude et l’intégralité des renseignements et d’y faire apporter les corrections appropriées.
  • Possibilité de porter plainte à l’égard du non-respect des principes : toute personne doit être en mesure de se plaindre du non-respect par une entreprise des principes de la LPRPDE.

Respect de la vie privée et publicité comportementale en ligne

La publicité comportementale en ligne suppose le suivi des activités des consommateurs en ligne. Cette pratique est devenue une question de vie privée très répandue. Un recours collectif récent en matière de protection de la vie privée contre Bell Mobilité alléguait que les données personnelles des clients étaient systématiquement Open red lock as consumer data breachedvendues à des tiers sans le consentement explicite ou même à l’insu de leurs clients. Time Hortons voit également ses pratiques de suivi des clients provoquer des réactions négatives, car les autorités réglementaires enquêtent sur des allégations selon lesquelles Tim Hortons aurait violé les lois sur la protection de la vie privée en suivant les déplacements des utilisateurs de son application mobile de commande sans le consentement préalable requis.

Les pratiques de suivi sont devenues une stratégie importante de la publicité comportementale en ligne. Les renseignements sur les consommateurs sont devenus un outil précieux pour adapter les publicités en fonction des activités de navigation d’un individu, ce qui peut inclure les habitudes d’achat et les recherches effectuées en ligne. Une des préoccupations majeures en matière de protection de la vie privée soulevées par les autorités réglementaires et les consommateurs porte sur le fait que, compte tenu de l’étendue et de l’échelle des informations recueillies, des moyens disponibles pour analyser les données et de la nature personnalisée de l’activité, il est fort possible que les données soient liées à un individu.

Les agences de publicité comportementale utilisent souvent des algorithmes sophistiqués pour analyser les données recueillies, établir des profils personnels détaillés d’utilisateurs et associer ces profils à différentes catégories de champs d’intérêt. Les utilisateurs d’une catégorie donnée se font ainsi présenter des annonces ciblées selon leurs champs d’intérêt présumés.

La publicité comportementale en ligne est légale tant que la collecte de données sur les consommateurs est considérée comme une activité raisonnable en vertu de la LPRPDE. Cependant, la LPRPDE exige que le suivi des consommateurs et la publicité comportementale soient effectués selon certains paramètres, et ne soient pas considérés comme une condition de service pour l’accès et l’utilisation d’Internet.

Par exemple, la LPRPDE exige qu’une personne soit informée de la collecte, de l’utilisation ou de la communication de renseignements personnels et qu’elle y consente. La LPRPDE exige également que les fins pour lesquelles les renseignements personnels d’un individu sont recueillis, utilisés ou communiqués soient expliquées d’une manière claire et transparente. Cela signifie que Bell Mobilité ou Tim Hortons ont été tenus d’informer les consommateurs de leurs pratiques de suivi et d’obtenir le consentement exigé par la loi. En outre, les deux entreprises étaient tenues d’informer les consommateurs des raisons pour lesquelles des renseignements personnels seraient recueillis et éventuellement vendus, comme pour la publicité ciblée.

Surtout, la LPRPDE reconnaît que la forme du consentement peut varier. Par exemple, le consentement explicite (consentement positif) doit être utilisé lorsqu’il s’agit de traiter des renseignements sensibles, tels que des renseignements sur la santé. D’autre part, le consentement implicite (consentement négatif) peut être utilisé lorsque la nature des informations est moins sensible. Il est important de noter que la sensibilité de l’information dépend de sa nature et du contexte dans lequel elle est recueillie, utilisée ou communiquée.

L’infonuagique et la protection de la vie privée

L’infonuagique est la prestation de services informatiques sur Internet. Les services d’infonuagique permettent aux entreprises d’utiliser des logiciels et du matériel informatique qui sont gérés par des tiers sur des sites éloignés, ce qui leur permet d’économiser de l’argent. Les services d’infonuagique comprennent le stockage des fichiers en ligne, les sites de réseautage social, le courriel Web et les applications d’entreprise en ligne. Ces services offrent également un ensemble de ressources partagées, telles que l’espace de stockage des données, les réseaux, la puissance de traitement des ordinateurs et les applications spécialisées pour les entreprises ou les utilisateurs.

Bien que l’infonuagique présente des avantages, il y a également des préoccupations importantes en matière de protection de la vie privée et de sécurité des données. L’une des préoccupations principales en matière de protection de la vie privée est que les données personnelles des consommateurs circulent sur Internet et sont stockées dans des endroits éloignés. En outre, les fournisseurs de services d’infonuagique desservent souvent plusieurs clients en même temps. Cela peut potentiellement augmenter l’ampleur de l’exposition à d’éventuelles violations, tant accidentelles que délibérées. Un recours collectif récemment intenté contre Capital One pour atteinte à la vie privée allègue justement ce type de violation des données, qui aurait fait environ 100 millions de victimes américaines et 6 millions de victimes canadiennes de cyberattaques.

Le recours collectif prétend que Capital One a collecté des quantités massives de données personnelles de clients et a stocké les données sur l’infonuagique AWS d’Amazon. Les demandeurs de cette action en justice pour atteinte à la vie privée soutiennent que Capital One et Amazon n’ont pas suffisamment protégé les données personnelles des détenteurs de cartes de crédit, ouvrant ainsi la porte à l’atteinte à la protection des données en 2019.

Une autre préoccupation concernant la vie privée est le risque de détournement d’usage pouvant être causé par l’infonuagique — c’est-à-dire l’utilisation, par les fournisseurs de services d’infonuagique, des données à des fins non prévues lors de la collecte initiale et pour laquelle le consentement n’a pas habituellement été obtenu. Cette préoccupation est encore renforcée par le fait que le stockage des données dans l’infonuagique est peu coûteux. Il y a donc peu d’intérêt à retirer les informations de l’infonuagique et davantage de raisons de trouver d’autres utilisations de ces données, par exemple de les vendre à des annonceurs tiers.

La LPRPDE n’empêche pas les entreprises canadiennes de transférer des données personnelles dans l’infonuagique. Conformément à la LPRPDE, cette pratique est considérée comme le transfert des renseignements personnels à une organisation dans un autre pays aux fins de traitement.

Toutefois, la LPRPDE établit des règles régissant ces transferts, notamment en ce qui concerne les points suivants :

  • l’obtention du consentement pour la collecte, l’utilisation et la communication des renseignements personnels ;
  • la sécurisation des données ; et
  • garantir la responsabilité vis-à-vis de l’information et la transparence des pratiques.

Il convient de noter que de nombreux fournisseurs de services d’infonuagique à l’étranger peuvent également être soumis à la LPRPDE, lorsqu’ils ont un lien réel et substantiel avec le Canada, en collectant, utilisant ou communiquant des données personnelles dans le cadre d’une activité commerciale.

Une entreprise canadienne a-t-elle collecté ou vendu vos renseignements personnels sans votre consentement ? Pensez-vous que les lois canadiennes sur la protection de la vie privée soient suffisantes pour prévenir les cyberattaques ou autres atteintes à la vie privée ? Partagez votre histoire avec nous dans les commentaires ci-dessous !

Plus de nouvelles sur les procès et les règlements :

Autorisation du recours collectif des détenus du Nunavik

La compagnie d’assurance Aviva confrontée à un recours collectif à l’échelle nationale

Cannabis légal : les réponses à vos questions

Règlement du recours collectif sur la thalidomide autorisé par un juge fédéral

[legal_notice_french]

Leave a Reply

Your email address will not be published. By submitting your comment and contact information, you agree to receive marketing emails from Top Class Actions regarding this and/or similar lawsuits or settlements, and/or to be contacted by an attorney or law firm to discuss the details of your potential case at no charge to you if you qualify. Required fields are marked *

Get Our Newsletter

We tell you about cash you can claim every week! Subscribe to our free newsletter today.

  • This field is for validation purposes and should be left unchanged.

Sidebar Single Image

Zantac and Ranitidine drug recall lawsuit investigation

March 26, 2021 | Open Lawsuits
Read More
Sidebar Single Image

Sexual abuse and assault lawsuit investigation

February 12, 2021 | Sexual Assault - Abuse
Read More
Sidebar Single Image

3M issues recall for noise-reducing earmuffs due to potential breakage

April 30, 2024 | Product Recalls
Read More
Sidebar Single Image

Veterans Affairs Canada disability pension miscalculation $817.3M class action settlement

April 22, 2024 | Open Settlements
Read More

Leave a Reply

Your email address will not be published. By submitting your comment and contact information, you agree to receive marketing emails from Top Class Actions regarding this and/or similar lawsuits or settlements, and/or to be contacted by an attorney or law firm to discuss the details of your potential case at no charge to you if you qualify. Required fields are marked *

Please note: Top Class Actions is not a settlement administrator or law firm. Top Class Actions is a legal news source that reports on class action lawsuits, class action settlements, drug injury lawsuits and product liability lawsuits. Top Class Actions does not process claims and we cannot advise you on the status of any class action settlement claim. You must contact the settlement administrator or your attorney for any updates regarding your claim status, claim form or questions about when payments are expected to be mailed out.

Related Posts
Read more
Burger king app regarding the mobile app tracking class action lawsuit

Recours collectif contre les applications mobiles « intrusifs et excessifs »

Google on a tablet regarding the Google collecting data privacy violation class action lawsuit

Google accusé de recueillir et de vendre les données personnelles des internautes

TikTok app regarding the class action lawsuit filed over TIkTok users data being stolen

L’application TikTok recueille et vend des données d’utilisateurs

man sitting behind laptop on google page amid class action alleging privacy breaches

Un recours collectif accuse Google de suivre les Canadiens sur Internet

Woman using laptop regarding the Google incognito mode class action lawsuit filed

La navigation privée de Google est remise en question dans un recours collectif certifié

Person using LinkedIn app regarding the privacy class action lawsuit filed

Recours collectif concernant l’application LinkedIn pour violation de la vie privée des utilisateurs

Tim hortons app regarding the mobile tracking class action lawsuit

Tim Hortons fait face à un recours collectif pour atteinte à la vie privée

Doctor entering patient info regarding the Central Health privacy breach class action lawsuit

Lancement d’un recours collectif contre Central Health après une atteinte à la vie privée

Woman prepping for plastic surgery regarding the Dr. 6ix class action lawsuit filed

Une demande de recours collectif affirme que des patients ont été filmés sans leur consentement

Woman speaking with pharmacist regarding the pharmacy privacy breach class action lawsuit filed

Recours collectif contre Jean Coutu pour violation de la vie privée

Hacker regarding the LifeLabs class action lawsuit filed

LifeLabs fait face à de multiples recours collectifs après une cyberattaque

PEople walking with their faces in color regarding the facial recognition RCMP class action lawsuit filed

Recours collectif contre la GRC concernant la reconnaissance faciale