Ce qu’il faut tout d’abord comprendre, c’est que la compétence en matière de renseignement personnels*, au Canada, se divise entre le législateur fédéral et provincial. Plusieurs provinces ont donc adopté leur propre loi à ce sujet, en plus du pallier fédéral qui a adopté la sienne en 2000. Les entreprises doivent donc composer avec des obligations en matière de renseignements personnels qui se retrouvent dans plusieurs lois.
En somme, les lois en matière de renseignements personnels interdiront généralement à toute entreprise (société incorporée, société de personnes, entreprises individuelles, etc.) de traiter avec de tels renseignements sans que ce soit fait avec la permission de l’individu visé. À la base, ce qu’il faut comprendre c’est que ces lois (comme PIPEDA, par exemple) interdisent de faire trois (3) choses de base quant aux renseignements personnels d’autrui, sans un consentement de l’individu donnant le droit à l’entreprise de le faire :
- recueillir les renseignements (les enregistrer, les sauvegarder, les emmagasiner, etc.),
- les utiliser (en faire quelque chose qui offre un avantage pour l’entreprise) et, finalement,
- les communiquer à un tiers.
À noter que le fait d’obtenir le consentement présuppose que l’entreprise informe la personne visée de ses intentions de recueillir et manipuler d’une façon ou d’une autre ses renseignements.
Au niveau fédéral, la loi principale qui gère les renseignements personnels au Canada se nomme la Loi sur la protection des renseignements personnels et les documents électroniques (ou la « LPRPDE » ou « PIPEDA » selon l’acronyme angophone). Étant donné l’aspect fort peu convial de l’acronyme francophone, nous adoptons souvent l’étiqette « PIPEDA » quand nous parlons de cette loi fédérale.
Au niveau provincial, le Québec s’est aussi doté d’une loi qui vise à gérer la question des renseignements personnels, à savoir la Loi sur la protection des renseignements personnels dans le secteur privé (ou la « LPRPSP », acronyme fort peu convivial, comme celui du titre de la loi fédérale en français dailleurs).
À noter que les entreprises exploitées dans une province ayant sa propre loi (comme au Québec), peuvent être régies soit par PIPEDA ou par la loi provinciale, selon le cas. Tout dépendant des circonstances et des activités d’une entreprise, c’est soit la loi fédérale qui s’appliquera, soit la loi provinciale. Cet état de fait peut s’avérer une grande source de confusion pour les entreprises, particulièrement dans un contexte où la réponse quant à la loi spécifique qui s’applique peut varier dans le temps, au fil de l’évolution des pratiques et des activités de l’entreprise.
*Bien qu’en anglais on parle souvent de « privacy » (qu’on peut traduire par le concept de « vie privée ») quand on traite des pratiques et des politiques des entreprises et qui touchent l’information relative aux individus, dans le contexte canadien, on devrait plutôt parler de «renseignements personnels», puisque c’est ce concept qui s’avère central à notre législation à ce sujet, et non le droit de l’individu de protéger sa vie privée. Bien que les lois comme PIPEDA correspondent (techniquement) à des règles précises qui mettent en oeuvre les principes de droit à la vie privée, ces deux sujets demeurent distincts, bien qu’ils se chevauchent jusqu’à un certain point.
DES SOURIS, DU DROIT ET DES HOMMES 