De plus en plus, plusieurs organisations dont les organismes sans but lucratif et les organismes de bienfaisance recueillent, utilisent et communiquent une quantité grandissante de renseignements personnels (par exemple, des informations sur leurs donateurs, employés, etc.) dans le cadre de leurs opérations hebdomadaires. Il devient alors essentiel d’assurer que le traitement des renseignements personnels collectés se fasse en conformité avec les lois applicables.

Cadre juridique

De manière générale, au Canada, la protection des renseignements personnels est régie par une série de lois provinciales et fédérales. La Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE »), une loi fédérale, régit la collecte, l’utilisation et la sauvegarde de renseignements personnels, soit tout renseignement qui concerne un individu identifiable. L’objectif de cette loi est d’assurer le respect du droit à la vie privée des individus.

Toutefois, la LPRPDE ne s’applique pas aux organisations qui exercent leurs activités exclusivement à l’intérieur d’une province qui s’est dotée d’une loi essentiellement similaire à la LPRPDE, à moins qu’il y ait un transfert interprovincial ou international de renseignements personnels. Le Québec, la Colombie-Britannique et l’Alberta ont adopté des lois considérées similaires, et des organisations situées dans ces provinces pourraient être contraintes à d’autres obligations en vertu de ces lois.

Déterminer si la LPRPDE s’applique

Bien que la LPRPDE ne s’applique pas d’emblée à des organismes sans but lucratif ou organismes de bienfaisance, il faut toutefois analyser les activités conduites afin d’entièrement exclure l’application de cette loi.

La LPRPDE s’applique en effet à toute organisation qui recueille, utilise ou communique des renseignements personnels dans le cadre d’activités commerciales. Une activité commerciale est une activité régulière ainsi que tout acte isolé qui revêtent un caractère commercial de par leur nature, y compris la vente, le troc ou a location de listes de donateurs, d’adhésion ou de collecte de fonds.

Il ressort de cette définition que le terme « activités commerciales » a un sens large, faisant en sorte que la conduite de certaines activités peut assujettir un organisme à but non lucratif ou un organisme de bienfaisance aux obligations de ces lois.

Il est bien établi par la jurisprudence que cette analyse doit se faire au cas par cas. Sous la LPRPDE, les facteurs à considérer vont inclure, par exemple : le fait de générer des profits, de recevoir une contrepartie pour les services rendus ou de conduire des activités comme le ferait une entreprise commerciale. Si l’organisation conduit de telles « activités commerciales », elle doit se conformer à la LPRPDE.

Ce que les organisations doivent faire

Sous cette loi, être assujetti implique notamment qu’une organisation doit obtenir le consentement à la collecte des renseignements personnels, laquelle doit être faite pour des fins définies. Seuls les renseignements personnels nécessaires aux fins déterminées peuvent être collectés, et l’utilisation, la communication et la conservation de ces renseignements doivent être limitées.

Ces obligations peuvent paraitre onéreuses pour certaines organisations. Toutefois, les conséquences en cas de non-conformité peuvent être significatives. Ainsi, il est important d’avoir en place des politiques et procédures internes qui énoncent comment les renseignements personnels seront recueillis, utilisés et communiqués par l’organisation. De plus, la gestion des renseignements personnels entraine certains risques cybernétiques, dont nous avons traité dans une de nos publications antérieures.

Conclusion

Chaque organisation devrait vérifier si les activités qu’elle conduit sont des « activités commerciales » au sens de la LPRPDE. Le cas échéant, pour éviter toute réclamation (dont notamment des recours en dommages-intérêts), elle devra mettre en place des procédures et systèmes adéquats pour la collecte, l’utilisation et la sauvegarde des renseignements personnels en conformité avec la LPRPDE.

Ceci dit, si l’organisation opère au Québec, en Colombie-Britannique ou en Alberta, l’organisation doit aussi conduire une analyse en fonction des lois provinciales adoptées dans ces provinces.