Accueil     Contacts     Contenu rédactionnel     Publicité     Abonnement     Archives     Recherche     CMA Canada  
Dernier Numéro
Août-Septembre 2010
CMA Management est un magazine d'affaires dynamique conçu pour aider les cadres dirigeants à prendre des décisions éclairées et leur assurer un avantage stratégique. Publié par CMA Canada, CMA Management est distribué à plus de 35 000 CMA et 10 000 aspirants CMA et étudiants. On peut également se procurer le magazine par abonnement.
Articles de fond Contenu   Imprimer le texte seulement

Renseignements personnels et organismes sans but lucratif

La nouvelle législation sur la protection des renseignements personnels soulève un certain nombre d’interrogations pour les organismes sans but lucratif. La LPRPDÉ ne les touche pas tous, mais elle a des répercussions pour bon nombre d’entre eux.

par Curtis McDonnell

Bien que la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ) soit en vigueur depuis le 1er janvier 2004, de nombreuses organisations en sont encore à en évaluer la portée. Les organismes sans but lucratif et de bienfaisance s’interrogent toujours sur son incidence. Or, en termes simples, son application dépend de la nature de leurs activités. Compte tenu de la portée de la Loi et, plus particulièrement, de la large définition qu’elle donne d’une activité commerciale, elle pourrait en effet s’appliquer à certains de ces organismes.

À l’origine, soit le 1er juin 2001, le gouvernement fédéral avait adopté la LPRPDÉ dans le but de réglementer les organisations de compétence fédérale, comme les institutions bancaires, les entreprises de télécommunications et les sociétés de transport.

La portée de la Loi a toutefois été élargie le 1er janvier 2004. Elle s’applique désormais à toute organisation de droit provincial qui recueille, utilise ou communique des renseignements personnels dans le cadre d’activités commerciales dans une province qui n’a pas de législation similaire sur la protection des renseignements personnels. Autrement dit, presque toutes les organisations du secteur privé qui exercent une activité commerciale sont maintenant assujetties à la LPRPDÉ (ou à une législation provinciale équivalente).

La LPRPDÉ s’applique à un large éventail d’entreprises, allant de l’entreprise individuelle, comme le club vidéo du quartier, aux très grandes organisations, telles les banques. La définition que donne la Loi du terme « organisation » inclut les associations, les sociétés de personnes, les personnes et les organisations syndicales.

Vous serez peut-être surpris d’apprendre que la LPRPDÉ couvre tous vos renseignements personnels, sauf votre nom, votre titre de poste et vos adresse et numéro de téléphone au travail. Le club vidéo du quartier est donc assujetti à la Loi puisqu’il recueille des renseignements personnels lorsque ses clients louent une cassette et lui fournissent leur adresse et leur numéro de téléphone à domicile ainsi que de l’information sur leur carte de crédit. Le club vidéo exerce en outre une activité commerciale quand il exige des frais de location.

De nombreux organismes sans but lucratif exercent des activités pouvant être considérées comme des activités commerciales au sens de la Loi. La définition d’une « activité commerciale » inclut en effet la vente, le troc ou la location de listes de donateurs ou de membres, autant d’activités qui sont plus susceptibles de s’appliquer directement aux organismes sans but lucratif qu’aux entreprises à but lucratif. Une activité commerciale est en outre définie comme toute activité régulière ainsi que tout acte isolé qui revêtent un caractère commercial de par leur nature.

Méthodes de financement

Contrairement aux entreprises à but lucratif, les organismes sans but lucratif ont souvent des listes de donateurs. Les collectes de fonds ne sont pas considérées comme une activité commerciale, mais les organismes sans but lucratif et les organismes de bienfaisance vendent ou louent parfois leurs listes de donateurs ou en font le troc. Ces activités seraient considérées comme des activités commerciales et seraient donc couvertes par la Loi. Par exemple, un organisme sans but lucratif peut fournir sa liste de donateurs à un collecteur de fonds professionnel qu’il paie pour recueillir des dons en son nom. L’organisme sans but lucratif amasse des fonds pour financer son fonctionnement et soutenir ses activités fondamentales, et ce, sans chercher à réaliser un profit. Le collecteur de fonds professionnel, en revanche, acquiert et utilise la liste de donateurs à des fins lucratives.

Les renseignements personnels sur les membres ou les donateurs d’une organisation incluent le plus souvent leur adresse et leur numéro de téléphone à domicile, le montant de leur don ou de leur contribution et parfois de l’information sur une carte de crédit ou sur un compte bancaire. La communication de ces renseignements à des collecteurs de fonds professionnels pourrait être assimilée à une activité commerciale, donc être visée par la LPRPDÉ.

Certains organismes sans but lucratif recueillent des fonds de diverses autres façons pour financer leur fonctionnement. Bon nombre de ces activités de financement — droits d’adhésion, frais d’accès à des installations et frais de service — pourraient être considérées comme des activités commerciales au sens de la LPRPDÉ.

Par exemple, un club de golf privé qui exige une cotisation annuelle et des droits d’entrée et qui facture des frais de restauration et de bar ne cherche pas nécessairement à réaliser un profit. Les membres, toutefois, veulent que le directeur général gère le terrain de golf de façon à assurer la poursuite de son exploitation afin qu’ils puissent continuer à jouer sur des verts et des allées bien entretenus ou à manger et socialiser dans une ambiance agréable.

Le paiement d’une cotisation en échange des avantages que confère le statut de membre, ainsi que le paiement de frais de restauration et de bar, peuvent facilement être considérés comme des activités commerciales, et ce, même si le club n’a pas une vocation lucrative.

Éléments moteurs

La LPRPDÉ est une réponse aux préoccupations du gouvernement fédéral à l’égard de la protection et de la sécurité des renseignements personnels de la population canadienne à une époque où le commerce électronique se taille une place de plus en plus importante comme moyen de faire des affaires.

Le gouvernement réagit également aux exigences de l’Union européenne (UE), qui oblige les pays qui font affaire avec elle à se doter d’une législation adéquate pour protéger les renseignements personnels des citoyens de l’UE qui sont communiqués à l’extérieur de son territoire.

La LPRPDÉ s’applique dans toutes les provinces qui n’avaient pas adopté de législation jugée essentiellement similaire par le gouverneur en conseil le 1er janvier 2004, qui est pour cette raison une date clé. Pour l’heure, seul le Québec a une loi répondant à ce critère. L’Alberta et la Colombie-Britannique ont depuis adopté une loi que le gouvernement fédéral entend considérer comme essentiellement similaire à la LPRPDÉ. Dans ces provinces, la législation provinciale s’appliquera aux renseignements personnels recueillis, utilisés et communiqués par des organisations de compétence provinciale.

Application de la LPRPDÉ

La LPRPDÉ a été décrite comme une forme de législation sur les droits de la personne. Elle a pour objet de protéger les renseignements personnels que les organisations recueillent, utilisent ou communiquent.

Il est raisonnable de penser que l’on donnera une interprétation large de la Loi dans les régions du pays où la législation en matière de protection des renseignements personnels est inadéquate, voire absente. La LPRPDÉ s’applique en Ontario, au Manitoba, en Saskatchewan et dans les provinces de l’Atlantique, où elle comble un vide.

On s’attend à ce que son application soit large et à ce qu’elle inclue les organismes sans but lucratif qui exercent une activité commerciale au sens large du terme.

Les lois adoptées en Colombie-Britannique et en Alberta nous permettront peut-être d’en savoir plus sur le champ d’application de la LPRPDÉ. En Colombie-Britannique, la loi inclut explicitement les organismes sans but lucratif dans sa définition d’une organisation. Par conséquent, les renseignements personnels que ces organismes recueillent, utilisent et communiquent sont bien couverts par la législation provinciale, la Personal Information Protection Act (PIPA).

La législation albertaine est un peu plus complexe. Sa définition d’une activité commerciale est passablement similaire à celle de la LPRPDÉ, en ce sens qu’elle est tautologique. Toutefois, en plus de la vente, de la location ou du troc de listes de membres ou de donateurs, la législation inclut l’exploitation d’une école privée, d’un programme de services à la petite enfance ou d’un collège privé.

Selon la définition d’un organisme sans but lucratif donnée dans la Personal Information Protection Act (PIPA) de l’Alberta, seules les organisations qui sont constituées en société en vertu de la Societies Act, de l’Agricultural Societies Act ou de la partie 9 de la Companies Act peuvent être considérées comme organismes sans but lucratif. Or, ces organisations ne sont couvertes que dans la mesure où elles exercent une activité commerciale, telle qu’elle est définie dans la législation albertaine. Dans le cas contraire, la PIPA albertaine ne s’applique pas. Toutefois, les dispositions sur la collecte de renseignements personnels de la PIPA albertaine couvrent les organismes sans but lucratif qui ne sont pas constitués en vertu d’une des trois lois susmentionnées.

L’Alberta et la Colombie-Britannique sont disposées à élargir l’application de leur loi respective aux organismes sans but lucratif qui exercent une activité commerciale. Cela pourrait aider le Commissaire à la protection de la vie privée du Canada lorsqu’il sera appelé à examiner l’application de la LPRPDÉ à une organisation de compétence provinciale dans les provinces où il n’existe pas de législation en la matière.

Mesures à prendre

Par suite de l’entrée en vigueur de la LPRPDÉ dans plusieurs provinces le 1er janvier dernier, les organismes sans but lucratif qui exercent une activité commerciale doivent prendre les mesures suivantes pour se conformer aux dix principes relatifs à l’équité dans le traitement des renseignements dont il est question dans la Loi :

  • nommer une personne responsable de la protection des renseignements personnels;
  • évaluer les renseignements personnels que l’organisme a en sa possession;
  • élaborer des politiques en matière de protection des renseignements personnels;
  • donner une formation aux membres du conseil, au personnel et aux bénévoles.

Le premier principe énoncé dans la Loi a trait à la responsabilité. Il oblige les organisations à se doter de politiques et de pratiques leur permettant de traiter les questions de protection des renseignements personnels et à désigner une personne qui sera responsable du respect des principes énoncés dans la Loi.

Maintenant que la population est bien sensibilisée à la protection des renseignements personnels et de la vie privée, les organisations ont tout avantage à se doter d’une politique à cet effet. Afin que la politique d’une organisation soit suffisamment complète et détaillée pour être conforme aux exigences de la Loi, les personnes responsables de son élaboration ne doivent pas perdre de vue les dix principes relatifs à l’équité dans le traitement des renseignements personnels.

Si la politique couvre l’ensemble de l’organisation, y compris ses employés et ses bénévoles, elle devrait préciser que l’organisation se conforme à toutes les dispositions de la Loi et aux dix principes qu’elle contient.

Rôle du responsable de la protection des renseignements personnels

Les organismes sans but lucratif qui exercent une activité commerciale devraient déjà avoir désigné un responsable de la protection des renseignements personnels chargé d’évaluer les renseignements que l’organisation recueille et d’élaborer ses politiques et ses pratiques en la matière.

L’évaluation devrait porter sur le type de renseignements qui ont été et qui sont recueillis et répondre aux questions suivantes :

  • Comment les renseignements personnels sont-ils stockés et protégés?
  • À quelles fins sont-ils utilisés?
  • Pourquoi l’organisation recueille-t-elle ou utilise-t-elle des renseignements personnels?
  • À qui les renseignements personnels recueillis sont-ils communiqués et pourquoi?

Ces questions sont importantes pour l’étape suivante, qui consiste à élaborer la politique de l’organisation en matière de protection des renseignements personnels.

Une fois l’évaluation terminée et la politique rédigée et révisée, l’organisation doit veiller à ce que son personnel, y compris ses bénévoles, ses dirigeants et ses administrateurs, reçoivent une formation adéquate.

L’organisation qui procède ainsi risque moins d’avoir la mauvaise surprise de recevoir une demande d’accès à des renseignements personnels ou un avis de plainte et d’enquête du Commissaire à la protection de la vie privée.

Ces pratiques contribueront à donner une bonne image publique à votre organisation et témoigneront de l’importance qu’elle accorde à la confiance que lui manifestent ses clients et ses employés. Ce sont des pratiques judicieuses qui constituent un bon outil de relations publiques. 

Curtis McDonnell est consultant au sein du groupe chargé de l’emploi et de la main-d’œuvre chez Fraser Milner Casgrain.

Haut