Vous désirez augmenter votre chiffre d’affaires et vous croyez que la prospection commerciale pourrait vous être utile ? Il existe cependant un encadrement juridique que doivent suivre les entreprises.
Législations concernant la protection des renseignements personnels
En 1998 s'est amorcé un processus législatif visant l'adoption d'une loi devant assurer la protection de la vie privée dans le secteur privé, notamment en ce qui concerne les transactions commerciales par voies électroniques. Cette loi, sanctionnée en avril 2000, s'intitule la Loi sur la protection des renseignements personnels et les documents électroniques.
Le but premier de cette loi est d'assurer une meilleure protection de la vie privée des Canadiens dans le secteur privé. Étant une loi fédérale, elle ne s'applique qu'aux organismes du gouvernement canadien en ce qui a trait à la collecte et à la communication des renseignements personnels provenant des entreprises privées.
Puisque le Québec a adopté une loi assez similaire, les organisations visées seront exemptées de l’application de la loi fédérale. La loi québécoise actuelle sur la protection de la vie privée ressemblant sensiblement à la Loi sur la protection des renseignements personnels et les documents électroniques, le Québec sera exempté de l’application de celle-ci. Pour sa part, la Loi sur la protection des renseignements personnels dans le secteur privé vient compléter les dispositions du Code civil du Québec en matière de protection de la vie privée. Le Québec reconnaît ainsi la protection des renseignements personnels comme un droit fondamental inscrit dans le Code civil et en donne la définition suivante : "Est un renseignement personnel, tout renseignement qui concerne une personne physique et permet de l'identifier" en vertu de la Loi sur la protection des renseignements personnels dans le secteur privé. Cependant, cette définition ne règle pas le problème de la protection des renseignements personnels dans la mesure où le Code civil du Québec n'impose aucune obligation aux détenteurs des renseignements personnels d'informer la personne concernée de l'existence d'un dossier à son sujet. C'est à cette lacune que la Loi sur la protection des renseignements personnels dans le secteur privé pallie en prévoyant une obligation d'informer la personne de l'existence d'un dossier la concernant.
Obligations des entreprises
La Commission d’accès à l’information du Québec, chargée d’administrer la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, identifie les obligations auxquelles les entreprises privées doivent se soumettre afin de se conformer à la Loi sur la protection des renseignements personnels dans le secteur privé.
Toute entreprise de biens et de services doit se conformer à la Loi sur la protection des renseignements personnels dans le secteur privé si elle recueille, détient, utilise ou communique des renseignements personnels. Afin de garantir à tout individu le contrôle de son propre dossier, l'entreprise doit, de façon générale, respecter certaines règles.
Lors de la cueillette des renseignements personnels l'entreprise doit
- détenir un intérêt sérieux et légitime pour constituer un dossier;
- préciser le pourquoi d'un dossier en inscrivant son objet;
- s'adresser à la personne concernée, à moins que celle-ci ou la Loi n'autorise la cueillette auprès d'autrui;
- ne recueillir que les renseignements nécessaires à l'objet inscrit;
- informer la personne concernée de l'objet du dossier, de son utilisation et des catégories de personnes y ayant accès au sein de l'entreprise;
- informer la personne concernée de l'endroit où sera détenu son dossier, de ses droits d'accès et de rectification.
De plus, lors de la détention, de l'utilisation ou de la communication des renseignements personnels, l'entreprise doit :
- obtenir le consentement de la personne concernée pour utiliser des renseignements personnels;
i) lorsque ceux-ci ne sont pas pertinents à l'objet du dossier;
ii) lorsque l'objet du dossier est accompli;
iii) pour communiquer des renseignements personnels à autrui;
- s'assurer que ce consentement à l'utilisation ou à la communication est manifeste, libre, éclairé, donné à des fins spécifiques et d'une durée limitée.
Les listes comportant les noms, les adresses et les numéros de téléphone des membres, des clients et des employés d'une entreprise peuvent être communiquées ou utilisées à des fins de prospection commerciale ou philanthropique. Le cas échéant, l'entreprise doit fournir à la personne concernée une occasion valable de refuser la communication ou l'utilisation de tels renseignements.
Par ailleurs, l'entreprise, qui utilise une liste nominative doit s'identifier et informer le destinataire de son droit de faire retrancher de la liste tout renseignement le concernant.
Par contre, dès que l'entreprise utilise la liste nominative à des fins de prospections commerciales ou autres, il faut donner une occasion valable à la personne concernée de refuser que son nom y figure. Il faut prévoir pour l'exercice de ce droit de retrait (opting out) des formules qui permettent à la personne concernée d'accepter ou de refuser l'inscription de son nom sur la liste.
Une entreprise peut évidemment compter plusieurs sociétés affiliées ou avoir une participation majoritaire dans d'autres sociétés commerciales. C'est le cas dans le secteur financier où l'on peut retrouver dans un même groupe: une banque, une maison de courtage en valeurs mobilières et une compagnie d'assurance.
Ces sociétés peuvent-elles échanger leur liste nominative? Oui, si la personne concernée s'est vu offrir la possibilité d'accepter ou de refuser que les renseignements personnels la concernant soient utilisés à de telles fins.
Finalement, dans un contexte international, afin de garantir, au-delà des frontières, les droits des individus sur les informations qui les concernent tout en facilitant leur libre circulation et compte tenu de l'essor pris par le traitement automatique de l'information, qui permet de transmettre de vastes quantités de données en quelques secondes à travers les frontières nationales et même à travers les continents, il a fallu étudier la question de la protection de la vie privée sous l'angle des données de caractère personnel. Des législations relatives à la protection de la vie privée ont été adoptées dans près de la moitié des pays de l'OCDE (l'Allemagne, l'Autriche, le Canada, le Danemark, les Etats-Unis, la France, le Luxembourg, la Norvège et la Suède ont promulgué une législation. La Belgique, l'Espagne, les Pays-Bas et la Suisse ont établi des projets de loi) en vue de prévenir des actes considérés comme constituant des violations des droits fondamentaux de l'homme, tels que le stockage illicite de données de caractère personnel qui sont inexactes, l'utilisation abusive ou la divulgation non autorisée de ces données.
Note de l'auteur: L'information contenue dans cette chronique est générale et ne constitue pas un avis juridique.