En matière d’actions collectives, les recours en raison des fuites de données ainsi que des violations de confidentialité par les diverses sociétés ou institutions qui recueillent nos renseignements personnels ne cessent d’augmenter. Regardons en détail les obligations auxquelles sont soumises ces sociétés.
Obligations et responsabilités des entreprises
La Loi sur la protection des renseignements personnels dans le secteur privé prévoit certaines obligations pour toutes les entreprises au Québec qui collectent, utilisent, communiquent, conservent ou détruisent les données personnelles. En effet, les entreprises concernées doivent prendre des mesures de sécurité raisonnables afin de protéger les renseignements personnels qu’ils recueillent, tout dépendamment de la sensibilité et du but de l’utilisation de ces données. Les ordres professionnels qui détiennent des renseignements personnels sont également visés par cette loi fondamentale.
Tout d’abord, le fait de recueillir des données personnelles peut même se limiter à la simple visualisation de données, sans nécessairement conserver ces données par la suite. Par exemple, regarder des réponses à un sondage ou un formulaire d’abonnement peut constituer une collecte de renseignement, et donc, des moyens raisonnables doivent être pris afin de protéger ces données. Cette protection est ce qu’on appelle l’obligation de confidentialité.
Lors de la collecte de données personnelles, seuls les renseignements absolument nécessaires doivent être collectés. Si une entreprise possède des renseignements personnels et décide de constituer un dossier sur cette personne, elle doit divulguer à cet individu l’objet du dossier, l’utilisation qui sera faite avec les renseignements obtenus, les catégories de personnes qui y auront accès ainsi que l’endroit où sera conservé le dossier. La personne doit également être informée de ses droits d’accéder au dossier ainsi que d’y apporter des modifications. D’ailleurs, une personne peut en tout temps et gratuitement consulter son dossier, et l’accès aux renseignements ne peut lui être refusé à moins qu’il y ait un motif sérieux pour ce faire, ou que cela nuirait à un tiers.
Une obligation importante en matière de renseignements personnels est celle d’obtenir le consentement libre et éclairé à la collecte ou à l’utilisation des données personnelles. Un consentement est libre et éclairé lorsque la personne est consciente et comprend ce à quoi elle consent. Les données personnelles doivent aussi être utilisées à des fins spécifiques; il faut limiter leur utilisation uniquement à ce qui est nécessaire et éviter de s’en servir à d’autres fins. Cela implique le fait que la personne qui donne son consentement à la collecte de ses renseignements personnels doit comprendre pourquoi et à quelle finalité elle partage ses données. De même, l’utilisation ces informations n’est légitime que si le consentement de la personne concernée a été obtenu, à moins d’exception prévue dans une loi.
De plus, les entreprises qui détiennent des renseignements personnels ont une obligation de ne pas divulguer ces données personnelles à quelqu’un d’autre, à moins qu’elles aient obtenu le consentement de la personne visée à cet effet. Dans le même sens, l’accès à ces informations doit être limité aux personnes de l’entreprise qui ont le titre nécessaire pour pouvoir prendre connaissance de ces renseignements.
Par ailleurs, pendant la conservation de ces données personnelles, les entreprises doivent veiller à ce que les renseignements détenus sur les individus soient à jour et exacts, notamment s’ils besoin de prendre une décision relative à ces données. Puis, lorsque la finalité des données personnelles est satisfaite et qu’ils ne sont plus utiles, les données doivent être détruites.
Enfin, il est possible pour une personne qui partagé ses données de demander à l’entreprise de les supprimer, si ce renseignement n’a pas été obtenu conformément à la loi. Également, il est possible de supprimer un renseignement inexact ou incomplet.
Atteinte à la vie privée
Le partage d’un renseignement personnel à l’insu et sans le consentement de la personne concernée peut aussi constituer une atteinte à la vie privée, notamment à cause du non-respect des dispositions du Code civil du Québec, de la Loi sur la protection des consommateurs, ainsi que de la Charte des droits et libertés de la personne.
Dédommagement aux membres
À la suite d’un gain d’une action collective, les dédommagements donnés aux membres du groupe peuvent prendre diverses formes, et ne se limitent pas nécessairement à un montant d’argent.
Par exemple, dans l’action collective intentée contre Tim Hortons, qui a recueilli des données privées à partir de l’application mobile et a porté atteinte à la vie privée des utilisateurs, la chaîne de restaurants a décidé d’offrir un café et une pâtisserie gratuite aux personnes dont les droits ont été lésés.
Si vous désirez intenter une action collective pour atteinte à la vie privée, n’hésitez pas à nous contacter pour plus d’informations.