La protection de la vie privée est au cœur des droits que les Canadiens chérissent tant. Or, les percées technologiques des 20 dernières années et leurs résultantes, soit la disponibilité et l'accessibilité accrues de l'information, font aujourd'hui peser une menace nouvelle et très réelle sur ce fondement. La collecte d'informations, l'extraction de données et l'espionnage industriel ne sont que quelques-unes des pratiques qui, dans le secteur privé, tendent à menacer l'autonomie personnelle et attirent de plus en plus l'attention dans notre monde électronique.

Ottawa a réagi à cette menace en édictant la Loi sur la protection des renseignements personnels et les documents électroniques, dont les professionnels de l'insolvabilité devraient prendre bonne note. La Loi pourrait imposer de nouvelles obligations aux séquestres et aux syndics de faillite, et restreindre le droit de réaliser la valeur de certains droits de propriété intellectuelle appartenant au débiteur.

Entrée en vigueur en janvier 2001, la Loi fait partie de la «Stratégie canadienne sur le commerce électronique» dévoilée par le fédéral à l'automne 1998. Régissant la collecte, l'utilisation et la communication des renseignements personnels dans le cadre d'activités commerciales, cette stratégie vise à concilier le droit des personnes à la protection des renseignements personnels qui les concernent et celui des organisations d'utiliser ces données à des fins appropriées. De ce fait, la Loi intéresse toutes les entreprises qui recueillent des données sur les consommateurs, et non seulement celles qui sont actives dans le cyberespace. La Loi régit le traitement des renseignements personnels concernant les clients et les employés. Pendant les trois premières années, ses dispositions s'appliqueront uniquement aux organisations du secteur privé sous réglementation fédérale (telles que les institutions financières, les transporteurs ferroviaires et les transporteurs aériens) et s'appliqueront aux cas où des renseignements concernant des personnes sont vendus au-delà des frontières provinciales ou nationales.

Après les trois premières années, l'application de la Loi s'étendra aux organisations sous réglementation provinciale. Dans les provinces qui auront adopté une loi essentiellement semblable, les organisations situées dans ces provinces seront régies par la loi provinciale.

Les organisations qui recueillent, utilisent ou communiquent des renseignements personnels sur la santé bénéficient d'un peu de répit. La Loi s'appliquera à ces organisations uniquement après janvier 2002 afin de laisser plus de temps au secteur de la santé pour s'adapter aux exigences de la nouvelle Loi.

La Loi ne s'applique pas aux renseignements recueillis, utilisés ou communiqués dans certains contextes : utilisation personnelle ou domestique, journalistique, artistique ou littéraire, enquêtes visant l'application de la loi, situations d'urgence mettant la vie en danger, communication exigée par une instance judiciaire ou les règles de procédure, et communication faite après 100 ans suivant la création du dossier ou 20 ans suivant la mort de la personne concernée, selon le moment le plus rapproché.

On pourrait soutenir que de nombreuses sociétés canadiennes échapperont aux dispositions de la Loi, puisque peu d'entre elles sont sous réglementation fédérale. On pourrait aussi s'attendre à ce qu'au cours des trois prochaines années, la plupart des provinces édictent des lois pour régir ce champ de contrôle réglementaire. Toutefois, la mondialisation croissante de l'économie canadienne entraîne une tendance à l'échange transfrontalier de renseignements, activité soumise à l'application de la Loi. De plus, il importe de tenir compte de cette loi, tant à titre d'indicateur des lois provinciales à venir que d'étalon pour évaluer celles-ci. Enfin, la Loi pourrait se révéler particulièrement pertinente dans les cas de faillite. Elle pourrait permettre de contrer l'argument selon lequel les lois provinciales sur la protection des renseignements personnels ne s'appliquent pas en cas de faillite puisque, dans l'éventualité d'un conflit entre les lois fédérales et provinciales, les lois fédérales sont souveraines.

La Loi contient des dispositions obligatoires et des recommandations, et elle accorde aux organisations la possibilité d'en adapter les principes à leurs activités particulières. Par exemple, elle précise qu'une organisation «ne peut recueillir, utiliser ou communiquer des renseignements personnels qu'à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances».

Elle établit également que, sous réserve de certaines exceptions, toute organisation «doit se conformer aux obligations énoncées dans l'annexe 1» de la Loi. L'annexe 1 comprend le Code type sur la protection des renseignements personnels de l'Association canadienne de normalisation, qui est reconnu comme norme nationale pour le secteur privé depuis 1996. Ce code est semblable à ceux de nombreux secteurs d'activité, tels que celui de l'Association canadienne des fournisseurs Internet et de l'Association canadienne du marketing, ainsi que de nombreuses banques et entreprises de télécommunications. L'aspect intéressant de ce code est toutefois qu'il offre 10 grandes «lignes directrices» pour le traitement des renseignements personnels, plutôt que de prescrire une procédure obligatoire. Ces principes, que doit respecter toute organisation, sont les suivants :

1. Responsabilité - Une organisation est responsable des renseignements personnels dont elle a la gestion et elle doit désigner une ou des personnes qui devront s'assurer du respect des principes énoncés ci-dessous.

2. Détermination des fins de la collecte de renseignements - Les fins auxquelles des renseignements personnels sont recueillis doivent être déterminées par l'organisation avant la collecte ou au moment de celle-ci.

3. Consentement - Toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire.

4. Limitation de la collecte - L'organisation ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées et doit procéder de façon honnête et licite.

5.Limitation de l'utilisation, de la communication et de la conservation - Les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée n'y consente ou que la loi ne l'exige. On ne doit conserver les renseignements personnels qu'aussi longtemps que nécessaire pour la réalisation des fins déterminées.

6.Exactitude - Les renseignements personnels doivent être aussi exacts, complets et à jour que l'exigent les fins auxquelles ils sont destinés.

7. Mesures de sécurité - Les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.

8. Transparence - Une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne.

9. Accès aux renseignements personnels -Une organisation doit informer toute personne qui en fait la demande de l'existence de renseignements personnels qui la concernent, de l'usage qui en est fait et du fait qu'ils ont été communiqués à des tiers, et lui permettre de les consulter. Il sera aussi possible de contester l'exactitude et l'intégralité des renseignements, et d'y faire apporter les corrections appropriées.

10. Possibilité de porter plainte à l'égard du non-respect des principes - Toute personne doit être en mesure de se plaindre du non-respect des principes énoncés ci-dessus en communiquant avec la ou les personnes responsables de les faire respecter au sein de l'organisation concernée.

La Loi concerne les praticiens en insolvabilité, puisqu'elle peut imposer aux séquestres et aux syndics de faillite l'obligation de protéger la confidentialité des renseignements personnels détenus par l'entité insolvable. Cela pourrait signifier l'élaboration, et peut-être même la mise en oeuvre, de protocoles de gestion des renseignements afin de se conformer à la Loi. De même, la Loi pourrait restreindre la vente de certains actifs d'une entreprise, tels que les listes de clients, qui constituent des actifs importants dans le cadre de faillites dans le secteur du commerce électronique et des télécommunications.

Pour déterminer si un praticien en insolvabilité aura des obligations et, le cas échéant, la nature de celles-ci, il faudra interpréter la Loi à la lumière des circonstances en cause et de la capacité juridique particulière au titre de laquelle agit le praticien.

Les cas où le praticien en insolvabilité agit à titre de séquestre nommé privément et de gestionnaire semble être ceux qui présentent le plus grand risque. Dans de tels cas, il semble raisonnable de conclure que, lorsque le débiteur dispose d'un protocole de gestion des renseignements, le séquestre aura l'obligation de prendre des mesures raisonnables pour assurer le respect continu du protocole pendant la mise sous séquestre. Le défaut de le faire pourrait entraîner une responsabilité envers le débiteur et, directement ou indirectement, envers les personnes concernées par les renseignements mal gérés.

Un problème plus complexe se pose dans les cas où le débiteur n'a aucun protocole de gestion des renseignements personnels en place, ou ceux où le système dont il dispose à cet égard est déficient. Le séquestre nommé privément sera-t-il alors tenu d'engager les coûts nécessaires à la mise en place d'un protocole de gestion des renseignements? Pour répondre à cette question, il faudra que les tribunaux examinent si la Loi s'applique au séquestre indépendamment du débiteur ou uniquement par l'intermédiaire du débiteur.

Si elle s'applique uniquement au débiteur, les personnes lésées ne pourront alors déposer une plainte que contre le débiteur. Il semble peu probable qu'un débiteur puisse ensuite critiquer légitimement un séquestre pour avoir omis de prendre des mesures pour protéger les renseignements si lui-même n'avait pris aucune mesure pour gérer ceux-ci adéquatement. Par ailleurs, s'il s'avère que la Loi s'applique directement au séquestre, celui-ci pourrait alors avoir l'obligation de mettre des systèmes en place pour se conformer à la Loi.

Le libellé de la Loi n'est pas clair sur ce point et des interprétations judiciaires seront nécessaires. Le fait que le séquestre nommé privément soit précisément nommé et qu'il agisse à titre de représentant du débiteur milite en faveur d'une interprétation plus étroite de la Loi, sans quoi elle pourrait sembler faire porter également une responsabilité personnelle aux administrateurs, aux cadres et aux employés du débiteur. Toutefois, il faut noter que cet argument n'a qu'un poids limité. Un tribunal pourrait décider, à la lumière d'une analyse de la Loi, de passer outre à la conclusion qu'on inférerait normalement de l'accord de gré à gré intervenu entre le débiteur, le créancier garanti et le séquestre. De même, les tribunaux sont de plus en plus enclins à envisager de faire porter une responsabilité aux représentants d'une société lorsqu'il y a des preuves de conduite délictueuse intentionnelle.

Les incidences de la Loi dans le contexte d'une mise sous séquestre ordonnée par le tribunal, d'un processus de restructuration ou d'une faillite sont difficiles à prévoir. Dans ces situations, la probabilité d'être tenu responsable de la mauvaise gestion des renseignements est beaucoup plus faible, parce que le praticien en insolvabilité a la possibilité de se présenter devant le tribunal pour obtenir des instructions à l'égard du traitement des renseignements personnels. La nature des instructions que pourrait donner un tribunal dans le cadre de telles audiences est toutefois incertaine. Cette incertitude provient, d'une part, de la «souplesse» de la Loi et de la nécessité conséquente de tenir compte des circonstances propres à chaque affaire. L'incertitude provient également du fait que le tribunal sera appelé à examiner les incidences d'autres droits et obligations concurrents prévus par la loi, et qu'il pourrait devoir trouver un équilibre entre les intérêts divers des multiples parties prenantes à l'affaire.

En raison de la souplesse de la Loi, qui laisse à la discrétion du tribunal la sanction des manquements, il semble probable que le tribunal sera en mesure de concilier les droits et les obligations créées par la Loi. Un tribunal pourrait ainsi, dans les situations appropriées, limiter les activités impliquant les renseignements personnels en possession du séquestre ou du syndic de faillite. Par exemple, dans le cas où le débiteur aurait promis à des clients que les renseignements personnels les concernant ne seraient pas communiqués, le tribunal pourrait empêcher le séquestre ou le syndic de faillite de vendre la liste des clients au bénéfice des créanciers. À l'inverse, un tribunal pourrait ordonner que, dans le but de maintenir la transparence du processus, tous les dossiers du débiteur soient mis à la disposition des créanciers ou des acheteurs potentiels de l'entreprise du débiteur pour examen, avec le résultat que le droit à la protection des renseignements personnels se trouverait à passer au second plan.

Dans le cas d'une faillite, le tribunal sera également appelé à examiner certaines questions préalables. On pourrait lui demander d'établir si les renseignements personnels sont la «propriété de la faillite» au sens de la Loi sur la faillite et l'insolvabilité, et si les accords conclus entre le débiteur et ses clients en vue de maintenir la confidentialité des renseignements qui concernent ces derniers lient aussi le syndic de faillite.

La souplesse de la Loi fait en sorte que des interprétations judiciaires seront nécessaires avant que les entreprises et les professionnels puissent avoir une image claire des obligations qu'elle leur impose. Sans doute cette incertitude entraînera-t-elle une certaine frustration au début, et sera-t-elle critiquée par certaines personnes, parce qu'elle réduira l'efficacité de la Loi. Toutefois, la souplesse inhérente à la Loi vise à établir une règle stricte pour régir le traitement de l'information dans des secteurs d'activité multiples, tout en conférant un caractère proactif à la Loi. Celle-ci doit être souple, parce qu'elle vise non seulement à interdire les pratiques commerciales inacceptables qui ont cours, mais également à fournir un mécanisme permettant de contrôler l'évolution rapide des pratiques commerciales en cette ère de l'information.

Dans les situations où la Loi ou une loi comparable s'applique, les praticiens en insolvabilité devraient chercher, lorsqu'ils traitent des renseignements personnels, à obtenir des instructions auprès des tribunaux, du moins jusqu'à ce qu'émerge une certaine jurisprudence sur laquelle s'appuyer. Dans la mesure où tous les faits sont communiqués lors de l'audition de la demande d'instructions, cette approche devrait éliminer le risque d'être tenu responsable ultérieurement. S'il est impossible de recourir aux tribunaux, le praticien en insolvabilité devrait songer à prendre des mesures pour assurer le respect de la Loi, dont les suivantes :

· examiner les dossiers de la société afin de déterminer quels types de renseignements personnels ont été recueillis au sujet des consommateurs et des employés;

· examiner les mesures de protection prises par le débiteur à l'égard des renseignements personnels, en particulier à la lumière de tout code de protection des renseignements personnels régissant son secteur d'activité;

· examiner les pratiques de traitement de l'information de tout tiers traitant des données, en tenant compte du fait qu'il existe souvent des écarts entre la politique de l'entreprise et la pratique réelle, et qu'il peut se révéler nécessaire d'effectuer un examen sur place de la mise en oeuvre du protocole de gestion des renseignements par le tiers;

· examiner le formulaire de consentement du débiteur et l'avis d'utilisation prévue, le cas échéant;

· désigner des personnes responsables du respect du code de protection des renseignements personnels qui s'applique;

· mettre en place une procédure régissant l'accès aux renseignements personnels et leur inspection lorsqu'il y a lieu.

Lorsqu'ils appliqueront la Loi, il est probable que les tribunaux seront sensibles à la situation difficile dans laquelle se trouve un séquestre lorsqu'il doit gérer les renseignements en la possession d'un débiteur insolvable. En conséquence, on s'attend à ce que le séquestre soit tenu à une norme de diligence relativement peu élevée. Si le comportement du séquestre témoigne du fait qu'il tient compte des obligations imposées par la Loi et d'une tentative honnête de se conformer à celles-ci, il semble raisonnable de croire que la norme de diligence aura été respectée.