Englander c. TELUS Communications Inc. (C.A.F.)

A-388-03

2004 CAF 387

Mathew Englander (appelant)

TELUS Communications Inc. (intimée)

Le Commissaire à la protection de la vie privée du Canada (intervenant)

Répertorié: Englander c. TELUS Communications Inc. (C.A.F.)

Cour d'appel fédérale, juges Décary, Nadon et Malone, J.C.A.--Vancouver, 7 octobre; Ottawa, 17 novembre 2004.

Protection des renseignements personnels -- Loi sur la protection des renseignements personnels et les documents électroniques (la LPRPDE) -- Publication de renseignements des clients dans les annuaires téléphoniques -- Peut-il être demandé des droits aux abonnés qui veulent que leur numéro de téléphone reste confidentiel? -- Nature du consentement requis des nouveaux abonnés -- La Cour fédérale a-t-elle compétence pour statuer sur la question des tarifs? -- Examen et historique de la LPRPDE -- Principes établis par les lignes directrices de l'Organisation de coopération et de développement économiques (OCDE), intégrées dans le code type d'autoréglementation de l'Association canadienne de normalisation, qui a été approuvé par le Conseil canadien des normes -- Le code est devenu l'annexe 1 de la Loi -- Le gouverneur en conseil craignait que les droits à payer pour le service de non-publication des numéros dissuadent les abonnés d'obtenir la non-publication des renseignements les concernant -- Le CRTC a pris un décret prévoyant que le droit payable pour un numéro non inscrit ne devait pas dépasser 2 $ par mois -- Les principes et règles d'interprétation utilisés dans le contexte de la Loi sur la protection des renseignements personnels ne peuvent être d'emblée appliqués à la LPRPDE car les objets des deux textes sont très différents -- La LPRPDE concilie deux intérêts rivaux: la protection des renseignements personnels et les besoins des organisations commerciales -- Le code et le texte législatif reflétaient un compromis obtenu après d'intenses négociations -- Difficulté d'intégrer dans une loi un code conçu comme un instrument d'application volontaire -- L'interprétation donnée par la Cour devait être pragmatique et flexible -- Les procédures prévues par la Loi sur les langues officielles sont applicables car elles sont semblables -- L'appelant avait-il l'intérêt pour agir sur la question du consentement? -- Nécessité à la fois de la connaissance et du consentement -- Il appartient à l'organisation de préciser tous les objets de la collecte des renseignements -- Le moment est une considération essentielle: les brochures fournies après la collecte et l'utilisation ne sont pas la preuve d'un consentement adéquat -- Le juge a commis une erreur en faisant reposer sur l'abonné l'obligation de s'enquérir lui-même des options de publication -- Absence de consentement éclairé -- Le mécanisme détaillé des plaintes qui est prévu par la LPRPDE a préséance sur la Loi sur les télécommunications -- La LPRPDE n'interdit pas expressément d'imposer un droit pour le service de non-publication des numéros -- TELUS a contrevenu à l'art. 5 de la Loi en n'informant pas les nouveaux clients, dès leur inscription, des fins premières et secondes de la collecte des renseignements, et de l'existence du service de non-publication des numéros.

Télécommunications -- Publication de renseignements personnels dans les annuaires téléphoniques -- Interprétation de la Loi sur la protection des renseignements personnels et les documents électroniques -- Points litigieux: celui de savoir si des droits peuvent être demandés pour le service de non-publication des numéros, celui de la nature du consentement requis par la Loi pour la publication des renseignements personnels des nouveaux clients et celui de savoir si le CRTC est investi d'une compétence exclusive sur les droits demandés pour les services de protection des renseignements personnels -- TELUS a contrevenu à l'art. 5 de la LPRPDE en n'informant pas ses nouveaux clients, dès leur inscription, des fins premières et secondes de la collecte des renseignements.

Compétence de la Cour fédérale -- La Cour a-t-elle compétence pour examiner la légalité de tarifs imposés par le CRTC pour le service de non-publication des numéros de téléphone? -- Le juge de la Cour fédérale a estimé que la Cour n'avait pas cette compétence -- Jugement infirmé par la C.A.F. -- La question est une question de compétence concurrente ou chevauchante.

Il s'agissait d'un appel interjeté contre un jugement de la Cour fédérale, qui avait rejeté une demande d'audience présentée conformément à l'article 7 de la Loi sur la protection des renseignements personnels et les documents électroniques (la LPRPDE).

L'appelant avait déposé une plainte à l'encontre de TELUS, en vertu de l'article 11 de la Loi, en demandant au Commissaire de dire si le consentement que TELUS affirmait obtenir de ses nouveaux abonnés à la communication de renseignements personnels les concernant remplissait les conditions fixées par la loi et si TELUS pouvait demander une redevance mensuelle pour son service de non-publication des numéros (la question du tarif), redevance à laquelle TELUS subordonne la non-publication de renseignements personnels dans ses annuaires téléphoniques. Le Commissaire avait rejeté la plainte de l'appelant, affirmant simplement que TELUS avait le pouvoir de demander une redevance mensuelle pour son service de non-publication des numéros. Quant à la question du consentement, il avait conclu que, dans sa procédure d'établissement du service, TELUS obtenait un consentement valide à la publication de renseignements personnels dans ses pages blanches.

L'appelant a alors présenté à la Cour fédérale une demande selon l'article 14, mais cette demande a été rejetée, le juge Blais estimant que la Cour n'avait pas compétence pour statuer sur la question du tarif, puisqu'il s'agissait d'une affaire relevant de la compétence exclusive du CRTC. Sur la question du consentement, le juge a estimé que TELUS obtenait effectivement un consentement valide.

Pour bien interpréter la LPRPDE, il était nécessaire d'examiner son historique. En 1980, l'Organisation de coopération et de développement économiques (OCDE) publiait des lignes directrices exposant huit principes qui sont encore considérés comme les règles fondamentales de la loyauté en matière de services d'information. Ces huit principes concernaient les aspects suivants: la limitation en matière de collecte, la qualité des données, la spécification des finalités, la limitation de l'utilisation, les garanties de sécurité, la transparence, la participation individuelle et la responsabilité. Mais il y avait une contradiction entre l'approche d'autoréglementation proposée par l'OCDE et l'approche législative préconisée par le Conseil de l'Europe. Au Canada, un code type d'autoréglementation sur la protection des renseignements personnels a été adopté par l'Association canadienne de normalisation (ACN) en 1995, puis approuvé en 1996 par le Conseil canadien des normes. Le code exposait dix principes dans sa partie 4, reprenant les huit principes établis dans les lignes directrices de l'OCDE, les deux principes additionnels, celui du consentement et celui de la possibilité de déposer une plainte, étant déjà formulés à l'intérieur des articles 7 (Principe de la limitation en matière de collecte) et 13 (Principe de la participation individuelle) des lignes directrices de l'OCDE. La partie 4 de la norme de l'ACN est devenue l'annexe I de la Loi. La norme de l'ACN avait été «élaborée selon le principe du consensus», ce qui signifie qu'il y avait eu un accord substantiel--mais pas nécessairement l'unanimité--entre les intérêts concernés.

Vers la même époque, le ministre de l'Industrie avait établi le Comité consultatif sur l'autoroute de l'information, chargé de définir la manière dont le Canada pourrait tirer le meilleur parti possible de l'autoroute de l'information. En réponse à un document public de réflexion sur le sujet, les représentants des consommateurs s'étaient déclarés en faveur d'une protection législative de la vie privée tandis que les entreprises privilégiaient la formule de l'autoréglementation selon la norme de l'ACN. Le Comité avait recommandé au gouvernement d'élaborer une législation cadre souple, inspirée de la norme de l'ACN. Les rédacteurs du texte ont décidé d'incorporer en tant qu'annexe le texte de la norme de l'ACN, [traduction] «un document établi avec soin suivant le principe du consensus et dont chaque clause, encore qu'elle ne fût pas rédigée en style législatif, avait été négociée», et d'apporter au corps de la loi les modifications qui se révéleraient inévitablement nécessaires pour ajuster le libellé du code à un acte législatif. La Loi a reçu la sanction royale en 2000 et est entrée en vigueur en phases successives entre 2001 et 2004. En 2001, la Commission européenne jugeait que la LPRPDE remplissait les conditions fixées par la Directive sur la protection des données qu'avait adoptée l'Union européenne en 1995, ce qui signifiait que les données personnelles des États membres de l'Union pouvaient être transférées au Canada.

Le service de non-publication des numéros (SNPN) est réglementé par le CRTC; en Colombie-Britannique, le tarif est de 2 $ par mois, ce à quoi il faut ajouter un droit d'ouverture de dossier de 9,50 $. Le CRTC a ordonné aux compagnies de téléphone d'indiquer aux clients demandant le service ou ayant des doutes sur la protection de leurs renseignements personnels les moyens par lesquels ils pouvaient faire retrancher leur nom des listages vendus ou loués à des parties tierces. En 1996, le gouverneur en conseil, estimant que la tarification du service de non-publication des numéros pouvait dissuader les abonnés de faire supprimer leurs renseignements personnels des annuaires téléphoniques, obligeait le CRTC à présenter un rapport évaluant le service de non-publication des numéros. Le CRTC a alors présenté un rapport de 25 pages, dans lequel il concluait que, par l'effet d'une pratique établie de longue date, les abonnés savaient que, sauf s'ils demandaient un numéro non inscrit, leurs numéros seraient publiés dans les annuaires et diffusés par l'assistance annuaire, et le CRTC estimait par conséquent que l'on pouvait considérer que les abonnés consentaient à telle utilisation s'ils s'abonnaient au service téléphonique sans demander un numéro non inscrit. Le CRTC ajoutait que, en raison de la plus grande accessibilité des renseignements tirés des inscriptions d'abonnés sous des formes facilement manipulables, il était plus important que jamais que la tarification du service de non-publication des numéros ne soit pas financièrement hors de la portée des abonnés. Après avoir lancé un appel d'observations concernant les tarifs du service de non-publication des numéros, le CRTC a pris l'Ordonnance Télécom 98-109, dans laquelle il concluait qu'il était opportun «que les compagnies de téléphone fournissent un service de numéros non inscrits à un tarif qui ne dépasse pas 2 $ par mois pour les abonnés du service de résidence». En 2003, la Décision Télécom 2003-33 était rendue. Dans cette décision, le CRTC concluait que le consentement implicite n'était pas une forme de consentement suffisante pour ce qui concernait la communication, à des affiliées, de renseignements personnels confidentiels sur les abonnés, abstraction faite du nom, de l'adresse et du numéro de téléphone inscrit. La décision mentionnait que la compétence du CRTC venait de la Loi sur les télécommunications et que, en exerçant les pouvoirs discrétionnaires que lui conférait cette Loi, le CRTC pouvait appliquer des normes différentes de celles prévues par la LPRPDE.

Les points en litige étaient les suivants: celui de savoir s'il pouvait être demandé des droits aux abonnés qui voulaient que leur numéro de téléphone demeure confidentiel; celui de la nature du consentement requis par la Loi pour l'inscription, dans les annuaires téléphoniques, de renseignements personnels sur les nouveaux abonnés; enfin celui de savoir si le CRTC avait compétence exclusive pour statuer sur la légalité des droits perçus pour les services de protection des renseignements personnels. Les questions procédurales concernaient notamment la qualité pour agir devant la Cour fédérale sous le régime de l'article 14 de la LPRPDE.

Arrêt: l'appel doit être accueilli en partie.

Les principes et règles d'interprétation élaborés dans le contexte de la Loi sur la protection des renseignements personnels ne doivent pas être appliqués trop hâtivement à la partie 1 et à l'annexe 1 de la LPRPDE, et cela en raison de la dissemblance de leurs dispositions respectives énonçant leurs objets. La LPRPDE concerne la protection des renseignements personnels, mais elle concerne aussi la collecte, l'utilisation et la communication de renseignements personnels par les organisations commerciales. Elle s'efforce de concilier deux intérêts rivaux: le droit à la vie privée et les besoins de l'organisation. Elle reconnaît expressément que le droit à la vie privée n'est pas absolu. Un auteur a même expliqué que, [traduction] «fruit d'intenses négociations menées entre le secteur privé, les groupes de défense des consommateurs et le gouvernement», le Code constitue un compromis. Ce compromis a été repris par le texte législatif. L'annexe 1 n'est pas tant axée sur la prévention de la collecte, de l'utilisation et de la communication de renseignements personnels--toutes activités qui sont considérées comme allant presque de soi--que sur l'examen des fins de cette collecte, de cette utilisation et de cette communication. Ces fins doivent être appropriées et légitimes, et des efforts raisonnables doivent être déployés pour faire en sorte que l'intéressé en soit informé et les comprenne. Il était intrinsèquement difficile d'incorporer dans une loi un code conçu à l'origine comme un instrument d'application volontaire, et la Cour n'était guère aidée par des expressions telles que: l'intéressé doit être informé et donner son consentement «à moins qu'il ne soit pas approprié de le faire». Il revenait à la Cour d'établir un équilibre entre deux intérêts rivaux. Puisque la rédaction non juridique de l'annexe 1 ne se prêtait pas à l'interprétation rigoureuse habituellement possible, la Cour devait s'en rapporter à la flexibilité, au bon sens et au pragmatisme.

Les points soulevés ici n'étaient pas sans rappeler ceux que devait trancher la Cour dans l'arrêt Forum des Maires de la Péninsule acadienne c. Canada (Agence d'inspection des aliments). Cette affaire relevait de la Loi sur les langues officielles, mais les procédures qui pouvaient être introduites devant la Cour fédérale en application des deux textes étaient si semblables que le raisonnement suivi dans l'arrêt Forum des Maires pouvait être appliqué à la présente affaire. Les enquêtes que mène le Commissaire aux langues officielles et le Commissaire à la protection de la vie privée à la suite d'une plainte suivent le même schéma. Dans les deux cas, ce qui est en cause, ce n'est pas le rapport du Commissaire, mais la conduite de la partie contre laquelle la plainte est déposée. L'audience visée par le paragraphe 14(1) de la Loi est une procédure de novo, et, puisque l'article 15 de la Loi prévoit que le Commissaire a qualité pour comparaître comme «partie» à la procédure, il ne serait pas équitable de montrer de la circonspection pour son rapport car il serait de la sorte avantagé.

TELUS a fait valoir que l'appelant n'avait pas qualité pour agir sur la question du consentement puisqu'il n'avait pas prétendu que son droit à la vie privée avait été violé, et TELUS a invoqué les mots «tout intéressé», dans la version française du paragraphe 11(1). Mais, alors que le Commissaire pourrait bien avoir la faculté de refuser d'établir un rapport s'il estime que le plaignant n'a aucun intérêt personnel, une fois qu'un rapport a été rédigé, et si la décision du Commissaire de le rédiger n'a pas été contestée, la personne qui a déposé la plainte est un plaignant aux fins d'une demande présentée à la Cour en vertu de l'article 14--et cela quand bien même ses propres renseignements personnels ne seraient pas en jeu.

De nombreux arguments ont porté sur l'article 7 de la Loi et sur l'alinéa 1a) du Règlement, mais ces dispositions n'étaient pas applicables ici. Elles ne pourraient pas s'appliquer à l'organisation elle-même qui recueille au départ ces renseignements afin de publier un annuaire téléphonique qui deviendra, une fois publié, accessible au public. Le fait que l'utilisation de renseignements personnels figurant dans des annuaires téléphoniques accessibles au public puisse être aussi répandue à cause de ce Règlement donnerait à penser que la Cour doit montrer d'autant plus de circonspection lorsqu'il s'agit de décider les points se rapportant à l'inscription initiale dans un annuaire téléphonique.

Les principes 2 («Détermination des fins de la collecte des renseignements») et 3 («Consentement») formaient les questions centrales de cet appel, et le principe 3 exigeait à la fois la connaissance et le consentement. Selon le principe 2, une organisation doit indiquer les fins de la collecte au moment ou avant le moment où les renseignements sont recueillis. Par ailleurs, si les renseignements doivent plus tard être utilisés à une fin non précisée antérieurement, cette fin nouvelle doit être précisée et le consentement de l'intéressé doit être obtenu avant que les renseignements ne puissent être utilisés à cette fin nouvelle. Les articles 4.2.3 et 4.2.4 imposent manifestement à l'organisation l'obligation de préciser à l'intéressé, au moment de la collecte ou avant la collecte, toutes les fins auxquelles les renseignements personnels sont recueillis. Le moment est une considération essentielle pour ce qui concerne à la fois le principe 2 et le principe 3. On ne saurait s'appuyer sur les brochures communiquées à l'intéressé après la collecte (voire après l'utilisation) pour dire si le consentement a ou non été obtenu à temps. L'application du principe 8 (transparence) arrivera généralement trop tard pour valoir celle du principe 3.

En affirmant que TELUS disposait d'un consentement valide à la publication des renseignements personnels des clients dans ses annuaires, le juge avait fait observer que, en raison d'une pratique de longue date et bien établie, les clients pouvaient raisonnablement compter que, à moins de demander le service de non-publication des numéros, leurs renseignements personnels seraient publiés dans l'annuaire téléphonique. Il appartenait à l'abonné de s'informer des options qui s'offraient à lui. La Cour n'a pu cependant admettre que les nouveaux clients donnaient un consentement valide à l'utilisation par TELUS de leurs renseignements personnels dans le cadre de son service d'assistance annuaire sur Internet, de ses services de base de données--désignés Directory File Service et Basic Listing Interchange File Service--et de son service CD-Rom, puisque les clients n'étaient pas informés de l'existence de ces services au moment de l'abonnement et que rien ne prouvait que les nouveaux clients pourraient raisonnablement les considérer comme appropriés. Rien n'indiquait que TELUS s'était efforcée d'informer ses nouveaux clients des fins secondes au moment de la collecte. Comme le juge n'a tiré aucune conclusion précise sur les services en question, il a commis une erreur sujette à révision.

La conclusion du juge relative aux fins premières, conclusion selon laquelle il appartenait aux clients de demander que leur numéro ne soit pas publié, était incompatible avec l'obligation d'obtenir un consentement éclairé, une obligation imposée par la partie 1 et l'annexe 1 de la Loi. Il n'y a aucun consentement éclairé si le nouvel abonné n'a pas connaissance de la possibilité pour lui de ne pas être inscrit. Ces nouveaux clients ont le droit de savoir--avant que les renseignements personnels les concernant ne deviennent des renseignements «auxquels le public a accès», au sens de l'article 7--qu'ils peuvent exercer leur droit à la vie privée en choisissant de ne pas être inscrits.

Le juge a estimé que la Cour n'avait pas compétence pour statuer sur la question du tarif car il s'agissait là d'une affaire relevant de la compétence exclusive du CRTC. Le Commissaire à la protection de la vie privée n'est pas un tribunal administratif, et son rapport n'est pas une «décision», mais le CRTC est un organe décisionnel. Selon l'alinéa 32g) de la Loi, le CRTC est habilité à trancher toute question touchant les tarifs et tarifications des entreprises canadiennes ou les services de télécommunication qu'elles fournissent et, selon l'article 52, il est habilité, dans l'exercice de ses pouvoirs, à trancher toute question de droit ou de fait. Il s'agissait de savoir si la compétence du CRTC pour statuer sur la question du tarif--compétence dont la Cour était disposée à présumer l'existence--empêchait la Cour de décider ce point. La LPRPDE prévoit un mécanisme de recours qui est détaillé et, eu égard aux circonstances décrites au paragraphe 4(3), elle a préséance sur la Loi sur les télécommunications. Pour que la Cour fût en mesure de dire si une organisation a contrevenu au paragraphe 5(1), elle devait être habilitée à dire si l'imposition d'une redevance était admissible, et c'était là une pure question de droit. Il n'y avait dans la Loi sur les télécommunications aucune disposition expresse excluant la compétence de la Cour. Il y avait soit compétence concurrente, soit compétence chevauchante et, si la Cour devait juger que des droits ne pouvaient pas être demandés, alors le CRTC serait tenu de revoir sa tarification.

La Cour n'a pu accepter la proposition de l'appelant selon laquelle la Loi sur les télécommunications n'autorisait pas l'imposition d'un droit pour le service de non-publication des numéros, ni sa proposition selon laquelle la LPRPDE a préséance sur la Loi sur les télécommunications. Les deux textes ne sont pas contradictoires: la LPRPDE n'interdit pas expressément l'imposition de droits.

TELUS a contrevenu à l'article 5 de la LPRPDE parce qu'elle n'a pas informé ses nouveaux clients, dès leur abonnement, des fins premières et secondes auxquelles les renseignements étaient recueillis, ni de l'existence du service de non-publication des numéros. Mais le plaignant n'ayant pas été personnellement lésé, la Cour ne lui accorderait pas une réparation monétaire, mais rendrait seulement une ordonnance de nature prospective.

lois et règlements cités

Charte canadienne des droit et libertés, qui constitue la partie I de la Loi constitutionnelle de 1982 annexe B, Loi de 1982 sur le Canada, 1982, ch. 11 (R.-U.) [L.R.C. (1985), appendice II, n^o 44].

Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, S.T.E. n^o 108, Strasbourg, 28.I.1981.

Décret modifiant la décision Télécom CRTC 95-14 et demandant à la CRTC de faire rapport sur la question des listes d'inscriptions d'abonnés, DORS/96-322.

Loi sur la preuve au Canada, L.R.C. (1985), ch. C-5.

Loi sur la protection des renseignements personnels, L.R.C. (1985), ch. P-21, art. 2.

Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, ch. 5, art. 1, 3, 4(1), (3), 5, 7, 11, 13(1)a),(2), 14, 15, 16, 17, 27(1), ann. I.

Loi sur la révision des lois, L.R.C. (1985), ch. S-20.

Loi sur le Conseil canadien des normes, L.R.C. (1985), ch. S-16.

Loi sur les Cours fédérales, L.R.C. (1985), ch. F-7, art. 1 (mod. par L.C. 2002, ch. 8, art. 14), 18 (mod. par L.C. 1990, ch. 8, art. 4; 2002, ch. 8, art. 26).

Loi sur les langues officielles, L.R.C. (1985) (4^e suppl.), ch. 31, art. 77(1).

Loi sur les télécommunications, L.C. 1993, ch. 38, art. 7i), 25 (mod. par L.C. 1999, ch. 31, art. 199), 27, 32a),g), 47, 48, 52.

Loi sur les textes réglementaires, L.R.C. (1985), ch. S-22.

Règlement précisant les renseignements auxquels le public a accès, DORS/2001-7, art. 1.

jurisprudence citée

décision appliquée:

Forum des maires de la Péninsule acadienne c. Canada (Agence d'inspection des aliments), [2004] 4 R.C.F. 276; (2004), 243 D.L.R. (4th) 542; 324 N.R. 314; 2004 CAF 263.

décision distincte:

R. c. Badger, [1996] 1 R.C.S. 771; (1996), 133 D.L.R. (4th) 324; [1996] 4 W.W.R. 457; 181 A.R. 321; 37 Alta. L.R. (3d) 153; 105 C.C.C. (3d) 289; [1996] 2 C.N.L.R. 77; 195 N.R. 1; 116 W.A.C. 321.

décisions examinées:

BC Tel--Besoin en revenus pour 1993 et 1994, décision Télécom CRTC 94-1; Concurrence locale, décision Télécom CRTC 97-8; Fourniture de renseignements tirés des bases de données de l'annuaire et accès en temps réel aux bases de données de l'assistance-annuaire, décision Télécom CRTC 95-3; Référence: 8665-C12-14/01 et 8665-B20-01/00. Clauses de confidentialité des entreprises canadiennes, décision Télécom CRTC 2003-33; Dagg c. Canada (Ministre des Finances), [1997] 2 R.C.S. 403; (1997), 148 D.L.R. (4th) 385; 46 Admin. L.R. (2d) 155; 213 N.R. 161; R. c. Côté, [1996] 3 R.C.S. 139; (1996), 138 D.L.R. (4th) 385; 110 C.C.C. (3d) 122; [1996] 4 C.N.L.R. 26; 202 N.R. 161; ordonnance Télécom CRTC 98-109, 4 février 1998.

décisions citées:

Eastmond c. Canadien Pacifique Ltée (2004), 16 Admin. L.R. (4th) 275; 33 C.P.R. (4th) 1; 254 F.T.R. 169; 2004 CF 852; Maheu c. IMS Health Canada (2003), 24 C.P.R. (4th) 70; 226 F.T.R. 269; 2003 CFPI 1; conf. par (2003), 29 C.P.R. (4th) 425; 314 N.R. 393; 2003 CAF 462; Chiasson c. Canada (2003), 226 D.L.R. (4th) 351; 303 N.R. 54; 2003 CAF 155; St. Anne Nackawic Pulp & Paper Co. c. Syndicat canadien des travailleurs du papier (Section locale 219), [1986] 1 R.C.S. 704; (1986), 73 N.B.R. (2d) 236; 28 D.L.R. (4th) 1; 184 A.P.R. 236; 86 CLLC 14,037; 68 N.R. 112; Weber c. Ontario Hydro, [1995] 2 R.C.S. 929; (1995), 125 D.L.R. (4th) 583; 30 Admin. L.R. (2d) 1; 12 C.C.E.L. (2d) 1; 24 C.C.L.T. (2d) 217; 30 C.R.R. (2d) 1; 183 N.R. 241; 82 O.A.C. 321; Regina Police Assn. Inc. c. Regina (Ville) Board of Police Commissioners, [2000] 1 R.C.S. 360; (2000), 183 D.L.R. (4th) 14; [2000] 4 W.W.R. 149; 189 Sask. R. 23; 50 C.C.E.L. (2d) 1; 241 N.R. 16; 2000 CSC 14; Québec (Procureur général) c. Québec (Tribunal des droits de la personne), [2004] 2 R.C.S. 223; (2004), 240 D.L.R. (4th) 609; 2004 CSC 40; Nouvelle-Écosse (Workers' Compensation Board) c. Martin; Nouvelle-Écosse (Workers' Compensation Board) c. Laseur, [2003] 2 R.C.S. 504; (2003), 231 D.L.R. (4th) 385; 4 Admin. L.R. (4th) 1; 28 C.C.E.L. (3d) 1; 110 C.R.R. (2d) 233; 310 N.R. 22; 2003 CSC 54.

doctrine citée

Conseil de la radiodiffusion et des télécommunications canadiennes. Rapport au gouverneur en conseil sur les listes d'inscriptions d'abonnés dans les annuaires et sur le service de numéro non inscrit, 23 décembre 1996.

Drapeau, M. W. et M. A. Racicot. Federal Access to Information and Privacy Legislation, Annotated 2004, Toronto: Carswell, 2004.

Geist, Michael. Internet Law in Canada, 3rd ed. Concord, Ont.: Captus Press, 2002.

Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de carractère personnel, 23 spetembre 1980.

Perrin, S. et al. The Personal Information Protection and Electronic Documents Act: An Annotated Guide. Toronto: Irwin Law Inc., 2001.

Résumé de l'étude d'impact de la réglementation, Gaz. C. 2001.II.32.

APPEL interjeté contre un jugement de la Section de première instance de la Cour fédérale ((2003), 235 F.T.R. 1) où étaient soulevés de nombreux points se rapportant aux renseignements personnels publiés dans les annuaires téléphoniques. Appel accueilli en partie.

ont comparu:

Mathew Englander, en son propre nom.

Lisa A. Warren pour l'intimée.

Sean T. McGee pour l'intervenant.

avocats inscrits au dossier:

Farris, Vaughan, Wills & Murphy, Vancouver, pour l'intimée.

Nelligan O'Brien Payne LLP, Ottawa, pour l'intervenant.

Ce qui suit est la version française des motifs du jugement rendus par

[1]Le juge Décary, J.C.A.: Le présent appel soulève de nombreuses questions liées à l'interprétation de la Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, ch. 5, (la Loi ou la LPRPDE) et aux renseignements personnels publiés dans les annuaires téléphoniques. Certaines d'entre elles sont des questions de fond, touchant le point de savoir: s'il peut être demandé des droits aux abonnés qui veulent que leur numéro de téléphone reste confidentiel; quelle est la nature du consentement qu'exige la Loi pour l'inscription dans les annuaires téléphoniques de renseignements personnels concernant les nouveaux abonnés; quelles règles devraient orienter l'interprétation d'un code d'autoréglementation incorporé dans une loi; et si le Conseil de la radiodiffusion et des télécommuni-cations canadiennes (le CRTC) a compétence exclusive pour statuer sur la légalité des droits perçus pour la protection des renseignements personnels. D'autres questions sont de nature procédurale: la qualité pour agir devant la Cour fédérale sous le régime de l'article 14 de la Loi; la nature de l'«audience» y visée; la question de savoir s'il convient d'user de retenue judiciaire à l'égard du rapport établi sur une plainte par le Commissaire à la protection de la vie privée du Canada (le commissaire), M. Radwanski, sous le régime de l'article 11, et, dans l'affirmative, la nature d'une telle retenue; et l'adjudication de dépens à un plaideur qui affirme être partie à un litige d'intérêt public.

[2]Les faits pertinents de la présente espèce sont exposés dans la décision attaquée de la Section de la première instance, publiée dans (2003), 235 F.T.R. 1 (C.F. 1^re inst.). Pour l'essentiel, la présente affaire résulte d'une plainte déposée par l'appelant contre l'intimée (TELUS) en vertu de l'article 11 de la Loi. L'appelant avait demandé au commissaire d'établir si le consentement que TELUS affirmait obtenir de ses nouveaux abonnés à la communication de renseignements personnels les concernant remplissait les conditions fixées par la Loi (la question du consentement) et si TELUS avait le droit de lui faire payer une redevance mensuelle pour son service de non-publication des numéros (service de non-publication ou service de numéro non inscrit), paiement auquel elle subordonne la non-publication de renseignements personnels dans ses annuaires téléphoniques (la question du tarif).

[3]Le commissaire a établi le rapport demandé et rejeté la plainte (D.A., vol. 1, à la page 68). Ses motifs sont--c'est le moins qu'on puisse dire--plutôt laconiques.

[4]Concernant la question du tarif, il écrit ce qui suit (D.A., vol. 1, à la page 70):

[traduction] [. . .] J'ai conclu que TELUS est habilitée [. . .] de facturer à ses clients des frais mensuels de 2 $ pour le service de non-publication. J'estime que cette pratique n'est pas déraisonnable et qu'elle ne contrevient pas au principe 4.3.3 de l'Annexe.

[5]En ce qui a trait à la question du consentement, ses conclusions peuvent être récapitulées comme suit.

Concernant le paragraphe 5(3) de la Loi (ibid):

[traduction] [. . .] une personne raisonnable jugerait que les pratiques de TELUS relatives à l'établissement du service et à la publication subséquente dans les pages blanches des renseignements personnels sur ses abonnés constituent des pratiques raisonnables de cueillette, d'utilisation et de divulgation des renseignements.

Concernant le paragraphe 4.3 de l'annexe 1 (ibid):

[traduction] [. . .] TELUS, dans le cadre de sa procédure d'établissement du service, obtient un consentement valable de ses clients lui permettant de publier leurs renseignements personnels dans son annuaire public, les pages blanches.

Et enfin, concernant le paragraphe 4.5 de l'annexe 1 (ibid):

[traduction] [. . .] J'ai conclu que TELUS obtenait de ses clients un consentement valable lui permettant de publier leurs renseignements personnels dans ses pages blanches et, par ce fait même, que les clients consentaient à ce que leurs renseignements personnels soient mis à la disposition du public. TELUS communique seulement des renseignements publiquement disponibles à Dominion Information Services, en Colombie-Britannique, et à TELUS Advertising Services, en Alberta, conformément à la LPRDPE et tel que prévu par le Règlement précisant les renseignements auxquels le public a accès. Par conséquent, TELUS ne contrevient pas à la LPRDPE.

[6]Ces motifs ne nous aident pas beaucoup. Cependant, comme ce n'est pas le rapport, mais la plainte, que la Cour doit examiner dans la présente espèce (comme on verra plus loin), le rapport considéré dans son ensemble n'a guère d'importance en fin de compte.

[7]L'appelant a ensuite demandé à la Cour fédérale d'entendre les questions faisant l'objet de sa plainte en vertu de l'article 14 de la Loi. La Cour fédérale l'a débouté. Le juge Blais a formulé les conclusions suivantes dans l'exposé de ses motifs: l'audience n'était ni un recours contre le rapport du commissaire ni une demande de contrôle judiciaire de ce rapport, de sorte qu'il devait instruire l'affaire de novo; il convenait d'user d'une certaine retenue judiciaire à l'égard du rapport du commissaire concernant les décisions relevant manifestement de sa compétence; l'appelant avait qualité pour soulever la question du consentement, même en l'absence d'éléments tendant à prouver que TELUS aurait recueilli, utilisé ou communiqué des renseignements personnels le concernant sans son consentement; TELUS obtenait de ses abonnés un consentement valable dans le cadre de la Loi avant de publier dans ses annuaires des renseignements personnels les concernant; et la question du tarif, étant du ressort exclusif du CRTC, échappait à la compétence de la Cour fédérale. De plus, le juge Blais a refusé de reconnaître à l'appelant la qualité de plaideur dans un litige d'intérêt public et l'a condamné aux dépens, taxés à 11 906,41 $.

Genèse de la partie 1 de la LPRPDE

[8]Il serait important, pour bien comprendre et interpréter les dispositions applicables de la LPRPDE, de passer brièvement en revue l'histoire de cette loi, y compris de la partie de la norme de l'ACN [Association canadienne de normalisation] qui y a été incorporée en annexe 1. La plupart des observations que je formulerai à ce sujet s'inspirent d'un ouvrage intitulé The Personal Information Protection and Electronic Documents Act: An Annotated Guide (Perrin, Black, Flaherty et Rankin, Toronto: Irwin Law Inc., 2001). Je tiens à exprimer ma reconnaissance aux distingués auteurs de cet ouvrage et à m'excuser auprès d'eux de les citer souvent textuellement.

[9]On avait déjà essayé, avant les années 1970, de protéger les renseignements personnels au moyen de divers documents internationaux. [traduction] «On s'est cependant vite rendu compte que ces documents--étant donné, en particulier, le raffinement croissant du traitement de l'information--étaient trop vagues pour garantir suffisamment les libertés civiles dans le domaine de la protection des renseignements personnels» (Annotated Guide, à la page 2). C'est dans ce contexte que le Conseil de l'Europe a établi en 1981 la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (S.T.E. n^o 108, Strasbourg, 28.I.1981). De son côté, l'Organisation de coopération et de développement économiques (OCDE) a créé en 1978 un comité chargé d'élaborer des lignes directrices touchant les règles fondamentales qui devraient régir les flux transfrontières de données, ainsi que la protection des renseignements personnels et de la vie privée. Ce comité a élaboré les lignes directrices en question en consultant les experts qui travaillaient sur la Convention 108 au Conseil de l'Europe, [traduction] «mais l'activité de l'OCDE n'était pas orientée dans le sens de la réglementation, tandis que le Conseil de l'Europe a élaboré un ensemble de principes semblables qui ont été mis en oeuvre dans les législations nationales» (ibid., à la page 2). Les Lignes directrices de l'OCDE, publiées en 1981 [traduction] «comprenaient un ensemble de huit principes qui sont encore considérés comme les règles fondamentales de la loyauté en matière de services d'information». Ces huit principes sont les suivants [Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel, 23 septembre 1980]:

Principe de la limitation en matière de collecte

[. . .]

7. Il conviendrait d'assigner des limites à la collecte des données de caractère personnel et toute donnée de ce type devrait être obtenue par des moyens licites et loyaux et, le cas échéant, après en avoir informé la personne concernée ou avec son consentement.

Principe de la qualité des données

8. Les données de caractère personnel devraient être pertinentes par rapport aux finalités en vue desquelles elles doivent être utilisées et, dans la mesure où ces finalités l'exigent, elles devraient être exactes, complètes et tenues à jour.

Principe de la spécification des finalités

9. Les finalités en vue desquelles les données de caractère personnel sont collectées devraient être déterminées au plus tard au moment de la collecte des données et lesdites données ne devraient être utilisées par la suite que pour atteindre ces finalités ou d'autres qui ne soient pas incompatibles avec les précédentes et qui seraient déterminées dès lors qu'elles seraient modifiées.

Principe de la limitation de l'utilisation

10. Les données de caractère personnel ne devraient pas être divulguées ni fournies, ni utilisées à des fins autres que celles spécifiées conformément au paragraphe 9, si ce n'est:

(a) avec le consentement de la personne concernée, ou

(b) lorsqu'une règle de droit le permet.

Principe des garanties de sécurité

11. Il conviendrait de protéger les données de caractère personnel, grâce à des garanties de sécurité raisonnables, contre des risques tels que la perte des données ou leur accès, destruction, utilisation, ou divulgation non autorisés.

Principe de la transparence

12. Il conviendrait d'assurer, d'une façon générale, la transparence des progrès, pratiques et politiques, ayant trait aux données de caractère personnel. Il devrait être possible de se procurer aisément les moyens de déterminer l'existence et la nature des données de caractère personnel, et les finalités principales de leur utilisation, de même que l'identité du maître du fichier et le siège habituel de ses activités.

Principe de la participation individuelle

13. Toute personne physique devrait avoir le droit:

(a) d'obtenir du maître d'un fichier, ou par d'autres voies, confirmation du fait que le maître du fichier détient ou non des données la concernant;

(b) de se faire communiquer les données la concernant

i) dans un délai raisonnable;

ii) moyennant, éventuellement, une redevance modérée;

iii) selon des modalités raisonnables, et

iv) sous une forme qui lui soit aisément intelligible;

(c) d'être informée des raisons pour lesquelles une demande qu'elle aurait présentée conformément aux alinéas (a) et (b), est rejetée et de pouvoir contester un tel rejet, et

(d) de contester les données la concernant et, si la contestation est fondée, de les faire effacer, rectifier, compléter ou corriger.

Principe de la responsabilité

14. Tout maître des fichiers devrait être responsable du respect des mesures donnant effet aux principes énoncés ci-dessus.

[10]La contradiction entre l'approche d'autorégle-mentation proposée par l'OCDE et l'approche législative préconisée par le Conseil de l'Europe n'a pas manqué de s'exprimer aussi au Canada. La plupart des secteurs d'activité économique du pays pensaient qu'il serait défavorable aux affaires de légiférer sur la protection des renseignements personnels. Au début des années 1990, on a invité l'Association canadienne de normalisation (ACN)--organisme réunissant des représentants des consommateurs, de l'entreprise privée, des gouverne-ments fédéral et provinciaux, des syndicats, des associations professionnelles, etc.--à créer un comité chargé d'élaborer une norme de protection des données qui serait fondée sur les Lignes directrices de l'OCDE. L'ACN a élaboré une telle norme d'autoréglementation entre 1993 et 1995. En septembre 1995, l'ACN adoptait le Code type sur la protection des renseignements personnels, CAN/CSA-Q830-95 (la norme de l'ACN), que le Conseil des normes du Canada a approuvé en tant que Norme nationale du Canada en 1996. (Rappelons que le Conseil des normes du Canada est un organisme régi par la Loi sur le Conseil canadien des normes, L.R.C. (1985), ch. S-16.)

[11]La norme de l'ACN énonce dix principes dans sa partie 4. Elle reprend, dans une formulation et un ordre différents, les huit principes établis dans les Lignes directrices de l'OCDE. Les deux autres principes, soit ceux du consentement et de la possibilité de porter plainte, étaient déjà formulés à l'intérieur des articles 7 (Principe de la limitation en matière de collecte) et 13 (Principe de la participation individuelle) des Lignes directrices de l'OCDE. Cependant, la norme de l'ACN va beaucoup plus loin que le libellé des lignes directrices de l'OCDE. La partie 4 de la norme de l'ACN allait en fin de compte devenir l'annexe 1 de la Loi, annexe dont le texte est reproduit plus loin (au paragraphe 21 des présents motifs ).

[12]Dans la préface à la première édition de sa norme, l'ACN note que celle-ci «a été élaborée selon le principe du consensus lequel est défini dans la Réglementation CSA concernant la normalisation comme étant "un accord substantiel auquel parviennent des personnes intéressées. Le consensus comporte une tentative de dissiper toute objection et va beaucoup plus loin que la majorité simple sans constituer nécessairement l'unanimité"». L'ACN définit ensuite dans l'introduction du même document le contexte dans lequel sa norme a été adoptée:

Le Canada appartient à une économie mondiale qui repose sur la création, le traitement et l'échange de renseignements. La technologie sur laquelle repose l'économie de l'information offre un certain nombre d'avantages qui améliorent la qualité de nos vies. Cette technologie soulève toutefois des questions au sujet du respect du droit à la vie privée et du droit des individus de contrôler l'utilisation et la communication de renseignements personnels qui les concernent. Par la mise en oeuvre de méthodes honnêtes et éprouvées de gestion des renseignements personnels, les organismes peuvent témoigner concrètement de leur engagement envers la protection de ces renseignements. Les organismes doivent déterminer leurs besoins de renseignements personnels en tenant compte du désir des individus de garder un certain anonymat.

Le présent document est une norme canadienne volontaire visant la protection des renseignements personnels. La norme aborde deux grandes questions, à savoir la façon dont les organismes recueillent, utilisent, divulguent et protègent ces renseignements et le droit des individus de consulter les renseignements qui les concernent et, si c'est nécessaire, de les faire corriger. La norme est basée sur dix principes interdépendants. Chaque principe est accompagné d'un commentaire explicatif.

Les organismes qui se proposent d'adopter la norme pourront se procurer un document de travail sur l'application des principes, document qu'ils pourront utiliser comme guide pour adopter des codes adaptés à leurs besoins.

La présente norme:

a) établit des principes concernant la gestion des renseignements personnels;

b) précise les exigences minimales que les organismes participants doivent respecter pour bien protéger les renseignements personnels qu'ils possèdent;

c) sensibilise la population canadienne à la façon dont devraient être protégés les renseignements personnels;

d) fournit les critères permettant à la communauté internationale d'évaluer la protection accordée aux renseignements personnels au Canada.

En 1984, le Canada s'est engagé à protéger les renseignements personnels lorsqu'il a signé les Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel de l'Organisation de coopération et de développement économiques (OCDE). L'élaboration de la présente norme repose sur les Lignes directrices de l'OCDE [. . .] La protection des renseignements personnels prend de plus en plus d'importance à l'échelle internationale.

[13]Dans l'intervalle, soit en 1994, le ministre de l'Industrie a créé le Comité consultatif sur l'autoroute de l'information, chargé de le conseiller sur la façon dont le Canada pourrait profiter le plus possible de l'autoroute de l'information. [traduction] «En réponse à un document de réflexion public sur le sujet, la plupart des représentants des consommateurs, commissaires à la protection de la vie privée et autres défenseurs de la vie privée ont déclaré qu'ils souhaitaient que celle-ci fût protégée par voie législative, tandis que la plupart des entreprises ont affirmé qu'elles pouvaient s'autoréglementer d'après la norme de l'ACN». En 1995, le Comité consultatif a adressé au ministre une recommandation comme quoi le gouvernement devrait [traduction] «élaborer une législation cadre souple inspirée de la norme de l'ACN et se concerter avec les provinces afin d'harmoniser leurs efforts» (Annotated Guide, à la page XIV).

[14]Un document de consultation a été publié en janvier 1998. Soucieux de parvenir à un compromis par la discussion, le gouvernement a en fin de compte établi les critères suivants (Annotated Guide, aux pages XIV et XV):

[traduction]

· La législation en question devrait être fondée sur la norme de l'ACN, qui était un document établi avec soin suivant le principe du consensus et dont chaque clause, encore qu'elle ne fût pas rédigée en style législatif, avait été négociée.

· Des règles uniformes devaient s'appliquer aux marchés de l'ensemble du pays, dans un contexte où les marchés convergeaient rapidement et où les entreprises qui relevaient précédemment de sphères de compétence différentes pénétraient maintenant sur les marchés les unes des autres (banques, compagnies d'assurances, sociétés de télécommunications, fournisseurs de services Internet, entreprises de tous secteurs pratiquant la vente directe, etc.).

· La législation ne devait pas dresser d'obstacles nouveaux et injustifiés aux échanges intérieurs et internationaux, ni ne devait désavantager les acteurs dignes de confiance en permettant la constitution d'abris contre la réglementation ou en donnant aux concurrents étrangers la possibilité d'échapper à celle-ci.

· Le Commissaire à la protection de la vie privée serait chargé de la surveillance, suivant un modèle souple et exempt de lourdeur. Non seulement la mise en oeuvre de la législation devait pouvoir être contrôlée par des tiers indépendants, mais le commissaire devait être investi du pouvoir de contrôler les pratiques même en l'absence de plaintes.

· Le succès de la protection de la vie privée repose avant tout sur la conscience qu'ont tous les intéressés des droits, des attentes et des responsabilités en jeu, ainsi que des modalités réelles du traitement et de la circulation des données. À cet égard, le besoin de sensibilisation du public est immense, et le Commissaire à la protection de la vie privée a un rôle essentiel à jouer.

[15]En fin de compte, [traduction] «avec le plein appui des représentants du secteur privé qui avaient participé à l'élaboration de la norme de l'ACN, mais en suscitant la plus grande perplexité chez les experts de la protection de la vie privée et les juristes de tous les horizons, les rédacteurs de la législation en question se sont mis à la tâche d'incorporer le texte de cette norme tel quel dans la loi. Il a alors été décidé de l'y intégrer sous forme d'annexe et d'apporter au corps de la loi les modifications qui se révéleraient inévitablement nécessaires pour ajuster le libellé du code à un acte législatif» (Annotated Guide, à la page 11). C'est ainsi que la norme de l'ACN est devenue l'annexe 1 de la LPRPDE.

[16]La Loi a reçu la sanction royale le 13 avril 2000 et est entrée en vigueur en phases successives du 1^er janvier 2001 au 1^er janvier 2004.

[17]Le 20 janvier 2001, la Commission européenne a décrété que la LPRPDE remplissait les conditions fixées par la Directive sur la protection des données qu'avait adoptée l'Union européenne en 1995 dans le but de protéger les renseignements personnels et d'harmoniser les lois respectives de ses membres sur la protection de la vie privée. Par la suite, les données à caractère personnel des États membres de l'Union européenne peuvent être transférées au Canada (voir la décision européenne rendue dans le cadre de la Directive 95/46/CE en date du 20 janvier 2001, dont le texte anglais est reproduit à la page 1-558 de Drapeau et Racicot, Federal Access to Information and Privacy Legislation, Annotated 2004, Toronto: Carswell, 2004).

Le cadre législatif

[18]La Loi comprend cinq parties. Seule la première, intitulée «Protection des renseignements personnels dans le secteur privé», porte sur les questions de fond. Les autres parties règlent des questions techniques ou de forme (les documents électroniques, ainsi que la modification de la Loi sur la preuve au Canada [L.R.C. (1985), ch. C-5], de la Loi sur les textes réglementaires [L.R.C. (1985), ch. S-22] et de la Loi sur la révision des lois [L.R.C. (1985), ch. S-20]). Seules les dispositions de la première partie sont applicables au présent appel.

[19]La première partie de la Loi est complétée par l'annexe 1, intitulée «Principes énoncés dans la Norme nationale du Canada intitulée Code type sur la protection des renseignements personnels, CAN/CSA-Q830-96.» En vertu du paragraphe 5(1) de la Loi et sous réserve d'autres articles de celle-ci, toute organisation doit se conformer aux obligations énoncées dans l'annexe 1.

[20]La première partie de la Loi et son annexe 1 sont résumées comme suit dans les Lois du Canada:

La partie 1 du texte établit le droit à la protection des renseignements personnels recueillis, utilisés ou communiqués dans le cadre d'activités commerciales, dans le cadre d'une entreprise fédérale ou d'une province à l'autre ou d'un pays à l'autre.

Elle énonce les principes qui doivent régir la collecte, l'utilisation et la communication des renseignements personnels: la responsabilité, la détermination des fins de la collecte, l'obtention d'un consentement, la limitation de la collecte, de l'utilisation, de la communication et de la conservation, l'exactitude, l'existence de mesures de sécurité adéquates, l'accès facile aux politiques sur la gestion des renseignements personnels, l'accès d'un individu aux renseignements qui le concernent et la possibilité de porter plainte contre le non-respect des principes par une organisation.

De plus, elle octroie au Commissaire à la protection de la vie privée le pouvoir de recevoir les plaintes relatives au non-respect des principes, de procéder à l'examen de celles-ci et de tenter de parvenir à leur règlement. Certains différends non réglés peuvent être portés devant la Cour fédérale.

[21]Les dispositions suivantes sont particulièrement applicables au présent appel:

CHAPITRE 5

Loi visant à faciliter et à promouvoir le commerce électronique en protégeant les renseignements personnels recueillis, utilisés ou communiqués dans certaines circonstances, en prévoyant l'utilisation de moyens électroniques pour communiquer ou enregistrer de l'information et des transactions et en modifiant la Loi sur la preuve au Canada, la Loi sur les textes réglementaires et la Loi sur la révision des lois

[. . .]

1. [. . .]

Loi sur la protection des renseignements

personnels et les documents électroniques

Partie 1

Protection des renseignements

personnels dans le secteur privé

[. . .]

Objet

3. La présente partie a pour objet de fixer, dans une ère où la technologie facilite de plus en plus la circulation et l'échange de renseignements, des règles régissant la collecte, l'utilisation et la communication de renseignements personnels d'une manière qui tient compte du droit des individus à la vie privée à l'égard des renseignements personnels qui les concernent et du besoin des organisations de recueillir, d'utiliser ou de communiquer des renseignements personnels à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances.

Champ d'application

4. (1) La présente partie s'applique à toute organisation à l'égard des renseignements personnels:

a) soit qu'elle recueille, utilise ou communique dans le cadre d'activités commerciales;

b) soit qui concernent un de ses employés et qu'elle recueille, utilise ou communique dans le cadre d'une entreprise fédérale.

[. . .]

(3) Toute disposition de la présente partie s'applique malgré toute disposition--édictée après l'entrée en vigueur du présent paragraphe--d'une autre loi fédérale, sauf dérogation expresse de la disposition de l'autre loi.

Section 1

Protection des renseignements personnels

5. (1) Sous réserve des articles 6 à 9, toute organisation doit se conformer aux obligations énoncées dans l'annexe 1.

(2) L'emploi du conditionnel dans l'annexe 1 indique qu'il s'agit d'une recommandation et non d'une obligation.

(3) L'organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu'à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances.

[. . .]

7. (1) Pour l'application de l'article 4.3 de l'annexe 1 et malgré la note afférente, l'organisation ne peut recueillir de renseignement personnel à l'insu de l'intéressé et sans son consentement que dans les cas suivants:

[. . .]

d) il s'agit d'un renseignement réglementaire auquel le public a accès.

(2) Pour l'application de l'article 4.3 de l'annexe 1 et malgré la note afférente, l'organisation ne peut utiliser de renseignement personnel à l'insu de l'intéressé et sans son consentement que dans les cas suivants:

[. . .]

c.1) il s'agit d'un renseignement réglementaire auquel le public a accès;

[. . .]

(3) Pour l'application de l'article 4.3 de l'annexe 1 et malgré la note afférente, l'organisation ne peut communiquer de renseignement personnel à l'insu de l'intéressé et sans son consentement que dans les cas suivants:

[. . .]

h.1) il s'agit d'un renseignement réglementaire auquel le public a accès;

[. . .]

Section 2

Recours

Dépôt des plaintes

11. (1) Tout intéressé peut déposer auprès du commissaire une plainte contre une organisation qui contrevient à l'une des dispositions de la section 1 ou qui omet de mettre en oeuvre une recommandation énoncée dans l'annexe 1.

[. . .]

Rapport du commissaire

13. (1) Dans l'année suivant, selon le cas, la date du dépôt de la plainte ou celle où il en a pris l'initiative, le commissaire dresse un rapport où:

a) il présente ses conclusions et recommandations;

[. . .]

(2) Il n'est toutefois pas tenu de dresser un rapport s'il est convaincu que, selon le cas:

a) le plaignant devrait d'abord épuiser les recours internes ou les procédures d'appel ou de règlement des griefs qui lui sont normalement ouverts;

b) la plainte pourrait avantageusement être instruite, dans un premier temps ou à toutes les étapes, selon des procédures prévues par le droit fédéral--à l'exception de la présente partie--ou le droit provincial;

c) le délai écoulé entre la date où l'objet de la plainte a pris naissance et celle du dépôt de celle-ci est tel que le rapport serait inutile;

d) la plainte est futile, vexatoire ou entachée de mauvaise foi.

Le cas échéant, il en informe le plaignant et l'organisation, motifs à l'appui.

[. . .]

Audience de la Cour

14. (1) Après avoir reçu le rapport du commissaire, le plaignant peut demander que la Cour entende toute question qui a fait l'objet de la plainte--ou qui est mentionnée dans le rapport--et qui est visée aux articles 4.1.3, 4.2, 4.3.3, 4.4, 4.6, 4.7 ou 4.8 de l'annexe 1, aux articles 4.3, 4.5 ou 4.9 de cette annexe tels que modifiés ou clarifiés par la section 1, aux paragraphes 5(3) ou 8(6) ou (7) ou à l'article 10.

[. . .]

15. S'agissant d'une plainte dont il n'a pas pris l'initiative, le commissaire a qualité pour:

a) demander lui-même, dans le délai prévu à l'article 14, l'audition de toute question visée à cet article, avec le consentement du plaignant;

b) comparaître devant la Cour au nom du plaignant qui a demandé l'audition de la question;

c) comparaître, avec l'autorisation de la Cour, comme partie à la procédure.

16. La Cour peut, en sus de toute autre réparation qu'elle accorde:

a) ordonner à l'organisation de revoir ses pratiques de façon à se conformer aux articles 5 à 10;

b) lui ordonner de publier un avis énonçant les mesures prises ou envisagées pour corriger ses pratiques, que ces dernières aient ou non fait l'objet d'une ordonnance visée à l'alinéa a);

c) accorder au plaignant des dommages-intérêts, notamment en réparation de l'humiliation subie.

17. (1) Le recours prévu aux articles 14 ou 15 est entendu et jugé sans délai et selon une procédure sommaire, à moins que la Cour ne l'estime contre-indiqué.

[. . .]

Section 4

Dispositions générales

[. . .]

27. (1) Toute personne qui a des motifs raisonnables de croire qu'une autre personne a contrevenu à l'une des dispositions de la section 1, ou a l'intention d'y contrevenir, peut notifier au commissaire des détails sur la question et exiger l'anonymat relativement à cette dénonciation.

[. . .]

ANNEXE 1

(article 5)

Principes énoncés dans la norme nationale du

Canada intitulée code

type sur la protection des

Renseignements personnels,

CAN/CSA-Q830-96

4.1 Premier principe--Responsabilité

Une organisation est responsable des renseignements personnels dont elle a la gestion et doit désigner une ou des personnes qui devront s'assurer du respect des principes énoncés ci-dessous.

[. . .]

4.1.4

Les organisations doivent assurer la mise en oeuvre des politiques et des pratiques destinées à donner suite aux principes, y compris:

a) la mise en oeuvre des procédures pour protéger les renseignements personnels;

[. . .]

d) la rédaction des documents explicatifs concernant leurs politiques et procédures.

4.2 Deuxième principe--Détermination des fins de la collecte des renseignements

Les fins auxquelles des renseignements personnels sont recueillis doivent être déterminées par l'organisation avant la collecte ou au moment de celle-ci.

[. . .]

4.2.2

Le fait de préciser les fins de la collecte de renseignements personnels avant celle-ci ou au moment de celle-ci permet à l'organisation de déterminer les renseignements dont elle a besoin pour réaliser les fins mentionnées. Suivant le principe de la limitation en matière de collecte (article 4.4), l'organisation ne doit recueillir que les renseignements nécessaires aux fins mentionnées.

4.2.3

Il faudrait préciser à la personne auprès de laquelle on recueille des renseignements, avant la collecte ou au moment de celle-ci, les fins auxquelles ils sont destinés. Selon la façon dont se fait la collecte, cette précision peut être communiquée de vive voix ou par écrit. Par exemple, on peut indiquer ces fins sur un formulaire de demande de renseignements.

4.2.4

Avant de se servir de renseignements personnels à des fins non précisées antérieurement, les nouvelles fins doivent être précisées avant l'utilisation. [. . .]

[. . .]

4.3 Troisième principe--Consentement

Toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire. [Note omise.]

4.3.1

Il faut obtenir le consentement de la personne concernée avant de recueillir des renseignements personnels à son sujet et d'utiliser ou de communiquer les renseignements recueillis. Généralement, une organisation obtient le consentement des personnes concernées relativement à l'utilisation et à la communication des renseignements personnels au moment de la collecte. Dans certains cas, une organisation peut obtenir le consentement concernant l'utilisation ou la communication des renseignements après avoir recueilli ces renseignements, mais avant de s'en servir, par exemple, quand elle veut les utiliser à des fins non précisées antérieurement.

4.3.2

Suivant ce principe, il faut informer la personne au sujet de laquelle on recueille des renseignements et obtenir son consentement. Les organisations doivent faire un effort raisonnable pour s'assurer que la personne est informée des fins auxquelles les renseignements seront utilisés. Pour que le consentement soit valable, les fins doivent être énoncées de façon que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués.

4.3.3

Une organisation ne peut pas, pour le motif qu'elle fournit un bien ou un service, exiger d'une personne qu'elle consente à la collecte, à l'utilisation ou à la communication de renseignements autres que ceux qui sont nécessaires pour réaliser les fins légitimes et explicitement indiquées.

4.3.4

La forme du consentement que l'organisation cherche à obtenir peut varier selon les circonstances et la nature des renseignements. Pour déterminer la forme que prendra le consentement, les organisations doivent tenir compte de la sensibilité des renseignements. [. . .]

4.3.5

Dans l'obtention du consentement, les attentes raisonnables de la personne sont aussi pertinentes. [. . .]

4.3.6

La façon dont une organisation obtient le consentement peut varier selon les circonstances et la nature des renseignements recueillis. En général, l'organisation devrait chercher à obtenir un consentement explicite si les renseignements sont susceptibles d'être considérés comme sensibles. Lorsque les renseignements sont moins sensibles, un consentement implicite serait normalement jugé suffisant. [. . .]

4.3.7

Le consentement peut revêtir différentes formes, par exemple:

a) on peut se servir d'un formulaire de demande de renseignements pour obtenir le consentement, recueillir des renseignements et informer la personne de l'utilisation qui sera faite des renseignements. En remplissant le formulaire et en le signant, la personne donne son consentement à la collecte de renseignements et aux usages précisés;

b) on peut prévoir une case où la personne pourra indiquer en cochant qu'elle refuse que ses nom et adresse soient communiqués à d'autres organisations. Si la personne ne coche pas la case, il sera présumé qu'elle consent à ce que les renseignements soient communiqués à des tiers;

c) le consentement peut être donné de vive voix lorsque les renseignements sont recueillis par téléphone; ou

d) le consentement peut être donné au moment où le produit ou le service est utilisé.

Le contexte réglementaire du service de non-publication des numéros

[22]Le service de non-publication des numéros est un service de télécommunication réglementé par le CRTC. Le tarif applicable à ce service en Colombie-Britannique est fixé à l'article 145 du Tarif général, CRTC 1005. La redevance mensuelle à payer pour ce service est de 2 $, en plus de droits ponctuels de 9,50 $ à percevoir au moment de l'abonnement (D.A., vol. 1, aux pages 87 et 88).

[23]Dans la décision Télécom CRTC 94-1 [BC Tel--Besoin en revenus pour 1993 et 1994], en date du 25 janvier 1994, le CRTC a déclaré estimer «que la fourniture des annuaires fait partie intégrante du service téléphonique de base de la compagnie et en accroît sensiblement la valeur» (D.A., vol. 2, à la page 393). Par la décision Télécom CRTC 97-8 [Concurrence locale] du 1^er mai 1997, le CRTC a décrété que les annuaires téléphoniques devaient être fournis gratuitement aux abonnés (D.A., vol. 2, à la page 309).

[24]Le 8 mars 1995, dans sa décision Télécom CRTC 95-3 [Fourniture de renseignements tirés des bases de données de l'annuaire et accès en temps réel aux bases de données de l'assistance-annuaire], le CRTC a ordonné à diverses compagnies de téléphone, dont TELUS, d'envoyer à leurs clients des encarts de facturation pour les informer de la fourniture à des tiers de renseignements non confidentiels tirés des inscriptions et des moyens par lesquels ils pouvaient faire retrancher leurs noms et les renseignements connexes. En outre, le CRTC ordonnait aux compagnies qui ne l'avaient pas encore fait de mettre en oeuvre des mesures pour faire connaître aux abonnés qui appellent pour lancer le service ou qui ont des préoccupations en matière de protection de la vie privée la méthode selon laquelle leur nom peut être retranché des inscriptions qui sont vendues ou louées à des tiers (D.A., vol. 1, à la page 185).

[25]Le 25 juin 1996, le gouverneur en conseil par décret C.P. 1996-1001 [Décret modifiant la décision Télécom CRTC 95-14 et demandant à la CRTC de faire rapport sur la question des listes d'inscriptions d'abonnés, DORS/96-322] a ordonné au CRTC de lui faire rapport «sur la question des listes d'inscriptions d'abonnés, y compris le niveau de protection de la vie privée qu'il convient d'accorder aux inscriptions ainsi qu'une évaluation du service de numéro non inscrit» (D.A., vol. 1, à la page 172; Gaz. C. 1996.II.2172). Deux «attendus» de ce décret devraient retenir notre attention (D.A., vol. 1, page 171; Gaz. C. 1996.II.2172):

Attendu que le gouverneur en conseil est d'avis que le coût du service de numéro non inscrit peut décourager les abonnés de faire supprimer les renseignements qui les concernent des annuaires des compagnies de téléphone et que ce service devrait être disponible aux abonnés d'autres services de télécommunications;

Attendu que le gouverneur en conseil est d'avis que les mesures de protection de la vie privée devraient être efficientes et neutres par rapport à la concurrence et ne devraient pas nuire à l'établissement de nouveaux services,

[26]Le CRTC a alors publié un appel d'observations sur ces questions. Le Commissaire à la protection de la vie privée du Canada a répondu à cet appel et formulé, entre autres, les recommandations suivantes (D.A., vol. 2, aux pages 489 à 491):

[traduction]

RECOMMANDATION 2.--Lorsqu'elles recueillent des renseignements auprès de leurs abonnés, nouveaux ou non, les compagnies de téléphone devraient les informer de tous les usages premiers et de tous les éventuels usages seconds des renseignements personnels qui les concernent, de l'identité de ceux qui pourraient les utiliser et de tous les moyens dont ils disposent pour contrôler ou interdire ces usages.

RECOMMANDATION 3.--Les fournisseurs de services devraient toujours demander aux nouveaux abonnés s'ils veulent que les renseignements les concernant soient inscrits intégralement ou partiellement, ou ne soient pas inscrits ou publiés.

RECOMMANDATION 4.--Les fournisseurs de services ne devraient pas faire payer le retrait ou la non-publication des inscriptions d'abonnés.

Les observations introduisant la quatrième recommandation du commissaire sont rédigées comme suit (D.A., vol. 2, aux pages 490 et 491):

[traduction]

Les abonnés doivent normalement payer pour que les renseignements les concernant ne soient pas publiés ou ne soient pas inscrits. Aux États-Unis, les redevances mensuelles de non-publication vont de 0,65 $ en Californie à 2,54 $ dans l'État de New York. Au Canada, ces redevances sont en moyenne 132 % de celles des États-Unis, s'inscrivant entre 1,55 $ au Manitoba et 5,75 $ dans les Maritimes.

Le Commissaire à la protection de la vie privée aussi bien que le cabinet fédéral pensent que ces redevances élevées risquent de décourager les abonnés de demander le retrait des répertoires ou la non-publication de leurs inscriptions, et donc d'empêcher un bon nombre d'entre eux de protéger leur vie privée. Entre le tiers et le quart des abonnés américains ont fait retirer leurs inscriptions des annuaires et des répertoires de l'assistance-annuaire. Les statistiques correspondantes pour le Canada ne sont pas disponibles, mais le commissaire a le sentiment que les Canadiens profitent de ce service en moins grand nombre.

Il est vrai que le retrait des répertoires et la non-publication des inscriptions influent aussi bien sur le contenu des annuaires publiés que sur le niveau d'assistance-annuaire exigé des fournisseurs de services ou des éditeurs qui leur sont affiliés. Le commissaire, cependant, ne croit pas que cela justifie de porter atteinte au droit à la vie privée des abonnés. En fait, le manque à gagner attribuable aux retraits des répertoires serait compensé par la réduction des frais d'impression (les annuaires s'en trouvant amincis). Qui plus est, les revenus provenant de l'assistance-annuaire en seraient augmentés.

[27]Le 23 décembre 1996, le CRTC a présenté à ce sujet un document de 25 pages intitulé Rapport au gouverneur en conseil sur les listes d'inscriptions d'abonnés dans les annuaires et sur le service de numéro non inscrit (D.A., vol. 1, à la page 182).

[28]Ce rapport contient une liste de principes établis par Industrie Canada qui doivent être pris en considération (D.A., vol. 1, aux pages 190 et 191; pages 6 et 7 du Rapport):

(1) Les Canadiens attachent beaucoup d'importance à leur vie privée. Il faut explicitement tenir compte de ce facteur dans la fourniture, l'utilisation et la réglementation des services de télécommunication.

(2) Les Canadiens doivent connaître les incidences possibles de l'utilisation des services de télécommunication sur leur vie privée. Il revient à tous les fournisseurs de services de télécommunication et au gouvernement de les en informer clairement.

(3) Quand un nouveau service de télécommunication menace de porter atteinte à la vie privée, il faut prendre des dispositions pour la protéger sans frais, à moins qu'il existe des raisons impérieuses de ne pas le faire.

(4) Il est essentiel, pour protéger la vie privée, de limiter la collecte, l'utilisation et la communication de renseignements personnels découlant de l'emploi de réseaux de télécommunication et obtenus par les fournisseurs de services. Sauf s'il y va de l'intérêt général ou si la loi l'autorise, de tels renseignements ne devraient être recueillis, utilisés ou communiqués qu'avec le consentement éclairé et exprimé des intéressés.

(5) Le droit d'être laissé tranquille va au coeur même de la vie privée. Il faudrait contrebalancer l'utilisation légitime des communications automatiques, d'une part, et l'intrusion dans la vie privée qu'elles peuvent constituer, d'autre part. Toutes les parties en cause ont la responsabilité de s'entendre sur les règles de base ainsi que sur les recours dont les Canadiens pourront se prévaloir pour se protéger des télécommunications non désirées et donc importunes.

(6) Il est possible que les attentes des Canadiens en matière de protection de la vie privée changent avec le temps. Il faut donc réévaluer périodiquement les méthodes utilisées pour protéger la vie privée par rapport aux télécommunications, pour tenir compte notamment de l'évolution des technologies et des services offerts.

On doit ajouter à ces principes la décision, rendue dans le décret C.P. 1996-1001, selon laquelle les mesures de protection de la vie privée devraient être efficientes et neutres par rapport à la concurrence et ne devraient pas nuire à l'établissement de nouveaux services.

Le Conseil fait observer que les principes ci-dessus peuvent se contredire et estime que les choix à faire quant à ceux qui doivent l'emporter dans une situation en particulier dépendraient d'une évaluation des circonstances particulières, en tenant compte de facteurs comme la nature du service, le caractère de l'information et toutes les pratiques antérieures qui ont pu évoluer.

[29]On trouve plus loin dans le Rapport les constata-tions suivantes (D.A., vol. 1, aux pages 194 et 195):

[. . .] la fourniture du service local de base par la compagnie de téléphone comporte généralement une inscription dans l'annuaire, la fourniture des annuaires des Pages Blanches et des Pages Jaunes et la disponibilité du numéro de téléphone de l'abonné dans le cadre de l'assistance-annuaire. Font exception à cette règle générale les cas où l'abonné demande, moyennant des frais, que son numéro de téléphone ne soit pas inscrit. Le Conseil estime qu'en raison de cette pratique de longue date, les abonnés s'attendent actuellement à ce que, sauf s'ils demandent un numéro non inscrit, leur numéro de téléphone soit publié dans les annuaires des compagnies de téléphone et soit diffusé par l'assistance-annuaire. De l'avis du Conseil, on peut estimer que les abonnés ont accepté cette utilisation s'ils s'abonnent au service sans demander de numéro non inscrit.

[. . .]

Le Conseil estime que [. . .] les abonnés au service local de base sont considérés comme ayant donné leur accord pour publier les renseignements qui les concernent dans des annuaires indépendants. [Non souligné dans l'original.]

[30]Le Rapport porte les observations suivantes concernant le service de numéro non inscrit (D.A., vol. 1, à la page 201):

En évaluant l'équilibre qu'il convient d'atteindre à l'égard du service de numéro non inscrit, le Conseil estime que les facteurs notés par Stentor doivent être pondérés par rapport aux préoccupations portant sur la protection de la vie privée, qui sont devenues plus vives en raison de la plus grande accessibilité des renseignements tirés des inscriptions d'abonnés, en particulier sous des formes qui sont manipulées facilement, et par rapport au fait que l'abonnement à ce service pourrait désormais constituer le seul moyen efficace, pour les abonnés, de contrôler la diffusion des renseignements sur leurs inscriptions. Compte tenu du contexte actuel, il est de plus en plus essentiel que le prix du service de numéro non inscrit ne soit pas, financièrement, hors de portée pour les abonnés.

Le Conseil a, dans le passé, établi des tarifs pour le service de numéro non inscrit, afin de maximiser les revenus des compagnies de téléphone. Le Conseil est provisoirement d'avis que cette politique ne convient plus à la lumière du contexte actuel de la réglementation. Le Conseil est initialement d'avis que l'on ne doit pas éliminer entièrement les frais et que la situation actuelle ne suffit pas pour justifier d'offrir ce service à un prix inférieur au prix coûtant. Le Conseil estime plutôt qu'un tarif fondé sur les coûts constituerait un compromis satisfaisant, en tenant compte de l'incidence d'un tarif réduit sur les revenus éventuels et étant donné qu'on favorise l'utilisation du système de télécommunications si les renseignements tirés des inscriptions d'abonnés sont facilement disponibles. À la lumière de ce qui précède, le Conseil estime qu'il faudrait réexaminer les tarifs des numéros non inscrits afin d'établir des tarifs fondés sur les coûts actuels plus la contribution. [Non souligné dans l'original.]

[31]Le 27 août 1997, le CRTC a lancé un appel d'observations concernant les tarifs du service de numéro non inscrit et des questions connexes (D.A., vol. 1, à la page 210). Après avoir reçu de telles observations, notamment du Commissaire à la protection de la vie privée du Canada (observations qui n'ont pas été versées au dossier de la présente espèce), le CRTC a publié l'ordonnance Télécom 98-109, où il formulait les conclusions suivantes (D.A., vol. 1, aux pages 229 et 230):

31. Compte tenu des renseignements déposés dans la présente instance, le Conseil estime que l'établissement d'un tarif fondé sur les coûts ne tient pas adéquatement compte de facteurs comme l'utilité d'un annuaire raisonnablement complet et l'incidence de tarifs réduits sur les revenus.

32. Toutefois, étant donné les préoccupations croissantes relatives à la protection de la vie privée, le Conseil estime également qu'il ne convient pas que les tarifs mensuels applicables au service de numéro non inscrit pour les abonnés du service de résidence restent aux niveaux établis dans le passé en vue de maximiser les revenus disponibles pour subventionner le service de résidence de base.

33. Compte tenu des préoccupations croissantes relatives à la protection de la vie privée ainsi que de facteurs comme l'incidence de tarifs réduits applicables au service de numéro non inscrit sur les revenus et la contribution que des renseignements sur les inscriptions d'abonnés facilement disponibles apportent à l'utilité du réseau, le Conseil estime qu'il convient que les compagnies de téléphone fournissent un service de numéro non inscrit à un tarif qui ne dépasse pas 2 $ par mois pour les abonnés du service de résidence. [Non souligné dans l'original.]

[32]Les observations proposées au CRTC par le Commissaire albertain à l'information et à la protection de la vie privée présentent un intérêt particulier (D.A., vol. 2, aux pages 502 et 503):

[traduction] J'estime qu'il est tout à fait inacceptable de fixer les tarifs du service de numéro non inscrit en vue de maximiser les revenus du fournisseur de services. Comme je le disais dans mon mémoire précédent, je suis fondamentalement opposé à l'idée que les personnes aient à payer le droit de contrôler l'usage des renseignements personnels qui les concernent. Par conséquent, je crois que le système actuel, fondé sur la maximisation des revenus, est complètement injuste.

Il ne convient pas de fixer les tarifs du service de numéro non inscrit de manière à décourager les abonnés d'utiliser ce service. Il y a de nombreux cas où les abonnés ont besoin de ce genre de service pour s'assurer une protection suffisante contre des circonstances défavorables. Supposons par exemple qu'une personne victime de mauvais traitements de la part de son conjoint ait besoin que son numéro de téléphone reste confidentiel: il ne devrait pas lui être demandé un prix déraisonnable pour ce service. La redevance demandée pour ce service devrait être fondée sur le coût de revient pour le fournisseur, non augmenté d'une marge bénéficiaire, et non pas sur le manque à gagner qu'est susceptible de lui causer le fait de ne pas mettre le renseignement en question à la disposition du grand public.

Je crois fermement que les citoyens ont droit à la protection de leur vie privée. S'il y a peut-être lieu de rémunérer ce service, son prix devrait être justifiable et fondé sur le coût réel de sa prestation. Si ce coût réel n'est pas raisonnable, il conviendrait d'ordonner aux fournisseurs de services de le réduire dans un délai déterminé jusqu'à un niveau acceptable. Je suis convaincu que la technologie contemporaine rend cette réduction possible.

[33]Le 13 décembre 2000, le gouverneur en conseil a pris le Règlement précisant les renseignements auxquels le public a accès, DORS/2001-7 (le Règlement), dont l'entrée en vigueur était prévue pour le 1^er janvier 2001:

Règlement précisant les renseignements

auxquels le public a accès

renseignements

1. Les renseignements et catégories de renseignements ci-après sont précisés pour l'application des alinéas 7(1)d), (2)c.1) et (3)h.1) de la Loi sur la protection des renseignements personnels et les documents électroniques:

a) les renseignements personnels--nom, adresse et numéro de téléphone des abonnés--figurant dans un annuaire téléphonique accessible au public, si l'abonné peut refuser que ces renseignements y figurent;

b) les renseignements personnels, y compris les nom, titre, adresse et numéro de téléphone, qui figurent dans un répertoire, listage ou avis à caractère professionnel ou d'affaires qui est accessible au public, si la collecte, l'utilisation et la communication de ces renseignements sont directement liées à la raison pour laquelle ils figurent dans le répertoire, listage ou avis;

[34]Les observations suivantes du Résumé de l'étude d'impact de la réglementation [Gaz C. 2001.II.32] qui accompagne le Règlement (mais sans en faire partie) présentent pour nous un intérêt particulier:

Résumé de l'étude d'impact

de la réglementation

(Ce résumé ne fait pas partie du règlement.)

Description

[. . .]

Annuaires téléphoniques

Une association a souligné que dans le cas de l'annuaire téléphonique, l'exception s'appuie sur la possibilité pour une personne de refuser d'y être inscrite mais que ce refus ne pouvait s'exercer qu'en payant pour un numéro non inscrit (c'est une condition fixée par plusieurs sociétés de téléphone). L'association a fait valoir que ce tarif était une barrière économique pour les gens à faible revenu qui pourraient souhaiter ne pas être inscrits mais qui ne pourront pas exercer leur droit de refus et a suggéré d'ajouter «sans assumer de coût pour un tel refus». Bien que cet argument soit valable sur le plan de l'égalité d'accès aux services, l'application de frais ne concerne pas spécifiquement la protection des renseignements personnels. [Non souligné dans l'original.]

[35]Le 30 mai 2003, le CRTC a publié la décision Télécom CRTC 2003-33 [Référence: 8665-C12-14/01 et 8665-B20-01/00. Clauses de confidentialité des entreprises canadiennes], où il concluait que le consentement implicite n'est pas une forme de consentement suffisante pour ce qui concerne la communication à des affiliées de renseignements personnels confidentiels sur les abonnés, mis à part le nom, l'adresse et le numéro de téléphone inscrit. Il y concluait aussi qu'il convenait d'autoriser les sociétés canadiennes de télécommunications à se prévaloir d'autres formes de consentement explicite que le consentement écrit, soit: la confirmation orale vérifiée par un tiers indépendant, la confirmation électronique au moyen d'un numéro sans frais et la confirmation électronique par Internet. Les observations suivantes formulées par le CRTC au paragraphe 23 de sa décision présentent une pertinence particulière pour la présente espèce:

Le Conseil fait remarquer que la LPRPDE établit les règlements et les normes concernant la protection des renseignements personnels. Toutefois, le Conseil fait également observer que sa compétence en cette matière ne vient pas de cette loi mais de la Loi sur les télécommunications et qu'en exerçant les pouvoirs discrétionnaires que celle-ci lui confère, il peut appliquer des normes différentes de celles prévues par la LPRPDE.

Interprétation de la partie 1 et de l'annexe 1 de la Loi

[36]Il faut faire preuve de prudence lorsqu'il s'agit d'appliquer à la partie 1 et à l'annexe 1 de la LPRPDE des principes et des règles d'interprétation élaborés dans le contexte de la Loi sur la protection des renseignements personnels [L.R.C. (1985), ch. P-21], ne serait-ce qu'à cause des différences qui séparent leurs dispositions respectives de déclaration d'objet:

Loi sur la protection des renseignements personnels et les documents électroniques

Objet

Loi sur la protection des renseignements personnels

objet de la loi

2. La présente loi a pour objet de compléter la législation canadienne en matière de protection des renseignements personnels relevant des institutions fédérales et de droit d'accès des individus aux renseignements personnels qui les concernent.

[37]Le juge La Forest, au paragraphe 64 de l'arrêt Dagg c. Canada (Ministre des Finances), [1997] 2 R.C.S. 403, a décrit l'objet de la Loi sur la protection des renseignements personnels comme étant double. Cet objet est d'abord «"[de protéger]" [l]es renseignements personnels relevant des institutions fédérales», et deuxièmement, «[d]'assurer le "droit d'accès des individus aux renseignements personnels qui les concernent"».

[38]L'objet de la LPRPDE est tout à fait différent. Il est certes axé sur la protection de la vie privée des personnes, mais il se rapporte aussi à la collecte, à l'utilisation et à la communication de renseignements personnels par les organisations. Cet objet est de faire en sorte que lesdites collecte, utilisation et communication soient exécutées d'une manière qui concilie, dans toute la mesure du possible, le droit de la personne à la vie privée et les besoins de l'organisation. Il y a donc deux intérêts concurrents dans l'objet de la LPRPDE: le droit de la personne à la vie privée d'une part, et le besoin commercial d'accès aux renseignements personnels d'autre part. Cependant, il y est expressément reconnu--par l'emploi des termes «à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances», qui sont repris au paragraphe 5(3)--que le droit à la vie privée n'est pas absolu.

[39]La LPRPDE est un compromis, sous le rapport aussi bien de la forme que du fond.

[40]Pour ce qui concerne le compromis sur le fond, Michael Geist le définit comme suit à la page 303 de son ouvrage Internet Law in Canada, 3^e éd., Concord (Ont.): Captus Press, 2002:

[traduction] Fruit d'intenses négociations menées entre le secteur privé, les groupes de défense des consommateurs et le gouvernement au début et au milieu des années 1990, le Code constitue un compromis entre la nécessité de protéger la vie privée des personnes physiques et le désir des organisations de recueillir des renseignements personnels pour la commercialisation ou à d'autres fins commerciales. Ce compromis reste intact dans la nouvelle loi et s'exprime dans sa disposition de déclaration d'objet, qui pose explicitement la volonté d'assurer un équilibre entre les intérêts concurrents des personnes physiques et des entreprises. (Une version antérieure du projet de loi ne parlait que du droit à la vie privée.)

[41]Cinq des dix principes formulés à l'annexe 1 (soit la responsabilité, l'exactitude, les mesures de sécurité, l'accès aux renseignements personnels et la possibilité de porter plainte à l'égard du non-respect des principes) comportent des obligations pour les organisations, liées pour l'essentiel à la façon de gérer les renseignements personnels une fois qu'ils sont en leur possession. Un autre des dix principes (la transparence) se rapporte à la politique de relations publiques des organisations touchant leur gestion des renseignements personnels. Les quatre principes restants (la détermination des fins de la collecte des renseignements; le consentement; la limitation de la collecte; et la limitation de l'utilisation, de la communication et de la conservation) sont de nature plus fondamentale, en ce sens qu'ils visent à faire en sorte que les individus n'aient pas à communiquer de renseignements personnels les concernant à moins de savoir à quelles fins précises ils seront utilisés ou communiqués, à moins que ces fins ne soient légitimes et sans avoir consenti à l'usage et à la communication prévus pour ces renseignements. Ce sont ces quatre principes qui sont en jeu dans la présente espèce.

[42]Il ressort de la lecture de ses articles 4.2 (détermination des fins de la collecte des renseignements), 4.3 (consentement), 4.4 (limitation de la collecte) et 4.5 (limitation de l'utilisation, de la communication et de la conservation) que l'annexe 1 n'est pas tant axée sur la prévention de la collecte, de l'utilisation et de la communication de renseignements personnels--toutes activités qui y sont considérées comme allant presque de soi--que sur l'examen des fins de cette collecte, de cette utilisation et de cette communication. Ces fins doivent être appropriées et légitimes, et des efforts raisonnables doivent avoir été déployés pour faire en sorte que l'intéressé en soit informé et les comprenne. Une fois que l'intéressé est informé de ces fins et qu'il a donné--explicitement ou implicitement--son consentement éclairé, il est permis de recueillir, d'utiliser ou de communiquer les renseignements personnels qui le concernent.

[43]La LPRPDE est aussi un compromis quant à sa forme, comme le montre à l'évidence le récit de sa genèse. L'annexe 1 reproduit textuellement la partie 4 de la norme adoptée par l'ACN en 1995, norme qui était elle-même fondée sur les Lignes directrices adoptées par l'OCDE en 1980 et auxquelles le Canada a signifié son adhésion en 1984. La norme de l'ACN aussi bien que les Lignes directrices de l'OCDE sont des textes issus d'intenses négociations entre les défenseurs d'intérêts concurrents, qu'on a élaborés suivant le principe de l'autoréglementation et auxquels on n'a pas donné, ni voulu donner, un libellé législatif.

[44]Les auteurs de l'Annotated Guide ont énuméré à la page 6 de cet ouvrage un certain nombre de raisons qui rendaient intrinsèquement difficile la tâche d'incorporer dans une loi un code conçu à l'origine comme un instrument d'application volontaire [à la page 6]:

[traduction] Premièrement, la norme était un mélange de recommandations et de prescriptions, lesquelles sont en général respectivement formulées au conditionnel et à l'indicatif. Dans le régime des normes volontaires, les propositions au conditionnel («il conviendrait», «on devrait», etc.) sont souvent considérées comme l'expression de pratiques exemplaires et comme d'application nécessaire sauf raisons impératives, alors que ce genre de flexibilité n'existe pas dans la rédaction législative.

Deuxièmement, les définitions utilisées dans la norme ne sont pas conformes aux principes de la rédaction législative, et dans certains cas (par exemple celui de la définition de «consentement»), elles exprimaient des décisions de principe qu'il eût mieux valu réserver au corps du Code.

Troisièmement, on trouve dans le Code un certain nombre de répétitions et de références internes qui posent problème dans un texte législatif.

Quatrièmement, le Code traite dans des notes deux des questions les plus difficiles à décider, soit celles des exceptions à l'obligation d'obtenir le consentement et des exceptions au droit d'accès. Des propositions générales assorties d'exemples ont été incorporées dans le Code sous forme de notes, en partie parce qu'il était très difficile de parvenir à un accord sur le corps du texte dans le cadre de l'élaboration d'un document d'application volontaire. Ces notes n'étaient pas formulées avec suffisamment de précision pour la loi, mais comme elles prévoyaient de très importantes exceptions, il fallait en tenir compte d'une façon ou d'une autre. Toutes ces difficultés faisaient de l'incorporation du texte intégral du Code dans la loi une solution peu attrayante du point de vue de la rédaction législative.

[45]L'annexe 1 laisse parfois la Cour dans le brouillard, ou même dans le noir le plus complet. L'article 4.3, par exemple, dispose que l'intéressé doit être informé et donner son consentement, «à moins qu'il ne soit pas approprié de le faire». L'article 4.3.4 formule le critère de «la sensibilité des renseignements», mais on apprend plus loin que «tous les renseignements peuvent devenir sensibles suivant le contexte». Puis l'article 4.3.5 pose que «[d]ans l'obtention du consentement, les attentes raisonnables de la personne sont aussi pertinentes».

[46]Tout cela pour dire que, même si la partie 1 et l'annexe 1 de la Loi ont pour but de protéger le droit à la vie privée, elles visent aussi à faciliter la collecte, l'utilisation et la communication des renseignements personnels par le secteur privé. La Cour doit interpréter cette législation en trouvant le juste milieu entre deux intérêts concurrents. Qui plus est, étant donné le caractère non législatif de sa rédaction, l'annexe 1 ne se prête pas à l'interprétation rigoureuse habituellement possible. Cela étant, la meilleure solution pour la Cour est de se confier aux critères de la souplesse, du sens commun et du pragmatisme.

La nature de l'audience et la retenue judiciaire à observer à l'égard du rapport du commissaire

[47]Des questions analogues ont récemment été examinées par notre Cour dans le contexte de la Loi sur les langues officielles [L.R.C. (1985) (4^e suppl.), ch. 31] (voir Forum des maires de la Péninsule acadienne c. Canada (Agence d'inspection des aliments), [2004] 4 R.C.F. 276 (C.A.) (Forum des maires)). S'il est vrai que cette affaire relevait d'une loi différente, les dispositions de la Loi sur les langues officielles concernant les procédures qui peuvent être engagées devant la Cour fédérale ressemblent à tel point aux dispositions correspondantes de la LPRPDE qu'on peut leur appliquer le même raisonnement (voir aussi la décision Eastmond c. Canadien Pacifique Ltée (2004), 16 Admin. L.R. (4th) 275; 2004 CF 852, le juge Lemieux, aux paragraphes 118 à 120). Je ne vois aucune différence du point de vue procédural entre la possibilité de «former un recours devant le tribunal» («apply to the Court for a remedy») garantie par le paragraphe 77(1) de la Loi sur les langues officielles et celle de demander «que la Cour entende» une question («apply to the Court for a hearing») que prévoit le paragraphe 14(1) de la Loi. Les enquêtes qu'effectuent le Commissaire aux langues officielles et le Commissaire à la protection de la vie privée à la suite d'une plainte suivent fondamentalement le même modèle. Dans les deux cas, le plaignant peut former une demande devant la Cour fédérale, demande qui fera l'objet d'une instruction sommaire. Ce qui est en question dans les deux sortes de procédures, ce n'est pas le rapport du commissaire, mais la conduite de la partie contre laquelle la plainte est déposée. Et le pouvoir de réparation de la Cour sous le régime de la LPRPDE, même s'il n'est pas défini dans le langage de la Charte [Charte canadienne des droits et libertés, qui constitue la partie I de la Loi constitutionnelle de 1982, annexe B, Loi de 1982 sur le Canada, 1982, ch. 11 (R.-U.) [L.R.C. (1985), appendice II, n^o 44]], est remarquablement large.

[48]Par conséquent, suivant l'interprétation retenue dans l'arrêt Forum des maires, l'audience visée au paragraphe 14(1) de la Loi est une procédure de novo analogue à une action, et le rapport du commissaire, s'il est produit en preuve, peut être contesté ou contredit comme n'importe quel autre élément de la preuve documentaire. Autre argument à l'appui de cette conclusion: selon l'article 15 de la Loi, le commissaire a qualité pour comparaître comme «partie» à la procédure. Si l'on usait de retenue judiciaire à l'égard du rapport du commissaire, ce dernier serait avantagé dès le départ comme partie, ce qui compromettrait l'équité de l'audience. La Loi sur les langues officielles comprend une disposition semblable, au paragraphe 77(1).

La qualité pour agir

[49]L'appelant concède qu'il n'a pas d'intérêt personnel dans la question du consentement, dans la mesure où il ne soutient pas que l'activité de TELUS ait porté atteinte à son droit à la vie privée. TELUS excipe de ce fait pour affirmer que l'appelant n'a pas qualité en common law pour agir devant la Cour touchant la question du consentement. Elle ne conteste cependant pas sa qualité pour agir relativement à la question du tarif.

[50]Il se trouve que le paragraphe 14(1) de la Loi permet expressément au «plaignant» d'ester en justice. S'il est vrai que peut être considéré comme plaignant «tout intéressé» qui a déposé une plainte auprès du commissaire en vertu du paragraphe 11(1), il faut déduire du paragraphe 14(1) que seul le plaignant dont la plainte a fait l'objet d'un rapport du commissaire peut ester devant la Cour. Dans le cas où le commissaire n'a pas dressé de rapport pour l'une ou l'autre des raisons énumérées au paragraphe 13(2)--par exemple s'il a conclu que la plainte est futile, vexatoire ou entachée de mauvaise foi --, le plaignant ne peut agir devant la Cour en vertu de l'article 14 et doit donc se contenter de demander un contrôle judiciaire sous le régime de l'article 18 [mod. par L.C. 1990, ch. 8, art. 4; 2002, ch. 8, art. 26] de la Loi sur les Cours fédérales [L.R.C. (1985), ch. F-7, art. 1 (mod. par L.C. 2002, ch. 8, art. 14)]. (Je note en passant que le recours prévu à l'article 14 ne semble possible que pour le plaignant, et non pour l'organisation faisant l'objet de sa plainte, ce qui a pour fâcheuse conséquence que cette dernière pourrait n'avoir d'autre recours que le contrôle judiciaire.)

[51]TELUS, se fondant sur les termes «tout intéressé» du texte français du paragraphe 11(1), fait valoir qu'il faut être personnellement intéressé pour déposer une plainte auprès du commissaire et que l'on ne devrait concéder à quiconque ne l'est pas que le rôle de dénonciation prévu à l'article 27 de la Loi. Ce pourrait bien être le cas dans la sphère de compétence du commissaire, et il se pourrait bien que celui-ci ait la faculté de refuser d'établir un rapport sur une plainte dont il conclurait que l'auteur n'est pas personnellement intéressé, mais je ne me prononcerai sur ni l'une ni l'autre de ces questions. Toutefois, dans le cas où le commissaire a effectivement dressé un rapport et où sa décision de le faire n'a pas été attaquée, la personne qui a déposé la plainte devient un plaignant, aux fins de la faculté d'ester devant la Cour en vertu de l'article 14 de la Loi, dès qu'il a reçu le rapport, que les renseignements personnels en jeu le concernent ou non lui-même. (Comparer Maheu c. IMS Health Canada (2003), 24 C.P.R. (4th) 70; [2003 CFPI 1], le juge Lemieux, au paragraphe 59; confirmé par (2003), 29 C.P.R. (4th) 425 (C.A.F.)

[52]J'admets qu'il est exceptionnel qu'on reconnaisse la qualité pour agir dans de tels cas, mais je ne puis interpréter autrement les dispositions de la Loi, d'autant plus que le libellé même du paragraphe 14(1) porte que le plaignant peut demander que la Cour entende «toute question qui a fait l'objet de la plainte--ou qui est mentionnée dans le rapport». Toutefois, la reconnaissance de la qualité pour ester devant la Cour n'influe pas sur la compétence inhérente de celle-ci pour refuser d'entendre une question qui n'a plus d'objet ou qui n'est normalement pas considérée comme relevant de la compétence des tribunaux judiciaires (voir Chiasson c. Canada (2003), 226 D.L.R. (4th) 351 (C.A.F.)). Elle n'influe pas non plus sur le devoir de la Cour de ne pas accorder de réparation qui la détournerait de son rôle d'arbitre judiciaire (voir Forum des maires).

La question du consentement

[53]Il a beaucoup été question, devant nous et dans l'exposé des motifs de la Cour fédérale, de l'article 7 de la Loi et de l'alinéa 1a) du Règlement. Le premier dispense l'organisation de l'obligation, énoncée à l'article 4.3 de l'annexe 1, d'informer la personne et d'obtenir son consentement dans le cas où il s'agit d'un renseignement «auquel le public a accès». Selon le second, sont réputés appartenir à cette catégorie les renseignements personnels--nom, adresse et numéro de téléphone des abonnés--figurant dans un annuaire téléphonique accessible au public (mais seulement si l'abonné peut refuser que ces renseignements y figurent).

[54]Soit dit en toute déférence, j'estime que ni l'article 7 de la Loi ni l'alinéa 1a) du Règlement ne sont applicables à la présente espèce. En effet, ces dispositions s'appliquent au cas où les renseignements personnels--nom, adresse et numéro de téléphone de l'abonné--figurent déjà dans un annuaire téléphonique accessible au public. Elles permettent aux organisations de recueillir, d'utiliser ou de communiquer à leurs propres fins ces renseignements déjà existants. Mais ces dispositions ne s'appliquent pas, et en fait ne peuvent pas s'appliquer, à l'organisation même qui recueille au départ ces renseignements afin de publier un annuaire téléphonique qui deviendra, une fois publié, accessible au public.

[55]On peut même dire que le fait que l'utilisation des renseignements personnels figurant dans les annuaires téléphoniques accessibles au public puisse être aussi répandue à cause de ce règlement doit inciter la Cour à faire preuve d'autant plus de prudence s'agissant de décider les questions relatives à l'inscription initiale dans un annuaire téléphonique.

[56]Les principes 2 «Détermination des fins de la collecte des renseignements» et 3 «Consentement» forment les questions centrales du présent appel. Je m'empresse d'ajouter que suivant le principe 3--qui se révèle ainsi comporter plus que ce que son nom indique --, «il faut informer la personne [. . .] et obtenir son consentement» (article 4.3.2). Autrement dit, le principe 3 exige le consentement éclairé.

[57]Selon le principe 2, les fins auxquelles les renseignements personnels sont recueillis doivent être déterminées par l'organisation avant la collecte ou au moment de celle-ci (article 4.2). Ce principe prévoit aussi l'obligation pour l'organisation de préciser à l'intéressé les fins auxquelles les renseignements sont destinés avant la collecte ou au moment de celle-ci (article 4.2.3). En outre, dans le cas où l'organisation prévoit d'utiliser les renseignements personnels recueillis à des fins non précisées antérieurement, ces nouvelles fins doivent être précisées avant l'utilisation et il faut obtenir le consentement de la personne concernée avant d'utiliser les renseignements à cette nouvelle fin (article 4.2.4).

[58]Les articles 4.2.3 et 4.2.4 sont particulièrement pertinents pour la présente espèce dans la mesure où ils imposent manifestement à l'organisation la charge de préciser à la personne toutes les fins auxquelles elle recueille les renseignements personnels qui la concernent avant la collecte ou au moment de celle-ci.

[59]Selon le principe 3, «[t]oute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire». On ne précise pas le sens des termes «pas approprié»; j'ai le sentiment qu'ils se rapportent peut-être au moins à l'article 7 de la Loi, qui autorise la collecte de renseignements personnels à l'insu de l'intéressé et sans son consentement dans certains cas (voir le paragraphe 21 [des présents motifs]). (Je note que le texte anglais des paragraphes 7(1), (2) et (3) porte «without the knowledge or consent», tandis que le texte français dit «à l'insu de l'intéressé et sans son consentement» (non souligné dans l'original). Cette différence de formulation est à mon sens dénuée de signification, puisqu'il ressort à l'évidence de l'article 4.3 de l'annexe 1 que le principe du consentement exige à la fois l'information de l'intéressé et son consente-ment.)

[60]Les organisations doivent faire un effort raisonnable pour s'assurer que la personne est informée des fins auxquelles les renseignements seront utilisés (article 4.3.2). Il faut obtenir le consentement de la personne concernée--et donc l'informer--avant de recueillir des renseignements personnels à son sujet et d'utiliser ou de communiquer les renseignements recueillis; généralement, une organisation obtient le consentement des personnes concernées relativement à l'utilisation et à la communication des renseignements personnels au moment de la collecte (article 4.3.1). La forme du consentement que l'organisation cherche à obtenir et la façon dont elle obtient ce consentement peuvent varier selon les circonstances et la nature des renseignements (articles 4.3.4 et 4.3.6). Dans l'obtention du consentement, les attentes raisonnables de la personne sont pertinentes (article 4.3.5). Lorsque les renseigne-ments sont moins sensibles, un consentement implicite serait normalement jugé suffisant (article 4.3.6). Le consentement peut revêtir différentes formes, pouvant par exemple être donné dans un formulaire de demande de renseignements, en ne cochant pas une case, au téléphone ou au moment de l'utilisation; toutes ces formes impliquent que le consentement est donné au moment de la collecte et avant l'utilisation.

[61]Le moment est donc une considération essentielle pour ce qui concerne le principe 3, comme il l'est pour le principe 2. Dans la plupart des cas, l'obligation d'informer l'intéressé et d'obtenir son consentement doit être remplie au moment de la collecte et avant l'utilisation. On ne peut s'appuyer sur les brochures et autres documents communiqués à l'intéressé au moment de la collecte, et parfois même après l'utilisation, pour établir si l'intéressé a été informé et a donné son consentement au moment de la collecte. Ces brochures et autres documents sont communiqués par l'organisation en application du principe 8 «Transparence», selon lequel l'organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne. L'application du principe 8 arrive généralement trop tard pour valoir celle du principe 3. Toutefois, la transparence peut évidemment préparer la voie à une constatation de consentement implicite dans le cas où il serait démontré que les nouveaux abonnés connaissaient le contenu des brochures en question au moment de leur abonnement.

[62]Le juge de première instance a constaté que TELUS et ses affiliées utilisent et communiquent les noms, adresses et numéros de téléphone figurant dans les annuaires téléphoniques de TELUS (renseignements dont nous avons souligné ici les désignations diverses) dans le cadre des services suivants (au paragraphe 15 des motifs):

- des annuaires téléphoniques, communément appelés les pages blanches, qui sont publiés une fois par année dans la région métropolitaine de Vancouver; plusieurs autres annuaires sont publiés pour les différentes régions et les quartiers de Vancouver. Dans chaque annuaire figurent les inscriptions des abonnés de TELUS qui résident dans la région ou le quartier concerné et qui n'ont pas adhéré au service de non-publication;

- lorsque de nouveaux clients s'abonnent au service local résidentiel, ils sont automatiquement inscrits dans les annuaires, à moins qu'ils n'aient souscrit au service de non-publication. Si un client s'abonne au service de non-publication, son inscription doit être «consignée» manuellement pour s'assurer que les coordonnées du client ne soient pas inclues dans les données fournies à l'assistance-annuaire et dans celles utilisées pour l'édition des annuaires. Les comptes visés par un numéro non publié doivent également faire l'objet de mesures de sécurité additionnelles constantes et être traitées de manière particulière. La prestation du service de non-publication entraîne donc certains coûts pour TELUS;

- l'assistance-annuaire par téléphone, le «411», que TELUS offre aux membres du grand public moyennant des frais;

- l'assistance-annuaire sur Internet pour trouver une personne (People Finder), également offerte au grand public par TELUS. Ce service, assuré par une affiliée de TELUS, TELUS Advanced Services Inc., comprend également une fonction de recherche inversée permettant au public de retrouver des renseignements sur un abonné au moyen d'un simple numéro de téléphone. Toutefois, les renseignements concernant les abonnés ayant souscrit au service de non-publication ne figurent pas dans cette base de données;

- par le biais de services de bases de données appelées Directory File Service et Basic Listing Interchange File Service, TELUS divulgue, moyennant rémunération, les données relatives aux inscriptions de ses abonnés. Le CRTC oblige TELUS à fournir ces services à des éditeurs d'annuaires indépendants et à certaines organisations en Colombie- Britannique, conformément aux articles 23 et 210 du Tarif;

- la société chargée de publier les annuaires de TELUS, Dominion Information Services Inc. [Dominion], fournit contre rémunération certaines données relatives aux inscriptions à des organisations choisies [les services de répertoire]. Ces données ne comprennent aucune information sur les abonnés au service de non-publication et les abonnés ayant demandé que leur numéro soit retiré des listes;

- Dominion propose également un CD-ROM contenant les données relatives aux inscriptions, également vendu au détail et accessible à quiconque souhaite acquérir cette information. Le CD-ROM peut être utilisé en mode consultation seulement, les fonctions d'impression sont limitées et il est protégé contre la copie et chiffré pour empêcher toute utilisation malveillante. La licence précise qu'il est interdit d'utiliser le CD-ROM pour publier d'autres annuaires ou imprimer l'intégralité de son contenu.

[63]La pratique de TELUS concernant l'obtention du consentement de ses nouveaux abonnés a été résumée comme suit par le juge de première instance (aux paragraphes 38 à 40):

Dans sa déclaration assermentée, Jim Brooks, vice-président à la transformation des activités chez TELUS, nous informe de la procédure suivie lorsqu'un client s'abonne à une nouvelle ligne téléphonique. Les représentants du service à la clientèle de TELUS ont reçu pour directive d'aviser le client que la ligne téléphonique comprend la publication de son inscription dans les annuaires de TELUS. Ils demandent au client de quelle manière celui-ci souhaite que ses renseignements personnels apparaissent dans les annuaires. Les représentants discutent également des questions se rapportant à la protection des renseignements personnels et lui présentent les options de publication disponibles si ce dernier indique qu'il ne souhaite pas figurer dans les publications. Les nouveaux clients reçoivent également une lettre de bienvenue accompagnée d'une brochure les informant de l'engagement de l'entreprise en matière de protection des renseignements personnels (Our Privacy Commitment to You). Dans la brochure, TELUS précise notamment pourquoi elle recueille, utilise et divulgue les renseignements personnels sur les abonnés; elle informe également les clients qu'ils ont le droit de faire rayer leur nom des listes.

Dans les pages blanches, TELUS explique clairement comment elle utilise les renseignements personnels et elle définit les différentes options de service offertes aux clients pour protéger leur vie privée. TELUS indique également à qui les renseignements sont divulgués et de quelle manière ces renseignements sont susceptibles d'être utilisés. Des directives précises sont également mises à la disposition des clients sur la manière de retirer leur consentement et de vérifier ou modifier leurs renseignements personnels en tout temps.

En outre, TELUS offre un numéro sans frais spécialement destiné à fournir de l'information aux clients qui souhaitent discuter de questions se rapportant à la protection des renseignements personnels. TELUS met également à la disposition de ses clients un site Web où ils peuvent obtenir de l'information concernant les pratiques de l'entreprise en matière de vie privée. En plus de ces services, TELUS emploie à plein temps un commissaire à la protection des renseignements personnels qui doit rendre compte des politiques et des pratiques en matière de vie privée.

[64]Le juge, avant de formuler au paragraphe 48 sa conclusion selon laquelle TELUS avait «obtenu un consentement valable en vertu de la LPRPDE lui permettant de publier les renseignements personnels concernant ses abonnés dans les annuaires téléphoniques de l'entreprise», a exprimé les opinions suivantes (aux paragraphes 41 et 47):

La publication d'annuaires téléphoniques dans le cadre du service de téléphone résidentiel est une pratique de longue date largement répandue parmi les fournisseurs de services téléphoniques. Ainsi, outre le fait que TELUS les informe de cette pratique, les clients s'attendent raisonnablement à ce que leurs renseignements personnels soient publiés dans l'annuaire téléphonique, à moins qu'ils ne souscrivent au service de non-publication.

[. . .]

[. . .] je crois que lorsqu'un représentant de TELUS demande à un nouveau client quelles sont ses préférences quant à la manière dont ses renseignements personnels doivent figurer dans l'annuaire téléphonique, ce client est libre de demander les options qui s'offrent à lui. Si le caractère confidentiel de ces renseignements est fondamental pour le client ou si celui-ci souhaite simplement qu'ils ne soient pas publiés, il lui appartient d'obtenir l'information pertinente, soit en s'adressant au représentant, soit en se servant des différents outils que TELUS met à la disposition du public.

[65]Je conclus, vu les faits, que les nouveaux abonnés n'ont pas donné, ni ne pouvaient donner, un consentement valable à l'utilisation par TELUS des renseignements personnels les concernant dans le cadre de son service d'assistance-annuaire sur Internet, de ses services de base de données--désignés Directory File Service et Basic Listing Interchange File Service--et de son service CD-ROM. Les clients n'étaient pas informés de l'existence de ces services au moment de l'abonnement, et aucun élément de la preuve ne donne à penser qu'ils soient liés de si près à l'objet premier des annuaires téléphoniques que les nouveaux abonnés puissent raisonnablement les considérer comme appropriés. Aucun élément de la preuve ne tend à établir que TELUS ait fait un «effort», encore moins un «effort raisonnable», au sens de l'article 4.3.2, pour faire en sorte que les nouveaux abonnés soient informés des fins secondes de la collecte au moment de celle-ci. Le juge de première instance ne formule pas de conclusion distincte au sujet de ces services, ce qui constitue en soi une erreur susceptible de révision.

[66]Pour ce qui concerne les fins premières de la collecte, le juge a conclu que les nouveaux abonnés raisonnables n'ignoreraient pas que les compagnies de téléphone ont pour habitude d'inscrire leurs abonnés dans des annuaires et sur les listes de l'assistance- annuaire (service 411) dans le cadre de leurs services résidentiels et qu'une personne raisonnable considérerait ces fins comme appropriées. Cette connaissance présumée autoriserait TELUS à supposer que les nouveaux abonnés sont au courant des fins premières auxquelles sont recueillis les renseignements personnels qui les concernent et consentent implicitement à ce que leur nom, leur adresse et leur numéro de téléphone figurent dans les annuaires et les répertoires de l'assistance-annuaire, sauf avis contraire au moment de l'abonnement. Les conclusions du juge de première instance semblent fondées sur un court passage du Rapport au gouverneur en conseil sur les listes d'inscriptions d'abonnés dans les annuaires et sur le service de numéro non inscrit. (voir le paragraphe 29 [des présents motifs]).

[67]La conclusion du juge de première instance et le postulat du CRTC, comme quoi les nouveaux abonnés peuvent être considérés comme ayant consenti à l'utilisation aux fins premières s'ils ne demandent pas de leur propre initiative que leur numéro ne soit pas inscrit, ne me semblent pas compatibles, soit dit en toute déférence, avec la recherche même d'un consentement éclairé au moment de l'abonnement ou avant celui-ci, dont la partie 1 de la Loi et son annexe 1 font une obligation. Le consentement n'est pas éclairé si la personne qui est censée l'avoir donné ne savait pas, au moment où elle l'a donné, qu'elle avait la possibilité de ne pas être inscrite. Les nouveaux abonnés ont le droit d'être informés, avant que les renseignements personnels les concernant ne deviennent des renseignements «au[x]quel[s] le public a accès» au sens de l'article 7 de la Loi--compte tenu de toutes les conséquences que peut entraîner cette publication --, qu'ils peuvent exercer leur droit à la vie privée et choisir de ne pas être inscrits. Cela me paraît être un compromis équitable entre le droit à la vie privée des personnes physiques et les besoins des entreprises.

Le point de savoir si la Cour a compétence pour examiner la légalité des tarifs fixés par le CRTC pour l'utilisation du service de non-publication

[68]Si je comprends bien la thèse de l'appelant, TELUS ne pourrait être autorisée à faire payer à ses clients le simple exercice du droit à la vie privée que leur garantit la loi. Cette pratique contreviendrait à l'article 4.3.3 de l'annexe 1, selon lequel «[u]ne organisation ne peut pas, pour le motif qu'elle fournit [. . .] un service, exiger d'une personne qu'elle consente à la collecte de renseignements». Je reviendrai à cette disposition lorsque j'examinerai au fond la question du tarif. Je ne la cite ici que pour préciser de quel type de compétence il s'agit en l'occurrence.

[69]Le juge de première instance conclut au paragraphe 60 de l'exposé de ses motifs que la Cour n'a pas compétence relativement à la question du tarif, «car il s'agit d'une question relevant de la compétence exclusive du CRTC». L'avocate de l'intimée invoque à l'appui de cette conclusion la logique découlant des arrêts suivants de la Cour suprême du Canada: St. Anne Nackawic Pulp & Paper Co. c. Syndicat canadien des travailleurs du papier (Section locale 219), [1986] 1 R.C.S. 704; Weber c. Ontario Hydro, [1995] 2 R.C.S. 929; Regina Police Assn. Inc. c. Regina (Ville) Board of Police Commissioners, [2000] 1 R.C.S. 360; et enfin Québec (Procureur général) c. Québec (Tribunal des droits de la personne), [2004] 2 R.C.S. 223.

[70]Je dois dire d'entrée de jeu que je ne vois guère d'utilité à toute cette argumentation, et ce, pour deux raisons. Premièrement, la question sera en fin de compte et de toute façon décidée par la Cour d'appel fédérale, dans le cadre d'un appel soit--comme dans le cas présent--d'une décision de la Cour fédérale rendue sous le régime de la LPRPDE, soit--à propos d'une question de droit--d'une décision du CRTC rendue sous le régime de la Loi sur les télécommunications [L.C. 1993, ch. 38]. Deuxièmement, le CRTC n'a pas revendiqué, et encore moins exercé, de compétence sur cette question, de sorte qu'il n'y a pas risque de décisions contradictoires. En mettant les choses au pis, le CRTC semble penser, comme le révèle le passage cité au paragraphe 35 [des présents motifs], que ses normes relatives à la protection des renseignements personnels pourraient être différentes de celles qu'établit la LPRPDE. Cette étonnante proposition pourrait devoir être examinée quand l'occasion s'en présentera.

[71]La question que soulève la présente espèce est de savoir si la Cour fédérale--et non le Commissaire à la protection de la vie privée--a compétence. Le commissaire, de toute façon, n'est pas un tribunal, et la LPRPDE ne lui confère pas de pouvoir décisionnel. Le plus qu'il peut faire est de se former une opinion sur la question et de l'exprimer dans son rapport. Comme le rapport n'est pas une «décision», il ne peut entrer en conflit avec la décision d'un tribunal judiciaire ou administratif qui serait déclaré avoir compétence-- exclusive, concurrente ou par chevauchement--pour trancher la question.

[72]Le CRTC, lui, est un tribunal décisionnel. L'article 25 [mod. par L.C. 1999, ch. 31, art. 199] de la Loi sur les télécommunications dispose que l'entreprise canadienne doit fournir les services de télécommu-nication en conformité avec la tarification, déposée auprès du CRTC et approuvée par celui-ci, fixant les tarifs à imposer ou à percevoir. L'article 27 porte que tous les tarifs des services de télécommunication doivent être «justes et raisonnables». L'alinéa 7i) inscrit parmi les objectifs de la politique canadienne des télécommunications celui de «contribuer à la protection de la vie privée des personnes».

[73]L'alinéa 32a) habilite le CRTC, pour l'application de la partie III (celle qui nous intéresse ici), à «approuver l'établissement de catégories de services de télécommunication et [à] permettre que soient imposés ou perçus des tarifs différents pour chacune d'elles». L'alinéa g) du même article autorise le CRTC, «en l'absence de disposition applicable dans la présente partie, [à] trancher toute question touchant les tarifs et tarifications des entreprises canadiennes ou les services de télécommunication qu'elles fournissent».

[74]L'article 47 dispose que le CRTC doit exercer ses pouvoirs de manière à réaliser les objectifs de la politique canadienne de télécommunications et à assurer la conformité des services et tarifs des entreprises canadiennes avec les dispositions de l'article 27. L'article 48 habilite le CRTC à «instruire et trancher toute question relative à une interdiction, obligation ou autorisation découlant de la partie [. . .] III» (c'est-à-dire les articles 25 à 46). L'article 52 porte que le CRTC «connaît, dans l'exercice des pouvoirs et fonctions qui lui sont conférés au titre de la présente loi [. . .], aussi bien des questions de droit que des questions de fait».

[75]On pourrait donc soutenir, compte tenu des dispositions applicables et des circonstances, que le CRTC a compétence pour statuer sur la légalité des tarifs qu'il approuve par ailleurs (voir Nouvelle-Écosse (Workers' Compensation Board) c. Martin; Nouvelle-Écosse (Workers' Compensation Board) c. Laseur, [2003] 2 R.C.S. 504, à la page 537). Cependant, comme le CRTC n'est pas intervenu dans la présente espèce, je me contenterai de supposer qu'il a compétence, sans trancher la question.

[76]La question qui reste à décider est celle de savoir si la compétence du CRTC touchant la question du tarif prive la Cour fédérale de sa compétence sur cette même question.

[77]La LPRPDE prévoit un mécanisme de recours détaillé, devant le Commissaire à la protection de la vie privée d'abord, puis devant la Cour fédérale. En outre, en vertu de son paragraphe 4(3), elle l'emporte sur la Loi sur les télécommunications.

[78]Sous le régime de l'article 11 de la Loi, les plaintes sont déposées «contre une organisation qui contrevient à l'une des dispositions de la section 1 [qui réunit les articles 5 à 10] ou qui omet de mettre en oeuvre une recommandation énoncée dans l'annexe 1». Pour pouvoir décider, dans l'exercice de la compétence que lui confère l'article 14 de la Loi, si une organisation, en violation du paragraphe 5(1), ne s'est pas conformée aux obligations énoncées dans l'annexe 1, en l'occurrence à son article 4.3.3, la Cour fédérale doit être habilitée à décider si la perception de droits est permise sous le régime de ce dernier article. C'est là une pure question de droit qui relève de la loi même dont la Cour est chargée d'assurer l'exécution. Il faudrait une disposition explicite dans la Loi sur les télécommunications pour priver la Cour fédérale de sa compétence lorsqu'elle agit en vertu de la LPRPDE. Or, on n'y trouve pas de disposition de cette nature. (Voir les paragraphes 92 à 117 de la décision Eastmond, citée au paragraphe 47 ci-dessus.)

[79]Je conclus donc qu'il y a ici soit compétence concurrente, soit chevauchement de compétence, pour reprendre les termes employés par la Cour suprême du Canada dans Weber et au paragraphe 69 de l'arrêt Québec (Procureur général) c. Québec (Tribunal des droits de la personne). Dans le cas où la Cour fédérale, ou notre Cour en appel, déciderait qu'il ne peut être perçu de droits pour le service en question, le CRTC devrait réviser sa tarification, de la même façon qu'il aurait dû le faire s'il avait décidé au fond que la législation permettait de percevoir de tels droits et que sa décision sur ce point eût été infirmée dans le cadre d'un appel interjeté devant la Cour sous le régime de la Loi sur les télécommunications.

Le point de savoir si la perception de droits enfreint les dispositions de la LPRPDE

[80]L'appelant soutient qu'en subordonnant la non-inscription d'un numéro au paiement de droits par l'abonné, TELUS enfreint l'article 4.3.3 de l'annexe. Nous reproduisons de nouveau cet article pour la commodité du lecteur:

4.3.3

[81]L'appelant ne soutient pas que l'exercice d'un droit garanti par la loi ne peut jamais être subordonné au paiement d'une redevance, mais plutôt qu'il ne peut être perçu de redevance de cette nature que si une loi le prévoit.

[82]Je ne peux souscrire à la proposition de l'appelant selon laquelle aucun texte législatif ou réglementaire ne permet la perception de droits dans le cas qui nous occupe. Bien au contraire, il ressort du libellé explicite de la Loi sur les télécommunications que, lorsqu'il approuve les tarifs et les services, le CRTC doit tenir compte des objectifs de la politique canadienne des télécommunications, y compris de celui qui consiste à contribuer à la protection de la vie privée des personnes. Il peut donc être fourni des services de protection de la vie privée, et des droits peuvent être perçus en contrepartie de tels services. On ne saurait imaginer d'indication plus claire que le législateur envisageait le paiement de droits pour la prestation de services de protection de la vie privée.

[83]L'appelant soutient cependant que la LRPRDE l'emporte sur la Loi sur les télécommunications. Il ne pourrait en aller ainsi que si des dispositions de l'une contredisaient des dispositions de l'autre. Or, je ne trouve dans la LRPRDE aucune disposition interdisant expressément la perception de droits ou redevances, et l'article 4.3.3 de l'annexe 1, qu'invoque l'appelant, ne peut en aucune façon être interprété dans le sens qu'il propose. Le «service» dont il est question dans ce paragraphe est le service téléphonique, et ledit paragraphe a pour effet d'interdire à TELUS de demander à ses abonnés un consentement d'application plus large qu'il n'est nécessaire pour la prestation de ce service.

[84]L'appelant n'a pu citer devant la Cour aucun précédent directement pertinent à l'appui de sa proposition. Il a invoqué deux arrêts de la Cour suprême du Canada concernant les droits des autochtones. Je ne suis pas disposé à appliquer en bloc à des questions relevant typiquement du droit administratif des principes élaborés dans le contexte du droit des autochtones. De toute façon, ces arrêts n'aident pas beaucoup l'appelant. Dans R. c. Badger, [1996] 1 R.C.S. 771, la Cour suprême a conclu que le traité en question et la Convention sur le transfert des ressources naturelles ne permettaient pas de subordonner l'exercice d'un droit garanti par ce traité au paiement de droits de licence. Dans l'arrêt R. c. Côté, [1996] 3 R.C.S. 139, rendu dans une affaire où un règlement prévoyait l'obligation de payer des droits d'utilisation à l'État pour l'exercice d'un droit autochtone lié à la terre, la Cour suprême a conclu que la perception de droits pouvait être autorisée dans le cas où ceux-ci étaient des droits d'utilisation dont le produit devait être consacré à l'amélioration des voies de communication de la zone en question. La Cour a même ajouté (au paragraphe 80) que les droits d'accès perçus «ne restreign[aient] pas les droits constitutionnels des appelants, mais [que] dans les faits ils en facilit[aient] plutôt l'exercice».

[85]Dans la présente espèce, comme dans Côté, la redevance facilite plutôt qu'elle ne restreint le droit de l'appelant à la vie privée, et la charge qu'elle représente pour l'appelant n'est pas en question. On n'a en effet produit aucun élément de preuve tendant à établir que la redevance perçue par TELUS serait excessive. Au contraire, la preuve montre que l'un des grands soucis du gouverneur en conseil, des divers intervenants et en fin de compte du CRTC lui-même était que fût fixé un tarif qui ne découragerait pas la non-inscription de sorte à empêcher de nombreux abonnés de protéger leur vie privée. En fait, le CRTC, dans son Rapport au gouverneur en conseil sur les listes d'inscriptions d'abonnés dans les annuaires et sur le service de numéro non inscrit, fait observer qu'«il est de plus en plus essentiel que le prix du service de numéro non inscrit ne soit pas, financièrement, hors de portée des abonnés» (passage cité ci-dessus au paragraphe 30). Le CRTC a ainsi approuvé la perception d'une redevance qui ne dépasserait pas 2 $ par mois pour les abonnés résidentiels. Personne n'a soutenu devant nous que ce taux contreviendrait à l'article 27 de la Loi sur les télécommunications, selon lequel «[t]ous les tarifs doivent être justes et raisonnables», argument que la Cour aurait de toute façon refusé de considérer, puisque cette question relève de la compétence exclusive du CRTC.

La question de savoir si l'appelant est partie à un litige d'intérêt public

[86]L'appelant demande que les dépens lui soient accordés quelle que soit l'issue de l'appel, au motif qu'il est partie à un litige d'intérêt public.

[87]L'appelant se représente lui-même. Il a droit tout au plus au remboursement des frais raisonnables qu'il a supportés. J'ordonnerai que lui soient remboursés les frais raisonnables qu'il a supportés devant la Cour fédérale et devant notre Cour, étant donné que son appel est en fin de compte partiellement accueilli. Je n'ai pas à décider s'il aurait eu droit à un tel remboursement dans le cas où il aurait été débouté à tous égards.

Décision

[88]Vu tout ce qui précède, j'accueillerais l'appel en partie, j'annulerais la décision de la Cour fédérale en date du 3 juin 2003 et je déclarerais bien fondée en partie la plainte déposée par le demandeur contre TELUS le 1^er janvier 2001.

[89]Je conclurais que TELUS a enfreint l'article 5 de la Loi sur la protection des renseignements personnels et les documents électroniques en n'informant pas ses nouveaux abonnés, au moment de leur abonnement, des fins premières et secondes auxquelles les renseignements personnels les concernant étaient recueillis et en ne les informant pas non plus à ce moment de la possibilité pour eux de bénéficier du service de non-publication des numéros.

[90]Comme l'appelant n'a pas été personnellement lésé, je ne suis disposé à ordonner qu'une réparation non pécuniaire et orientée vers l'avenir. J'ordonnerais donc à TELUS de se conformer à l'obligation énoncée au paragraphe précédent. L'avocate de TELUS a fait valoir à l'audience que dans le cas où serait rendue une décision défavorable à cette entreprise, celle-ci devrait avoir la possibilité de présenter des observations écrites concernant la réparation, ce à quoi la Cour a souscrit. Je donnerais à TELUS quatre semaines à compter de la date de la présente ordonnance pour signifier et déposer des observations touchant les modalités et le calendrier de sa mise en oeuvre de la réparation établie ci-dessus. Je donnerais ensuite deux semaines à l'appelant pour présenter sa réponse à ces observations. En conséquence, le jugement sera prononcé ultérieurement.

[91]Pour ce qui concerne les dépens, j'ordonnerais à TELUS de rembourser à l'appelant les frais raisonnables qu'il a supportés devant la Cour fédérale et devant notre Cour. J'ordonnerais en outre à TELUS de rembourser à l'appelant les dépens de 11 906,41 $ qu'il lui a payés en exécution de la décision de la Cour fédérale.

Le juge Nadon, J.C.A.: Je souscris aux présents motifs.

Le juge Malone, F.C.A.: Je souscris aux présents motifs.