This report is available in PDF format [pdf file: 0.28mb]
Executive Summary
This report assesses the efficacy to date of the federal Personal Information Protection and Electronic Documents Act (PIPEDA), and identifies significant gaps and grey areas in the data protection regime, from the consumer perspective.
All relevant findings of the Privacy Commissioner to the end of October 2004 were considered to create an update, nearly four years after implementation of PIPEDA, on how it protects consumer privacy in the marketplace. As a practical exercise, this report revisits the targets of complaints filed by the Public Interest Advocacy Centre (PIAC) against major corporations for not properly obtaining consent to secondary marketing. This analysis shows continuing problems with these corporations’ use of “implied consent” obtained by “opt-out” mechanisms.
This report concludes that PIPEDA is a sheep in wolf’s clothing. As a general rule, PIPEDA has not been kind to consumers. Personal experience with the finding process has been painful, especially amongst those who found that they had to take findings of the Privacy Commissioner to Federal Court for “enforcement”. The procedural decisions made by the Office of the Privacy Commissioner of Canada have been highly questionable, and greatly reduce the effectiveness of, and exacerbate the difficulties for consumers with, PIPEDA. Some findings under PIPEDA that could have significantly impacted upon an established business model have been decided to permit the continuation of that business model, despite a privacy breach.
To some extent, results that are not favourable to consumer privacy rights are to be expected in a standards-based, non-prescriptive law such as PIPEDA that seeks to balance those privacy rights with business information use. However, the depth of the negative experience of consumers under PIPEDA suggests the need for major reforms to PIPEDA to make its process more practical and effective for consumers.
SOMMAIRE
Ce rapport évalue l’efficacité, à ce jour, de la Loi fédérale sur la protection des renseignements personnels et les documents électroniques, et identifie les importantes lacunes et zones grises du régime de protection de l’information du point de vue du consommateur.
Toutes les conclusions pertinentes du Commissaire à la protection de la vie privée communiquées à la fin du mois d’octobre 2004 ont été prises en compte afin d’effectuer une mise à jour sur la façon dont la Loi sur la protection des renseignements personnels et les documents électroniques protège la vie privée du consommateur dans le marché, presque quatre ans après sa mise en oeuvre. Sur le plan pratique, ce rapport examine de nouveau l’objet des réclamations enregistrées par le Centre pour la défense de l’intérêt public (PIAC) contre les principales sociétés par actions qui obtiennent à mauvais escient le consentement des personnes aux fins de commercialisation secondaire. Cette analyse montre des problèmes récurrents avec l’utilisation du « consentement tacite » obtenu grâce à des systèmes d’option de non-participation.
Ce rapport en conclut que la Loi sur la protection des renseignements personnels et les documents électroniques est un agneau déguisé en loup. En règle générale, la Loi sur la protection des renseignements personnels et les documents électroniques n’avantage pas les consommateurs. L’expérience personnelle avec le mécanisme des conclusions a été pénible, surtout pour les personnes qui ont découvert qu’elle devaient prendre les conclusions du Commissaire à la protection de la vie privée auprès du tribunal fédéral pour des « ordres ». Les décisions procédurales prises par le Bureau du Commissaire à la protection de la vie privée du Canada ont été extrêmement discutables, réduisent sérieusement l’efficacité de la Loi sur la protection des renseignements personnels et les documents électroniques et ne font qu’aggraver les difficultés pour les consommateurs. Certaines conclusions en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques qui auraient pu avoir une influence significative sur un modèle de gestion établi ont été adoptées afin de permettre la continuité de ce modèle, malgré la violation du respect de la vie privée.
Dans une certaine mesure, les résultats qui vont à l’encontre des droits de la protection des renseignements personnels du consommateur devraient figurer dans une loi non-prescriptive axée sur les normes telle que la Loi sur la protection des renseignements personnels et les documents électroniques qui cherche à établir un équilibre entre les droits de la protection des renseignements personnels et l’utilisation des renseignements commerciaux. Cependant, l’étendue de l’expérience négative des consommateurs avec la Loi sur la protection des renseignements personnels et les documents électroniques suggère le besoin de l’amender en grande partie afin que son application soit plus pratique et efficace pour les consommateurs.