Les tensions montent aux États-Unis relativement à la vente aux enchères de renseignements personnels de millions de clients de RadioShack dans le cadre des procédures de faillite entamées par le géant de l’électronique au mois de février dernier. Seront ainsi mis en vente les noms, adresses, adresses de courriel et historiques d’achat de quelque 117 millions de personnes dans un effort d’éponger la dette colossale générée par l’entreprise alors que le choix des consommateurs s’oriente progressivement vers le commerce en ligne. Les données de près de 40 % de la population américaine risquent ainsi de passer aux mains du plus offrant, la vente ayant obtenu l’approbation judiciaire malgré la controverse[1].
Les procureurs généraux de plusieurs États et le Trustee’s Office américain s’élèvent contre la braderie de renseignements personnels, soutenant que leur inclusion dans les actifs de l’entreprise contrevient aux lois de protection du consommateur et aux politiques de confidentialité de RadioShack. Pour leur part, Apple, AT&T Mobility et l’acquéreur de RadioShack, Standard General LP, estiment qu’une partie des données en jeu leur appartient et qu’il leur incombe de protéger la vie privée de leurs usagers.
Aux États-Unis, les restrictions quant à l’usage que peuvent faire les entreprises de l’information qu’elles colligent sont plutôt rares. Règle générale, ces dernières sont assujetties aux fins énoncées dans les politiques de confidentialité auxquelles souscrivent les utilisateurs[2]. En cas d’usage non conforme ou de représentations frauduleuses, la Federal Trade Commission peut imposer des sanctions pour pratique de commerce trompeuse ou encore instituer des procédures judiciaires[3].
Qu’en est-il toutefois lorsqu’une entreprise en faillite désire se départir de ses actifs alors que ses énoncés de confidentialité interdisent la communication de renseignements personnels aux tiers, même aux acheteurs potentiels se proposant d’assurer l’exploitation de l’entreprise? La pratique américaine consiste à nommer un ombudsman indépendant chargé d’assister le tribunal à définir les contours des actifs mis à l’enchère. C’est d’ailleurs la voie qu’a empruntée le tribunal dans le dossier RadioShack en confiant à un ombudsman la tâche de circonscrire, le cas échéant, la portée des renseignements divulgués.
D’aucuns seraient étonnés d’apprendre qu’il ne s’agit pas là d’un particularisme américain et que nos renseignements personnels ne sont guère mieux protégés de ce côté de la frontière. Au Québec, en principe, une personne ayant recueilli des renseignements personnels sur une autre personne ne peut utiliser ces renseignements à une fin non pertinente à l’objet du dossier ni communiquer ceux-ci à un tiers sans consentement. La Loi sur la protection des renseignements personnels dans le secteur privé[4] permet toutefois l’utilisation de listes de noms, de numéros de téléphone, d’adresses ou d’adresses de courriel à des fins de prospection commerciale sans le consentement des personnes visées. Ainsi, il n’est pas interdit de vendre, de louer et, même, de donner des renseignements personnels à des entreprises de marketing, lesquelles pourront s’en servir pour solliciter des occasions d’affaires de diverse nature.
Par ailleurs, comme en droit américain, le régime québécois de la faillite bénéficie d’un régime qui lui est propre. Non seulement les registres de faillite sont-ils publics[5], mais les tribunaux ont adjugé que des renseignements personnels pouvaient être divulgués à des investisseurs, financiers ou acheteurs potentiels ou encore à des parties intéressées par le processus de restructuration[6]. Les juges québécois ont tout de même tenté de limiter l’ampleur de la divulgation en obligeant les tiers à préserver le caractère privé des renseignements ou en en restreignant l’utilisation aux fins des transactions envisagées.
Il demeure que les données que nous croyons privées se retrouvent fréquemment sur la place publique. Comment s’assurer, alors, de protéger ses renseignements personnels? Évitez, dans la mesure du possible, de dévoiler les renseignements vous concernant, notamment si certains sont accessoires et non nécessaires à la transaction. De même, restez vigilants lorsque l’on vous demande votre numéro d’assurance sociale. Le pouvoir d’exiger ce numéro est prévu à la loi et généralement octroyé à des organismes publics ou limité à un but précis, tel le versement d’un salaire. Rien n’empêche, toutefois, une entreprise privée de solliciter ce numéro à d’autres fins[7].
La façon dont les entreprises gèrent les renseignements qu’elles colligent sur leurs clients suscite des préoccupations grandissantes au sein du public, qui n’entrevoit pas d’emblée la faillite de l’entreprise ni les différentes fins auxquelles seront affectées leurs données personnelles. Reste à voir si nos tribunaux avaliseront le type de procédé qui a cours aux États-Unis. Quoi qu’il en soit, les consommateurs des deux côtés de la frontière ont intérêt à bien y penser lorsque vient le moment de dévoiler leurs renseignements personnels.
[1] M. Chiappardi, RadioShack Buyer Wants Its Customer Data Out of IP Sale, Law360, 6 mai 2015.
[2] L. J. Sotto, S. H. Bernstein and B. Segalis, Emerging Privacy Issues in Bankruptcy, GC New York, juin 2010.
[3] 11 U.S. Code, article 363.
[4] Chapitre P-39.1.
[5] Loi sur la faillite et l’insolvabilité, L.R.C. (1985), ch. B-3, art. 11.1(1).
[6] Voir par exemple Charles Morissette inc. (Arrangement relatif à), 2013 QCCS 5539 et Groupe Arsenault inc. (Avis d’intention de), 2015 QCCS 898.
[7] Commissariat à la protection de la vie privée du Canada, Foire aux questions, en ligne, mai 2015.
