Jump to Left NavigationJump to Content Commissariat à la protection de la vie privée du Canada / Office of the Privacy Commissioner of Canada Gouvernement du Canada
EnglishContactez-nousAideRechercheSite du Canada
AccueilQuoi de neufÀ propos de nousFAQsCarte du site
Conclusions de la commissaire
Exemples de plaintes réglées (Rapidement / En cours d'enquête)
Résumés d'incidents
Questions-clés
Centre des médias
Centre des ressources
Trousse pour entreprises
Particuliers
Rapports et Publications
Programme des contributions
Discours
Activités à venir
Ressources dans le domaine de la vie privée
Ressources provinciales/
territoriales
Législation
Évaluation des facteurs relatifs à la vie privée
Fiches d'information
Jeu-questionnaire sur la protection de la vie privée
Divulgation proactive
Centre des ressources

Guide à l'intention des entreprises et des organisations

Protection des renseignements personnels : vos responsabilités

La Loi sur la protection des documents personnels et les documents électroniques du Canada

À propos du présent guide

Le présent guide a pour but d'aider les entreprises à comprendre leurs nouvelles obligations en vertu de la Partie 1 de la Loi sur la protection des renseignements personnels et les documents électroniques*, et à s'y conformer.

La Loi établit des règles de base au sujet de la gestion des renseignements personnels dans le secteur privé.

Elle établit un équilibre entre le droit d'un particulier à la protection des renseignements personnels le concernant et le besoin des organisations de recueillir, d'utiliser ou de communiquer des renseignements personnels à des fins commerciales légitimes.

La Loi confère à la commissaire à la protection de la vie privée du Canada le rôle d'ombudsman lorsque des plaintes sont déposées aux termes des nouvelles dispositions législatives. Dans la mesure du possible, la commissaire s'efforce de régler les problèmes au moyen du respect volontaire plutôt que de l'exécution stricte de la Loi. Elle instruit les plaintes, effectue des vérifications, sensibilise les intéressés aux questions relatives à la protection des renseignements personnels et mène des recherches à ce sujet. Elle fait également office d'ombudsman lorsque des plaintes sont déposées aux termes de la Loi sur la protection des renseignements personnels, qui vise le secteur public fédéral.

La Partie 1 de la Loi est entrée en vigueur en trois étapes, à compter du 1er janvier 2001.

Pour plus de renseignements, communiquez avec :

Le Commissariat à la protection de la vie privée du Canada
112, rue Kent
Ottawa (Ontario) K1A 1H3
Téléphone : 1 (613) 995-8210
Sans frais : 1 800 282-1376
Télécopieur : 1 (613) 947-6850
Site Web : www.privcom.gc.ca
Courriel : info@privcom.gc.ca

Même si on a tout mis en oeuvre pour qu'il soit exact et exhaustif, le présent guide n'a pas de statut juridique. Pour obtenir le texte officiel de la nouvelle Loi, consultez notre site Web à www.privcom.gc.ca ou téléphonez au Commissariat à la protection de la vie privée du Canada.

IP54-2/2004
ISBN: 0-662-68004-9

Mise à jour mars 2004

* Le présent guide ne porte que sur la Partie 1 de la Loi. Les renvois à la Loi dans le présent document ne concernent que la Partie 1. Les parties 2 à 5 de la Loi ont trait à l'utilisation des signatures et des documents électroniques comme solutions de rechange licites aux signatures et aux documents originaux. Pour obtenir plus de renseignements à ce sujet, communiquez avec le ministère de la Justice.

Haut de la page Table des matières

Haut de la pageIntroduction

Ce guide a été conçu par le Commissariat à la protection de la vie privée du Canada afin d'aider les organisations à satisfaire à leurs obligations en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ). La LPRPDÉ est une bonne nouvelle, tant pour les organisations que pour les particuliers. Les personnes sauront apprécier les organisations qui respectent leur droit à la protection des renseignements personnels et à la limite, cela pourrait constituer un avantage en matière de concurrence. Les organisations pourraient percevoir la LPRPDÉ comme une occasion de revoir et d'améliorer leurs pratiques relatives au traitement des renseignements personnels.

La Loi en bref

Les organisations visées par la Loi doivent obtenir le consentement de l'intéressé lorsqu'elles recueillent, utilisent ou communiquent des renseignements personnels les concernant. L'intéressé a le droit de consulter les renseignements personnels que détient une organisation à son sujet et, au besoin, d'en contester l'exactitude. Les renseignements personnels ne peuvent être utilisés qu'aux fins auxquelles ils ont été recueillis. L'organisation qui entend les utiliser à une autre fin doit obtenir un nouveau consentement. Les particuliers devraient également avoir l'assurance que les renseignements qui les concernent seront protégés au moyen de mesures de sécurité précises, notamment des classeurs verrouillés, des mots de passe informatiques ou le chiffrement.

Plaintes

En cas d'infraction alléguée à la Loi, on peut déposer une plainte auprès de l'organisation en question ou de la commissaire à la protection de la vie privée du Canada. La commissaire peut elle-même déposer une plainte, s'il y a des motifs valables.

Requête devant la Cour fédérale

Après avoir reçu le rapport d'enquête du Commissariat à la protection de la vie privée du Canada, le plaignant peut demander à la Cour fédérale de l'entendre, à certaines conditions énoncées dans l'article 14 de la Loi. La commissaire à la protection de la vie privée du Canada peut également, au nom du plaignant ou en son nom propre, demander à être entendue par la Cour. Cette dernière peut ordonner à une organisation de modifier ses pratiques ou d'accorder au plaignant des dommages-intérêts, notamment en réparation de l'humiliation subie.

Vérifications

La commissaire peut, avec un préavis suffisant, procéder à la vérification des pratiques de l'organisation en matière de gestion des renseignements personnels.

Infractions

Commet une infraction quiconque :

  • détruit des renseignements personnels demandés par un particulier;
  • prend des mesures de représailles contre un employé qui a déposé une plainte auprès de la commissaire ou qui refuse de contrevenir aux articles 5 à 10 de la Loi;
  • nuit à l'instruction d'une plainte ou à la conduite d'une vérification menée par la commissaire ou son délégué.

DÉFINITIONS

Renseignements personnels

Par « renseignements personnels », on entend tout renseignement factuel ou subjectif, consigné ou non, concernant un individu identifiable. Il peut s'agir de tout type de renseignements, notamment :

  • l'âge, le nom, les numéros d'immatriculation, le revenu, l'origine ethnique ou le type sanguin;
  • des opinions, des évaluations, des commentaires, le statut social ou les mesures disciplinaires;
  • les dossiers d'employé, les dossiers de crédit, les dossiers relatifs à des prêts, les dossiers médicaux, l'existence d'un différend entre un consommateur et un marchand, des intentions (p. ex., d'acquérir des biens ou des services ou de changer d'emploi).

Les renseignements personnels ne comprennent pas le nom, le titre ni l'adresse ou le numéro de téléphone au travail d'un employé d'une organisation.

Activité commerciale

Toute activité régulière ainsi que tout acte isolé qui revêtent un caractère commercial de par nature, y compris la vente, le troc ou la location de listes de donneurs, d'adhésion ou de collecte de fonds.

Organisation

S'entend notamment des associations, sociétés de personnes, personnes et organisations syndicales.

Consentement

Acceptation volontaire de ce qui est fait ou proposé. Le consentement peut être explicite ou implicite. Le consentement explicite est expressément donné, verbalement ou par écrit. Sans équivoque, le consentement explicite ne suppose aucune inférence de la part de l'organisation qui cherche à obtenir le consentement. Il y a consentement implicite lorsque le comportement ou l'inaction de l'intéressé permet raisonnablement de conclure au consentement.

Communication

Rendre des renseignements personnels accessibles à des personnes de l'extérieur de l'organisation.

Utilisation

Désigne le traitement des renseignements personnels au sein d'une organisation.

Entreprises fédérales

Sont comprises les « installations, ouvrages, entreprises ou secteurs d'activités qui relèvent de la compétence législative du Parlement ». Même si la plupart des organisations réglementées par le gouvernement fédéral sont visées par la définition, tous les types d'organisations ne sont pas des entreprises fédérales. Par exemple, les compagnies d'assurances et les coopératives de crédit peuvent être assujetties à certains règlements fédéraux, elles n'en relèvent pas moins de la compétence des provinces aux termes de la Constitution. À ce titre, elles ne sont pas considérées comme des entreprises fédérales aux fins de la Loi. Dans cette dernière, on définit certains types d'entreprises visées par la Partie 1 :

  • le transport inter-provincial ou international par voie terrestre ou par eau;
  • les aéroports, les aéronefs ou les lignes de transport aérien;
  • les télécommunications;
  • les stations de radiodiffusion et de télédiffusion;
  • les banques;
  • les élévateurs à grain;
  • les centrales nucléaires;
  • les entreprises de forage en mer.

Il convient de noter qu'il ne s'agit pas ici d'une liste exhaustive des « entreprises fédérales ». Votre entreprise ne constitue pas une « entreprise fédérale » du seul fait qu'elle est constituée sous le régime de la loi fédérale. Si elle est visée par l'une ou l'autre des parties du Code canadien du travail, votre société est probablement une « entreprise fédérale ».

Haut de la pageTable des matièresVotre organisation est-elle visée par la Loi ?

La LPRPDÉ est entrée en vigueur en trois étapes :

Le 1er janvier 2001

Dans un premier temps, la Loi s'est d'abord appliquée aux renseignements personnels (à l'exception des renseignements personnels sur la santé) recueillis, utilisés ou communiqués dans le cadre des activités commerciales des installations, des ouvrages, des entreprises ou des secteurs d'activité fédéraux. La liste comprend notamment les organisations réglementées par le gouvernement fédéral comme les banques, les sociétés de télécommunications et les entreprises de transport. À ce stade, la Loi s'est d'abord appliquée aux renseignements personnels recueillis, utilisés ou communiqués par les mêmes organisations au sujet de leurs employés. De plus, la Loi s'est d'abord appliquée à la communication de renseignements personnels au-delà des frontières provinciales ou nationales par des organisations comme les agences d'évaluation du crédit ou des organisations qui louent, vendent ou échangent des listes d'abonnés ou d'autres renseignements personnels. Les renseignements doivent être eux-mêmes l'objet de la transaction, et la contrepartie doit être accordée pour les renseignements.

Le 1er janvier 2002

Pour les organisations et les activités visées à la première étape, la Loi s'est appliquée aux renseignements personnels sur la santé. « Renseignement personnel sur la santé » s'entend de tout renseignement sur la santé mentale ou physique, y compris les services de santé fournis de même que les résultats de tests et d'examens.

Le 1er janvier 2004

La Loi s'est appliquée à la collecte, à l'utilisation ou à la communication de renseignements personnels dans le cadre de toute activité commerciale au sein d'une province. Cependant, le gouvernement peut exclure des organisations ou des activités dans les provinces qui ont, dans le domaine de la protection des renseignements personnels, adopté une loi réputée être essentiellement similaire à la loi fédérale. La Loi s'applique également à tout renseignement personnel touchant l'ensemble des transactions interprovinciales et internationales réalisées par l'ensemble des organisations visées par la Loi dans le cadre de leurs activités commerciales.

Au moment de la publication de ce guide, le Québec est la seule province aujourd'hui qui est dotée d'une loi jugée « essentiellement similaire » à la loi fédérale. Le gouvernement fédéral a affirmé que la loi québécoise répond aux critères définis par la notion d'« essentiellement similaire », et que les organisations et les activités visées par la loi québécoise seront exclues de la loi fédérale en ce qui a trait aux questions intraprovinciales. Les provinces de la Colombie-Britannique et l'Alberta ont adopté des lois sur la protection des renseignements personnels s'appliquant au secteur privé, qui ne sont pas encore réputées être essentiellement similaire au moment de la publication de ce guide. D'autres provinces et territoires envisagent l'adoption de dispositions législatives s'appliquant au secteur privé.

Haut de la pageTable des matièresQu'est-ce qui n'est pas visé par la Loi ?

  • La collecte, l'utilisation ou la communication de renseignements personnels par des institutions fédérales auxquelles s'applique la Loi sur la protection des renseignements personnels.
  • Les gouvernements provinciaux et territoriaux et leurs délégués.
  • Le nom, le titre, l'adresse ou le numéro de téléphone au travail d'un employé.
  • La collecte, l'utilisation ou la communication de renseignements personnels par un particulier à des fins strictement personnelles (p. ex., la constitution d'une liste de personnes à qui adresser des cartes de voeux).
  • La collecte, l'utilisation et la communication de renseignements personnels par une organisation à des fins strictement journalistiques, artistiques ou littéraires.
  • Les renseignements d'employé(e)s — à l'exception du secteur sous réglementation fédérale.

Voir les fiches d'information sur cela et sur d'autres questions sur notre site Web.

Haut de la pageTable des matièresVos responsabilités en vertu de la Loi

Les organisations doivent respecter un code sur la protection des renseignements personnels, lequel constitue l'Annexe 1 de la Loi.

Le code a été élaboré par des entreprises, des consommateurs, des chercheurs et le gouvernement sous les auspices de l'Association canadienne de normalisation.

On y énonce dix principes concernant les pratiques équitables de traitement des renseignements, qui servent de règles de base à la collecte, à l'utilisation et à la communication de renseignements personnels. Ces principes permettent aux intéressés de maîtriser la façon dont le secteur privé traite les renseignements personnels les concernant.

Une organisation est responsable des renseignements personnels dont elle a la gestion et doit traiter ceux-ci de façon équitable en tout temps, à l'intérieur de ses cadres aussi bien que dans ses transactions avec des tierces parties. La diligence dans la collecte, l'utilisation et la communication des renseignements personnels représente un élément essentiel pour assurer la confiance et la loyauté des consommateurs.

Voici la liste des dix principes que les entreprises doivent respecter :

  1. la responsabilité
  2. la détermination des fins de la collecte des renseignements
  3. le consentement
  4. la limitation de la collecte
  5. la limitation de l'utilisation, de la communication et de la conservation
  6. l'exactitude
  7. les mesures de sécurité
  8. la transparence
  9. l'accès aux renseignements personnels
  10. la possibilité de porter plainte

Ces principes doivent être interprétés conjointement avec les principales sections de la Loi, en particulier :

Les articles 2 à 10 de la Loi

On doit interpréter l'Annexe 1 conjointement avec les articles 2 à 10 de la Loi. Il est essentiel d'étudier avec soin les obligations définies dans ces sections, parallèlement aux dix principes.

L'article 2 :

  • fournit des définitions, notamment d'activités commerciales, d'installations, d'ouvrages, d'entreprises ou de secteurs d'activité fédéraux, de renseignements personnels, de renseignements personnels sur la santé et d'organisations; et
  • précise que les notes afférentes des articles 4.3 et 4.9 de l'Annexe 1 ne font pas partie de la Loi.

L'article 3 :

Définit l'objet de la Loi, soit :

  • de reconnaître le droit des particuliers à la protection des renseignements personnels les concernant;
  • de reconnaître le besoin des organisations de recueillir, d'utiliser ou de communiquer des renseignements personnels à des fins commerciales légitimes; et
  • d'établir des règles relatives au traitement des renseignements personnels.

L'article 4 :

Définit le champ d'application de la Loi :

  • toutes les organisations qui recueillent, utilisent ou communiquent des renseignements personnels dans le cadre de leurs activités commerciales;
  • les renseignements personnels concernant un employé d'une entreprise fédérale, mais non les renseignements personnels du secteur privé.

L'article 5 :

  • précise que toute organisation doit se conformer aux obligations énoncées dans l'Annexe 1;
  • précise ce qui est exclu de la Loi;
  • l'annexe précise que :
    • le verbe « doit » s'entend d'une obligation et que
    • le conditionnel « devrait » signifie qu'il s'agit d'une recommandation et non d'une obligation;
  • limite la collecte, l'utilisation ou la communication des renseignements personnels à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances. Dans l'application de toute disposition de la Partie 1 de la Loi, on doit tenir compte de la notion de « personne raisonnable ».

L'article 6 :

  • précise que le fait de confier à une personne la responsabilité de la conformité n'exempte pas l'organisation des obligations énoncées à l'Annexe 1.

L'article 7 :

  • précise dans quelles circonstances les renseignements personnels peuvent être recueillis, utilisés ou communiqués sans le consentement de l'intéressé.

L'article 8 :

  • définit les démarches que doivent effectuer les intéressés qui souhaitent présenter une demande de communication relative à des renseignements personnels ou apporter des corrections à des renseignements personnels les concernant.

L'article 9 :

  • explique les circonstances dans lesquelles l'accès à des renseignements personnels peut être refusé.

L'article 10 :

  • précise l'obligation qu'a une organisation de fournir les renseignements personnels sur support de substitution (p. ex., braille, gros caractères ou bande audio) à toute personne ayant une déficience sensorielle.

Haut de la pageTable des matièresPrincipes relatifs à l'équité dans le traitement des renseignements

Cette partie énonce les responsabilités applicables à chacun des dix principes relatifs à l'équité dans le traitement des renseignements personnels définis à l'Annexe 1. Vous y trouverez des conseils et des moyens de vous acquitter de vos responsabilités.

Haut de la pageTable des matières1. Soyez responsable

Vos responsabilités

  • Respecter les dix principes énoncés à l'Annexe 1.
  • Confier à une personne (ou à des personnes) la responsabilité du respect de la Loi par votre organisation.
  • Protéger tous les renseignements personnels que votre entreprise a en sa possession, y compris les renseignements confiés à une tierce partie aux fins de traitement.
  • Élaborer et mettre en oeuvre des politiques et des pratiques concernant les renseignements personnels.

Comment vous acquitter de vos responsabilités

  • Donnez au responsable de la protection de la vie privée le soutien de la haute direction et le pouvoir d'intervenir dans toute question relative à la protection des renseignements personnels au sein de votre organisation.
  • Communiquez le nom ou le titre de la personne en question à l'interne et à l'externe (p. ex. dans les sites Web et les publications).
  • À l'aide de la liste de vérification suivante, assurez-vous que l'ensemble des pratiques relatives au traitement des renseignements personnels sont équitables, y compris les activités en cours et les nouvelles initiatives :
    • quels renseignements personnels recueillons-nous ?
    • pourquoi les recueillons-nous ?
    • comment les recueillons-nous ?
    • à quelles fins les utilisons-nous ?
    • où les conservons-nous ?
    • dans quelle mesure sont-ils en sécurité ?
    • qui y a accès ou les utilise ?
    • à qui sont-ils communiqués ?
    • quand sont-ils éliminés ?
  • Élaborez et mettez en oeuvre des politiques et des procédures pour assurer la protection des renseignements personnels :
    • précisez les fins auxquelles ils sont recueillis;
    • obtenez le consentement des intéressés;
    • limitez la collecte, l'utilisation et la communication des renseignements personnels;
    • assurez-vous que les renseignements sont exacts, complets et à jour;
    • prenez des mesures de sécurité suffisantes;
    • élaborez ou mettez à jour un calendrier pour la conservation et la destruction des documents;
    • traitez les demandes de communication;
    • donnez suite aux demandes de renseignements et aux plaintes.
  • Assortissez les contrats d'une disposition relative à la protection des renseignements personnels pour vous assurer que la tierce partie prend des mesures de sécurité comparables aux vôtres.
  • Informez vos employés des politiques et procédures concernant la protection des renseignements personnels et assurez-leur la formation voulue.
  • Mettez à la disposition des clients de l'information sur ces politiques et procédures (p. ex. dépliants et sites Web).

CONSEILS

Formez vos employés de première ligne et vos cadres et tenez-les au courant, pour qu'ils puissent répondre aux questions suivantes :

  • comment donner suite aux demandes de renseignements du public au sujet des politiques de l'organisation concernant la protection des renseignements personnels ?
  • qu'est-ce que le consentement ? Quand et comment doit-on l'obtenir ?
  • comment reconnaître et traiter les demandes de communication de renseignements personnels ?
  • à qui devrais-je transmettre les plaintes concernant des questions liées à la protection des renseignements personnels ?
  • quelles sont les activités courantes et les nouvelles initiatives mises en oeuvre par notre organisation dans le domaine de la protection des renseignements personnels ?

Avant de transmettre des renseignements personnels à des tierces parties, prenez les précautions suivantes :

  • désignez une personne chargée de traiter de tous les aspects du contrat liés à la protection des renseignements personnels;
  • limitez l'utilisation des renseignements personnels aux fins nécessaires à l'exécution du contrat;
  • limitez la communication des renseignements à ce qui est autorisé par votre organisation ou prescrit par la Loi;
  • dirigez vers votre organisation les personnes qui souhaitent consulter les renseignements personnels les concernant;
  • à la fin du contrat, retournez les renseignements transmis ou détruisez-les;
  • utilisez les mesures de sécurité qui s'imposent pour assurer la protection des renseignements personnels;
  • au besoin, donnez à votre organisation la possibilité de vérifier la mesure dans laquelle la tierce partie respecte les dispositions du contrat.

Haut de la pageTable des matières2. Précisez le but de la collecte des renseignements

Votre organisation doit préciser les motifs de la collecte de renseignements personnels, avant ou pendant celle-ci.

Vos responsabilités

  • Avant ou pendant toute collecte de renseignements personnels, déterminer pourquoi les renseignements sont nécessaires et comment ils seront utilisés.
  • Documenter pourquoi les renseignements sont recueillis.
  • Préciser à la personne auprès de qui on recueille des renseignements pourquoi ils sont requis.
  • Préciser toute nouvelle utilisation des renseignements, et obtenir le consentement de l'intéressé avant de les utiliser.

Comment vous acquitter de vos responsabilités

  • Examinez les renseignements personnels que vous avez en votre possession pour déterminer s'ils sont tous destinés à une fin précise.
  • Informez le particulier, verbalement ou par écrit, des fins auxquelles les renseignements sont destinés.
  • Consignez par écrit toutes les fins définies et obtenez les consentements voulus de façon à pouvoir vous y référer facilement au cas où on vous demanderait de rendre des comptes à ce sujet.
  • Assurez-vous que les fins auxquelles les renseignements sont destinés se limitent à ce qu'une personne raisonnable estimerait acceptable dans les circonstances.

CONSEILS

  • Définissez le plus clairement et le plus étroitement possible à quelles fins les données sont recueillies, de sorte que l'intéressé comprenne comment ils seront utilisés ou communiqués.
  • Évitez les fins trop vastes, qui risquent d'aller à l'encontre du principe de la connaissance et du consentement.
  • Voici quelques exemples de fins :
    • ouvrir un compte;
    • vérifier la solvabilité;
    • assurer des avantages aux employés;
    • traiter une demande d'abonnement à un magazine;
    • poster de l'information au sujet de l'adhésion à une association;
    • garantir une réservation de voyage;
    • établir les préférences d'un client;
    • définir l'admissibilité d'un client à un rabais ou à une offre spéciale.

DROITS ACQUIS

Les renseignements personnels que votre société a recueillis dans le cadre de ses activités commerciales sont visés par la Loi. Comme les renseignements en question ont déjà été recueillis, vous n'avez pas à les recueillir de nouveau. Afin de pouvoir continuer de les utiliser ou de les communiquer, la Loi vous oblige maintenant à obtenir un consentement. Certaines organisations ont informé tous leurs clients de l'utilisation qu'elles font des renseignements qui les concernent et des institutions auxquelles ils sont communiqués, tout en donnant à leurs clients la possibilité de s'opposer à ces utilisations ou communications systématiques.

Consultez notre site Web en ce qui concerne les pratiques exemplaires et des fiches d'information portant sur cela et sur d'autres questions.

Haut de la pageTable des matières3. Obtenez le consentement

Vos responsabilités

  • Bien informer l'intéressé du but de la collecte, de l'utilisation ou de la communication des renseignements personnels.
  • Obtenir le consentement de l'intéressé avant ou pendant la collecte des renseignements de même qu'au moment d'une nouvelle utilisation.

Comment vous acquitter de vos responsabilités*

  • Obtenez le consentement de la personne quand vous recueillez, utilisez ou communiquez des renseignements personnels.
  • Communiquez de façon claire et intelligible.
  • Consignez par écrit le consentement reçu (p. ex. conservez dans le dossier une note ou encore une copie du message électronique ou du document coché à la case appropriée).
  • N'obtenez jamais de consentement par des moyens détournés.
  • Ne faites pas de l'obtention du consentement une condition de la fourniture d'un produit ou d'un service, à moins que le renseignement requis ne s'impose à des fins explicites et légitimes.
  • Expliquez aux particuliers les conséquences du retrait de leur consentement.
  • Veillez à ce que les employés qui recueillent des renseignements personnels soient en mesure de répondre aux questions de l'intéressé sur le but des renseignements qui sont recueillis.

* Il y a certaines exceptions au principe du consentement. Voir la page 17 du présent guide.

CONSEILS

  • On obtient généralement le consentement de la personne lors de la collecte, l'utilisation ou la communication des renseignements personnels.
  • On peut obtenir le consentement d'un mineur, d'une personne gravement malade ou souffrant d'incapacité mentale auprès du tuteur ou du détenteur d'une procuration.
  • Le consentement n'est valable que si les intéressés comprennent à quelles fins les renseignements qui les concernent seront utilisés.
  • Les consentements devraient :
    • être faciles à trouver;
    • être rédigés de façon claire et directe;
    • ne pas s'appuyer sur des catégories générales de fins, d'utilisations et de communications;
    • préciser le mieux possible quelles organisations traitent les renseignements.
  • Le consentement peut être obtenu en personne, par téléphone, par la poste, par Internet, etc.
  • Au moment d'établir la forme du consentement, on devrait tenir compte des éléments suivants :
    • les attentes raisonnables de l'intéressé;
    • les circonstances entourant la collecte;
    • le caractère délicat des renseignements en question.
  • Dans la mesure du possible, on devrait obtenir un consentement explicite. Lorsqu'il s'agit de renseignements considérés comme délicats, on doit toujours obtenir un tel consentement. L'obtention d'un consentement explicite protège l'intéressé et l'organisation.

Haut de la pageTable des matières4. Limitez la collecte

Vos responsabilités

  • Ne pas recueillir de renseignements personnels de façon arbitraire.
  • Ne pas tromper ni induire en erreur des particuliers à propos des motifs de la collecte de renseignements personnels.

Comment vous acquitter de vos responsabilités

  • Limitez la quantité et le type de renseignements recueillis à ce qu'exigent les motifs définis.
  • Définissez le genre de renseignements personnels que vous recueillez dans vos politiques et pratiques en matière de traitement des renseignements.
  • Assurez-vous que les membres de votre personnel sont en mesure d'expliquer les motifs de la collecte de renseignements.

CONSEILS

  • En réduisant la quantité de renseignements recueillis, vous pouvez réduire les coûts de la collecte, du stockage, de la conservation et, en dernière analyse, de l'archivage des données.
  • Le fait de recueillir moins de renseignements entraîne également une réduction des risques d'utilisation et de communication inappropriés.

Haut de la pageTable des matières5. Limitez l'utilisation, la communication et la conservation

Vos responsabilités

  • N'utiliser ou ne communiquer les renseignements personnels qu'aux fins auxquelles ils ont été recueillis, à moins que l'intéressé ne donne son consentement ou que l'utilisation ou la communication ne soit autorisée par la Loi.
  • Ne garder les renseignements personnels qu'aussi longtemps que nécessaire pour la réalisation des fins déterminées.
  • Établir des lignes directrices et des procédures pour la conservation et pour la destruction des renseignements personnels.
  • Conserver les renseignements personnels utilisés pour prendre une décision au sujet d'une personne pendant un temps raisonnable. Celle-ci devrait ainsi pouvoir obtenir les renseignements une fois la décision prise et, le cas échéant, exercer un recours.
  • Détruire, effacer ou dépersonnaliser les renseignements dont on n'a plus besoin aux fins précisées ou prévues par la loi.

Comment vous acquitter de vos responsabilités

  • Documentez toute nouvelle utilisation des renseignements personnels.
  • Établissez des périodes de conservation maximales et minimales qui tiennent compte des exigences ou des restrictions législatives ainsi que des mécanismes de recours.
  • Détruisez les renseignements qui ne répondent pas à une fin précise ou qui ne sont plus nécessaires pour réaliser une fin déterminée.
  • Détruisez les renseignements personnels de manière à prévenir les possibilités d'accès illicites. La solution idéale consiste à déchiqueter les dossiers sur support papier et à effacer les fichiers sur support électronique.
  • Établissez des politiques définissant les types de renseignements qui doivent être mis à jour. Une organisation peut raisonnablement s'attendre à ce qu'une personne fournisse des renseignements à jour dans certaines circonstances (p. ex., un changement d'adresse dans le cas d'un abonnement à un magazine).

CONSEILS

  • Il est parfois moins coûteux et compliqué de détruire ou d'effacer des renseignements que de les dépersonnaliser.
  • Procéder à des examens périodiques pour déterminer si des renseignements sont toujours nécessaires. Pour se faciliter la tâche, on peut établir un calendrier de conservation.

Haut de la pageTable des matières6. Soyez exact

Vos responsabilités

  • Réduire au minimum les possibilités d'utilisation incorrecte des renseignements personnels au moment de prendre une décision concernant l'intéressé ou de communiquer les renseignements à des tierces parties.

Comment vous acquitter de vos responsabilités

  • Veillez à ce que les renseignements soient aussi exacts, complets et à jour, compte tenu de leur utilisation et des intérêts de l'intéressé.
  • Ne mettez les renseignements à jour que si les fins auxquelles ils sont destinés l'exigent.
  • Veillez à ce que les renseignements fréquemment utilisés soient exacts et à jour, à moins que des limites claires ne soient prévues à cet égard.

CONSEILS

  • Vous pouvez juger si l'information doit être mise à jour en déterminant si l'utilisation ou la communication de renseignements incomplets ou désuets porterait préjudice à l'individu.
  • Pour assurer l'exactitude, vous pouvez utiliser la liste de vérification suivante :
    • énumérez le type de renseignements personnels nécessaires à la prestation d'un service;
    • repérez la banque où tous les renseignements personnels connexes peuvent être récupérés;
    • consignez par écrit la date à laquelle les renseignements personnels ont été récupérés ou mis à jour;
    • consignez par écrit les mesures prises pour vérifier l'exactitude, l'intégralité et l'à-propos des renseignements. Pour ce faire, vous devrez peut-être réviser vos dossiers ou communiquer avec le client.

Haut de la pageTable des matières7. Prenez des mesures de sécurité adéquates

Vos responsabilités

  • Protéger les renseignements personnels contre la perte ou le vol.
  • Protéger les renseignements contre la consultation, la communication, la copie, l'utilisation ou la modification non autorisées.
  • Protéger les renseignements personnels, quelle que soit la forme sous laquelle ils sont conservés.

Comment vous acquitter de vos responsabilités

  • Élaborez et appliquez une politique de sécurité pour assurer la protection des renseignements personnels.
  • Utilisez des mesures de sécurité adéquates pour assurer la protection qui s'impose :
    • des moyens matériels (le verrouillage des classeurs, la restriction de l'accès aux bureaux, des systèmes d'alarme);
    • des outils technologiques (des mots de passe, le chiffrement, des coupe-feux);
    • des mesures administratives (des autorisations sécuritaires, la limitation d'accès au moyen de l'accès sélectif, la formation des employés, des ententes).
  • Assurez-vous que les employés sont conscients de l'importance de la sécurité et la confidentialité des renseignements personnels.
  • Sensibilisez les employés aux mesures de sécurité en organisant périodiquement des réunions à ce sujet.
  • Au moment de choisir les mesures de sécurité qui s'imposent, il conviendrait de tenir compte des facteurs suivants :
    • le caractère délicat des renseignements;
    • la quantité de renseignements;
    • l'importance de leur distribution;
    • leur présentation (support électronique, support papier, etc.);
    • le type de stockage.
  • Examinez et mettez à jour les mesures de sécurité périodiquement.

CONSEILS

  • Au moment de fournir des copies des renseignements à des tierces parties, assurez-vous que les renseignements personnels qui ne sont pas relatifs à la transaction sont supprimés ou masqués.
  • Conservez les dossiers qui renferment des renseignements délicats dans un lieu ou dans un système informatique sûr et assurez-vous que l'accès à ces renseignements est réservé seulement aux personnes qui ont besoin d'en prendre connaissance.

Haut de la pageTable des matières8. Soyez transparent

Vos responsabilités

  • Informer les clients et les employés des politiques et des pratiques de gestion des renseignements personnels en vigueur.
  • Faire en sorte que ces politiques et pratiques soient compréhensibles et facilement accessibles.

Comment vous acquitter de vos responsabilités

  • Veillez à ce que les employés de première ligne soient bien renseignés sur les procédures afin de pouvoir répondre aux demandes de renseignements d'un particulier.
  • Rendez publiques les informations suivantes :
    • le nom ou la fonction de même que l'adresse de la personne responsable de la politique et des pratiques de protection des renseignements personnels de votre organisation;
    • le nom ou la fonction de même que l'adresse de la personne à qui les demandes de communication devraient être acheminées;
    • la marche à suivre par les particuliers pour consulter les renseignements personnels les concernant;
    • la marche à suivre en vue du dépôt d'une plainte auprès de votre organisation;
    • des dépliants ou d'autres renseignements expliquant les politiques, les normes ou les codes de votre organisation;
    • une description des renseignements personnels mis à la disposition d'autres organisations (y compris les filiales) et des motifs de la communication de ces renseignements.

CONSEILS

  • L'information concernant vos politiques et pratiques devrait être accessible en personne, par écrit, par téléphone, dans des publications ou dans le site Web de votre organisation. L'information présentée devrait être cohérente et ce, indépendamment du format.

Haut de la pageTable des matières9. Donnez l'accès aux renseignements personnels

Vos responsabilités

  • Informer toute personne qui en fait la demande de l'existence de renseignements personnels qui la concernent.
  • Expliquer l'usage qui en est fait ou qui en a été fait et fournir une liste de toutes les organisations auxquelles les renseignements ont été communiqués.
  • Donner aux particuliers la possibilité de consulter les renseignements qui les concernent.
  • Corriger ou modifier les renseignements personnels si leur exactitude et leur exhaustivité sont contestées et se révèlent effectivement déficientes.
  • Fournir une copie des renseignements demandés ou des motifs pour lesquels l'accès est refusé, sous réserve des exceptions définies à l'article 9 de la Loi (voir page 18).
  • Une organisation devrait consigner tous les désaccords au sujet du dossier et, le cas échéant, informer les tierces parties.

Comment vous acquitter de vos responsabilités

  • Le cas échéant, aidez le particulier à préparer une demande de consultation des renseignements personnels le concernant.
  • Vous pouvez demander au particulier de fournir suffisamment de renseignements pour qu'il vous soit possible de le renseigner sur l'existence, l'utilisation et la communication de renseignements personnels.
  • Donnez suite à la demande le plus rapidement possible et, au plus tard, 30 jours suivant sa réception.
  • Le délai habituel de traitement pourrait être prolongé d'une période maximale de 30 jours, selon les critères définis au paragraphe 8(4) de la Loi :
    • l'observation du délai initial de 30 jours entraverait gravement l'activité de l'organisation;
    • vous avez besoin de plus de temps pour mener des consultations;
    • vous avez besoin de temps pour transférer les renseignements personnels sur un support de substitution.
  • Si votre organisation choisit de se prévaloir d'une prorogation de délai, vous devez informer l'auteur de la demande dans les 30 jours suivant la réception de cette dernière ainsi que de son droit de porter plainte auprès de la commissaire à la protection de la vie privée du Canada.
  • Assurez au particulier un accès gratuit ou à prix modique aux renseignements.
  • Informez le particulier des coûts approximatifs avant de traiter la demande et vérifier avec celui-ci s'il souhaite toujours aller de l'avant avec la demande.
  • Permettez au particulier de consulter les renseignements personnels qui le concernent.
  • Veillez à ce que les renseignements demandés soient compréhensibles. Expliquez les acronymes, les abréviations et les codes.
  • Le cas échéant, transmettez les renseignements modifiés aux tierces parties qui y ont accès.
  • Informez par écrit le particulier dont la demande de communication est refusée et énoncez les motifs de la décision et les recours.
  • Le principe de l'accès aux renseignements personnels est assujetti à des exceptions (voir la page 18 du présent guide).

CONSEILS

  • Conservez en un seul lieu les renseignements personnels concernant des particuliers afin d'en faciliter l'extraction.
  • Ne communiquez jamais de renseignements personnels à moins d'être sûr de l'identité du demandeur et du droit d'accès de celui-ci.
  • Consigner par écrit la date de réception de la demande de renseignements.
  • Assurez-vous que le personnel dans votre organisation est en mesure d'identifier une demande d'accès à des renseignements personnels et sait à qui celle-ci doit être transmise.

Haut de la pageTable des matières10. Facilitez le dépôt des plaintes

Vos responsabilités

  • Élaborer des procédures simples et faciles d'accès pour le dépôt des plaintes.
  • Informer les plaignants des recours qui s'offrent à eux, notamment les procédures d'instruction des plaintes de votre organisation, celles des associations industrielles, des organismes de réglementation et du Commissariat à la protection de la vie privée du Canada.
  • Effectuer l'enquête de toutes les plaintes reçues.
  • Prendre les mesures qui s'imposent pour corriger les pratiques et les politiques de traitement des renseignements.

Comment vous acquitter de vos responsabilités

  • Consignez la date de réception de la plainte et la nature de cette dernière (par exemple, retard dans le traitement d'une demande, réponse incomplète ou inexacte ou encore collecte, utilisation, communication ou conservation inadéquates).
  • Accusez réception de la plainte sans délai.
  • Au besoin, communiquez avec l'intéressé pour clarifier la plainte.
  • Confiez l'affaire à une personne possédant les compétences voulues pour mener celle-ci avec équité et impartialité et permettez à cette personne de consulter tous les dossiers, les employés ou les autres intervenants qui ont traité les renseignements personnels ou la demande de communication.
  • Informez clairement et rapidement l'intéressé du résultat de l'enquête ainsi que des mesures pertinentes qui ont été prises.
  • Corrigez tout renseignement personnel inexact ou modifiez les politiques et les procédures à la lumière du résultat de l'enquête des plaintes et assurez-vous que tout le personnel de votre organisation est au fait de tous les changements apportés à ces politiques et procédures.

CONSEILS

  • Assurez-vous que le personnel est au fait des politiques et procédures afférentes aux plaintes et à qui celles-ci doivent être référées dans votre organisation.
  • Consignez toutes les décisions pour assurer une application uniforme.
  • Le traitement équitable et approprié d'une plainte peut contribuer à préserver ou à restaurer la confiance d'une personne dans votre organisation.

Haut de la pageTable des matièresExceptions aux principes du consentement et de l'accès

La Loi renferme un certain nombre d'exceptions à l'obligation d'obtenir le consentement et d'assurer l'accès.

Exceptions au principe du consentement énoncées à l'article 7 :

L'organisation ne peut recueillir de renseignements personnels à l'insu de l'intéressé et sans son consentement que dans les cas suivants :

  • la collecte de renseignements est manifestement dans l'intérêt de l'individu, et le consentement ne peut être obtenu auprès de celui-ci en temps opportun;
  • la collecte effectuée au su ou avec le consentement de l'intéressé pourrait compromettre l'exactitude des renseignements ou l'accès à ceux-ci et la collecte est nécessaire à des fins liées à une enquête sur la violation d'un accord ou la contravention du droit fédéral ou provincial;
  • la collecte est faite uniquement à des fins journalistiques, artistiques ou littéraires;
  • il s'agit de renseignements complémentaires auxquels le public a accès.

L'organisation ne peut utiliser de renseignements personnels à l'insu de l'intéressé et sans son consentement que dans les cas suivants :

  • l'organisation a des motifs raisonnables de croire que les renseignements pourraient être utiles à une enquête sur une contravention au droit fédéral, provincial ou étranger et l'utilisation est faite aux fins d'enquête;
  • l'utilisation est faite pour répondre à une situation d'urgence mettant en danger la vie, la santé ou la sécurité de tout individu;
  • l'utilisation est faite à des fins statistiques ou à des fins d'étude ou de recherche érudites (l'organisation informe la commissaire à la protection de la vie privée du Canada avant d'utiliser les renseignements);
  • il s'agit de renseignements complémentaires auxquels le public a accès;
  • l'utilisation des renseignements est manifestement dans l'intérêt de l'intéressé, et le consentement ne peut être obtenu auprès de celui-ci en temps opportun;
  • la collecte effectuée au su ou avec le consentement de l'intéressé pourrait compromettre l'exactitude des renseignements ou l'accès à ceux-ci et la collecte est nécessaire à des fins liées à une enquête sur la violation d'un accord ou la contravention du droit fédéral ou provincial.

L'organisation ne peut communiquer de renseignements personnels à l'insu de l'intéressé et sans son consentement que dans les cas suivants :

  • la communication est faite à un avocat qui représente l'organisation;
  • elle est faite en vue du recouvrement d'une créance que celle-ci a contre l'intéressé;
  • elle est exigée par assignation, mandat ou ordonnance d'un tribunal ou d'un organisme investi des pouvoirs requis;
  • elle est faite au Centre d'analyse des opérations et déclarations financières du Canada tel que l'exige la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes;
  • elle est faite à une institution gouvernementale qui a demandé à obtenir le renseignement, a identifié la source de l'autorité légitime pour l'obtention du renseignement, et a précisé que la communication a pour but la mise en application, la tenue ou la collecte de renseignements en matière de sécurité, la défense du Canada, la conduite des affaires internationales, ou si l'information est requise dans le contexte de l'administration de la loi fédérale ou provinciale;
  • elle est faite, à l'initiative de l'organisation, à un organisme d'enquête nommé dans la Loi sur les Règlements ou à une institution gouvernementale, si l'organisation a des motifs raisonnables de croire que le renseignement est afférent à la violation d'un accord ou à une contravention au droit fédéral, provincial étranger, ou soupçonne que le renseignement est afférent à la sécurité nationale, à la défense du Canada ou à la conduite des affaires internationales;
  • elle est faite à un organisme d'enquête et est relative à des fins liées à une enquête sur la violation d'un accord ou la contravention du droit fédéral ou provincial;
  • elle est faite en raison d'une situation d'urgence mettant en danger la vie, la santé ou la sécurité de toute personne (l'organisation informe l'intéressé de la communication);
  • elle est faite à des fins statistiques ou à des fins d'étude ou de recherche érudites (l'organisation doit informer la commissaire à la protection de la vie privée du Canada avant de communiquer les renseignements);
  • elle est faite à une institution qui s'occupe d'archivage;
  • elle est faite 20 ans ou plus après le décès de l'intéressé ou 100 ans ou plus après la création du document;
  • il s'agit de renseignements complémentaires auxquels lepublic a accès;
  • elle est exigée par la loi.

Exceptions au principe de l'accès défini à l'article 9 :

L'organisation doit refuser à un particulier l'accès à des renseignements personnels le concernant lorsque :

  • la communication révélerait des renseignements personnels se rapportant à un tiers *, à moins que le tiers en question n'y consente ou qu'il s'agisse d'une situation qui mette en danger la vie d'une personne;
  • l'organisation a communiqué des renseignements personnels à une institution gouvernementale pour des motifs liés à l'application de la loi ou à la sécurité nationale. Sur demande, l'institution gouvernementale peut enjoindre à l'organisation de refuser l'accès aux renseignements ou encore de ne pas révéler que les renseignements ont été communiqués. L'organisation peut refuser la demande et informer la commissaire à la protection de vie privée du Canada. L'organisation ne peut informer le particulier de la communication à l'institution gouvernementale, ni du fait que l'institution a été informée de la demande, ni du fait que la commissaire a été informée du refus.

L'organisation peut refuser l'accès à des renseignements personnels si ces derniers appartiennent à l'une ou l'autre des
catégories suivantes :

  • les renseignements sont protégés par le secret professionnel liant l'avocat à son client;
  • la communication révélerait des renseignements commerciaux confidentiels *;
  • elle risquerait de nuire à la vie ou à la sécurité d'un autre individu *;
  • les renseignements ont été recueillis à l'insu ou sans le consentement du particulier pour en assurer l'exactitude ou l'accès, et la collecte est nécessaire à des fins liées à une enquête sur la violation d'un accord ou la contravention du droit fédéral ou provincial (la commissaire doit être informée);
  • les renseignements ont été fournis uniquement à l'occasion d'un règlement officiel des différends.

* Notez : Si ces renseignements peuvent être supprimés, l'organisation est tenue de communiquer les renseignements restants.

Haut de la pageTable des matièresRôle du commissaire à la protection de la vie privée du Canada

La commissaire à la protection de la vie privée du Canada est chargée de la surveillance de la Loi sur la protection des renseignements personnels et de la Partie 1 de la LPRPDÉ. Ces lois protègent les renseignements personnels selon des principes et des pratiques de traitement équitable des renseignements reconnus sur le plan international.

La commissaire est un agent du Parlement, au même titre que la Vérificatrice générale du Canada ou le Directeur général des élections. À titre de haut fonctionnaire du Parlement, la commissaire relève directement de la Chambre des communes et du Sénat, et non du gouvernement en place. Grâce à cette indépendance, la commissaire peut faire preuve d'impartialité et d'ouverture dans l'exercice de ses fonctions d'ombudsman pour des questions liées à la protection de la vie privée. La commissaire n'émet pas d'ordonnance : elle formule des recommandations. En vertu d'une disposition de la Loi, il est cependant possible de confier à la Cour fédérale l'examen d'un cas.

En plus de la commissaire à la protection de la vie privée, le Commissariat compte sur un commissaire adjoint responsable de la Loi sur la protection des renseignements personnels et une commissaire adjointe responsable de la LPRPDÉ.

Un ombudsman pour des questions relatives à la protection de la vie privée

Plus de deux décennies d'expérience dans l'instruction des plaintes déposées en application de la Loi sur la protection des renseignements personnels ont contribué à définir le rôle d'ombudsman de la commissaire à la protection de la vie privée. Cette dernière mise sur la compétence, les connaissances et l'impartialité des membres de son personnel pour tenter de résoudre, autant qu'il est possible, les différends au moyen d'enquêtes, de persuasion, de médiation et de conciliation. Idéalement, une telle approche au règlement des différends se révèle moins intimidante pour le plaignant et moins coûteuse pour les entreprises que les recours devant les tribunaux. Bien qu'elle protège les droits des particuliers, la commissaire défend aussi les principes de l'équité dans le traitement des renseignements qui sont à la base du texte de loi. L'impartialité de la commissaire et les enquêtes poussées qu'elle mène protègent les droits des particuliers et mettent l'organisation à l'abri des accusations injustes.

Responsabilités précises aux termes de la Loi

La Loi confère à la commissaire la responsabilité de l'application de la Loi et de la promotion de ses objectifs.

Promotion des objectifs de la Loi

La commissaire fait la promotion des objectifs de la LPRPDÉ par l'éducation du public et des initiatives de sensibilisation, par la recherche et la reddition des comptes, par la consultation ainsi que la conclusion d'ententes.

Le mandat de la commissaire comprend notamment l'élaboration et l'exécution de programmes de sensibilisation et d'éducation du public visant à encourager et à promouvoir la compréhension des questions relatives à la protection des renseignements personnels.

La LPRPDÉ oblige la commissaire à entreprendre et à publier des recherches sur la protection des renseignements personnels de façon à accroître les connaissances et à favoriser le respect des principes d'équité dans le traitement des renseignements qui sont définis dans la LPRPDÉ. La commissaire peut réaliser des recherches indépendantes sur des questions relatives à la protection des renseignements personnels en collaboration avec des universitaires ou d'autres chercheurs. Elle peut également accorder des subventions et des contributions à des projets de recherche universitaires ou autres consacrés à de telles questions.

La commissaire peut rendre publique l'information sur les pratiques de gestion des renseignements personnels d'une organisation si elle estime qu'une telle mesure est dans l'intérêt du public. Chaque année, elle rend compte au Parlement des questions relatives à la protection des renseignements personnels, notamment en ce qui concerne les provinces qui ont adopté des dispositions législatives jugées essentiellement similaires.

La commissaire peut conclure des ententes avec des homologues provinciaux qui, aux termes de leurs lois respectives réputées être essentiellement similaires à la loi fédérale, ont des pouvoirs et des fonctions analogues. Ces consultations et ententes peuvent porter sur des mécanismes d'instruction des plaintes, des recherches et l'élaboration de contrats types aux fins de la protection des renseignements personnels ayant trait à des questions interprovinciales ou internationales. La commissaire encourage les organisations à élaborer des politiques et des pratiques détaillées grâce auxquelles elles se conforment à la Partie 1 de la Loi.

Haut de la pageTable des matièresPlaintes auprès du commissaire à la protection de la vie privée du Canada

Types de plaintes

Tout intéressé peut déposer, auprès de la commissaire, une plainte relativement aux questions mentionnées aux articles 5 à 10 de la Loi ainsi qu'aux recommandations ou obligations définies dans l'Annexe 1. Il peut notamment s'agir d'allégations selon lesquelles une organisation :

  • refuse à un particulier l'accès à des renseignements personnels le concernant;
  • recueille, utilise ou communique des renseignements personnels de façon inadéquate;
  • refuse de corriger les renseignements inexacts ou incomplets;
  • omet de donner accès à des renseignements personnels sur un support de substitution pour un particulier atteint d'une déficience sensorielle;
  • ne prend pas les mesures de sécurité qui s'imposent pour assurer la protection des renseignements personnels.

Si elle a des motifs raisonnables de croire qu'une enquête se justifie aux termes de la Partie 1 de la Loi, la commissaire peut elle-même prendre l'initiative d'une plainte.

Délais

Il est possible de déposer en tout temps la plupart des types de plaintes.

La seule exception concerne les plaintes déposées par des personnes à qui on a refusé l'accès aux renseignements personnels. Dans ce cas, la plainte doit être déposée dans les six mois suivant le refus de l'organisation de fournir les renseignements ou à l'expiration du délai prévu pour la réponse à une demande (pour plus de renseignements sur les délais qui s'appliquent à la réponse à une demande, voir la page 15 du présent guide). Cependant, la commissaire peut proroger le délai prévu pour une plainte relative au droit d'accès.

La commissaire dispose d'une année à compter de la date du dépôt de la plainte pour préparer un rapport.

Comment la commissaire à la protection de la vie privée du Canada traite-t-elle les plaintes ?

En sa qualité d'ombudsman, la commissaire adopte, le plus souvent possible dans ses enquêtes, une approche axée sur la collaboration et la conciliation. Elle encourage le règlement des plaintes au moyen de la négociation et de la persuasion. À tous les stades de l'enquête, elle peut faire appel à de nouvelles méthodes de règlement des différends, par exemple la médiation et la conciliation. Même si elle a le pouvoir de contraindre des témoins à comparaître devant elle, de faire prêter serment et d'exiger la production de preuves, la commissaire ne se prévaut de ces mesures que lorsqu'elle n'obtient pas une collaboration volontaire des parties.

Au début d'une enquête, la commissaire informe l'organisation par écrit du contenu de la plainte et désigne l'enquêteur chargé de l'affaire. En tout temps, l'organisation peut présenter des observations à la commissaire.

L'enquêteur chargé de l'affaire communiquera avec le membre du personnel désigné de l'organisation pour lui indiquer comment il entend procéder et, le cas échéant, pour lui préciser les documents dont il aura besoin de même que les membres du personnel qu'il devra interroger. L'enquêteur peut également mentionner si des visites sur place se révéleront nécessaires.

L'enquêteur peut obtenir de l'information directement auprès de personnes qui connaissent bien la question à l'étude. Ces entrevues s'effectuent en privé. L'enquêteur peut également exiger de consulter les documents originaux. Les documents remis à un enquêteur sont retournés dans les dix jours suivant une demande en ce sens, mais l'enquêteur pourra les demander de nouveau s'il en a besoin.

Avant la conclusion de l'enquête, les résultats sont communiqués aux parties en cause. Si elles le souhaitent, ces dernières peuvent faire de nouvelles observations. Elle disposent ainsi d'une nouvelle occasion de régler le différend avant que l'instruction de la plainte ne soit finalisée.

L'enquêteur présente les résultats de l'enquête à la commissaire en même temps que les observations des parties. La commissaire étudie la question et présente un rapport aux parties. La commissaire peut exiger qu'une organisation lui présente, dans un délai donné, les mesures qu'elle a prises ou qu'elle se propose de prendre pour donner suite aux recommandations du rapport ou encore pour expliquer pourquoi aucune mesure n'a été ou ne sera prise. Le rapport comprend également les résultats de l'enquête, le règlement auquel les parties en sont arrivées, les recommandations telles que des modifications proposées aux pratiques de gestion des renseignements, les mesures que l'organisation a prises ou prendra pour donner suite aux recommandations et, le cas échéant, un avis de recours devant la Cour fédérale.

Voir les fiches d'information sur cela et sur d'autres questions sur notre site Web.

L'étude d'une plainte débouche sur l'un ou l'autre de trois scénarios suivants :

1. La plainte n'est pas fondée

Rien ne permet à la commissaire de conclure que l'organisation a contrevenu à la Loi.

2. La plainte est fondée

L'enquête a montré que l'organisation a contrevenu à une disposition de la Loi et que la plainte n'a pas été résolue.

3. La plainte est résolue

L'enquête confirme que la plainte est fondée, mais l'organisation accepte de prendre des mesures correctives pour remédier à la situation. Par exemple, elle accepte de communiquer des renseignements personnels auxquels elle avait au préalable refusé l'accès.

On peut également considérer la plainte comme résolue si elle résulte d'un malentendu ou d'une mauvaise communication. Par exemple, il est possible qu'une organisation ait mal compris le sens de la demande et qu'elle accepte de communiquer les renseignements personnels demandés par le plaignant.

La plainte peut également être considérée comme résolue si le plaignant est satisfait des efforts de la commissaire et des résultats.

La commissaire n'est pas tenu de produire un rapport d'enquête si :

  • le plaignant n'a pas cherché à exercer d'autres recours qui s'offent à lui;
  • l'affaire pourrait être traitée de façon plus efficace au moyen d'un autre texte de loi;
  • trop de temps s'est écoulé depuis que le problème à l'origine de la plainte s'est produit, si bien que la préparation d'un rapport ne servirait à aucune fin utile;
  • la plainte est futile, vexatoire ou entachée de mauvaise foi.

Haut de la pageTable des matièresRecours devant la Cour fédérale

Tout plaignant peut demander à être entendu par la Cour fédérale. La commissaire à la protection de la vie privée du Canada peut elle-même demander une audience au nom d'un plaignant. Normalement, les demandes en ce sens doivent être présentées dans les 45 jours suivant le dépôt du rapport de la commissaire.

Les affaires qui peuvent être entendues

La Cour considérera les demandes de recours découlant de la plainte ou toute question mentionnée dans le rapport de la commissaire et portant sur l'un ou l'autre des points suivants :

Annexe 1

4.1.3 L'organisation s'est-elle acquittée, comme il se doit, de la responsabilité qui lui échoit à l'égard des renseignements personnels qu'elle a en sa possession, y compris les renseignements confiés à une tierce partie ?

4.2 L'organisation a-t-elle correctement défini et documenté les fins auxquelles les renseignements sont recueillis, utilisés ou communiqués avant ou pendant la collecte ?

4.3.3 L'organisation a-t-elle refusé d'accorder un service à un particulier parce que ce dernier n'a pas consenti à la collecte, à l'utilisation ou à la communication de renseignements autres que ceux qui sont nécessaires pour les fins précisées ?

4.4 L'organisation a-t-elle recueilli plus de renseignements que ce qui était requis ? Les renseignements en question ont-ils été recueillis de façon honnête et licite ?

4.6 Les renseignements personnels sont-ils aussi exacts, complets et à jour que l'exigent les fins auxquelles ils sont destinés ?

4.7 L'organisation a-t-elle pris les mesures nécessaires pour assurer la sécurité des renseignements ?

4.8 L'organisation a-t-elle fait en sorte que des renseignements précis sur ses politiques de gestion des renseignements personnels soient facilement accessibles à toute personne ?

Annexe 1 telle que modifiée par les articles 5 à 10 de la Loi

4.3 Les renseignements personnels ont-ils été recueillis, utilisés ou communiqués à l'insu de l'intéressé ou sans son consentement, sauf lorsque la Loi le permet ou l'exige ? (Voir à la page 17 du présent guide.)

4.5 L'organisation a-t-elle utilisé ou communiqué des renseignements personnels à des fins autres que celles auxquelles ils étaient destinés, sans le consentement de l'intéressé et sans que la loi ne le permette ? De même, l'organisation a-t-elle conservé les renseignements pendant le temps voulu pour que le plaignant se prévale des recours prévus par la Loi ?

4.9 A-t-on injustement refusé à un particulier l'accès à des renseignements le concernant, sauf lorsque la Loi le permet ou l'exige ? (Voir à la page 18 du présent guide.)

Dispositions de la Loi

5(3) Les renseignements ont-ils été recueillis, utilisés ou communiqués uniquement à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances ?

8(6) A-t-on imposé à un particulier des droits trop élevés pour l'accès aux renseignements ? A-t-il été informé du coût au préalable ?

8(7) L'organisation a-t-elle informé l'intéressé par écrit de son refus d'acquiescer à la demande ? A-t-elle présenté les motifs du refus et informé le demandeur des recours qui s'offrent à lui ?

10 L'organisation a-t-elle omis d'accorder l'accès sur un support de substitution à une personne atteinte d'une déficience sensorielle ?

Réparations offertes par la Cour fédérale

La Cour fédérale peut ordonner à une organisation de corriger des pratiques non conformes aux articles 5 à 10 de la Loi. Elle peut aussi ordonner à une organisation de publier un avis faisant état des mesures prises ou proposées pour corriger les pratiques concernées. Enfin, elle peut accorder au plaignant des dommages-intérêts, notamment en réparation de l'humiliation subie. Il n'y a aucune limite aux dommages pécuniaires que la Cour peut accorder.

Haut de la pageTable des matièresVérifications des pratiques de gestion des renseignements personnels

La Loi confère à la commissaire à la protection de la vie privée du Canada le pouvoir de vérifier les pratiques d'une organisation en matière de gestion des renseignements personnels lorsqu'elle a des motifs raisonnables de croire que cette dernière ne s'acquitte pas de ses obligations aux termes de la Partie 1 de la Loi ou qu'elle ne se conforme pas aux recommandations énoncées à l'Annexe 1.

Circonstances pouvant conduire à une vérification

On trouvera ci-après des exemples de circonstances pouvant amener la commissaire à vérifier les pratiques de gestion des renseignements personnels d'une organisation :

  • un groupe ou une série de plaintes à propos des pratiques d'une organisation donnée;
  • des renseignements fournis par un particulier aux termes de la disposition relative à la dénonciation;
  • toute question retenant l'attention des médias.

Que peut-on s'attendre d'une vérification effectuée par la commissaire ?

Conformément au rôle d'ombudsman de la commissaire, les vérifications au regard de la protection des renseignements personnels sont, dans la mesure du possible, non conflictuels. Ces vérifications peuvent se révéler utiles pour les organisations souhaitant améliorer leurs pratiques en matière de traitement des renseignements personnels.

La commissaire informe par écrit l'organisation de ce qu'une vérification sera menée. Dans la lettre, la commissaire précise la portée de la vérification, propose un calendrier raisonnable et nomme le délégué chargé de la vérification.

Même si elle a le pouvoir de contraindre des témoins à comparaître devant elle, de faire prêter serment et d'obliger des organisations à produire des preuves, la commissaire n'effectuera vraisemblablement pas les vérifications de façon aussi officielle, à moins qu'il n'y ait pas de collaboration volontaire des parties.

Le délégué rencontrera le représentant de l'organisation pour discuter de façon préliminaire de l'intention, de l'objet et de la portée de l'examen.

Lorsqu'il demande d'avoir accès à des locaux de l'organisation, le délégué inspectera les mesures de sécurité. Sur place, il peut interroger toute personne en privé, examiner les dossiers, obtenir des copies de tel dossier ou en prélever des extraits. Le délégué retournera les documents dans un délai de 10 jours suivant une demande en ce sens.

Il pourra les demander de nouveau s'il en a besoin.

Une fois la vérification terminée, le délégué informera le représentant de l'organisation de ses conclusions. Il fera état de ses résultats à la commissaire, qui formulera des recommandations. La commissaire fera parvenir le rapport à l'organisation et pourra demander à être tenu au courant des mesures prises par l'organisation pour corriger les problèmes.

La commissaire peut inclure le rapport de vérification dans son rapport annuel ou rendre publiques les pratiques de gestion des renseignements personnels d'une organisation si elle estime que la mesure est dans l'intérêt du public.

Haut de la pageTable des matièresQuestionnaire sur la protection des renseignements personnels

Vous trouverez ci-après quelques questions de bon sens que vous pouvez vous poser pour aider votre organisation à mettre en oeuvre la LPRPDÉ. Vous pouvez utiliser le questionnaire qui suit parallèlement à la description de la Loi que renferme le présent guide.

Si vous n'êtes pas certain que votre organisation est visée par la Loi, consultez la page 3 du guide.

Comme la Loi s'applique à des organisations de types et de tailles divers, les questions qui suivent ne s'appliqueront pas à toutes. Étudiez chacune des questions à la lumière des pratiques actuelles de votre organisation. Le fait de répondre « non » dénote qu'il s'agit d'un problème à régler ou d'un aspect à améliorer.

Banques de renseignements personnels

  • Savez-vous ce que sont des renseignements personnels ?
  • Recueillez-vous, utilisez-vous ou communiquez-vous des renseignements personnels dans vos activités commerciales ?
  • Avez-vous un répertoire des banques de renseignements personnels que vous avez en votre possession ?
  • Savez-vous où les renseignements personnels sont stockés (dossiers et lieux matériels) ?
  • Savez-vous sous quelle(s) forme(s) les renseignements personnels sont stockés (support électronique, support papier, etc.) ?
  • Savez-vous qui a accès aux renseignements personnels, à l'intérieur et à l'extérieur de votre organisation ?

Responsabilité de l'organisation et des employés

  • Avez-vous désigné un agent à la protection de la vie privée chargé du respect de la Loi par votre organisation ?
  • La responsabilité est-elle assumée par plus d'une personne ?
  • Si cette responsabilité est partagée, a-t-elle été clairement définie ?
  • Vos employés sont-ils en mesure de répondre à des questions de l'intérieur et de l'extérieur concernant la protection des renseignements personnels au nom de l'organisation ? Sinon, savent-ils qui devrait y répondre ?
  • Vos employés savent-ils qui reçoit :
    • les demandes de renseignements personnels ?
    • les demandes de correction ?
    • les plaintes des particuliers ?
  • Vos clients savent-ils avec qui communiquer pour :
    • présenter des demandes sur leurs renseignements personnels ?
    • demander accès à leurs renseignements personnels ?
    • demander des modifications à leurs renseignements personnels ?
    • porter plainte ?
  • L'agent à la protection de la vie privée est-il en mesure d'expliquer aux particuliers les étapes et les procédures à suivre pour demander accès à des renseignements personnels et pour porter plainte ?
  • Vos employés ont-ils été initiés à la Loi ?
  • Allez-vous assurer une formation continue ?
  • Vos employés sont-ils en mesure d'expliquer aux clients, de façon intelligible, les fins auxquelles la collecte, l'utilisation et la communication des renseignements personnels sont destinées ?
  • Vos employés sont-ils en mesure d'expliquer aux clients quand et comment ils pourront retirer leur consentement et quelles seront, le cas échéant, les conséquences d'un tel retrait ?
  • Informerez-vous vos employés des nouvelles questions relatives à la protection des renseignements personnels que soulèvent les changements technologiques, les examens internes, les plaintes des citoyens et les décisions des tribunaux ?

Information pour les clients et les employés

  • Avez-vous des documents qui expliquent à vos clients vos procédures et pratiques relatives aux renseignements personnels ?
  • Y trouve-t-on de l'information sur les moyens :
    • d'obtenir des renseignements personnels ?
    • de corriger des renseignements personnels ?
    • de présenter une demande de renseignements ou de déposer une plainte ?
  • Y décrit-on les renseignements personnels :
    • que possède l'organisation et l'utilisation qui en est faite ?
    • communiqués aux filiales et à d'autres parties ?
  • Avez-vous élaboré une politique en matière de protection des renseignements personnels pour votre site Web ?
  • Votre politique sur la protection des renseignements personnels est-elle visible et facile à trouver ? Est-elle facile à comprendre ?
  • Dans vos formulaires de demande, questionnaires, formulaires d'enquête, dépliants et brochures, expliquez-vous clairement les fins auxquelles la collecte, l'utilisation et la communication de renseignements personnels sont destinées ?
  • Avez-vous passé en revue tous vos documents d'information pour les citoyens afin de vous assurer que les sections portant sur les renseignements personnels sont claires et compréhensibles ?
  • Avez-vous pris des mesures pour que les citoyens puissent obtenir ces renseignements facilement et gratuitement ?
  • Examinez-vous périodiquement les renseignements pour vous assurer qu'ils sont exacts, complets et à jour ?
  • Les renseignements incluent-ils le nom ou le titre actuel de la personne responsable de la surveillance du respect de la Loi ?

Limitation de la collecte, de l'utilisation, de la communication et de la conservation aux fins mentionnées

  • Avez-vous défini les fins auxquelles la collecte de renseignements personnels est destinée ?
  • Les fins sont-elles définies au moment de la collecte de renseignements ou avant ?
  • Ne recueillez-vous des renseignements personnels qu'aux fins mentionnées ?
  • Documentez-vous les fins auxquelles des renseignements personnels sont recueillis ?
  • Si vous recueillez et combinez des renseignements personnels provenant de plus d'une source, vous assurez-vous que les fins initiales n'ont pas changé ?
  • Avez-vous élaboré un calendrier aux fins de la conservation et de l'élimination des renseignements personnels ?
  • Lorsque les renseignements personnels ne sont plus utiles aux fins mentionnées ou qu'ils ne sont plus prescrits par la loi, vous assurez-vous de les détruire, de les effacer ou de les dépersonnaliser ?

Consentement

  • Vos employés savent-ils qu'ils doivent obtenir le consentement de l'intéressé au moment de recueillir des renseignements personnels le concernant ou avant ?
  • Vos employés savent-ils qu'ils doivent obtenir le consentement de l'intéressé avant toute nouvelle utilisation ou communication des renseignements ?
  • Avez-vous recours au consentement explicite chaque fois qu'il est possible de le faire et en tout temps lorsque les renseignements sont délicats ou que l'intéressé est raisonnablement en droit de s'attendre à ce qu'il en soit ainsi ?
  • La formule de consentement que vous utilisez est-elle libellée de façon claire, de sorte que l'intéressé comprend la fin à laquelle la collecte, l'utilisation ou la communication est destinée ?
  • Précisez-vous clairement aux clients qu'ils ne sont pas tenus de fournir des renseignements personnels autres que ceux qui sont essentiels aux fins de la collecte, de l'utilisation ou de la communication ?

Tierces parties

  • Utilisez-vous des contrats pour assurer la protection des renseignements personnels confiés à une tierce partie aux fins de traitement ?
  • Le contrat limite-t-il l'utilisation que la tierce partie peut faire des renseignements aux fins nécessaires à l'exécution du contrat ?
  • Le contrat oblige-t-il la tierce partie à vous transmettre toute demande de consultation ou toute plainte concernant les renseignements qui vous ont été communiqués ?
  • Le contrat précise-t-il quand et comment une tierce partie doit supprimer ou retourner les documents personnels qu'elle reçoit ?

Exactitude

  • Les renseignements personnels sont-ils suffisamment exacts, complets et à jour pour réduire au minimum les risques d'utilisation inappropriée par votre organisation ?
  • Votre organisation documente-t-elle le moment où et la façon dont les renseignements personnels sont mis à jour afin d'en assurer l'exactitude ?
  • Veillez-vous à ce que les renseignements personnels reçus d'une tierce partie soient exacts et complets ?

Mesures de sécurité

  • Avez-vous examiné vos mesures de sécurité matérielle, technologique et administrative ?
  • Ces mesures préviennent-elles la modification, la collecte, l'utilisation, la communication ou la suppression inadéquate des renseignements personnels ou les accès impropres à ces derniers ?
  • Les renseignements personnels sont-ils protégés par des mesures de sécurité proportionnelles :
    • au caractère délicat des renseignements ?
    • à l'importance de leur distribution ?
    • au support sur lesquels ils sont présentés ?
    • à la méthode de stockage ?
  • Avez-vous mis au point un critère sélectif pour limiter l'accès aux renseignements personnels au droit de savoir ?
  • Avez-vous initié les membres de votre personnel aux pratiques de sécurité visant à assurer la protection des renseignements personnels ? Par exemple, vos employés savent-ils qu'aucun renseignement personnel ne devrait rester affiché sur leur écran d'ordinateur ou leur bureau en leur absence ?
  • Vos employés savent-ils qu'ils doivent s'assurer de l'identité des intéressés et établir leur droit d'accès aux renseignements personnels avant de communiquer ces derniers ?
  • Avez-vous établi des règles concernant les personnes autorisées à ajouter, à modifier ou à effacer des renseignements personnels ?
  • Disposez-vous d'un système de gestion
    des dossiers qui assigne des comptes d'utilisateur, des droits d'accès et des autorisations de sécurité ?
  • Veillez-vous à ce qu'aucune partie non autorisée ne puisse supprimer des renseignements personnels, y avoir accès, les modifier ou les détruire ?

Demandes d'accès aux renseignements personnels

  • Vos employés sont-ils renseignés sur les délais autorisés par la loi pour les réponses aux demandes de communication ?
  • Pouvez-vous extraire des renseignements personnels pour répondre à des demandes de communication tout en réduisant au minimum les interruptions de vos activités ?
  • Vos systèmes d'information facilitent-ils l'extraction et la description exactes des renseignements personnels concernant un intéressé, y compris les communications à des tierces parties ?
  • Fournissez-vous les renseignements personnels à l'intéressé gratuitement ou à un coût minimal ?
  • Le cas échéant, informez-vous l'auteur de la demande des coûts avant l'extraction des renseignements personnels ?
  • Consignez-vous par écrit la réponse de l'intéressé après que ce dernier a été informé du coût de l'extraction des renseignements personnels ?
  • Présentez-vous les renseignements personnels dans une forme généralement compréhensible ? (Par exemple, expliquez-vous les abréviations ?)
  • Votre organisation dispose-t-elle de procédures pour répondre aux demandes de renseignements personnels sur support de substitution (par exemple le braille ou les bandes audio) ?

Instruction des plaintes

  • Un particulier peut-il facilement déterminer la marche à suivre pour déposer une plainte auprès de vous ?
  • Traitez-vous les plaintes dans les délais requis ?
  • Instruisez-vous toutes les plaintes reçues ?
  • Vos préposés au service à la clientèle et autres employés de première ligne sont-ils en mesure de faire la distinction entre une plainte déposée aux termes de la loi et une demande de renseignements généraux ? Dans le doute, en discutent-ils avec l'intéressé ?
  • Informez-vous les intéressés des recours qui s'offrent à eux, notamment auprès de la commissaire à la protection de la vie privée du Canada ?
  • Examinez-vous les suites données par vos employés aux demandes de renseignements du public, aux demandes de communication et aux plaintes pour vous assurer que celles-ci sont équitables, exactes et rapides ?
  • Lorsqu'une plainte est fondée, prenez-vous les mesures correctives qui s'imposent, par exemple la modification des politiques et la communication des résultats aux employés ?
 

Date de diffusion : 2003-11-20
Date de modification : 2004-04-26

 Top of Page Avis importants