Se conformer à la Loi sur la protection des renseignements personnels et les documents électroniques

Au Canada, deux lois fédérales relatives au respect des renseignements personnels nous protègent. La Loi sur la protection des renseignements personnels vise les pratiques de traitement des renseignements personnels du gouvernement fédéral en matière de traitement des renseignements personnels. La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ), nouvelle loi canadienne sur la protection des renseignements personnels s'appliquant au secteur privé, est entrée en vigueur le 1^er janvier 2004. Le Commissariat à la protection de la vie privée du Canada offre aux entreprises canadiennes de l'information et des conseils pour les aider à se préparer en vue de la mise en oeuvre de la LPRPDÉ.

Une bonne protection des renseignements personnels est une saine gestion des affaires

Dans un marché de plus en plus concurrentiel, les entreprises utilisent les renseignements personnels pour identifier leurs clients et rester en contact avec eux. Ils s'en servent pour trouver de nouveaux clients susceptibles de s'intéresser à leurs produits. Ils cherchent à déterminer ce que veut le marché et ce qu'il peut supporter. En outre, ils veulent de l'information sur leurs employés pour être en mesure de gérer les avantages sociaux ainsi que d'assurer la sûreté et la productivité en milieu de travail.

Le fait d'obtenir et d'utiliser des renseignements personnels d'une manière qui ne viole pas le droit humain fondamental à la vie privée est un défi de taille pour les entreprises d'aujourd'hui.

Le respect et la protection des renseignements personnels constituent l'un des éléments essentiels d'une bonne relation avec la clientèle — ce qui en fait l'un des principaux éléments de l'avantage concurrentiel. Vos clients veulent le respect de leur vie privée, vos employé(e)s ont besoin de ce respect et vos concurrents vont le leur offrir.

Il ne s'agit pas d'un concept juridique abstrait, mais d'une question de respect et de courtoisie — l'essence d'une bonne relation avec vos client(e)s et vos employé(e)s. En respectant la confidentialité, vous faites preuve de respect à l'égard de votre clientèle, ce qui constitue le fondement d'une relation d'affaires sans failles.

La LPRPDÉ

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ) expose les règles fondamentales de la collecte, de l'utilisation ou de la communication de renseignements personnels auxquelles les organisations du secteur privé doivent se soumettre dans le cadre de leurs activités commerciales. Elle crée un équilibre entre le droit d'une personne à la vie privée et le besoin des entreprises de recueillir, d'utiliser ou de communiquer des renseignements personnels à des fins lucratives légitimes.

L'entrée en vigueur de la LPRPDÉ s'est faite par étape. D'abord, à compter de janvier 2001, la Loi s'est appliquée à la collecte, à l'utilisation et à la communication de renseignements personnels concernant des clients et des employé(e)s par des organisations de compétence fédérale dans le cadre de leurs activités commerciales. Elle visait également les renseignements vendus au-delà des frontières provinciales et territoriales. Ensuite, en janvier 2002, le champ d'application de la Loi s'est étendu aux renseignements médicaux personnels recueillis, utilisés ou communiqués par ces organisations.

À compter du 1^er janvier 2004, l'application de la LPRPDÉ est de portée générale — c'est-à-dire que la Loi vise tous les renseignements recueillis, utilisés ou communiqués par toutes les organisations du secteur privé dans le cadre de leurs activités commerciales, sauf dans les provinces qui auront, d'ici là, adopté des lois réputées être similaires à la loi fédérale. À ce jour, seul le Québec dispose d'une telle loi.

En 2004, le champ d'application de la Loi s'étend aux activités de nature commerciale qui habituellement sont de compétence provinciale, mais il ne s'étend pas à l'emploi lié à ces activités. La LPRPDÉ s'applique à l'emploi uniquement dans le cas des installations, des ouvrages, des entreprises et des secteurs d'activité fédéraux. Ainsi, si vous exploitez une installation, un ouvrage, une entreprise ou un secteur d'activité fédéral, vos pratiques en matière d'emploi sont assujetties à la LPRPDÉ. Pour ce qui est des autres entreprises, ce ne sera pas le cas. Mais quoi qu'il en soit, les entreprises et les organismes devraient revoir leurs pratiques en matière de protection des renseignements personnels relativement à l'emploi, puisqu'il est fort probable qu'elles soient visées par des lois provinciales liées à la protection des renseignements personnels.

Voici les grandes lignes de la LPRPDÉ :

• Si votre entreprise veut recueillir, utiliser ou communiquer des renseignements personnels, vous devez obtenir le consentement de la personne concernée, sauf dans quelques circonstances précises et limitées.
• Vous ne pouvez utiliser ou communiquer des renseignements personnels qu'aux fins pour lesquelles la personne concernée a donné son consentement.
• Même en obtenant le consentement de la personne concernée, vous devez restreindre la collecte, l'utilisation et la communication de renseignements personnels à des fins qu'une personne raisonnable estimerait acceptable dans les circonstances.
• Chaque personne a droit de voir les renseignements personnels que votre entreprise possède à son sujet et de corriger toute donnée inexacte.
• Une surveillance est assurée par la commissaire à la protection de la vie privée du Canada, qui veille à ce que la loi soit respectée, et à ce que les personnes lésées dans leurs droits aient des recours par l'entremise de la Cour fédérale.

Vos responsabilités découlant de la LPRPDÉ

La LPRPDÉ témoigne des réalités du monde des affaires. Elle s'inspire du Code type sur la protection des renseignements personnels de l'Association canadienne de normalisation, qui est incorporé à la législation. Ce code est le fruit d'un travail de collaboration entre des représentants du gouvernement, des consommateurs et des groupes d'entreprises, et il dresse une liste de dix principes, dont voici un résumé :

1. Responsabilité : Vous devez charger une personne (ou plusieurs personnes) de s'assurer que votre entreprise respecte les principes; protégez tous les renseignements personnels que votre entreprise a en sa possession, y compris les renseignements confiés à une tierce partie à des fins de traitement; vous devez élaborer et mettre en oeuvre des politiques et des pratiques en matière de renseignements personnels.
2. Détermination des fins de la collecte de renseignements : Votre entreprise doit préciser les fins de la collecte de renseignements personnels avant celle-ci ou au moment où elle a lieu. Avant ou au moment de procéder à la collecte, vous êtes tenu d'expliquer pourquoi les renseignements personnels sont nécessaires et comment ils seront utilisés; vous devez documenter les fins pour lesquelles les renseignements personnels sont recueillis; il faut préciser à la personne auprès de laquelle on recueille des renseignements les fins auxquelles ils sont destinés; avant de se servir de renseignements personnels à des fins non précisées antérieurement, il faut informer la personne concernée des nouvelles fins et obtenir son consentement.
3. Consentement : Votre entreprise doit faire un effort raisonnable pour s'assurer que la personne est informée des fins auxquelles les renseignements personnels la concernant seront recueillis, utilisés ou communiqués; vous devez obtenir son consentement avant ou au moment de procéder à la collecte, ainsi qu'au moment d'utiliser les renseignements à des fins non précisées antérieurement.
4. Limitation des collectes : Vous ne devez pas recueillir des renseignements personnels de façon arbitraire; vous ne devez pas tromper les gens ni les induire en erreur quant aux fins auxquelles les renseignements sont recueillis.
5. Limitation de l'utilisation, de la communication et de la conservation : Les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée n'y consente ou que la loi ne l'autorise; vous ne devez conserver les renseignements personnels qu'aussi longtemps que nécessaire pour la réalisation des finalités déterminées; élaborez des lignes directrices et appliquez des procédures pour la conservation des renseignements personnels; conservez les renseignements personnels servant à prendre une décision au sujet d'une personne suffisamment longtemps pour permettre à cette personne d'exercer son droit d'accès à l'information ou de recourir aux mécanismes de réparation après que la décision a été prise; vous devez détruire, effacer ou dépersonnaliser les renseignements personnels dont vous n'avez plus besoin aux fins précisées ou compte tenu d'une prescription juridique.
6. Exactitude : Réduisez au minimum la possibilité que des renseignements erronés soient utilisés pour prendre une décision au sujet d'une personne, y compris les renseignements qui sont communiqués à un tiers.
7. Mesures de sécurité : Vous êtes tenu de protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l'utilisation ou la modification non autorisées; il faut protéger les renseignements personnels quelle que soit la forme sous laquelle ils sont conservés.
8. Transparence : Vous devez fournir à vos clients et à vos employés de l'information sur vos politiques et pratiques en matière de gestion des renseignements personnels; faites en sorte que ces politiques et pratiques soient compréhensibles et facilement accessibles.
9. Accès aux renseignements personnels : Vous devez informer la personne qui en fait la demande du fait que vous possédez des renseignements personnels à son sujet, le cas échéant; informez la personne concernée de l'usage que vous avez fait ou entendez faire des renseignements ainsi que des tiers à qui ils ont été communiqués; lorsqu'une personne démontre que des renseignements personnels sont inexacts et incomplets, vous devez apporter les corrections ou les modifications nécessaires; vous êtes tenu de fournir une copie de l'information demandée, ou les raisons pour lesquelles l'accès aux renseignements est refusé, compte tenu des exceptions énoncées à l'article 9 de la Loi; votre entreprise devrait consigner tout différend au dossier et en informer les tierces parties, au besoin.
10. Possibilité de porter plainte contre le non-respect des principes : Vous devez établir des mécanismes de traitement des plaintes qui sont facilement accessibles et simples à utiliser et informer les plaignants des mécanismes à leur disposition (ceux de votre propre entreprise de même que ceux des associations de l'industrie, des organismes de réglementation et de la commissaire à la protection de la vie privée du Canada). Enquêtez sur toutes les plaintes reçues; prenez des mesures pertinentes pour remédier aux pratiques et politiques inadéquates en matière de traitement des renseignements personnels.

Les personnes qui croient que leurs droits à la protection des renseignements personnels ont été brimés peuvent déposer une plainte auprès de la commissaire à la protection de la vie privée du Canada. Le rôle de la commissaire consiste à protéger les citoyens. Il s'emploie à chercher des solutions aux problèmes liés à la confidentialité ainsi qu'à résoudre des plaintes par le biais de la négociation et de la persuasion, et parfois même en recourant à la médiation et à la conciliation, au besoin.

Qu'entend-on par « renseignements personnels »?

On entend par « renseignements personnels » tout renseignement factuel ou subjectif, consigné ou non, au sujet d'une personne identifiable, quelle que soit la forme sous laquelle il est présenté, c'est-à-dire :

• son âge, son nom, son numéro d'identification, son revenu, son origine ethnique ou son groupe sanguin;
• ses opinions, les évaluations à son sujet, les commentaires à son propos, les mesures disciplinaires prises à son égard et son état civil;
• ses dossiers d'employé, son dossier de crédit, son dossier de prêts, son dossier médical, l'existence d'un conflit entre cette personne et un commerçant, ses intentions (par exemple, faire l'acquisition de biens ou de services, ou changer d'emploi).

Toutefois, les renseignements personnels ne comprennent pas le nom d'un(e) employé(e) d'une organisation, son titre ni son adresse ou son numéro de téléphone au travail.

Éléments non visés par la Loi

• La collecte, l'utilisation ou la communication de renseignements personnels par les organisations de compétence fédérale énumérées dans la Loi sur la protection des renseignements personnels.
• Les gouvernements provinciaux ou territoriaux et les mandataires de la Couronne du chef d'une province.
• Le nom d'un employé(e), le titre du poste qu'il occupe de même que son adresse et son numéro de téléphone au travail.
• La collecte, l'utilisation ou la communication de renseignements personnels par une personne, strictement à des fins personnelles (p. ex., liste personnelle de cartes de voeux).
• La collecte, l'utilisation ou la communication de renseignements personnels par une organisation, strictement à des fins journalistiques, artistiques ou littéraires.

Pour en savoir davantage

Nous en convenons que la préparation en vue d'assurer la protection des renseignements personnels des gens n'est pas chose facile. Il faut y consacrer du temps, de l'attention et des ressources. Mais notre travail consiste en partie à vous aider dans cette démarche.

Pour obtenir de l'information qui vous aidera à préparer votre entreprise en vue de la mise en oeuvre de la LPRPDÉ, communiquez avec le Commissariat à la protection de la vie privée du Canada, au 1-800-282-1376, et demandez un exemplaire de Protection des renseignements personnels : vos responsabilités, notre guide offert gratuitement aux entreprises et aux organismes. Ce document contient un questionnaire sur la protection des renseignements personnels dont certaines questions élémentaires vous aideront à partir du bon pied.

Ce guide et d'autres renseignements utiles, tels que les conclusions de la commissaire aux termes de la LPRPDÉ, se trouvent sur notre site Web, à l'adresse www.privcom.gc.ca.

Vous pouvez également nous écrire à l'adresse suivante :