Jump to Left NavigationJump to Content Commissariat à la protection de la vie privée du Canada / Office of the Privacy Commissioner of Canada Gouvernement du Canada
EnglishContactez-nousAideRechercheSite du Canada
AccueilQuoi de neufÀ propos de nousFAQsCarte du site
Mandat et mission
Législation
Trousse pour le grand public
Trousse pour les entreprises
Activité parlementaire
Centre des médias
Blogue
Conclusions de la commissaire
Évaluation des facteurs relatifs à la vie privée
Rapports et Publications
Centre des ressources
Lignes directrices et pratiques exemplaires
Recherche financée par le Commissariat à la protection de la vie privée du Canada
Informations sur le domaine de la vie privée
Aperçu des lois provinciales/
territoriales
Commissaires internationaux à la protection de la vie privée et aux données personnelles
Questions-clés
Fiches d'information
Jeu-questionnaire sur la protection de la vie privée
Divulgation proactive
Centre des ressources

Guide à l'intention des entreprises et des organisations

Protection des renseignements personnels : vos responsabilités

La Loi sur la protection des renseignements personnels et les documents électroniques du Canada

À propos du présent guide

Ce guide a pour but d'aider les entreprises à comprendre et à se conformer à leurs nouvelles obligations en vertu de la Partie 1 de la Loi sur la protection des renseignements personnels et les documents électroniques*.

La Loi établit des règles de base au sujet de la gestion des renseignements personnels dans le secteur privé.

Elle vise l'atteinte d'un équilibre entre le droit d'une personne à la protection de ses renseignements personnels le concernant et le besoin des organisations de recueillir, d'utiliser ou de communiquer des renseignements personnels à des fins commerciales légitimes.

La Loi confère à la commissaire à la protection de la vie privée du Canada le rôle d'ombudsman responsable des plaintes déposées aux termes des nouvelles dispositions législatives. Dans la mesure du possible, la commissaire s'efforce de régler les problèmes en amenant les parties à respecter volontairement la Loi plutôt qu’en employant des mesures musclées pour arriver à cette fin. Elle instruit les plaintes, effectue des vérifications, sensibilise les intéressés aux questions relatives à la protection des renseignements personnels et mène des recherches à ce sujet. Elle fait également office d'ombudsman lorsque des plaintes sont déposées aux termes de la Loi sur la protection des renseignements personnels, qui vise le secteur public fédéral.

La Partie 1 de la Loi est entrée en vigueur en trois étapes, à compter du 1er janvier 2001.

Pour plus de renseignements, communiquez avec :

Le Commissariat à la protection de la vie privée du Canada
112, rue Kent
Ottawa (Ontario) K1A 1H3
Téléphone : 1 (613) 995-8210
Sans frais : 1 800 282-1376
Télécopieur : 1 (613) 947-6850
Site Web : www.privcom.gc.ca

Bien que le guide ait été élaboré avec soin pour que son contenu soit complet et exact, il n’a aucune valeur juridique. Pour obtenir le texte officiel de la nouvelle Loi, consultez notre site Web à www.privcom.gc.ca ou téléphonez au Commissariat à la protection de la vie privée du Canada.

IP54-2/2004
ISBN: 0-662-68004-9

Mise à jour mars 2004

* Le présent guide ne porte que sur la Partie 1 de la Loi. Les renvois à la Loi dans le présent document ne concernent que la Partie 1. Les parties 2 à 5 de la Loi ont trait à l'utilisation des signatures et des documents électroniques comme solutions de rechange licites aux signatures et aux documents originaux. Pour obtenir plus de renseignements à ce sujet, communiquez avec le ministère de la Justice.

Haut de la page Table des matières

Haut de la pageIntroduction

Ce guide a été conçu par le Commissariat à la protection de la vie privée du Canada afin d'aider les organisations à se conformer à leurs obligations en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ). La Loi est avantageuse autant pour les personnes, qui se réjouiront de faire affaire avec des organisations qui ont à coeur le
respect de leurs renseignements personnels, que pour les organisations,qui jouiront d’un nouvel atout concurrentiel.Ces dernières peuvent donc voir dans la Loi une occasion d’examiner et d’améliorer leurs pratiques en matière de gestion des renseignements personnels.

La Loi en bref

Les organisations visées par la Loi doivent obtenir le consentement de la personne concernée avant de recueillir,d’utiliser ou de communiquer des renseignements personnels de celle-ci. Toute personne a le droit de consulter les renseignements personnels que détient une organisation à son sujet et, au besoin, d'en contester l'exactitude. Les renseignements personnels ne peuvent être utilisés qu'aux fins auxquelles ils ont été recueillis. L'organisation qui entend les utiliser à une autre fin doit obtenir un nouveau consentement. Les personnes devraient également avoir l'assurance que les renseignements qui les concernent seront protégés au moyen de mesures de sécurité précises, c’est-à-dire que leurs renseignements sont, par exemple, conservés sous clé ou protégés au moyen de mots de passe ou du chiffrement des données.

Plaintes

En cas d'infraction alléguée à la Loi, on peut déposer une plainte auprès de l'organisation en question ou du Commissariat à la protection de la vie privée du Canada. La commissaire peut elle-même déposer une plainte, s'il y a des motifs valables.

Requête devant la Cour fédérale

Après avoir reçu le rapport d'enquête du Commissariat, le plaignant peut demander à la Cour fédérale de l'entendre, à certaines conditions énoncées dans l'article 14 de la Loi. La commissaire peut également, au nom du plaignant ou en son nom propre, demander à être entendue par la Cour. Cette dernière peut ordonner à une organisation de modifier ses pratiques ou d'accorder au plaignant des dommages-intérêts, notamment en réparation de l'humiliation subie.

Vérifications

La commissaire peut, avec un préavis suffisant, procéder à la vérification des pratiques de l'organisation en matière de gestion des renseignements personnels.

Infractions

Commet une infraction quiconque :

  • détruit des renseignements personnels demandés par une personne;
  • prend des mesures de représailles contre un employé qui a déposé une plainte auprès de la commissaire ou qui refuse de contrevenir aux articles 5 à 10 de la Loi;
  • nuit à une enquête effectuée à la suite d’une plainte ou à la conduite d'une vérification menée par la commissaire ou son délégué.

DÉFINITIONS

Renseignements personnels

Par « renseignements personnels », on entend tout renseignement factuel ou subjectif, consigné ou non, concernant une personne identifiable. Il peut s'agir de tout type de renseignements, notamment :

  • l'âge, le nom, les numéros d'identification, le revenu, l'origine ethnique ou le groupe sanguin;
  • des opinions, des évaluations, des commentaires, le statut social ou les mesures disciplinaires;
  • les dossiers d'un employé, les dossiers de crédit ou de prêt, les dossiers médicaux, l'existence d'un différend entre un consommateur et un marchand, l’information sur les intentions d’une personne (p. ex., l'intention d'acquérir des biens ou des services ou de changer d'emploi).

Les renseignements personnels ne comprennent pas le nom, le titre ni l'adresse ou le numéro de téléphone au travail d'un employé d'une organisation.

Activité commerciale

Toute transaction ou activité régulière ainsi que tout acte isolé revêtant un caractère commercial de par sa nature, y compris la vente, le troc ou la location de listes de donneurs, d'adhésion ou de collecte de fonds.

Organisation

S'entend notamment des associations, sociétés de personnes, personnes et organisations syndicales.

Consentement

Acceptation volontaire de ce qui est fait ou proposé. Le consentement peut être explicite ou implicite. Le consentement explicite est expressément donné, verbalement ou par écrit. Il s’agit d’un consentement sans équivoque, que l’organisation n’a pas besoin de vérifier. Il y a consentement implicite lorsque le comportement ou l'inaction de l'intéressé permet raisonnablement de conclure au consentement.

Communication

Transmettre des renseignements personnels à l'extérieur de l'organisation.

Utilisation

Désigne le traitement et la gestion des renseignements personnels au sein d'une organisation.

Entreprises fédérales

Sont comprises les « installations, ouvrages, entreprises ou secteurs d'activités qui relèvent de la compétence législative du Parlement ». Même si la plupart des organisations réglementées par le gouvernement fédéral sont visées par la définition, tous les types d'organisations ne sont pas des entreprises fédérales. Par exemple, les compagnies d'assurances et les coopératives de crédit peuvent être assujetties à certains règlements fédéraux, elles n'en relèvent pas moins de la compétence des provinces aux termes de la Constitution. À ce titre, elles ne sont pas considérées comme des entreprises fédérales aux fins de la Loi. Dans cette dernière, on définit certaines des activités et des entreprises fédérales visées par la Partie 1 :

  • le transport inter-provincial ou international par voie terrestre ou par eau;
  • les aéroports, les aéronefs ou les lignes de transport aérien;
  • les télécommunications;
  • les stations de radiodiffusion et de télédiffusion;
  • les banques;
  • les élévateurs à grain;
  • les centrales nucléaires;
  • les entreprises de forage en mer.

Il convient de noter qu'il ne s'agit pas ici d'une liste exhaustive des « entreprises fédérales ». Votre entreprise ne constitue pas une « entreprise fédérale » du seul fait qu'elle est constituée sous le régime de la loi fédérale. Si elle est visée par l'une ou l'autre des parties du Code canadien du travail, votre société est probablement une « entreprise fédérale ».

Haut de la pageTable des matièresVotre organisation est-elle visée par la Loi ?

La LPRPDÉ est entrée en vigueur en trois étapes :

Le 1er janvier 2001

Dans un premier temps, la Loi s'est d'abord appliquée aux renseignements personnels (à l'exception des renseignements personnels sur la santé) recueillis, utilisés ou communiqués dans le cadre des activités commerciales des installations, des ouvrages, des entreprises ou des secteurs d'activité fédéraux. La liste comprend notamment les organisations réglementées par le gouvernement fédéral comme les banques, les sociétés de télécommunications et les entreprises de transport. À ce stade, la Loi s'est d'abord appliquée aux renseignements personnels recueillis, utilisés ou communiqués par les mêmes organisations au sujet de leurs employés. De plus, la Loi s'est d'abord appliquée à la communication de renseignements personnels au-delà des frontières provinciales ou nationales par des organisations comme les agences d'évaluation du crédit ou des organisations qui louent, vendent ou échangent des listes d'abonnés ou d'autres renseignements personnels. Les renseignements en soi doivent faire l'objet de la transaction, et une rétribution est accordée pour les renseignements.

Le 1er janvier 2002

Pour les organisations et les activités visées à la première étape, la portée de la Loi s'est appliquée aux renseignements personnels sur la santé. « Renseignement personnel sur la santé » s'entend de tout renseignement sur la santé mentale ou physique, y compris les services de santé fournis de même que les résultats de tests et d'examens.

Le 1er janvier 2004

La Loi s'est ensuite appliquée à la collecte, à l'utilisation ou à la communication de renseignements personnels dans le cadre de toute activité commerciale au sein d'une province. Cependant, le gouvernement fédéral peut exclure des organisations ou des activités dans les provinces qui ont, dans le domaine de la protection des renseignements personnels, adopté une loi réputée être essentiellement similaire à la loi fédérale. La Loi s'applique également à tout renseignement personnel faisant l’objet d’une transaction interprovinciale ou internationale par toute organisation dont les activités commerciales sont visées par la Loi.

À ce jour,le Québec, la Colombie-Britannique et l’Alberta ont adopté des lois réputées comme essentiellement similaires à la loi fédérale. Le gouvernement fédéral a affirmé que les organisations et les activités qui sont assujetties aux lois jugées essentiellement similaires à la loi fédérale dans ces trois
provinces, seront exemptées de la loi fédérale en ce qui a trait aux activités intraprovinciales.

En novembre 2003, le gouverneur en conseil a pris un décret reconnaissant que la Loi sur la protection des renseignements personnels dans le secteur privé du Québec est essentiellement similaire à la loi fédérale.Cette loi, antérieure à la LPRPDÉ, est entrée en
vigueur le 1er janvier 1994.

La Colombie-Britannique et l’Alberta ont adopté en 2003 des lois applicables à toutes les organisations de ces deux provinces, à l’exception des organisations assujetties à d’autres lois provinciales et à l’exception des installations, des ouvrages, des entreprises ou des secteurs d’activité fédérale toujours visés par la LPRPDÉ. Les deux lois,qui portent le même titre, soit Personal Information Protection Act, sont entrées en vigueur le 1er janvier 2004. Le gouverneur en conseil a pris deux décrets afin que toutes les organisations autres que les installations, ouvrages, entreprises ou secteurs d’activité fédérale ne soient pas visées par la LPRPDÉ en Alberta et en Colombie-Britannique.

En Ontario, la Loi sur la protection des renseignements sur la santé est entrée en vigueur le 1er novembre 2004.Cette loi régit la collecte, l’utilisation et la communication des renseignements personnels sur la santé détenus par les dépositaires en Ontario. Les dépositaires sont les personnes et les organismes nommés dans la Loi sur la protection des renseignements sur la santé qui, conformément à leurs pouvoirs ou à leurs fonctions, ont la garde de renseignements personnels sur la santé ou exercent un contrôle sur ces renseignements.

En novembre 2005, le gouverneur en conseil a pris un décret afin d’exclure les dépositaires de renseignements personnels sur la santé de l’Ontario de l’application de la LPRPDÉ. Par conséquent, les dépositaires ne sont pas visés par la LPRPDÉ lorsqu’ils recueillent,utilisent et communiquent des renseignements personnels sur la santé. Le commissaire à l’information et à la protection
de la vie privée de l’Ontario est par conséquent responsable de veiller à l’application de la Loi sur la protection des renseignements sur la santé, ce qui comprend la tenue d’enquêtes sur les pratiques de gestion de l’information des dépositaires des renseignements personnels sur la santé de la province.

La commissaire à la protection de la vie privée continuera d’assurer la surveillance de la collecte, de l’utilisation et de la communication des renseignements
personnels sur la santé qui circulent au-delà des frontières provinciales dans le cadre d’activités commerciales. Le Commissariat surveillera également les mêmes activités effectuées par des organisations autres que les dépositaires.

Haut de la pageTable des matièresCe que la Loi ne régit pas?

  • La collecte, l'utilisation ou la communication de renseignements personnels par des institutions fédérales auxquelles s'applique la Loi sur la protection des renseignements personnels.
  • Les gouvernements provinciaux et territoriaux et leurs mandataires.
  • Le nom, le titre, l'adresse ou le numéro de téléphone au travail d'un employé.
  • La collecte, l'utilisation ou la communication de renseignements personnels par une personne à des fins strictement personnelles (p. ex., la constitution d'une liste de personnes à qui adresser des cartes de voeux).
  • La collecte, l'utilisation et la communication de renseignements personnels par une organisation à des fins strictement journalistiques, artistiques ou littéraires.
  • Les renseignements d'employé(e)s — à l'exception du secteur assujetti à la réglementation fédérale.

Voir les fiches d'information sur le sujet et sur d'autres questions dans notre site Web.

Haut de la pageTable des matièresVos responsabilités en vertu de la Loi

Les organisations doivent respecter un code sur la protection des renseignements personnels, lequel constitue l'Annexe 1 de la Loi.

Le code a été élaboré par des entreprises, des consommateurs, des chercheurs et le gouvernement sous l'égide de l'Association canadienne de normalisation.

On y énonce dix principes concernant les pratiques équitables de traitement des renseignements, qui servent de règles de base à la collecte, à l'utilisation et à la communication de renseignements personnels. Ces principes permettent aux intéressés de maîtriser la façon dont le secteur privé traite les renseignements personnels les concernant.

Une organisation est responsable des renseignements personnels dont elle a la gestion et doit traiter ceux-ci de façon équitable en tout temps, au sein même de l’organisation et dans le cadre de toute transaction avec une tierce partie. La diligence dans la collecte, l'utilisation et la communication des renseignements personnels représente un élément essentiel pour assurer la confiance et la loyauté des consommateurs.

Voici la liste des dix principes que les entreprises doivent respecter :

  1. la responsabilité
  2. la détermination des fins de la collecte des renseignements
  3. le consentement
  4. la limitation de la collecte
  5. la limitation de l'utilisation, de la communication et de la conservation
  6. l'exactitude
  7. les mesures de sécurité
  8. la transparence
  9. l'accès aux renseignements personnels
  10. la possibilité de porter plainte

Ces principes doivent être interprétés conjointement avec les principales sections de la Loi, en particulier :

Les articles 2 à 10 de la Loi

On doit interpréter l'Annexe 1 conjointement avec les articles 2 à 10 de la Loi. Il est essentiel d'étudier avec soin les obligations définies dans ces sections, parallèlement aux dix principes.

L'article 2 :

  • présente des définitions, notamment des termes « activité commerciale », « entreprises fédérales », « renseignements personnels », « renseignements personnels sur la santé » et « organisations »;
  • précise que les notes afférentes des articles 4.3 et 4.9 de l'Annexe 1 ne font pas partie de la Loi.

L'article 3 :

Définit l'objet de la Loi, soit :

  • de reconnaître le droit des personnes à la protection des renseignements personnels les concernant;
  • de reconnaître le besoin des organisations de recueillir, d'utiliser ou de communiquer des renseignements personnels à des fins commerciales légitimes; et
  • d'établir des règles relatives au traitement des renseignements personnels.

L'article 4 :

Définit la portée de la Loi. Celle-ci vise :

  • toutes les organisations qui recueillent, utilisent ou communiquent des renseignements personnels dans le cadre de leurs activités commerciales;
  • les renseignements personnels concernant un employé d'une entreprise fédérale, mais non les renseignements personnels des employés du secteur privé.

L'article 5 :

  • précise que toute organisation doit se conformer aux obligations énoncées dans l'Annexe 1;
  • précise ce qui est exclu de la Loi;
  • l'annexe précise que :
    • le verbe « doit » s'entend au sens d'une obligation et que
    • le conditionnel « devrait » s'entend au sens d'une recommandation;
  • limite la collecte, l'utilisation ou la communication des renseignements personnels à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances. Dans l'application de toute disposition de la Partie 1 de la Loi, on doit tenir compte de la notion de « jugement raisonnable d'une personne ».

L'article 6 :

  • précise que le fait de confier à une personne la responsabilité de veiller au respect des principes, n'exempte pas l'organisation des obligations énoncées à l'Annexe 1.

L'article 7 :

  • précise dans quelles circonstances les renseignements personnels peuvent être recueillis, utilisés ou communiqués sans le consentement de l'intéressé.

L'article 8 :

  • décrit la démarche que doit faire toute personne qui demande à obtenir ou à corriger des renseignements personnels.

L'article 9 :

  • détermine les circonstances dans lesquelles l'accès à des renseignements personnels peut être refusé.

L'article 10 :

  • précise l'obligation qu'a une organisation de fournir les renseignements personnels sur support de substitution (p. ex., document en braille, ou gros caractères ou sur bande audio) à toute personne ayant une déficience sensorielle.

Haut de la pageTable des matièresPrincipes relatifs à l'équité dans le traitement des renseignements

Cette partie énonce les responsabilités applicables à chacun des dix principes relatifs à l'équité dans le traitement des renseignements personnels définis à l'Annexe 1. Vous y trouverez des conseils et des moyens de vous acquitter de vos responsabilités.

Haut de la pageTable des matières1. Soyez responsable

Vos responsabilités

  • Respecter les dix principes énoncés à l'Annexe 1.
  • Confier à une personne (ou à des personnes) la responsabilité du respect de la Loi par votre organisation.
  • Protéger tous les renseignements personnels que votre entreprise a en sa possession, y compris les renseignements confiés à une tierce partie aux fins de traitement.
  • Élaborer et mettre en oeuvre des politiques et des pratiques concernant les renseignements personnels.

Comment vous acquitter de vos responsabilités

  • Donnez au responsable de la protection de la vie privée le soutien de la haute direction et le pouvoir d'intervenir dans toute question relative à la protection des renseignements personnels au sein de votre organisation.
  • Communiquez le nom ou le titre de la personne en question à l'interne et à l'externe (p. ex. dans les sites Web et les publications).
  • À l'aide de la liste de vérification suivante, assurez-vous que l'ensemble des pratiques relatives au traitement des renseignements personnels sont équitables, y compris les activités en cours et les nouvelles initiatives :
    • quels renseignements personnels recueillons-nous ?
    • pourquoi les recueillons-nous ?
    • comment les recueillons-nous ?
    • à quelles fins les utilisons-nous ?
    • où les conservons-nous ?
    • de quelle façon sont-ils protégés ?
    • qui sont les personnes qui y ont accès ou qui les utilisent ?
    • à qui sont-ils communiqués ?
    • quand sont-ils éliminés ?
  • Élaborez et mettez en oeuvre des politiques et des procédures pour assurer la protection des renseignements personnels :
    • précisez les fins auxquelles ils sont recueillis;
    • obtenez le consentement des intéressés;
    • limitez la collecte, l'utilisation et la communication des renseignements personnels;
    • assurez-vous que les renseignements sont exacts, complets et à jour;
    • prenez des mesures de sécurité suffisantes;
    • élaborez ou mettez à jour un échéancier pour la conservation et la destruction des documents;
    • traitez les demandes d'accès;
    • donnez suite aux demandes de renseignements et aux plaintes.
  • Intégrer aux contrats une clause qui exige des tiers qu’ils protègent les renseignements personnels leur étant confiés selon les normes qui prévalent dans votre organisation.
  • Informez vos employés des politiques et procédures concernant la protection des renseignements personnels et fournissez-leur la formation voulue.
  • Mettez à la disposition des clients de l'information sur les politiques et les procédures en vigueur (p. ex. dépliants et sites Web).

CONSEILS

Formez vos employés de première ligne et vos cadres et tenez-les au courant, pour qu'ils puissent répondre aux questions suivantes :

  • comment donner suite aux demandes de renseignements du public au sujet des politiques de l'organisation concernant la protection des renseignements personnels ?
  • qu'est-ce que le consentement ? Quand et comment doit-on l'obtenir ?
  • comment reconnaître et traiter les demandes de communication de renseignements personnels ?
  • à qui devrais-je transmettre les plaintes concernant des questions liées à la protection des renseignements personnels ?
  • quelles sont les activités courantes et les nouvelles initiatives mises en oeuvre par notre organisation dans le domaine de la protection des renseignements personnels ?

Avant de transmettre des renseignements personnels à des tierces parties, prenez les précautions suivantes :

  • désignez une personne chargée de traiter de tous les aspects du contrat liés à la protection des renseignements personnels;
  • limitez l'utilisation des renseignements personnels aux fins nécessaires à l'exécution du contrat;
  • limitez la communication des renseignements à ce qui est autorisé par votre organisation ou prescrit par la Loi;
  • dirigez vers votre organisation les personnes qui souhaitent consulter les renseignements personnels les concernant;
  • à la fin du contrat, retournez les renseignements transmis ou détruisez-les;
  • utilisez les mesures de sécurité qui s'imposent pour assurer la protection des renseignements personnels;
  • au besoin, donnez à votre organisation la possibilité de vérifier la mesure dans laquelle la tierce partie respecte les dispositions du contrat.

Haut de la pageTable des matières2. Précisez le but de la collecte des renseignements

Votre organisation doit préciser les motifs de la collecte de renseignements personnels, avant ou pendant celle-ci.

Vos responsabilités

  • Avant ou pendant toute collecte de renseignements personnels, déterminer pourquoi les renseignements sont nécessaires et comment ils seront utilisés.
  • Justifier les raisons de la collecte.
  • Préciser à la personne auprès de qui on recueille des renseignements pourquoi ils sont requis.
  • Préciser toute nouvelle utilisation des renseignements, et obtenir le consentement de la personne concernée avant de les utiliser.

Comment vous acquitter de vos responsabilités

  • Examinez les renseignements personnels que vous avez en votre possession pour déterminer s'ils sont tous destinés à une fin précise.
  • Informez le particulier, verbalement ou par écrit, des fins auxquelles les renseignements sont destinés.
  • Consignez par écrit toutes les fins définies et obtenez les consentements voulus de façon à pouvoir vous y référer facilement au cas où on vous demanderait de rendre des comptes à ce sujet.
  • Assurez-vous que les fins auxquelles les renseignements sont destinés se limitent à ce qu'une personne raisonnable estimerait acceptable dans les circonstances.

CONSEILS

  • Définissez le plus clairement et le plus précisément possible à quelles fins les données sont recueillies, de sorte que l'intéressé comprenne comment ils seront utilisés ou communiqués.
  • Évitez de définir des fins de collecte trop vastes, qui risquent d'aller à l'encontre du principe de la connaissance et du consentement.
  • Voici quelques exemples de fins de collecte :
    • ouvrir un compte;
    • vérifier la solvabilité;
    • verser des prestations à un employé;
    • traiter une demande d'abonnement à un magazine;
    • poster de l'information au sujet de l'adhésion à une association;
    • garantir une réservation de voyage;
    • établir les préférences d'un client;
    • définir l'admissibilité d'un client à un rabais ou à une offre spéciale.

DROITS ACQUIS

Les renseignements personnels que votre organisation a recueillis dans le cadre de ses activités commerciales sont visés par la Loi. Comme les renseignements en question ont déjà été recueillis, vous n'avez pas à les recueillir de nouveau. Afin de pouvoir continuer de les utiliser ou de les communiquer, la Loi vous oblige maintenant à obtenir un consentement. Certaines organisations ont informé tous leurs clients de l'utilisation qu'elles font des renseignements qui les concernent et des institutions auxquelles ils sont communiqués, tout en donnant à leurs clients la possibilité de s'opposer à ces utilisations ou communications systématiques.

Consultez notre site Web en ce qui concerne les pratiques exemplaires et des fiches d'information portant sur cela et sur d'autres questions.

Haut de la pageTable des matières3. Obtenez le consentement

Vos responsabilités

  • Bien informer l'intéressé du but de la collecte, de l'utilisation ou de la communication des renseignements personnels.
  • Obtenir le consentement de l'intéressé avant ou pendant la collecte des renseignements de même qu'au moment d'une nouvelle utilisation.

Comment vous acquitter de vos responsabilités*

  • Obtenez le consentement de la personne quand vous recueillez, utilisez ou communiquez des renseignements personnels.
  • Communiquez de façon claire et intelligible.
  • Consignez par écrit le consentement reçu (p. ex. conservez dans le dossier une note ou encore une copie du message électronique ou du document coché à la case appropriée).
  • N'obtenez jamais de consentement par des moyens détournés.
  • Ne faites pas de l'obtention du consentement une condition de la fourniture d'un produit ou d'un service, à moins que le renseignement requis ne s'impose à des fins explicites et légitimes.
  • Expliquez aux particuliers les conséquences du retrait de leur consentement.
  • Veillez à ce que les employés qui recueillent des renseignements personnels soient en mesure de répondre aux questions de toute personne qui s’interroge sur les fins de la collecte.

* Il y a certaines exceptions au principe du consentement. Voir la page 17 du présent guide.

CONSEILS

  • On obtient généralement le consentement de la personne lors de la collecte, l'utilisation ou la communication des renseignements personnels.
  • On peut obtenir le consentement d'un mineur, d'une personne gravement malade ou souffrant d'incapacité mentale auprès du tuteur ou du détenteur d'une procuration.
  • Le consentement n'est valable que si les intéressés comprennent à quelles fins les renseignements qui les concernent seront utilisés.
  • Les dispositions sur le consentement devraient :
    • être faciles à trouver;
    • être formulées dans un langage clair et explicite;
    • ne pas s'appuyer sur des catégories générales de fins, d'utilisations et de communications;
    • identifier le mieux possible quelles organisations traitent les renseignements.
  • Le consentement peut être obtenu en personne, par téléphone, par la poste, par Internet, etc.
  • Au moment d'établir la forme du consentement, on devrait tenir compte des éléments suivants :
    • les attentes raisonnables de la personne;
    • les circonstances entourant la collecte;
    • le caractère délicat des renseignements en question.
  • Dans la mesure du possible, on devrait obtenir un consentement explicite. Lorsqu'il s'agit de renseignements considérés comme délicats, on doit toujours obtenir un tel consentement. L'obtention d'un consentement explicite protège la personne et l'organisation.

Haut de la pageTable des matières4. Limitez la collecte

Vos responsabilités

  • Ne pas recueillir de renseignements personnels de façon arbitraire.
  • Ne pas tromper ni induire en erreur des personnes à propos des motifs de la collecte de renseignements personnels.

Comment vous acquitter de vos responsabilités

  • Limitez la quantité et le type de renseignements recueillis à ce qu'exigent les motifs définis.
  • Définissez le genre de renseignements personnels que vous recueillez dans vos politiques et pratiques en matière de traitement des renseignements.
  • Assurez-vous que les membres de votre personnel sont en mesure d'expliquer les motifs de la collecte de renseignements.

CONSEILS

  • En réduisant la quantité de renseignements recueillis, vous pouvez réduire les coûts de la collecte, du stockage, de la conservation et, en dernière analyse, de l'archivage des données.
  • Le fait de recueillir moins de renseignements entraîne également une réduction des risques d'utilisation et de communication inappropriées.

Haut de la pageTable des matières5. Limitez l'utilisation, la communication et la conservation

Vos responsabilités

  • N'utiliser ou ne communiquer les renseignements personnels qu'aux fins auxquelles ils ont été recueillis, à moins que la personne concernée ne donne son consentement ou que l'utilisation ou la communication ne soit autorisée par la Loi.
  • Ne garder les renseignements personnels qu'aussi longtemps que nécessaire pour la réalisation des fins déterminées.
  • Établir des lignes directrices et des procédures pour la conservation et pour la destruction des renseignements personnels.
  • Conserver les renseignements personnels utilisés pour prendre une décision au sujet d'une personne pendant un temps raisonnable. De cette façon, celle-ci peut avoir accès à l’information et demander réparation au besoin.
  • Détruire, effacer ou dépersonnaliser les renseignements dont on n'a plus besoin aux fins précisées ou prévues par la loi.

Comment vous acquitter de vos responsabilités

  • Documentez toute nouvelle utilisation des renseignements personnels.
  • Établissez des périodes de conservation maximales et minimales qui tiennent compte des exigences ou des restrictions législatives ainsi que des mécanismes de recours.
  • Détruisez les renseignements qui ne répondent pas à une fin précise ou qui ne sont plus nécessaires pour réaliser une fin déterminée.
  • Détruisez les renseignements personnels de manière à en empêcher l’accès inapproprié. La solution idéale consiste à déchiqueter les dossiers sur support papier et à effacer les fichiers sur support électronique.
  • Mettez en place des politiques définissant les types de renseignements qui doivent être mis à jour. Une organisation peut raisonnablement s'attendre à ce qu'une personne fournisse des renseignements à jour dans certaines circonstances (p. ex., un changement d'adresse dans le cas d'un abonnement à un magazine).

CONSEILS

  • Il est parfois moins coûteux et compliqué de détruire ou d'effacer des renseignements que de les dépersonnaliser.
  • Procédez à des examens périodiques pour déterminer si des renseignements sont toujours nécessaires. Pour se faciliter la tâche, on peut établir un calendrier de conservation.

Haut de la pageTable des matières6. Soyez exact

Votre responsabilité

  • Réduire au minimum les possibilités d'utilisation incorrecte des renseignements personnels au moment de prendre une décision concernant l'intéressé ou de communiquer les renseignements à des tierces parties.

Comment vous acquitter de vos responsabilités

  • Veillez à ce que les renseignements soient aussi exacts, complets et à jour, compte tenu de leur utilisation et des intérêts des personnes concernées.
  • Ne mettez les renseignements personnels à jour que vous détenez, seulement lorsque cette mise à jour est nécessaire aux fins déterminées.
  • Veillez à ce que les renseignements fréquemment utilisés soient exacts et à jour, à moins que des restrictions claires ne soient prévues à cet égard.

CONSEILS

  • Vous pouvez juger si l'information doit être mise à jour en déterminant si l'utilisation ou la communication de renseignements incomplets ou désuets porterait préjudice à l'individu.
  • Pour assurer l'exactitude, vous pouvez utiliser la liste de vérification suivante :
    • énumérez le type de renseignements personnels nécessaires à la prestation d'un service;
    • établissez la liste des endroits à partir desquels les renseignements personnels peuvent être obtenus;
    • consignez la date à laquelle les renseignements personnels ont étéobtenus ou mis à jour;
    • consignez les mesures prises pour vérifier l'exactitude, l'intégralité et l'à-propos des renseignements. Pour ce faire, vous devrez peut-être réviser vos dossiers ou communiquer avec le client.

Haut de la pageTable des matières7. Prenez des mesures de sécurité adéquates

Vos responsabilités

  • Protéger les renseignements personnels contre la perte ou le vol.
  • Protéger les renseignements contre la consultation, la communication, la copie, l'utilisation ou la modification non autorisées.
  • Protéger les renseignements personnels, quelle que soit la forme sous laquelle ils sont conservés.

Comment vous acquitter de vos responsabilités

  • Élaborez et appliquez une politique de sécurité pour assurer la protection des renseignements personnels.
  • Utilisez des mesures de sécurité adéquates pour assurer la protection qui s'impose :
    • des mesures physiques (classeurs verrouillés restriction de l’accès aux bureaux, systèmes d’alarme);
    • des outils technologiques (mots de passe, chiffrement des données, pare-feux);
    • des mesures administratives (cotes de
      sécurité, accès aux renseignements aux
      seules personnes qui en ont besoin,
      formation des employés, ententes).
  • Assurez-vous que les employés sont conscients de l'importance de la sécurité et la confidentialité des renseignements personnels.
  • Sensibilisez les employés aux mesures de sécurité en organisant périodiquement des réunions à ce sujet.
  • Au moment de choisir les mesures de sécurité qui s'imposent, il conviendrait de tenir compte des facteurs suivants :
    • le caractère délicat des renseignements;
    • la quantité de renseignements;
    • l'ampleur de leur distribution;
    • leur présentation (support électronique, support papier, etc.);
    • le type de stockage.
  • Examinez et mettez à jour les mesures de sécurité périodiquement.

CONSEILS

  • Au moment de fournir des copies des renseignements à des tierces parties, assurez-vous que les renseignements personnels inutiles à la transaction sont supprimés ou masqués.
  • Conservez les dossiers qui renferment des renseignements délicats dans un lieu ou dans un système informatique sûr et assurez-vous que l'accès à ces renseignements est réservé seulement aux personnes qui ont besoin d'en prendre connaissance.

Haut de la pageTable des matières8. Soyez transparent

Vos responsabilités

  • Informer les clients et les employés des politiques et des pratiques de gestion des renseignements personnels en vigueur.
  • Faire en sorte que ces politiques et pratiques soient compréhensibles et facilement accessibles.

Comment vous acquitter de vos responsabilités

  • Informez les clients et les employés du fait que vous avez mis en place des politiques et des pratiques sur la gestion des renseignements personnels.
  • Rendez publiques les informations suivantes :
    • le nom ou la fonction de même que l'adresse de la personne responsable de la politique et des pratiques de protection des renseignements personnels de votre organisation;
    • le nom ou la fonction de même que l'adresse de la personne à qui les demandes de communication devraient être acheminées;
    • la marche à suivre pour toute personne qui souhaite consulter ses renseignements personnels;
    • la marche à suivre en vue du dépôt d'une plainte auprès de votre organisation;
    • des dépliants ou tout autre document d’information expliquant les politiques, les normes ou les codes de votre organisation;
    • une description de tous les renseignements personnels mis à la disposition d'autres organisations (y compris les filiales) et les raisons pour lesquelles ces renseignements peuvent être communiqués.

CONSEILS

  • L'information concernant vos politiques et pratiques devrait être accessible en personne, par écrit, par téléphone, dans des publications ou dans le site Web de votre organisation. L'information présentée devrait être cohérente et ce, indépendamment du format.

Haut de la pageTable des matières9. Donnez l'accès aux renseignements personnels

Vos responsabilités

  • Informer toute personne qui en fait la demande de l'existence de renseignements personnels à son sujet.
  • Expliquer l'usage qui en est fait ou qui en a été fait et fournir une liste de toutes les organisations auxquelles les renseignements ont été communiqués.
  • Permettre aux personnes d’accéder à leurs
    renseignements personnels.
  • Corriger ou modifier tout renseignements personnels qui se révèle inexact ou incomplet.
  • Fournir une copie des renseignements demandés ou des motifs pour lesquels l'accès est refusé, conformément aux des exceptions définies à l'article 9 de la Loi (voir page 18).
  • Une organisation devrait consigner tous les désaccords au sujet du dossier et, le cas échéant, informer les tierces parties.

Comment vous acquitter de vos responsabilités

  • Donnez à toute personne qui en a besoin l’aide nécessaire pour formuler une demande d’accès à ses renseignements personnels.
  • Vous pouvez demander à la personne qui présente une demande d’accès de fournir suffisamment d’information pour qu’il vous soit possible de le renseigner sur l’existence, l’utilisation et la communication de renseignements personnels.
  • Donnez suite à la demande le plus rapidement possible et, au plus tard, 30 jours suivant sa réception.
  • Le délai habituel de traitement pourrait être prolongé d'une période maximale de 30 jours, selon les critères définis au paragraphe 8(4) de la Loi, lorsque :
    • l'observation du délai initial de 30 jours entraverait gravement l'activité de l'organisation;
    • vous avez besoin de plus de temps pour mener des consultations;
    • vous avez besoin de temps pour transférer les renseignements personnels sur un support de substitution.
  • Si votre organisation prévoit prendre plus de 30 jours pour répondre à une demande, vous devez informer l'auteur de la demande dans les 30 jours suivant la réception de cette dernière ainsi que de son droit de porter plainte auprès de la commissaire à la protection de la vie privée du Canada.
  • Assurez à la personne un accès gratuit ou à prix modique aux renseignements.
  • Informez la personne des coûts approximatifs avant de traiter la demande et vérifier avec celui-ci s'il souhaite toujours aller de l'avant avec la demande.
  • Permettez à la personne d’accéder à ses renseignements personnels.
  • Veillez à ce que les renseignements fournis soient compréhensibles. Expliquez les acronymes, les abréviations et les codes.
  • Le cas échéant, transmettez les renseignements modifiés aux tierces parties qui y ont accès.
  • Informez par écrit la personne dont la demande de communication est refusée et expliquez les motifs du refus et les recours possibles.
  • Le principe de l'accès aux renseignements personnels est assujetti à des exceptions (voir la page 18 du présent guide).

CONSEILS

  • Conservez un registre des renseignements personnels afin d'en faciliter l'accès.
  • Ne communiquez jamais de renseignements personnels à moins d'être sûr de l'identité du demandeur et du droit d'accès de celui-ci.
  • Consigner la date de réception de la demande de renseignements.
  • Assurez-vous que le personnel dans votre organisation est en mesure d'identifier une demande d'accès à des renseignements personnels et qu'il sait à qui celle-ci doit être transmise.

Haut de la pageTable des matières10. Facilitez le dépôt des plaintes

Vos responsabilités

  • Élaborer des procédures simples et faciles d'accès pour le dépôt des plaintes.
  • Informer les plaignants des recours qui s'offrent à eux, notamment les procédures d'instruction des plaintes de votre organisation, celles des associations industrielles, des organismes de réglementation et du Commissariat à la protection de la vie privée du Canada.
  • Tenir des enquêtes sur toutes les plaintes reçues.
  • Prendre les mesures qui s'imposent pour corriger les pratiques et les politiques sur la protection des renseignements personnels.

Comment vous acquitter de vos responsabilités

  • Consignez la date de réception de la plainte et la nature de cette dernière (par exemple, retard dans le traitement d'une demande, réponse incomplète ou inexacte ou encore collecte, utilisation, communication ou conservation inadéquates).
  • Accusez réception de la plainte sans délai.
  • Au besoin, communiquez avec la personne pour clarifier la plainte.
  • Confiez le dossier à une personne possédant les compétences voulues pour mener celui-ci avec équité et impartialité et permettez à cette personne de consulter tous les dossiers, les employés ou les autres intervenants qui ont traité les renseignements personnels ou la demande de communication.
  • Informez clairement et rapidement la personne du résultat de l'enquête ainsi que des mesures pertinentes qui ont été prises.
  • Corrigez tout renseignement personnel inexact ou modifiez les politiques et les procédures à la lumière du résultat de l'enquête sur la plaintes et assurez-vous que tout le personnel de votre organisation est au fait de tous les changements apportés à ces politiques et procédures.

CONSEILS

  • Assurez-vous que le personnel est au fait des politiques et des procédures rattachées aux plaintes et qu’il sache à qui les transmettre au sein de l’organisation.
  • Consignez toutes les décisions pour assurer une application uniforme de la Loi.
  • Le traitement équitable et approprié d'une plainte peut contribuer à préserver ou à restaurer la confiance d'une personne dans votre organisation.

Haut de la pageTable des matièresExceptions aux principes du consentement et de l'accès

La Loi renferme un certain nombre d'exceptions à l'obligation d'obtenir le consentement et d'assurer l'accès.

Exceptions au principe du consentement énoncées à l'article 7 :

Une organisation est autorisée à recueillir des renseignements personnels à l'insu d'une personne et sans son consentement dans les seuls cas suivants :

  • la collecte de renseignements est manifestement dans l'intérêt de la personne, et le consentement ne peut être obtenu auprès de celui-ci en temps opportun;
  • la collecte effectuée au su ou avec le consentement de la personne pourrait compromettre l'exactitude des renseignements ou l'accès à ceux-ci et la collecte est nécessaire à des fins liées à une enquête sur la violation d'un accord ou la contravention du droit fédéral ou provincial;
  • la collecte est faite uniquement à des fins journalistiques, artistiques ou littéraires;
  • il s'agit de renseignements complémentaires auxquels le public a accès.

Une organisation est autorisée à utiliser des renseignements personnels à l'insu d'une personne et sans son consentement que dans les seuls cas suivants :

  • l'organisation a des motifs raisonnables de croire que les renseignements pourraient être utiles à une enquête sur une contravention au droit fédéral, provincial ou étranger et l'utilisation est faite aux fins d'enquête;
  • l'utilisation est faite pour répondre à une situation d'urgence mettant en danger la vie, la santé ou la sécurité d'une personne;
  • l'utilisation est faite à des fins statistiques ou à des fins d'étude ou de recherches érudites (l'organisation informe la commissaire à la protection de la vie privée du Canada avant d'utiliser les renseignements);
  • il s'agit d'un renseignement accessible au public en vertu des règlements;
  • l'utilisation des renseignements est manifestement dans l'intérêt de la personne, et le consentement ne peut être obtenu auprès de celui-ci en temps opportun;
  • la collecte effectuée au su ou avec le consentement de la personne pourrait compromettre l'exactitude des renseignements ou l'accès à ceux-ci et la collecte est nécessaire à des fins liées à une enquête sur la violation d'un accord ou la contravention du droit fédéral ou provincial.

Une organisation est autorisé à communiquer des renseignements personnels à l'insu d'une personne et sans son consentement que dans les cas suivants :

  • la communication est faite à un avocat qui représente l'organisation;
  • elle est faite en vue du recouvrement d'une créance que celle-ci a contre la personne;
  • elle est exigée par assignation, mandat ou ordonnance d'un tribunal ou d'un organisme investi des pouvoirs requis;
  • elle est faite au Centre d'analyse des opérations et déclarations financières du Canada tel que l'exige la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes;
  • elle est faite à une institution gouvernementale qui a demandé à obtenir le renseignement, qui a indiqué
    quelle était la source de l’autorité légitime étayant son droit de l’obtenir et qui veut le renseignement aux fins de l’application du droit, de la tenue d’enquêtes ou de la collecte de renseignements liés à l’application du droit canadien, provincial ou étranger,ou encore qui soupçonne que le renseignement peut avoir des répercussions sur la sécurité nationale, la défense du Canada ou la conduite des affaires internationales,ou finalement aux fins de l’application du droit canadien ou provincial;
  • elle est faite, à l'initiative de l'organisation, à un organisme d'enquête nommé dans la Loi sur les Règlements ou à une institution gouvernementale, si l'organisation a des motifs raisonnables de croire que le renseignement a trait à la violation d'un accord ou à une contravention au droit fédéral, provincial ou étranger, ou soupçonne que le renseignement peut avoir des répercussions sur la sécurité nationale, à la défense du Canada ou à la conduite des affaires internationales;
  • elle est faite à un organisme d'enquête aux fins d'une enquête sur la violation d'un accord ou la contravention du droit fédéral ou provincial;
  • elle est faite en raison d'une situation d'urgence mettant en danger la vie, la santé ou la sécurité de toute personne (l'organisation doit informer la personne de la communication);
  • elle est faite à des fins statistiques ou à des fins d'étude ou de recherches érudites (l'organisation doit informer la commissaire à la protection de la vie privée du Canada avant de communiquer les renseignements);
  • elle est faite à une institution qui s'occupe d'archivage;
  • elle est faite 20 ans ou plus après le décès de la personne ou 100 ans après la création du document contenant le renseignement;
  • il s'agit d'un renseignement réglementaire auxquel le public a accès;
  • la communication est exigée par la loi.

Exceptions au principe de l'accès défini à l'article 9 :

L'organisation doit refuser à une personne l'accès à des renseignements personnels lorsque :

  • la communication révélerait des renseignements personnels se rapportant à un tiers *, à moins que le tiers en question n'y consente ou qu'il s'agisse d'une situation qui mette en danger la vie d'une personne;
  • l'organisation a communiqué des renseignements personnels à une institution gouvernementale pour des motifs liés à l'application de la loi ou à la sécurité nationale. S'il y a demande d'accès, l'institution gouvernementale peut enjoindre à l'organisation de refuser l'accès aux renseignements ou encore de ne pas révéler que les renseignements ont été communiqués. L'organisation doit alors refuser la demande et informer la commissaire à la protection de vie privée du Canada. L'organisation ne peut informer la personne concernée de la communication à l'institution gouvernementale, ni du fait que l'institution a été informée de la demande, ni du fait que la commissaire a été informée du refus.

L'organisation peut refuser l'accès à des renseignements personnels si ces derniers appartiennent à l'une ou l'autre des
catégories suivantes :

  • les renseignements sont protégés par le secret professionnel liant l'avocat à son client;
  • la communication révélerait des renseignements commerciaux confidentiels *;
  • la communication risquerait de nuire à la vie ou à la sécurité d'une autre personne *;
  • les renseignements ont été recueillis à l'insu et sans le consentement de la personne pour en assurer l'exactitude ou l'accès, et la collecte est nécessaire à des fins liées à une enquête sur la violation d'un accord ou la contravention du droit fédéral ou provincial (la commissaire à la protection de la vie privée doit être informée);
  • les renseignements ont été fournis uniquement à l'occasion d'un règlement officiel des différends.

* Notez : Si ces renseignements peuvent être supprimés, l'organisation est tenue de communiquer les renseignements restants.

Haut de la pageTable des matièresRôle du commissaire à la protection de la vie privée du Canada

La commissaire veille au respect de la Loi sur la protection des renseignements personnels et de la Partie 1 de la LPRPDÉ. Ces lois protègent les renseignements personnels selon des principes et des pratiques de traitement équitable des renseignements reconnus à l'échelle internationale.

La commissaire est un agent du Parlement, au même titre que la Vérificatrice générale du Canada ou le Directeur général des élections. À titre de haut fonctionnaire du Parlement, la commissaire relève directement de la Chambre des communes et du Sénat, et non du gouvernement en place. Grâce à cette indépendance, la commissaire peut faire preuve d'impartialité et d'ouverture dans l'exercice de ses fonctions d'ombudsman pour des questions liées à la protection de la vie privée. La commissaire n'émet pas d'ordonnance : elle formule des recommandations. En vertu d'une disposition de la Loi, elle peut toutefois demander à la Cour fédérale d’examiner une plainte.

En plus de la commissaire à la protection de la vie privée, le Commissariat compte sur un commissaire adjoint responsable de la Loi sur la protection des renseignements personnels et une commissaire adjointe responsable de la LPRPDÉ.

Un ombudsman pour des questions relatives à la protection de la vie privée

Le Commissariat enquête depuis plus de 20 ans sur des plaintes déposées en vertu de la Loi sur la protection des renseignements personnels, ce qui a contribué à mieux définir le rôle d’ombudsman de la commissaire à la
protection de la vie privée. Cette dernière mise sur la compétence, les connaissances et l'impartialité de ses employés pour tenter de résoudre, dans la mesure du possible, les différends grâce à la tenue d'enquêtes, à la persuasion, à la médiation et à la conciliation. Idéalement, cette approche se révèle moins intimidante pour le plaignant et moins coûteuse pour les entreprises que les recours aux tribunaux. Bien qu'elle protège les droits des personnes, la commissaire défend aussi les principes de l'équité dans le traitement des renseignements qui sont à la base du texte de loi. L'impartialité de la commissaire et les enquêtes rigoureuses qu'elle mène protègent les droits des personnes et mettent l'organisation à l'abri des accusations injustes.

Responsabilités précises aux termes de la Loi

La Loi confère à la commissaire la responsabilité de l'application de la Loi et de la promotion de ses objectifs.

Promotion des objectifs de la Loi

La commissaire fait la promotion des objectifs de la LPRPDÉ grâce à la réalisation d’initiatives de sensibilisation du grand public, à la production de recherches,de rapports et d’ententes ainsi qu’à la tenue de consultations.

Le mandat de la commissaire comprend notamment l'élaboration et l'exécution de programmes de sensibilisation et d'éducation du public visant à encourager et à promouvoir la compréhension des questions relatives à la protection de la vie privée.

La LPRPDÉ oblige la commissaire à entreprendre et à publier des recherches sur la protection de la vie privée de façon à accroître les connaissances et à favoriser le respect des principes d'équité dans le traitement des renseignements qui sont définis dans la LPRPDÉ. La commissaire peut réaliser des recherches indépendantes sur des questions relatives à la protection des renseignements personnels en collaboration avec des universitaires ou d'autres chercheurs. Elle peut également accorder des subventions et des contributions pour la réalisation de travaux universitaires ou d’autres recherches sur la protection de la vie privée.

La commissaire peut rendre publique l'information sur les pratiques de gestion des renseignements personnels d'une organisation si elle estime qu'une telle mesure est dans l'intérêt du public. Chaque année, elle rend compte au Parlement des questions relatives à la protection des renseignements personnels, notamment en ce qui concerne les provinces qui ont adopté des dispositions législatives jugées essentiellement similaires.

La commissaire peut conclure des ententes avec des homologues provinciaux qui, aux termes de leurs lois respectives réputées être essentiellement similaires à la loi fédérale, ont des pouvoirs et des responsabilités similaires. Ces consultations et ententes peuvent porter sur des mécanismes d'instruction des plaintes, des recherches et l'élaboration de contrats types sur la protection des renseignements personnels dans le cadre de transactions interprovinciales ou internationales. La commissaire encourage les organisations à élaborer des politiques approfondies et à adopter des pratiques conformes à la Partie 1 de la Loi.

Haut de la pageTable des matièresPlaintes auprès du commissaire à la protection de la vie privée du Canada

Types de plaintes

Toute personne peut déposer, auprès de la commissaire, une plainte relativement aux questions mentionnées aux articles 5 à 10 de la Loi ainsi qu'aux recommandations ou obligations définies dans l'Annexe 1. Il peut notamment s'agir de plaintes selon lesquelles une organisation :

  • refuse à une personne l'accès à des renseignements personnels la concernant;
  • recueille, utilise ou communique des renseignements personnels de façon inadéquate;
  • refuse de corriger les renseignements inexacts ou incomplets;
  • omet de donner accès à des renseignements personnels sur un support de substitution pour une personne atteinte d'une déficience sensorielle;
  • ne prend pas les mesures de sécurité qui s'imposent pour assurer la protection des renseignements personnels.

Si elle a des motifs raisonnables de croire qu'une enquête se justifie aux termes de la Partie 1 de la Loi, la commissaire peut elle-même prendre l'initiative d'une plainte.

Délais

Il est possible de déposer en tout temps la plupart des types de plaintes.

La seule exception concerne les plaintes déposées par des personnes à qui on a refusé l'accès aux renseignements personnels. Dans ce cas, la plainte doit être déposée dans les six mois suivant le refus de l'organisation de fournir les renseignements ou à l'expiration du délai prévu pour la réponse à une demande (pour plus de renseignements sur les délais qui s'appliquent à la réponse à une demande, voir la page 15 du présent guide). Cependant, la commissaire peut prolonger le délai prévu pour une plainte relative au droit d'accès.

La commissaire dispose d'une année à compter de la date du dépôt de la plainte pour préparer un rapport.

Comment la commissaire à la protection de la vie privée du Canada traite-t-elle les plaintes ?

En sa qualité d'ombudsman, la commissaire adopte, le plus souvent possible dans ses enquêtes, une approche axée sur la collaboration et la conciliation. Elle encourage le règlement des plaintes au moyen de la négociation et de la persuasion ou du recours à des modes alternatifs de résolutions de conflits, comme la médiation et la conciliation, qui sont des moyens accessibles à toute étape de l’enquête. Même si elle a le pouvoir de contraindre des témoins à comparaître devant elle, de faire prêter serment et d'exiger la production de preuves, la commissaire ne se prévaut de ces mesures que lorsqu'elle n'obtient pas une collaboration volontaire des parties.

Au début d'une enquête, la commissaire informe l'organisation par écrit du contenu de la plainte et désigne l'enquêteur responsable du dossier. En tout temps, l'organisation peut présenter des observations à la commissaire.

L'enquêteur responsable du dossier communique avec le membre du personnel désigné de l'organisation pour lui indiquer comment il entend procéder et, le cas échéant, pour lui préciser les documents dont il aura besoin de même que les membres du personnel qu'il devra interroger. L'enquêteur peut également indiqué si des visites sur place se révéleront nécessaires.

L'enquêteur peut obtenir de l'information directement auprès de personnes qui connaissent bien la question à l'étude. Ces entrevues s'effectuent en privé. L'enquêteur peut également exiger de consulter les documents originaux. Les documents remis à un enquêteur sont retournés à l'organisation dans les dix jours suivant une demande en ce sens, mais l'enquêteur pourra les demander de nouveau s'il en a besoin.

Avant la conclusion de l'enquête, les résultats sont communiqués aux parties en cause. Si elles le souhaitent, ces dernières peuvent faire de nouvelles observations. Elles disposent ainsi d'une nouvelle occasion de régler le différend avant la finalisation de la plainte.

L'enquêteur présente les résultats de l'enquête à la commissaire en même temps que les observations des parties. La commissaire étudie la question et présente un rapport aux parties. La commissaire peut exiger qu'une organisation lui présente, dans un délai donné, les mesures qu'elle a prises ou qu'elle se propose de prendre pour donner suite aux recommandations du rapport ou encore pour expliquer pourquoi aucune mesure n'a été ou ne sera prise. Le rapport comprend également les résultats de l'enquête, le règlement auquel les parties en sont arrivées, les recommandations telles que des modifications proposées aux pratiques de gestion des renseignements, les mesures que l'organisation a prises ou prendra pour donner suite aux recommandations et, le cas échéant, un avis de recours devant la Cour fédérale.

Le site Web du Commissariat contient des fiches d’information sur cette question et sur d’autres sujets.

L'étude d'une plainte débouche sur l'un ou l'autre de trois scénarios suivants :

1. La plainte n'est pas fondée

Rien ne permet à la commissaire de conclure que l'organisation a contrevenu à la Loi.

2. La plainte est fondée

L'enquête a montré que l'organisation a contrevenu à une disposition de la Loi et que la plainte n'a pas été résolue.

3. La plainte est résolue

L'enquête confirme que la plainte est fondée, mais l'organisation accepte de prendre des mesures correctives pour remédier à la situation. Par exemple, elle accepte de communiquer des renseignements personnels auxquels elle avait au préalable refusé l'accès.

On peut également considérer la plainte comme résolue si elle résulte d'un malentendu ou d'une mauvaise communication. Par exemple, il est possible qu'une organisation ait mal compris le sens de la demande et qu'elle accepte de communiquer les renseignements personnels demandés par le plaignant.

La plainte peut également être considérée comme résolue si le plaignant est satisfait des démarches de la commissaire et des résultats.

La commissaire n'est pas tenu de produire un rapport d'enquête si :

  • le plaignant n'a pas cherché à exercer d'autres recours qui s'offrent à lui;
  • la plainte pourrait être traitée de façon plus efficace au moyen d'un autre texte de loi;
  • trop de temps s'est écoulé depuis que le problème à l'origine de la plainte s'est produit, si bien que la préparation d'un rapport ne servirait à aucune fin utile;
  • la plainte est futile, vexatoire ou entachée de mauvaise foi.

Haut de la pageTable des matièresRecours devant la Cour fédérale

Tout plaignant peut demander à être entendu par la Cour fédérale. La commissaire à la protection de la vie privée du Canada peut elle-même demander une audience au nom d'un plaignant. Normalement, les demandes en ce sens doivent être présentées dans les 45 jours suivant le dépôt du rapport de la commissaire.

Les plaintes qui peuvent être entendues

La Cour examinera les demandes de recours découlant de la plainte ou toute question mentionnée dans le rapport de la commissaire et portant sur l'un ou l'autre des points suivants :

Conformément à l'Annexe 1

4.1.3 L'organisation s'est-elle acquittée, comme il se doit, de la responsabilité qui lui échoit à l'égard des renseignements personnels qu'elle a en sa possession, y compris les renseignements confiés à une tierce partie ?

4.2 L'organisation a-t-elle correctement défini et documenté les fins auxquelles les renseignements sont recueillis, utilisés ou communiqués avant ou pendant la collecte ?

4.3.3 L'organisation a-t-elle refusé d'accorder un service à un particulier parce que ce dernier n'a pas consenti à la collecte, à l'utilisation ou à la communication de renseignements autres que ceux qui sont nécessaires pour les fins précisées ?

4.4 L'organisation a-t-elle recueilli plus de renseignements que ce qui était requis ? Les renseignements en question ont-ils été recueillis de façon honnête et licite ?

4.6 Les renseignements personnels sont-ils aussi exacts, complets et à jour que l'exigent les fins auxquelles ils sont destinés ?

4.7 L'organisation a-t-elle pris les mesures nécessaires pour assurer la sécurité des renseignements ?

4.8 L'organisation a-t-elle fait en sorte que des renseignements précis sur ses politiques de gestion des renseignements personnels soient facilement accessibles à toute personne ?

Conformément à l'Annexe 1 telle que modifiée par les articles 5 à 10 de la Loi

4.3 Les renseignements personnels ont-ils été recueillis, utilisés ou communiqués à l'insu de la personne ou sans son consentement, sauf lorsque la Loi le permet ou l'exige ? (Voir à la page 17 du présent guide.)

4.5 L'organisation a-t-elle utilisé ou communiqué des renseignements personnels à des fins autres que celles auxquelles ils étaient destinés, sans le consentement de l'intéressé et sans que la loi ne le permette ? De même, l'organisation a-t-elle conservé les renseignements pendant le temps voulu pour que le plaignant se prévale des recours prévus par la Loi ?

4.9 A-t-on injustement refusé à une personne l'accès à des renseignements la concernant, sauf lorsque la Loi le permet ou l'exige ? (Voir à la page 18 du présent guide.)

Articles de la Loi

5(3) Les renseignements ont-ils été recueillis, utilisés ou communiqués uniquement à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances ?

8(6) A-t-on imposé à un particulier des droits trop élevés pour l'accès aux renseignements ? A-t-il été informé du coût au préalable ?

8(7) L'organisation a-t-elle informé l'intéressé par écrit de son refus d'acquiescer à la demande ? A-t-elle présenté les motifs du refus et informé le demandeur des recours qui s'offrent à lui ?

10 L'organisation a-t-elle omis d'accorder l'accès sur un support de substitution à une personne atteinte d'une déficience sensorielle ?

Mesures correctives pouvant être prises par la Cour fédérale

La Cour fédérale peut ordonner à une organisation de corriger des pratiques non conformes aux articles 5 à 10 de la Loi. Elle peut aussi ordonner à une organisation de publier un avis faisant état des mesures prises ou proposées pour corriger les pratiques concernées. Enfin, elle peut accorder au plaignant des dommages et intérêts notamment en réparation de l'humiliation subie. Il n'y a aucune limite aux dommages et intérêts de nature pécuniaire que la Cour peut accorder.

Haut de la pageTable des matièresVérifications des pratiques de gestion des renseignements personnels

La Loi confère à la commissaire à la protection de la vie privée du Canada le pouvoir de vérifier les pratiques d'une organisation en matière de gestion des renseignements personnels lorsqu'elle a des motifs raisonnables de croire que cette dernière ne s'acquitte pas de ses obligations aux termes de la Partie 1 de la Loi ou qu'elle ne se conforme pas aux recommandations énoncées à l'Annexe 1.

Circonstances pouvant conduire à une vérification

On trouvera ci-après des exemples pouvant amener la commissaire à vérifier les pratiques de gestion des renseignements personnels d'une organisation :

  • Une série de plaintes à propos des pratiques d'une organisation donnée;
  • des renseignements fournis par un particulier aux termes de la disposition relative à la dénonciation;
  • toute question retenant l'attention des médias.

À quoi s'attendre d'une vérification effectuée par la commissaire ?

Conformément au rôle d'ombudsman de la commissaire, les vérifications sur la protection des renseignements personnels sont, dans la mesure du possible, non conflictuels. Ces vérifications peuvent se révéler utiles pour les organisations souhaitant améliorer leurs pratiques en matière de traitement des renseignements personnels.

La commissaire informe par écrit l'organisation de ce qu'une vérification sera menée. Dans la lettre, la commissaire précise la portée de la vérification, propose un calendrier raisonnable et nomme le délégué chargé de la vérification.

Même si elle a le pouvoir de contraindre des témoins à comparaître devant elle, de faire prêter serment et d'obliger des organisations à produire des preuves, la commissaire n'effectuera vraisemblablement pas les vérifications de façon aussi officielle, à moins qu'il n'y ait pas de collaboration volontaire des parties.

Le délégué rencontrera le représentant de l'organisation pour discuter de façon préliminaire de l'intention, de l'objet et de la portée de l'examen.

Lorsqu'il demande d'avoir accès à des locaux de l'organisation, le délégué inspectera les mesures de sécurité. Sur place, il peut interroger toute personne en privé, examiner les dossiers, obtenir des copies de tel dossier ou en prélever des extraits. Le délégué retournera les documents dans un délai de 10 jours suivant une demande en ce sens.

Il pourra les demander de nouveau s'il en a besoin.

Une fois la vérification terminée, le délégué informera le représentant de l'organisation de ses conclusions. Il fera état de ses résultats à la commissaire, qui formulera des recommandations. La commissaire fera parvenir le rapport à l'organisation et pourra demander à être tenu au courant des mesures prises par l'organisation pour corriger les problèmes.

La commissaire peut inclure le rapport de vérification dans son rapport annuel ou rendre publiques les pratiques de gestion des renseignements personnels d'une organisation si elle estime que la mesure est dans l'intérêt du public.

Haut de la pageTable des matièresQuestionnaire sur la protection des renseignements personnels

Voici quelques questions pertinentes que vous pouvez vous poser pour aider votre organisation à mettre en oeuvre la LPRPDÉ. Vous pouvez utiliser le questionnaire qui suit parallèlement à la description de la Loi que renferme le présent guide.

Si vous n'êtes pas certain que votre organisation est visée par la Loi, consultez la page 3 du guide.

Comme la Loi s'applique à des organisations de types et de tailles divers, les questions qui suivent ne s'appliqueront pas à toutes. Étudiez chacune des questions à la lumière des pratiques actuelles de votre organisation. Le fait de répondre « non » dénote qu'il s'agit d'un problème à régler ou d'un aspect à améliorer.

Renseignements personnels détenus par l'organisation

  • Savez-vous ce que sont des renseignements personnels ?
  • Recueillez-vous, utilisez-vous ou communiquez-vous des renseignements personnels dans le cadre de vos activités commerciales ?
  • Avez-vous un inventaire des renseignements personnels que vous avez en votre possession ?
  • Savez-vous où les renseignements personnels sont conservés (dossiers et lieux matériels) ?
  • Savez-vous sous quelle(s) forme(s) les renseignements personnels sont conservés (support électronique, support papier, etc.) ?
  • Savez-vous qui a accès aux renseignements personnels, à l'intérieur et à l'extérieur de votre organisation ?

Responsabilité de l'organisation et des employés

  • Avez-vous désigné un agent à la protection de la vie privée chargé du respect de la Loi par votre organisation ?
  • La responsabilité est-elle assumée par plus d'une personne ?
  • Si cette responsabilité est partagée, le rôle de chaque personne est-il clairement défini ?
  • Vos employés sont-ils en mesure de répondre à des questions de l'intérieur et de l'extérieur concernant la protection des renseignements personnels au nom de l'organisation ? Sinon, savent-ils qui devrait y répondre ?
  • Vos employés savent-ils qui reçoit :
    • les demandes de renseignements personnels ?
    • les demandes de correction ?
    • les plaintes du public ?
  • Vos clients savent-ils avec qui communiquer pour :
    • présenter des demandes sur leurs renseignements personnels ?
    • demander accès à leurs renseignements personnels ?
    • demander des modifications à leurs renseignements personnels ?
    • porter plainte ?
  • L'agent à la protection de la vie privée est-il en mesure d'expliquer aux particuliers les étapes et les procédures à suivre pour demander accès à des renseignements personnels et pour porter plainte ?
  • Vos employés ont-ils été initiés à la Loi ?
  • Allez-vous assurer une formation continue ?
  • Vos employés sont-ils en mesure d'expliquer aux clients, de façon intelligible, les fins auxquelles la collecte, l'utilisation et la communication des renseignements personnels sont destinées ?
  • Vos employés sont-ils en mesure d'expliquer aux clients quand et comment ils pourront retirer leur consentement et quelles seront, le cas échéant, les conséquences d'un tel retrait ?
  • Informerez-vous vos employés des nouvelles questions relatives à la protection des renseignements personnels que soulèvent les changements technologiques, les examens internes, les plaintes des citoyens et les décisions des tribunaux ?

Information à l'intention des clients et des employés

  • Avez-vous des documents qui expliquent à vos clients vos procédures et pratiques relatives aux renseignements personnels ?
  • Y trouve-t-on de l'information sur les moyens :
    • d'obtenir des renseignements personnels ?
    • de corriger des renseignements personnels ?
    • de présenter une demande de renseignements ou de déposer une plainte ?
  • Y décrit-on les renseignements personnels :
    • que possède l'organisation et l'utilisation qui en est faite ?
    • communiqués aux filiales et à des tierces parties ?
  • Avez-vous élaboré une politique en matière de protection des renseignements personnels pour votre site Web ?
  • Votre politique sur la protection des renseignements personnels est-elle visible et facile à trouver ? Est-elle facile à comprendre ?
  • Dans vos formulaires de demande, questionnaires, formulaires d'enquête, dépliants et brochures, expliquez-vous clairement les fins auxquelles la collecte, l'utilisation et la communication de renseignements personnels sont destinées ?
  • Avez-vous passé en revue tous vos documents d'information pour les citoyens afin de vous assurer que les sections portant sur les renseignements personnels sont claires et compréhensibles ?
  • Avez-vous pris des mesures pour que les citoyens puissent obtenir ces renseignements facilement et gratuitement ?
  • Examinez-vous périodiquement les renseignements pour vous assurer qu'ils sont exacts, complets et à jour ?
  • Les renseignements incluent-ils le nom ou le titre actuel de la personne responsable de la surveillance du respect de la Loi ?

Limitation de la collecte, de l'utilisation, de la communication et de la conservation aux fins mentionnées

  • Avez-vous défini les fins auxquelles la collecte de renseignements personnels est destinée ?
  • Les fins sont-elles définies au moment de la collecte de renseignements ou avant ?
  • Ne recueillez-vous des renseignements personnels qu'aux fins mentionnées ?
  • Documentez-vous les fins auxquelles des renseignements personnels sont recueillis ?
  • Si vous recueillez et combinez des renseignements personnels provenant de plus d'une source, vous assurez-vous que les fins initiales n'ont pas changé ?
  • Avez-vous élaboré un calendrier aux fins de la conservation et de l'élimination des renseignements personnels ?
  • Lorsque les renseignements personnels ne sont plus utiles aux fins mentionnées ou qu'ils ne sont plus prescrits par la loi, vous assurez-vous de les détruire, de les effacer ou de les dépersonnaliser ?

Consentement

  • Vos employés savent-ils qu'ils doivent obtenir le consentement de la personne au moment de recueillir des renseignements personnels le concernant ou avant ?
  • Vos employés savent-ils qu'ils doivent obtenir le consentement de la personne avant toute nouvelle utilisation ou communication des renseignements ?
  • Avez-vous recours au consentement explicite chaque fois qu'il est possible de le faire et en tout temps lorsque les renseignements sont délicats ou que l'intéressé est raisonnablement en droit de s'attendre à ce qu'il en soit ainsi ?
  • La formule de consentement que vous utilisez est-elle libellée de façon claire, de sorte que l'intéressé comprend la fin à laquelle la collecte, l'utilisation ou la communication est destinée ?
  • Précisez-vous clairement aux clients qu'ils ne sont pas tenus de fournir des renseignements personnels autres que ceux qui sont essentiels aux fins de la collecte, de l'utilisation ou de la communication ?

Échange de renseignements avec des tierces parties

  • Utilisez-vous des contrats pour assurer la protection des renseignements personnels confiés à une tierce partie aux fins de traitement ?
  • Le contrat limite-t-il l'utilisation que la tierce partie peut faire des renseignements aux fins nécessaires à l'exécution du contrat ?
  • Le contrat oblige-t-il la tierce partie à vous transmettre toute demande de consultation ou toute plainte concernant les renseignements qui vous ont été communiqués ?
  • Le contrat précise-t-il quand et comment une tierce partie doit supprimer ou retourner les documents personnels qu'elle reçoit ?

Veillez à l'exactitude

  • Les renseignements personnels sont-ils suffisamment exacts, complets et à jour pour réduire au minimum les risques d'utilisation inappropriée par votre organisation ?
  • Votre organisation documente-t-elle le moment et la façon dont les renseignements personnels sont mis à jour afin d'en assurer l'exactitude ?
  • Veillez-vous à ce que les renseignements personnels reçus d'une tierce partie soient exacts et complets ?

Mesures de sécurité

  • Avez-vous passé en revue vos mesures de sécurité tant physiques, technologiques, qu'organisationnelles ?
  • Ces mesures préviennent-elles la modification, la collecte, l'utilisation, la communication ou la suppression inadéquate des renseignements personnels ou les accès impropres à ces derniers ?
  • Les renseignements personnels sont-ils protégés par des mesures de sécurité proportionnelles :
    • au caractère délicat des renseignements ?
    • à l'importance de leur distribution ?
    • au support sur lesquels ils sont présentés ?
    • à la méthode de stockage ?
  • Avez-vous mis au point un critère sélectif pour limiter l'accès aux renseignements personnels à ce qui est strictement
    nécessaire à la réalisation des tâches
    assignées ?
  • Avez-vous initié les membres de votre personnel aux pratiques de sécurité visant à assurer la protection des renseignements personnels ? Par exemple, vos employés savent-ils qu'aucun renseignement personnel ne devrait rester affiché sur leur écran d'ordinateur ou posé sur leur bureau en leur absence ?
  • Vos employés savent-ils qu'ils doivent s'assurer de l'identité d'une personne ainsi que son droit d'accès avant de lui communiquer tout renseignements personnels ?
  • Avez-vous établi des règles concernant les personnes autorisées à ajouter, à modifier ou à effacer des renseignements personnels ?
  • Disposez-vous d'un système de gestion
    des dossiers qui attribue des comptes d'utilisateurs, des droits d'accès et des autorisations de sécurité ?
  • Veillez-vous à ce qu'aucune partie non autorisée ne puisse supprimer des renseignements personnels, y avoir accès, les modifier ou les détruire ?

Demandes d'accès aux renseignements personnels

  • Vos employés sont-ils renseignés sur les délais autorisés par la loi pour répondre aux demandes de communication ?
  • Pouvez-vous extraire des renseignements personnels pour répondre à des demandes de communication tout en réduisant au minimum les interruptions de vos activités ?
  • Vos systèmes d'information facilitent-ils l'extraction et la description exactes des renseignements personnels concernant une personne, y compris les communications à des tierces parties ?
  • Fournissez-vous les renseignements personnels à la personne gratuitement ou à un coût minime ?
  • Si la demande d’une personne comporte des frais, l’en avisez-vous avant d’extraire des renseignements personnels?
  • Consignez-vous par écrit la réponse de la personne que vous avisez au sujet du coût de l’accès à ses renseignements personnels?
  • Présentez-vous les renseignements personnels dans une forme généralement compréhensible ? (Par exemple, expliquez-vous les abréviations ?)
  • Votre organisation dispose-t-elle de procédures pour répondre aux demandes de renseignements personnels sur support de substitution (par exemple le braille ou les bandes sonores) ?

Traitement des plaintes

  • Une personne peut-elle facilement déterminer la marche à suivre pour déposer une plainte auprès de vous ?
  • Traitez-vous les plaintes dans les délais requis ?
  • Faites-vous enquête sur toutes les plaintes reçues ?
  • Vos préposés au service à la clientèle et autres employés de première ligne sont-ils en mesure de faire la distinction entre une plainte déposée aux termes de la loi et une demande de renseignements généraux ? Dans le doute, en discutent-ils avec la personne ?
  • Informez-vous les personnes des recours qui s'offrent à eux, notamment auprès de la commissaire à la protection de la vie privée du Canada ?
  • Examinez-vous les suites données par vos employés aux demandes de renseignements du public, aux demandes de communication et aux plaintes pour vous assurer d'un traitement juste, équitables, et rapides ?
  • Lorsqu'une plainte est fondée, prenez-vous les mesures correctives qui s'imposent, par exemple la modification des politiques et la communication des résultats aux employés ?
 

Date de diffusion : 2003-11-20
Date de modification : 2004-04-26

 Top of Page Avis importants