Foire aux questions

À propos de la LPRPDE :

• Quelles sont mes obligations en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques?
  
  
• Mon entreprise est-elle visée par la LPRPDE?
  
  
• La LPRPDE s'applique-t-elle uniquement au commerce électronique ou en ligne?
  
  
• Qu'est-ce qu'un renseignement personnel? Comment savoir si un renseignement est de nature délicate?
  
  
• Quelle loi s'applique à mon entreprise, la loi fédérale ou provinciale? Qu'arrive-t-il si mon organisation exerce ses activités dans plusieurs provinces?
  
  
• La LPRPDE s'applique-t-elle aux renseignements recueillis avant le 1^er janvier 2004?
  
  
• Quels autres pays ont une législation semblable?
  
  

Comment la LPRPDE affectera la collecte de renseignements personnels :

• Quelles sont les différentes formes de consentement? Comment puis-je obtenir le consentement d'un particulier?
  
  
• Qu'est-ce qu'un énoncé des fins?
  
  
• Combien de renseignements devrais-je recueillir auprès d'un particulier?
  
  
• Dois-je conserver les renseignements personnels et pour combien de temps? Comment dois-je « disposer » des renseignements?
  
  

Comment la LPRPDE affectera vos pratiques commerciales :

• Qu'est-ce que la protection? Quelles mesures de sécurité dois-je adopter?
  
  
• Comment la Loi affectera-t-elle les transactions internationales de mon organisation?
  
  
• Puis-je impartir le traitement des renseignements personnels à une société externe?
  
  
• La LPRPDE s'applique-t-elle à la protection de la vie privée des employés?
  
  

Comment procéder à la mise en œuvre d'un programme de politique en matière de protection des renseignements personnels :

• Comment dois-je commencer à modifier mes activités afin d'observer la Loi?
  
  
• Qui est responsable dans mon organisation?
  
  
• Qu'est-ce que mon personnel de première ligne doit savoir?
  
  
• Comment mon organisation devrait-elle traiter les plaintes?
  
  
• Qui peut déposer une plainte auprès du Commissaire à la protection de la vie privée?
  
  
• Quel est le rôle du Commissaire à la protection de la vie privée? Quelles sont les conséquences éventuelles de l'inobservation de la Loi?
  
  

À propos de la LPRPDE :

Quelles sont mes obligations en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques?

La LPRPDE énonce un ensemble de dix principes concernant la cueillette, l'utilisation et la communication des renseignements personnels que les organisations doivent respecter dans le cadre de leurs activités commerciales. Ces principes sont les suivants :

• Responsabilité : Un organisme est responsable des renseignements personnels qui relèvent de lui et devra désigner une personne ou des personnes qui s'assureront que les principes énoncés ci-dessous y sont respectés.
  
  
• Détermination des finalités : Les finalités pour lesquelles des renseignements personnels sont recueillis doivent avoir été déterminées par l'organisme, et ce, préalablement ou au moment de la collecte.
  
  
• Consentement : Toute personne doit être informée et consentir à toute collecte, utilisation ou communication de renseignements personnels la concernant, à moins qu'il ne soit pas approprié de le faire.
  
  
• Limitation de la collecte : L'organisme ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées et doit procéder par des moyens licites et honnêtes.
  
  
• Limitation de l'utilisation, de la communication et de la conservation : Les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée n'y consente ou que la loi ne l'exige. On ne conservera les renseignements personnels qu'aussi longtemps que nécessaire pour la réalisation des finalités déterminées.
  
  
• Exactitude : Les renseignements personnels doivent être aussi exacts, complets et à jour que l'exigent les fins auxquelles ils sont recueillis.
  
  
• Mesures de sécurité : Les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.
  
  
• Transparence : Un organisme doit mettre à la disposition de toute personne des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels.
  
  
• Accès aux renseignements personnels : Un organisme doit informer toute personne qui en fait la demande de l'existence de renseignements personnels la concernant, de l'usage qui en est fait et du fait qu'ils ont été communiqués à des tiers, et lui permettre de les consulter. La personne concernée pourra contester l'exactitude et l'état complet des renseignements et y faire apporter les corrections appropriées.
  
  
• Possibilité de porter plainte contre le non-respect des principes : Toute personne doit être en mesure de se plaindre du non-respect des principes énoncés ci-dessus en communiquant avec le ou les individus chargés de les faire respecter au sein de l'organisme concerné.
  
  

Pour plus de renseignements sur les obligations des propriétaires/directeurs d'entreprise, veuillez consulter le Guide sur la Loi sur la protection des documents personnels et les documents électroniques à l'intention des entreprises et des organismes du Commissaire à la protection de la vie privée du Canada à : http://www.privcom.gc.ca/information/guide_f.asp.

Mon entreprise est-elle visée par la LPRPDE?

La LPRPDE régit les « organisations », un terme qui comprend les personnes, associations, partenariats et organisations syndicales. Le terme « personnes » se rapporte aux sociétés ainsi qu'aux particuliers. Les organisations sont généralement assujetties à la Loi dans la mesure où elles recueillent, utilisent ou communiquent des renseignements personnels dans le cadre de leurs activités commerciales. À cet égard, même les petites entreprises doivent établir un programme de protection des renseignements personnels.

La nature, la taille et la complexité des opérations variant d'une organisation à une autre, les entreprises doivent établir un régime de protection des renseignements personnels en fonction de leurs besoins. En fait, la LPRPDE est souple et permet aux organisations d'adapter ses principes à leurs propres activités et à la nature des renseignements recueillis.

Les organisations qui ne se livrent pas à des activités commerciales ne sont pas visées par la Loi. Cependant, la vente, le troc ou la location de listes de donneurs, d'adhésion ou de collecte de fonds revêt un caractère commercial et les organisations qui s'y adonnent tombent sous le coup de la Loi.

La LPRPDE s'applique-t-elle uniquement au commerce électronique ou en ligne?

La LPRPDE s'applique au commerce traditionnel sur papier, ainsi qu'aux transactions en ligne et au commerce électronique. Toutes les entreprises sont tenues de s'y conformer. Toute organisation qui recueille, utilise ou communique des renseignements personnels dans le cadre de ses activités commerciales est visée par la Loi, sans égard à l'utilisation qu'elle fait d'Internet.

Qu'est-ce qu'un renseignement personnel? Comment savoir si un renseignement est de nature délicate?

La LPRPDE énonce certaines règles que les organisations doivent observer lorsqu'elles recueillent, utilisent ou communiquent des renseignements dans le cadre de leurs activités commerciales.

Selon la LPRPDE, un renseignement personnel, c'est tout renseignement factuel ou subjectif qui concerne un individu identifiable, consigné ou non, notamment en format numérique ou papier. Par exemple, les renseignements suivants seraient considérés comme des renseignements personnels :

• le nom, l'adresse, le numéro de téléphone, le sexe;
  
  
• les numéros d'identification, le revenu ou le type sanguin;
  
  
• les dossiers de crédit, les dossiers relatifs à des prêts, l'existence d'un différend entre un consommateur et un marchand et les intentions d'acquérir des biens ou des services.
  
  

Les renseignements personnels ne comprennent pas le nom, le titre ni l'adresse ou le numéro de téléphone au travail d'un employé d'une organisation, soit les renseignements figurant sur une carte d'affaires.

La Loi protège également les renseignements personnels de nature délicate, notamment, les dossiers ou les antécédents médicaux, l'origine raciale ou ethnique, les opinions politiques, les croyances religieuses, l'affiliation à une organisation syndicale, l'information financière et l'orientation sexuelle.

Quelle loi s'applique à mon entreprise, la loi fédérale ou provinciale? Qu'arrive-t-il si mon organisation exerce ses activités dans plusieurs provinces?

Depuis le 1^er janvier 2004, la LPRPDE s'applique à toutes les organisations du marché canadien. Cependant, les organisations dans les provinces qui ont, dans le domaine de la protection des renseignements personnels, adopté une loi essentiellement similaire sont assujetties à la loi provinciale plutôt qu'à la LPRPDE. Toute entreprise qui envoie des renseignements personnels à l'étranger dans le cadre d'une transaction commerciale tombe sous le coup de la LPRPDE. Une entreprise pourrait s'assurer qu'elle observe les dispositions de l'une ou l'autre loi en respectant la norme la plus élevée.

« La meilleure pratique que nous puissions recommander est la suivante : toute entreprise qui exerce ses activités dans plus d'une compétence devrait respecter la norme la plus élevée qui ne nuit pas à ses activités commerciales. » - Jeffrey A. Kaufman, co-directeur national, Groupe national sur la « Protection de l'information et de la vie privée », Fasken, Martineau, Dumoulin LLP.

La LPRPDE s'applique-t-elle aux renseignements recueillis avant le 1^er janvier 2004?

Les renseignements personnels que votre société a recueillis dans le cadre de ses activités commerciales sont visés par la Loi. Comme les renseignements en question ont déjà été recueillis, vous n'avez pas à les recueillir de nouveau. Afin de pouvoir continuer de les utiliser ou de les communiquer, la Loi vous oblige maintenant à obtenir un consentement. Certaines organisations ont informé l'ensemble de leurs clients de l'utilisation qu'elles font des renseignements qui les concernent et des institutions auxquelles ils sont communiqués, tout en donnant à ces derniers la possibilité de s'opposer à ces utilisations ou communications systématiques.

Quels autres pays ont une législation semblable?

Les pays membres de l'Union européenne (UE) ont adopté des lois exhaustives sur la protection des renseignements personnels. Des pays non européens ont promulgué récemment des lois relatives à la protection des données, applicables à leur secteur privé, notamment Hong Kong, la Nouvelle-Zélande et Taïwan. Les États-Unis n'ont actuellement pas de lois fédérales protégeant les renseignements personnels contre l'utilisation qu'on peut en faire dans le commerce. Pour plus de renseignements, visitez le site Web du ministère de la Justice : Lois et commissions internationales sur l'accès à l'information et protection des renseignements personnels.

Comment la LPRPDE affectera la collecte de renseignements personnels :

La LPRPDE exige qu'une organisation informe la personne à propos de qui des renseignements personnels sont recueillis, utilisés ou communiqués dans le cadre d'une activité commerciale et obtienne son consentement.

Une organisation doit informer ses clients des fins auxquelles les renseignements recueillis seront utilisés. Cette information doit leur être communiquée de façon claire et raisonnablement intelligible.

Elle doit également obtenir leur consentement avant de communiquer leurs renseignements personnels à une tierce partie ou de les utiliser à d'autres fins.

L'organisation doit obtenir le consentement de l'intéressé avant de recueillir ou d'utiliser ses renseignements personnels à des fins déterminées. Elle doit également obtenir le consentement de l'intéressé avant de communiquer ses renseignements personnels à une tierce partie ou de les utiliser à d'autres fins.

La façon dont une organisation obtient le consentement peut varier selon la nature des renseignements recueillis. En général, l'organisation devrait chercher à obtenir un consentement explicite si les renseignements sont susceptibles d'être considérés comme sensibles. Lorsque les renseignements sont moins sensibles, un consentement implicite serait normalement jugé suffisant. Le consentement peut être donné de différentes façons : formulaire, case à cocher, oralement, etc.

Qu'est-ce qu'un énoncé des fins?

Une organisation doit s'assurer que la personne est informée des fins auxquelles les renseignements recueillis seront utilisés; par exemple, ouverture de compte, vérification de solvabilité ou traitement d'un abonnement.

La Loi énonce ce qui suit : « Il faudrait préciser à la personne auprès de laquelle on recueille des renseignements, avant la collecte ou au moment de celle-ci, les fins auxquelles ils sont destinés. Selon la façon dont se fait la collecte, cette précision peut être communiquée de vive voix ou par écrit. Par exemple, on peut indiquer ces fins sur un formulaire de demande de renseignements. »

Combien de renseignements devrais-je recueillir auprès d'un particulier?

Les renseignements personnels ne doivent pas être recueillis à tort et à travers. On doit limiter la quantité et le type de renseignements recueillis à ce qu'exigent les fins définies.

En réduisant la quantité de renseignements recueillis, vous pouvez réduire les coûts de la collecte, de l'emmagasinage, de la conservation et, en dernière analyse, de l'archivage des données. Le fait de recueillir moins de renseignements entraîne également une réduction des risques d'utilisation et de communications impropres.

Dois-je conserver les renseignements personnels et pour combien de temps? Comment dois-je « disposer » des renseignements?

Les organisations ne doivent conserver les renseignements personnels qu'aussi longtemps que nécessaire pour la réalisation des fins déterminées. Elles doivent également voir à la destruction sécuritaire des renseignements qui ne sont plus nécessaires.

Pour de plus amples renseignements sur la protection des renseignements, prière de consulter le Guide de sécurité en ligne et de protection des reseignements personnels de l'Initiative canadienne pour le commerce électronique.

Comment la LPRPDE affectera vos pratiques commerciales :

Qu'est-ce que la protection? Quelles mesures de sécurité dois-je adopter?

La LPRPDE exige que les renseignements personnels soient protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.

Il vous incombe de protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l'utilisation ou la modification non autorisée. Les organisations doivent protéger les renseignements personnels quelle que soit la forme sous laquelle ils sont conservés.

Les méthodes de protection peuvent comprendre :

• Des moyens matériels (le verrouillage des classeurs, la restriction de l'accès aux bureaux, les systèmes d'alarme)
• Des mesures techniques (l'usage de mots de passe, du chiffrement, de pare feu, de logiciels de transaction anonyme)
• Des mesures administratives (des autorisations sécuritaires, un accès sélectif, la formation du personnel, des ententes de confidentialité)

Le choix des méthodes de protection appropriées devrait être fondé sur les facteurs suivants :

• La sensibilité des renseignements
• La quantité de renseignements
• L'ampleur de la distribution
• Le format des renseignements (électronique, papier, etc.)
• Méthode d'emmagasinage

Pour de plus amples renseignements sur la protection des renseignements, prière de consulter le Guide de sécurité en ligne et de protection des reseignements personnels de l'Initiative canadienne pour le commerce électronique.

Comment la Loi affecte-t-elle les transactions internationales de mon organisation?

Depuis le 1^er janvier 2004, la Loi s'applique à la collecte, à l'utilisation ou à la divulgation de renseignements personnels dans le cadre d'opérations commerciales effectuées au-delà des frontières provinciales ou nationales. Les organisations sont tenues d'appliquer les dispositions de la LPRPDE à ces transactions.

Certains pays ou régions ont promulgué des règlements sur la protection des renseignements personnels qui s'appliquent au commerce international. Par exemple, la directive sur la protection des données de l'Union européenne, à laquelle sont assujettis tous les pays membres de l'UE, autorise le transfert de données personnelles uniquement aux pays tiers qui protègent adéquatement les renseignements personnels. Cependant, la Commission européenne ayant reconnu que la LPRPDE du Canada fournit une protection adéquate, le transfert de renseignements personnels entre l'UE et le Canada pourra se poursuivre sans interruption.

Puis-je impartir le traitement des renseignements personnels à une société externe?

La LPRPDE affirme que les organisations sont responsables des renseignements personnels confiés à une tierce partie aux fins de traitement. L'organisation doit, par voie contractuelle ou autre, fournir un degré comparable de protection aux renseignements qui sont en cours de traitement par une tierce partie.

La LPRPDE s'applique-t-elle à la protection de la vie privée des employés?

En vertu de la LPRPDE, les renseignements personnels ne comprennent pas le nom, le titre ni l'adresse ou le numéro de téléphone au travail d'un employé d'une organisation, soit les renseignements figurant sur une carte d'affaires. Cependant, elle protège les renseignements personnels des employés des organismes réglementés par le gouvernement fédéral.

Comment procéder à la mise en œuvre d'un programme de politique en matière de protection des renseignements personnels :

Comment dois-je commencer à modifier mes activités afin d'observer la Loi?

Tout d'abord, désignez une ou des personnes qui seront responsables d'élaborer des politiques en matière de protection des renseignements personnels pour votre organisation. Pour plus de renseignements, voir « Qui est responsable dans mon organisation? ».

Votre organisation devrait faire l'inventaire de l'ensemble des pratiques relatives au traitement des renseignements personnels, y compris les activités en cours et les nouvelles initiatives, à l'aide de la liste de contrôle qui suit : Quels renseignements personnels recueillons-nous? Pourquoi les recueillons-nous? Comment les recueillons-nous? À quelles fins les utilisons-nous? Où sont-ils conservés? Qui y a accès? Dans quelle mesure sont-ils en sécurité? À qui sont-ils communiqués? Quand sont-ils éliminés?

Après avoir fait l'inventaire, élaborez des politiques et des procédures fondées sur les dix principes de gestion des renseignements personnels. L'élaboration est un processus continu, évolutif qui comprend plusieurs étapes :

• définition des principes en matière de protection des renseignements personnels;
  
  
• établissement d'objectifs précis;
  
  
• détermination et évaluation des risques associés au non-respect des objectifs;
  
  
• détermination et mise en œuvre des mesures de contrôle appropriées;
  
  
• évaluation de l'efficacité des mesures de contrôle.
  
  

Pour de plus amples renseignements sur la protection des renseignements, prière de consulter le Guide de sécurité en ligne et de protection des renseignements personnels de l'Initiative canadienne pour le commerce électronique.

Qui est responsable dans mon organisation?

La LPRPDE exige qu'une organisation désigne un responsable de la protection des renseignements personnels, énonçant ce qui suit : « Une organisation est responsable des renseignements personnels dont elle a la gestion et doit désigner une ou des personnes qui devront s'assurer du respect des principes énoncés ci dessous. » Dans le cas d'une petite entreprise, ce serait généralement le propriétaire/directeur parce qu'il comprend le fonctionnement de l'entreprise, ses systèmes et procédures. Il serait utile que le propriétaire/directeur ou une autre personne responsable détermine si les systèmes qui emmagasinent les renseignements personnels ont la capacité de surveiller et de noter qui a accès à ces renseignements, à quelles fins et dans quelles circonstances. En outre, le responsable devrait déterminer si des renseignements personnels ont été confiés à une tierce partie aux fins de traitement et si celle-ci est tenue, par voie contractuelle ou autre, de protéger les renseignements personnels.

Le responsable devrait s'acquitter des tâches suivantes :

• la mise en oeuvre des politiques et procédures pour protéger les renseignements personnels et la transmission au personnel de cette information;
  
  
• la formation du personnel axée sur la gestion et la protection des renseignements personnels; et
  
  
• la rédaction des documents explicatifs concernant les politiques et procédures et la mise en place des procédures pour recevoir les plaintes et les demandes de renseignements et y donner suite.
  
  

Une organisation ayant des opérations interprovinciales ou internationales pourrait décider de nommer un responsable de la protection des renseignements personnels pour chaque territoire. Dans ce cas, elle devra prendre des mesures pour centraliser la planification et assurer l'observation de la Loi. Quoi qu'il en soit, le responsable de la protection des renseignements personnels devrait avoir les pouvoirs voulus, ou le soutien d'une personne ayant ces pouvoirs, pour intervenir dans toute question concernant la protection des renseignements personnels.

Pour des motifs de transparence et d'accessibilité, communiquez le nom et le titre du responsable de la protection des renseignements personnels à l'interne et à l'externe (p. ex. dans les publications et les sites Web).

Qu'est-ce que mon personnel de première ligne doit savoir?

Veillez à ce que les employés de première ligne connaissent leurs responsabilités et puissent répondre aux demandes de renseignements d'un particulier concernant l'utilisation des renseignements recueillis. Les employés devraient également être informés des politiques et des pratiques de gestion des renseignements personnels en vigueur dans votre organisation. Enfin, ils devraient pouvoir fournir les coordonnées de la personne responsable de l'observation de la LPRPDE de votre organisation.

Comment mon organisation devrait-elle traiter les plaintes?

Votre organisation doit élaborer des procédures simples et faciles d'accès pour le dépôt des plaintes. Elle doit informer les plaignants des recours qui s'offrent à eux, notamment les procédures d'instruction des plaintes de votre organisation et celles du Commissaire à la protection de la vie privée du Canada.

Instruisez toutes les plaintes reçues et, si une plainte est fondée, prenez les mesures qui s'imposent pour corriger les pratiques et les politiques de traitement des renseignements.

• Consignez la date de réception de la plainte et la nature de cette dernière (par exemple, retard dans le traitement d'une demande, réponse incomplète ou inexacte ou encore collecte, utilisation, communication ou conservation inadéquates).
  
  
• Accusez réception de la plainte sans délai.
  
  
• Au besoin, communiquez avec l'intéressé pour clarifier la plainte.
  
  
• Confiez l'enquête à une personne possédant les compétences voulues pour mener celle-ci avec équité et impartialité.
  
  
• Permettez à l'enquêteur de consulter tous les dossiers, les employés ou les autres intervenants qui ont traité les renseignements personnels ou la demande de communication.
  
  
• Informez clairement et rapidement l'intéressé du résultat de l'enquête ainsi que des mesures pertinentes qui ont été prises.
  
  
• Corrigez tout renseignement personnel inexact ou modifiez les politiques et les procédures à la lumière du résultat de l'instruction des plaintes.
  
  

La façon dont votre organisation traite les plaintes déposées par les particuliers peut contribuer à préserver ou à rétablir la confiance de l'intéressé envers votre organisation.

Qui peut déposer une plainte auprès du Commissaire à la protection de la vie privée?

Les plaintes sont confidentielles et peuvent provenir de n'importe quelle source - un concurrent, un client ou un employé. Les particuliers ont le droit de se plaindre de la façon dont une organisation respecte les dispositions relatives à la protection des renseignements personnels et toutes les plaintes sont instruites.

Quel est le rôle du Commissaire à la protection de la vie privée? Quelles sont les conséquences éventuelles de l'inobservation de la Loi?

Le Commissaire a le pouvoir de recevoir les plaintes, de mener une enquête et de tenter de régler le différend. Toutes les plaintes doivent être instruites.

L'étude d'une plainte débouche sur l'un ou l'autre des trois scénarios suivants :

• La plainte n'est pas fondée : Rien ne permet au Commissaire de conclure que l'organisation a contrevenu à la Loi.
  
  
• La plainte est fondée : L'enquête a montré que l'organisation a contrevenu à une disposition de la Loi et que la plainte n'a pas été réglée.
  
  
• La plainte est réglée : L'enquête confirme le bien-fondé de la plainte, mais l'organisation accepte de prendre des mesures correctives pour remédier à la situation. On peut également considérer la plainte comme réglée si elle résulte d'un malentendu ou d'une mauvaise communication. La plainte peut également être considérée comme réglée si le plaignant est satisfait des efforts du Commissaire et des résultats.
  
  

Le Commissaire à la protection de la vie privée peut rendre publique toute information concernant les pratiques de gestion des renseignements personnels d'une organisation s'il estime que la mesure est dans l'intérêt du public.