Questionnaire sur la protection des renseignements personnels

Ce questionnaire est un extrait du Guide à l'intention des entreprises et des organisations - Protection des renseignements personnels: vos responsabilités à l'égard de la Loi sur la protection des renseignements personnels et les documents électroniques.

Vous trouverez ci-après quelques questions de bon sens que vous pouvez vous poser pour aider votre organisation à se préparer en vue de la mise en oeuvre de la Loi sur la protection des renseignements personnels et les documents électroniques.

Comme la Loi s'applique à des organisations de types et de tailles divers, les questions qui suivent ne s'appliqueront pas à toutes. Étudiez chacune des questions à la lumière des pratiques actuelles de votre organisation. Le fait de répondre « non » dénote qu'il s'agit d'un problème à régler ou d'un aspect à améliorer.

Banques de renseignements personnels

• Savez-vous ce que sont des renseignements personnels?
• Recueillez-vous, utilisez-vous ou communiquez-vous des renseignements personnels dans vos activités commerciales?
• Avez-vous un répertoire des banques de renseignements personnels que vous avez en votre possession?
• Savez-vous où les renseignements personnels sont emmagasinés (dossiers et lieux matériels)?
• Savez-vous sous quelle(s) forme(s) les renseignements personnels sont emmagasinés (support électronique, support papier, etc.)?
• Savez-vous qui a accès aux renseignements personnels, à l'intérieur et à l'extérieur de votre organisation?

Responsabilité de l'organisation et des employés

• Avez-vous désigné un mandataire des questions relatives à la protection des renseignements privés chargé du respect de la Loi par votre organisation?
• La responsabilité est-elle assumée par plus d'une personne?
• Si la responsabilité est partagée, les fonctions ont-elles été clairement définies?
• Vos employés sont-ils en mesure de répondre à des questions de l'intérieur et de l'extérieur concernant la protection des renseignements personnels au nom de l'organisation? Sinon, savent-ils qui devrait y répondre?
• Vos employés savent-ils qui reçoit :
  • les demandes relatives aux renseignements personnels?
  • les demandes de correction?
  • les plaintes émanant du public?
• Vos clients savent-ils avec qui communiquer pour :
  • présenter des demandes de renseignements généraux sur les renseignements personnels les concernant?
  • demander accès aux renseignements personnels les concernant?
  • demander que des modifications soient apportées aux renseignements personnels les concernant?
  • porter plainte?
• Le mandataire responsable de la protection des renseignements personnels est-il en mesure d'expliquer aux membres du public les étapes et les procédures à suivre pour demander accès à des renseignements personnels et pour porter plainte?
• Vos employés ont-ils été initiés à la Loi?
• Allez-vous assurer une formation constante?
• Vos employés sont-ils en mesure d'expliquer aux clients, de façon intelligible, les fins auxquelles la collecte, l'utilisation et la communication des renseignements personnels sont destinées?
• Vos employés sont-ils en mesure d'expliquer aux clients le moment où et la façon dont ils pourront retirer leur consentement et quelles seront, le cas échéant, les conséquences d'un tel retrait?
• Informerez-vous vos employés des nouvelles questions relatives à la protection des renseignements personnels que soulèvent les changements technologiques, les examens internes, les plaintes du public et les décisions des tribunaux?

Information pour les clients et les employés

• Avez-vous des documents qui expliquent à vos clients vos procédures et pratiques relatives aux renseignements personnels?
• Y trouve-t-on de l'information sur les moyens :
  • d'obtenir des renseignements personnels?
  • de corriger des renseignements personnels?
  • de présenter une demande de renseignements ou de déposer une plainte?
• Y décrit-on les renseignements personnels :
  • que possède l'organisation et l'utilisation qui en est faite?
  • communiqués aux filiales et à d'autres parties?
• Avez-vous élaboré une politique relative à la protection des renseignements personnels pour votre site Web?
• Votre politique relative à la protection des renseignements personnels est-elle visible et facile à trouver? Est-elle facile à comprendre?
• Dans vos formulaires de demande, questionnaires, formulaires d'enquête, dépliants et brochures, expliquez-vous clairement les fins auxquelles la collecte, l'utilisation et la communication de renseignements personnels sont destinées?
• Avez-vous passé en revue tous vos documents d'information du public pour vous assurer que les sections portant sur les renseignements personnels sont claires et compréhensibles?
• Avez-vous pris des mesures pour que le public puisse obtenir ces renseignements facilement et gratuitement?
• Examinez-vous périodiquement les renseignements pour vous assurer qu'ils sont exacts, complets et à jour?
• Les renseignements incluent-ils le nom ou le titre actuel de la personne responsable de la surveillance du respect de la Loi?

Limitation de la collecte, de l'utilisation, de la communication et de la conservation aux fins mentionnées

• Avez-vous défini les fins auxquelles la collecte de renseignements personnels est destinée?
• Les fins sont-elles définies au moment de la collecte de renseignements ou avant?
• Ne recueillez-vous des renseignements personnels qu'aux fins mentionnées?
• Documentez-vous les fins auxquelles des renseignements personnels sont recueillis?
• Si vous recueillez et combinez des renseignements personnels provenant de plus d'une source, vous assurez-vous que les fins initiales n'ont pas changé?
• Avez-vous élaboré un calendrier aux fins de la conservation et de la suppression des renseignements personnels?
• Lorsque les renseignements personnels ne sont plus utiles aux fins mentionnées ou qu'ils ne sont plus prescrits par la loi, vous assurez-vous de les détruire, de les effacer ou de les rendre anonymes?

Consentement

• Vos employés savent-ils qu'ils doivent obtenir le consentement de l'intéressé au moment de recueillir des renseignements personnels le concernant ou avant?
• Vos employés savent-ils qu'ils doivent obtenir le consentement de l'intéressé avant toute nouvelle utilisation ou communication des renseignements?
• Avez-vous recours au consentement explicite chaque fois qu'il est possible de le faire et en tout temps lorsque les renseignements sont délicats ou que l'intéressé est raisonnablement en droit de s'attendre à ce qu'il en soit ainsi?
• La formule de consentement que vous utilisez est-elle libellée de façon claire, de manière que l'intéressé comprenne la fin à laquelle la cueillette, l'utilisation ou la communication est destinée?
• Précisez-vous clairement aux clients qu'ils ne sont pas tenus de fournir des renseignements personnels autres que ceux qui sont essentiels aux fins de la cueillette, de l'utilisation ou de la communication?

Tierces parties

• Utilisez-vous des contrats pour assurer la protection des renseignements personnels confiés à une tierce partie aux fins de traitement?
• Le contrat limite-t-il l'utilisation que la tierce partie peut faire des renseignements aux fins nécessaires à l'exécution du contrat?
• Le contrat oblige-t-il la tierce partie à vous transmettre toute demande de consultation ou toute plainte concernant les renseignements qui vous ont été communiqués?
• Le contrat précise-t-il le moment où et la façon dont une tierce partie doit supprimer ou retourner les documents personnels qu'elle reçoit?

Exactitude

• Les renseignements personnels sont-ils suffisamment exacts, complets et à jour pour réduire au minimum les risques d'utilisation inappropriée par votre organisation?
• Votre organisation documente-t-elle le moment où et la façon dont les renseignements personnels sont mis à jour de façon à en assurer l'exactitude?
• Veillez-vous à ce que les renseignements personnels communiqués par une tierce partie soient exacts et complets?

Mesures de sécurité

• Avez-vous examiné vos mesures de sécurité matérielle, technologique et administrative?
• Ces mesures préviennent-elles la modification, la cueillette, l'utilisation, la communication ou la suppression inadéquate des renseignements personnels ou les accès impropres à ces derniers?
• Les renseignements personnels sont-ils protégés par des mesures de sécurité proportionnelles :
  • au caractère délicat des renseignements?
  • à l'importance de leur distribution?
  • au support sur lesquels ils sont présentés?
  • à la méthode d'emmagasinage?
• Avez-vous mis au point un critère sélectif pour limiter l'accès aux renseignements personnels au droit de savoir?
• Avez-vous initié les membres de votre personnel aux pratiques de sécurité visant à assurer la protection des renseignements personnels? Par exemple, vos employés savent-ils qu'aucun renseignement personnel ne devrait rester affiché sur leur écran d'ordinateur ou leur bureau en leur absence?
• Vos employés savent-ils qu'ils doivent s'assurer de l'identité des intéressés et établir leur droit d'accès aux renseignements personnels avant de communiquer ces derniers?
• Avez-vous établi des règles concernant les personnes autorisées à ajouter, à modifier ou à effacer des renseignements personnels?
• Disposez-vous d'un système de gestion des dossiers qui assigne des comptes d'utilisateur, des droits d'accès et des autorisations de sécurité?
• Veillez-vous à ce qu'aucune partie non autorisée ne puisse supprimer des renseignements personnels, y avoir accès, les modifier ou les détruire?

Demandes de communication de renseignements personnels

• Vos employés sont-ils au fait des délais autorisés par la Loi pour les réponses aux demandes de communication?
• Pouvez-vous extraire des renseignements personnels pour répondre à des demandes de communication tout en réduisant au minimum les interruptions de vos activités?
• Vos systèmes d'information facilitent-ils l'extraction et la description exactes des renseignements personnels concernant un intéressé, y compris les communications à des tierces parties?
• Fournissez-vous les renseignements personnels à l'intéressé gratuitement ou à un coût minimal?
• Le cas échéant, informez-vous l'auteur de la demande des coûts avant l'extraction des renseignements personnels?
• Consignez-vous par écrit la réponse de l'intéressé après que ce dernier a été informé du coût de l'extraction des renseignements personnels?
• Présentez-vous les renseignements personnels dans une forme généralement compréhensible? (Par exemple, expliquez-vous les abréviations?)
• Votre organisation dispose-t-elle de procédures pour répondre aux demandes de renseignements personnels sur support de substitution (par exemple le braille ou les bandes audio)?

Instruction des plaintes

• Un particulier peut-il facilement déterminer la marche à suivre pour déposer une plainte auprès de vous?
• Traitez-vous les plaintes dans les délais?
• Instruisez-vous toutes les plaintes reçues?
• Vos préposés au service à la clientèle et autres employés de première ligne sont-ils en mesure de faire la distinction entre une plainte déposée aux termes de la Loi et une demande de renseignements généraux – Dans le doute, en discutent-ils avec l'intéressé ?
• Informez-vous les intéressés des recours qui s'offrent à eux, notamment auprès de la commissaire à la protection de la vie privée?
• Examinez-vous les suites données par vos employés aux demandes de renseignements du public, aux demandes de communication et aux plaintes pour vous assurer que celles-ci sont équitables, exactes et rapides?
• Lorsqu'une plainte est fondée, prenez-vous les mesures correctives qui s'imposent, par exemple la modification des politiques et la communication des résultats aux employés?