Rapports et publications

Documents d'orientation du CPVP

La protection des renseignements personnels et la LRPCFAT : Comment arriver à un équilibre entre les droits à la protection des renseignements personnels de vos clients et les exigences que doit respecter votre organisation en matière de déclaration, pour lutter contre le blanchiment d’argent et le financement des activités terroristes

Aperçu pour les employés aux points de service

Mars 2012

Certaines organisations sont tenues de recueillir des renseignements sur leurs clients et de les déclarer au Centre d’analyse des opérations et déclarations financières du Canada (CANAFE) conformément à la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (LRPCFAT). Cependant, il doit toujours y avoir un équilibre entre le respect de ces exigences en matière de déclaration et les droits à la protection des renseignements personnels. Le présent document fournit certains renseignements de base au sujet de la loi fédérale canadienne sur la protection des renseignements personnels dans le secteur privé afin d’aider les employés qui ont des contacts avec les clients à comprendre leurs obligations en matière de protection des renseignements personnels.

Quelles sont les obligations de mon organisation en matière de protection des renseignements personnels?

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est la loi adoptée par le Canada sur la protection des renseignements personnels dans le secteur privé fédéral. Cette loi s’applique à tous les renseignements personnels recueillis, utilisés ou communiqués par des organismes du secteur privé qui exercent des activités commerciales, sauf dans le cas des provinces qui ont édicté des lois essentiellement similaires à la LPRPDE, comme le Québec, l’Alberta et la Colombie-Britannique. La LRPRDE régit la collecte, l’utilisation et la communication des renseignements personnels par les entreprises et d’autres organisations et confère aux particuliers le droit général d’avoir accès à leurs renseignements personnels.

Même si votre organisation est visée par la LRPCFAT, elle doit aussi respecter la LPRPDE.

Y a-t-il une limite à la quantité de renseignements personnels que je peux recueillir?

Les organisations ne peuvent pas recueillir des renseignements personnels sans distinction. Selon la LPRPDE, la collecte de renseignements personnels des organisations doit se limiter aux renseignements nécessaires aux fins précisées de leurs activités ou exigés par la loi. Par exemple, des entreprises du secteur financier peuvent avoir l’obligation de « connaître leur client », et doivent donc recueillir des renseignements personnels précis.

Si vous recueillez des renseignements personnels dans le but de vous conformer à la LRPCFAT, assurez-vous que vous comprenez les obligations juridiques et ne recueillez que ce qui est nécessaire pour respecter cette loi.

Et si je dois demander un document d’identité pour vérifier l’identité d’une personne?

Dans certains cas, vous devrez peut-être consulter, ou même consigner, les renseignements figurant sur le document d’identité d’un client afin de respecter les obligations légales de votre organisation ou dans le cadre de ses activités. Cependant, ne faites pas de photocopie d’un document d’identité à moins que la loi ne l’exige ou que ce document soit nécessaire pour une utilisation légitime dans le cadre des activités. En ce qui a trait à l’identification, le Commissariat à la protection de la vie privée recommande également que vous évitiez d’utiliser ce qui suit :

  • Carte santé – La collecte des renseignements figurant sur les cartes santé ne devrait se faire que dans certaines circonstances, par exemple, si ces renseignements sont nécessaires ou exigés par la loi. En fait, l’utilisation de la carte santé à des fins d’identification peut être interdite dans certaines administrations.
  • Numéro d’assurance sociale (NAS) – Certaines organisations du secteur privé sont tenues par la loi de demander le NAS de leurs clients aux fins de la déclaration de revenus. Cependant, le NAS ne devrait pas être utilisé à des fins d’identification générale. Le CANAFE explique également aux organisations qu’aucun NAS ne devrait figurer dans les déclarations qui lui sont destinées.

Est-ce que je dois obtenir le consentement du client pour déclarer des renseignements personnels au CANAFE?

Dans certaines circonstances, vous n'avez pas besoin du consentement du client pour communiquer des renseignements personnels à CANAFE. Par exemple, la LPRPDE permet aux organisations de communiquer des renseignements personnels dans un rapport destiné au CANAFE à l’insu de l’intéressé et sans son consentement, pour autant que le rapport soit destiné au CANAFE conformément aux exigences énoncées à l’article 7 de la LRPCFAT. Les directives relatives aux pratiques de gestion des renseignements personnels de votre organisation doivent être clairement énoncées dans une politique sur la protection de la vie privée, de même que toutes exigences relatives au respect de la LRPCFAT. Si vous avez des contacts avec des clients, vous devriez connaître la politique sur la protection de la vie privée de votre organisation et être en mesure de l’expliquer si l’on vous pose des questions à ce sujet.

Comment m’assurer que mes déclarations présentées au CANAFE respectent la LPRPDE?

Si vous soumettez des renseignements personnels dans des déclarations à CANAFE, il est de votre responsabilité de connaître les exigences de la LRPCFAT et assurez-vous de ne soumettre que les renseignements personnels permettant de se conformer à cette loi. Il est également important de vérifier que les renseignements que vous soumettez sont exacts et à jour.

Que dois-je répondre à un client qui pose des questions au sujet des renseignements communiqués au CANAFE?

La LPRPDE exige que sur demande d'une personne, celle-ci doit être informée de l'existence, de l'utilisation et de la divulgation de renseignements personnels à son sujet et l’accès à ces renseignements doit lui être accordé. Cependant, elle établit quelques exceptions. La LPRPDE établit des exigences spécifiques pour traiter les demandes d’accès relatives aux renseignements personnels qui ont été communiqués au CANAFE. Conformément à ces exigences, il se peut qu’il vous soit interdit de fournir toute information relative à la communication de renseignements personnels à CANAFE. Il est important que vous connaissiez les exigences de la LPRPDE qui se rapportent aux demandes d'accès de cette nature.

Si vous ne savez pas de quelle façon répondre à une demande d’accès aux renseignements personnels communiqués au CANAFE, parlez à la personne responsable de la protection des renseignements personnels au sein de votre. Si votre organisation compte un agent de la lutte contre le recyclage de l’argent, cette personne peut également vous aider.

Pour obtenir de plus amples renseignements sur la LPRPDE et sur les responsabilités en matière de production de rapports financiers, consultez notre document de questions et réponses intitulé La LPRPDE et la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes, qui se trouve à l’adresse suivante : www.priv.gc.ca.

Pour obtenir de plus amples renseignements sur les obligations des entités déclarantes assujetties à la LRPCFAT, visitez le site Web du Centre d’analyse des opérations et déclarations financières du Canada, à l’adresse suivante : www.fintrac.gc.ca.