Rapports et publications

Trousse d’outils en matière de vie privée

Guide à l'intention des entreprises et des organisations

La Loi sur la protection des renseignements personnels et les documents électroniques du Canada


Pour obtenir de plus amples renseignements, veuillez communiquer avec :

Commissariat à la protection de la vie privée du Canada
30, rue Victoria
Gatineau (Québec) K1A 1H3

Téléphone : 819-994-5444
Sans frais : 1-800-282-1376
Télécopieur : 819-994-5424

Site Web : www.priv.gc.ca
Suivez-nous sur Twitter : @privacyprivee

Bien qu’il ait été élaboré avec soin pour assurer un contenu exact et exhaustif, le présent guide n’a aucune valeur juridique. Pour obtenir de plus amples renseignements concernant la Loi sur la protection des renseignements personnels et les documents électroniques, veuillez consulter notre site Web à l’adresse www.priv.gc.ca ou téléphonez au Commissariat à la protection de la vie privée du Canada.

IP54-58/2014F
ISBN : 978-0-660-21913-4

Mise à jour : mars 2014

Le présent guide porte uniquement sur la partie 1 de la Loi sur la protection des renseignements personnels et les documents électroniques. Toute référence à la Loi qui y est faite se rapporte donc expressément à cette partie. Les parties 2 à 5 de la Loi portent sur l’utilisation des signatures et des documents électroniques comme solution de rechange autorisée aux signatures et aux documents originaux. Pour obtenir de plus amples renseignements à ce sujet, veuillez communiquer avec le ministère de la Justice.

Renseignements complémentaires

Ce document attire l’attention sur un certain nombre d’autres ressources qui fournissent de l’information plus détaillée sur la façon dont les organisations peuvent s’acquitter de leurs obligations en vertu de la LPRPDE. Pour suivre des hyperliens menant à ces documents, veuillez consulter la version électronique de ce guide sur le site Web du Commissariat à la protection de la vie privée du Canada, à l’adresse suivante : www.priv.gc.ca.

Table des matières

Aperçu

Principes relatifs à l’équité dans le traitement de l’information

  1. Soyez responsable
  2. Précisez le but de la collecte de renseignements
  3. Obtenez un consentement éclairé
  4. Limitez la collecte de renseignements personnels
  5. Limitez l’utilisation, la communication et la conservation des renseignements personnels
  6. Soyez rigoureux
  7. Prenez des mesures de sécurité adéquates
  8. Faites preuve de transparence
  9. Permettez aux individus d’avoir accès aux renseignements personnels qui les concernent
  10. Mettez en place des mécanismes pour le dépôt de plaintes

Plaintes déposées auprès du commissaire à la protection de la vie privée du Canada

Recours devant la Cour fédérale

Vérification des pratiques de gestion des renseignements personnels

Haut de la pageTable des matièresAperçu

Le présent guide a été élaboré par le Commissariat à la protection de la vie privée du Canada pour aider les organisations à s’acquitter de leurs responsabilités en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

Les gens seront heureux de faire affaire avec des organisations qui montrent qu’elles accordent de l’importance au respect du droit à la vie privée, et les entreprises qui le font pourraient à terme bénéficier d’un avantage concurrentiel. Les organisations peuvent donc y voir l’occasion d’examiner et d’améliorer leurs pratiques en matière de traitement des renseignements personnels.

Rôle du commissaire à la protection de la vie privée du Canada

Le commissaire à la protection de la vie privée du Canada est chargé de la surveillance de la Loi sur la protection des renseignements personnels et de la partie 1 de la LPRPDE. Ces lois protègent les renseignements personnels qui ont été confiés aux institutions fédérales et aux organisations commerciales respectivement.

En sa qualité d’agent du Parlement, le commissaire relève directement de la Chambre des communes et du Sénat, et non du gouvernement en place. Cette indépendance lui garantit l’impartialité et la transparence requises dans l’exercice de ses fonctions d’ombudsman pour les questions liées à la protection de la vie privée.

Bien qu’il protège les droits individuels, le commissaire défend aussi les principes relatifs à l’équité dans le traitement de l’information sur lesquels repose la LPRPDE.

Les enquêtes approfondies menées par le commissaire et son impartialité protègent à la fois les droits individuels et les organisations contre des accusations injustes.

Le commissaire fait la promotion des objectifs de la LPRPDE au moyen d’initiatives d’éducation et de sensibilisation du public, de travaux de recherche, de rapports, de consultations et d’ententes.

En vertu de la LPRPDE, le commissaire est également tenu d’entreprendre des travaux de recherche sur la protection de la vie privée et d’en publier les conclusions de façon à enrichir les connaissances et à améliorer la conformité aux principes relatifs à l’équité dans le traitement de l’information qui sont définis dans la LPRPDE. Le commissaire peut effectuer des travaux de recherche indépendante sur des questions relatives à la protection de la vie privée en collaboration avec des universitaires ou d’autres chercheurs. Il peut également accorder des subventions et des contributions pour la réalisation de travaux universitaires ou d’autres travaux de recherche sur la protection de la vie privée.

Le commissaire rend compte annuellement au Parlement des questions relatives à la protection de la vie privée.

Survol de la LPRPDE

Les organisations visées par la Loi doivent obtenir le consentement d’une personne avant de recueillir, d’utiliser ou de communiquer des renseignements personnels la concernant. Toute personne a le droit de consulter les renseignements personnels que détient une organisation à son sujet et, au besoin, d’en contester l’exactitude. Les renseignements personnels ne peuvent être utilisés qu’aux fins pour lesquelles ils ont été recueillis. L’organisation qui entend les utiliser à d’autres fins doit obtenir expressément le consentement de le faire. Les personnes devraient par ailleurs avoir l’assurance que les renseignements qui les concernent seront protégés par les mesures de sécurité appropriées.

En vertu de la LPRPDE, une organisation désigne une association, une société de personnes, une personne ou une organisation syndicale.

Modalités d’application de la Loi

La LPRPDE vise la collecte, l’utilisation ou la communication de renseignements personnels dans le cadre d’une activité commerciale.

Une activité commerciale est définie comme toute activité régulière ainsi que tout acte isolé qui revêtent un caractère commercial de par leur nature, y compris la vente, le troc ou la location de listes de donneurs, d’adhésion ou de collecte de fonds.

Le gouvernement fédéral peut exclure de l’application de la Loi des organisations ou des activités dans les provinces qui ont adopté, dans le domaine de la protection de la vie privée, une loi essentiellement similaire à la LPRPDE. À ce jour, le Québec, la Colombie-Britannique et l’Alberta ont adopté à l’égard du secteur privé des lois jugées essentiellement similaires à la loi fédérale. Pour leur part, l’Ontario, le Nouveau-Brunswick et Terre-Neuve-et-Labrador ont adopté des lois essentiellement similaires à la loi fédérale dans le domaine des renseignements personnels sur la santé.

Même dans les provinces ayant adopté des lois essentiellement similaires à la loi fédérale sur la protection de la vie privée, la LPRPDE continue de s’appliquer à toute activité interprovinciale ou internationale par toute organisation visée par la Loi dans le cadre de ses activités commerciales.

Par ailleurs, dans ces provinces, la LPRPDE continue de s’appliquer aux organisations réglementées par le gouvernement fédéral — « les entreprises fédérales » — telles que les banques, les sociétés de télécommunications et les entreprises de transport.

Qu’est-ce qu’une « entreprise fédérale »?

L’expression « entreprise fédérale » désigne « les installations, ouvrages, entreprises ou secteurs d’activité qui relèvent de la compétence législative du Parlement ». Même si la plupart des organisations réglementées par le gouvernement fédéral entrent dans cette catégorie, tous les types d’organisations ne sont pas des entreprises fédérales. Par exemple, les compagnies d’assurances et les coopératives de crédit peuvent être assujetties à certains règlements fédéraux, mais elles relèvent de la compétence des provinces en vertu de la Constitution et ne sont pas considérées comme des entreprises fédérales aux termes de la Loi. Les entreprises ou activités suivantes sont comprises parmi les entreprises fédérales visées par la partie 1 de la LPRPDE :

  • les aéroports, aéronefs ou lignes de transport aérien;
  • les banques;
  • le transport interprovincial ou international par voie terrestre ou par eau;
  • les télécommunications;
  • les activités ou entreprises de forage en mer;
  • les stations de radiodiffusion et de télédiffusion.

Il convient de noter qu’il ne s’agit pas ici d’une liste exhaustive des « entreprises fédérales ». Votre entreprise ne constitue pas une entreprise fédérale du seul fait qu’elle est constituée en personne morale sous le régime d’une loi fédérale. En revanche, si elle est visée par l’une ou l’autre des parties du Code canadien du travail, il se peut qu’elle soit une entreprise fédérale.

Qu’entend-on par « renseignements personnels »?

En vertu de la LPRPDE, on entend par renseignement personnel tout renseignement factuel ou subjectif, consigné ou non, concernant une personne identifiable. Il peut s’agir de tout type de renseignement, par exemple :

  • l’âge, le nom, un numéro d’identification, le revenu, l’origine ethnique ou le groupe sanguin;
  • une opinion, une évaluation, un commentaire, le statut social ou une mesure disciplinaire;
  • le dossier d’un employé, un dossier de crédit ou de prêt, un dossier médical, l’existence d’un différend entre un consommateur et un commerçant ou le projet d’une personne (par exemple, l’intention d’acquérir des biens ou des services ou de changer d’emploi).

Quels sont les renseignements personnels non visés par la LPRPDE?

Il y a des cas où la LPRPDE ne s’applique pas, par exemple :

  • les renseignements personnels recueillis, utilisés ou communiqués par des organisations fédérales assujetties à la Loi sur la protection des renseignements personnels;
  • les renseignements personnels recueillis, utilisés ou communiqués par des gouvernements provinciaux et territoriaux et leurs mandataires;
  • le nom, le titre, l’adresse ou le numéro de téléphone au travail d’un employé;
  • les renseignements personnels recueillis, utilisés ou communiqués par une personne à des fins strictement personnelles (p. ex. la constitution d’une liste de personnes à qui adresser des cartes de vœux);
  • les renseignements personnels recueillis, utilisés ou communiqués par une organisation à des fins strictement journalistiques, artistiques et littéraires;
  • les renseignements d’employés — à l’exception du secteur assujetti à la réglementation fédérale.

Plaintes déposées auprès du Commissariat à la protection de la vie privée du Canada

Une personne peut déposer une plainte relative à une infraction présumée à la loi auprès de l’organisation visée ou du Commissariat à la protection de la vie privée du Canada.

Le commissaire peut lui aussi déposer une plainte s’il a des motifs raisonnables de le faire.

Dans la mesure du possible, le Commissariat à la protection de la vie privée du Canada s’efforce de régler les différends grâce à la tenue d’enquêtes ou par la persuasion, la médiation ou la conciliation. Idéalement, cette approche à l’égard du règlement des conflits peut se révéler moins intimidante pour la partie plaignante et moins coûteuse pour l’entreprise en cause que le recours aux tribunaux.

Dans certaines situations, lorsqu’une plainte porte sur un différend susceptible d’être réglé rapidement, la plainte est renvoyée à un agent de règlement rapide.

L’agent de règlement rapide travaille avec le plaignant et l’organisation mise en cause pour régler la plainte. Dans certains cas, un différend qui aurait pris des mois à régler par la procédure d’enquête officielle sur les plaintes peut être réglé en quelques jours seulement.

Si les parties ne peuvent parvenir à une entente, la plainte fait l’objet d’une enquête au terme de laquelle le Commissariat à la protection de la vie privée du Canada publie un rapport de conclusions.

Le commissaire formule des recommandations, mais il n’émet pas d’ordonnance. Toutefois, en vertu d’une disposition de la LPRPDE, le plaignant ou le commissaire à la protection de la vie privée du Canada peut dans certains cas présenter une demande d’audience devant la Cour fédérale.

La Cour fédérale peut ordonner à une organisation de modifier ses pratiques ou de verser des dommages et intérêts à un plaignant, notamment en réparation d’une humiliation.

Le commissaire peut rendre publique l’information sur les pratiques de traitement des renseignements personnels d’une organisation s’il estime qu’il s’agit là d’une mesure d’intérêt public.

Vérifications

Le commissaire peut, s’il a des motifs raisonnables, procéder à la vérification des pratiques d’une organisation en matière de gestion des renseignements personnels.

Infractions

En vertu de la LPRPDE, commet une infraction quiconque :

  • détruit des renseignements personnels demandés par une personne;
  • exerce des mesures de représailles contre un employé qui a déposé une plainte auprès du commissaire ou qui refuse de contrevenir aux articles 5 à 10 de la Loi;
  • nuit à une enquête effectuée à la suite d’une plainte ou à la conduite d’une vérification menée par le commissaire ou son délégué.

Responsabilités de votre organisation en vertu de la Loi

Les organisations doivent respecter un code de protection des renseignements personnels élaboré par les entreprises, les consommateurs, des universitaires et les administrations publiques sous l’égide de l’Association canadienne de normalisation. Ce code constitue l’annexe 1 de la Loi.

Le code énonce les dix principes que les entreprises doivent respecter, à savoir :

  1. la responsabilité;
  2. la détermination des fins de la collecte des renseignements;
  3. le consentement;
  4. la limitation de la collecte;
  5. la limitation de l’utilisation, de la communication et de la conservation;
  6. l’exactitude;
  7. les mesures de sécurité;
  8. la transparence;
  9. l’accès aux renseignements personnels;
  10. la possibilité de porter plainte à l’égard du non-respect des principes.

Ces principes sont décrits de manière plus précise dans les sections qui suivent.

Haut de la pageTable des matièresPrincipes relatifs à l’équité dans le traitement de l’information

L’annexe 1 de la LPRPDE énonce dix principes relatifs à l’équité dans le traitement de l’information, qui jettent les bases non seulement de la collecte, de l’utilisation et de la communication des renseignements personnels, mais également de l’accès aux renseignements personnels. Ces principes permettent aux intéressés de maîtriser la façon dont le secteur privé traite les renseignements personnels les concernant.

Cependant, les organisations devraient savoir qu’en plus des principes énoncés à l’annexe 1 de la LPRPDE, la Loi renferme l’obligation suprême selon laquelle une organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances. Cette norme ultime sur les fins acceptables s’applique en tout temps, nonobstant les dispositions de l’annexe 1 de la Loi.

Une organisation est responsable de la protection des renseignements personnels dont elle a la gestion et doit traiter ces renseignements de façon équitable en tout temps, au sein même de l’organisation et dans le cadre de toute transaction avec une tierce partie. En outre, la confiance et la loyauté des consommateurs reposent sur la diligence dans la collecte, l’utilisation et la communication des renseignements personnels.

La présente section énonce les responsabilités inhérentes à chacun des dix principes définis à l’annexe 1. Elle explique comment s’acquitter de ces responsabilités et donne des conseils à cet égard.

Haut de la pageTable des matières1. Soyez responsable

Vos responsabilités
  • Respecter les dix principes énoncés à l’annexe 1.
  • Confier à une ou à plusieurs personnes la responsabilité de la conformité à la Loi de votre organisation.
  • Protéger tous les renseignements personnels que votre organisation a en sa possession ou qu’elle a confiés à une tierce partie aux fins de traitement.
  • Élaborer et mettre en œuvre des politiques et des pratiques concernant les renseignements personnels.
Comment vous acquitter de vos responsabilités

Élaborez un programme de gestion de la protection des renseignements personnels dans le cadre duquel :

  • vous donnerez au responsable de la protection de la vie privée le soutien de la haute direction et le pouvoir d’intervenir pour toute question relative à la protection de la vie privée au sein de votre organisation;
  • vous communiquerez le nom ou le titre de la personne en question à l’interne et à l’extérieur de l’organisation (p. ex. sur les sites Web et dans les publications);
  • à l’aide de la liste de vérification suivante, vous analyserez et documenterez l’ensemble des pratiques relatives au traitement des renseignements personnels, y compris les activités en cours et les nouvelles initiatives, pour assurer leur conformité aux principes relatifs à l’équité dans le traitement de l’information :
    • Quels renseignements personnels recueillons-nous? S’agit-il de renseignements sensibles? (Les renseignements sensibles pourraient exiger des mesures de sécurité accrues.)
    • Pourquoi les recueillons-nous?
    • Comment les recueillons-nous?
    • À quelles fins les utilisons-nous?
    • Où les conservons-nous?
    • De quelle façon sont-ils protégés?
    • Qui sont les personnes qui y ont accès ou qui les utilisent?
    • À qui sont-ils communiqués?
    • Quand sont-ils éliminés?
  • Élaborez, documentez et mettez en œuvre des politiques et des procédures pour assurer la protection des renseignements personnels :
    • précisez les fins auxquelles ces renseignements sont recueillis;
    • obtenez le consentement des intéressés;
    • limitez la collecte, l’utilisation et la communication des renseignements personnels;
    • assurez-vous que les renseignements sont exacts, complets et à jour;
    • prenez des mesures de sécurité suffisantes;
    • élaborez ou mettez à jour un échéancier pour la conservation et la destruction des documents;
    • élaborez et mettez en œuvre des politiques et des procédures pour répondre aux demandes d’accès aux renseignements personnels ainsi qu’aux demandes de renseignements et aux plaintes;
    • élaborez, documentez et mettez en œuvre des protocoles de gestion des incidents et des atteintes en matière de sécurité des renseignements personnels;
    • effectuez des évaluations du risque;
    • élaborez, documentez et mettez en œuvre des pratiques adéquates de gestion des fournisseurs de services;
    • élaborez, documentez et offrez une formation appropriée sur la protection des renseignements personnels à l’intention de vos employés.
  • Évaluez régulièrement votre programme de gestion de la protection de la vie privée et corrigez toute lacune relevée.
  • Soyez prêt à montrer que vous avez mis en place un programme de gestion de la protection de la vie privée et que ce programme est respecté.
  • Mettez à la disposition des clients (p. ex. dans des dépliants et sur des sites Web) de l’information sur les politiques et les procédures en vigueur au sein de votre organisation au chapitre de la protection de la vie privée.
CONSEILS

Formez les employés de première ligne et les cadres de votre organisation et tenez-les au courant, pour qu’ils puissent répondre aux questions suivantes :

  • Comment donner suite aux demandes de renseignements du public au sujet des politiques de l’organisation en matière de protection de la vie privée?
  • Qu’est-ce que le consentement? Quand et comment doit-on l’obtenir?
  • Comment reconnaître et traiter les demandes d’accès aux renseignements personnels?
  • À qui devrais-je transmettre les plaintes concernant des questions liées à la protection de la vie privée?
  • Quelles sont les activités courantes et les nouvelles initiatives mises en œuvre par notre organisation dans le domaine de la protection des renseignements personnels?
Conseils sur la transmission de renseignements personnels à des tierces parties

Avant de confier des renseignements personnels à une tierce partie, votre organisation devrait avoir conclu un contrat en vertu duquel la tierce partie doit :

  • désigner une personne chargée de traiter tous les aspects du contrat liés à la protection de la vie privée;
  • limiter l’utilisation des renseignements personnels aux fins nécessaires à l’exécution du contrat;
  • limiter la communication des renseignements à ce qui est autorisé par votre organisation ou prescrit par la Loi;
  • diriger vers votre organisation les personnes qui souhaitent consulter les renseignements personnels les concernant;
  • à l’achèvement du contrat, restituer les renseignements transmis ou les détruire;
  • utiliser les mesures de sécurité qui s’imposent pour assurer la protection des renseignements personnels;
  • au besoin, donner à votre organisation la possibilité de vérifier la mesure dans laquelle la tierce partie respecte les dispositions du contrat.

Haut de la pageTable des matières2. Précisez le but de la collecte de renseignements

Votre organisation doit préciser les motifs de la collecte de renseignements personnels, avant ou pendant cette collecte.

Vos responsabilités
  • Avant ou pendant toute collecte de renseignements personnels, déterminer pourquoi les renseignements sont nécessaires et comment ils seront utilisés.
  • Documenter les raisons de la collecte.
  • Préciser à la personne auprès de qui les renseignements sont recueillis la raison pour laquelle ils sont requis.
  • Préciser toute nouvelle utilisation des renseignements, et obtenir le consentement de la personne concernée avant de les utiliser.
Comment vous acquitter de vos responsabilités
  • Examinez les renseignements personnels que vous avez en votre possession pour vous assurer qu’ils sont tous destinés à une fin précise.
  • Informez la personne concernée, verbalement ou par écrit, des fins auxquelles les renseignements sont recueillis.
  • Consignez par écrit toutes les fins définies et obtenez les consentements voulus de façon à pouvoir vous y reporter facilement au cas où on vous demanderait de rendre des comptes à cet égard.
  • Assurez-vous que les fins auxquelles les renseignements sont destinés se limitent à ce qu’une personne raisonnable estimerait acceptable dans les circonstances.
CONSEILS
  • Définissez le plus clairement et le plus précisément possible à quelles fins les données sont recueillies, de façon que la personne concernée comprenne comment ils seront utilisés ou communiqués.
  • Évitez de définir des fins de collecte trop vastes, qui risquent d’aller à l’encontre du principe de connaissance et de consentement.
  • Voici quelques exemples de fins de collecte :
    • ouvrir un compte;
    • vérifier la solvabilité d’une personne;
    • verser des prestations à un employé;
    • traiter une demande d’abonnement à un magazine;
    • transmettre de l’information au sujet de l’adhésion à une association;
    • garantir une réservation de voyage;
    • établir les préférences d’un client;
    • déterminer l’admissibilité d’un client à un rabais ou à une offre spéciale.

Haut de la pageTable des matières3. Obtenez un consentement éclairé

Vos responsabilités
  • Bien informer la personne concernée des fins de la collecte, de l’utilisation ou de la communication des renseignements personnels.
  • Obtenir le consentement de la personne concernée avant ou pendant la collecte des renseignements de même qu’au moment où une nouvelle utilisation des renseignements personnels est constatée.
Comment vous acquitter de vos responsabilités
  • Obtenez le consentement éclairé de la personne concernée quand vous recueillez, utilisez ou communiquez des renseignements personnels la concernant.
  • Expliquez à la personne la façon dont ces renseignements seront utilisés et à qui ils seront communiqués. Votre explication devrait être claire, détaillée et facile à trouver. Conservez une preuve du consentement reçu.
  • N’ayez jamais recours à des moyens détournés pour obtenir un consentement.
  • Ne refusez pas de fournir un produit ou un service à une personne qui ne consent pas à la collecte, à l’utilisation ou à la communication de renseignements personnels autres que les renseignements requis à des fins explicites et légitimes.
  • Expliquez aux personnes les conséquences du retrait de leur consentement.
  • Assurez-vous que les employés qui recueillent des renseignements personnels sont en mesure de répondre aux questions des personnes qui s’interrogent sur les fins auxquelles l’information est recueillie.

Connaissance et consentement

  • On entend par « connaissance et consentement » l’acceptation éclairée et volontaire de ce qui est fait ou proposé. Le consentement est pertinent lorsque les personnes comprennent ce que l’organisation fait de leurs renseignements. Le consentement peut être explicite ou implicite. Le consentement explicite est expressément donné, verbalement, par écrit ou au moyen d’une action précise en ligne — par exemple, en cliquant sur « J’accepte ». Il s’agit d’un consentement sans équivoque que l’organisation n’a pas besoin de vérifier. Il y a consentement implicite lorsque l’intervention ou la non-intervention de l’intéressé permet raisonnablement de conclure au consentement. Le consentement n’élimine pas les autres responsabilités qui incombent à une organisation en vertu de la LPRPDE, par exemple l’obligation de rendre compte de façon générale, les mesures de sécurité et l’existence de motifs raisonnables pour le traitement des renseignements personnels.

 

CONSEILS
  • On obtient généralement le consentement de la personne dont les renseignements personnels sont recueillis, utilisés ou communiqués.
  • Dans le cas d’un mineur, d’une personne gravement malade ou d’une personne ayant une incapacité mentale, on peut obtenir le consentement auprès du tuteur ou du détenteur d’une procuration.
  • Pour que les personnes concernées comprennent à quelles fins les renseignements seront utilisés, les organisations devraient faire preuve de transparence à propos de leurs pratiques de gestion de l’information. Les politiques en matière de protection de la vie privée et les formulaires de consentement devraient :
    • être faciles à trouver;
    • être rédigés dans un langage clair et explicite;
    • ne pas s’appuyer sur des catégories générales regroupant les fins, les utilisations et les communications;
    • indiquer de façon aussi précise que possible quelles organisations traitent les renseignements;
    • expliquer toute pratique à laquelle une personne ne pourrait raisonnablement pas s’attendre, par exemple la communication des renseignements à une tierce partie.
  • Les politiques de protection de la vie privée en ligne devraient être accompagnées d’autres types de communications sur la protection de la vie privée, par exemple des avis en temps opportun, et devraient fournir des explications sur la protection de la vie privée à des étapes clés de l’expérience de l’utilisateur.
  • Le consentement peut être obtenu en personne, par téléphone, par la poste ou par Internet.
  • Au moment d’établir la forme de consentement, on devrait tenir compte des éléments suivants :
    • les attentes raisonnables de la personne concernée;
    • les circonstances entourant la collecte;
    • le caractère sensible des renseignements en question.
  • Dans la mesure du possible, on devrait obtenir un consentement explicite — ou consentement positif. Lorsqu’il s’agit de renseignements considérés comme sensibles, on doit toujours obtenir cette forme de consentement. L’obtention du consentement explicite protège la personne et l’organisation.
  • Lorsqu’elle a recours à un consentement implicite — ou consentement négatif —, l’organisation devrait établir une procédure pratique pour le retrait du consentement, et ce retrait devrait entrer en vigueur immédiatement.
Exceptions au principe du consentement

La Loi renferme un certain nombre d’exceptions précises à l’obligation d’assurer la connaissance et d’obtenir le consentement pour la collecte, l’utilisation et la communication de renseignements personnels.

Une organisation n’est autorisée à recueillir des renseignements personnels à l’insu d’une personne et sans son consentement que dans les cas suivants :

  • la collecte de renseignements est manifestement dans l’intérêt de la personne et le consentement ne peut être obtenu en temps opportun auprès de celle-ci;
  • la collecte effectuée au su ou avec le consentement de la personne pourrait compromettre l’exactitude des renseignements ou l’accès à ceux-ci, et la collecte est nécessaire à des fins liées à une enquête sur la violation d’un accord ou la contravention à une loi fédérale ou provinciale;
  • la collecte est faite uniquement à des fins journalistiques, artistiques ou littéraires;
  • il s’agit de renseignements accessibles au public en vertu des règlements.

Une organisation n’est autorisée à utiliser des renseignements personnels à l’insu d’une personne et sans son consentement que dans les cas suivants :

  • l’organisation a des motifs raisonnables de croire que les renseignements pourraient être utiles à une enquête sur la contravention à une loi fédérale, provinciale ou étrangère et les renseignements sont utilisés dans le cadre de cette enquête;
  • les renseignements sont utilisés dans une situation d’urgence mettant en péril la vie, la santé ou la sécurité d’une personne;
  • les renseignements sont utilisés à des fins statistiques ou à des fins d’étude ou de recherches érudites (l’organisation doit informer le commissaire à la protection de la vie privée du Canada avant d’utiliser les renseignements);
  • il s’agit de renseignements accessibles au public en vertu des règlements;
  • l’utilisation des renseignements est manifestement dans l’intérêt de la personne et le consentement ne peut être obtenu en temps opportun auprès de celle-ci;
  • la collecte effectuée au su ou avec le consentement de la personne pourrait compromettre l’exactitude des renseignements ou l’accès à ceux-ci et la collecte est nécessaire à des fins liées à une enquête sur la violation d’un accord ou la contravention à une loi fédérale ou provinciale.

Une organisation n’est autorisée à communiquer des renseignements personnels à l’insu d’une personne et sans son consentement que dans les cas suivants :

  • les renseignements sont communiqués à un avocat qui représente l’organisation;
  • les renseignements sont communiqués en vue du recouvrement d’une créance que l’organisation a contre la personne;
  • la communication des renseignements est exigée par assignation à comparaître, mandat ou ordonnance d’un tribunal ou d’un organisme investi des pouvoirs requis;
  • les renseignements sont communiqués au Centre d’analyse des opérations et déclarations financières du Canada comme l’exige la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes;
  • les renseignements sont communiqués à une institution gouvernementale qui a demandé à les obtenir, qui a indiqué quelle était la source de l’autorité légitime étayant son droit de les obtenir et qui désire les obtenir aux fins de l’application de la loi, de la tenue d’enquêtes ou de la collecte de renseignements liés à l’application d’une loi canadienne, provinciale ou étrangère, ou qui soupçonne que les renseignements visés se rapportent à la sécurité nationale, à la défense du Canada ou à la conduite des affaires internationales, ou aux fins de l’application d’une loi canadienne ou provinciale;
  • les renseignements sont communiqués, à l’initiative de l’organisation, à un organisme d’enquête nommé dans les règlements adoptés en application de la Loi ou à une institution gouvernementale, si l’organisation a des motifs raisonnables de croire que les renseignements ont trait à la violation d’un accord ou à une contravention à une loi fédérale, provinciale ou étrangère, ou soupçonne que les renseignements se rapportent à la sécurité nationale, à la défense du Canada ou à la conduite des affaires internationales;
  • les renseignements sont communiqués à un organisme d’enquête aux fins d’une enquête sur la violation d’un accord ou une contravention à une loi fédérale ou provinciale;
  • les renseignements sont communiqués dans une situation d’urgence mettant en péril la vie, la santé ou la sécurité d’une personne (l’organisation doit informer la personne de la communication des renseignements);
  • les renseignements sont communiqués à des fins statistiques ou à des fins d’étude ou de recherches érudites (l’organisation doit informer le commissaire à la protection de la vie privée du Canada avant de communiquer les renseignements);
  • les renseignements sont communiqués à une institution vouée à l’archivage;
  • les renseignements sont communiqués 20 ans après le décès de la personne ou 100 ans après la création du document dans lequel ils figurent;
  • il s’agit de renseignements accessibles au public en vertu des règlements;
  • la communication est exigée par la loi.

Haut de la pageTable des matières4. Limitez la collecte de renseignements personnels

Vos responsabilités
  • Ne pas recueillir des renseignements personnels de façon arbitraire.
  • Ne pas tromper ou induire en erreur des personnes à propos des motifs de la collecte de renseignements personnels.
Comment vous acquitter de vos responsabilités
  • Limitez la quantité et le type de renseignements recueillis à ceux qui sont nécessaires aux fins établies.
  • Définissez le genre de renseignements personnels recueillis dans vos politiques et pratiques en matière de traitement des renseignements.
  • Assurez-vous que les membres de votre personnel sont en mesure d’expliquer les fins pour lesquelles les renseignements sont recueillis.
CONSEILS
  • En réduisant la quantité de renseignements recueillis, vous pouvez réduire les coûts liés à la collecte, au stockage, à la conservation et, finalement, à l’archivage des données.
  • Le fait de recueillir moins de renseignements entraîne également une réduction des risques d’utilisation et de communication inappropriées.

Haut de la pageTable des matières5. Limitez l’utilisation, la communication et la conservation des renseignements personnels

Vos responsabilités
  • N’utiliser ou ne communiquer des renseignements personnels qu’aux fins pour lesquelles ils ont été recueillis, à moins que la personne concernée ne donne son consentement ou que l’utilisation ou la communication ne soit autorisée par la Loi.
  • Ne conserver des renseignements personnels qu’aussi longtemps que nécessaire pour la réalisation des fins établies.
  • Établir des lignes directrices et des procédures pour la conservation et l’élimination des renseignements personnels.
  • Conserver les renseignements personnels utilisés pour prendre une décision au sujet d’une personne pendant un temps raisonnable. De cette façon, celle-ci peut y avoir accès et demander réparation au besoin.
  • Détruire, effacer ou dépersonnaliser les renseignements dont vous n’avez plus besoin aux fins précisées ou prévues par la loi.
Comment vous acquitter de vos responsabilités
  • Documentez toute nouvelle utilisation de renseignements personnels.
  • Établissez des périodes de conservation maximale et minimale en tenant compte des exigences ou des restrictions législatives, ainsi que des mécanismes de réparation.
  • Détruisez les renseignements qui ne répondent pas à une fin précise ou qui ne sont plus nécessaires pour réaliser une fin établie.
  • Détruisez les renseignements personnels de manière à prévenir toute atteinte à la vie privée. La solution idéale consiste à déchiqueter les dossiers papier et à effacer les fichiers électroniques.
  • Avant de vous débarrasser d’appareils électroniques comme des ordinateurs, des photocopieurs ou des téléphones cellulaires, assurez-vous que les renseignements personnels qu’ils contenaient ont été complètement effacés.
  • Mettez en place des politiques définissant les types de renseignements qui doivent être mis à jour. Une organisation peut raisonnablement s’attendre à ce qu’une personne fournisse des renseignements à jour dans certaines circonstances (p. ex. un changement d’adresse dans le cas d’un abonnement à un magazine).
CONSEILS
  • Il est parfois moins coûteux et moins compliqué de détruire ou d’effacer des renseignements que de les dépersonnaliser.
  • Procédez à des examens périodiques pour déterminer si des renseignements sont encore utiles. Pour vous faciliter la tâche, vous pouvez établir un calendrier de conservation.

Renseignements complémentaires

Pour obtenir plus de détails, veuillez consulter le document suivant sur le site Web du Commissariat :

Haut de la pageTable des matières6. Soyez rigoureux

Vos responsabilités
  • Réduire le plus possible les risques d’utilisation incorrecte des renseignements personnels au moment de prendre une décision concernant l’intéressé ou de communiquer les renseignements à des tierces parties.
Comment vous acquitter de vos responsabilités
  • Veillez à ce que les renseignements personnels soient aussi exacts, exhaustifs et à jour que nécessaire, compte tenu de leur utilisation et des intérêts des personnes concernées.
  • Veillez à ce que les renseignements fréquemment utilisés soient exacts et à jour, à moins que des restrictions claires ne soient prévues à cet égard.
CONSEILS
  • L’une des façons de déterminer si des renseignements doivent être mis à jour consiste à vous demander si l’utilisation ou la communication de renseignements non exhaustifs ou désuets pourrait porter préjudice à la personne concernée.
  • Utilisez la liste de vérification suivante pour vous assurer de l’exactitude des renseignements :
    • énumérez le type de renseignements personnels nécessaires à la prestation d’un service;
    • établissez la liste des endroits à partir desquels les renseignements personnels peuvent être obtenus;
    • consignez la date à laquelle les renseignements personnels ont été obtenus ou mis à jour;
    • consignez les mesures prises pour vérifier l’exactitude ainsi que le caractère exhaustif et à jour des renseignements. Pour ce faire, vous devrez peut-être examiner vos dossiers ou communiquer avec le client.

Haut de la pageTable des matières7. Prenez des mesures de sécurité adéquates

Vos responsabilités
  • Protéger les renseignements personnels contre la perte ou le vol.
  • Protéger les renseignements personnels contre toute consultation, communication, copie, utilisation ou modification non autorisée.
  • Protéger les renseignements personnels, quelle que soit la forme sous laquelle ils sont conservés.

Remarque : la LPRPDE ne précise aucune mesure de sécurité particulière à mettre en place. Il incombe aux organisations de veiller à ce que les renseignements personnels soient protégés de façon adéquate.

Comment vous acquitter de vos responsabilités
  • Élaborez et mettez en œuvre une politique de sécurité pour assurer la protection des renseignements personnels.
  • Utilisez des mesures de sécurité adéquates pour assurer la protection qui s’impose :
    • des mesures physiques (classeurs verrouillés, restriction de l’accès aux bureaux, système d’alarme);
    • des outils technologiques (mots de passe, chiffrement des données, pare-feu);
    • des mesures administratives (cotes de sécurité, accès aux renseignements réservé aux personnes qui en ont besoin, formation des employés, ententes).
  • Vérifiez régulièrement les mesures de sécurité pour vous assurer qu’elles sont à jour et que les vulnérabilités ou failles mises en évidence ont été corrigées.
  • Assurez-vous que les employés sont conscients de l’importance de préserver la sécurité et la confidentialité des renseignements personnels.
  • Sensibilisez les employés aux mesures de sécurité en organisant régulièrement des réunions sur la question.
  • Au moment de choisir les mesures de sécurité qui s’imposent, assurez-vous de tenir compte des facteurs suivants :
    • le caractère sensible des renseignements;
    • la quantité de renseignements;
    • l’ampleur de leur distribution;
    • leur présentation (support électronique, support papier, etc.);
    • le type de stockage.
  • Examinez et mettez à jour les mesures de sécurité de façon régulière.
CONSEILS
  • Au moment de confier des renseignements à des tierces parties, assurez-vous que les renseignements personnels inutiles en ce qui a trait à un dossier ou à une activité sont supprimés ou masqués.
  • Conservez les dossiers qui renferment des renseignements sensibles dans un lieu ou dans un système informatique sûrs, et assurez-vous que l’accès à ces renseignements est réservé exclusivement aux personnes qui ont besoin d’en prendre connaissance.

Renseignements complémentaires

Pour obtenir plus de détails, veuillez consulter les documents suivants sur le site Web du Commissariat :

Lorsque les choses tournent mal

On parle d’atteinte à la vie privée en cas d’accès non autorisé à des renseignements personnels ou de communication non autorisée de ces renseignements. Le Commissariat à la protection de la vie privée du Canada a élaboré diverses ressources pour aider les organisations à prendre les mesures appropriées en cas d’atteinte. Veuillez consulter le document suivant :

Haut de la pageTable des matières8. Faites preuve de transparence

Vos responsabilités
  • Informer les clients et les employés du fait que vous avez mis en place des politiques et des pratiques de gestion des renseignements personnels.
  • Faire en sorte que ces politiques et pratiques soient compréhensibles et facilement accessibles.
Comment vous acquitter de vos responsabilités
  • Assurez-vous que le personnel de première ligne connaît bien les procédures de réponse aux demandes de renseignements provenant de particuliers.
  • Rendez publique l’information suivante :
    • le nom ou la fonction de même que l’adresse de la personne responsable de la politique et des pratiques de protection des renseignements personnels de votre organisation;
    • le nom ou la fonction de même que l’adresse de la personne à qui les demandes d’accès devraient être acheminées;
    • la marche à suivre pour toute personne désirant consulter ses renseignements personnels;
    • la marche à suivre pour déposer une plainte auprès de votre organisation;
    • des dépliants ou tout autre document d’information expliquant les politiques, les normes ou les codes de votre organisation;
    • une description de tous les renseignements personnels mis à la disposition d’autres organisations (y compris les filiales) et les raisons pour lesquelles ces renseignements sont communiqués.
CONSEIL
  • L’information concernant vos politiques et pratiques devrait être accessible en personne, par écrit, par téléphone, dans des publications ou sur le site Web de votre organisation. L’information présentée devrait être cohérente et ce, indépendamment du format.

Renseignements complémentaires

Pour obtenir plus de détails, veuillez consulter le document suivant sur le site Web du Commissariat :

Haut de la pageTable des matières9. Permettez aux individus d’avoir accès aux renseignements personnels qui les concernent

En général, toute personne a le droit de consulter les renseignements personnels que détient une organisation à son sujet.

Vos responsabilités
  • Informer toute personne qui en fait la demande de l’existence de renseignements personnels la concernant.
  • Expliquer l’usage qui est fait ou qui a été fait de ces renseignements personnels, et fournir une liste de toutes les organisations auxquelles les renseignements ont été communiqués.
  • Permettre à la personne concernée d’avoir accès à ses renseignements personnels.
  • Si une personne remet en question l’exactitude ou le caractère exhaustif de renseignements la concernant et qu’une vérification permet de confirmer qu’il existe effectivement des lacunes, apporter les corrections ou les modifications nécessaires.
  • Fournir copie des renseignements demandés, ou expliquer les raisons pour lesquelles l’accès est refusé, sous réserve des exceptions définies à l’article 9 de la Loi (Voir les
    exceptions au principe relatif à l’accès).
  • Consigner au dossier tous les désaccords relatifs aux renseignements et, le cas échéant, en informer les tierces parties.
Comment vous acquitter de vos responsabilités
  • Donnez à toute personne qui en a besoin l’aide nécessaire pour formuler une demande d’accès à ses renseignements personnels.
  • Vous pouvez demander à la personne qui présente une demande d’accès de fournir suffisamment d’information pour qu’il vous soit possible de la renseigner sur l’existence, l’utilisation et la communication de renseignements personnels.
  • Donnez suite à la demande le plus rapidement possible, au plus tard 30 jours après sa réception.
  • Le délai habituel de traitement peut être prolongé d’une période maximale de 30 jours, selon les critères définis au paragraphe 8(4) de la Loi, dans les cas suivants :
    • l’observation du délai initial de 30 jours entraverait gravement l’activité de l’organisation;
    • vous avez besoin de plus de temps pour mener des consultations;
    • vous avez besoin de plus de temps pour transférer les renseignements personnels sur un support de substitution.
  • Si votre organisation prévoit qu’il lui faudra plus de 30 jours pour répondre à la demande, vous devez en informer l’auteur de la demande dans les 30 jours suivant la réception de cette dernière et lui indiquer qu’il a le droit de porter plainte auprès du commissaire à la protection de la vie privée du Canada.
  • Donnez à la personne un accès gratuit ou à prix modique aux renseignements demandés.
  • Informez la personne des coûts approximatifs avant de traiter la demande et vérifiez auprès d’elle si elle souhaite toujours aller de l’avant avec la demande.
  • Veillez à ce que les renseignements fournis soient compréhensibles. Expliquez les acronymes, les abréviations et les codes.
  • Le cas échéant, transmettez les renseignements modifiés aux tierces parties qui y ont accès.
  • Communiquez par écrit avec toute personne dont la demande d’accès est refusée pour l’aviser de votre décision et lui exposer les motifs de votre refus et les recours possibles.
CONSEILS
  • Conservez un registre des renseignements personnels que vous détenez et de l’endroit où ils sont conservés afin de pouvoir les retrouver plus facilement si une demande d’accès vous était présentée.
  • Effectuez toujours une recherche rigoureuse de tous les endroits où des renseignements personnels pourraient être conservés — qu’il s’agisse de lieux physiques ou de supports électroniques.
  • Ne communiquez jamais de renseignements personnels à moins d’être certain de l’identité du demandeur et de son droit d’accès.
  • Consignez la date de réception de la demande d’accès aux renseignements.
  • Assurez-vous que le personnel de votre organisation est en mesure de reconnaître une demande d’accès à des renseignements personnels et qu’il sait à qui cette demande doit être transmise.

Renseignements complémentaires

Pour obtenir plus de détails, veuillez consulter les documents suivants sur le site Web du Commissariat :

Exceptions au principe d’accès

Bien que les organisations soient généralement tenues, en vertu de la LPRPDE, de permettre aux personnes qui en font la demande d’avoir accès aux renseignements personnels qui les concernent, certaines exceptions précises peuvent être invoquées.

En effet, la LPRPDE prévoit des exceptions obligatoires et des exceptions discrétionnaires à l’obligation de donner accès à ses renseignements personnels à une personne qui en fait la demande.

En ce qui concerne les exceptions obligatoires, une organisation doit refuser à une personne l’accès à des renseignements personnels :

  • lorsque la communication révélerait des renseignements personnels se rapportant à un tiers*, à moins que le tiers en question n’y consente ou qu’il s’agisse d’une situation qui mette en danger la vie d’une personne;
  • lorsqu’une personne demande à être avisée de toute communication de renseignements faite à une institution gouvernementale dans des cas particuliers, ou d’avoir accès à cette information, et que l’institution gouvernementale enjoint à l’organisation de refuser la demande d’accès. En pareil cas, l’organisation doit refuser la demande et en informer le commissaire à la protection de la vie privée du Canada. En outre, l’organisation ne peut informer la personne concernée de la communication à l’institution gouvernementale, du fait que l’institution a été informée de la demande ou du fait que le commissaire a été informé du refus de donner accès aux renseignements.

En ce qui concerne les exceptions discrétionnaires, l’organisation peut refuser l’accès à des renseignements personnels dans les cas suivants :

  • les renseignements sont protégés par le secret professionnel liant l’avocat à son client;
  • la communication révélerait des renseignements commerciaux confidentiels*;
  • la communication risquerait vraisemblablement de nuire à la vie ou à la sécurité d’une personne*;
  • les renseignements ont été recueillis à l’insu et sans le consentement de la personne pour en assurer l’exactitude ou l’accès, et la collecte est nécessaire à des fins liées à une enquête sur la violation d’un accord ou la contravention à une loi fédérale ou provinciale (le commissaire à la protection de la vie privée du Canada doit en être informé);
  • les renseignements ont été fournis dans le cadre du règlement officiel d’un différend;
  • les renseignements ont été créés en vue d’une divulgation au titre de la Loi sur la protection des fonctionnaires divulgateurs d’actes répréhensibles.

* Si ces renseignements peuvent être retranchés, l’organisation est tenue de communiquer les renseignements restants.

Haut de la pageTable des matières10. Mettez en place des mécanismes pour le dépôt de plaintes

Vos responsabilités
  • Élaborer des procédures simples et facilement accessibles pour le dépôt de plaintes.
  • Informer les plaignants des recours qui s’offrent à eux, notamment des procédures de traitement des plaintes de votre organisation et de celles des associations de l’industrie, des organismes de réglementation et du Commissariat à la protection de la vie privée du Canada.
  • Mener des enquêtes sur toutes les plaintes reçues.
  • Prendre les mesures qui s’imposent pour corriger les pratiques et les politiques relatives au traitement des renseignements personnels.
Comment vous acquitter de vos responsabilités
  • Consignez la date de réception de la plainte et la nature de cette dernière (p. ex. retard dans le traitement d’une demande, réponse incomplète ou inexacte ou encore collecte, utilisation, communication ou conservation inadéquates).
  • Accusez réception de la plainte sans délai.
  • Au besoin, communiquez avec la personne pour clarifier la plainte.
  • Confiez le dossier à une personne possédant les compétences voulues pour l’examiner de manière équitable et impartiale, et permettez à cette personne de consulter tous les dossiers pertinents ainsi que de questionner tous les employés ou les autres intervenants qui ont traité les renseignements personnels ou la demande d’accès.
  • Informez clairement et rapidement le plaignant du résultat de l’enquête ainsi que des mesures pertinentes qui ont été prises.
  • Corrigez tout renseignement personnel inexact ou modifiez les politiques et les procédures à la lumière des conclusions de l’enquête sur la plainte, et assurez-vous que les employés de votre organisation sont au fait de tous les changements apportés à ces politiques et procédures.
CONSEILS
  • Assurez-vous que les membres du personnel sont au fait des politiques et des procédures en matière de traitement des plaintes et qu’ils savent à qui transmettre les plaintes au sein de l’organisation.
  • Consignez toutes les décisions pour assurer une application uniforme de la Loi.
  • Traitez les plaintes de façon équitable et appropriée — le traitement équitable et approprié d’une plainte peut contribuer à préserver ou à restaurer la confiance d’une personne dans votre organisation.

Renseignements complémentaires

Pour obtenir plus de détails, veuillez consulter les documents suivants sur le site Web du Commissariat :

Haut de la pageTable des matièresPlaintes déposées auprès du commissaire à la protection de la vie privée du Canada

Types de plaintes

Toute personne peut déposer une plainte auprès du commissaire relativement aux questions mentionnées aux articles 5 à 10 de la Loi ainsi qu’aux recommandations ou obligations définies à l’annexe 1 de cette dernière.

Si le commissaire a des motifs raisonnables de croire qu’une enquête devrait être menée, il peut lui-même déposer une plainte contre une organisation aux termes du paragraphe 11(2).

Lorsqu’il tente de déterminer s’il existe des motifs raisonnables de prendre l’initiative d’une plainte, le commissaire doit établir s’il existe des éléments de preuve crédibles montrant qu’il y a une possibilité sérieuse qu’une enquête révèle une infraction ou une intention d’infraction à la Loi.

Délais

Il est possible de déposer en tout temps la plupart des types de plaintes. Cela dit, le commissaire peut refuser d’enquêter sur une plainte s’il est d’avis que la plainte n’a pas été déposée dans un délai raisonnable.

La seule exception concerne les plaintes déposées par des personnes à qui on a refusé l’accès à leurs renseignements personnels. Dans ce cas, la plainte doit être déposée dans les six mois suivant le refus de l’organisation de fournir les renseignements ou à l’expiration du délai prévu pour la réponse à une demande. Cependant, le commissaire peut prolonger le délai prévu pour une plainte relative au droit d’accès.

Le commissaire dispose d’une année à compter de la date du dépôt de la plainte pour préparer un rapport.

Comment le commissaire à la protection de la vie privée du Canada traite-t-il les plaintes?

En sa qualité d’ombudsman, le commissaire adopte, le plus souvent possible dans ses enquêtes, une approche axée sur la collaboration et la conciliation. Il encourage le règlement des plaintes au moyen de la négociation et de la persuasion, ou du recours à des modes alternatifs de règlement des conflits, comme la médiation et la conciliation, qui sont des moyens accessibles à toutes les étapes de l’enquête.

Règlement rapide

Lorsqu’une plainte porte sur un différend susceptible d’être réglé rapidement, la plainte est renvoyée à un agent de règlement rapide.

Il pourrait s’agir, par exemple, de questions sur lesquelles le Commissariat a déjà formulé des conclusions, d’allégations auxquelles l’organisation a déjà donné suite à la satisfaction du Commissariat ou de questions qui pourraient rapidement donner lieu à un règlement.

Le Commissariat aide à trouver une solution propre à satisfaire toutes les parties sans qu’une enquête officielle soit déclenchée lorsqu’une question est traitée avec succès dans le cadre de ce processus. Aucun rapport de conclusion d’enquête ne sera produit.

Refus d’enquêter

Le commissaire peut refuser d’enquêter sur une plainte lorsqu’il est d’avis que :

  • le plaignant devrait d’abord épuiser les recours de règlement des griefs ou d’examen qui lui sont normalement offerts;
  • la plainte pourrait être traitée de façon plus appropriée, dans un premier temps ou à toutes les étapes, au moyen d’une procédure différente prévue par une loi fédérale ou provinciale;
  • la plainte n’a pas été déposée dans un délai raisonnable après que son objet a pris naissance.

Lorsqu’une plainte est rejetée, les parties visées sont informées de la décision et des raisons du rejet.

Enquêtes

Lorsqu’une plainte a été acceptée aux fins d’enquête, un enquêteur est désigné au dossier.

Dès le début d’une enquête, le commissaire informe par écrit l’organisation du contenu de la plainte et désigne un enquêteur responsable du dossier. À toute étape de la procédure, l’organisation peut présenter des observations au commissaire.

L’enquêteur responsable du dossier communique avec le membre du personnel désigné de l’organisation pour lui indiquer comment il entend procéder et, le cas échéant, pour lui préciser les documents qu’il lui faudra consulter de même que les membres du personnel qu’il devra interroger. L’enquêteur peut également indiquer si des visites sur place seront nécessaires.

L’enquêteur peut obtenir de l’information directement auprès de personnes qui connaissent bien la question à l’étude. Ces entretiens s’effectuent en privé. L’enquêteur peut également exiger de consulter les documents originaux. Les documents remis à un enquêteur sont restitués à l’organisation dans les dix jours suivant une demande en ce sens, mais l’enquêteur pourra les demander de nouveau s’il en a besoin.

Avant la conclusion de l’enquête, les résultats sont communiqués aux parties en cause. Si elles le souhaitent, ces dernières peuvent faire de nouvelles observations. Elles disposent ainsi d’une nouvelle occasion de régler le différend avant que la plainte soit finalisée.

Même s’il a le pouvoir d’assigner des témoins à comparaître devant lui, de faire prêter serment et d’obliger les organisations à produire des preuves, le commissaire n’aura vraisemblablement recours à une procédure aussi officielle que si les parties refusent de coopérer.

L’enquêteur présente les résultats de l’enquête au commissaire en même temps que les observations des parties. Le commissaire étudie le dossier et présente un rapport aux parties. Le commissaire peut exiger qu’une organisation lui présente, dans un délai donné, les mesures qu’elle a prises ou qu’elle envisage de prendre pour donner suite aux recommandations du rapport ou encore pour expliquer pourquoi aucune mesure n’a été ou ne sera prise.

Le rapport comprend les résultats de l’enquête, le règlement auquel les parties en sont arrivées, les recommandations telles que des modifications proposées aux pratiques de gestion des renseignements, les mesures que l’organisation a prises ou prendra pour donner suite aux recommandations et, le cas échéant, un avis de recours devant la Cour fédérale.

Conclusions et décisions
Une plainte peut donner lieu à l’une ou l’autre des conclusions suivantes :

Hors du champ d’application

À la lumière des données préliminaires recueillies, on a déterminé que la LPRPDE ne s’appliquait pas à l’organisation ou à l’activité faisant l’objet de la plainte. Le commissaire ne produit pas de rapport.

Refus d’enquêter

Le commissaire a refusé de procéder à l’examen d’une plainte parce qu’il était d’avis que le plaignant aurait d’abord dû épuiser les recours internes ou les procédures d’appel ou de règlement des griefs qui lui sont normalement ouverts; que la plainte pourrait avantageusement être instruite selon des procédures prévues par le droit fédéral ou le droit provincial; ou que la plainte n’a pas été déposée dans un délai raisonnable après que son objet a pris naissance, aux termes du paragraphe 12(1) de la LPRPDE.

Mettre fin à l’examen

L’enquête a pris fin avant que toutes les allégations ne soient pleinement examinées. À sa discrétion, le commissaire peut mettre fin à l’examen de la plainte pour un motif prévu au paragraphe 12.2(1) de la LPRPDE.

Retrait

Le plaignant a retiré sa plainte volontairement ou n’a pu être rejoint de façon pratique. Le commissaire ne produit pas de rapport.

Réglée rapidement

Le Commissariat a aidé à négocier une solution satisfaisante pour toutes les parties concernées sans qu’une enquête officielle n’ait été entreprise. Le commissaire ne produit pas de rapport.

Réglée en cours d’enquête

Le Commissariat aide à négocier, en cours d’enquête, une solution qui convient à toutes les parties. Le commissaire ne produit pas de rapport.

Non fondée

L’enquête n’a pas permis de déceler d’éléments de preuve donnant à penser qu’une organisation a enfreint la LPRPDE ou de déceler assez d’éléments de preuve à cette fin.

Fondée et conditionnellement résolue

Le commissaire a déterminé qu’une organisation avait contrevenu à une disposition de la LPRPDE. L’organisation s’est engagée à mettre en œuvre les recommandations formulées par le commissaire, et à démontrer cette mise en œuvre dans les délais prescrits.

Fondée et résolue

Le commissaire a déterminé qu’une organisation avait contrevenu à une disposition de la LPRPDE. L’organisation a démontré qu’elle avait pris des mesures correctives satisfaisantes pour remédier à la situation, soit de sa propre initiative, soit à la suite de recommandations formulées par le commissaire, au moment où la conclusion a été rendue.

Fondée

Le commissaire a déterminé qu’une organisation avait contrevenu à une disposition de la LPRPDE.

Collaboration avec d’autres organisations responsables de la protection des données

Par suite des modifications à la LPRPDE entrées en vigueur en 2011, le Commissariat à la protection de la vie privée du Canada peut collaborer et échanger des renseignements avec des personnes ou des organismes d’un État étranger qui exercent, en vertu des lois, des fonctions et responsabilités semblables aux siennes, ou avec des personnes ou des organismes qui exercent des responsabilités en vertu de lois se rapportant à un comportement qui contreviendrait à la LPRPDE.

Haut de la pageTable des matièresRecours devant la Cour fédérale

Tout plaignant ou tout individu ayant été avisé qu’une enquête a été abandonnée peut demander à être entendu par la Cour fédérale. De même, le commissaire à la protection de la vie privée du Canada peut lui-même demander une audience en son propre nom ou au nom d’un plaignant dans certains cas. En règle générale, les demandes en ce sens doivent être présentées dans les 45 jours suivant le dépôt du rapport du commissaire ou de la date d’avis d’interruption du traitement de la plainte.

Les demandes d’audience devant la Cour fédérale doivent porter sur la question ayant fait l’objet d’une plainte ou sur une question qui est mentionnée dans le rapport produit par le commissaire à l’issue de son enquête, et doivent se rapporter à l’une des dispositions énumérées à l’article 14 de la LPRPDE.

La Cour fédérale peut ordonner à une organisation de corriger des pratiques non conformes aux articles 5 à 10 de la Loi. Elle peut aussi lui ordonner de publier un avis faisant état des mesures prises ou envisagées pour corriger ses pratiques. Enfin, elle peut accorder au plaignant des dommages et intérêts, notamment en réparation d’une humiliation.

Renseignements complémentaires

Pour obtenir plus de détails, veuillez consulter le document suivant sur le site Web du Commissariat :

Haut de la pageTable des matières Vérification des pratiques de gestion des renseignements personnels

La Loi confère au commissaire à la protection de la vie privée du Canada le pouvoir de vérifier les pratiques d’une organisation en matière de gestion des renseignements personnels lorsque le commissaire a des motifs raisonnables de croire que cette dernière ne s’acquitte pas de ses obligations aux termes de la partie 1 de la Loi ou qu’elle ne se conforme pas aux recommandations énoncées à l’annexe 1 de cette dernière.

Circonstances pouvant mener à une vérification

On trouvera ci-après des exemples de circonstances pouvant amener le commissaire à vérifier les pratiques de gestion des renseignements personnels d’une organisation :

  • groupe ou série de plaintes à propos des pratiques d’une organisation donnée;
  • renseignements fournis par un particulier aux termes de la disposition relative à la dénonciation;
  • toute question retenant l’attention des médias.
À quoi s’attendre d’une vérification effectuée par le commissaire?

Conformément au rôle d’ombudsman qui lui est dévolu, le commissaire à la protection de la vie privée du Canada effectue ses vérifications sur la protection des renseignements personnels en adoptant une attitude de conciliation, dans la mesure du possible. Ces vérifications peuvent d’ailleurs se révéler utiles pour les organisations désireuses d’améliorer leurs pratiques en matière de traitement des renseignements personnels.

Le commissaire informe par écrit l’organisation visée qu’une vérification sera menée. Dans sa lettre, le commissaire précise la portée de la vérification, propose un calendrier raisonnable et nomme le délégué autorisé à effectuer la vérification.

Même s’il a le pouvoir d’assigner des témoins à comparaître devant lui, de faire prêter serment et d’obliger des organisations à produire des preuves, le commissaire n’aura vraisemblablement pas recours à une procédure aussi officielle, à moins que les parties refusent de coopérer.

L’agent rencontrera le représentant de l’organisation pour discuter de façon préliminaire de l’intention, de l’objet et de la portée de l’examen.

S’il demande à avoir accès à des locaux de l’organisation, l’agent inspectera les mesures de sécurité. Sur place, il peut interroger toute personne en privé, examiner les dossiers, obtenir copie d’un dossier ou en prélever des extraits. L’agent restituera les documents dans les dix jours suivant une demande en ce sens, mais il pourra les demander de nouveau s’il en a besoin.

Une fois la vérification terminée, l’agent informera le représentant de l’organisation de ses conclusions. Il en fera également état au commissaire, qui formulera des recommandations. Le commissaire fera parvenir le rapport à l’organisation et pourra demander à être tenu au courant des mesures prises par l’organisation pour corriger les problèmes.

Le commissaire peut inclure le rapport de vérification dans son rapport annuel ou rendre publiques les pratiques de gestion des renseignements personnels d’une organisation s’il estime que cela est dans l’intérêt du public.