Common menu bar links

Accueil > Ressources > Rapports et publications

Institutional links

Vous recevez des pourriels? Apprenez comment protéger Protéger les renseignements personnels : Un outil d'auto-évaluation à l'intention des organisations L’outil en ligne sur la protection de la vie privée pour la petite entreprise Quiz à l'intention des entreprises Recherche financée par le CPVP Atteinte à la vie privée ? Information pour les organisations Comment déposer une plainte concernant la protection de la vie privée
Rapports et publications
Documents d'orientation du CPVP Rapport annuels au Parlement Rapports de vérification Rapports redditionnels Autres publications

Documents d'orientation du CPVP

Version PDF

Guide pour la petite entreprise : Rudiments de la protection de la vie privée

Table des matières

Miser sur la protection de la vie privée
Le Commissariat à la protection de la vie privée du Canada
Pour commencer
Au-delà du guide
Une politique éprouvée pour une saine gestion des affaires
Recueillir et conserver les renseignements avec soin
Élaborer sa propre politique
L’engagement des employés contribue à fidéliser la clientèle
Faire preuve d’honnêteté et d’ouverture
En cas de problème
Sensibiliser les employés régulièrement
Questionnaire sur la politique de protection de la vie privée

Miser sur la protection de la vie privée

Une gestion adéquate des préoccupations en matière de protection de la vie privée peut contribuer à améliorer la réputation de votre organisation.

En prenant le droit à la vie privée au sérieux, vous établissez un climat de confiance qui fidélise votre clientèle et attire les meilleurs employés. L’adoption d’une politique détaillée en matière de protection de la vie privée, rédigée de façon compréhensible pour la clientèle et le personnel, pourrait vous éviter de subir un litige en matière de protection de la vie privée.

Ce feuillet est un guide facile à utiliser qu’a préparé le Commissariat à la protection de la vie privée du Canada en tant que première étape pour les entreprises qui désirent améliorer leurs pratiques et éviter de telles enquêtes. Les conseils qu’il contient vous aideront à mettre en valeur à l’interne votre capacité à répondre aux questions et aux plaintes.

Le Commissariat à la protection de la vie privée du Canada

Le Commissariat sait que les entreprises – surtout les PME – font chaque jour face à de nombreux défis puisqu’elles doivent composer avec de multiples priorités, y compris la protection de la vie privée de leur clientèle. Le Commissariat a pour mission de protéger le droit à la vie privée des Canadiennes et des Canadiens, d’appuyer les entreprises dans leurs démarches pour se conformer aux lois fédérales en la matière et de faire enquête sur les pratiques des entreprises en cas de plainte.

Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)

La LPRPDE établit des règles de base sur la façon dont les organisations peuvent recueillir, utiliser ou communiquer des renseignements au sujet de clients et d’employés dans le cadre d'activités commerciales. La Loi donne aussi aux personnes le droit de consulter les renseignements qu'une organisation a recueillis à leur sujet et de demander qu'ils soient corrigés. Si un client estime qu'une organisation assujettie à la LPRPDE ne s'acquitte pas de ses obligations aux termes de la loi, il a le droit de porter plainte officiellement.

La LPRPDE s’applique aux organisations qui exercent des activités commerciales partout au Canada, sauf celles régies par des provinces qui ont leurs propres lois sur la protection des renseignements personnels pour le secteur privé. Le Québec, l’Alberta et la Colombie-Britannique ont leur propre loi, et l’Ontario en a adopté une qui porte spécifiquement sur les renseignements personnels en matière de santé. Toutefois, même dans ces provinces, la LPRPDE s’applique aux entreprises du secteur privé sous réglementation fédérale ainsi qu'aux renseignements personnels obtenus dans le cadre d'opérations interprovinciales et internationales.

La LPRPDE protège aussi les renseignements des employés, mais seulement dans le secteur sous réglementation fédérale. Les organizations visées par la Loi en ce qui trait aux renseignements personnels de leurs clients peuvent vouloir étendre la même protection aux renseignements personnels de leurs employés.

La définition de « renseignements personnels » s’étend à de nombreux éléments, qu’il s’agisse du nom ou de l’âge d’une personne, de son origine ethnique, de ses renseignements médicaux ou de son revenu. Pour en savoir plus sur les renseignements personnels ou sur une loi en matière de protection de la vie privée en particulier, consultez priv.gc.ca, sous l’onglet « Législation ».

Pour commencer

Si vous lisez ce guide, c’est probablement que votre entreprise vous a chargé de veiller à la conformité aux exigences de protection de la vie privée. La législation en la matière oblige d’ailleurs votre entreprise à désigner un responsable pour cette importante tâche.

Ce document vous aidera à élaborer une politique souple et proactive, car il contient de nombreux principes importants.

Au-delà du guide

Si vous faites bien les choses en ce qui concerne la protection de la vie privée, votre clientèle l’appréciera et vous éviterez des plaintes et des enquêtes. Ce guide vous mettra sur la bonne voie. Pour en savoir plus sur la façon d’intégrer la protection de la vie privée à vos opérations commerciales, consulter le guide à l’intention des entreprises et l’outil d’apprentissage électronique à l’intention des détaillants, sous l’onglet « Trousse pour les entreprises » du site priv.gc.ca.

Une politique éprouvée pour une saine gestion des affaires

Les lois sur la protection des renseignements personnels dans le secteur privé obligent les organisations à élaborer des politiques de protection de la vie privée qui décrivent la façon dont elles recueillent, utilisent et communiquent les renseignements personnels de leur clientèle. Le processus n’a pas à être très complexe. À la section « Élaborer sa propre politique » ci-dessous se trouve une liste de mesures qui constituent des éléments clés de conformité à la loi fédérale. Cette liste n’est pas exhaustive, mais elle vous aidera à réunir les éléments essentiels de votre future politique de protection de la vie privée.

Recueillir et conserver les renseignements avec soin

Lorsque vous recueillez des renseignements sur vos clients, vous devez expliquer les fins de la collecte et obtenir le consentement de l’intéressé au préalable. Parfois, un consentement explicite est nécessaire, alors qu’en d’autres occasions un consentement implicite peut être suffisant. Pour de plus amples renseignements à ce sujet, consultez en ligne notre fiche d’information intitulée Détermination de la forme de consentement appropriée aux termes de la Loi sur la protection des renseignements personnels et les documents électroniques.Il est également important de ne pas recueillir de renseignements à une fin, puis les utiliser pour une autre sans en aviser les clients ou demander leur permission.

Vos clients se soucient à juste titre de la façon dont vous utiliserez leurs renseignements personnels et une politique sur la protection de la vie privée contribuera à les rassurer.

Selon la loi, vous devez également vous assurer que tout renseignement personnel obtenu est protégé adéquatement.

Une façon facile et économique pour votre entreprise de respecter la Loi sur la protection des renseignements personnels consiste à ne recueillir que les données personnelles dont vous avez vraiment besoin. Si vous n’avez pas réellement besoin de certains renseignements, ne les demandez pas.

Un autre moyen facile et rapide d’assurer une meilleure sécurité des renseignements est de limiter l’accès aux données sur les clients aux personnes qui ont besoin d’en prendre connaissance. Dressez une liste des employés qui ont vraiment besoin des données sur les clients pour remplir leurs fonctions. Ceux qui n’en ont pas besoin ne doivent pas être en mesure de consulter ces données.

Mettre les données personnelles à l’abri des regards indiscrets peut prendre la forme de mesures aussi simples qu’un cadenas sur une filière ou la restriction de l’accès à un local aux personnes autorisées.
Il est également important de vous assurer que les systèmes informatiques qui gardent en mémoire les renseignements personnels sont protégés adéquatement à l’aide de mesures telles que les mots de passe, le chiffrement et les pare-feu. La technologie évolue rapidement, alors vous aurez à revoir et à mettre à jour régulièrement vos mesures de sécurité. Les détaillants devraient aussi utiliser une caisse enregistreuse qui tronque (cache d’un x) le numéro de la carte de paiement sur le bon de caisse.

Élaborer sa propre politique

Optez pour la simplicité
Votre politique doit être claire, concise et rédigée dans une langue simple et facile à comprendre. Elle doit fournir suffisamment d’information pour aider vos clients à comprendre la façon dont vous gérez leurs renseignements personnels.

Étudiez d’autres politiques
Vous trouverez sur Internet les politiques d’organisations comme la vôtre. Bien que le Commissariat ne recommande aucune politique en particulier, il a relevé que les politiques des entreprises des secteurs des services financiers et des télécommunications sont bien développées et méritent qu’on s’en inspire. Familiarisez-vous davantage avec les exigences de votre politique de confidentialité en étudiant les principes de l’annexe I de la LPRPDE, que vous trouverez en ligne à priv.gc.ca.

Ne recueillez que les renseignements dont vous avez besoin
Le principe de limitation de la collecte énoncé à l’annexe I de la LPRPDE stipule que vous ne pouvez recueillir que les renseignements personnels nécessaires aux fins d’affaires – par exemple, pour gérer une relation commerciale et offrir un service continu, pour facturer des produits ou des services et en obtenir le paiement, pour vendre à un particulier ainsi que pour satisfaire à des exigences légales et réglementaires. Pour mieux connaître les exigences de votre politique sur la protection de la vie privée, consultez les principes énoncés à l’annexe I de la LPRPDE en ligne sur le site priv.gc.ca.

Faites preuve de transparence quant à la communication des renseignements personnels
Si vous avez l’intention de communiquer les renseignements de vos clients à une organisation affiliée ou partenaire ou à toute autre tierce partie, votre politique doit le mentionner. Vous n’avez pas nécessairement à les nommer toutes, mais vous devez dresser un portrait général du type d’entreprise en question. De plus, vous devez donner à vos clients l’occasion d’y consentir.

Avisez la clientèle si les renseignements sont susceptibles d’être conservés à l’extérieur du Canada
Le recours à un tiers pour le traitement de l’information, notamment une entreprise offrant des services de paie, augmente le risque que des renseignements sous votre responsabilité soient conservés à l’extérieur du Canada, et vos clients doivent être informés de cette possibilité.

Faites preuve de transparence quant à la façon dont vous protégez les renseignements
Le risque de vol d’identité et d’autres utilisations non autorisées des renseignements personnels est toujours présent et en constante transformation. La protection des renseignements personnels en votre possession est essentielle. Vos clients et votre personnel apprécieront votre franchise quant à la façon dont vous prévoyez protéger leurs renseignements contre de tels abus.

Avisez vos clients de la durée de conservation des renseignements
La LPRPDE exige que vous ne conserviez les renseignements personnels qu’aussi longtemps que nécessaire pour la réalisation de vos fins. Si une loi comme la Loi de l'impôt sur le revenu vous autorise à conserver des renseignements personnels sur une longue période, songez à le mentionner dans votre politique.

Traitez les employés séparément
D’ordinaire, les fins pour lesquelles les organisations recueillent, utilisent et communiquent les renseignements de leurs employés sont l’administration de la paie, de la retraite, des avantages et du départ, l’offre de programmes aux employés, la gestion de la propriété de l’entreprise ainsi que l’embauche et le maintien en poste de la main-d’œuvre hautement qualifiée. Comme ces fins sont différentes de celles de la collecte des renseignements des clients, elles doivent être traitées dans une section à part de votre politique.

Soyez disponible pour répondre aux questions
Indiquez la façon de joindre votre organisation pour toute demande de renseignements sur la protection de la vie privée, par courriel ou par un numéro sans frais. De plus, avisez vos clients qu’ils peuvent joindre le Commissariat à la protection de la vie privée du Canada au 1-800-282-1376 s’ils ne sont pas satisfaits de votre réponse à leur préoccupation en matière de protection de la vie privée.

L’engagement des employés contribue à fidéliser la clientèle

Les lois sur la protection des renseignements personnels exigent que les employés soient informés des pratiques et des politiques en matière de protection de la vie privée de l’organisation, et elles prévoient que les employés comprennent leur rôle dans la mise en œuvre des politiques et soient capables de les communiquer.

Lorsque vous formez vos employés à discuter ouvertement avec les clients des raisons pour lesquelles votre organisation recueille des renseignements personnels ainsi que des plans d’utilisation de ces renseignements, vous augmentez le niveau de confiance de vos relations d’affaires et vous suscitez la fierté chez vos employés.

La liste ci-dessous comprend des idées pour vous aider à concevoir un programme de formation à l’interne pour les employés. Cette liste n’est qu’un point de départ. Pour en savoir plus sur la formation des employés, consulter les ressources en ligne suivantes à la section « Trousse pour les entreprises » sur le site priv.gc.ca : Guide à l’intention des entreprises, Outil d'apprentissage électronique à l'intention des détaillants et Outil d’autoévaluation – LPRPDE.

Les expressions programme de formation et cours de recyclage utilisées ci-dessous peuvent avoir diverses significations. Si votre organisation est de petite envergure, le processus de formation des employés peut se limiter à une simple conversation.

Déterminez quels employés ont le plus besoin de formation
Généralement, les employés qui traitement directement avec les clients sont ceux qui recueillent les renseignements qui suscitent le plus de questions. Ils doivent savoir quand demander de l’aide ou soumettre un problème à un responsable de la protection de la vie privée.

N’oubliez pas certains groupes d’employés
Il est tentant pour les employés du marketing et du développement de produits de profiter des renseignements personnels de vos clients pour améliorer et vendre vos produits. Considérez la possibilité d’organiser de petits ateliers pour ces groupes afin qu’ils comprennent les politiques et les obligations de votre organisation en matière de gestion appropriée des renseignements personnels.

Intégrez les questions de protection de la vie privée aux programmes de formation standard
Si votre organisation est de petite envergure ou si vous n’avez pas de programme de formation officiel, songez à organiser une formation sur votre nouvelle politique de protection de la vie privée et à offrir régulièrement des cours de recyclage. Une référence en ligne ou un guide sur papier est une excellente ressource pour les employés qui apprennent à se familiariser avec votre politique.

Élaborez un processus de mise à jour des renseignements sur votre politique de protection de la vie privée
Ce processus vous permettra de répondre aux nouvelles questions et d’offrir des mises à jour régulières aux employés afin qu’ils puissent réagir de façon appropriée selon les circonstances.

Examinez régulièrement les plaintes des clients
Cette stratégie vous aidera à traiter les questions au sujet de votre politique et de vos pratiques en matière de protection de la vie privée et à améliorer votre programme de formation sur la protection de la vie privée.

Indiquez aux employés où trouver de l’aide
Il est impossible de prévoir toutes les questions des clients, mais si vous fournissez de l’information pertinente et un accès aux ressources ou aux personnes dans l’organisation qui peuvent fournir plus d’information, il sera beaucoup plus facile pour les clients et les employés de comprendre vos pratiques.

Concevez un questionnaire pour tester les connaissances de vos employés
Un exemple de questionnaire est inclus à la fin de cette publication. Utilisez-le ou développez-le pour aider les employés à demeurer informés des questions importantes sur la protection de la vie privée.

Faire preuve d’honnêteté et d’ouverture

Il est essentiel de fournir à vos clients un point de contact unique dans votre organisation pour ce qui est des questions de protection de la vie privée. De nombreux clients mécontents se sont plaints au Commissariat à la protection de la vie privée qu’ils ne trouvent personne au sein d’une entreprise pour répondre à leurs questions.

En cas de problème

Dans certaines circonstances, peu importe les efforts que vous déploierez pour fidéliser la clientèle, votre organisation n’arrivera pas à répondre aux attentes de vos clients en matière de protection de la vie privée. Regagner la fidélité de la clientèle peut se faire simplement si on s’y prend de la bonne façon. Vous pouvez suivre les quatre étapes suivantes pour régler les problèmes de protection de la vie privée avant que vos clients ne portent plainte au Commissariat.

  1. Assumez la responsabilité
    Excusez-vous sincèrement auprès du client de ne pas avoir répondu à ses attentes. Souvent, c’est tout ce qu’il faut pour répondre à la préoccupation et vous assurer sa fidélité.
  2. Réglez le problème
    Si votre organisation a commis une erreur, prenez des mesures immédiatement. Si votre politique en matière de protection de la vie privée a été critiquée, déterminez si elle est appropriée et si elle devrait s’appliquer à l’avenir dans des situations similaires.
  3. Accordez une réparation
    Si votre organisation a commis une erreur, offrez au client quelque chose de significatif pour vous excuser des inconvénients occasionnés. Si le client désire des excuses par écrit, pensez à faire en sorte qu’un membre de la direction lui rédige une lettre d’excuses.
  4. Faites le suivi auprès des clients mécontents
    Assurez-vous que le problème a été réglé à la satisfaction de votre client.

Cette démarche ne résoudra probablement pas tous les problèmes de protection de la vie privée de vos clients, mais elle vous aidera à rétablir des relations, à fidéliser la clientèle et à éviter des enquêtes en matière de protection de la vie privée. Par-dessus tout, assurez-vous que vos employés de première ligne reçoivent l’appui de vos responsables de la protection de la vie privée pour répondre aux préoccupations de vos clients.

Sensibiliser les employés régulièrement

La politique en matière de protection de la vie privée de votre organisation est un outil essentiel pour protéger les renseignements personnels de vos clients. Vous devez faire en sorte que vos employés connaissent cette politique et les circonstances dans lesquelles ils peuvent ou non recueillir, utiliser ou communiquer les renseignements des clients, et vous devez vous assurer qu’ils comprennent les raisons de la collecte d’information.

N’hésitez pas à adapter le questionnaire ci-dessous et à le soumettre à vos employés régulièrement. Il leur permettra de se rafraîchir la mémoire et il aidera à développer une culture fondée sur le respect envers les questions de protection de la vie privée.

Questionnaire sur la politique de protection de la vie privée

  1. Quels renseignements votre organisation ou direction recueille-t-elle et pourquoi les recueillez-vous?


  2. Comment votre organisation protège-t-elle les renseignements personnels des clients?


  3. Dans cette organisation, qui doit-on contacter pour obtenir plus d’information sur votre politique de protection de la vie privée, pour clarifier la politique ou pour déposer une plainte en matière de protection de la vie privée?


  4. Dans quelles circonstances votre organisation divulgue-t-elle des renseignements personnels, par exemple aux agences d'évaluation du crédit ou aux organismes de renseignement?


Commissariat à la protection de la vie privée du Canada
112, rue Kent
Ottawa (Ontario) K1A 1H3

613-947-1698, 1-800-282-1376
Téléc. : 613-947-6850
ATS : 613-992-9190

N? de cat. : IP54-17/2008
ISBN : 978-0-662-06051-2

Pour de plus amples renseignements sur les lois canadiennes sur la protection des renseignements personnels applicables au secteur privé, consultez les sites suivants :

Commissariat à la protection de la vie privée du Canada – priv.gc.ca
Commission d’accès à l’information du Québec – cai.gouv.qc.ca
Commissariat à l’information et à la protection de la vie privée de l’Ontario – ipc.on.ca
Commissariat à l’information et à la protection de la vie privée de l’Alberta – oipc.ab.ca
Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique – oipc.bc.ca

Ce guide a été préparé par le Commissariat à la protection de la vie privée du Canada en collaboration avec le Commissariat à l'information et à la protection de la vie privée de l’Alberta.

Date de modification : 2008-10-17
Retourner au haut de la page
Haut de la page
Avis importants