La protection de la vie privée et l’externalisation pour les entreprises

Janvier 2014

En vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) – loi fédérale protégeant les renseignements personnels dans le secteur privé – les organisations doivent prendre en compte la protection de la vie privée lorsqu’elles envisagent de recourir à l’externalisation.

Aucune disposition de la LPRPDE n’interdit l’externalisation du traitement des renseignements.

Cependant, quel que soit le lieu où l’information est traitée, au Canada ou à l’étranger, toute organisation assujettie à la LPRPDE doit prendre toutes les mesures raisonnables pour protéger ces renseignements contre leur utilisation et leur communication sans autorisation pendant qu’ils sont entre les mains du tiers chargé de les traiter.

L’organisation doit aussi avoir l’assurance que le tiers chargé de traiter l’information a mis en place des politiques et des procédures, notamment en matière de formation du personnel, et des mesures de sécurité efficaces pour s’assurer que l’information dont elle a la garde est protégée de façon adéquate en tout temps.

L’organisation doit aussi expliquer aux individus de façon claire et compréhensible que leurs renseignements peuvent être traités à l’étranger et que les organismes chargés de l’application de la loi et les autorités nationales du pays visé peuvent y avoir accès. Idéalement, cette précision devrait être fournie au moment de la collecte des renseignements. Lorsqu’un consommateur averti a décidé de faire affaire avec une entreprise, il ne peut s’opposer au transfert de l’information le concernant.

Lorsque vos renseignements personnels se trouvent entre les mains d’un tiers fournisseur de services exerçant des activités à l’étranger, ils sont assujettis aux lois du pays visé et aucun contrat ne peut les soustraire à cette exigence. Par exemple, cela signifie que l’organisation peut être tenue de donner suite à une assignation à comparaître ou à un autre mécanisme autorisant les organismes chargés de l’application de la loi à avoir accès aux renseignements personnels.

Pour en savoir davantage :

Ressources

Lignes directrices sur le traitement transfrontalier des données personnelles

Responsabilité

Bulletin d'interprétation – Responsabilité

Infonuagique

Communiqué : Infonuagique : Les commissaires à la protection de la vie privée invitent les PME à réfléchir aux implications avant de sauter dans le nuage

Document d’orientation : L’infonuagique pour les petites et moyennes entreprises : Responsabilités et points importants touchant la protection des renseignements personnels

Introduction à l’infonuagique

Visez les nuages : Questions liées à la protection de la vie privée dans le contexte de l’informatique dans les nuages

Rapport sur les consultations de 2010 du Commissariat à la protection de la vie privée du Canada sur le suivi, le profilage et le ciblage en ligne et sur l’infonuagique

Autres documents

Fiche d’information : Que peuvent faire les Canadiens et les Canadiennes pour protéger la communication transfrontalière de leurs renseignements personnels?

Conclusions en vertu de la LPRPDE

Plainte en vertu de la LPRPDE à l'égard d'Accuserach Inc. s/n Abika.com

Un avis expédié aux clients d'une banque suscite des inquiétudes à propos de la USA PATRIOT Act

Responsabilité d’institutions financières canadiennes dans la communication de renseignements personnels par SWIFT aux autorités des États-Unis

L’impartition des services de courriel de canada.com à une entreprise établie aux États-Unis suscite des questions parmi les abonnés

L’impression des renseignements relatifs à la carte de crédit sur les billets d’avion constitue une mesure de sécurité inadéquate; transfert des renseignements personnels au grossiste mis en cause

Une entreprise canadienne communique les renseignements personnels de ses clients à la société mère située aux États Unis

Une compagnie aérienne doit modifier sa politique de confidentialité

Une banque est accusée d'avoir communiqué à l'employeur d'une débitrice des renseignements sans son consentement

Date de modification :