La protection de la vie privée et l’externalisation pour les entreprises
Janvier 2014
En vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) – loi fédérale protégeant les renseignements personnels dans le secteur privé – les organisations doivent prendre en compte la protection de la vie privée lorsqu’elles envisagent de recourir à l’externalisation.
Aucune disposition de la LPRPDE n’interdit l’externalisation du traitement des renseignements.
Cependant, quel que soit le lieu où l’information est traitée, au Canada ou à l’étranger, toute organisation assujettie à la LPRPDE doit prendre toutes les mesures raisonnables pour protéger ces renseignements contre leur utilisation et leur communication sans autorisation pendant qu’ils sont entre les mains du tiers chargé de les traiter.
L’organisation doit aussi avoir l’assurance que le tiers chargé de traiter l’information a mis en place des politiques et des procédures, notamment en matière de formation du personnel, et des mesures de sécurité efficaces pour s’assurer que l’information dont elle a la garde est protégée de façon adéquate en tout temps.
L’organisation doit aussi expliquer aux individus de façon claire et compréhensible que leurs renseignements peuvent être traités à l’étranger et que les organismes chargés de l’application de la loi et les autorités nationales du pays visé peuvent y avoir accès. Idéalement, cette précision devrait être fournie au moment de la collecte des renseignements. Lorsqu’un consommateur averti a décidé de faire affaire avec une entreprise, il ne peut s’opposer au transfert de l’information le concernant.
Lorsque vos renseignements personnels se trouvent entre les mains d’un tiers fournisseur de services exerçant des activités à l’étranger, ils sont assujettis aux lois du pays visé et aucun contrat ne peut les soustraire à cette exigence. Par exemple, cela signifie que l’organisation peut être tenue de donner suite à une assignation à comparaître ou à un autre mécanisme autorisant les organismes chargés de l’application de la loi à avoir accès aux renseignements personnels.
Pour en savoir davantage :
Ressources
Lignes directrices sur le traitement transfrontalier des données personnelles
Responsabilité
Bulletin d'interprétation – Responsabilité
Infonuagique
Document d’orientation : L’infonuagique pour les petites et moyennes entreprises : Responsabilités et points importants touchant la protection des renseignements personnels
Autres documents
Conclusions en vertu de la LPRPDE
Plainte en vertu de la LPRPDE à l'égard d'Accuserach Inc. s/n Abika.com
Un avis expédié aux clients d'une banque suscite des inquiétudes à propos de la USA PATRIOT Act
Une compagnie aérienne doit modifier sa politique de confidentialité
- Date de modification :