Sélection de la langue

Recherche

Bulletin d’interprétation : Responsabilité

L’un des principaux rôles du commissaire consiste à enquêter sur des plaintes en matière de protection de la vie privée déposées contre des organisations et à tenter de les résoudre. Ses conclusions sur une question donnée peuvent varier selon les faits propres à chaque cas ainsi que la position des parties en cause. Les conclusions au sujet de certaines questions clés ont commencé à former des principes généraux pouvant servir de lignes directrices utiles aux organisations.

Dans ses efforts visant à résumer les principes généraux qui se sont dégagés des décisions judiciaires et des conclusions du commissaire, le CPVP publie des interprétations de certains concepts clés de la LPRPDE. Ces dernières n’ont pas force exécutoire, mais servent plutôt d’orientation à des fins de conformité à la LPRPDE. À mesure que la commissaire émet d’autres conclusions et que les tribunaux rendent d’autres décisions, ces interprétations peuvent évoluer et se préciser.

La définition de « responsabilité »

I. Dispositions législatives pertinentes

Le principe 4.1 de la Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, ch. 5 (la LPRPDE), prévoit qu’une organisation est responsable des renseignements personnels dont elle a la gestion et doit désigner une ou des personnes qui devront s’assurer du respect des principes énoncés à l’annexe 1 de la LPRPDE.

Selon le principe 4.1.1, il incombe à la ou aux personnes désignées de s’assurer que l’organisation respecte les principes même si d’autres membres de l’organisation peuvent être chargés de la collecte et du traitement quotidiens des renseignements personnels. D’autres membres de l’organisation peuvent aussi être délégués pour agir au nom de la ou des personnes désignées.

Selon le principe 4.1.2, il doit être possible de connaître sur demande l’identité des personnes désignées.

Le principe 4.1.3 prévoit qu’une organisation est responsable des renseignements personnels qu’elle a en sa possession ou sous sa garde, y compris les renseignements confiés à une tierce partie aux fins de traitement. Les organisations doivent, par voie contractuelle ou autre, fournir un degré comparable de protection aux renseignements qui sont en cours de traitement par une tierce partie.

Selon le principe 4.1.4, les organisations doivent assurer la mise en œuvre des politiques et des pratiques destinées à donner suite aux principes énoncés à l’annexe 1 de la LPRPDE, y compris : a) la mise en œuvre des procédures pour protéger les renseignements personnels; b) la mise en place des procédures pour recevoir les plaintes et les demandes de renseignements et y donner suite; c) la formation du personnel et la transmission au personnel de l’information relative aux politiques et pratiques de l’organisation; d) la rédaction des documents explicatifs concernant les politiques et procédures de l’organisation.

II. Interprétations générales des tribunaux

  1. Les organisations seront tenues responsables de leurs manquements aux obligations imposées par l’annexe 1 de la Loi. Elles ne peuvent se défendre en faisant valoir qu’elles se conforment aux normes de l’industrie si ces normes sont inférieures aux exigences de la LPRPDE. De plus, aucune défense de nécessité pratique ne libère une organisation des obligations qui lui incombent sous le régime de la Loi (Nammo c. TransUnion of Canada Inc., 2010 CF 1284).
  2. Une organisation peut être tenue responsable des actes fautifs commis par ses employés qui contreviennent à la LPRPDE, en particulier lorsque l’employé tente de dissimuler son acte fautif (Landry c. Banque Royale du Canada, 2011 CF 687).

III. Applications par le CPVP dans divers contextes

La question de savoir si une organisation satisfait aux obligations que la Loi lui impose en matière de responsabilité dépend des faits de chaque enquête relative à une plainte. Les exemples suivants illustrent la manière dont le principe de responsabilité a été interprété et appliqué par le CPVP ainsi que certaines des conclusions générales qu’il a tirées dans différents contextes.

Politiques, pratiques et méthodes

Formation des employés

Tiers fournisseurs de services

Vérifications indépendantes

Pour obtenir plus de renseignements sur la responsabilité, veuillez consulter :

Date de modification :