Sélection de la langue

Recherche

Bulletin d’interprétation : Renseignements sensibles

L’un des principaux rôles du commissaire consiste à enquêter sur des plaintes en matière de protection de la vie privée déposées contre des organisations et à tenter de les résoudre. Bien que ses conclusions sur une question donnée peuvent varier selon les faits propres à chaque cas et la position des parties en cause, au fil du temps, ses conclusions au sujet de certaines questions clés peuvent former des principes généraux pouvant servir d’orientations utiles aux organisations.

Afin de résumer les principes généraux qui se sont dégagés des décisions judiciaires et des conclusions du commissaire jusqu’à présent, le Commissariat publie des interprétations de certains concepts clés de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Ces dernières n’ont pas force exécutoire, mais servent plutôt d’orientation à des fins de conformité à la LPRPDE. Ces interprétations peuvent évoluer et se préciser au fur et à mesure que le commissaire formule d’autres conclusions et que les tribunaux rendent d’autres décisions.

Le Commissariat a également élaboré des Lignes directrices pour l’obtention d’un consentement valable et un Bulletin d’interprétation sur la forme de consentement (en cours de révision) qui traitent aussi de la sensibilité des renseignements.

Dispositions législatives pertinentes

de la Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, ch. 5 (LPRPDE ou la Loi)

Principe 4.3.4 : La forme du consentement que l’organisation cherche à obtenir peut varier selon les circonstances et la nature des renseignements. Pour déterminer la forme que prendra le consentement, les organisations doivent tenir compte de la sensibilité des renseignements. Si certains renseignements sont presque toujours considérés comme sensibles, par exemple les dossiers médicaux et le revenu, tous les renseignements peuvent devenir sensibles suivant le contexte. Par exemple, les nom et adresse des abonnés d’une revue d’information ne seront généralement pas considérés comme des renseignements sensibles. Toutefois, les nom et adresse des abonnés de certains périodiques spécialisés pourront l’être.

Principe 4.7 : Les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.

Principe 4.7.2 : La nature des mesures de sécurité variera en fonction du degré de sensibilité des renseignements personnels recueillis, de la quantité, de la répartition et du format des renseignements personnels ainsi que des méthodes de conservation. Les renseignements plus sensibles devraient être mieux protégés. La notion de sensibilité est présentée à l’article 4.3.4.

Sous-alinéa 7.2(1)a)(ii) : En plus des cas visés aux paragraphes 7(2) et (3), pour l’application de l’article 4.3 de l’annexe 1 et malgré la note afférente, les organisations qui sont parties à une éventuelle transaction commerciale peuvent utiliser et communiquer des renseignements personnels à l’insu de l’intéressé ou sans son consentement si elles ont conclu un accord aux termes duquel l’organisation recevant des renseignements s’est engagée à les protéger au moyen de mesures de sécurité correspondant à leur degré de sensibilité.

Sous-alinéa 7.2(2)a)(ii) : En plus des cas visés aux paragraphes 7(2) et (3), pour l’application de l’article 4.3 de l’annexe 1 et malgré la note afférente, si la transaction commerciale est effectuée, les organisations y étant parties peuvent utiliser et communiquer les renseignements personnels, communiqués en vertu du paragraphe (1), à l’insu de l’intéressé ou sans son consentement dans le cas où elles ont conclu un accord aux termes duquel chacune d’entre elles s’est engagée à les protéger au moyen de mesures de sécurité correspondant à leur degré de sensibilité.

Paragraphe 10.1(8) : Les éléments servant à établir si une atteinte aux mesures de sécurité présente un risque réel de préjudice grave à l’endroit de l’intéressé sont notamment le degré de sensibilité des renseignements personnels en cause, la probabilité que les renseignements aient été mal utilisés ou soient en train ou sur le point de l’être et tout autre élément prévu par règlement.

Application par les tribunaux et le Commissariat dans divers contextes

Même si aux termes de la LPRPDE, tout renseignement personnel peut devenir sensible suivant le contexte, nous avons constaté que certaines catégories de renseignements personnels seront généralement considérées comme sensibles en raison des risques particuliers pour les personnes qui sont associés à la collecte, à l’utilisation ou à la communication de ces catégories de renseignements.

Certaines catégories de renseignements personnels seront généralement considérées comme sensibles et doivent faire l’objet d’une meilleure protection – notamment les renseignements sur la santé, les finances, les origines ethniques et raciales, les opinions politiques, la vie sexuelle ou l’orientation sexuelle et les croyances religieuses ou philosophiques, ainsi que les données génétiques et biométriques.

La question de savoir si des renseignements personnels sont considérés comme « sensibles » au titre de la LPRPDE variera en fonction des faits de chaque cas. Voici des cas où les considérations relatives à la sensibilité des renseignements étaient pertinentes pour l’analyse.

Le contexte est pertinent pour l’évaluation de la sensibilité

Les renseignements personnels peuvent être considérés comme sensibles une fois combinés à d’autres renseignements

Les renseignements personnels sur la santé en tant que renseignements sensibles

Les renseignements financiers en tant que renseignements sensibles

Renseignements personnels ayant une incidence sur la réputation d’une personne

Mesures de sécurité pour la protection des renseignements sensibles

Autres renseignements généralement considérés comme sensibles

Date de modification :