Survol de la LPRPDE

Révisé : Mai 2019

Il faut respecter un certain nombre d’exigences afin d’être conforme à la Loi. Les organisations visées par la LPRPDE doivent habituellement obtenir le consentement des personnes lorsqu’elles recueillent, utilisent ou communiquent des renseignements personnels les concernant. Les personnes ont le droit de consulter les renseignements personnels que détient une organisation à leur sujet. Elles ont aussi le droit d’en contester l’exactitude.

Les renseignements personnels ne peuvent être utilisés qu’aux fins auxquelles ils ont été recueillis. L’organisation qui entend les utiliser à d’autres fins doit, de nouveau, obtenir le consentement de le faire. Les renseignements personnels doivent être protégés par des mesures appropriées.

Sur cette page

• Modalités d’application de la Loi
  • Lois provinciales sur la protection des renseignements personnels
  • Des renseignements qui traversent les frontières
  • Organisations sous réglementation fédérale
• Qu’entend-on par « renseignements personnels »?
• Qu’est-ce qui n’est pas visé par la LPRPDE?
• Vos responsabilités en vertu de la LPRPDE

Modalités d’application de la Loi

La LPRPDE s’applique aux organisations du secteur privé qui recueillent, utilisent ou communiquent des renseignements personnels dans le cadre de leurs activités commerciales.

Selon la loi, une « activité commerciale » s’entend de toute activité régulière ainsi que tout acte isolé qui revêtent un caractère commercial de par leur nature, y compris la vente, le troc ou la location de listes de donneurs, d’adhésion ou de collecte de fonds.

Lois provinciales sur la protection des renseignements personnels

L’Alberta, la Colombie-Britannique et le Québec ont leurs propres lois en matière de protection des renseignements personnels dans le secteur privé jugées être essentiellement similaires à la LPRPDE. Les organisations assujetties à des lois provinciales essentiellement similaires en matière de protection des renseignements personnels sont habituellement exonérées de la LPRPDE en ce qui a trait à la collecte, à l’utilisation ou à la communication de renseignements personnels au sein de cette province.

L’Ontario, le Nouveau-Brunswick, la Nouvelle-Écosse et Terre-Neuve-et-Labrador ont également adopté des lois essentiellement similaires à l’égard de la collecte, de l’utilisation et de la communication de renseignements personnels sur la santé.

Des renseignements qui traversent les frontières

Toutes les entreprises qui exercent des activités au Canada et qui traitent des renseignements personnels qui vont au-delà des frontières provinciales ou nationales dans le cadre de leurs activités commerciales sont assujetties à la LPRPDE, quel que soit le territoire ou la province où elles se situent (y compris dans des provinces dotées de lois essentiellement similaires).

Organisations sous réglementation fédérale

Les organisations sous réglementation fédérale qui exercent leurs activités au Canada sont toujours assujetties à la LPRPDE. La Loi s’applique également aux renseignements personnels de leurs employés.

Ces organisations comprennent :

• les aéroports, les aéronefs et les lignes aériennes;
• les banques et les banques étrangères autorisées;
• les entreprises de transport interprovinciales ou internationales;
• les entreprises de télécommunication;
• les entreprises exerçant des activités de forage en mer;
• les radiodiffuseurs et télédiffuseurs.

REMARQUE : Les organisations situées dans les Territoires du Nord-Ouest, au Yukon et au Nunavut sont réputées être sous réglementation fédérale et sont donc également visées par la LPRPDE.

Si vous n’êtes pas certain de savoir si votre entreprise est assujettie à la LPRPDE, veuillez consulter « Trouver à qui vous adresser en cas de problème lié à la protection de la vie privée » sur notre site Web.

Qu’entend-on par « renseignements personnels »?

Aux termes de la LPRPDE, on entend par renseignement personnel tout renseignement factuel ou subjectif, consigné ou non, concernant une personne identifiable. Il peut s’agir de tout type de renseignement, par exemple :

• l’âge, le nom, un numéro d’identification, le revenu, l’origine ethnique ou le groupe sanguin;
• une opinion, une évaluation, un commentaire, le statut social ou une mesure disciplinaire;
• le dossier d’un employé, un dossier de crédit ou de prêt, un dossier médical, l’existence d’un différend entre un consommateur et un commerçant ou le projet d’une personne (par exemple, l’intention d’acquérir des biens ou des services ou de changer d’emploi).

Qu’est-ce qui n’est pas visé par la LPRPDE?

Il y a des cas où la LPRPDE ne s’applique pas, par exemple :

• les renseignements personnels traités par les organisations fédérales mentionnées dans la Loi sur la protection des renseignements personnels;
• les renseignements personnels gérés par les gouvernements provinciaux et territoriaux et leurs mandataires;
• les coordonnées d’affaires, comme le nom, le titre, l’adresse professionnelle, le numéro de téléphone ou l’adresse courriel de l’employé, recueillis, utilisés ou communiqués uniquement dans le but de contacter la personne pour les besoins de son emploi ou de sa profession;
• les renseignements personnels recueillis, utilisés ou communiqués par une personne à des fins strictement personnelles (p. ex. la constitution d’une liste de personnes à qui adresser des cartes de vœux);
• les renseignements personnels recueillis, utilisés ou communiqués par une organisation à des fins strictement journalistiques, artistiques ou littéraires.

À moins qu’ils ne réalisent des activités commerciales qui ne sont pas essentielles à l’exécution de leur mandat et qui nécessitent l’utilisation de renseignements personnels, les entités suivantes ne sont pas visées par la LPRPDE :

• les œuvres de bienfaisance et organismes sans but lucratif; ou
• les associations et partis politiques.

Les municipalités, universités, écoles et hôpitaux sont normalement régis par les lois provinciales. La LPRPDE peut s’appliquer dans certaines situations.

Vos responsabilités en vertu de la LPRPDE

Afin de protéger les renseignements personnels, les entreprises doivent respecter les dix principes relatifs à l’équité dans le traitement de l’information énumérés à l’Annexe 1 de la LPRPDE.

En suivant ces principes, vous contribuerez à établir la confiance envers votre entreprise et l’économie numérique.

Ces principes sont les suivants :

1. Responsabilité
2. Détermination des fins de la collecte des renseignements
3. Consentement
4. Limitation de la collecte
5. Limitation de l’utilisation, de la communication et de la conservation
6. Exactitude
7. Mesures de sécurité
8. Transparence
9. Accès aux renseignements personnels
10. Possibilité de porter plainte à l’égard du non-respect des principes