Survol de la LPRPDE

Révisé : janvier 2018

Sur cette page

Les organisations visées par la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) doivent obtenir le consentement de la personne avant de recueillir, d’utiliser ou de communiquer des renseignements personnels la concernant. Les personnes ont le droit de consulter les renseignements personnels que détient une organisation à leur sujet. Elles ont aussi le droit d’en contester l’exactitude. Les renseignements personnels ne peuvent être utilisés qu’aux fins pour lesquelles ils ont été recueillis. L’organisation qui entend les utiliser à d’autres fins doit obtenir expressément le consentement de le faire. Les personnes devraient par ailleurs avoir l’assurance que les renseignements qui les concernent seront protégés par les mesures de sécurité appropriées.

Modalités d’application de la Loi

La LPRPDE vise la collecte, l’utilisation ou la communication de renseignements personnels dans le cadre d’une activité commerciale.

Une activité commerciale est définie comme toute activité régulière ainsi que tout acte isolé qui revêtent un caractère commercial par leur nature, y compris la vente, le troc ou la location de listes de donneurs, d’adhésion ou de collecte de fonds.

Des organisations ou des activités peuvent être exclues de l’application de la Loi dans les provinces qui ont adopté, dans le domaine de la protection de la vie privée, une loi essentiellement similaire à la LPRPDE. À ce jour, le Québec, la Colombie-Britannique et l’Alberta ont adopté des lois réputées essentiellement similaires à la loi fédérale, qui visent le secteur privé. Pour leur part, l’Ontario, le Nouveau-Brunswick, la Nouvelle-Écosse et Terre-Neuve-et-Labrador ont adopté des lois essentiellement similaires à la loi fédérale dans le domaine des renseignements personnels sur la santé.

Même dans ces provinces, la LPRPDE continue de s’appliquer à toute activité interprovinciale ou internationale par toute organisation visée par la Loi dans le cadre de ses activités commerciales, ainsi qu’aux organisations sous réglementation fédérale, telles que les banques, les sociétés de télécommunications et les entreprises de transport.

Qu’entend-on par « renseignements personnels »?

Aux termes de la LPRPDE, on entend par renseignement personnel tout renseignement factuel ou subjectif, consigné ou non, concernant une personne identifiable. Il peut s’agir de tout type de renseignement, par exemple :

  • l’âge, le nom, un numéro d’identification, le revenu, l’origine ethnique ou le groupe sanguin;
  • une opinion, une évaluation, un commentaire, le statut social ou une mesure disciplinaire;
  • le dossier d’un employé, un dossier de crédit ou de prêt, un dossier médical, l’existence d’un différend entre un consommateur et un commerçant ou le projet d’une personne (par exemple, l’intention d’acquérir des biens ou des services ou de changer d’emploi).

Qu’est-ce qui n’est pas visé par la LPRPDE?

Il y a des cas où la LPRPDE ne s’applique pas, par exemple :

  • les renseignements personnels gérés par les organisations fédérales mentionnées dans la Loi sur la protection des renseignements personnels;
  • les renseignements personnels gérés par les gouvernements provinciaux et territoriaux et leurs mandataires;
  • les coordonnées d’affaires, comme le nom, le titre, l’adresse professionnelle, le numéro de téléphone ou l’adresse courriel de l’employé, recueillis, utilisés ou communiqués uniquement dans le but de contacter la personne pour les besoins de son emploi ou de sa profession;
  • les renseignements personnels recueillis, utilisés ou communiqués par une personne à des fins strictement personnelles (p. ex. la constitution d’une liste de personnes à qui adresser des cartes de vœux);
  • les renseignements personnels recueillis, utilisés ou communiqués par une organisation à des fins strictement journalistiques, artistiques ou littéraires.

À moins qu’ils ne réalisent des activités commerciales qui ne sont pas essentielles à l’exécution de leur mandat et qui nécessitent l’utilisation de renseignements personnels, les entités suivantes ne sont pas visées par la LPRPDE :

Les municipalités, universités, écoles et hôpitaux sont normalement régis par les lois provinciales. La LPRPDE s’applique dans certaines situations seulement.

Qu’est-ce qu’une « entreprise fédérale »?

L’expression « entreprise fédérale » désigne « les installations, ouvrages, entreprises ou secteurs d’activité qui relèvent de la compétence législative du Parlement ». Même si la plupart des organisations réglementées par le gouvernement fédéral entrent dans cette catégorie, tous les types d’organisations ne sont pas des entreprises fédérales. Par exemple, les compagnies d’assurances et les coopératives de crédit peuvent être assujetties à certains règlements fédéraux, mais elles relèvent de la compétence des provinces et ne sont pas considérées comme des entreprises fédérales aux termes de la Loi. Les entreprises ou activités suivantes sont comprises parmi les entreprises fédérales visées par la partie 1 de la LPRPDE :

  • les aéroports, aéronefs ou lignes de transport aérien;
  • les banques;
  • le transport interprovincial ou international par voie terrestre ou par eau;
  • les télécommunications;
  • les activités ou entreprises de forage en mer;
  • les stations de radiodiffusion et de télédiffusion.

Il convient de noter qu’il ne s’agit pas ici d’une liste exhaustive. Une entreprise ne constitue pas une entreprise fédérale du seul fait qu’elle est constituée en personne morale sous le régime d’une loi fédérale. En revanche, si elle est visée par l’une ou l’autre des parties du Code canadien du travail, il se peut qu’elle soit une entreprise fédérale.

Plaintes déposées auprès du Commissariat à la protection de la vie privée du Canada

Une personne peut déposer une plainte relative à une infraction présumée à la Loi auprès de l’organisation visée ou du Commissariat à la protection de la vie privée du Canada.

S’il a des motifs raisonnables de le faire, le commissaire peut lui aussi déposer une plainte.

Dans la mesure du possible, le Commissariat à la protection de la vie privée du Canada s’efforce de régler les différends grâce à la tenue d’enquêtes ou par la persuasion, la médiation ou la conciliation. Cette approche peut se révéler moins intimidante, pour la partie plaignante, et moins coûteuse, pour l’entreprise en cause, que le recours aux tribunaux.

Dans certaines situations, la plainte est renvoyée à un agent de règlement rapide lorsque celle-ci est susceptible d’être réglée rapidement.

L’agent de règlement rapide travaille avec les deux parties pour régler la plainte. Dans certains cas, un différend qui aurait pris des mois à régler par la procédure d’enquête officielle sur les plaintes peut être réglé en quelques jours seulement.

Si les parties ne peuvent parvenir à une entente, la plainte fait l’objet d’une enquête au terme de laquelle le Commissariat à la protection de la vie privée du Canada publie un rapport de conclusions.

Le commissaire formule des recommandations, mais il ne rend pas d’ordonnance. Toutefois, en vertu de certaines dispositions de la LPRPDE, le plaignant ou le commissaire à la protection de la vie privée peut, dans certains cas, présenter une demande d’audience à la Cour fédérale s’il n’est pas satisfait du résultat.

La Cour fédérale peut ordonner à une organisation de modifier ses pratiques ou de verser des dommages et intérêts à un plaignant, notamment en réparation d’une humiliation.

Le commissaire peut rendre publique toute information dont il prend connaissance dans l’exercice des attributions que lui confère la Loi s’il estime que cela est dans l’intérêt public.

Vérifications

S’il existe des motifs raisonnables, le commissaire peut procéder à la vérification des pratiques d’une organisation en matière de gestion des renseignements personnels.

Infractions

En vertu de la LPRPDE, commet une infraction quiconque :

  • détruit les renseignements personnels demandés par une personne;
  • exerce des mesures de représailles contre un employé qui a déposé une plainte auprès du commissaire ou qui refuse de contrevenir aux articles 5 à 10 de la Loi;
  • nuit à une enquête effectuée à la suite d’une plainte ou à la conduite d’une vérification menée par le commissaire ou son délégué.

Responsabilités des organisations aux termes de la Loi

Les organisations doivent respecter un code de protection des renseignements personnels. Ce code constitue l’annexe 1 de la Loi.

Les principes connexes sont ancrés dans les normes internationales en matière de protection des données et fondés sur le Code type sur la protection des renseignements personnels de l’Association canadienne de normalisation [en anglais seulement]. Le code a été élaboré en consultation avec les entreprises, les gouvernements, les associations de consommateurs et d’autres parties prenantes.

Principes relatifs à l’équité dans le traitement de l’information de la LPRPDE

Voici les dix principes relatifs à l’équité dans le traitement de l’information que les entreprises doivent respecter :

  1. Responsabilité
  2. Détermination des fins de la collecte des renseignements
  3. Consentement
  4. Limitation de la collecte
  5. Limitation de l’utilisation, de la communication et de la conservation
  6. Exactitude
  7. Mesures de sécurité
  8. Transparence
  9. Accès aux renseignements personnels
  10. Possibilité de porter plainte à l’égard du non-respect des principes
Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :