Premier principe relatif à l’équité dans le traitement de l’information de la LPRPDE – Responsabilité

Vos responsabilités en tant qu’entreprise

  • Respecter les dix principes énoncés à l’annexe 1.
  • Confier à une personne la responsabilité de la conformité à la Loi de votre organisation.
  • Protéger tous les renseignements personnels que votre organisation a en sa possession y compris ceux qu’elle a confiés à une tierce partie aux fins de traitement.
  • Élaborer et mettre en œuvre des politiques et des pratiques concernant les renseignements personnels.

Comment vous acquitter de vos responsabilités

Élaborez un programme de gestion de la protection des renseignements personnels dans le cadre duquel :

  • vous donnerez au responsable de la protection de la vie privée le soutien de la haute direction et le pouvoir d’intervenir pour toute question relative à la protection de la vie privée au sein de votre organisation;
  • vous communiquerez le nom ou le titre de la personne en question à l’interne et à l’extérieur de l’organisation (p. ex. sur les sites Web et dans les publications);
  • à l’aide de la liste de vérification suivante, vous analyserez et documenterez l’ensemble des pratiques relatives au traitement des renseignements personnels, y compris les activités en cours et les nouvelles initiatives, pour assurer leur conformité aux principes relatifs à l’équité dans le traitement de l’information.
    • Quels renseignements personnels recueillons-nous? S’agit-il de renseignements sensibles? (Les renseignements sensibles pourraient exiger des mesures de sécurité accrues.)
    • Pourquoi les recueillons-nous?
    • Comment les recueillons-nous?
    • À quelles fins les utilisons-nous?
    • Où les conservons-nous?
    • De quelle façon sont-ils protégés?
    • Qui sont les personnes qui y ont accès ou qui les utilisent?
    • À qui sont-ils communiqués?
    • Quand sont-ils éliminés?
  • vous élaborez, documentez et mettez en œuvre des politiques et des procédures pour assurer la protection des renseignements personnels :
    • précisez les fins auxquelles ces renseignements sont recueillis;
    • obtenez le consentement des intéressés;
    • limitez la collecte, l’utilisation et la communication des renseignements personnels;
    • assurez-vous que les renseignements sont exacts, complets et à jour;
    • prenez des mesures de sécurité suffisantes;
    • élaborez ou mettez à jour un échéancier pour la conservation et la destruction des documents;
    • élaborez et mettez en œuvre des politiques et des procédures pour répondre aux demandes d’accès aux renseignements personnels ainsi qu’aux demandes de renseignements et aux plaintes;
    • élaborez, documentez et mettez en œuvre des protocoles de gestion des incidents et des atteintes en matière de sécurité des renseignements personnels;
    • effectuez des évaluations du risque;
    • élaborez, documentez et mettez en œuvre des pratiques adéquates de gestion des fournisseurs de services;
    • élaborez, documentez et offrez une formation appropriée sur la protection des renseignements personnels à l’intention de vos employés.
  • vous évaluez régulièrement votre programme de gestion de la protection de la vie privée et corrigez toute lacune relevée.
  • vous êtes prêt à montrer que vous avez mis en place un programme de gestion de la protection de la vie privée et que ce programme est respecté.
  • vous mettez à la disposition des clients (p. ex. dans des dépliants et sur des sites Web) de l’information sur les politiques et les procédures en vigueur au sein de votre organisation au chapitre de la protection de la vie privée.

CONSEILS

Formez les employés de votre organisation et tenez-les au courant, pour qu’ils puissent répondre aux questions suivantes :

  • Comment donner suite aux demandes de renseignements du public au sujet des politiques de l’organisation en matière de protection de la vie privée?
  • Qu’est-ce que le consentement? Quand et comment doit-on l’obtenir?
  • Comment reconnaître et traiter les demandes d’accès aux renseignements personnels?
  • À qui devrais-je transmettre les plaintes concernant des questions liées à la protection de la vie privée?
  • Quelles sont les activités courantes et les nouvelles initiatives mises en œuvre par notre organisation dans le domaine de la protection des renseignements personnels?

Conseils sur la transmission de renseignements personnels à des tierces parties

Avant de confier des renseignements personnels à une tierce partie, votre organisation devrait avoir conclu un contrat en vertu duquel la tierce partie doit :

  • désigner une personne chargée de traiter tous les aspects du contrat liés à la protection de la vie privée;
  • limiter l’utilisation des renseignements personnels aux fins nécessaires à l’exécution du contrat;
  • limiter la communication des renseignements à ce qui est autorisé par votre organisation ou prescrit par la Loi;
  • diriger vers votre organisation les personnes qui souhaitent consulter les renseignements personnels les concernant;
  • à l’achèvement du contrat, restituer les renseignements transmis ou les détruire;
  • utiliser les mesures de sécurité qui s’imposent pour assurer la protection des renseignements personnels;
  • au besoin, donner à votre organisation la possibilité de vérifier la mesure dans laquelle la tierce partie respecte les dispositions du contrat.
Date de modification :