Pratiques exemplaires relatives au traitement des renseignements personnels avant l’entrée en vigueur de la LPRPDE (respect des droits acquis)

Juillet 2004

Comment s’applique la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) aux renseignements personnels recueillis avant l’entrée en vigueur de la Loi?

En bref, la réponse est la suivante : toutes les dispositions de la LPRPDE, y compris le principe du consentement, s’appliquent à tous les renseignements personnels que possède une organisation, peu importe le moment de leur collecte. Cela signifie notamment que les organisations sont tenues de conserver les renseignements de façon à ce qu’ils soient aussi exacts, complets et à jour qu’il est nécessaire, de protéger les renseignements en prenant les mesures de sécurité appropriées et de donner aux personnes accès aux renseignements personnels qui les concernent.

Cependant, une organisation n’a pas forcément à demander aux clients établis leur consentement explicite pour continuer à conserver, à utiliser ou à communiquer les renseignements personnels à leur sujet.

Bien qu’elles se rapportent principalement au traitement des renseignements des clients recueillis avant la mise en œuvre de la LPRPDE, les lignes directrices qui suivent sont également pertinentes pour ce qui est des renseignements relatifs aux clients, aux employés, aux donateurs et autres personnes, en gardant à l’esprit que la LPRPDE s’applique uniquement aux renseignements des employés qu'une entreprise fédérale recueille, utilise ou communique.

Élimination des fichiers périmés

Dans certains cas, la destruction ou l’effacement de vieux fichiers peut être la façon la plus appropriée et la plus directe de les traiter.

En vertu du principe 4.5 de la LPRPDE, une organisation ne doit conserver les renseignements personnels qu’aussi longtemps que nécessaire pour la réalisation des fins auxquelles ils ont été recueillis; elle doit établir des lignes directrices et des procédures concernant la conservation, y compris les durées minimales et maximales de conservation; elle doit aussi détruire ou effacer les renseignements personnels qui ne sont plus nécessaires pour la réalisation des fins énoncées.

En déterminant comment traiter un fichier de client existant, une organisation doit d’abord se poser les questions suivantes :

  • Les renseignements servent-ils encore (ou ont-ils déjà servi) à des fins pouvant raisonnablement être considérées nécessaires ou utiles?
  • Y a-t-il une exigence juridique ou contractuelle de conserver les renseignements?
  • La personne s’attend-elle raisonnablement à ce que l’organisation conserve les renseignements dans ses dossiers?

Si la réponse à l’une de ces questions est négative, la mesure la plus appropriée peut être de tout simplement éliminer le dossier. L’organisation devrait aussi préciser les durées minimales et maximales de conservation pour le traitement futur de tous les fichiers de ses clients.

Obtention du consentement

Dans quelle mesure une organisation est tenue d’obtenir le consentement explicite des clients établis dépend de plusieurs facteurs :

  • Si l’organisation a fait un effort considérable pour informer le client des fins auxquelles serviront les renseignements personnels au moment de leur collecte;
  • Si les renseignements sont toujours utilisés ou communiqués à des tiers et, dans l’affirmative, s’ils le sont pour les mêmes fins auxquelles ils ont été recueillis;
  • Si les renseignements sont utilisés ou communiqués à des fins secondaires non précisées;
  • Si le client s’attendrait raisonnablement à ce que l’organisation continue d’utiliser ou de communiquer les renseignements aux fins actuelles.

Ces facteurs concernent les fins auxquelles les renseignements ont été utilisés ou communiqués, dans quelle mesure ces fins ont été précisées au moment de la collecte, et les attentes raisonnables de la personne.

Fins dûment précisées

Si l’organisation a fait un effort raisonnable pour informer les clients des fins auxquelles les renseignements sont recueillis au moment de la collecte, et si les renseignements sont toujours utilisés ou communiqués à ces fins initiales et aucune autre, l’organisation peut alors utiliser le consentement des clients aux fins mentionnées. Dans la mesure où les renseignements ne sont pas utilisés ou communiqués à des fins nouvelles, il n’y a pas d’obligation d’obtenir le consentement des clients.

Fins non précisées mais attentes raisonnables

Même si les fins n’ont pas été clairement précisées au moment de la collecte, mais que les clients pouvaient raisonnablement s’attendre à ce que les renseignements servent à la fourniture des produits ou à la prestation des services visés, l’organisation peut alors se servir du consentement des clients aux fins implicites. (L’utilisation des renseignements personnels dans le cas d’un abonnement est un bon exemple.) Aucun consentement additionnel n’est requis à moins que l’organisation ait l’intention d’utiliser ou de communiquer les renseignements à des fins nouvelles.

Fins non précisées et attentes déraisonnables

Si les renseignements personnels ont été recueillis à des fins non précisées auxquelles il n’était pas raisonnable que les clients s’attendent à ce qu’ils soient utilisés dans le cadre de la fourniture des produits ou de la prestation des services visés (p. ex. les fins secondaires comme le marketing ou la communication à des tiers), l’organisation doit alors obtenir le consentement explicite pour continuer à utiliser ou à communiquer les renseignements.

Fins nouvelles

Que les renseignements personnels aient été recueillis avant ou après l’entrée en vigueur de la LPRPDE , une organisation doit obtenir le consentement des clients au sujet de toute nouvelle utilisation ou communication des renseignements personnels les concernant. On entend par fin ou communication nouvelle toute utilisation ou communication à des fins autres que celles auxquelles les renseignements personnels ont été initialement recueillis.

Accès aux renseignements personnels

En vertu du principe 4.9 de la LPRPDE , une organisation doit informer les personnes qui en font la demande de l’existence de renseignements personnels qui les concernent, de l’usage qui en est fait et du fait qu’ils ont été communiqués à des tiers; elle doit aussi leur permettre de les consulter, d’en contester l’exactitude et l’intégralité et d’y faire apporter des corrections, le cas échéant.

Ce principe s’applique à tous les renseignements personnels que possède une organisation, peu importe le moment de leur collecte. Les clients ont le droit d’avoir accès aux renseignements personnels qui les concernent recueillis par une organisation avant que ceux-ci ne deviennent assujettis à la LPRPDE.

Accès aux politiques de protection des renseignements personnels

En vertu des principes 4.1 et 4.8 de la LPRPDE, une organisation doit établir des politiques et des pratiques de protection des renseignements personnels et faire en sorte qu’elles soient facilement accessibles à toute personne.

Ces principes s’appliquent autant aux clients établis qu’aux nouveaux clients. Il est recommandé que les organisations informent leurs nouveaux clients de leurs politiques de protection des renseignements personnels lors de la première collecte de renseignements personnels. Elles doivent faire de même avec leurs clients établis dès que l’occasion se présente dans le cadre normal des communications d’affaires.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :