Questions et réponses concernant l'application de la LPRPDE et les lois de l'Alberta et de la Colombie-Britannique en matière de protection des renseignements personnels dans le secteur privé
Questions et réponses
Introduction
Le présent document vise à répondre aux questions que les organisations et les citoyens peuvent se poser en ce qui concerne l'interaction des différentes lois sur la protection des renseignements personnels dans le secteur privé. La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) établit des normes nationales régissant les pratiques relatives aux renseignements personnels dans le secteur privé. L'Alberta et la Colombie-Britannique ont elles aussi adopté une loi en la matière, toutes deux intitulées : Personal Information Protection Act (les lois de l'Alberta et de la C.-B.). Les lois respectives de ces deux provinces ont été déclarées essentiellement similaire à la LPRPDE. Cela ne signifie pas pour autant que la LPRPDE ne s'applique pas en Colombie-Britannique et en Alberta, comme le démontrent les questions et réponses qui suivent.
Le présent document se veut un outil d'orientation générale et il ne constitue en aucun cas une opinion sur un sujet précis. Pensez toujours à obtenir les conseils d'un professionnel en ce qui concerne les faits propres à une affaire avant de prendre une décision.
Questions d'ordre général
- Quels sont les points communs entre la LPRPDE et les lois de l'Alberta et de la C.-B. –
La LPRPDE, de même que les lois de l'Alberta et de la C.-B. ont toutes trois un même objet bien précis : régir la collecte, l'utilisation et la communication des renseignements personnels par les organisations du secteur privé, d'une manière qui tienne compte du droit des personnes à la vie privée à l'égard des renseignements personnels qui les concernent et du besoin des organisations de recueillir, d'utiliser ou de communiquer des renseignements personnels à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances.
- Quels sont les éléments clés de la LPRPDE et des lois de l'Alberta et de la C.-B. ?
- La LPRPDE s'applique aux installations, ouvrages, entreprises ou secteurs d'activité fédéraux (entreprises fédérales).
- La LPRPDE s'applique à la collecte, à l'utilisation et à la communication des renseignements personnels dans le cadre d'une activité commerciale au-delà les frontières d'une province. La LPRPDE s'applique également à l'égard d'une activité commerciale à l'intérieur des frontières d'une province si cette province ne possède pas de loi en matière de protection des renseignements personnels dans le secteur privé essentiellement similaire à la LPRPDE.
- La LPRPDE s'applique aux renseignements relatifs aux employés seulement dans le cadre d'une entreprise fédérale.
- Les lois de l'Alberta et de la C.-B. s'appliquent aux organisations du secteur privé réglementées par le gouvernement provincial.
- Les renseignements relatifs aux employés détenus par une organisation réglementée par l'Alberta ou la C.-B. sont assujettis à la loi sur la protection des renseignements personnels de la province concernée.
- Les autres provinces canadiennes disposent-elles de lois régissant la protection des renseignements personnels dans le secteur privé ?
À ce jour, le Québec, la Colombie-Britannique et l'Alberta, et l'Ontario pour des questions touchant le secteur des soins de la santé, ont promulgué des lois réputées être essentiellement similaires à la loi fédérale. À ce jour, aucune autre loi d'application générale de cette nature n'a été déposée devant l'assemblée législative d'une autre province.
- Quels principes retrouve-t-on dans les trois lois sur la protection des renseignements personnels dans le secteur privé ?
L'un des principes importants que l'on retrouve dans les trois lois est le suivant : une organisation peut recueillir, utiliser ou communiquer des renseignements personnels seulement à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances. Les trois lois s'appliquent aux « organisations » et contiennent les principes suivants :
- Les organisations sont responsables de protéger les renseignements personnels qu'elles détiennent.
- Les fins auxquelles des renseignements personnels sont recueillis doivent être déterminées avant ou au moment de la collecte.
- Les renseignements personnels peuvent être recueillis, utilisés et communiqués par une organisation, à condition que la personne concernée en soit informée et qu'elle y consente; quelques exceptions s'appliquent, tel que prévu dans la loi.
- L'organisation ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées et doit procéder de façon honnête et licite
- Les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis, à moins que la personne concernée n'y consente ou que la loi ne l'exige. Les renseignements personnels doivent être conservés seulement le temps nécessaire pour réaliser les fins déterminées.
- Les renseignements personnels doivent être aussi exacts, complets et à jour que l'exigent les fins auxquelles ils sont destinés.
- Les renseignements personnels doivent être protégés par des mesures de sécurité adéquates.
- Une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne.
- Toute personne a le droit de consulter les renseignements personnels la concernant et d'exiger qu'ils soient corrigés, le cas échéant. Certaines exceptions prévues par la loi s'appliquent.
- Les organisations doivent prévoir des mécanismes permettant à une personne de porter plainte contre le non-respect des principes énoncés ci-haut.
Définitions clés
- Qu'est-ce qu'un renseignement personnel ?
« Renseignement personnel » : Tout renseignement concernant une personne identifiable, notamment l'information sur des faits et l'information subjective ayant trait à cette personne, y compris, par exemple, les renseignements suivants :
- Nom
- Opinion concernant cette personne
- Date de naissance
- Revenu
- Description de l'apparence physique
- Dossier médical
- Sexe
- Religion
- Adresse
- Appartenance et convictions politiques
- Études
- Emploi
- Images visuelles telles que photographies et vidéocassettes sur lesquelles une personne peut être reconnue
- Qu'est-ce qu'une « organisation » ?
Le terme « organisation » n'est pas défini exactement de la même manière dans les trois lois. Une organisation peut être incorporée ou non. Il peut s'agir d'une personne agissant dans le cadre d'une activité commerciale, d'une organisation sans but lucratif, etc. La loi albertaine inclut expressément dans cette définition les organismes de réglementation professionnelle tandis qu'en C.-B., ces organismes sont assujettis à la Freedom of Information and Protection of Privacy Act.
« Organisation » est ainsi défini dans les trois lois :
LPRPDE [paragr. 2(1)] : « Organisation » S'entend notamment des associations, sociétés de personnes, personnes et organisations syndicales.
Loi de l'Alberta [paragr. 1(i)] :
[Traduction]
« Organisation » s'entend notamment :
- des sociétés;
- d'une association de fait;
- d'une organisation syndicale, telle que définie dans le Labour Relations Code;
- d'une société en nom collectif, telle que définie dans la Partnership Act;
- d'un particulier agissant dans le cadre d'une activité commerciale; sont exclues les personnes agissant à titre personnel ou familial.
Loi de la Colombie-Britannique (art. 1) :
[Traduction]
« Organisation » s'entend notamment des personnes, des associations de fait, des organisations syndicales et des organisations sans but lucratif; sont exclus de cette définition :
- les particuliers agissant à titre personnel ou familial ou à titre d'employé;
- les organismes publics;
- la Cour provinciale, la Cour suprême et la Cour d'appel;
- le gouvernement Nisga'a, tel que défini dans l'entente définitive avec les Nisga'a;
- les fiducies privées profitant à une ou à plusieurs personnes désignées qui sont des amis ou des membres de la famille du bénéficiaire.
- Qu'est-ce qu'une « personne »?
Aucune des trois lois ne contient une définition du terme « personne ». On peut toutefois définir une personne comme une personne physique; il n'est pas nécessaire que cette personne soit citoyenne canadienne ou qu'elle réside dans une province précise. Il peut s'agir d'un mineur. Dans certains cas, un tuteur légal ou un représentant autorisé peut agir au nom d'une personne1. Le tuteur légal ou le représentant autorisé doit fournir une preuve de sa capacité.
1 Le paragraphe 61(1) de la loi albertaine précise quelles personnes sont habilitées à agir au nom d'une autre personne. En C.-B., cette information se trouve aux articles 2 à 4 du règlement connexe. En ce qui concerne la LPRPDE, cette information figure au principe 4.3.6 de l'Annexe 1. Voici quelques exemples de personnes habilitées dans les trois lois : les tuteurs légaux représentant un mineur incapable, les représentants personnels à l'égard de la gestion du patrimoine d'un défunt et les avocats munis d'une procuration.
- Qu'est-ce qu'une activité commerciale –
« Activité commerciale » est défini dans la LPRPDE. La loi albertaine contient également une définition de cette expression mais seulement dans la mesure où elle concerne les organisations sans but lucratif. La loi de la C.-B. ne contient aucune définition de cette expression car la distinction entre activité commerciale et activité sans but lucratif n'est pas pertinente dans le cadre de cette loi.
Les organisations généralement dites « sans but lucratif » ont parfois des activités commerciales. Ces activités commerciales peuvent inclure, notamment, la vente, le troc ou la location de listes de donateurs ou de membres ou de listes d'adresses pour la collecte de fonds. Il n'est pas nécessaire que l'argent soit en jeu pour qu'une activité revête une nature commerciale. Il arrive que des organisations sans but lucratif se livrent à certaines activités commerciales dans le cadre de leurs activités habituelles ou même à l'occasion d'une transaction ponctuelle.
- Qui surveille le respect des lois sur la protection des renseignements personnels dans le secteur privé ?
Dans chacune des trois lois, un commissaire est désigné et chargé de surveiller l'application de la loi et d'examiner les différends entre les personnes et les organisations. Chaque commissaire dirige une organisation dont le mandat est de surveiller l'application de la loi (et d'autres lois, parfois). Ces commissaires et ces organisations portent différents titres, selon la loi; par souci de commodité, ils sont donc désignés dans le présent document sous le vocable commun de « bureau de la protection de la vie privée »; cette désignation n'a aucune signification en droit.
- Dans la LPRPDE, le bureau de la protection de la vie privée est le Commissariat à la protection de la vie privée du Canada. http://www.priv.gc.ca/
- En Alberta, c'est l'Office of the Information and Privacy Commissioner of Alberta qui assume cette fonction. http://www.oipc.ab.ca/
- En Colombie-Britannique, il s'agit de l'Office of the Information and Privacy Commissioner for British Columbia. http://www.oipc.bc.ca/
- Au Québec, on retrouve la Commission d'accès à l'information du Québec. http://www.cai.gouv.qc.ca/
Application des lois
- La LPRPDE s'applique-t-elle partout au Canada –
Les organisations établies dans les Territoires du Nord-Ouest, au Yukon ou au Nunavut sont des entreprises fédérales et sont donc assujetties à la LPRPDE.
La LPRPDE ne s'applique pas aux organisations réglementées par le gouvernement provincial au Québec. Elle ne s'appliquera plus aux organisations réglementées par le gouvernement provincial en Alberta et en C.-B., étant donné que la loi sur la protection des renseignements personnels dans le secteur privé de ces provinces a été déclarée essentiellement similaire à la LPRPDE par la Gouverneure en conseil. Toutefois, les entreprises fédérales établies dans ces provinces demeureront assujetties à la LPRPDE. La LPRPDE s'applique également aux transactions interprovinciales et internationales portant sur des renseignements personnels dans le cadre d'une activité commerciale.
- Quels sont les indices me permettant de déterminer que mon organisation est assujettie à la LPRPDE ?
Si votre organisation est une entreprise fédérale, elle est uniquement tenue de se conformer à la LPRPDE. Les entreprises fédérales comprennent notamment les entreprises suivantes :
- les banques;
- les stations de radio et de télévision;
- le transport interprovincial;
- les aéroports et les sociétés de transport aérien;
- la navigation et le transport maritime de marchandises;
- les sociétés de télécommunications telles que les fournisseurs de services Internet, les sociétés de téléphone (téléphonie cellulaire et conventionnelle), les sociétés de câbles;
- les chemins de fer, les pipelines, les passages d'eau, etc. qui traversent les frontières.
Si votre organisation n'est pas une entreprise fédérale mais qu'elle se livre à des activités commerciales portant sur la communication interprovinciale ou internationale de renseignements personnels, elle doit respecter la LPRPDE à l'égard de ces transactions. Par exemple, une entreprise d'import-export ou une agence d'évaluation du crédit doit respecter la LPRPDE lorsqu'elle recueille, utilise ou communique des renseignements personnels et que ces transactions débordent les frontières de la province où elle est établie.
Si votre organisation n'est pas une entreprise fédérale et que ses activités se déroulent exclusivement dans une province ne possédant pas de loi sur la protection des renseignements personnels essentiellement similaire à la LPRPDE, elle est assujettie à la LPRPDE mais seulement à l'égard des transactions commerciales. Rappelons-le, la C.-B., l'Alberta et le Québec disposent de lois essentiellement similaires à la LPRPDE; cette dernière s'applique donc dans les autres provinces.
- Comment puis-je savoir si une loi sur la protection des renseignements personnels dans le secteur privé s'applique à mon organisation ?
En premier lieu, dans quelle province votre organisation est-elle établie –
- Si votre organisation n'est pas une entreprise fédérale et que ses activités se déroulent à l'intérieur des frontières d'une province disposant d'une loi sur la protection des renseignements personnels dans le secteur privé essentiellement similaire à la LPRPDE (C.-B., Alberta ou Québec), vous devez respecter la loi de cette province.
- Si la province où vous êtes établi ne dispose pas d'une loi sur la protection des renseignements personnels dans le secteur privé essentiellement similaire à la LPRPDE, cette dernière est la seule loi susceptible de s'appliquer. La LPRPDE ne s'applique pas aux renseignements personnels concernant un employé dans les organisations réglementées par le gouvernement provincial.
- Si vos activités se déroulent dans plus d'une province, vous pourriez être assujettis à plus d'une loi, selon le territoire concerné.
Deuxièmement, examinez la définition du terme « organisation » dans la loi qui semble s'appliquer à votre organisation.
- Cette définition décrit-elle votre organisation –
Troisièmement, examinez le paragraphe relatif à l'application de la loi.
- Cette loi s'applique-t-elle à votre organisation? Par exemple, la plupart des renseignements personnels que détient votre organisation concernent un programme assujetti aux lois sur l'accès à l'information et la protection de la vie privée provinciales. Les renseignements personnels assujettis à ces lois ne sont pas assujettis aux lois de la C.-B. et de l'Alberta en matière de protection des renseignements personnels dans le secteur privé.
- La LPRPDE s'applique-t-elle de la même manière à toutes les organisations ?
- Si votre organisation est une entreprise fédérale, la LPRPDE s'applique à toutes les transactions commerciales de renseignements personnels et aux renseignements personnels relatifs aux employés.
- Si votre organisation n'est pas une entreprise fédérale et que ses activités se déroulent dans une province qui ne dispose pas d'une loi similaire à la LPRPDE, la LPRPDE s'applique à toutes les activités commerciales; toutefois, elle ne s'applique pas aux renseignements personnels relatifs aux employés de votre organisation.
- Si les activités de votre organisation se déroulent dans une province disposant d'une loi similaire à la LPRPDE (C.-B., Alberta ou Québec) et que votre organisation est assujettie à cette loi provinciale, la LPRPDE s'applique seulement aux transactions interprovinciales et internationales.
- La loi sur la protection des renseignements personnels dans le secteur privé de l'Alberta s'applique-t-elle de la même manière à toutes les organisations ?
La loi sur la protection des renseignements personnels de l'Alberta ne s'applique pas uniformément à toutes les organisations albertaines.
- Il existe certaines catégories « d'organisations sans but lucratif » en Alberta dont seules les activités commerciales sont assujetties à la loi sur la protection des renseignements personnels dans le secteur privé de l'Alberta.
- La loi sur la protection des renseignements personnels de l'Alberta contient certaines dispositions spéciales obligeant les organisations de réglementation professionnelle à respecter un code volontaire approuvé en remplacement de certaines dispositions de la loi.
Les organisations albertaines qui se livrent à des transactions de renseignements personnels interprovinciales pour des fins commerciales doivent respecter la LPRPDE à l'égard de ces transactions.
- La loi sur la protection des renseignements personnels de la C.-B. s'applique-t-elle de la même manière à toutes les organisations ?
Oui. Toutefois, les organisations de la C.-B. assujetties à la loi sur la protection des renseignements personnels de cette province qui se livrent à des transactions commerciales transfrontalières de renseignements personnels doivent également respecter la LPRPDE à l'égard de ces transactions.
Circulation transfrontalière de données à l'échelle interprovinciale ou internationale
- Qu'est-ce que la circulation transfrontalière de données? Quelle est l'incidence de cette pratique sur l'application des lois sur la protection des renseignements personnels dans le secteur privé ?
La circulation transfrontalière de données dans un cadre commercial est assujettie à la LPRPDE car le commerce et les échanges commerciaux interprovinciaux et internationaux relèvent de la compétence constitutionnelle du gouvernement fédéral.
Voici quelques exemples de circulation transfrontalière de renseignements personnels :
- Vendre une liste de publipostage dans une autre province.
- Avoir recours à une agence nationale d'évaluation du crédit établie dans une autre province pour effectuer une vérification du crédit d'un demandeur de prêt.
- Envoyer des données sur la clientèle à un programme de fidélité dans un autre pays.
Si votre organisation recueille, utilise ou communique des renseignements personnels et que ces renseignements circulent à l'extérieur des frontières provinciales ou nationales dans le cadre d'une activité commerciale, la LPRPDE s'applique à ces transactions. Certaines activités de votre organisation pourraient ne pas être assujetties à la LPRPDE, si :
- vos activités se déroulent dans une province disposant d'une loi sur la protection des renseignements personnels dans le secteur privé;
- vos autres activités ne sont pas de nature commerciale; ou
- votre organisation n'est pas une entreprise fédérale et les renseignements personnels concernent des employés.
- Qu'en est-il de la circulation transfrontalière de renseignements personnels dans le cadre d'une activité qui n'est pas de nature commerciale ?
En l'absence d'activité commerciale, la LPRPDE ne s'applique pas.
- Activité commerciale est défini dans la LPRPDE.
Application de plus d'une loi sur la protection des renseignements personnels
- Est-il possible que mon organisation soit assujettie à plus d'une loi sur la protection des renseignements personnels pour une même transaction ou une même pratique ?
Il arrive que plusieurs lois sur la protection des renseignements personnels s'appliquent à des fichiers créés par une organisation. C'est le cas notamment si votre organisation est un sous-traitant d'une autre organisation assujettie à une loi sur la protection des renseignements personnels dans le secteur privé différente de celle à laquelle est habituellement assujettie votre organisation et que votre organisation est tenue, aux termes du contrat, de respecter les règles de l'autre organisation.
Exemple : Votre organisation (établie en C.-B.) dispense des services de conseils aux employés d'une société de chemin de fer ou de transport aérien dans le cadre d'un programme d'aide aux employés. Aux termes de votre contrat, vous êtes tenu de respecter les règles de la LPRPDE à l'égard des renseignements personnels sur les employés de la société parce que cette dernière est une entreprise fédérale, même si vos autres activités demeurent assujetties à la loi sur la protection des renseignements personnels dans le secteur privé de la C.-B.
Autre exemple : Votre organisation participe à la communication transfrontalière de renseignements personnels et elle est établie dans une province disposant d'une loi sur la protection des renseignements personnels dans le secteur privé autre que la LPRPDE.
- Si une transaction est assujettie à une loi provinciale sur la protection des renseignements personnels et à la LPRPDE, comment dois-je procéder pour respecter plusieurs lois à la fois ?
Il est possible qu'une partie de la transaction (p. ex., la collecte) soit assujettie à une loi provinciale tandis qu'une autre partie de la transaction (p. ex., la communication) soit assujettie à la LPRPDE. Si vous vous retrouvez dans une telle situation, examinez les différences entre les deux lois. L'une d'elle est-elle plus stricte ou contient-elle une disposition plus précise? Si vous respectez toujours les exigences plus contraignantes, vous respecterez sans doute les deux lois. La commissaire fédérale à la protection de la vie privée et les commissaires de la C.-B. et de l'Alberta travaillent en collaboration en vue d'harmoniser leur méthode d'application de la loi.
Les lois de l'Alberta et de la C.-B. contiennent des « clauses de droit acquis » en vertu desquelles les renseignements recueillis avant le 1er janvier 2004 sont réputés avoir été collectés avec le consentement de la personne concernée. Aux termes de la LPRPDE, toutefois, une organisation peut être tenue d'obtenir un consentement avant d'utiliser et de communiquer des renseignements personnels collectés avant l'entrée en vigueur de la Loi. Si votre organisation est tenue de respecter deux textes de loi pour une même transaction, vous pourriez faire en sorte de communiquer avec vos clients afin d'obtenir la confirmation qu'ils consentent toujours à la collecte, à l'utilisation et à la communication de ces renseignements. Ce faisant, vous iriez au-delà des exigences de la loi sur la protection des renseignements personnels dans le secteur privé, sans pour autant contrevenir à la loi.
- Des renseignements personnels sont transférés au sein d'une même entité entre deux établissements situés dans des provinces différentes; dans l'une des provinces, l'organisation est assujettie à la loi provinciale sur la protection des renseignements personnels dans le secteur privé tandis que dans l'autre, elle est assujettie à la LPRPDE. Est-ce que le transfert de ces renseignements relève de la compétence fédérale parce qu'ils ont traversé une frontière provinciale?
Par exemple, une consommatrice en Alberta effectue un achat dans la succursale locale d'une chaîne nationale de détaillants et porte son achat à son compte auprès de ce détaillant. Au point de vente, le détaillant demande à la consommatrice son numéro de téléphone. Pendant la transaction, une courte communication électronique avec la base de données du service de crédit du détaillant situé dans une province assujettie à la LPRPDE est effectuée, pour vérifier que le montant de l'achat ne dépasse pas la limite de crédit de la consommatrice. La consommatrice refuse que le détaillant prenne son numéro de téléphone et l'inscrive sur le reçu.
Pour répondre à cette question, il faut examiner le contenu de la transaction et l'objet de la plainte. En ce qui concerne la consommatrice, la transaction a lieu dans la province. Elle n'est probablement même pas au courant qu'une communication électronique transfrontalière de renseignements a eu lieu. Si l'objet de la plainte porte sur la collecte et l'utilisation du numéro de téléphone, la loi de l'Alberta s'applique à la fois à la collecte et à l'utilisation. La communication électronique transfrontalière de renseignements est un élément accessoire de la plainte.
Sous-traitance
- Si mon organisation (qui est assujettie à la loi sur la protection des renseignements personnels de la C.-B.) confie la gestion d'un programme de récompense des consommateurs à une organisation assujettie à la LPRPDE établie dans la même province, comment puis-je déterminer quelle est la loi applicable aux renseignements transférés à destination et en provenance de l'organisation sous-traitante ?
Si le contrat intervenu entre votre organisation et le gestionnaire du programme de récompense précise que vous conservez le contrôle des renseignements relatifs aux consommateurs, cette pratique est assujettie à la loi de la C.-B. Cette règle est valable même si l'entrepreneur exerce un contrôle matériel provisoire des dossiers; vous conservez le contrôle de l'information. L'entrepreneur est assujetti aux règles qui lient votre organisation à l'égard de la protection des renseignements personnels, du moins en ce qui concerne ce contrat. Le gestionnaire du programme de récompense est assujetti à la LPRPDE en ce qui concerne ses propres activités et possiblement, les activités de certains autres clients.
- Dans la situation décrite plus haut, si mon organisation est établie dans une autre province que l'entrepreneur, est-ce que la LPRPDE s'applique à toutes les communications de renseignements personnels –
Si les travaux confiés à l'entrepreneur sont habituellement exécutés au sein de votre organisation (gestion du programme de récompense) et que le contrat précise expressément que les renseignements demeurent sous le contrôle de votre organisation, une communication transfrontalière de renseignements pourrait être jugée accessoire. La loi de la C.-B. s'appliquerait alors à la collecte, à l'utilisation et la communication des renseignements personnels.
Plaintes
- Est-il possible que plusieurs bureaux de la protection de la vie privée soient compétents pour traiter une même plainte –
Oui. Toutefois, les bureaux des commissaires travaillent alors en collaboration afin de limiter la répétition du travail pour le plaignant et l'organisation. Ils s'efforcent de mettre au point une méthode harmonisée pour le traitement des plaintes liées à la protection des renseignements personnels dans le secteur privé.
- Est-ce que le lieu de résidence du plaignant détermine à quel bureau de la protection de la vie privée il doit adresser sa plainte ?
Non. Les facteurs dont il faut tenir compte pour déterminer quel est le bureau compétent sont décrits dans la question suivante.
- Comment savoir à quel bureau de la protection de la vie privée adresser une plainte –
Les facteurs qui permettent de déterminer quel est le bureau compétent sont les suivants :
- À quelle loi sur la protection des renseignements personnels dans le secteur privé est assujettie l'organisation visée dans la plainte? (Voir les questions précédentes concernant l'application de la loi.)
- Quelle pratique relative aux renseignements personnels le plaignant vise-t-il? (P. ex., collecte, utilisation, communication, protection, etc.)
Exemple : Une société albertaine a communiqué des renseignements personnels à une autre organisation en Saskatchewan. Si une personne entend porter plainte contre la communication de renseignements personnels par la société albertaine, il peut s'adresser au commissaire de l'Alberta. Si une personne porte plainte contre la collecte des renseignements personnels en Saskatchewan, il peut adresser sa plainte à la commissaire à la protection de la vie privée du Canada. Enfin, si la plainte concerne l'utilisation de renseignements personnels en Saskatchewan, elle doit également être adressée à la commissaire à la protection de la vie privée du Canada.
- Quel bureau de la protection de la vie privée est-il chargé de traiter une plainte lorsque deux organisations sont concernées et qu'elles sont assujetties à des lois différentes ?
Cette situation peut se produire lorsqu'une organisation communique des renseignements personnels à une autre organisation. Pour déterminer à quel bureau de la protection de la vie privée vous devez adresser votre plainte, vous devez tenir compte des facteurs suivants :
- De quelle pratique vous plaignez-vous – (Collecte, utilisation, refus d'accès à vos renseignements personnels, communication, protection, etc.)
Si votre plainte vise l'organisation qui communique vos renseignements personnels, vous devriez adresser votre plainte au bureau de la protection de la vie privée dont relève l'organisation en cause.
- Et si l'une des organisations est un sous-traitant de l'autre organisation –
Dans ce cas, l'organisation principale est probablement responsable des pratiques d'information de l'autre organisation. Il serait préférable que le plaignant dépose sa plainte au bureau relevant du territoire compétent à l'égard du contrat.
- De quelle pratique vous plaignez-vous – (Collecte, utilisation, refus d'accès à vos renseignements personnels, communication, protection, etc.)
- Qu'arrive-t-il à ma plainte si un bureau de la protection de la vie privée commence à l'examiner avant de juger que la loi relevant de sa compétence ne s'applique pas –
Le bureau qui a examiné votre plainte vous retournera tous les documents que vous lui avez fournis. Il est également possible qu'avec votre consentement et en votre nom, ce bureau transmette votre dossier au bureau de la protection de la vie privée compétent.
Le bureau de la protection de la vie privée fera également tout ce qui est en son pouvoir pour vous aider à effectuer le transfert vers l'autre bureau en toute transparence, sous réserve des pouvoirs qui lui sont conférés par la loi et des dispositions relatives à la confidentialité des renseignements auxquelles il est lié.
- Date de modification :