Sélection de la langue

Recherche

Orientation sur la présentation des codes de pratique sous le régime du Règlement sur le recyclage des produits de la criminalité et le financement des activités terroristes

Ensemble, l’alinéa 7(3)d.21) de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et l’article 11.01 de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (LRPCFAT) permettent aux entités déclarantes assujetties à la LRPCFAT de se communiquer entre elles les renseignements personnels relatifs à un individu à son insu et sans son consentement dans certaines circonstances. Pour ce faire, les entités déclarantes doivent d’abord établir un code de pratique régissant l’échange de renseignements, et le faire approuver par le Commissariat à la protection de la vie privée du Canada. Dans la partie 8 du Règlement sur le recyclage des produits de la criminalité et le financement des activités terroristes (RRPCFAT), on énonce le processus de présentation d’un code de pratique aux fins d’approbation ainsi que les principales exigences réglementaires.

La présente orientation vise à aider les organisations à établir un code de pratique en précisant quels renseignements doivent être inclus pour permettre au Commissaire à la protection de la vie privée de déterminer qu’un code de pratique satisfait aux exigences en matière d’approbation prévues à l’article 160 du RRPCFAT.

Comme l’indique le résumé de l’étude d’impact de la réglementation pour cette initiative, ce type d’échange de renseignements se fait sur une base volontaire, et les entités déclarantes ne sont pas tenues d’élaborer un code de pratique, à moins qu’elles n’aient l’intention d’échanger des renseignements dans un tel contexte.

Bien que la présente orientation vise à aider les entités qui pourraient présenter une demande d’approbation d’un code de pratique, elle ne constitue pas des conseils juridiques.

Demande d’approbation d’un code de pratique

Pour présenter un code de pratique aux fins d’examen, veuillez d’abord communiquer avec le Commissariat en remplissant notre formulaire ou par téléphone au 1-800-282-1376.

Les demandeurs sont également tenus d’en informer le Centre d’analyse des opérations et déclarations financières du Canada (CANAFE) et de lui transmettre une copie de leur code de pratique le jour même où ils le soumettent au Commissariat aux fins d’approbationNote de bas de page 1. Pour en savoir plus sur ce processus, veuillez consulter la directive de conformité du CANAFE sur l’échange de renseignements entre entités déclarantes.

Une fois qu’un code de pratique est présenté au Commissariat aux fins d’approbation, celui-ci a 120 jours civils pour prendre une décisionNote de bas de page 2, et il peut prolonger le délai de 15 jours et doit alors en aviser le demandeurNote de bas de page 3. Le Commissariat informera le demandeur si des renseignements supplémentaires concernant son code de pratique sont nécessaires et peut « suspendre le traitement de la demande » si des renseignements supplémentaires sont demandésNote de bas de page 4.

Définition de la portée d’un code de pratique

Selon le paragraphe 161(1) du RRPCFAT, toute personne ou entité visée à l’article 5 de la LRPCFAT (les entités déclarantes), ou toute personne ou entité agissant en son nom, peut demander au Commissariat d’approuver un code de pratique.

Lorsqu’ils définissent la portée d’un code de pratique, les demandeurs devraient tenir compte du fait que les communications effectuées en vertu de l’alinéa 11.01b) de la LRPCFAT doivent être raisonnables en vue de détecter ou de décourager le recyclage des produits de la criminalité, le financement des activités terroristes ou le contournement des sanctions. Comme il est indiqué dans les lignes directrices du Commissariat sur l’application des alinéas 7(3)d.1) et 7(3)d.2) de la LPRPDE, la notion de « raisonnable en vue de » signifie que les communications doivent être raisonnablement liées et proportionnelles à un but précis et qu’elles ne vont pas au-delà de leur portée même.

Bien que le Commissariat encourage les organisations à élaborer des politiques exhaustives qui régissent leurs pratiques en matière de protection de la vie privée, la portée d’un code de pratique devrait se limiter aux renseignements qui sont communiqués, recueillis et utilisés au titre de l’article 11.01 de la LRPCFAT.

Éléments à inclure dans un code de pratique

Le Commissariat examinera les demandes en fonction des critères énoncés à la section 160 du RRPCFAT. Pour éviter les retards dans le processus d’approbation, l’organisation devrait s’assurer que le code de pratique qu’elle propose comporte suffisamment de renseignements pour permettre au Commissariat d’évaluer le code de pratique en fonction des exigences qui suivent.

Selon l’article 160 du RRPCFAT, un code de pratique doit contenir les éléments suivants :

  • Désigner les entités déclarantes assujetties au code de pratique;
  • Décrire les renseignements personnels qui peuvent être communiqués, recueillis ou utilisés à l’insu de l’intéressé ou sans son consentement;
  • Décrire les fins pour lesquelles les renseignements personnels peuvent être communiqués, recueillis ou utilisés à l’insu de l’intéressé ou sans son consentement;
  • Décrire la manière dont les renseignements personnels peuvent être communiqués, recueillis ou utilisés à l’insu de l’intéressé ou sans son consentement;
  • Décrire les mesures à prendre pour veiller à la protection des renseignements personnels, notamment en ce qui concerne la conservation de renseignements personnels et la tenue de documents;
  • Comprendre des renseignements qui démontrent que le code de pratique est conforme aux exigences de la LRPCFAT et qu’il prévoit une protection des renseignements personnels essentiellement identique ou supérieure à celle prévue par la LPRPDE.

On encourage également les demandeurs qui souhaitent en savoir plus à consulter l’ensemble de documents d’orientation du Commissariat sur la façon de se conformer à la LPRPDE.

Pour faciliter le processus d’examen, les demandeurs doivent s’assurer que le code de pratique qu’ils proposent couvre les éléments ci-dessous.

Responsabilité

  • Indiquer toutes les entités déclarantes signataires du code de pratique, notamment leur dénomination sociale et leur numéro d’entité déclarante du CANAFE.
  • Démontrer comment chaque entité déclarante participante (entité participante) sera responsable des renseignements personnels qui relèvent d’elle, notamment confirmer que des politiques, des procédures et des formations connexes sont en place à cet effet. Ces politiques et pratiques doivent comprendre :
    • la mise en œuvre de procédures pour protéger les renseignements personnels;
    • la mise en place de procédures pour recevoir les plaintes et les demandes de renseignements et y donner suite;
    • la formation du personnel et la transmission au personnel de l’information relative aux politiques et aux pratiques de l’organisation;
    • la rédaction des documents explicatifs concernant leurs politiques et procédures.
  • Inclure des précisions sur toute évaluation connexe, comme une évaluation des facteurs relatifs à la vie privée, que le demandeur a effectuée et qui a trait à l’échange des renseignements en question.
  • Les entités participantes devraient être en mesure de démontrer leur conformité. Cela signifie que les politiques et les procédures doivent comprendre une obligation de consigner les renseignements qui sont communiqués, recueillis ou utilisés, ainsi que la justification des décisions visant la communication, la collecte ou l’utilisation des renseignements, et qu’elles doivent prendre en compte les procédures internes en matière de vérification et d’assurance.

Détermination des fins

  • Décrire les fins auxquelles les renseignements personnels peuvent être communiqués, recueillis ou utilisés conformément au code de pratique, notamment :
    • Déterminer les fins précises auxquelles les entités participantes communiqueront, recueilleront et utiliseront des renseignements personnels et la façon dont ces fins sont liées au fait de détecter ou de décourager le recyclage des produits de la criminalité, le financement des activités terroristes ou le contournement des sanctions, comme l’exige l’alinéa 11.01(1)b) de la LRPCFAT;
    • Décrire les mécanismes en place pour déterminer quels renseignements doivent être recueillis pour réaliser les fins précises;
    • Décrire les mécanismes en place pour veiller à ce que les fins précises ne soient que celles qu’une personne raisonnable jugerait acceptables dans les circonstancesNote de bas de page 5;
    • Décrire les autorisations législatives ou réglementaires sur lesquelles on se fie pour toute utilisation des renseignements échangés, notamment la disposition ou l’annexe précise de la LRPCFAT ou du RRPCFAT.

Limitation de la collecte

  • Décrire les renseignements personnels qui seront recueillis conformément au code de pratique (c.-à-d. ceux qui seront reçus d’une autre entité participante). Il faut indiquer des renseignements précis et ne pas seulement inclure des catégories générales de renseignements personnels. Les demandeurs peuvent consulter le Bulletin d’interprétation : Renseignements personnels du Commissariat pour déterminer ce qui constitue des renseignements personnels.
  • Préciser comment chaque entité participante s’assurera qu’elle ne recueille pas de renseignements personnels sans discernement. Il faut également inclure des précisions sur la façon dont la quantité et le type de renseignements se limitent à ce qui est nécessaire pour réaliser les fins prévues par l’article 11.01 de la LRPCFAT.
  • Si une collecte de renseignements contextuels a lieu, le code de pratique doit décrire comment les entités participantes évaluent les renseignements personnels contextuels qui doivent être recueillis, notamment les critères utilisés pour en arriver à cette décision. Le code de pratique doit également confirmer que les cadres utilisés et les décisions prises sont consignés.

Limiter l’utilisation, la communication et la conservation

  • Expliquer comment les entités participantes limiteront les renseignements personnels communiqués au titre du code de pratique à ceux qui sont nécessaires pour réaliser les fins prévues à l’article 11.01 de la LRPCFAT.
  • Décrire comment les entités participantes s’assureront que les renseignements personnels reçus conformément au code de pratique ne seront utilisés ou communiqués qu’aux fins pour lesquelles elles les recueillent, conformément aux fins énoncées à l’article 11.01 de la LRPCFAT.
  • Décrire les périodes de conservation des renseignements personnels qui sont communiqués, recueillis ou utilisés conformément au code de pratique et aux lois, règlements ou autres instruments réglementaires applicables, notamment les références aux dispositions connexes, qui peuvent avoir une incidence sur ces périodes de conservation, le cas échéant.
    • Pour déterminer la période de conservation appropriée, une organisation doit tenir compte des éléments suivants :
      • La raison pour laquelle les renseignements personnels ont été communiqués, puis recueillis et utilisés conformément au code de pratique;
      • Si les renseignements personnels ont servi à prendre une décision au sujet d’un individu, ils doivent être conservés pendant la période prévue par la loi ou, en l’absence d’exigences législatives, pendant une période raisonnable;
      • Une fois que la fin pour laquelle les renseignements ont été recueillis a été réalisée, il faut procéder au retrait des renseignements personnels, à moins qu’il ne soit par ailleurs nécessaire de les conserver, au titre de la loiNote de bas de page 6.
  • Confirmer que chaque entité participante a rédigé une politique sur la façon dont elle détruira, effacera ou anonymisera les renseignements personnels qui ont été recueillis conformément au code de pratique et qui ne sont plus nécessaires.

Exactitude

  • Décrire comment les entités participantes s’assureront que les renseignements personnels communiqués, recueillis ou utilisés conformément au code de pratique sont exacts, complets et à jour selon les fins prévues, et comment elles réduiront la possibilité que des renseignements inappropriés soient utilisés pour prendre une décision concernant un individu.
  • Indiquer comment les entités participantes corrigeront les renseignements inexacts, notamment en avisant toute autre entité déclarante qui a reçu ces renseignements inexacts.
  • Préciser la formation qui sera donnée au personnel sur les problèmes d’exactitude courants dans le contexte du recyclage des produits de la criminalité, du financement des activités terroristes et du contournement des sanctions, comme les préjugés systémiques, les erreurs d’identité, etc.
  • Décrire comment un individu pourra contester l’exactitude des renseignements à son sujet qui sont détenus par une entité participante.
  • Confirmer que les entités participantes modifieront les renseignements personnels s’il est démontré que les renseignements ne sont pas exacts ou complets.
  • Confirmer que les entités participantes prendront note de l’objet des contestations non réglées quant à l’exactitude des renseignements personnels et aviseront les autres entités participantes qui ont accès aux renseignements en question du fait que les contestations n’ont pas été réglées, le cas échéant.

Mesures de sécurité

  • Décrire les mesures de sécurité en place pour protéger les renseignements personnels contre la perte ou le vol, ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées, notamment les moyens matériels, les mesures administratives et les mesures techniques.
    • La description doit faire référence aux politiques et aux procédures que les entités participantes ont mises en place pour limiter et surveiller l’accès des employés aux renseignements personnels, notamment les mesures proactives comme les vérifications et les contrôles d’accès, ainsi que les dispositions que les entités prendront si des renseignements personnels sont consultés sans autorisation.
    • Les organisations pourraient vouloir indiquer comme référence toute norme reconnue que les participants respecteront.
  • Expliquer pourquoi ces mesures sont adéquates en fonction du degré de sensibilité, de la quantité, de la répartition et du format des renseignements personnels ainsi que des méthodes de conservation.
  • Préciser de quelle façon les renseignements plus sensibles seront mieux protégésNote de bas de page 7.
  • Décrire comment les entités participantes s’assureront que les renseignements personnels sont échangés entre elles en toute sécurité.
  • Décrire comment les atteintes aux mesures de sécurité et les autres incidents seront surveillés et traités, notamment le signalement aux organismes de réglementation pertinents, l’avis aux individus concernés et la tenue des registresNote de bas de page 8.

Transparence

  • Décrire comment les entités participantes feront en sorte que l’information sur leurs politiques et pratiques relatives à la communication, à l’utilisation et à la collecte de renseignements personnels conformément au code de pratique soit facilement accessible, notamment le fait que les renseignements personnels peuvent être échangés sans consentement afin de détecter ou de décourager le recyclage des produits de la criminalité, le financement d’activités terroristes et le contournement des sanctions.
  • Envisager de publier des rapports sur le nombre et le genre de communications effectuées sur une base annuelle ou semestrielle, en utilisant des données agrégées ou anonymisées.

Accès aux renseignements personnels

À la réception d’une demande d’accès, et s’il est juridiquement approprié de le faire, confirmer que :

  • tout individu qui en fait la demande sera informé de l’existence de renseignements personnels qui le concernent, de l’usage qui en est fait et du fait qu’ils ont été communiqués à des tiers, et qu’il pourra les consulter;
  • les entités participantes répondront à chaque demande dans un délai raisonnable et elles ne pourront exiger, pour ce faire, que des droits minimes;
  • les entités participantes consigneront les raisons pour lesquelles un individu se voit refuser l’accès à ses renseignements personnels et fourniront ces raisons à l’individu.

Possibilité de porter plainte à l’égard du non-respect des principes

  • Confirmer qu’il existe un processus selon lequel les entités participantes traitent les plaintes et les demandes relatives aux renseignements personnels qui ont été communiqués, recueillis ou utilisés, et que si une plainte est jugée fondée, ces entités prendront les mesures appropriées, y compris modifier au besoin leurs politiques et leurs pratiques.
  • Décrire comment les entités participantes informeront les individus des procédures pertinentes en matière de plainte et de la possibilité de déposer une plainte auprès du Commissariat.

Modifier un code de pratique approuvé

Les demandeurs qui modifient un code de pratique approuvé doivent en aviser le Commissaire et le CANAFE, et leur fournir une copie du code de pratique modifié dès que possible. Le Commissariat avisera le demandeur dans les 30 jours suivant la réception de cet avis s’il considère que la ou les modifications sont importantes. Dans un tel cas, les demandeurs seront invités à demander l’approbation du code de pratique modifié.

Pour garantir l’efficacité de l’examen, il est recommandé que les changements soient clairement indiqués et intégrés dans le texte du code de pratique au moment de l’envoyer au Commissariat. Pour évaluer l’importance des modifications, le Commissaire examinera si le changement a une incidence importante sur le caractère, le volume ou les répercussions d’un échange de renseignements effectué au titre du code de pratique.

Si le Commissaire a des motifs raisonnables de croire qu’une personne ou entité a modifié un code de pratique approuvé sans en aviser le Commissariat, celui-ci peut enjoindre à la personne ou l’entité de demander l’approbation du code modifié. Si la personne ou l’entité ne se conforme pas à cette instruction, le Commissariat peut suspendre l’approbation du code de pratique accordée précédemmentNote de bas de page 9.

Soumettre de nouveau un code de pratique après cinq ans

Un code de pratique doit être soumis de nouveau au Commissariat aux fins d’approbation cinq ans après la date d’approbation la plus récente, et une copie doit être fournie au CANAFE. Un code de pratique qui a été approuvé plus de cinq ans auparavant et qui n’a pas fait l’objet d’une nouvelle demande d’approbation ne sera plus considéré comme approuvé.

Accès à l’information

Veuillez noter que le Commissariat peut être tenu de communiquer les renseignements obtenus dans le cadre de l’approbation d’un code de pratique en application de la Loi sur l’accès à l’informationNote de bas de page 10 et de la Loi sur la protection des renseignements personnels, ou lorsque la loi le contraint à le faire, par exemple en application d’une ordonnance d’un tribunal. La communication de ces renseignements pourrait toutefois faire l’objet d’exceptions prévues par la loi.

Date de modification :