Les entreprises et vos renseignements personnels

Septembre 2016

Lorsque vous faites affaire avec une entreprise, vous n’échangez pas seulement de l’argent contre un produit ou un service. Vous laissez peut-être derrière vous une multitude de renseignements personnels à votre sujet, par exemple votre nom, votre adresse, votre numéro de carte de crédit et vos habitudes de consommation.

De nos jours, on communique souvent des renseignements personnels à des entreprises dans le cadre de transactions commerciales. Mais cela n’entraîne pas forcément la perte du contrôle que l’on exerce sur ces renseignements. Au contraire, les lois sur la protection des renseignements personnels au Canada vous donnent un important droit de regard sur la façon dont vos renseignements personnels sont recueillis, utilisés et communiqués.

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), une loi fédérale en matière de protection des renseignements personnels applicable au secteur privé au Canada, établit les règles de base du traitement des renseignements personnels dans le cadre des activités commerciales.

Elle s’applique de la même manière aux entreprises de toutes tailles, peu importe qu’elles aient pignon sur rue ou qu’elles exercent leurs activités exclusivement en ligne. 

Le présent document donne un aperçu de l’application de la LPRPDE ainsi que de vos droits en vertu de la législation.

Toutes les entreprises sont-elles assujetties à la LPRPDE?

La LPRPDE s’applique aux entreprises privées partout au Canada, sauf dans les provinces qui ont adopté une loi essentiellement similaire en matière de protection des renseignements personnels, à savoir le Québec, la Colombie-Britannique et l’Alberta.

C’est aussi le cas dans certaines provinces en ce qui concerne les renseignements personnels sur la santé détenus par des dépositaires d’information sur la santé en vertu de leurs propres lois sur la protection des renseignements personnels s’appliquant au secteur de la santé.

Toutefois, partout au Canada, même dans les provinces ayant des lois essentiellement similaires, la LPRPDE continue de s’appliquer aux renseignements personnels recueillis, utilisés ou communiqués par toutes les organisations sous réglementation fédérale, comme les stations de radio et de télévision, les aéroports et les transporteurs aériens, les compagnies de chemin de fer et les entreprises de télécommunication.

La LPRPDE s’applique également à tous les renseignements personnels qui circulent d’une province ou d’un pays à l’autre, dans le cadre de transactions commerciales qui touchent des organisations assujetties à la Loi ou à une loi essentiellement similaire.

Conseil : Il peut être compliqué de déterminer si une entreprise est assujettie à la LPRPDE. Pour obtenir plus d’information, consultez notre fiche d’information au sujet des lois sur la protection des renseignements personnels au Canada ou utilisez notre outil en ligne À qui vous adresser en cas de problème lié à la protection de la vie privée.

Qu’entend-on par « renseignements personnels »?

La LPRPDE protège les renseignements concernant un individu identifiable. Les renseignements personnels comprennent :

  • le nom, la race, l’origine ethnique, la religion, l’état matrimonial et le niveau d’instruction;
  • l’adresse électronique, les messages de courriel et l’adresse IP (protocole Internet);
  • l’âge, la taille, le poids, les dossiers médicaux, le groupe sanguin, l’ADN, les empreintes digitales et la signature vocale;
  • les revenus, les achats, les habitudes de consommation, les renseignements bancaires, les données sur les cartes de crédit ou de débit, les rapports de prêt ou de solvabilité et les déclarations de revenus;
  • le numéro d’assurance sociale (NAS) ou d’autres numéros d’identification.

Qu’est-ce qui est énoncé dans la LPRPDE?

En vertu de la LPRPDE, les organisations du secteur privé doivent recueillir, utiliser ou communiquer vos renseignements personnels de façon honnête et licite, avec votre consentement, et seulement à des fins qui sont précisées et raisonnables.

Une organisation peut recueillir uniquement les renseignements personnels qui sont essentiels à une transaction commerciale. Si on vous demande d’autres renseignements, vous avez le droit d’en demander la raison et de refuser de fournir l’information si la réponse ne vous satisfait pas. Vous devriez être en mesure d’effectuer la transaction même si vous avez refusé de transmettre des renseignements personnels autres que ceux qui sont justifiés.

Les organisations sont aussi tenues de protéger vos renseignements personnels en adoptant des mesures de sécurité appropriées et de détruire les renseignements lorsqu’ils ne sont plus nécessaires aux fins prévues au départ.

Vous avez le droit de vous attendre à ce que les renseignements personnels qu’une organisation détient à votre sujet soient exacts, complets et à jour. Cela signifie que vous avez le droit d’y avoir accès et de demander qu’ils soient corrigés s’ils sont erronés.

Conseil : Vous pouvez vous adresser à l’agent responsable de la protection de la vie privée si vous souhaitez savoir quels renseignements l’organisation a recueillis à votre sujet. Consultez notre fiche d’information pour savoir comment avoir accès à vos renseignements personnels.

La LPRPDE définit 10 « principes relatifs à l’équité dans le traitement de l’information », qui représentent collectivement les fondements de cette loi.

Principes relatifs à l’équité dans le traitement de l’information

  1. Responsabilité – Les organisations doivent désigner un responsable des questions relatives à la protection de la vie privée. Elles doivent également mettre à la disposition des clients de l’information sur leurs politiques et leurs procédures en matière de protection des renseignements personnels.
  2. Détermination du but de la collecte de renseignements – Les organisations doivent préciser les motifs de la collecte de renseignements personnels, avant ou pendant cette collecte.
  3. Consentement – Les organisations doivent vous informer clairement des fins auxquelles les renseignements personnels qui vous concernent sont recueillis, utilisés ou communiqués.
  4. Limitation de la collecte – Les organisations doivent restreindre la quantité et la nature des renseignements recueillis à ceux qui sont nécessaires.
  5. Limitation de l’utilisation, de la communication et de la conservation – En règle générale, les organisations doivent utiliser ou communiquer les renseignements personnels vous concernant uniquement aux fins pour lesquelles ils ont été recueillis, à moins d’avoir obtenu votre consentement. Elles ne doivent conserver vos renseignements personnels qu’aussi longtemps que nécessaire.
  6. Rigueur – Les organisations doivent s’assurer que vos renseignements personnels sont aussi exacts, complets et à jour que nécessaire.
  7. Mesures de sécurité – Les organisations doivent adopter les mesures de sécurité qui s’imposent pour protéger vos renseignements personnels contre la perte ou le vol.
  8. Transparence – Les organisations doivent faire en sorte que leurs politiques et leurs pratiques en matière de protection des renseignements personnels soient compréhensibles et facilement accessibles.
  9. Accès aux renseignements personnels – En règle générale, vous avez le droit d’avoir accès aux renseignements personnels qu’une organisation détient à votre sujet.
  10. Recours (possibilité de porter plainte à l’égard du non-respect des principes) – Les organisations doivent mettre en place des procédures simples et facilement accessibles pour le dépôt de plaintes. Lorsque vous communiquez avec une organisation pour lui faire part de vos préoccupations concernant la protection des renseignements personnels, elle doit vous informer des différents recours qui s’offrent à vous.

Conseil : Pour mieux comprendre les responsabilités qui incombent aux organisations en vertu de la LPRPDE, consultez notre Trousse d’outils en matière de vie privée : Guide à l’intention des entreprises et des organisations.

Y a-t-il autre chose que je devrais savoir?

La loi prévoit quelques exceptions au principe de consentement. Par exemple, un service de police qui fait la preuve qu’il a besoin de renseignements personnels pour une enquête ou en cas d’urgence peut être soustrait à l’obligation d’obtenir un consentement pour les recueillir en vertu de la LPRPDE.

En outre, la LPRPDE ne s’applique pas aux coordonnées d’affaires – y compris le nom et le titre d’un employé, l’adresse de son lieu de travail ainsi que son numéro de téléphone et son adresse de courriel au travail – qu’une organisation recueille, utilise ou communique uniquement pour communiquer avec des personnes dans le cadre de leur emploi, de leur entreprise ou de leur profession.

La LPRPDE exempte aussi les organisations qui recueillent, utilisent ou communiquent des renseignements personnels strictement à des fins journalistiques, artistiques ou littéraires.

Il est également important de mentionner que la LPRPDE s’applique aux activités commerciales. Par conséquent, la collecte, l’utilisation ou la communication, par un individu, de renseignements personnels strictement à des fins personnelles ne sont pas assujetties à la loi.

Que puis-je faire si j’ai des préoccupations en matière de protection des renseignements personnels concernant une entreprise?

En règle générale, si vous avez des préoccupations concernant la manière dont une entreprise a traité vos renseignements personnels, vous devriez d’abord en discuter avec un représentant de cette organisation. Dans de nombreux cas, vous réglerez le problème très rapidement.

Conseil : Le Commissariat a conçu des outils pour vous aider à soulever auprès d’une entreprise une préoccupation concernant la protection des renseignements personnels.

Et si mes préoccupations ne sont pas prises en compte?

Si vous avez discuté directement avec le représentant de l’organisation mais n’êtes pas satisfait du résultat, vous pouvez déposer une plainte auprès du Commissariat à la protection de la vie privée du Canada. 

Conseil : Avant d’envisager le dépôt d’une plainte, nous vous encourageons à consulter notre Guide sur le processus de traitement des plaintes en vertu de la LPRPDE. Il n’est pas nécessaire d’engager un avocat ou un consultant pour déposer une plainte. Si vous avez des questions concernant votre droit à la vie privée ou notre processus relatif aux plaintes, vous pouvez communiquer avec nos agents d’information en composant le 1-800-282-1376.

Pour plus d’information

Date de modification :