Rapports et publications

Trousse d’outils en mati√®re de vie priv√©e

Guide à l'intention des entreprises et des organisations

La Loi sur la protection des renseignements personnels et les documents électroniques du Canada

Le 18 juin 2015, la Loi sur la protection des renseignements personnels num√©riques a re√ßu la sanction royale. Cette loi apporte plusieurs modifications √† la Loi sur la protection des renseignements personnels et les documents √©lectroniques (LPRPDE), dont la plupart sont maintenant en vigueur. Pour en savoir plus sur les modifications, veuillez consulter notre fiche d'information sur la Loi sur la protection des renseignements personnels num√©riques.


Pour obtenir de plus amples renseignements, veuillez communiquer avec :

Commissariat à la protection de la vie privée du Canada
30, rue Victoria
Gatineau (Québec) K1A 1H3

Téléphone : 819-994-5444
Sans frais : 1-800-282-1376
Télécopieur : 819-994-5424

Site Web : www.priv.gc.ca
Suivez-nous sur Twitter : @privacyprivee

Bien qu’il ait √©t√© √©labor√© avec soin pour assurer un contenu exact et exhaustif, le pr√©sent guide n’a aucune valeur juridique. Pour obtenir de plus amples renseignements concernant la Loi sur la protection des renseignements personnels et les documents √©lectroniques, veuillez consulter notre site Web √† l’adresse www.priv.gc.ca ou t√©l√©phonez au Commissariat √† la protection de la vie priv√©e du Canada.

IP54-58/2014F
ISBN : 978-0-660-21913-4

Mise à jour : décembre 2015

Le pr√©sent guide porte uniquement sur la partie 1 de la Loi sur la protection des renseignements personnels et les documents √©lectroniques. Toute r√©f√©rence √† la Loi qui y est faite se rapporte donc express√©ment √† cette partie. Les parties 2 √† 5 de la Loi portent sur l’utilisation des signatures et des documents √©lectroniques comme solution de rechange autoris√©e aux signatures et aux documents originaux. Pour obtenir de plus amples renseignements √† ce sujet, veuillez communiquer avec le minist√®re de la Justice.

Renseignements complémentaires

Ce document attire l’attention sur un certain nombre d’autres ressources qui fournissent de l’information plus détaillée sur la façon dont les organisations peuvent s’acquitter de leurs obligations en vertu de la LPRPDE. Pour suivre des hyperliens menant à ces documents, veuillez consulter la version électronique de ce guide sur le site Web du Commissariat à la protection de la vie privée du Canada, à l’adresse suivante : www.priv.gc.ca.

Haut de la pageTable des matièresAperçu

Le pr√©sent guide a √©t√© √©labor√© par le Commissariat √† la protection de la vie priv√©e du Canada pour aider les organisations √† s’acquitter de leurs responsabilit√©s en vertu de la Loi sur la protection des renseignements personnels et les documents √©lectroniques (LPRPDE).

Les gens seront heureux de faire affaire avec des organisations qui montrent qu’elles accordent de l’importance au respect du droit √† la vie priv√©e, et les entreprises qui le font pourraient √† terme b√©n√©ficier d’un avantage concurrentiel. Les organisations peuvent donc y voir l’occasion d’examiner et d’am√©liorer leurs pratiques en mati√®re de traitement des renseignements personnels.

R√īle du commissaire √† la protection de la vie priv√©e du Canada

Le commissaire à la protection de la vie privée du Canada est chargé de la surveillance de la Loi sur la protection des renseignements personnels et de la partie 1 de la LPRPDE. Ces lois protègent les renseignements personnels qui ont été confiés aux institutions fédérales et aux organisations commerciales respectivement.

En sa qualit√© d’agent du Parlement, le commissaire rel√®ve directement de la Chambre des communes et du S√©nat, et non du gouvernement en place. Cette ind√©pendance lui garantit l’impartialit√© et la transparence requises dans l’exercice de ses fonctions d’ombudsman pour les questions li√©es √† la protection de la vie priv√©e.

Bien qu’il prot√®ge les droits individuels, le commissaire d√©fend aussi les principes relatifs √† l’√©quit√© dans le traitement de l’information sur lesquels repose la LPRPDE.

Les enquêtes approfondies menées par le commissaire et son impartialité protègent à la fois les droits individuels et les organisations contre des accusations injustes.

Le commissaire fait la promotion des objectifs de la LPRPDE au moyen d’initiatives d’√©ducation et de sensibilisation du public, de travaux de recherche, de rapports, de consultations et d’ententes.

En vertu de la LPRPDE, le commissaire est √©galement tenu d’entreprendre des travaux de recherche sur la protection de la vie priv√©e et d’en publier les conclusions de fa√ßon √† enrichir les connaissances et √† am√©liorer la conformit√© aux principes relatifs √† l’√©quit√© dans le traitement de l’information qui sont d√©finis dans la LPRPDE. Le commissaire peut effectuer des travaux de recherche ind√©pendante sur des questions relatives √† la protection de la vie priv√©e en collaboration avec des universitaires ou d’autres chercheurs. Il peut √©galement accorder des subventions et des contributions pour la r√©alisation de travaux universitaires ou d’autres travaux de recherche sur la protection de la vie priv√©e.

Le commissaire rend compte annuellement au Parlement des questions relatives à la protection de la vie privée.

Survol de la LPRPDE

Les organisations vis√©es par la Loi doivent obtenir le consentement d’une personne avant de recueillir, d’utiliser ou de communiquer des renseignements personnels la concernant. Toute personne a le droit de consulter les renseignements personnels que d√©tient une organisation √† son sujet et, au besoin, d’en contester l’exactitude. Les renseignements personnels ne peuvent √™tre utilis√©s qu’aux fins pour lesquelles ils ont √©t√© recueillis. L’organisation qui entend les utiliser √† d’autres fins doit obtenir express√©ment le consentement de le faire. Les personnes devraient par ailleurs avoir l’assurance que les renseignements qui les concernent seront prot√©g√©s par les mesures de s√©curit√© appropri√©es.

En vertu de la LPRPDE, une organisation désigne une association, une société de personnes, une personne ou une organisation syndicale.

Modalit√©s d’application de la Loi

La LPRPDE vise la collecte, l’utilisation ou la communication de renseignements personnels dans le cadre d’une activit√© commerciale.

Une activit√© commerciale est d√©finie comme toute activit√© r√©guli√®re ainsi que tout acte isol√© qui rev√™tent un caract√®re commercial de par leur nature, y compris la vente, le troc ou la location de listes de donneurs, d’adh√©sion ou de collecte de fonds.

Le gouvernement f√©d√©ral peut exclure de l’application de la Loi des organisations ou des activit√©s dans les provinces qui ont adopt√©, dans le domaine de la protection de la vie priv√©e, une loi essentiellement similaire √† la LPRPDE. À ce jour, le Qu√©bec, la Colombie-Britannique et l’Alberta ont adopt√© √† l’√©gard du secteur priv√© des lois jug√©es essentiellement similaires √† la loi f√©d√©rale. Pour leur part, l’Ontario, le Nouveau-Brunswick et Terre-Neuve-et-Labrador ont adopt√© des lois essentiellement similaires √† la loi f√©d√©rale dans le domaine des renseignements personnels sur la sant√©.

M√™me dans les provinces ayant adopt√© des lois essentiellement similaires √† la loi f√©d√©rale sur la protection de la vie priv√©e, la LPRPDE continue de s’appliquer √† toute activit√© interprovinciale ou internationale par toute organisation vis√©e par la Loi dans le cadre de ses activit√©s commerciales.

Par ailleurs, dans ces provinces, la LPRPDE continue de s’appliquer aux organisations r√©glement√©es par le gouvernement f√©d√©ral — ¬ę les entreprises f√©d√©rales ¬Ľ — telles que les banques, les soci√©t√©s de t√©l√©communications et les entreprises de transport.

Qu’est-ce qu’une ¬ę entreprise f√©d√©rale ¬Ľ?

L’expression ¬ę entreprise f√©d√©rale ¬Ľ d√©signe ¬ę les installations, ouvrages, entreprises ou secteurs d’activit√© qui rel√®vent de la comp√©tence l√©gislative du Parlement ¬Ľ. M√™me si la plupart des organisations r√©glement√©es par le gouvernement f√©d√©ral entrent dans cette cat√©gorie, tous les types d’organisations ne sont pas des entreprises f√©d√©rales. Par exemple, les compagnies d’assurances et les coop√©ratives de cr√©dit peuvent √™tre assujetties √† certains r√®glements f√©d√©raux, mais elles rel√®vent de la comp√©tence des provinces en vertu de la Constitution et ne sont pas consid√©r√©es comme des entreprises f√©d√©rales aux termes de la Loi. Les entreprises ou activit√©s suivantes sont comprises parmi les entreprises f√©d√©rales vis√©es par la partie 1 de la LPRPDE :

  • les a√©roports, a√©ronefs ou lignes de transport a√©rien;
  • les banques;
  • le transport interprovincial ou international par voie terrestre ou par eau;
  • les t√©l√©communications;
  • les activit√©s ou entreprises de forage en mer;
  • les stations de radiodiffusion et de t√©l√©diffusion.

Il convient de noter qu’il ne s’agit pas ici d’une liste exhaustive des ¬ę entreprises f√©d√©rales ¬Ľ. Votre entreprise ne constitue pas une entreprise f√©d√©rale du seul fait qu’elle est constitu√©e en personne morale sous le r√©gime d’une loi f√©d√©rale. En revanche, si elle est vis√©e par l’une ou l’autre des parties du Code canadien du travail, il se peut qu’elle soit une entreprise f√©d√©rale.

Qu’entend-on par ¬ę renseignements personnels ¬Ľ?

En vertu de la LPRPDE, on entend par renseignement personnel tout renseignement factuel ou subjectif, consign√© ou non, concernant une personne identifiable. Il peut s’agir de tout type de renseignement, par exemple :

  • l’√Ęge, le nom, un num√©ro d’identification, le revenu, l’origine ethnique ou le groupe sanguin;
  • une opinion, une √©valuation, un commentaire, le statut social ou une mesure disciplinaire;
  • le dossier d’un employ√©, un dossier de cr√©dit ou de pr√™t, un dossier m√©dical, l’existence d’un diff√©rend entre un consommateur et un commer√ßant ou le projet d’une personne (par exemple, l’intention d’acqu√©rir des biens ou des services ou de changer d’emploi).

Quels sont les renseignements personnels non visés par la LPRPDE?

Il y a des cas o√Ļ la LPRPDE ne s’applique pas, par exemple :

  • les renseignements personnels recueillis, utilis√©s ou communiqu√©s par des organisations f√©d√©rales assujetties √† la Loi sur la protection des renseignements personnels;
  • les renseignements personnels recueillis, utilis√©s ou communiqu√©s par des gouvernements provinciaux et territoriaux et leurs mandataires;
  • les coordonn√©es d’affaires ‚Äď y compris le nom, le titre, l’adresse professionnelle, le num√©ro de t√©l√©phone, le num√©ro de t√©l√©copieur ou l’adresse courriel de l’employ√© ‚Äď qu’une organisation recueille, utilise ou communique uniquement afin de contacter une personne pour les besoins de son emploi, de son entreprise ou de sa profession;
  • les renseignements personnels recueillis, utilis√©s ou communiqu√©s par une personne √† des fins strictement personnelles (p. ex. la constitution d’une liste de personnes √† qui adresser des cartes de vŇďux);
  • les renseignements personnels recueillis, utilis√©s ou communiqu√©s par une organisation √† des fins strictement journalistiques, artistiques et litt√©raires.

Plaintes déposées auprès du Commissariat à la protection de la vie privée du Canada

Une personne peut d√©poser une plainte relative √† une infraction pr√©sum√©e √† la loi aupr√®s de l’organisation vis√©e ou du Commissariat √† la protection de la vie priv√©e du Canada.

Le commissaire peut lui aussi d√©poser une plainte s’il a des motifs raisonnables de le faire.

Dans la mesure du possible, le Commissariat √† la protection de la vie priv√©e du Canada s’efforce de r√©gler les diff√©rends gr√Ęce √† la tenue d’enqu√™tes ou par la persuasion, la m√©diation ou la conciliation. Id√©alement, cette approche √† l’√©gard du r√®glement des conflits peut se r√©v√©ler moins intimidante pour la partie plaignante et moins co√Ľteuse pour l’entreprise en cause que le recours aux tribunaux.

Dans certaines situations, lorsqu’une plainte porte sur un diff√©rend susceptible d’√™tre r√©gl√© rapidement, la plainte est renvoy√©e √† un agent de r√®glement rapide.

L’agent de r√®glement rapide travaille avec le plaignant et l’organisation mise en cause pour r√©gler la plainte. Dans certains cas, un diff√©rend qui aurait pris des mois √† r√©gler par la proc√©dure d’enqu√™te officielle sur les plaintes peut √™tre r√©gl√© en quelques jours seulement.

Si les parties ne peuvent parvenir √† une entente, la plainte fait l’objet d’une enqu√™te au terme de laquelle le Commissariat √† la protection de la vie priv√©e du Canada publie un rapport de conclusions.

Le commissaire formule des recommandations, mais il n’√©met pas d’ordonnance. Toutefois, en vertu d’une disposition de la LPRPDE, le plaignant ou le commissaire √† la protection de la vie priv√©e du Canada peut dans certains cas pr√©senter une demande d’audience devant la Cour f√©d√©rale.

La Cour f√©d√©rale peut ordonner √† une organisation de modifier ses pratiques ou de verser des dommages et int√©r√™ts √† un plaignant, notamment en r√©paration d’une humiliation.

Le commissaire peut rendre publique toute information dont il prend connaissance dans l’exercice des attributions que lui conf√®re la Loi s’il estime que cela est dans l’int√©r√™t public.

Vérifications

Le commissaire peut, s’il a des motifs raisonnables, proc√©der √† la v√©rification des pratiques d’une organisation en mati√®re de gestion des renseignements personnels.

Infractions

En vertu de la LPRPDE, commet une infraction quiconque :

  • d√©truit des renseignements personnels demand√©s par une personne;
  • exerce des mesures de repr√©sailles contre un employ√© qui a d√©pos√© une plainte aupr√®s du commissaire ou qui refuse de contrevenir aux articles 5 √† 10 de la Loi;
  • nuit √† une enqu√™te effectu√©e √† la suite d’une plainte ou √† la conduite d’une v√©rification men√©e par le commissaire ou son d√©l√©gu√©.

Responsabilités de votre organisation en vertu de la Loi

Les organisations doivent respecter un code de protection des renseignements personnels √©labor√© par les entreprises, les consommateurs, des universitaires et les administrations publiques sous l’√©gide de l’Association canadienne de normalisation. Ce code constitue l’annexe 1 de la Loi.

Le code énonce les dix principes que les entreprises doivent respecter, à savoir :

  1. la responsabilité;
  2. la détermination des fins de la collecte des renseignements;
  3. le consentement;
  4. la limitation de la collecte;
  5. la limitation de l’utilisation, de la communication et de la conservation;
  6. l’exactitude;
  7. les mesures de sécurité;
  8. la transparence;
  9. l’acc√®s aux renseignements personnels;
  10. la possibilit√© de porter plainte √† l’√©gard du non-respect des principes.

Ces principes sont décrits de manière plus précise dans les sections qui suivent.

Haut de la pageTable des mati√®resPrincipes relatifs √† l’√©quit√© dans le traitement de l’information

L’annexe 1 de la LPRPDE √©nonce dix principes relatifs √† l’√©quit√© dans le traitement de l’information, qui jettent les bases non seulement de la collecte, de l’utilisation et de la communication des renseignements personnels, mais √©galement de l’acc√®s aux renseignements personnels. Ces principes permettent aux int√©ress√©s de ma√ģtriser la fa√ßon dont le secteur priv√© traite les renseignements personnels les concernant.

Cependant, les organisations devraient savoir qu’en plus des principes √©nonc√©s √† l’annexe 1 de la LPRPDE, la Loi renferme l’obligation supr√™me selon laquelle une organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu’√† des fins qu’une personne raisonnable estimerait acceptables dans les circonstances. Cette norme ultime sur les fins acceptables s’applique en tout temps, nonobstant les dispositions de l’annexe 1 de la Loi.

Une organisation est responsable de la protection des renseignements personnels dont elle a la gestion et doit traiter ces renseignements de fa√ßon √©quitable en tout temps, au sein m√™me de l’organisation et dans le cadre de toute transaction avec une tierce partie. En outre, la confiance et la loyaut√© des consommateurs reposent sur la diligence dans la collecte, l’utilisation et la communication des renseignements personnels.

La pr√©sente section √©nonce les responsabilit√©s inh√©rentes √† chacun des dix principes d√©finis √† l’annexe 1. Elle explique comment s’acquitter de ces responsabilit√©s et donne des conseils √† cet √©gard.

Haut de la pageTable des matières1. Soyez responsable

Vos responsabilités
  • Respecter les dix principes √©nonc√©s √† l’annexe 1.
  • Confier √† une ou √† plusieurs personnes la responsabilit√© de la conformit√© √† la Loi de votre organisation.
  • Prot√©ger tous les renseignements personnels que votre organisation a en sa possession ou qu’elle a confi√©s √† une tierce partie aux fins de traitement.
  • Élaborer et mettre en œuvre des politiques et des pratiques concernant les renseignements personnels.
Comment vous acquitter de vos responsabilités

Élaborez un programme de gestion de la protection des renseignements personnels dans le cadre duquel :

  • vous donnerez au responsable de la protection de la vie priv√©e le soutien de la haute direction et le pouvoir d’intervenir pour toute question relative √† la protection de la vie priv√©e au sein de votre organisation;
  • vous communiquerez le nom ou le titre de la personne en question √† l’interne et √† l’ext√©rieur de l’organisation (p. ex. sur les sites Web et dans les publications);
  • √† l’aide de la liste de v√©rification suivante, vous analyserez et documenterez l’ensemble des pratiques relatives au traitement des renseignements personnels, y compris les activit√©s en cours et les nouvelles initiatives, pour assurer leur conformit√© aux principes relatifs √† l’√©quit√© dans le traitement de l’information :
    • Quels renseignements personnels recueillons-nous? S’agit-il de renseignements sensibles? (Les renseignements sensibles pourraient exiger des mesures de s√©curit√© accrues.)
    • Pourquoi les recueillons-nous?
    • Comment les recueillons-nous?
    • À quelles fins les utilisons-nous?
    • O√Ļ les conservons-nous?
    • De quelle fa√ßon sont-ils prot√©g√©s?
    • Qui sont les personnes qui y ont acc√®s ou qui les utilisent?
    • À qui sont-ils communiqu√©s?
    • Quand sont-ils √©limin√©s?
  • Élaborez, documentez et mettez en œuvre des politiques et des proc√©dures pour assurer la protection des renseignements personnels :
    • pr√©cisez les fins auxquelles ces renseignements sont recueillis;
    • obtenez le consentement des int√©ress√©s;
    • limitez la collecte, l’utilisation et la communication des renseignements personnels;
    • assurez-vous que les renseignements sont exacts, complets et √† jour;
    • prenez des mesures de s√©curit√© suffisantes;
    • √©laborez ou mettez √† jour un √©ch√©ancier pour la conservation et la destruction des documents;
    • √©laborez et mettez en œuvre des politiques et des proc√©dures pour r√©pondre aux demandes d’acc√®s aux renseignements personnels ainsi qu’aux demandes de renseignements et aux plaintes;
    • √©laborez, documentez et mettez en œuvre des protocoles de gestion des incidents et des atteintes en mati√®re de s√©curit√© des renseignements personnels;
    • effectuez des √©valuations du risque;
    • √©laborez, documentez et mettez en œuvre des pratiques ad√©quates de gestion des fournisseurs de services;
    • √©laborez, documentez et offrez une formation appropri√©e sur la protection des renseignements personnels √† l’intention de vos employ√©s.
  • Évaluez r√©guli√®rement votre programme de gestion de la protection de la vie priv√©e et corrigez toute lacune relev√©e.
  • Soyez pr√™t √† montrer que vous avez mis en place un programme de gestion de la protection de la vie priv√©e et que ce programme est respect√©.
  • Mettez √† la disposition des clients (p. ex. dans des d√©pliants et sur des sites Web) de l’information sur les politiques et les proc√©dures en vigueur au sein de votre organisation au chapitre de la protection de la vie priv√©e.
CONSEILS

Formez les employ√©s de premi√®re ligne et les cadres de votre organisation et tenez-les au courant, pour qu’ils puissent r√©pondre aux questions suivantes :

  • Comment donner suite aux demandes de renseignements du public au sujet des politiques de l’organisation en mati√®re de protection de la vie priv√©e?
  • Qu’est-ce que le consentement? Quand et comment doit-on l’obtenir?
  • Comment reconna√ģtre et traiter les demandes d’acc√®s aux renseignements personnels?
  • À qui devrais-je transmettre les plaintes concernant des questions li√©es √† la protection de la vie priv√©e?
  • Quelles sont les activit√©s courantes et les nouvelles initiatives mises en œuvre par notre organisation dans le domaine de la protection des renseignements personnels?
Conseils sur la transmission de renseignements personnels à des tierces parties

Avant de confier des renseignements personnels à une tierce partie, votre organisation devrait avoir conclu un contrat en vertu duquel la tierce partie doit :

  • d√©signer une personne charg√©e de traiter tous les aspects du contrat li√©s √† la protection de la vie priv√©e;
  • limiter l’utilisation des renseignements personnels aux fins n√©cessaires √† l’ex√©cution du contrat;
  • limiter la communication des renseignements √† ce qui est autoris√© par votre organisation ou prescrit par la Loi;
  • diriger vers votre organisation les personnes qui souhaitent consulter les renseignements personnels les concernant;
  • √† l’ach√®vement du contrat, restituer les renseignements transmis ou les d√©truire;
  • utiliser les mesures de s√©curit√© qui s’imposent pour assurer la protection des renseignements personnels;
  • au besoin, donner √† votre organisation la possibilit√© de v√©rifier la mesure dans laquelle la tierce partie respecte les dispositions du contrat.

Haut de la pageTable des matières2. Précisez le but de la collecte de renseignements

Votre organisation doit préciser les motifs de la collecte de renseignements personnels, avant ou pendant cette collecte.

Vos responsabilités
  • Avant ou pendant toute collecte de renseignements personnels, d√©terminer pourquoi les renseignements sont n√©cessaires et comment ils seront utilis√©s.
  • Documenter les raisons de la collecte.
  • Pr√©ciser √† la personne aupr√®s de qui les renseignements sont recueillis la raison pour laquelle ils sont requis.
  • Pr√©ciser toute nouvelle utilisation des renseignements, et obtenir le consentement de la personne concern√©e avant de les utiliser.
Comment vous acquitter de vos responsabilités
  • Examinez les renseignements personnels que vous avez en votre possession pour vous assurer qu’ils sont tous destin√©s √† une fin pr√©cise.
  • Informez la personne concern√©e, verbalement ou par √©crit, des fins auxquelles les renseignements sont recueillis.
  • Consignez par √©crit toutes les fins d√©finies et obtenez les consentements voulus de fa√ßon √† pouvoir vous y reporter facilement au cas o√Ļ on vous demanderait de rendre des comptes √† cet √©gard.
  • Assurez-vous que les fins auxquelles les renseignements sont destin√©s se limitent √† ce qu’une personne raisonnable estimerait acceptable dans les circonstances.
CONSEILS
  • D√©finissez le plus clairement et le plus pr√©cis√©ment possible √† quelles fins les donn√©es sont recueillies, de fa√ßon que la personne concern√©e comprenne comment ils seront utilis√©s ou communiqu√©s.
  • Évitez de d√©finir des fins de collecte trop vastes, qui risquent d’aller √† l’encontre du principe de connaissance et de consentement.
  • Voici quelques exemples de fins de collecte :
    • ouvrir un compte;
    • v√©rifier la solvabilit√© d’une personne;
    • verser des prestations √† un employ√©;
    • traiter une demande d’abonnement √† un magazine;
    • transmettre de l’information au sujet de l’adh√©sion √† une association;
    • garantir une r√©servation de voyage;
    • √©tablir les pr√©f√©rences d’un client;
    • d√©terminer l’admissibilit√© d’un client √† un rabais ou √† une offre sp√©ciale.

Haut de la pageTable des matières3. Obtenez un consentement valable et éclairé

Le consentement n’est considéré comme valable que s’il est raisonnable de s’attendre à ce qu’un individu visé par les activités de l’organisation comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles il a consenti.

Vos responsabilités
  • Pr√©cisez quels renseignements personnels vous recueillez et √† quelles fins de fa√ßon √† ce que vos clients puissent comprendre clairement.
  • Bien informer la personne concern√©e des fins de la collecte, de l’utilisation ou de la communication des renseignements personnels
  • Obtenir le consentement de la personne concern√©e avant ou pendant la collecte des renseignements de m√™me qu’au moment o√Ļ une nouvelle utilisation des renseignements personnels est constat√©e.
Comment vous acquitter de vos responsabilités
  • Obtenez le consentement √©clair√© de la personne concern√©e quand vous recueillez, utilisez ou communiquez des renseignements personnels la concernant.
  • Expliquez √† la personne la fa√ßon dont ces renseignements seront utilis√©s et √† qui ils seront communiqu√©s. Votre explication devrait √™tre claire, d√©taill√©e et facile √† trouver. Conservez une preuve du consentement re√ßu.
  • N’ayez jamais recours √† des moyens d√©tourn√©s pour obtenir un consentement.
  • Ne refusez pas de fournir un produit ou un service √† une personne qui ne consent pas √† la collecte, √† l’utilisation ou √† la communication de renseignements personnels autres que les renseignements requis √† des fins explicites et l√©gitimes.
  • Expliquez aux personnes les cons√©quences du retrait de leur consentement.
  • Assurez-vous que les employ√©s qui recueillent des renseignements personnels sont en mesure de r√©pondre aux questions des personnes qui s’interrogent sur les fins auxquelles l’information est recueillie.

Connaissance et consentement

  • On entend par ¬ę connaissance et consentement ¬Ľ l’acceptation √©clair√©e et volontaire de ce qui est fait ou propos√©. Le consentement est consid√©r√© comme valable s’il est raisonnable de s’attendre √† ce qu’un individu comprenne la nature, les fins et les cons√©quences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles il a consenti. Le consentement peut √™tre explicite ou implicite. Le consentement explicite est express√©ment donn√©, verbalement, par √©crit ou au moyen d’une action pr√©cise en ligne ‚ÄĒ par exemple, en cliquant sur ¬ę J’accepte ¬Ľ. Il s’agit d’un consentement sans √©quivoque que l’organisation n’a pas besoin de v√©rifier. Il y a consentement implicite lorsque l’intervention ou la non-intervention de l’int√©ress√© permet raisonnablement de conclure au consentement. Le consentement n’√©limine pas les autres responsabilit√©s qui incombent √† une organisation en vertu de la LPRPDE, par exemple l’obligation de rendre compte de fa√ßon g√©n√©rale, les mesures de s√©curit√© et l’existence de motifs raisonnables pour le traitement des renseignements personnels.

 

CONSEILS
  • On obtient g√©n√©ralement le consentement de la personne dont les renseignements personnels sont recueillis, utilis√©s ou communiqu√©s.
  • Dans le cas d’un mineur, d’une personne gravement malade ou d’une personne ayant une incapacit√© mentale, on peut obtenir le consentement aupr√®s du tuteur ou du d√©tenteur d’une procuration.
  • Pour que les personnes concern√©es comprennent √† quelles fins les renseignements seront utilis√©s, les organisations devraient faire preuve de transparence √† propos de leurs pratiques de gestion de l’information. Les politiques en mati√®re de protection de la vie priv√©e et les formulaires de consentement devraient :
    • √™tre faciles √† trouver;
    • √™tre r√©dig√©s dans un langage clair et explicite;
    • ne pas s’appuyer sur des cat√©gories g√©n√©rales regroupant les fins, les utilisations et les communications;
    • indiquer de fa√ßon aussi pr√©cise que possible quelles organisations traitent les renseignements;
    • expliquer toute pratique √† laquelle une personne ne pourrait raisonnablement pas s’attendre, par exemple la communication des renseignements √† une tierce partie.
  • Les politiques de protection de la vie priv√©e en ligne devraient √™tre accompagn√©es d’autres types de communications sur la protection de la vie priv√©e, par exemple des avis en temps opportun, et devraient fournir des explications sur la protection de la vie priv√©e √† des √©tapes cl√©s de l’exp√©rience de l’utilisateur.
  • Le consentement peut √™tre obtenu en personne, par t√©l√©phone, par la poste ou par Internet.
  • Au moment d’√©tablir la forme de consentement, on devrait tenir compte des √©l√©ments suivants :
    • les attentes raisonnables de la personne concern√©e;
    • les circonstances entourant la collecte;
    • le caract√®re sensible des renseignements en question.
  • Dans la mesure du possible, on devrait obtenir un consentement explicite — ou consentement positif. Lorsqu’il s’agit de renseignements consid√©r√©s comme sensibles, on doit toujours obtenir cette forme de consentement. L’obtention du consentement explicite prot√®ge la personne et l’organisation.
  • Lorsqu’elle a recours √† un consentement implicite — ou consentement n√©gatif —, l’organisation devrait √©tablir une proc√©dure pratique pour le retrait du consentement, et ce retrait devrait entrer en vigueur imm√©diatement.
Exceptions au principe du consentement

La Loi renferme un certain nombre d’exceptions pr√©cises √† l’obligation d’assurer la connaissance et d’obtenir le consentement pour la collecte, l’utilisation et la communication de renseignements personnels.

Une organisation n’est autoris√©e √† recueillir des renseignements personnels √† l’insu d’une personne et sans son consentement que dans les cas suivants :

  • la collecte de renseignements est manifestement dans l’int√©r√™t de la personne et le consentement ne peut √™tre obtenu en temps opportun aupr√®s de celle-ci;
  • la collecte effectu√©e au su ou avec le consentement de la personne pourrait compromettre l’exactitude des renseignements ou l’acc√®s √† ceux-ci, et la collecte est n√©cessaire √† des fins li√©es √† une enqu√™te sur la violation d’un accord ou la contravention √† une loi f√©d√©rale ou provinciale;
  • la collecte est faite uniquement √† des fins journalistiques, artistiques ou litt√©raires;
  • il s’agit de renseignements accessibles au public en vertu des r√®glements.
  • il s’agit de renseignements contenus dans la d√©claration d’un t√©moin et dont la collecte est n√©cessaire en vue de l’√©valuation d’une r√©clamation d’assurance, de son traitement ou de son r√®glement;
  • il s’agit de renseignements produits par l’int√©ress√© dans le cadre de son emploi, de son entreprise ou de sa profession ‚Äď pourvu que la collecte soit compatible avec les fins auxquelles ils ont √©t√© produits;
  • la personne est un employ√© d’une entreprise f√©d√©rale et la collecte est n√©cessaire pour √©tablir, g√©rer ou terminer une relation d’emploi. L’employeur doit toutefois au pr√©alable informer l’int√©ress√© que ses renseignements personnels pourraient √™tre recueillis √† ces fins.

Une organisation n’est autoris√©e √† utiliser des renseignements personnels √† l’insu d’une personne et sans son consentement que dans les cas suivants :

  • l’organisation a des motifs raisonnables de croire que les renseignements pourraient √™tre utiles √† une enqu√™te sur la contravention √† une loi f√©d√©rale, provinciale ou √©trang√®re et les renseignements sont utilis√©s dans le cadre de cette enqu√™te;
  • les renseignements sont utilis√©s dans une situation d’urgence mettant en p√©ril la vie, la sant√© ou la s√©curit√© d’une personne;
  • les renseignements sont utilis√©s √† des fins statistiques ou √† des fins d’√©tude ou de recherches √©rudites (l’organisation doit informer le commissaire √† la protection de la vie priv√©e du Canada avant d’utiliser les renseignements);
  • il s’agit de renseignements accessibles au public en vertu des r√®glements;
  • l’utilisation des renseignements est manifestement dans l’int√©r√™t de la personne et le consentement ne peut √™tre obtenu en temps opportun aupr√®s de celle-ci;
  • il s’agit de renseignements contenus dans la d√©claration d’un t√©moin et dont l’utilisation est n√©cessaire en vue de l’√©valuation d’une r√©clamation d’assurance, de son traitement ou de son r√®glement;
  • il s’agit de renseignements produits par l’int√©ress√© dans le cadre de son emploi, de son entreprise ou de sa profession ‚Äď pourvu que l’utilisation soit compatible avec les fins auxquelles ils ont √©t√© produits;
  • la collecte effectu√©e au su ou avec le consentement de la personne pourrait compromettre l’exactitude des renseignements ou l’acc√®s √† ceux-ci et la collecte est n√©cessaire √† des fins li√©es √† une enqu√™te sur la violation d’un accord ou la contravention au droit f√©d√©ral ou provincial;
  • l’organisation est une entreprise f√©d√©rale et l’utilisation est n√©cessaire pour √©tablir, g√©rer ou terminer une relation d’emploi. L’organisation doit toutefois au pr√©alable informer l’int√©ress√© que ses renseignements personnels peuvent √™tre recueillis √† ces fins.

Une organisation n’est autoris√©e √† communiquer des renseignements personnels √† l’insu d’une personne et sans son consentement que dans les cas suivants :

  • les renseignements sont communiqu√©s √† un avocat qui repr√©sente l’organisation;
  • les renseignements sont communiqu√©s en vue du recouvrement d’une cr√©ance que l’organisation a contre la personne;
  • la communication des renseignements est exig√©e par assignation √† compara√ģtre, mandat ou ordonnance d’un tribunal ou d’un organisme investi des pouvoirs requis;
  • les renseignements sont communiqu√©s au Centre d’analyse des op√©rations et d√©clarations financi√®res du Canada comme l’exige la Loi sur le recyclage des produits de la criminalit√© et le financement des activit√©s terroristes;
  • les renseignements sont communiqu√©s √† une institution gouvernementale qui a demand√© √† les obtenir, qui a indiqu√© quelle √©tait la source de l’autorit√© l√©gitime √©tayant son droit de les obtenir et qui d√©sire les obtenir aux fins de l’application de la loi, de la tenue d’enqu√™tes ou de la collecte de renseignements li√©s √† l’application d’une loi canadienne, provinciale ou √©trang√®re, ou qui soup√ßonne que les renseignements vis√©s se rapportent √† la s√©curit√© nationale, √† la d√©fense du Canada ou √† la conduite des affaires internationales, ou aux fins de l’application d’une loi canadienne ou provinciale;
  • les renseignements sont communiqu√©s √† une institution gouvernementale, au plus proche parent de l’int√©ress√© ou √† son repr√©sentant autoris√© s’il y a des motifs raisonnables de croire que l’int√©ress√© a √©t√©, est ou pourrait √™tre victime d’exploitation financi√®re. Toutefois, les organisations peuvent les communiquer uniquement √† des fins li√©es √† la pr√©vention de l’exploitation ou √† une enqu√™te y ayant trait et s’il est raisonnable de s’attendre √† ce que la communication effectu√©e au su ou avec le consentement de l’int√©ress√© compromettrait la capacit√© de pr√©venir l’exploitation ou d’enqu√™ter sur celle-ci;
  • les renseignements sont communiqu√©s √† une autre organisation si la communication est raisonnable :
    • en vue d’une enqu√™te sur la violation d’un accord ou sur la contravention au droit provincial ou f√©d√©ral qui a √©t√© commise ou est en train ou sur le point de l’√™tre; ou
    • en vue de la d√©tection d’une fraude ou de sa suppression ou en vue de la pr√©vention d’une fraude dont la commission est vraisemblable. (Toutefois, il doit √™tre raisonnable de s’attendre √† ce que la communication effectu√©e au su ou avec le consentement de l’int√©ress√© compromettrait l’enqu√™te sur la violation d’un accord ou la contravention au droit ou la capacit√© de pr√©venir la fraude, de la d√©tecter ou d’y mettre fin.)
  • les renseignements se rapportent √† une transaction commerciale (par exemple la vente ou la fusion d’une entreprise ou la location d’√©l√©ments d’actif d’une entreprise), pourvu que certaines conditions soient respect√©es, notamment la protection des renseignements et la limitation de leur utilisation;
  • les renseignements sont contenus dans la d√©claration d’un t√©moin et la communication est n√©cessaire en vue de l’√©valuation d’une r√©clamation d’assurance, de son traitement ou de son r√®glement;
  • les renseignements sont produits par l’int√©ress√© dans le cadre de son emploi, de son entreprise ou de sa profession ‚Äď pourvu que la communication soit compatible avec les fins auxquelles ils ont √©t√© produits;
  • l’organisation est une entreprise f√©d√©rale (par exemple une soci√©t√© de t√©l√©communications, de radiodiffusion ou de t√©l√©diffusion, un transporteur a√©rien ou une banque) et la communication est n√©cessaire pour √©tablir, g√©rer ou terminer une relation d’emploi. L’organisation doit toutefois au pr√©alable informer l’int√©ress√© que ses renseignements personnels pourraient √™tre communiqu√©s √† ces fins;
  • les renseignements sont communiqu√©s dans une situation d’urgence mettant en p√©ril la vie, la sant√© ou la s√©curit√© d’une personne (l’organisation doit informer la personne de la communication des renseignements);
  • les renseignements sont communiqu√©s √† une institution gouvernementale, √† un proche parent de l’int√©ress√© ou √† son repr√©sentant autoris√© s’ils sont n√©cessaires aux fins d’identification de l’int√©ress√© qui est bless√©, malade ou d√©c√©d√© (si l’int√©ress√© est vivant, il doit en √™tre inform√© par √©crit);
  • les renseignements sont communiqu√©s √† des fins statistiques ou √† des fins d’√©tude ou de recherches √©rudites (l’organisation doit informer le commissaire √† la protection de la vie priv√©e du Canada avant de communiquer les renseignements);
  • les renseignements sont communiqu√©s √† une institution vou√©e √† l’archivage;
  • les renseignements sont communiqu√©s 20 ans apr√®s le d√©c√®s de la personne ou 100 ans apr√®s la cr√©ation du document dans lequel ils figurent;
  • il s’agit de renseignements accessibles au public en vertu des r√®glements;
  • la communication est exig√©e par la loi.

Haut de la pageTable des matières4. Limitez la collecte de renseignements personnels

Vos responsabilités
  • Ne pas recueillir des renseignements personnels de fa√ßon arbitraire.
  • Ne pas tromper ou induire en erreur des personnes √† propos des motifs de la collecte de renseignements personnels.
Comment vous acquitter de vos responsabilités
  • Limitez la quantit√© et le type de renseignements recueillis √† ceux qui sont n√©cessaires aux fins √©tablies.
  • D√©finissez le genre de renseignements personnels recueillis dans vos politiques et pratiques en mati√®re de traitement des renseignements.
  • Assurez-vous que les membres de votre personnel sont en mesure d’expliquer les fins pour lesquelles les renseignements sont recueillis.
CONSEILS
  • En r√©duisant la quantit√© de renseignements recueillis, vous pouvez r√©duire les co√Ľts li√©s √† la collecte, au stockage, √† la conservation et, finalement, √† l’archivage des donn√©es.
  • Le fait de recueillir moins de renseignements entra√ģne √©galement une r√©duction des risques d’utilisation et de communication inappropri√©es.

Haut de la pageTable des mati√®res5. Limitez l’utilisation, la communication et la conservation des renseignements personnels

Vos responsabilités
  • N’utiliser ou ne communiquer des renseignements personnels qu’aux fins pour lesquelles ils ont √©t√© recueillis, √† moins que la personne concern√©e ne donne son consentement ou que l’utilisation ou la communication ne soit autoris√©e par la Loi.
  • Ne conserver des renseignements personnels qu’aussi longtemps que n√©cessaire pour la r√©alisation des fins √©tablies.
  • Établir des lignes directrices et des proc√©dures pour la conservation et l’√©limination des renseignements personnels.
  • Conserver les renseignements personnels utilis√©s pour prendre une d√©cision au sujet d’une personne pendant un temps raisonnable. De cette fa√ßon, celle-ci peut y avoir acc√®s et demander r√©paration au besoin.
  • D√©truire, effacer ou d√©personnaliser les renseignements dont vous n’avez plus besoin aux fins pr√©cis√©es ou pr√©vues par la loi.
Comment vous acquitter de vos responsabilités
  • Documentez toute nouvelle utilisation de renseignements personnels.
  • Établissez des p√©riodes de conservation maximale et minimale en tenant compte des exigences ou des restrictions l√©gislatives, ainsi que des m√©canismes de r√©paration.
  • D√©truisez les renseignements qui ne r√©pondent pas √† une fin pr√©cise ou qui ne sont plus n√©cessaires pour r√©aliser une fin √©tablie.
  • D√©truisez les renseignements personnels de mani√®re √† pr√©venir toute atteinte √† la vie priv√©e. La solution id√©ale consiste √† d√©chiqueter les dossiers papier et √† effacer les fichiers √©lectroniques.
  • Avant de vous d√©barrasser d’appareils √©lectroniques comme des ordinateurs, des photocopieurs ou des t√©l√©phones cellulaires, assurez-vous que les renseignements personnels qu’ils contenaient ont √©t√© compl√®tement effac√©s.
  • Mettez en place des politiques d√©finissant les types de renseignements qui doivent √™tre mis √† jour. Une organisation peut raisonnablement s’attendre √† ce qu’une personne fournisse des renseignements √† jour dans certaines circonstances (p. ex. un changement d’adresse dans le cas d’un abonnement √† un magazine).
CONSEILS
  • Il est parfois moins co√Ľteux et moins compliqu√© de d√©truire ou d’effacer des renseignements que de les d√©personnaliser.
  • Proc√©dez √† des examens p√©riodiques pour d√©terminer si des renseignements sont encore utiles. Pour vous faciliter la t√Ęche, vous pouvez √©tablir un calendrier de conservation.

Renseignements complémentaires

Pour obtenir plus de détails, veuillez consulter le document suivant sur le site Web du Commissariat :

Haut de la pageTable des matières6. Soyez rigoureux

Vos responsabilités
  • R√©duire le plus possible les risques d’utilisation incorrecte des renseignements personnels au moment de prendre une d√©cision concernant l’int√©ress√© ou de communiquer les renseignements √† des tierces parties.
Comment vous acquitter de vos responsabilités
  • Veillez √† ce que les renseignements personnels soient aussi exacts, exhaustifs et √† jour que n√©cessaire, compte tenu de leur utilisation et des int√©r√™ts des personnes concern√©es.
  • Veillez √† ce que les renseignements fr√©quemment utilis√©s soient exacts et √† jour, √† moins que des restrictions claires ne soient pr√©vues √† cet √©gard.
CONSEILS
  • L’une des fa√ßons de d√©terminer si des renseignements doivent √™tre mis √† jour consiste √† vous demander si l’utilisation ou la communication de renseignements non exhaustifs ou d√©suets pourrait porter pr√©judice √† la personne concern√©e.
  • Utilisez la liste de v√©rification suivante pour vous assurer de l’exactitude des renseignements :
    • √©num√©rez le type de renseignements personnels n√©cessaires √† la prestation d’un service;
    • √©tablissez la liste des endroits √† partir desquels les renseignements personnels peuvent √™tre obtenus;
    • consignez la date √† laquelle les renseignements personnels ont √©t√© obtenus ou mis √† jour;
    • consignez les mesures prises pour v√©rifier l’exactitude ainsi que le caract√®re exhaustif et √† jour des renseignements. Pour ce faire, vous devrez peut-√™tre examiner vos dossiers ou communiquer avec le client.

Haut de la pageTable des matières7. Prenez des mesures de sécurité adéquates

Vos responsabilités
  • Prot√©ger les renseignements personnels contre la perte ou le vol.
  • Prot√©ger les renseignements personnels contre toute consultation, communication, copie, utilisation ou modification non autoris√©e.
  • Prot√©ger les renseignements personnels, quelle que soit la forme sous laquelle ils sont conserv√©s.

Remarque : la LPRPDE ne précise aucune mesure de sécurité particulière à mettre en place. Il incombe aux organisations de veiller à ce que les renseignements personnels soient protégés de façon adéquate.

Comment vous acquitter de vos responsabilités
  • Élaborez et mettez en œuvre une politique de s√©curit√© pour assurer la protection des renseignements personnels.
  • Utilisez des mesures de s√©curit√© ad√©quates pour assurer la protection qui s’impose :
    • des mesures physiques (classeurs verrouill√©s, restriction de l’acc√®s aux bureaux, syst√®me d’alarme);
    • des outils technologiques (mots de passe, chiffrement des donn√©es, pare-feu);
    • des mesures administratives (cotes de s√©curit√©, acc√®s aux renseignements r√©serv√© aux personnes qui en ont besoin, formation des employ√©s, ententes).
  • V√©rifiez r√©guli√®rement les mesures de s√©curit√© pour vous assurer qu’elles sont √† jour et que les vuln√©rabilit√©s ou failles mises en √©vidence ont √©t√© corrig√©es.
  • Assurez-vous que les employ√©s sont conscients de l’importance de pr√©server la s√©curit√© et la confidentialit√© des renseignements personnels.
  • Sensibilisez les employ√©s aux mesures de s√©curit√© en organisant r√©guli√®rement des r√©unions sur la question.
  • Au moment de choisir les mesures de s√©curit√© qui s’imposent, assurez-vous de tenir compte des facteurs suivants :
    • le caract√®re sensible des renseignements;
    • la quantit√© de renseignements;
    • l’ampleur de leur distribution;
    • leur pr√©sentation (support √©lectronique, support papier, etc.);
    • le type de stockage.
  • Examinez et mettez √† jour les mesures de s√©curit√© de fa√ßon r√©guli√®re.
CONSEILS
  • Au moment de confier des renseignements √† des tierces parties, assurez-vous que les renseignements personnels inutiles en ce qui a trait √† un dossier ou √† une activit√© sont supprim√©s ou masqu√©s.
  • Conservez les dossiers qui renferment des renseignements sensibles dans un lieu ou dans un syst√®me informatique s√Ľr, et assurez-vous que l’acc√®s √† ces renseignements est r√©serv√© exclusivement aux personnes qui ont besoin d’en prendre connaissance.

Renseignements complémentaires

Pour obtenir plus de détails, veuillez consulter les documents suivants sur le site Web du Commissariat :

Lorsque les choses tournent mal

On parle d’atteinte √† la vie priv√©e en cas d’acc√®s non autoris√© √† des renseignements personnels ou de communication non autoris√©e de ces renseignements. Le Commissariat √† la protection de la vie priv√©e du Canada a √©labor√© diverses ressources pour aider les organisations √† prendre les mesures appropri√©es en cas d’atteinte. Veuillez consulter le document suivant :

Haut de la pageTable des matières8. Faites preuve de transparence

Vos responsabilités
  • Informer les clients et les employ√©s du fait que vous avez mis en place des politiques et des pratiques de gestion des renseignements personnels.
  • Faire en sorte que ces politiques et pratiques soient compr√©hensibles et facilement accessibles.
Comment vous acquitter de vos responsabilités
  • Assurez-vous que le personnel de premi√®re ligne conna√ģt bien les proc√©dures de r√©ponse aux demandes de renseignements provenant de particuliers.
  • Rendez publique l’information suivante :
    • le nom ou la fonction de m√™me que l’adresse de la personne responsable de la politique et des pratiques de protection des renseignements personnels de votre organisation;
    • le nom ou la fonction de m√™me que l’adresse de la personne √† qui les demandes d’acc√®s devraient √™tre achemin√©es;
    • la marche √† suivre pour toute personne d√©sirant consulter ses renseignements personnels;
    • la marche √† suivre pour d√©poser une plainte aupr√®s de votre organisation;
    • des d√©pliants ou tout autre document d’information expliquant les politiques, les normes ou les codes de votre organisation;
    • une description de tous les renseignements personnels mis √† la disposition d’autres organisations (y compris les filiales) et les raisons pour lesquelles ces renseignements sont communiqu√©s.
CONSEIL
  • L’information concernant vos politiques et pratiques devrait √™tre accessible en personne, par √©crit, par t√©l√©phone, dans des publications ou sur le site Web de votre organisation. L’information pr√©sent√©e devrait √™tre coh√©rente, et ce, ind√©pendamment du format.

Renseignements complémentaires

Pour obtenir plus de détails, veuillez consulter les documents suivants sur le site Web du Commissariat :

Haut de la pageTable des mati√®res9. Permettez aux individus d’avoir acc√®s aux renseignements personnels qui les concernent

En général, toute personne a le droit de consulter les renseignements personnels que détient une organisation à son sujet.

Vos responsabilités
  • Informer toute personne qui en fait la demande de l’existence de renseignements personnels la concernant.
  • Expliquer l’usage qui est fait ou qui a √©t√© fait de ces renseignements personnels, et fournir une liste de toutes les organisations auxquelles les renseignements ont √©t√© communiqu√©s.
  • Permettre √† la personne concern√©e d’avoir acc√®s √† ses renseignements personnels.
  • Si une personne remet en question l’exactitude ou le caract√®re exhaustif de renseignements la concernant et qu’une v√©rification permet de confirmer qu’il existe effectivement des lacunes, apporter les corrections ou les modifications n√©cessaires.
  • Fournir copie des renseignements demand√©s, ou expliquer les raisons pour lesquelles l’acc√®s est refus√©, sous r√©serve des exceptions d√©finies √† l’article 9 de la Loi (Voir les
    exceptions au principe relatif à l’accès).
  • Consigner au dossier tous les d√©saccords relatifs aux renseignements et, le cas √©ch√©ant, en informer les tierces parties.
Comment vous acquitter de vos responsabilités
  • Donnez √† toute personne qui en a besoin l’aide n√©cessaire pour formuler une demande d’acc√®s √† ses renseignements personnels.
  • Vous pouvez demander √† la personne qui pr√©sente une demande d’acc√®s de fournir suffisamment d’information pour qu’il vous soit possible de la renseigner sur l’existence, l’utilisation et la communication de renseignements personnels.
  • Donnez suite √† la demande le plus rapidement possible, au plus tard 30 jours apr√®s sa r√©ception.
  • Le d√©lai habituel de traitement peut √™tre prolong√© d’une p√©riode maximale de 30 jours, selon les crit√®res d√©finis au paragraphe 8(4) de la Loi, dans les cas suivants :
    • l’observation du d√©lai initial de 30 jours entraverait gravement l’activit√© de l’organisation;
    • vous avez besoin de plus de temps pour mener des consultations;
    • vous avez besoin de plus de temps pour transf√©rer les renseignements personnels sur un support de substitution.
  • Si votre organisation pr√©voit qu’il lui faudra plus de 30 jours pour r√©pondre √† la demande, vous devez en informer l’auteur de la demande dans les 30 jours suivant la r√©ception de cette derni√®re et lui indiquer qu’il a le droit de porter plainte aupr√®s du commissaire √† la protection de la vie priv√©e du Canada.
  • Donnez √† la personne un acc√®s gratuit ou √† prix modique aux renseignements demand√©s.
  • Informez la personne des co√Ľts approximatifs avant de traiter la demande et v√©rifiez aupr√®s d’elle si elle souhaite toujours aller de l’avant avec la demande.
  • Veillez √† ce que les renseignements fournis soient compr√©hensibles. Expliquez les acronymes, les abr√©viations et les codes.
  • Le cas √©ch√©ant, transmettez les renseignements modifi√©s aux tierces parties qui y ont acc√®s.
  • Communiquez par √©crit avec toute personne dont la demande d’acc√®s est refus√©e pour l’aviser de votre d√©cision et lui exposer les motifs de votre refus et les recours possibles.
CONSEILS
  • Conservez un registre des renseignements personnels que vous d√©tenez et de l’endroit o√Ļ ils sont conserv√©s afin de pouvoir les retrouver plus facilement si une demande d’acc√®s vous √©tait pr√©sent√©e.
  • Effectuez toujours une recherche rigoureuse de tous les endroits o√Ļ des renseignements personnels pourraient √™tre conserv√©s — qu’il s’agisse de lieux physiques ou de supports √©lectroniques.
  • Ne communiquez jamais de renseignements personnels √† moins d’√™tre certain de l’identit√© du demandeur et de son droit d’acc√®s.
  • Consignez la date de r√©ception de la demande d’acc√®s aux renseignements.
  • Assurez-vous que le personnel de votre organisation est en mesure de reconna√ģtre une demande d’acc√®s √† des renseignements personnels et qu’il sait √† qui cette demande doit √™tre transmise.

Renseignements complémentaires

Pour obtenir plus de détails, veuillez consulter les documents suivants sur le site Web du Commissariat :

Exceptions au principe d’acc√®s

Bien que les organisations soient g√©n√©ralement tenues, en vertu de la LPRPDE, de permettre aux personnes qui en font la demande d’avoir acc√®s aux renseignements personnels qui les concernent, certaines exceptions pr√©cises peuvent √™tre invoqu√©es.

En effet, la LPRPDE pr√©voit des exceptions obligatoires et des exceptions discr√©tionnaires √† l’obligation de donner acc√®s √† ses renseignements personnels √† une personne qui en fait la demande.

En ce qui concerne les exceptions obligatoires, une organisation doit refuser √† une personne l’acc√®s √† des renseignements personnels :

  • lorsque la communication r√©v√©lerait des renseignements personnels se rapportant √† un tiers*, √† moins que le tiers en question n’y consente ou qu’il s’agisse d’une situation qui mette en danger la vie d’une personne;
  • lorsqu’une personne demande √† √™tre avis√©e de toute communication de renseignements faite √† une institution gouvernementale dans des cas particuliers, ou d’avoir acc√®s √† cette information, et que l’institution gouvernementale enjoint √† l’organisation de refuser la demande d’acc√®s. En pareil cas, l’organisation doit refuser la demande et en informer le commissaire √† la protection de la vie priv√©e du Canada. En outre, l’organisation ne peut informer la personne concern√©e de la communication √† l’institution gouvernementale, du fait que l’institution a √©t√© inform√©e de la demande ou du fait que le commissaire a √©t√© inform√© du refus de donner acc√®s aux renseignements.

En ce qui concerne les exceptions discr√©tionnaires, l’organisation peut refuser l’acc√®s √† des renseignements personnels dans les cas suivants :

  • les renseignements sont prot√©g√©s par le secret professionnel liant l’avocat √† son client;
  • la communication r√©v√©lerait des renseignements commerciaux confidentiels*;
  • la communication risquerait vraisemblablement de nuire √† la vie ou √† la s√©curit√© d’une personne*;
  • les renseignements ont √©t√© recueillis √† l’insu et sans le consentement de la personne pour en assurer l’exactitude ou l’acc√®s, et la collecte est n√©cessaire √† des fins li√©es √† une enqu√™te sur la violation d’un accord ou la contravention √† une loi f√©d√©rale ou provinciale (le commissaire √† la protection de la vie priv√©e du Canada doit en √™tre inform√©);
  • les renseignements ont √©t√© fournis dans le cadre du r√®glement officiel d’un diff√©rend;
  • les renseignements ont √©t√© cr√©√©s en vue d’une divulgation au titre de la Loi sur la protection des fonctionnaires divulgateurs d’actes r√©pr√©hensibles.

* Si ces renseignements peuvent √™tre retranch√©s, l’organisation est tenue de communiquer les renseignements restants.

Haut de la pageTable des mati√®res10. Mettez en place des m√©canismes pour le d√©p√īt de plaintes

Vos responsabilités
  • Élaborer des proc√©dures simples et facilement accessibles pour le d√©p√īt de plaintes.
  • Informer les plaignants des recours qui s’offrent √† eux, notamment des proc√©dures de traitement des plaintes de votre organisation et de celles des associations de l’industrie, des organismes de r√©glementation et du Commissariat √† la protection de la vie priv√©e du Canada.
  • Mener des enqu√™tes sur toutes les plaintes re√ßues.
  • Prendre les mesures qui s’imposent pour corriger les pratiques et les politiques relatives au traitement des renseignements personnels.
Comment vous acquitter de vos responsabilités
  • Consignez la date de r√©ception de la plainte et la nature de cette derni√®re (p. ex. retard dans le traitement d’une demande, r√©ponse incompl√®te ou inexacte ou encore collecte, utilisation, communication ou conservation inad√©quates).
  • Accusez r√©ception de la plainte sans d√©lai.
  • Au besoin, communiquez avec la personne pour clarifier la plainte.
  • Confiez le dossier √† une personne poss√©dant les comp√©tences voulues pour l’examiner de mani√®re √©quitable et impartiale, et permettez √† cette personne de consulter tous les dossiers pertinents ainsi que de questionner tous les employ√©s ou les autres intervenants qui ont trait√© les renseignements personnels ou la demande d’acc√®s.
  • Informez clairement et rapidement le plaignant du r√©sultat de l’enqu√™te ainsi que des mesures pertinentes qui ont √©t√© prises.
  • Corrigez tout renseignement personnel inexact ou modifiez les politiques et les proc√©dures √† la lumi√®re des conclusions de l’enqu√™te sur la plainte, et assurez-vous que les employ√©s de votre organisation sont au fait de tous les changements apport√©s √† ces politiques et proc√©dures.
CONSEILS
  • Assurez-vous que les membres du personnel sont au fait des politiques et des proc√©dures en mati√®re de traitement des plaintes et qu’ils savent √† qui transmettre les plaintes au sein de l’organisation.
  • Consignez toutes les d√©cisions pour assurer une application uniforme de la Loi.
  • Traitez les plaintes de fa√ßon √©quitable et appropri√©e — le traitement √©quitable et appropri√© d’une plainte peut contribuer √† pr√©server ou √† restaurer la confiance d’une personne dans votre organisation.

Renseignements complémentaires

Pour obtenir plus de détails, veuillez consulter les documents suivants sur le site Web du Commissariat :

Haut de la pageTable des matièresPlaintes déposées auprès du commissaire à la protection de la vie privée du Canada

Types de plaintes

Toute personne peut d√©poser une plainte aupr√®s du commissaire relativement aux questions mentionn√©es aux articles 5 √† 10 de la Loi ainsi qu’aux recommandations ou obligations d√©finies √† l’annexe 1 de cette derni√®re.

Si le commissaire a des motifs raisonnables de croire qu’une enqu√™te devrait √™tre men√©e, il peut lui-m√™me d√©poser une plainte contre une organisation aux termes du paragraphe 11(2).

Lorsqu’il tente de d√©terminer s’il existe des motifs raisonnables de prendre l’initiative d’une plainte, le commissaire doit √©tablir s’il existe des √©l√©ments de preuve cr√©dibles montrant qu’il y a une possibilit√© s√©rieuse qu’une enqu√™te r√©v√®le une infraction ou une intention d’infraction √† la Loi.

Délais

Il est possible de d√©poser en tout temps la plupart des types de plaintes. Cela dit, le commissaire peut refuser d’enqu√™ter sur une plainte s’il est d’avis que la plainte n’a pas √©t√© d√©pos√©e dans un d√©lai raisonnable.

La seule exception concerne les plaintes d√©pos√©es par des personnes √† qui on a refus√© l’acc√®s √† leurs renseignements personnels. Dans ce cas, la plainte doit √™tre d√©pos√©e dans les six mois suivant le refus de l’organisation de fournir les renseignements ou √† l’expiration du d√©lai pr√©vu pour la r√©ponse √† une demande. Cependant, le commissaire peut prolonger le d√©lai pr√©vu pour une plainte relative au droit d’acc√®s.

Le commissaire dispose d’une ann√©e √† compter de la date du d√©p√īt de la plainte pour pr√©parer un rapport.

Comment le commissaire à la protection de la vie privée du Canada traite-t-il les plaintes?

En sa qualit√© d’ombudsman, le commissaire adopte, le plus souvent possible dans ses enqu√™tes, une approche ax√©e sur la collaboration et la conciliation. Il encourage le r√®glement des plaintes au moyen de la n√©gociation et de la persuasion, ou du recours √† des modes alternatifs de r√®glement des conflits, comme la m√©diation et la conciliation, qui sont des moyens accessibles √† toutes les √©tapes de l’enqu√™te.

Règlement rapide

Lorsqu’une plainte porte sur un diff√©rend susceptible d’√™tre r√©gl√© rapidement, la plainte est renvoy√©e √† un agent de r√®glement rapide.

Il pourrait s’agir, par exemple, de questions sur lesquelles le Commissariat a d√©j√† formul√© des conclusions, d’all√©gations auxquelles l’organisation a d√©j√† donn√© suite √† la satisfaction du Commissariat ou de questions qui pourraient rapidement donner lieu √† un r√®glement.

Le Commissariat aide √† trouver une solution propre √† satisfaire toutes les parties sans qu’une enqu√™te officielle soit d√©clench√©e lorsqu’une question est trait√©e avec succ√®s dans le cadre de ce processus. Aucun rapport de conclusion d’enqu√™te ne sera produit.

Refus d’enqu√™ter

Le commissaire peut refuser d’enqu√™ter sur une plainte lorsqu’il est d’avis que :

  • le plaignant devrait d’abord √©puiser les recours de r√®glement des griefs ou d’examen qui lui sont normalement offerts;
  • la plainte pourrait √™tre trait√©e de fa√ßon plus appropri√©e, dans un premier temps ou √† toutes les √©tapes, au moyen d’une proc√©dure diff√©rente pr√©vue par une loi f√©d√©rale ou provinciale;
  • la plainte n’a pas √©t√© d√©pos√©e dans un d√©lai raisonnable apr√®s que son objet a pris naissance.

Lorsqu’une plainte est rejet√©e, les parties vis√©es sont inform√©es de la d√©cision et des raisons du rejet.

Enquêtes

Lorsqu’une plainte a √©t√© accept√©e aux fins d’enqu√™te, un enqu√™teur est d√©sign√© au dossier.

D√®s le d√©but d’une enqu√™te, le commissaire informe par √©crit l’organisation du contenu de la plainte et d√©signe un enqu√™teur responsable du dossier. À toute √©tape de la proc√©dure, l’organisation peut pr√©senter des observations au commissaire.

L’enqu√™teur responsable du dossier communique avec le membre du personnel d√©sign√© de l’organisation pour lui indiquer comment il entend proc√©der et, le cas √©ch√©ant, pour lui pr√©ciser les documents qu’il lui faudra consulter de m√™me que les membres du personnel qu’il devra interroger. L’enqu√™teur peut √©galement indiquer si des visites sur place seront n√©cessaires.

L’enqu√™teur peut obtenir de l’information directement aupr√®s de personnes qui connaissent bien la question √† l’√©tude. Ces entretiens s’effectuent en priv√©. L’enqu√™teur peut √©galement exiger de consulter les documents originaux. Les documents remis √† un enqu√™teur sont restitu√©s √† l’organisation dans les dix jours suivant une demande en ce sens, mais l’enqu√™teur pourra les demander de nouveau s’il en a besoin.

Avant la conclusion de l’enqu√™te, les r√©sultats sont communiqu√©s aux parties en cause. Si elles le souhaitent, ces derni√®res peuvent faire de nouvelles observations. Elles disposent ainsi d’une nouvelle occasion de r√©gler le diff√©rend avant que la plainte soit finalis√©e.

M√™me s’il a le pouvoir d’assigner des t√©moins √† compara√ģtre devant lui, de faire pr√™ter serment et d’obliger les organisations √† produire des preuves, le commissaire n’aura vraisemblablement recours √† une proc√©dure aussi officielle que si les parties refusent de coop√©rer.

L’enqu√™teur pr√©sente les r√©sultats de l’enqu√™te au commissaire en m√™me temps que les observations des parties. Le commissaire √©tudie le dossier et pr√©sente un rapport aux parties. Le commissaire peut exiger qu’une organisation lui pr√©sente, dans un d√©lai donn√©, les mesures qu’elle a prises ou qu’elle envisage de prendre pour donner suite aux recommandations du rapport ou encore pour expliquer pourquoi aucune mesure n’a √©t√© ou ne sera prise.

Le rapport comprend les r√©sultats de l’enqu√™te, le r√®glement auquel les parties en sont arriv√©es, les recommandations telles que des modifications propos√©es aux pratiques de gestion des renseignements, les mesures que l’organisation a prises ou prendra pour donner suite aux recommandations et, le cas √©ch√©ant, un avis de recours devant la Cour f√©d√©rale.

Conclusions et décisions
Une plainte peut donner lieu √† l’une ou l’autre des conclusions suivantes :

Hors du champ d’application

À la lumi√®re des donn√©es pr√©liminaires recueillies, on a d√©termin√© que la LPRPDE ne s’appliquait pas √† l’organisation ou √† l’activit√© faisant l’objet de la plainte. Le commissaire ne produit pas de rapport.

Refus d’enqu√™ter

Le commissaire a refus√© de proc√©der √† l’examen d’une plainte parce qu’il √©tait d’avis que le plaignant aurait d’abord d√Ľ √©puiser les recours internes ou les proc√©dures d’appel ou de r√®glement des griefs qui lui sont normalement ouverts; que la plainte pourrait avantageusement √™tre instruite selon des proc√©dures pr√©vues par le droit f√©d√©ral ou le droit provincial; ou que la plainte n’a pas √©t√© d√©pos√©e dans un d√©lai raisonnable apr√®s que son objet a pris naissance, aux termes du paragraphe 12(1) de la LPRPDE.

Mettre fin √† l’examen

L’enqu√™te a pris fin avant que toutes les all√©gations ne soient pleinement examin√©es. À sa discr√©tion, le commissaire peut mettre fin √† l’examen de la plainte pour un motif pr√©vu au paragraphe 12.2(1) de la LPRPDE.

Retrait

Le plaignant a retir√© sa plainte volontairement ou n’a pu √™tre rejoint de fa√ßon pratique. Le commissaire ne produit pas de rapport.

Réglée rapidement

Le Commissariat a aid√© √† n√©gocier une solution satisfaisante pour toutes les parties concern√©es sans qu’une enqu√™te officielle n’ait √©t√© entreprise. Le commissaire ne produit pas de rapport.

R√©gl√©e en cours d’enqu√™te

Le Commissariat aide √† n√©gocier, en cours d’enqu√™te, une solution qui convient √† toutes les parties. Le commissaire ne produit pas de rapport.

Non fondée

L’enqu√™te n’a pas permis de d√©celer d’√©l√©ments de preuve donnant √† penser qu’une organisation a enfreint la LPRPDE ou de d√©celer assez d’√©l√©ments de preuve √† cette fin.

Fondée et conditionnellement résolue

Le commissaire a d√©termin√© qu’une organisation avait contrevenu √† une disposition de la LPRPDE. L’organisation s’est engag√©e √† mettre en œuvre les recommandations formul√©es par le commissaire, et √† d√©montrer cette mise en œuvre dans les d√©lais prescrits.

Fondée et résolue

Le commissaire a d√©termin√© qu’une organisation avait contrevenu √† une disposition de la LPRPDE. L’organisation a d√©montr√© qu’elle avait pris des mesures correctives satisfaisantes pour rem√©dier √† la situation, soit de sa propre initiative, soit √† la suite de recommandations formul√©es par le commissaire, au moment o√Ļ la conclusion a √©t√© rendue.

Fondée

Le commissaire a d√©termin√© qu’une organisation avait contrevenu √† une disposition de la LPRPDE.

Collaboration avec d’autres organisations responsables de la protection des donn√©es

Par suite des modifications √† la LPRPDE entr√©es en vigueur en 2011, le Commissariat √† la protection de la vie priv√©e du Canada peut collaborer et √©changer des renseignements avec des personnes ou des organismes d’un État √©tranger qui exercent, en vertu des lois, des fonctions et responsabilit√©s semblables aux siennes, ou avec des personnes ou des organismes qui exercent des responsabilit√©s en vertu de lois se rapportant √† un comportement qui contreviendrait √† la LPRPDE.

Accords de conformité

Par ailleurs, apr√®s l’examen d’une plainte, le commissaire √† la protection de la vie priv√©e peut aussi conclure un accord de conformit√© avec une organisation afin de s’assurer qu’elle respecte la LPRPDE.

En vertu d’un accord de conformit√©, une organisation accepte de prendre certaines mesures pour se conformer √† la LPRPDE. Le Commissariat ne peut demander √† la Cour une audition sous le r√©gime de la LPRPDE et il doit demander la suspension de toute demande en instance devant la Cour faite sous le r√©gime de cette loi.

Toutefois, si l’organisation n’a pas respect√© les engagements pris en vertu d’un accord de conformit√©, le Commissariat peut demander √† la Cour une ordonnance enjoignant √† l’organisation de se conformer aux conditions de l’accord, ou demander le r√©tablissement de l’audition sous le r√©gime de la LPRPDE, selon le cas.

Haut de la pageTable des matièresRecours devant la Cour fédérale

Tout plaignant ou tout individu ayant √©t√© avis√© qu’une enqu√™te a √©t√© abandonn√©e peut demander √† √™tre entendu par la Cour f√©d√©rale. De m√™me, le commissaire √† la protection de la vie priv√©e du Canada peut lui-m√™me demander une audition en son propre nom ou au nom d’un plaignant dans certains cas. Les demandes en ce sens doivent √™tre pr√©sent√©es dans l’ann√©e suivant le d√©p√īt du rapport du commissaire ou de la date d’avis d’interruption du traitement de la plainte (ou dans le d√©lai sup√©rieur que la Cour autorise).

Les demandes d’audition devant la Cour f√©d√©rale doivent porter sur la question ayant fait l’objet d’une plainte ou sur une question qui est mentionn√©e dans le rapport produit par le commissaire √† l’issue de son enqu√™te, et doivent se rapporter √† l’une des dispositions √©num√©r√©es √† l’article 14 de la LPRPDE.

La Cour f√©d√©rale peut ordonner √† une organisation de corriger des pratiques non conformes aux articles 5 √† 10 de la Loi. Elle peut aussi lui ordonner de publier un avis faisant √©tat des mesures prises ou envisag√©es pour corriger ses pratiques. Enfin, elle peut accorder au plaignant des dommages et int√©r√™ts, notamment en r√©paration d’une humiliation.

Renseignements complémentaires

Pour obtenir plus de détails, veuillez consulter le document suivant sur le site Web du Commissariat :

Haut de la pageTable des matièresVérification des pratiques de gestion des renseignements personnels

La Loi conf√®re au commissaire √† la protection de la vie priv√©e du Canada le pouvoir de v√©rifier les pratiques d’une organisation en mati√®re de gestion des renseignements personnels lorsque le commissaire a des motifs raisonnables de croire que cette derni√®re ne s’acquitte pas de ses obligations aux termes de la partie 1 de la Loi ou qu’elle ne se conforme pas aux recommandations √©nonc√©es √† l’annexe 1 de cette derni√®re.

Circonstances pouvant mener à une vérification

On trouvera ci-apr√®s des exemples de circonstances pouvant amener le commissaire √† v√©rifier les pratiques de gestion des renseignements personnels d’une organisation :

  • groupe ou s√©rie de plaintes √† propos des pratiques d’une organisation donn√©e;
  • renseignements fournis par un particulier aux termes de la disposition relative √† la d√©nonciation;
  • toute question retenant l’attention des m√©dias.
À quoi s’attendre d’une v√©rification effectu√©e par le commissaire?

Conform√©ment au r√īle d’ombudsman qui lui est d√©volu, le commissaire √† la protection de la vie priv√©e du Canada effectue ses v√©rifications sur la protection des renseignements personnels en adoptant une attitude de conciliation, dans la mesure du possible. Ces v√©rifications peuvent d’ailleurs se r√©v√©ler utiles pour les organisations d√©sireuses d’am√©liorer leurs pratiques en mati√®re de traitement des renseignements personnels.

Le commissaire informe par √©crit l’organisation vis√©e qu’une v√©rification sera men√©e. Dans sa lettre, le commissaire pr√©cise la port√©e de la v√©rification, propose un calendrier raisonnable et nomme le d√©l√©gu√© autoris√© √† effectuer la v√©rification.

M√™me s’il a le pouvoir d’assigner des t√©moins √† compara√ģtre devant lui, de faire pr√™ter serment et d’obliger des organisations √† produire des preuves, le commissaire n’aura vraisemblablement pas recours √† une proc√©dure aussi officielle, √† moins que les parties refusent de coop√©rer.

L’agent rencontrera le repr√©sentant de l’organisation pour discuter de fa√ßon pr√©liminaire de l’intention, de l’objet et de la port√©e de l’examen.

S’il demande √† avoir acc√®s √† des locaux de l’organisation, l’agent inspectera les mesures de s√©curit√©. Sur place, il peut interroger toute personne en priv√©, examiner les dossiers, obtenir copie d’un dossier ou en pr√©lever des extraits. L’agent restituera les documents dans les dix jours suivant une demande en ce sens, mais il pourra les demander de nouveau s’il en a besoin.

Une fois la v√©rification termin√©e, l’agent informera le repr√©sentant de l’organisation de ses conclusions. Il en fera √©galement √©tat au commissaire, qui formulera des recommandations. Le commissaire fera parvenir le rapport √† l’organisation et pourra demander √† √™tre tenu au courant des mesures prises par l’organisation pour corriger les probl√®mes.

Le commissaire peut inclure le rapport de v√©rification dans son rapport annuel ou rendre publiques les pratiques de gestion des renseignements personnels d’une organisation s’il estime que cela est dans l’int√©r√™t du public.