201807.04
0
0

La loi canadienne sur la protection des données personnelles

La loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE ou, en anglais, The Personal Information Protection and Electronic Documents Act (PIPEDA)) est la loi fédérale canadienne sur la protection des renseignements personnels pour les organisations du secteur privé. Cette loi établit les règles de base sur la façon dont les entreprises doivent traiter les renseignements personnels dans le cadre d’une activité commerciale. Nous vous en présentons le champ d’application et les principales dispositions.

Le champ d’application de la loi

Le PIPEDA s’applique à la collecte, à l’utilisation ou à la divulgation de renseignements personnels dans le cadre d’une activité commerciale.

Une activité commerciale : est définie comme une transaction, une action ou une conduite particulière, ou une conduite commerciale de caractère commercial, y compris la vente, le troc ou la location de donateurs, de membres ou d’autres listes de collecte de fonds.

Les renseignements personnels : comprennent toute information factuelle ou subjective, enregistrée ou non, concernant une personne identifiable. Cela inclut des informations sous n’importe quelle forme, telles que:

  • l’âge, le nom, les numéros d’identification, le revenu, l’origine ethnique ou le groupe sanguin;
  • Les opinions, évaluations, commentaires, statut social ou actions disciplinaires; et
  • Les dossiers des employés, dossiers de crédit, dossiers de prêt, dossiers médicaux, l’existence d’un différend entre un consommateur et un commerçant.

Les « Principes d’information équitables »

Ils sont le fondement de la loi sur la protection des renseignements personnels et les documents électroniques.

  • Principe 1 – Responsabilisation: Une entreprise est responsable des informations personnelles qu’elle détient. Elle doit nommer une personne responsable de la conformité à ces principes d’information équitables.
  • Principe 2 – Identification des objectifs: Les finalités pour lesquelles les informations personnelles sont collectées doivent être identifiées par l’organisation avant ou au moment de la collecte.
  • Principe 3 – Consentement: Le consentement de l’individu est requis pour la collecte, l’utilisation ou la divulgation de renseignements personnels, sauf si cela est inapproprié.
  • Principe 4 – Limitation de la collection: La collecte de renseignements personnels doit être limitée à ce qui est nécessaire aux fins identifiées par l’entreprise. Les informations doivent être collectées par des moyens légaux.
  • Principe 5 – Limitation de l’utilisation, de la divulgation et de la conservation: À moins que la personne n’y consente ou que la loi l’exige, les renseignements personnels ne peuvent être utilisés ou divulgués qu’aux fins pour lesquelles ils ont été recueillis. Les renseignements personnels ne doivent être conservés que le temps nécessaire pour atteindre ces objectifs.
  • Principe 6 – Précision: Les renseignements personnels doivent être aussi exacts, complets et à jour que possible afin de répondre adéquatement aux fins pour lesquelles ils doivent être utilisé
  • Principe 7 – Sauvegardes: Les informations personnelles doivent être protégées par une sécurité appropriée relative à la sensibilité de l’information.
  • Principe 8 – Ouverture: Une organisation doit publier des informations détaillées sur ses politiques et pratiques relatives à la gestion des informations personnelles et les rendre facilement accessibles.
  • Principe 9 – Accès individuel: Sur demande, un individu doit être informé de l’existence, de l’utilisation et de la divulgation de ses informations personnelles et avoir accès à ces informations. Une personne doit pouvoir contester l’exactitude et l’exhaustivité de l’information et la faire modifier en tant que de besoin.
  • Principe 10 – Contestation de la conformité: Une personne doit être en mesure de contester la conformité d’une organisation avec les principes ci-dessus.

Les Exceptions :

Dans certains cas, le PIPEDA ne s’applique pas. Quelques exemples incluent:

  • Les renseignements personnels traités par des organismes du gouvernement fédéral énumérés dans la Loi sur la protection des renseignements personnels
  • Les gouvernements provinciaux ou territoriaux et leurs agents
  • Les coordonnées professionnelles telles que le nom, le titre, l’adresse professionnelle, le numéro de téléphone ou les adresses électroniques d’un employé qui sont recueillies, utilisées ou divulguées uniquement dans le but de communiquer avec cette personne relativement à son emploi ou à sa profession
  • La collecte, l’utilisation ou la divulgation de renseignements personnels par un individu strictement à des fins personnelles
  • La collecte, l’utilisation ou la divulgation de renseignements personnels par une organisation uniquement à des fins journalistiques, artistiques ou littéraires

Le PIPEDA et les lois provinciales canadiennes

Plusieurs lois provinciales ont également été jugées similaires au PIPEDA. En vertu de l’alinéa 26 (2) b) du PIPEDA, le gouverneur peut exempter un organisme, une catégorie d’organisations, une activité ou une catégorie d’activités de l’application du PIPEDA concernant la collecte, l’utilisation ou la divulgation de renseignements personnels cela se produit dans une province qui a adopté une loi jugée essentiellement semblable au PIPEDA.

Les lois provinciales jugées essentiellement similaires sont les suivantes:

  • La loi sur la protection des renseignements personnels de la Colombie-Britannique. (British Columbia’s Personal Information Protection Act)
  • La loi sur la protection des renseignements personnels de l’Alberta (Alberta’s Personal Information Protection Act)
  • La loi sur la protection des renseignements personnels dans le secteur privé du Québec (Québec’s An Act Respecting the Protection of Personal Information in the Private Sector)
  • La loi sur la protection des renseignements personnels sur la santé de l’Ontario (Ontario’s Personal Health Information Protection Act)
  • La loi sur l’accès et la protection des renseignements personnels sur la santé du Nouveau-Brunswick (New Brunswick’s Personal Health Information Privacy and Access Act)
  • La loi sur les renseignements médicaux personnels de la Nouvelle-Écosse (Nova Scotia’s Personal Health Information Act)
  • La loi sur les renseignements médicaux personnels de Terre-Neuve-et-Labrador (Newfoundland and Labrador’s Personal Health Information Act).

Cependant, il est à noter que même dans ces provinces, le PIPEDA continue de s’appliquer à toutes les transactions interprovinciales et internationales effectuées par tous les organismes assujettis à la Loi dans le cadre de leurs activités commerciales ainsi qu’aux organismes sous réglementation fédérale comme les banques, les entreprises de télécommunications et de transport.

Les infractions sous PIPEDA

En vertu du PIPEDA, est considéré comme une infraction le fait de:

  • Détruire les renseignements personnels qu’une personne a demandés;
  • Exercer des représailles contre un employé qui s’est plaint au commissaire ou qui refuse de contrevenir aux articles 5 à 10 de la Loi; ou
  • Entraver l’enquête ou la vérification d’une plainte par le commissaire ou son délégué

Plainte au Commissariat à la protection de la vie privée du Canada

Une personne peut déposer une plainte auprès de l’organisation en question ou auprès du Commissariat à la protection de la vie privée du Canada au sujet de toute violation présumée de la loi. S’il existe des motifs raisonnables, le commissaire peut également déposer une plainte.

Dans la mesure du possible, le Commissariat à la protection de la vie privée du Canada cherche à régler les différends par l’entremise d’enquêtes, de persuasion, de médiation et de conciliation. Cette approche peut être moins intimidante pour les plaignants et moins coûteuse pour les entreprises que de passer par les tribunaux. Dans certains cas, lorsqu’une plainte peut être résolue rapidement, elle est renvoyée à un agent de règlement rapide.

Si vous avez des questions par rapport à l’application du PIPEDA et/ou de toute législation provinciale applicable à votre traitement de données à caractère personnel en liaison avec vos activités au Canada, n’hésitez pas à nous contacter !

Cet article a été rédigé avec la collaboration de Sarah Lasson.