Protection des renseignements personnels

[Veuillez noter que la section suivante est conditionnelle à l’examen d’unE conseillerE juridique ayant une bonne connaissance des questions de protection des renseignements personnels et qu’elle peut faire l’objet de modifications futures.]

La Loi fédérale sur la protection des renseignements personnels et les documents électroniquesLPRPDE ») s’applique à toutes les entreprises au Canada qui recueillent, utilisent et communiquent des renseignements personnels dans le cadre d’activités commerciales. La question de savoir si la loi en matière de protection des renseignements personnels s’applique aux organismes de bienfaisance et sans but lucratif dépend de la nature des activités de l’organisme. UnE professionnelLE qualifiéE peut vous aider à vérifier si votre organisme doit se conformer à la loi canadienne en matière de protection des renseignements personnels et vous conseiller sur les mesures à prendre pour y parvenir.

En règle générale, bien que certains organismes de bienfaisance et sans but lucratif non engagés dans des activités commerciales peuvent ne pas être tenus de se conformer à la loi en matière de protection des renseignements personnels, il est quand même important que ces organismes adhèrent aux principes sous-jacents de confidentialité. Ceci n’est pas uniquement la recommandation du Commissaire fédéral à la protection de la vie privée. En effet, les donateurs et les membres s’attendent également à ce que les organismes de bienfaisance et sans but lucratif qu’ils soutiennent reconnaissent le droit à la vie privée comme un point essentiel.

Si votre organisme doit être assujetti à la LPRPDE, celle-ci impose des mesures administratives onéreuses et qui prennent du temps. La Loi exige que les organismes respectent les 10 principes énoncés à son annexe 1, qui sont ici résumés :

  1. Responsabilité – Une organisation est responsable des renseignements personnels dont elle a la gestion et doit désigner une ou des personnes qui devront s’assurer du respect des principes énoncés ci-dessous.
  2. Détermination des raisons de la collecte des renseignements – Les fins auxquelles les renseignements personnels sont recueillis doivent être déterminées par l’organisation avant ou pendant la collecte d’informations.
  3. Consentement – Toute personne doit être informée et consentante de toute collecte, utilisation ou communication de renseignements personnels qui la concernent, à moins qu’il ne soit inapproprié de le faire.
  4. Limitation de la collecte – L’organisation ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées. La collecte des renseignements doit être faite de façon honnête et licite.
  5. Limitation de l’utilisation, de la divulgation et de la conservation – Les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis, à moins que la personne concernée n’y consente ou que la loi ne l’exige. Les renseignements personnels ne doivent être conservés que le temps nécessaire à la réalisation des fins déterminées.
  6. Exactitude - Les renseignements personnels doivent être aussi exacts, complets et à jour que ne l’exigent leur utilisation.
  7. Mesures de sécurité - Les renseignements personnels doivent être protégés selon des mesures de sécurité correspondant à leur degré de sensibilité.
  8. Transparence – Une organisation doit faire en sorte que les renseignements sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne.
  9. Accès aux renseignements personnels – Une organisation doit informer toute personne qui en fait la demande de l’existence de renseignements personnels qui la concernent, de l’usage qui en est fait, du fait qu’ils ont été communiqués à des tiers, et lui permettre de les consulter. Une personne doit aussi pouvoir contester l’exactitude et l’intégralité des renseignements la concernant et y faire apporter les corrections appropriées.
  10. Contester la conformité - Toute personne doit pouvoir contester la conformité (ou la réalisation) des principes énoncés ci-dessus en communiquant avec la ou les personnes responsables de les faire respecter au sein de l’organisation.

La LPRPDE prévoit également qu’une organisation peut être exemptée de la LPRPDE si la province dans laquelle l’organisation est située dispose d’une loi en matière de protection des renseignements personnels semblable. Depuis que la LPRPDE est entrée en vigueur, le Commissaire fédéral à la protection de la vie privée a déclaré que les lois provinciales sur la protection des renseignements personnels de l’Alberta, de la Colombie-Britannique et du Québec sont semblables à la LPRPDE.