Loi sur la protection des renseignements personnels et les documents électroniques


Fiche technique - ISSN 1198-7138  -  Imprimeur de la Reine pour l'Ontario
Agdex : 057
Date de publication : Août 2005
Commande no. 05-050
Dernière révision : Août 2005
Situation :
Rédacteur : Denise Edwards - spécialiste du développement organisationnel en agriculture/MAAARO

Table des matières

  1. Introduction
  2. Qu'est-ce qu'un renseignement personnel?
  3. La loi s'applique-t-elle à votre organisation?
  4. Principes de la LPRPDÉ
  5. Comment se conformer à la LPRPDÉ
  6. Rôle du conseil d'administration
  7. Remerciements
  8. Liens connexes

Introduction

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ) est une loi fédérale qui a été adoptée en janvier 2001 et qui est entrée en vigueur dans son intégralité le 1er janvier 2004. Comme l'Ontario n'a pas adopté de loi provinciale sur la protection des renseignements personnels, la LPRPDÉ s'applique dans notre province. Il devient sans cesse plus indispensable aux organisations et aux entreprises d'avoir des données personnelles sur leurs clients et leurs membres pour rester en communication avec eux. Or, le respect et la protection des renseignements personnels est une composante à part entière des bonnes relations avec les clients et les membres.

L'objet de la LPRPDÉ est « de fixer, dans une ère où la technologie facilite de plus en plus la circulation et l'échange de renseignements, des règles régissant la collecte, l'utilisation et la communication de renseignements personnels d'une manière qui tient compte du droit des individus à la vie privée à l'égard des renseignements personnels qui les concernent et du besoin des organisations de recueillir, d'utiliser ou de communiquer des renseignements personnels à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances ».

La LPRPDÉ vous impose :

  • d'obtenir le consentement clair de toute personne avant de recueillir, d'utiliser ou de divulguer des renseignements la concernant;
  • de ne les utiliser qu'aux fins mises en avant quand la personne vous a donné son consentement;
  • de les protéger contre tout accès ou utilisation non autorisée;
  • de les tenir à jour et d'en assurer l'exactitude afin que des décisions ne soient pas prises à partir
  • de renseignements erronés;
  • de les détruire dès que vous n'en avez plus besoin pour atteindre les fins mises en avant;
  • de mettre en œuvre, dans votre organisation, des mécanismes de responsabilisation pour assurer le respect des exigences énoncées ci-dessus.

Remarque : La LPRPDÉ est complexe, aussi devriez-vous demander l'aide d'un conseiller juridique pour en saisir toutes les exigences. En outre, comme elle est périodiquement réexaminée et modifiée, assurez-vous d'avoir en main la dernière version en date.

Qu'est-ce qu'un renseignement personnel?

La Loi a pour objet la protection des renseignements propres à l'individu, notamment :

  • âge, nom, revenu, origine ethnique, religion ou type sanguin
  • opinions, évaluation, commentaires, statut social ou mesures disciplinaires
  • antécédents de crédit, antécédents d'emploi et dossier médical.

Le nom, le titre, l'adresse ou le numéro de téléphone au travail des employés d'une organisation ou d'une entreprise ne sont pas des renseignements personnels.

Pour beaucoup d'organisations, cela signifie que les renseignements qu'elles ont recueillis pour établir l'admissibilité au statut de membre ou à des programmes, les historiques des donateurs et les dossiers des membres du personnel et des bénévoles pourraient être tenus pour des renseignements personnels.

La loi s'applique-t-elle à votre organisation?

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ) s'applique à la plupart des organisations et des entreprises de l'Ontario qui exercent une « activité commerciale », notion à laquelle la Loi donne un sens très large. Elle dicte les conditions dans lesquelles les organisations doivent recueillir, utiliser et divulguer les renseignements concernant les personnes. Est tenue de se conformer à la LPRPDÉ toute organisation qui exerce une « activité commerciale »au sens de l'article 2 de la Loi :

« activité commerciale : Toute activité régulière ainsi que tout acte isolé qui revêtent un caractère commercial de par leur nature, y compris la vente, le troc ou la location de liste de donneurs, d'adhésion ou de collecte de fonds. »

Selon la fiche d'information « Application de la Loi sur la protection des renseignements personnels et les documents électroniques aux œuvres de charité et aux organisations sans but lucratif », publiée par le Commissariat à la protection de la vie privée du Canada, une organisation sans but lucratif n'est pas automatiquement dispensée des obligations découlant de la Loi. La plupart des organisations sans but lucratif ne sont pas assujetties à la Loi parce qu'elles n'exercent pas d'activités commerciales. C'est généralement le cas de la majorité des œuvres de charité, des associations de hockey mineur, des clubs, des groupes communautaires et des organisations de défense des droits. La perception de droits d'adhésion, l'organisation d'activités de club, l'établissement d'une liste de noms et d'adresses de membres et l'envoi de bulletins de nouvelles n'entrent pas dans la définition de l'activité commerciale. La collecte de fonds n'est pas non plus considérée comme une activité commerciale, à moins qu'il n'y ait échange de listes.

Certains clubs peuvent exercer des activités commerciales s'ils vendent, troquent ou prêtent des listes de membres ou de donateurs. Avant de se livrer à ce type d'activités, il faut que le club ait obtenu le consentement de ses membres ou de ses donateurs. Sauf si les renseignements sont considérés « sensibles », une organisation peut demander à ses membres ou donateurs de signifier leur consentement (ou leur refus) par un moyen clair, simple et facile à exécuter.

Bien que la Loi puisse ne pas s'appliquer à elles, les œuvres de charité, les associations et autres organisations similaires ont intérêt à permettre à leurs membres, donateurs et sympathisants de faire savoir s'ils refusent d'être sollicités à nouveau. Si vous conservez en dossiers électroniques ou sur papier des renseignements sur vos employés, clients, donateurs, bénévoles, exposants ou autres, vous devez veiller à ce que votre méthode de collecte, de protection et d'utilisation de ces renseignements soit conforme à la Loi.

Principes de la LPRPDÉ

La Loi repose sur dix principes qui s'appliquent aux activités des organisations.

  1. Responsabilisation - Une organisation est responsable des renseignements personnels dont elle a la gestion et doit désigner la personne qui devra s'assurer du respect des principes de la Loi. La personne chargée au premier chef de la protection des renseignements personnels dans une organisation doit maîtriser les politiques et les méthodes en la matière et répondre aux plaintes.
  2. Détermination des fins de la collecte des renseignements - Les fins auxquelles des renseignements personnels sont recueillis doivent être déterminées par l'organisation avant la collecte ou au moment de celle-ci. Les organisations sont tenues d'énoncer ces fins par écrit.
  3. Consentement - Toute personne doit être informée de toute collecte, utilisation ou communication à des fins commerciales de renseignements personnels qui la concernent et y consentir. Le consentement peut être explicite ou implicite. Cependant, le commissaire à la protection de la vie privée recommande que le consentement soit obtenu de façon explicite dans la majorité des cas. Voici des exemples de la forme que peut revêtir le consentement explicite :
    • La personne remplit et signe un formulaire signifiant qu'elle consent à la collecte et à l'utilisation des renseignements à des fins précises et, le cas échéant, à leur communication à des tiers.
    • La personne peut cocher une case pour exiger que les renseignements la concernant ne soient pas communiqués à des tiers.

      Remarque : Le fait de remplir un formulaire de participation à un concours peut être interprété comme un consentement implicite, mais, cela n'étant pas clair, on conseille aux organisations d'inclure une clause sur le consentement dans les règles de concours et les formulaires d'inscription.
  4. Limitation de la collecte des renseignements - Une organisation ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées et elle ne peut les utiliser qu'à ces fins. Il est interdit de recueillir des renseignements en trompant les personnes sur le but de cette collecte.
  5. Limitation de l'utilisation, de la communication et de la conservation des renseignements Les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles qui ont été déterminées. On ne doit conserver les renseignements personnels que pendant la période nécessaire pour atteindre les fins déterminées.
  6. Exactitude - Les renseignements personnels doivent être exacts, complets et à jour.
  7. Mesures de sécurité - L'organisation doit protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l'utilisation ou la modification non autorisées. La nature des mesures de sécurité variera en fonction du degré de sensibilité des renseignements personnels recueillis. Les personnes qui ont accès à ces renseignements doivent signer des ententes de confidentialité.

    Remarque
    : L'organisation doit empêcher l'accès à son matériel informatique et à ses dossiers sur papier.
  1. Transparence - L'organisation est tenue de mettre ses politiques sur la protection des renseignements personnels à la disposition de quiconque en fait la demande.
  2. Accès aux renseignements personnels - Toute personne a le droit de savoir quels renseignements ont été recueillis à son sujet, de quelle manière ils sont utilisés et à qui ils sont communiqués; elle doit aussi pouvoir contester l'exactitude et l'intégralité de ces renseignements et y faire apporter les corrections appropriées.
  3. Possibilité de porter plainte à l'égard du non-respect des principes - Toute personne doit pouvoir s'adresser à la personne qui, dans une organisation, est chargée au premier chef de la protection des renseignements personnels, afin de porter plainte pour non-respect de la LPRPDÉ.

Comment se conformer à la LPRPDÉ

Les principes de la LPRPDÉ tombent sous le sens pour toute organisation qui repose sur la confiance de ses donateurs, de ses clients et de la collectivité. Si votre organisme est novice en matière de protection des renseignements personnels, sa mise en conformité à l'esprit et à la lettre de la Loi sera simplifiée si vous suivez les étapes suivantes :

  1. Assurez-vous de comprendre la Loi et les principes qu'elle énonce. Les sites Web indiqués à la fin de la présente fiche technique contiennent des liens menant à la version officielle de la Loi et à des commentaires et interprétations, formulées par des spécialistes, concernant les principes de la Loi. Demandez l'aide d'un conseiller juridique pour déterminer si votre organisation est visée par certains points précis de la Loi.
  2. Désignez la personne qui, dans votre organisation, sera chargée de veiller au respect de la Loi. Ce doit être quelqu'un qui occupe un poste d'autorité et qui peut interagir avec le public.
  3. Faites le point sur les pratiques suivies actuellement dans votre organisation relativement aux renseignements personnels qu'elle collecte et conserve. Réfléchissez aux questions suivantes :
    • Quels renseignements personnels recueillons-nous et à quelle fin?
    • Comment les recueillons-nous?
    • Quel usage en faisons-nous?
    • Que faisons-nous pour voir à ce qu'ils ne soient utilisés qu'à cette fin?
    • Comment vérifier que les intéressé(e)s ont consenti à la collecte et à l'utilisation des renseignements les concernant?
    • Où conservons-nous ces renseignements à l'heure actuelle?
    • Qui y a accès?
    • Quelles mesures de sécurité appliquons-nous?
    • Avec qui partageons-nous les renseignements?
    • Qu'en faisons-nous quand nous n'en avons plus besoin?
  4. À partir de votre constat, mettez en place une politique de confidentialité et des mécanismes pour encadrer l'obtention du consentement et l'instruction des plaintes.
  5. Mettez à jour tous les formulaires (sur papier et électroniques) que vous utilisez pour recueillir des renseignements personnels, par exemple, bulletins d'inscription des exposants à une foire) et tous les contrats que vous avez signés avec des employés, fournisseurs, agences de marketing, organisations de collecte de fonds et autres, et qui impliquent la collecte ou le transfert de renseignements personnels.
  6. Créez un mécanisme pour éliminer de vos listes d'envoi les personnes ayant exigé d'en être rayées. Vous devez prendre garde de ne pas envoyer des demandes de dons à des personnes qui ont demandé à ne pas être sollicitées.
  7. Mettez à jour vos systèmes de protection des données et vos méthodes de gestion des dossiers pour vous assurer que les renseignements personnels sont protégés contre tout accès non autorisé.
  8. Donnez la formation nécessaire à vos employés et à vos bénévoles. Ceux et celles qui ont accès à des renseignements personnels devraient signer une entente de confidentialité et être au courant de vos politiques et de vos pratiques. Ils devraient savoir qui, dans votre organisation, est chargé de répondre aux demandes d'information et de traiter les plaintes.
  9. Veillez à rédiger par écrit votre politique et à la rendre facilement accessible à quiconque en fait la demande.

Rôle du conseil d'administration

  • Veillez à ce que les membres du conseil d'administration reçoivent la formation nécessaire aux concepts de la confidentialité et à ce que certains soient compétents en la matière.
  • Veillez à désigner au moins un responsable de la conformité de votre organisation à la LPRPDÉ.
  • Si le responsable désigné est un membre du personnel, faites en sorte qu'il soit tenu compte de cette charge dans l'évaluation de son rendement et dans sa rémunération.
  • Périodiquement, procédez à des auto-évaluations et à des vérifications auprès des membres du conseil d'administration sur la question du respect des renseignements personnels et présentez un rapport au conseil d'administration.

Les sites Web ci-après contiennent des exemples de politiques de confidentialité de certaines organisations :

  • ARMA International
  • 4-H Ontario
  • Fonds mondial pour la nature Canada
  • Compasstax Chartered Accountants

Vous pouvez consulter l'article « Basic Information Security » contenant des renseignements de base sur la sécurité des données à http://www.peaceworks.ca/, sous la rubrique « articles ».

Remerciements

L'auteure tient à remercier les organismes qui l'ont autorisée à se servir des ressources ci-dessous pour préparer la présente fiche technique et elle invite les personnes intéressées à consulter les sites Web suivants :

La Loi

Autres ressources

« Application de la Loi sur la protection des renseignements personnels et les documents électroniques aux œuvres de charité et aux organismes sans but lucratif ». Fiche d'information. Commissariat à la protection de la vie privée du Canada. Mai 2004.

« Court Considers Application of PIPEDA ». The Canadian Association. Janvier 2005. Rachel Bumenfeld.

« Focus on Privacy - Does PIPEDA Apply to My Company? » McInnes Cooper. Septembre 2003. David T.S. Fraser.

« Donor Lists Protected as Charitable Property Under Canadian Law ». Charity Law Bulletin. No 15, 25 juillet 2002. Jacqueline M. Connor, Mervyn F. White et Terrance S. Carter.

« Impact of the Personal Information Protection and Electronic Documents Act (PIPEDA) on Charitable and Non-Profit Organizations ». The Canadian Association. 2003. Mark Wong et coll.

« The PIPEDA Privacy Principles: A Guide for Associations and Non-profit Organizations ». Association Xpertise Inc. 2001.

« Privacy 101: A Guide to Privacy Legislation for Fundraising Professionals and Not-For-Profit Organizations in Canada ». Version I. Rédigé par un groupe de travail intersectoriel représentant : l'Association of Fundraising Professionals (AFP), l'Association for Healthcare Philanthropy (AHP), l'Association of Professional Researchers for Advancement (APRA) et le Centre canadien de philanthropie (CCP).

« Privacy and Boards of Directors: What You Don't Know CAN Hurt You ». Bureau du commissaire à l'information et à la protection de la vie privée/Ontario. Novembre 2003. Ann Cavoukian.

« Privacy Compliance: What Churches and Charities Need to Do by January 1, 2004 ». The 2003 Annual Church and the Law Seminar. Présentation PowerPoint. Novembre 2003. Mark J.

« Privacy Law and Governance in the Non-Profit Sector ». Charity Village News Week. 20 octobre 2003. Jeffrey H. McCully.

« Special Issue on Complying With the Personal Information Protection and Electronic Documents Act » Nonprofit News from Nathan: Décembre 2003. Nathan Garber & Associates. Nathan Garber.

Liens connexes


Pour plus de renseignements :
Sans frais : 1 877 424-1300
Local : 519 826-4047
Courriel : ag.info.omafra@ontario.ca