Dix principes de protection de la vie privée

Les dix principes de protection de la vie privée constituent un cadre fondamental pour la protection des renseignements personnels. Dérivés du Code type sur la protection des renseignements personnels de l’Association canadienne de normalisation, ces principes font partie intégrante des textes législatifs sur la protection de la vie privée. Ils fournissent une feuille de route claire aux organisations pour qu’elles respectent les droits des individus en matière de vie privée et assurent une gestion responsable des renseignements personnels.

Un organisme public est responsable des renseignements personnels dont il a la charge.

• Désigner un chef de la protection de la vie privée et s’assurer que les employés de l’organisation savent qui est le chef de la protection de la vie privée.
• Protéger tous les renseignements personnels à la charge de l’organisation, y compris tous les renseignements personnels transférés à un tiers aux fins de traitement.
• Élaborer et mettre en œuvre des politiques et des pratiques de gestion des renseignements personnels, des procédures de gestions des atteintes à la vie privée et des plaintes.
• Élaborer un programme de gestion de la protection de la vie privée.

Déterminer l’objectif de la collecte de renseignements personnels avant ou au moment de la collecte.

• Déterminer et documenter par écrit l’objectif de la collecte de renseignements personnels et la disposition légale permettant de les recueillir.
• Lorsque vous recueillez des renseignements personnels directement auprès d’une personne, indiquez-lui la raison pour laquelle vous recueillez ces renseignements, la disposition légale qui autorise la collecte de ces renseignements, ainsi que le nom et les coordonnées d’une personne qui peut répondre aux questions concernant la collecte.
• Décrire clairement, dans un langage simple, les fins auxquelles les renseignements sur une personne sont recueillis, et fournir autant de précision que possible pour que les gens comprennent comment leurs renseignements seront utilisés.
• S’assurer que la collecte de renseignements personnels est nécessaire pour atteindre l’objectif établi et qu’elle se limite à ce qu’une personne raisonnable jugerait approprié.

La connaissance et le consentement de la personne concernée sont obligatoires pour l’utilisation et la communication de renseignements personnels, sauf dans des circonstances particulières.

• Obtenir le consentement de la personne concernée avant d’utiliser ou de communiquer ses renseignements personnels, si nécessaire.
• Tenir compte de la sensibilité des renseignements personnels, de la situation de la personne et de ce qu’une personne raisonnable jugerait approprié pour déterminer la forme de consentement à utiliser (par exemple écrite, verbale, implicite ou à option d’adhésion).
• Informer clairement la personne des fins auxquelles les renseignements personnels sont utilisés ou communiqués lors de l’obtention du consentement.
• Ne jamais obtenir le consentement par des moyens trompeurs ou en produisant des renseignements faux ou trompeurs.
• Si la personne retire son consentement, expliquer les conséquences probables de ce retrait.

L’organisme ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées par votre organisation. Les renseignements doivent être recueillis de façon honnête et licite.

• Ne recueillir que les renseignements personnels nécessaires à l’atteinte d’un objectif précis.
• S’assurer que votre personnel est en mesure d’expliquer pourquoi votre organisation a besoin de recueillir les renseignements personnels d’une personne.
• Recueillir des renseignements personnels directement auprès d’une personne, sauf si la loi ou la personne autorise la collecte de renseignements personnels auprès d’une autre source.

• Utiliser ou communiquer les renseignements personnels uniquement aux fins indiquées, à moins que la personne concernée ne consente à une nouvelle fin, ou que l’utilisation ou la communication soit autorisée par la loi.
• Ne conserver les renseignements personnels que le temps nécessaire à la réalisation des fins visées par leur collecte, leur utilisation et leur communication.
• Conserver les renseignements utilisés pour prendre une décision concernant une personne pendant une période raisonnable afin que la personne puisse y avoir accès.
• Éliminer en toute sécurité tout renseignement personnel conformément aux politiques de gestion des documents approuvées par votre organisation.
• Limiter l’accès des employés aux renseignements personnels. L’accès doit être accordé aux employés sur la base du principe d’accès sélectif pour qu’ils puissent exercer leurs responsabilités professionnelles. L’employé ne doit utiliser les renseignements personnels qu’aux fins pour lesquelles ils ont été recueillis, ou pour une utilisation cohérente.

Les renseignements personnels doivent être aussi exacts, complets et à jour que possible.

• Les renseignements personnels doivent être exacts, complets et à jour, en tenant compte de leur utilisation et des intérêts de la personne.
• Il faut se demander si l’utilisation ou la communication de renseignements désuets ou incomplets pourrait avoir des effets négatifs sur la personne.
• Établir des protocoles pour minimiser la possibilité d’utiliser des renseignements inexacts lorsqu’une décision au sujet d’une personne est prise ou que des renseignements sont communiqués à un tiers.
• Établir des politiques qui régissent le type de renseignements personnels qui doivent être mis à jour.

Les renseignements personnels doivent être protégés à l’aide de mesures de sécurité correspondant à leur degré de sensibilité.

• Protéger les renseignements personnels d’une façon adaptée à leur sensibilité.
• Protéger tous les renseignements personnels, quel que soit leur format, y compris les données papier, électroniques, audio et vidéo.
• Utiliser des mesures de sécurité raisonnables pour assurer la protection nécessaire. Il s’agit notamment de mesures de protection physiques (par exemple classeurs verrouillés), de mesures de protection technologiques (par exemple chiffrement, mots de passe) et de contrôles administratifs (par exemple habilitation de sécurité, formation du personnel).
• Examiner régulièrement les mesures de sécurité pour s’assurer qu’elles sont à jour et que les vulnérabilités sont corrigées par des audits et/ou des tests réguliers.

Les organisations doivent mettre ses politiques et ses pratiques concernant la gestion des renseignements personnels à la disposition du public.

• Vos pratiques de gestion des renseignements personnels doivent être claires et faciles à comprendre et doivent être fournies aux personnes qui en font la demande.
• S’assurer que le personnel de première ligne connaît bien vos procédures de réponse aux demandes de renseignements des personnes concernant leurs renseignements personnels.
• Fournir, en termes faciles à comprendre :
  • le nom, le poste et les coordonnées de la personne responsable des politiques et pratiques de votre organisation en matière de protection de la vie privée;
  • la façon pour une personne d’obtenir l’accès à ses renseignements personnels;
  • la façon dont une personne peut déposer une plainte contre votre organisation en matière de protection de la vie privée;
  • les renseignements expliquant les politiques et pratiques de votre organisation en matière de gestion des renseignements personnels, y compris une description des renseignements personnels que vous recueillez, les raisons pour lesquelles vous les recueillez, comment ils sont utilisés, à qui ils sont communiqués et pourquoi.

Les personnes doivent avoir accès à leurs renseignements personnels. Elles doivent avoir la possibilité de contester l’exactitude et l’état complet des renseignements et y faire apporter les corrections appropriées.

• Sur demande, fournir aux personnes les renseignements que vous détenez à leur sujet.
• Aider les personnes à préparer leur demande d’accès aux renseignements personnels. Par exemple, aidez l’auteur de la demande à fournir suffisamment de renseignements pour vous permettre de trouver ses renseignements personnels.
• Répondre à la demande le plus rapidement possible, et au plus tard dans les 30 jours suivant sa réception. Si un délai supplémentaire est nécessaire pour répondre à la demande, faites savoir à la personne concernée pourquoi vous avez besoin d’un délai supplémentaire et quand elle peut s’attendre à recevoir une réponse.
• S’assurer que les renseignements demandés sont compréhensibles pour la personne qui les demande. Expliquer les acronymes, les abréviations et les codes.
• Si l’accès aux renseignements personnels est refusé, expliquer les raisons par écrit et informer l’auteur de la demande de tout recours dont il dispose.

Une personne doit pouvoir contester la conformité de votre organisation aux dix principes de protection de la vie privée.

• Élaborer et mettre en œuvre des procédures simples et accessibles pour les plaintes relatives à la protection de la vie privée.
• Enquêter sur toutes les plaintes relatives à la protection de la vie privée que vous recevez.
• Prendre les mesures appropriées pour corriger les pratiques et les politiques de gestion des renseignements, le cas échéant.
• Expliquer aux gens comment ils peuvent déposer une plainte en matière de protection de la vie privée. Expliquer la procédure de gestion des plaintes relatives à la protection de la vie privée de votre organisation et mentionner qu’ils peuvent déposer une plainte auprès de l’ombud.