Nous vivons dans un monde numérique et la façon dont vous gérez l’information de vos clients est importante. Les gens se sentent de plus en plus, concernés par la façon dont leurs renseignements personnels sont collectés, utilisés et partagés.
Le gouvernement fédéral a adopté la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) pour encadrer la façon dont vous gérez les renseignements personnels recueillis dans le cadre de vos activités commerciales.
Votre entreprise est-elle concernée?
La LPRPDE s’applique à toutes les entreprises assujetties à la réglementation fédérale au Canada, sauf au Québec, en Alberta et en Colombie-Britannique, provinces qui ont leurs propres lois sur la protection des renseignements personnels. Mais, même si votre entreprise est située dans une de ces provinces, il se peut que la LPRPDE s’applique tout de même à vous si certaines informations tombent sous le coup de la loi fédérale. Si vous exigez des renseignements médicaux personnels, la plupart des provinces ont mis en place des lois pour encadrer la collecte et la gestion de ce type de renseignements. Assurez-vous donc de consulter votre législation provinciale ou territoriale, le cas échéant.
Votre entreprise est-elle concernée?
Les renseignements personnels comprennent notamment l’âge, les dossiers médicaux, les revenus, l’origine ethnique, les dossiers d’employés, les numéros de carte de crédit. En général, tout renseignement qui n’apparaît pas normalement sur une carte d’affaires est protégé par la loi.
Vous trouverez la liste complète sur le site Web du Commissariat à la protection de la vie privée du Canada.
Comment créer une politique sur la protection des renseignements personnels?
Le Commissariat à la protection de la vie privée du Canada vous propose plusieurs ressources pour partir du bon pied :
1. Formez vos employés
Pour répondre aux exigences de la LPRPDE, vous devez offrir à vos employés une formation sur le respect des renseignements personnels. Le Commissariat à la protection de la vie privée du Canada n’accepte pas l’erreur d’un employé comme excuse à une infraction à la Loi. Vous devez prendre les mesures nécessaires pour faire appliquer votre politique sur la vie privée dans votre entreprise, par exemple en multipliant les formations sur le sujet, en imposant des mesures disciplinaires à ceux qui ne se conforment pas aux procédures ou en limitant l’accès des employés aux renseignements personnels.
2. Protégez les renseignements personnels
Il vous incombe de protéger les renseignements personnels que vous recueillez, tout particulièrement ceux qui concernent la santé, la situation financière ou tout ce qui pourrait servir à un vol d’identité. Vous devez prendre les mesures qui s’imposent, par exemple, crypter les clés USB, les ordinateurs, les appareils mobiles et les disques durs qui contiennent des renseignements personnels.
Vous pouvez utiliser les renseignements dans un autre but que celui pour lequel vous les recueillez, par exemple, pour une campagne de marketing, à condition de demander la permission de le faire et d’indiquer que la demande est optionnelle.
3. Nommez une personne responsable de la vie privée
En vertu de la LPRPDE, vous devez désigner un responsable de la protection de la vie privée qui sera chargé de la conformité à la Loi dans votre entreprise. Ses coordonnées doivent être facilement accessibles sur votre site Web et vos employés doivent être en mesure de les donner aussi sur demande.
4. Répondez aux demandes d’information
Vos clients ont le droit de consulter, dans un délai de 30 jours, les renseignements que vous avez sur eux et qui permettent de les identifier. Ceci doit être fait gratuitement ou à peu de frais, et comprend les informations écrites et les enregistrements vidéo et audio. Si votre entreprise est sous réglementation fédérale, vos employés et les personnes qui postulent chez vous peuvent également faire une demande d’accès à leurs renseignements. Vous devez toutefois protéger les renseignements personnels de tiers dans le processus. Renseignez-vous également sur les quelques exceptions qui restreignent le droit d’accès.
5. Ne demandez pas le NAS
À moins que la loi ne l’exige, indiquez clairement sur tous vos formulaires que le numéro d’assurance social (NAS) n’est pas nécessaire pour obtenir vos produits ou services. Vous pouvez demander à voir le permis de conduire pour identifier une personne ou valider son adresse. Par contre, vous ne devriez jamais le photocopier ou noter le numéro du permis, sauf dans des circonstances bien précises.
6. Divulguez les atteintes à la sécurité des données
En vertu du Règlement sur les atteintes aux mesures de sécurité, si les renseignements personnels que vous détenez ont été compromis, vous devez :
Vous cherchez un exemple de politique?
Voici une politique sur la protection de la vie privée dont vous pouvez vous inspirer : la nôtre! Une politique comme celle-ci est essentielle pour votre site Web.
Vous avez encore des questions?
Pour en savoir plus sur la LPRPDE, contactez le Commissariat à la protection de la vie privée au 1 800 282-1376, ou parlez à un conseiller FCEI au 1 888 234-2232.