Politique sur la protection des renseignements personnels du Commissariat
Date d’entrée en vigueur : le 21 octobre 2008
Actualisation : septembre 2017
Sur cette page
- Objectifs de la politique
- Pourquoi nous recueillons des renseignements personnels
- Quels renseignements personnels recueillons-nous?
- Qui peut consulter vos renseignements personnels??
- Comment protégeons-nous vos renseignements personnels?
- Consentement
- Conservation et destruction des renseignements personnels
- Accès aux renseignements personnels et correction de ceux-ci
- Nos rôles et responsabilités
- Surveillance et évaluation
- Documents de référence connexes
- Questions ou plaintes
Objectifs de la politique
Dans l’exercice de notre mandat en vertu de la Loi sur la protection des renseignements personnels et de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), nous (le Commissariat à la protection de la vie privée) recueillons des renseignements personnels comme le prévoit l’article 3 de la Loi sur la protection des renseignements personnels. En tant que gardien du droit à la vie privée au Canada, le Commissariat s’engage à protéger le droit à la vie privée de toutes les personnes au sujet desquelles il a recueilli des renseignements personnels. Veuillez également consulter les conditions d’utilisation de notre site Web pour comprendre comment cette politique s’applique à notre site Web. Les renseignements personnels de nos employés sont pour leur part assujettis à la Politique sur la protection des renseignements personnels des employés du Commissariat et non à la présente politique.
Cette politique respecte la Loi sur la protection des renseignements personnels et les principes de justice naturelle.
Pourquoi nous recueillons des renseignements personnels
Nous recueillons des renseignements personnels pour diverses raisons. En général, l’information recueillie a trait aux enquêtes que nous menons ou aux demandes de renseignements que nous recevons. Il se peut également que nous recueillions de l’information à des fins administratives, par exemple, pour faire parvenir des publications à quelqu’un ou fournir une information supplémentaire que la personne aurait demandée. Des renseignements peuvent aussi être recueillis, par exemple, dans le cadre d’une consultation publique.
Nous ne pouvons utiliser vos renseignements personnels qu’aux fins pour lesquelles ils ont été recueillis ou pour une utilisation conforme à ces fins, ou pour les fins énumérées à l’article 8 de la Loi sur la protection des renseignements personnels.
Certains des outils électroniques que nous utilisons pour mieux servir les Canadiens prévoient la collecte de renseignements personnels. Notre Formulaire de plainte en ligne exige des renseignements personnels plus détaillés. Il comprend ainsi son propre Énoncé de confidentialité. Pour en savoir davantage sur les techniques de collecte et d’utilisation des renseignements personnels de nos outils en ligne, veuillez consulter les conditions d’utilisation de notre site Web.
Quels renseignements personnels recueillons-nous?
Nous ne recueillons que des renseignements personnels qui sont liés directement à un de nos programmes ou à une de nos activités. Dans la mesure du possible, ces renseignements seront recueillis directement auprès de la personne en cause. La quantité et le type de renseignements recueillis se limiteront à ce qui est nécessaire aux fins déterminées. Nous recueillons seulement ce dont nous avons besoin.
Par exemple, nous pouvons demander votre nom et vos coordonnées et recueillir votre opinion dans le cadre d’une enquête ou d’une consultation. Nous pouvons aussi recueillir votre adresse IP si vous visitez notre site Web.
Il arrive que nous obtenions plus d’information que nécessaire. Par exemple, certaines personnes indiquent leur numéro d’assurance sociale sur leur demande de renseignements généraux. Nous vous encourageons fortement à ne pas fournir d’information au-delà de ce qui est nécessaire.
Nous pouvons également recueillir des renseignements personnels d’autres sources, au besoin, y compris des témoins, des employeurs, du gouvernement ou à partir de dossiers et registres organisationnels.
Le fichier de renseignements personnels (FRP) constitue une description des renseignements personnels sous le contrôle d’une institution fédérale. Les renseignements personnels décrits dans le FRP ont été utilisés, sont utilisés ou sont disponibles à des fins administratives ou sont classés de façon à pouvoir être récupérés le plus efficacement possible, soit par le nom de la personne, d’un numéro d’identification ou d’un symbole. Le FRP décrit comment les renseignements personnels sont recueillis, utilisés, divulgués, conservés et/ou éliminés dans le cadre de l’administration d’un programme ou d’une activité d’une institution fédérale.
Qui peut consulter vos renseignements personnels?
Nous ne communiquerons pas vos renseignements personnels sans votre consentement, à moins que le paragraphe 8(2) de la Loi sur la protection des renseignements personnels ne l’autorise. Dans le cas d’une communication autorisée, nous tenterons de ne communiquer que les renseignements précis qui sont nécessaires dans les circonstances et, dans la mesure du possible, nous informerons la personne de la communication.
L’accès aux renseignements personnels au sein du Commissariat sera limité aux employés qui ont besoin de l’information pour s’acquitter de leurs tâches. Ces employés traiteront les renseignements de façon strictement confidentielle et ne donneront accès à ces renseignements à aucune personne non autorisée. Le niveau d’accès aux renseignements personnels sera accordé aux employés selon le principe du besoin de savoir.
Toute personne que nous embauchons en vertu d’un contrat ou autrement pour exécuter des fonctions en notre nom doit respecter les dispositions de la Loi sur la protection des renseignements personnels, de même que la présente politique et les procédures internes connexes. Toute violation d’une partie de l’entente contractuelle peut entraîner l’annulation du contrat.
Comment protégeons-nous vos renseignements personnels?
Dans toute organisation, le défaut de protéger les renseignements personnels peut accroître le risque d’atteinte à la vie privée. Ces atteintes peuvent entraîner divers problèmes comme entacher la réputation de la personne ou permettre la fraude ou un vol d’identité.
Nous protégerons les renseignements personnels contre la perte ou le vol, l’accès, l’utilisation ou la communication non autorisés, la modification ou la destruction, par des mesures administratives, techniques et physiques appropriées de sécurité et de protection.
Le niveau de protection accordé aux renseignements personnels dépend des éléments suivants :
- le degré de sensibilité des renseignements personnels;
- la quantité, la distribution et le format de l’information;
- la méthode de conservation.
Nous respectons la Politique sur la sécurité du gouvernement du Canada, ainsi que toutes les autres directives et lignes directrices ayant trait à la sécurité de la technologie de l’information adoptées par les organismes fédéraux pertinents.
Information additionnelle sur nos méthodes de protection :
- formation des employés sur la confidentialité et la protection des renseignements personnels;
- octroi de l’accès à l’information uniquement aux personnes qui ont besoin de savoir;
- filtrage des employés actuels et potentiels et vérifications de sécurité en fonction de la sensibilité des renseignements que ces employés traiteront;
- recours à des mesures techniques comme les mots de passe, les pistes de vérification, le chiffrement, les coupe-feux et d’autres mesures de sécurité techniques;
- recours à des mesures physiques comme le verrouillage des classeurs, la restriction de l’accès à nos bureaux et aux autres lieux où des renseignements personnels sont entreposés.
Nous utiliserons des moyens contractuels ou autres pour veiller à ce que les tierces parties assurent un degré de protection similaire aux renseignements personnels qu’elles traitent.
Consentement
Dans la mesure du possible, nous essayons d’obtenir le consentement de la personne avant de recueillir ses renseignements personnels. La forme du consentement peut varier selon les circonstances et le type de renseignements recherchés. Le consentement peut être explicite ou implicite et peut être fourni directement par la personne ou par son représentant autorisé.
Nous préférons obtenir un consentement explicite, que ce soit verbalement, par voie électronique ou par écrit. Le consentement implicite peut être raisonnablement déduit de l’action ou l’inaction d’une personne, par exemple, le fait de fournir un nom et une adresse pour recevoir une publication ou un nom et un numéro de téléphone pour obtenir une réponse à une question. Pour déterminer le type de consentement approprié, nous tenons compte de la sensibilité des renseignements personnels en cause, des fins auxquelles ils sont recueillis et des attentes raisonnables de la personne. Si nous voulons utiliser les renseignements personnels à une nouvelle fin, nous décrirons l’utilisation prévue et demanderons à nouveau le consentement.
Il n’est pas toujours possible en cours d’enquête d’obtenir le consentement de la personne pour recueillir, utiliser ou communiquer ses renseignements personnels. Tant la Loi sur la protection des renseignements personnels que la LPRPDE permettent de communiquer des renseignements personnels aux fins d’une enquête si ceux-ci sont nécessaires à l’enquête.
Nous n’utiliserons pas vos renseignements personnels sans votre consentement, sauf :
- s’ils doivent servir aux mêmes fins que celles pour lesquelles l’information a initialement été recueillie ou compilée;
- si l’utilisation est compatible avec cette fin;
- s’ils doivent servir à une fin prévue au paragraphe 8(2) de la Loi sur la protection des renseignements personnels.
Conservation et destruction des renseignements personnels
Nous devons nous assurer que tous les renseignements personnels sont traités selon un cycle de vie préétabli. En conformité avec la Loi sur la protection des renseignements personnels et son règlement d’application et la Loi sur la Bibliothèque et les Archives du Canada, les renseignements personnels que nous utilisons pour prendre une décision concernant une personne seront conservés pendant au moins deux ans après cette décision. Cette période est suffisante pour permettre à quelqu’un d’intenter un recours juridique et d’exercer tous ses droits en vertu de la Loi sur la protection des renseignements personnels.
Nous conserverons les renseignements personnels conformément aux périodes de conservation maximales établies dans la Loi sur la Bibliothèque et les Archives du Canada.
La conservation, l’élimination et la destruction des renseignements personnels sont exécutées conformément à la Directive sur les pratiques relatives à la protection de la vie privée du gouvernement du Canada. Veuillez consulter les Sources de renseignements du gouvernement fédéral et sur les fonctionnaires fédéraux - Commissariat pour en savoir davantage.
Accès aux renseignements personnels et correction de ceux-ci
Vous pouvez avoir accès à vos renseignements personnels ou les corriger de manière informelle, c’est-à-dire sans utiliser la Loi sur la protection des renseignements personnels. Toutefois, vous avez le droit de demander officiellement d’avoir accès à vos renseignements personnels ou de les corriger en vertu de la Loi sur la protection des renseignements personnels. Vous avez aussi le droit en vertu de la Loi sur l’accès à l’information de demander officiellement l’accès à l’information contenue dans les dossiers du Commissariat qui pourrait comprendre vos renseignements personnels.
Seules les demandes officielles d’accès aux renseignements personnels en vertu de la Loi sur la protection des renseignements personnels vous donnent le droit de faire une plainte au commissaire spécial à la protection de la vie privée si vous n’êtes pas satisfait de la décision initiale. De même, vous pouvez demander une correction de vos renseignements personnels uniquement si ceux-ci ont été fournis en vertu d’une demande officielle d’accès en vertu de la Loi sur la protection des renseignements personnels. En outre, seules les demandes officielles d’accès à l’information en vertu de la Loi sur l’accès à l’information vous donnent le droit de faire une plainte au commissaire à l’information si vous êtes insatisfait de la réponse à votre demande.
Les employés du Commissariat doivent aiguiller les personnes qui souhaitent officiellement accéder à leurs renseignements personnels ou les corriger vers la Direction de l’accès à l’information et de la protection des renseignements personnels (AIPRP) du Commissariat.
Lorsque nous recevons une demande officielle en vertu de la Loi sur la protection des renseignements personnels ou de la Loi sur l’accès à l’information, nous confions à la Direction de l’AIPRP le soin d’y répondre conformément à la loi régissant la demande. Veuillez consulter notre Guide concernant les procédures et la conformité en matière d’accès à l’information et de protection des renseignements personnels pour en savoir davantage à ce sujet.
Nous déployons tous les efforts nécessaires pour que l’information utilisée aux fins d’une décision concernant directement une personne soit aussi précise, à jour et complète que possible. Cela s’applique également aux renseignements communiqués aux tierces parties.
Information additionnelle sur l’accès aux renseignements personnels et la correction de ceux-ci :
Lorsque la demande d’accès n’est pas assujettie à la Loi sur la protection des renseignements personnels ni à la Loi sur l’accès à l’information (p. ex., une demande d’accès informelle), nous donnons au demandeur une possibilité raisonnable d’examiner ses renseignements personnels, dans un délai raisonnable. S’il demande des copies, nous les lui fournissons lorsque c’est possible.
Il est possible que des renseignements personnels ne puissent être fournis parce qu’ils ont été détruits, effacés ou rendus anonymes en vertu des politiques de conservation des renseignements. Dans la mesure du possible, nous fournirons à la personne les raisons pour lesquelles les renseignements personnels n’existent plus.
Dans la plupart des cas, nous nous en remettrons à la personne pour nous assurer que les renseignements personnels factuels sont exacts, à jour et complets. Une personne peut demander une correction de ses renseignements personnels si ceux-ci ont été utilisés aux fins d’une décision qui la touche directement. Si la personne peut prouver que ses renseignements personnels sont inexacts ou incomplets, nous les corrigerons. Les demandes de correction d’opinions devraient normalement être acceptées lorsque ces opinions ont été exprimées par le demandeur et qu’elles ne concernent pas une autre personne. Les demandes de correction d’opinions exprimées par d’autres à propos d’une personne ne seront habituellement pas acceptées à moins qu’il soit raisonnable de croire que la source de l’opinion n’était pas fiable. Si la source de l’opinion convient que son opinion était fondée sur de l’information inexacte, l’opinion peut être corrigée.
Si la contestation de l’exactitude des renseignements personnels n’est pas résolue à la satisfaction de la personne, nous ajouterons une note, à sa demande, aux renseignements personnels en question indiquant qu’une correction a été demandée, mais pas acceptée. La personne a le droit de rédiger sa version des faits afin que celle-ci soit versée dans le dossier.
Si l’information en question a été communiquée à une tierce partie ou utilisée par une tierce partie aux fins d’une décision administrative concernant la personne dans les deux ans précédant la correction ou l’ajout de la note, la personne peut demander que cette partie soit informée de la correction ou de la note.
Nos rôles et responsabilités
Nous sommes responsables des renseignements personnels recueillis, conservés, utilisés, communiqués et détruits dans le cadre de l’exécution de notre mandat. Nous continuerons d’élaborer des politiques et des pratiques pour nous assurer que ces renseignements sont traités en stricte conformité avec la Loi sur la protection des renseignements personnels. Le chef de la protection des renseignements personnels du Commissariat est chargé de surveiller l’application de ces politiques et pratiques pour en assurer le respect, notamment :
- en offrant la même formation à tout le personnel du Commissariat (y compris les employés temporaires et les entrepreneurs), comme le précise la Politique sur la protection des renseignements personnels des employés du Commissariat, la présente politique et les attentes du Commissariat relativement au traitement des renseignements personnels;
- en assurant une communication ouverte, complète et opportune avec les employés et les autres personnes au sujet des politiques, des pratiques et des attentes du Commissariat relativement au traitement des renseignements personnels;
- en établissant des normes pour la classification de la sensibilité des renseignements personnels afin de déterminer le niveau de protection approprié pour ces renseignements;
- en travaillant avec l’agent de sécurité du Ministère pour que les renseignements personnels soient à l’abri de toute perte ainsi que de l’accès, de l’utilisation, de la communication ou de la destruction inappropriés;
- en mettant en application des systèmes qui garantissent que seuls les employés dont les fonctions exigent l’accès aux renseignements personnels sont autorisés à avoir accès à l’information en question;
- en incluant des dispositions particulières dans les contrats ou les autres arrangements conclus avec des tierces parties, qui exigent le respect de la Loi sur la protection des renseignements personnels, ainsi que de la présente politique et des procédures internes;
- en veillant à ce que des procédures soient en place pour que les personnes puissent solliciter l’accès à leurs renseignements personnels et demander que des corrections y soient apportées, et déposer des plaintes concernant la gestion de leurs renseignements personnels;
- en s’assurant que des procédures sont en place pour aviser les personnes de toute collecte, conservation, utilisation, communication ou destruction inappropriées de leurs renseignements personnels;
- en surveillant le degré de conformité à la présente politique et, au besoin, en prenant des mesures pour corriger toute lacune.
Employés — Les membres du personnel qui recueillent des renseignements personnels au nom du Commissariat devront expliquer à quelles fins l’information est obtenue. S’ils ne peuvent le faire, ils seront tenus d’aiguiller la personne vers un autre employé qui pourra expliquer la raison de la collecte. Il incombe à chaque employé du Commissariat de s’informer au sujet de ses obligations en vertu de la présente politique et de la Loi sur la protection des renseignements personnels. Les employés doivent signaler toute violation de la Politique ou de la Loi à leur gestionnaire ou au Chef de la protection des renseignements personnels du Commissariat.
Gestionnaires et superviseurs – En plus des responsabilités susmentionnées, les gestionnaires et superviseurs doivent informer leurs employés de l’obligation de respecter la Politique et la Loi. Ils doivent également examiner toute question portée à leur attention au sujet de la Politique ou de la Loi ou faire enquête à ce sujet. Au besoin, les gestionnaires et les superviseurs doivent aviser le directeur des Ressources humaines ou l’agent de sécurité du Ministère, travailler de concert avec lui ou lui transmettre certaines questions.
Chef de la protection des renseignements personnels du Commissariat — Le chef de la protection des renseignements personnels du Commissariat fournira des conseils et des directives aux cadres supérieurs, aux gestionnaires, aux superviseurs et aux employés en ce qui concerne le traitement par le Commissariat des renseignements personnels. Il servira également de premier point de contact pour les personnes cherchant à obtenir de l’information sur le traitement de leurs renseignements personnels par le Commissariat ou ayant des inquiétudes à cet égard. Le chef de la protection des renseignements personnels est le directeur de l’AIPRP, et il relève du commissaire à la protection de la vie privée du Canada.
Directeur de l’AIPRP — En plus de toutes les responsabilités susmentionnées, le directeur de l’AIPRP est tenu d’appliquer de manière appropriée la Loi sur la protection des renseignements personnels et les politiques ayant trait aux renseignements personnels et à l’accès à l’information.
Toute violation de la présente politique, commise intentionnellement ou par négligence, peut entraîner des mesures disciplinaires pouvant aller jusqu’au renvoi ou à l’annulation de l’association avec le Commissariat. Des sanctions légales peuvent aussi être prises, au besoin.
Surveillance et évaluation
Notre programme de vérification interne inclut également la vérification de la conformité à la présente politique. Nous effectuons des vérifications périodiques de tous nos programmes et services. Les résultats des vérifications internes sont transmis au commissaire à la protection de la vie privée.
Documents de référence connexes
Les lois, politiques et lignes directrices suivantes devraient être lues parallèlement à la présente politique :
- Loi sur la protection des renseignements personnels et règlement d’application
- Loi sur l’accès à l’information et règlement d’application
- Loi sur la Bibliothèque et les Archives du Canada
- Politique sur la protection de la vie privée
- Politique sur la sécurité du gouvernement
- Directive sur les pratiques relatives à la protection de la vie privée
- Directive sur les demandes de renseignements personnels et de correction des renseignements personnels
- Directive sur les pratiques relatives à la protection de la vie privée - Annexe E : Norme sur la protection de la vie privée en matière de Web analytique
- Directive sur les pratiques relatives à la protection de la vie privée - Annexe B : Procédures obligatoires pour les atteintes à la vie privée
- Accès à l’information et protection des renseignements personnels — Guide de procédures et de conformité du Commissariat
Questions ou plaintes
Les questions ou plaintes peuvent être portées à l’attention de n’importe quel employé du Commissariat. Si l’employé ne peut aider, il doit confier l’affaire à son superviseur immédiat ou à un membre de la direction.
Si vous avez des questions relativement à la présente politique ou à la manière dont nous gérons les renseignements personnels, vous pouvez aussi communiquer avec :
Chef de la protection des renseignements personnels/Directeur de l’AIPRP
819-994-5970
1-800-282-1376
cpo-rpvp@priv.gc.ca
Lorsqu’une personne est insatisfaite des mesures pouvant avoir été prises par le Commissariat pour corriger la situation ou des explications fournies, elle est informée de son droit de déposer une plainte en vertu de la Loi sur la protection des renseignements personnels et reçoit des directives sur la façon de le faire. Veuillez prendre note que nous ne menons pas d’enquête sur la conformité de nos propres mesures à la Loi sur la protection des renseignements personnels. Toute plainte à ce sujet fait l’objet d’une enquête indépendante par le commissaire spécial à la protection de la vie privée.
- Date de modification :