Les lois sur la protection des renseignements personnels dans le secteur privé obligent les organisations à élaborer des politiques de protection de la vie privée qui décrivent la façon dont elles recueillent, utilisent et communiquent les renseignements personnels de leur clientèle. Le processus n’a pas à être très complexe. Ci-dessous se trouve une liste de mesures qui constituent des éléments clés de conformité à la loi fédérale. Cette liste n’est pas exhaustive, mais elle vous aidera à réunir les éléments essentiels de votre future politique de protection de la vie privée.
Optez pour la simplicité
Votre politique doit être claire, concise et rédigée dans une langue simple et facile à comprendre. Elle doit fournir suffisamment d’information pour aider vos clients à comprendre la façon dont vous gérez leurs renseignements personnels.
Étudiez d’autres politiques
Vous trouverez sur Internet les politiques d’organisations comme la vôtre. Bien que le Commissariat ne recommande aucune politique en particulier, il a relevé que les politiques des entreprises des secteurs des services financiers et des télécommunications sont bien développées et méritent qu’on s’en inspire. Familiarisez-vous davantage avec les exigences de votre politique de confidentialité en étudiant les principes de l’annexe I de la LPRPDE, que vous trouverez en ligne à priv.gc.ca.
Ne recueillez que les renseignements dont vous avez besoin
Vous ne pouvez recueillir que les renseignements personnels nécessaires aux fins d’affaires – par exemple, pour gérer une relation commerciale et offrir un service continu, pour facturer des produits ou des services et en obtenir le paiement, pour vendre à un particulier ainsi que pour satisfaire à des exigences légales et réglementaires.
Faites preuve de transparence quant à la communication des renseignements personnels
Si vous avez l’intention de communiquer les renseignements de vos clients à une organisation affiliée ou partenaire ou à toute autre tierce partie, votre politique doit le mentionner. Vous n’avez pas nécessairement à les nommer toutes, mais vous devez dresser un portrait général du type d’entreprise en question. De plus, vous devez donner à vos clients l’occasion d’y consentir.
Avisez la clientèle si les renseignements sont susceptibles d’être conservés à l’extérieur du Canada
Le recours à un tiers pour le traitement de l’information, notamment une entreprise offrant des services de paie, augmente le risque que des renseignements sous votre responsabilité soient conservés à l’extérieur du Canada, et vos clients doivent être informés de cette possibilité.
Faites preuve de transparence quant à la façon dont vous protégez les renseignements
Le risque de vol d’identité et d’autres utilisations non autorisées des renseignements personnels est toujours présent et en constante transformation. La protection des renseignements personnels en votre possession est essentielle. Vos clients et votre personnel apprécieront votre franchise quant à la façon dont vous prévoyez protéger leurs renseignements contre de tels abus.
Avisez vos clients de la durée de conservation des renseignements
La LPRPDE exige que vous ne conserviez les renseignements personnels qu’aussi longtemps que nécessaire pour la réalisation de vos fins. Si une loi comme la Loi de l'impôt sur le revenu vous autorise à conserver des renseignements personnels sur une longue période, songez à le mentionner dans votre politique.
Traitez les employés séparément
D’ordinaire, les fins pour lesquelles les organisations recueillent, utilisent et communiquent les renseignements de leurs employés sont l’administration de la paie, de la retraite, des avantages et du départ, l’offre de programmes aux employés, la gestion de la propriété de l’entreprise ainsi que l’embauche et le maintien en poste de la main-d’œuvre hautement qualifiée. Comme ces fins sont différentes de celles de la collecte des renseignements des clients, elles doivent être traitées dans une section à part de votre politique.
Soyez disponible pour répondre aux questions
Indiquez la façon de joindre votre organisation pour toute demande de renseignements sur la protection de la vie privée, par courriel ou par un numéro sans frais. De plus, avisez vos clients qu’ils peuvent joindre le Commissariat à la protection de la vie privée du Canada au 1-800-282-1376 s’ils ne sont pas satisfaits de votre réponse à leur préoccupation en matière de protection de la vie privée.
Dans le billet de demain, nous discuterons de vos responsabilités en ce qui à trait aux plaintes concernant la protection de la vie privée.
Les outils pour les petites entreprises développés par le Commissariat à la protection de la vie privée du Canada sont disponibles à l’adresse suivante : http://www.priv.gc.ca/resource/sbw/2011/index_f.cfm