Réponse aux demandes d’accès à l’information en vertu de la LPRPDE
Ce que les entreprises doivent savoir
Introduction
Si vous êtes une organisation visée par la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), il vous incombe de répondre aux demandes d’accès à des renseignements personnels, au titre de la LPRPDE.
De leur côté, les personnes avec lesquelles vous interagissez (clients et, dans le cas de travaux ou d’entreprises fédéraux, employés) ont le droit, au titre de cette loi régissant la protection des renseignements personnels dans le secteur privé, de demander un accès aux renseignements personnels que vous détenez à leur sujet. Elles peuvent également vous demander de corriger tout renseignement incomplet ou erroné.
Le présent document d’orientation explique ce que la LPRPDE dit au sujet de l’accès aux renseignements personnels, de la façon de procéder et de ce que vous devez faire pour vous conformer à cet aspect de la loi.
Un élément essentiel à l’accès est la compréhension de ce qu’est un renseignement personnel. Le terme « renseignement personnel » est défini de façon large dans la LPRPDE. Par exemple, les historiques de transactions financières, les historiques de crédit, les opinions d’autres personnes au sujet de quelqu’un, les photographies d’une personne, les empreintes digitales, la signature vocale ou le groupe sanguin d’une personne, un enregistrement vidéo ou audio où on voit ou entend une personne – ce ne sont que quelques exemples de renseignements qui peuvent être considérés comme étant personnels. Même si le principal objectif du présent document est l’accès aux renseignements personnels qui sont conservés sous forme écrite, le droit d’accès s’applique également aux renseignements personnels conservés sous d’autres formes. Pour obtenir davantage d’information sur ce qui peut constituer un renseignement personnel, veuillez consulter notre Bulletin d’interprétation concernant les renseignements personnels.
Le document d’orientation peut aussi aider les personnes à comprendre leur droit à la protection de la vie privée et ce qu’elles peuvent attendre des organisations afin de garantir pleinement ce droit.
Pour obtenir davantage d’information sur les organisations qui sont visées par la LPRPDE et sur l’application de la loi en général, veuillez consulter le document Guide à l’intention des entreprises et des organisations – Protection des renseignements personnels : vos responsabilités.
Un droit d’accès général
La LPRPDE contient dix principes relatifs à l’équité dans le traitement des renseignements, dont un (principe 4.9) est lié au droit d’accès d’une personne aux renseignements personnels que vous détenez à son sujet.
De façon générale, la LPRPDE vous oblige à donner aux personnes un accès à leurs renseignements personnels sur demande. Vous devez le faire entièrement et rapidement, à peu ou pas de frais pour le demandeur.
La LPRPDE permet aussi aux demandeurs de contester l’exactitude et le caractère exhaustif des renseignements personnels que vous détenez et d’en demander la modification s’ils peuvent démontrer qu’ils sont inexacts ou incomplets. Le cas échéant, ils ont aussi le droit de demander que l’information modifiée soit envoyée à toute partie à laquelle vous avez communiqué l’information initiale.
Il y a des exceptions à ce droit général d’accès. Dans certains cas, par exemple, vous pouvez avoir un pouvoir discrétionnaire concernant la question de fournir une partie ou la totalité de l’information demandée. Dans d’autres cas, la loi vous interdit de communiquer l’information.
Les deux catégories d’exemption sont décrites plus loin dans le présent document.
Le principe d’accès
La LPRPDE exige que vous répondiez de façon précise quand vous recevez une demande de renseignements personnels d’une personne. Sous réserve uniquement des exemptions décrites dans la prochaine section, vous devez :
- informer les demandeurs du fait que vous avez les renseignements personnels les concernant qu’ils demandent;
- leur expliquer comment ils sont ou ont été utilisés et fournir une liste des organisations auxquelles les renseignements ont été communiqués sur demande;
- être prêt à donner aux personnes un accès à leurs renseignements personnels, à un minimum de frais ou sans frais, dans un format qui est généralement compréhensible et qui est adapté aux handicaps sensoriels;
- répondre aux demandes dans les 30 jours civils, même s’il y a des circonstances précises (décrites plus loin dans le présent document) dans lesquelles vous avez le droit de prendre plus de temps;
- corriger ou modifier tout renseignement personnel inexact ou incomplet et, s’il y a lieu, transmettre l’information modifiée à toute partie à laquelle vous pourriez avoir envoyé l’information initiale;
- si vous n’êtes pas d’accord pour dire que l’information était inexacte ou incomplète, conserver un dossier du litige non réglé et, s’il y a lieu, transmettre ce dossier à toute partie à laquelle vous pourriez avoir communiqué les renseignements initiaux.
Exemptions
La LPRPDE permet aux organisations de refuser l’accès aux renseignements personnels seulement dans certaines circonstances. Plus précisément, une organisation doit donner l’accès aux renseignements personnels, sauf si :
- La communication révélerait des renseignements personnels sur un tiers (paragraphe 9(1)). Toutefois, si l’information concernant le tiers peut être retranchée ou noircie, vous devez fournir l’information au demandeur après avoir barré ou supprimé ces renseignements sur un tiers.
Cette exemption ne s’applique pas si le tiers consent à la communication de l’information ou si la personne a besoin des renseignements parce que la vie, la santé ou la sécurité d’une personne est en danger (paragraphe 9(2)). - L’information est protégée par le secret professionnel liant l’avocat à son client (alinéa 9(3)a)).
- La communication de l’information révélerait des renseignements commerciaux confidentiels (alinéa 9(3)b)). Toutefois, si vous pouvez régler le problème en rayant ou en retranchant une partie de l’information, vous devez fournir au demandeur un accès au reste de ses renseignements personnels.
- La communication de l’information risquerait vraisemblablement de nuire à la vie ou à la sécurité d’une autre personne (alinéa 9(3)c)). Là encore, si vous pouvez régler ce problème en retranchant ces renseignements, vous devez fournir au demandeur un accès au reste de ses renseignements personnels.
- Les renseignements ont été recueillis dans le cadre d’une enquête sur la violation d’un accord ou la contravention du droit fédéral ou provincial, et il serait raisonnable de s’attendre à ce que la collecte effectuée au su de l’intéressé ou avec son consentement compromette l’exactitude des renseignements ou l’accès aux renseignements en question (alinéa 9(3)c.1)).
- Les renseignements ont été fournis uniquement à l’occasion d’un règlement officiel des différends (alinéa 9(3)d)).
- Les renseignements ont été créés en vue de faire une divulgation au titre de la Loi sur la protection des fonctionnaires divulgateurs d’actes répréhensibles (souvent appelée loi sur les dénonciateurs) ou dans le cadre d’une enquête menée sur une divulgation en vertu de cette loi (alinéa 9(3)e)).
Circonstances exceptionnelles
Il peut y avoir des circonstances exceptionnelles où vous devez divulguer des renseignements personnels sans le consentement d’une personne afin de vous conformer à une assignation à témoigner, à un mandat ou à une ordonnance de la cour. De la même façon, vous pouvez communiquer des renseignements personnels sans le consentement de l’intéressé à une organisation gouvernementale ou à un organisme d’enquête à des fins comme la sécurité nationale, la défense du Canada ou la lutte contre le terrorisme ou l’application du droit ou si vous soupçonnez quelqu’un de blanchiment d’argent (alinéa 7(3)c), sous-alinéas 7(3)c.1)(i) ou 7(3)c.1)(ii) ou alinéas 7(3)c.2) ou 7(3)d)).
Il est possible que l’intéressé demande un accès à des renseignements liés à cette communication. Si vous recevez une demande pour ce type de renseignements, vous devez en informer l’organisation à laquelle vous avez communiqué les renseignements personnels. L’organisation a 30 jours pour vous répondre.
Vous ne pouvez pas répondre à la demande d’accès de la personne avant d’avoir reçu une réponse de l’organisation ou d’avoir attendu 30 jours après que vous l’avez informée de la demande, selon le premier des deux cas à survenir.
Si l’organisation s’oppose à la communication de l’information à la personne pour des motifs admissibles, vous ne devez pas la communiquer. En outre, vous ne pouvez pas révéler que vous avez communiqué avec l’organisation ni qu’elle s’est opposée à la communication (paragraphes 9(2.1) à 9(2.4)).
Vous devez aussi informer immédiatement la commissaire à la protection de la vie privée du Canada, par écrit, de votre refus de communiquer l’information.
Répondre à des demandes d’accès
Après de nombreuses années d’expérience avec la LPRPDE, le Commissariat a élaboré le présent guide étape par étape de pratiques exemplaires pour vous aider à répondre aux demandes d’accès aux renseignements personnels.
1. Pour commencer
- La demande doit être présentée par écrit. Vous pourriez devoir demander des renseignements supplémentaires à la personne afin de vérifier son identité ou de trouver l’information.
- Certaines personnes pourraient avoir besoin d’aide pour préparer leur demande. Vous devez les aider si elles en font la demande, et vous pouvez leur demander des renseignements supplémentaires pour faciliter le processus.
- Inscrivez la date de réception de la demande.
- Examinez la demande et communiquez avec la personne si vous avez besoin de préciser quoi que ce soit.
2. Analyser la demande
- Analysez la demande pour vous assurer de savoir ce que la personne veut.
- Repérez toutes les sources et tous les dossiers qui pourraient contenir les renseignements personnels que la personne demande.
- Récupérez et examinez les dossiers déterminés pour confirmer qu’ils contiennent réellement les renseignements personnels demandés.
- Faites une photocopie des documents s’il s’agit de documents en copie papier et numérotez-les. Une bonne idée serait de numéroter toutes les pages du dossier parce que cela permet au demandeur de voir si des documents ont été supprimés ou exemptés de la communication.
- L’accès devrait être offert gratuitement ou à un minimum de frais. Si vous envisagez d’exiger des frais, donnez à la personne une estimation du coût et assurez-vous d’avoir son consentement avant d’aller de l’avant.
- Comme mentionné dans la section concernant les exemptions aux règles d’accès, il y a des circonstances dans lesquelles la LPRPDE exige que vous informiez une organisation gouvernementale d’une demande d’accès à des renseignements personnels. Vous devez le faire par écrit à cette étape.
3. Appliquer les exemptions
- À ce stade, vous devriez cerner tout renseignement personnel que vous retenez en raison des exemptions décrites précédemment.
- Si des renseignements exemptés du droit d’accès peuvent être retranchés, faites-le et donnez au demandeur l’accès au reste des renseignements demandés.
- Si vous appliquez l’une des exemptions reconnues par la LPRPDE, vous devez donner au demandeur une explication écrite de votre décision, énoncer les raisons et informer la personne de son droit de porter plainte auprès de la commissaire à la protection de la vie privée.
- Si vous décidez de ne pas donner à une personne l’accès à ses renseignements personnels pour les motifs énoncés à l’alinéa 9(3)c.1), vous devez l’informer de la raison et en informer la commissaire à la protection de la vie privée.
- Tel que mentionné précédemment, il peut y avoir des circonstances exceptionnelles dans lesquelles vous ne devez pas fournir à une personne les renseignements concernant une communication antérieure à son sujet faite pour des raisons de sécurité nationale, de défense du Canada, de lutte contre le terrorisme, d’application du droit ou en raison de soupçons de blanchiment d’argent. Cependant, dans ces cas, vous devez informer immédiatement et par écrit la commissaire à la protection de la vie privée du refus.
4. Fournir un accès aux renseignements
- Quand vous êtes prêt à donner les renseignements au demandeur (avec les retraits nécessaires et les libellés bien analysés), faites des photocopies des documents qui doivent être communiqués et assurez-vous que les copies sont claires et lisibles.
- Dans les cas où un grand nombre de documents sont visés, vous pouvez envisager d’inviter le demandeur à examiner simplement les documents dans vos locaux. Certains demandeurs ne veulent pas recevoir des piles de documents. Ils savent exactement ce qu’ils cherchent et n’ont pas besoin de tous les documents.
- Si vous avez utilisé des acronymes, des abréviations et des codes, vous devriez vous assurer que le sens est clair. En raison d’un handicap, certaines personnes pourraient demander à recevoir leurs renseignements personnels sous d’autres formes, comme des documents audio pour les personnes ayant un handicap visuel. Vous devriez accéder à cette demande si l’information existe déjà dans ce format ou si la conversion est raisonnable et nécessaire pour qu’une personne puisse exercer ses droits au titre de la LPRPDE.
- Sur demande, vous devriez aussi expliquer comment les renseignements personnels ont été utilisés par votre organisation. S’ils ont été communiqués à des tiers, fournissez une liste au demandeur. Si cela n’est pas possible, indiquez les organisations auxquelles les renseignements pourraient avoir été communiqués.
- Si les renseignements personnels en cause sont des renseignements médicaux de nature délicate, vous pouvez envisager de fournir un accès par l’entremise du praticien du demandeur, comme un médecin ou un psychiatre.
- Si des renseignements contenus dans un document sont conservés dans un format différent de celui dans lequel ils ont été recueillis au départ, il est admissible de fournir simplement un accès dans cet autre format. Par exemple, si un appel a été enregistré, vous pouvez fournir l’accès à un registre de la conversation téléphonique. Vous pourriez aussi communiquer l’enregistrement sur un disque.
- Incluez le nom et les coordonnées de la personne de votre organisation qui peut répondre à toute question que le demandeur pourrait avoir.
- Conservez une copie des documents tels qu’ils ont été communiqués, conformément aux politiques de conservation applicables.
- Vous devrez aussi conserver les renseignements personnels originaux qui étaient visés par la demande aussi longtemps que cela sera nécessaire pour que les personnes puissent exercer leurs droits au titre de la LPRPDE.
- Vous devriez informer les personnes de leur droit de porter plainte auprès de la commissaire à la protection de la vie privée pour tout problème lié à leur demande.
5. Prolongations du délai
- Vous êtes tenu de répondre à la demande d’accès aux renseignements personnels dans les 30 jours civils suivant sa réception. Plus précisément, si vous avez l’information, vous devez la fournir dans ce délai ou informer la personne si vous ne l’avez pas. Vous ne pouvez pas simplement accuser réception de la demande dans les 30 jours et prendre davantage de temps pour la traiter.
- LaLPRPDE permet seulement une prolongation de ce délai de 30 jours dans des circonstances précises :
- Si le fait de répondre à la demande d’accès interférerait de façon déraisonnable avec les activités de votre organisation;
- Si le fait de répondre à la demande exigerait que vous procédiez à des consultations faisant en sorte qu’il soit impossible de respecter le délai de 30 jours;
- Si une personne exige les renseignements dans un autre format et qu’il faut beaucoup de temps pour procéder à la conversion.
- Dans de tels cas, vous pouvez prendre jusqu’à 30 jours de plus ou le temps nécessaire pour convertir les renseignements personnels dans un autre format pour répondre à la demande. Toutefois, vous devez communiquer avec la personne dans les 30 premiers jours pour expliquer la raison du retard et informer la personne de son droit de porter plainte auprès de la commissaire à la protection de la vie privée au sujet du retard.
6. Corriger les erreurs
- À la réception de l’information, le demandeur pourrait être en mesure de démontrer que les renseignements personnels contenus dans vos dossiers sont incomplets ou erronés. Le cas échéant, corrigez ou modifiez le dossier.
- Si les renseignements personnels inexacts ont déjà été communiqués à des tiers, il pourrait être nécessaire de les informer immédiatement de la correction pour éviter qu’ils fassent quoi que ce soit en s’appuyant sur les renseignements inexacts.
- Si le demandeur et vous ne vous entendez pas sur la nécessité d’apporter des modifications, préparez un dossier du litige non réglé et, s’il y a lieu, transmettez cette information à tout tiers à qui vous avez communiqué l’information initiale.
Pour obtenir davantage d’information, veuillez communiquer avec le Commissariat
Commissariat à la protection de la vie privée du Canada
30, rue Victoria
Gatineau (Québec)
K1A 1H3
Numéro sans frais : 1 800 282-1376
Téléphone : 819-994-5444
Télécopieur : 819-994-5424
ATS : 819-994-6591
- Date de modification :