Protection des renseignements personnels : achat et vente de cannabis
Décembre 2018
Sur cette page
Le présent document est adapté de l’orientation élaborée par le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique.
But du présent document d’orientation
Le 17 octobre 2018, le cannabis est devenu légal au Canada. La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) s’applique à toute organisation privée au Canada qui collecte, utilise ou divulgue des renseignements personnels dans le cadre d’activités commerciales, sauf lorsque les activités se déroulent entièrement dans une province où les lois sur la protection des renseignements personnels dans le secteur privé sont « essentiellement similaires » (actuellement le Québec, l’Alberta et la Colombie-Britannique)Note de bas de page 1.
Le cannabis est illégal dans la plupart des pays en dehors du Canada. Les renseignements personnels des consommateurs de cannabis sont donc très sensibles. Par exemple, certains pays peuvent refuser l’entrée à des personnes s’ils savent qu’elles ont acheté du cannabis, même légalement. Le présent document d’orientation vise à aider les détaillants et les acheteurs de cannabis à comprendre leurs droits et obligations en vertu de la LPRPDE.
Renseignements personnels
La LPRPDE définit les renseignements personnels comme des « renseignements sur une personne identifiable ». Il s’agit d’une définition large pouvant inclure les renseignements suivants : nom, date de naissance, numéro de téléphone, adresse, numéro de permis de conduire, renseignements médicaux, description physique, numéro d’assurance sociale, renseignements financiers (p. ex. numéro de carte de crédit), etc.
Ne recueillir que ce qui est nécessaire
La LPRPDE limite la collecte de renseignements personnels par les organisations, y compris les détaillants de cannabis du secteur privé, à ceux qui sont nécessaires aux fins déterminées par l’organisation. Toutefois, le paragraphe 5(3) de la LPRPDE exige que les objectifs visés par la collecte soient conformes à ce qu’une personne raisonnable estimerait acceptable dans les circonstances, ce qui signifie que le caractère sensible de l’information et le contexte de sa collecte sont quelques-uns des facteurs à considérer. Pour plus d’information, consultez
La LPRPDE exige généralement que les détaillants obtiennent un consentement valable avant de recueillir des renseignements personnels, sous réserve d’exceptions restreintes. Cela signifie, en partie, que les détaillants doivent informer les personnes des renseignements personnels recueillis, des parties auxquelles ils seront divulgués, des objectifs de leur collecte, et des risques résiduels de préjudice. Pour obtenir de plus amples renseignements, voir nos Lignes directrices pour l’obtention d’un consentement valable.
Comme les exigences peuvent changer d’une province à l’autre, les détaillants de cannabis devraient clairement indiquer l’information qu’ils doivent recueillir pendant les transactions en personne. Par exemple, il se peut que des détaillants de cannabis dans une province donnée demandent et examinent une pièce d’identité, telle qu’un permis de conduire, afin de s’assurer que l’acheteur a l’âge requis dans la province, il n’est pas nécessaire toutefois d’enregistrer ces renseignements. De la même façon, les renseignements médicaux ou d’autres renseignements personnels ne sont souvent pas nécessaires pour acheter du cannabis ou des produits à base de cannabis en personne.
Dans certaines circonstances, un détaillant de cannabis pourrait être autorisé à recueillir des renseignements personnels supplémentaires. Par exemple, un achat effectué avec une carte de crédit impliquerait la collecte du numéro de carte de crédit et du nom du détenteur de la carte.
De même, si un détaillant propose l’adhésion à un club ou distribue une liste de diffusion, il pourrait recueillir les adresses électroniques des abonnés. Les détaillants devraient seulement envisager de recueillir le minimum de renseignements personnels requis pour les listes de diffusion ou les adhésions.
Si un détaillant envisage d’utiliser la vidéosurveillance pour surveiller le magasin, il est important de noter que l’enregistrement de l’image ou de la voix d’une personne constitue une collecte de renseignements personnels. Il faut bien noter que la LPRPDE requiert généralement le consentement avant la collecte de renseignements personnels. Les détaillants doivent utiliser la vidéosurveillance seulement si des mesures moins intrusives pour la vie privée ne peuvent atteindre les mêmes résultats. Si les détaillants choisissent d’utiliser la vidéosurveillance, ils doivent en informer les personnes par des panneaux clairement visibles avant qu’elles n’entrent dans le magasin. Ainsi, les personnes peuvent choisir de magasiner ailleurs si elles ne souhaitent pas que le détaillant recueille leurs renseignements personnels. Pour obtenir de plus amples renseignements, voir nos Lignes directrices sur la surveillance vidéo au moyen d’appareils non dissimulés dans le secteur privé.
Les personnes souhaitant acheter du cannabis ou des produits à base de cannabis en ligne auprès de détaillants doivent également être mises au courant lorsque ces derniers recueillent leurs renseignements personnels (p. ex. nom, date de naissance, adresse postale, numéro de carte de crédit, historique des achats ou adresse électronique). La fourniture de renseignements personnels, notamment par le biais de formats en ligne, crée des risques supplémentaires que les acheteurs doivent prendre en compte.
Un moyen de réduire la possibilité de divulgation à des gouvernements étrangers (étant donné que l’utilisation du cannabis n’est pas légale dans la plupart des autres pays), et de diminuer les répercussions de l’atteinte à la protection des données ou d’autres incidents révélant le nom ou d’autres renseignements personnels des acheteurs, consiste à éviter d’enregistrer les renseignements personnels des clients.
| Conseils du commissaire à l’intention des détaillants |
|---|
| Recueillez le moins de renseignements personnels possible. |
| Lorsque c’est possible, évitez d’enregistrer des renseignements personnels. |
| Envisagez de recueillir les adresses électroniques, mais pas les noms, pour les listes de diffusion ou les adhésions. |
| Déterminez si des solutions de rechange à la vidéosurveillance moins intrusives pour la vie privée sont appropriées. N’utilisez la vidéosurveillance qu’en dernier recours. |
| Conseils du commissaire à l’intention des acheteurs |
|---|
| Lors de l’achat de cannabis, ne communiquez pas plus de renseignements personnels que nécessaire au détaillant. Vous devrez peut-être montrer une pièce d’identité à des fins de vérification de votre âge. |
| Si vous êtes préoccupé à l’idée d’utiliser votre carte de crédit et que l’option est disponible, envisagez de payer en espèces pour acheter du cannabis. |
| Si vous fournissez des renseignements personnels pour adhérer à un club ou à une liste de diffusion, prenez en compte les risques encourus et demandez comment vos renseignements personnels seront stockés. |
Protection des renseignements personnels
Si un détaillant recueille des renseignements personnels tels que le nom, le numéro de carte de crédit, l’adresse électronique ou tout autre renseignement personnel des acheteurs, ces renseignements doivent être stockés de manière sécurisée.
Agent de protection de la vie privée
Les détaillants doivent désigner une personne chargée de veiller au respect de la LPRPDE. L’organisation doit fournir le nom ou le titre du poste de cette personne et ses coordonnées, sur demande.
Mesures de sécurité
Les détaillants de cannabis doivent protéger les renseignements personnels sous leur garde ou leur contrôle en prenant les mesures de sécurité appropriées pour empêcher tout accès, communication, utilisation, copie ou modification non autorisés. Cela signifie que des mesures de sécurité physiques, technologiques et organisationnelles sont en place pour stocker les renseignements personnels. Pour déterminer quelles sont les mesures de sécurité « appropriées », les détaillants doivent garder à l’esprit que le degré de sensibilité des renseignements en question accroîtra le niveau de protection exigé en vertu de la LPRPDE. En outre, les renseignements personnels ne peuvent être utilisés que dans le but pour lequel ils ont été initialement recueillis et ne doivent être conservés que le temps nécessaire à la réalisation de ce but. Une fois que le but n’est plus nécessaire, les renseignements personnels doivent être détruits de manière sécurisée.
- Les mesures de sécurité matérielle comprennent :
- verrouiller ou restreindre l’accès aux emplacements comprenant des dossiers contenant des renseignements personnels (p. ex., classeurs et bureaux de direction);
- utiliser des mesures de sécurité appropriées telles que le déchiquetage transversal de documents lors de la destruction de renseignements personnels.
- Les mesures de sécurité technologiques relatives aux renseignements personnels contenus dans des systèmes informatiques comprennent :
- l’utilisation d’identifiants d’utilisateur électroniques uniques pour chaque membre du personnel ou acheteur;
- les mots de passe difficiles à déchiffrer;
- le chiffrement;
- les pare-feux;
- la suppression des renseignements personnels dès que l’on n’en a plus besoin.
- Les mesures de sécurité organisationnelles comprennent :
- la restriction de l’accès des employés aux renseignements personnels auxquels ils n’ont pas besoin d’accéder pour s’acquitter de leurs tâches;
- la formation obligatoire du personnel;
- le filtrage de sécurité des employés.
En outre, les détaillants devraient procéder à des évaluations régulières des risques et à une surveillance de la conformité pour déterminer si les contrôles du programme doivent être mis à jour et veiller à ce que l’organisation respecte les exigences de la LPRPDE.
N’oubliez pas qu’en cas de stockage de données dans le nuage ou dans un logiciel propriétaire, ces renseignements personnels sont probablement transférés ou stockés en dehors du Canada, et qu’ils pourraient ensuite être consultés par des organismes chargés de l’application de la loi de pays étrangers. Puisque l’utilisation du cannabis n’est pas légale dans la plupart des autres pays, l’accès potentiel à ces données par des gouvernements étrangers est à considérer. Du point de vue de la protection de la vie privée, il sera généralement préférable de stocker ces renseignements sur des serveurs se trouvant au Canada.
Politiques de protection des renseignements personnels
La loi oblige les organisations privées à élaborer des politiques et des pratiques leur permettant de s’acquitter de leurs responsabilités en vertu de la LPRPDE, notamment la mise en place d’un processus de traitement des plaintes concernant la gestion des renseignements personnels. Ces politiques appuient la responsabilisation d’une organisation, et sont essentielles pour renforcer la confiance et atténuer les risques d’atteinte à la vie privée. Les politiques et les pratiques internes ne sont toutefois efficaces que lorsque la direction et le personnel les comprennent et s’engagent à les respecter. Le meilleur moyen de s’en assurer est que la direction insiste sur le fait que la protection des renseignements personnels est une priorité de l’entreprise et que tous les membres du personnel soient formés à la politique de protection de la vie privée, la comprennent et la respectent dans les transactions quotidiennes. Pour obtenir de plus amples renseignements, les organisations peuvent lire le document intitulé Un programme de gestion de la protection de la vie privée : la clé de la responsabilité.
Comme il est indiqué précédemment, les avis de confidentialité externes doivent également fournir suffisamment de renseignements sur les pratiques de l’organisation pour assurer un consentement valable. Les détaillants qui ont des sites Web, en particulier ceux qui possèdent une connexion pour les membres, doivent particulièrement s’assurer d’informer les personnes qui visitent leur page Web au sujet des renseignements personnels recueillis (comme les témoins traceurs et les analyses de site) et des raisons de la collecte.
| Conseils du commissaire à l’intention des détaillants |
|---|
| Veillez à ce que des mesures de sécurité matérielles, technologiques et organisationnelles appropriées soient en place pour protéger les renseignements personnels, et à ce que ces mesures reconnaissent la sensibilité de ceux-ci et les respectent. |
| Désignez un agent de protection de la vie privée. |
| Créez des politiques internes et donnez une formation à leur sujet au personnel. |
| Consultez le Guide sur la protection de la vie privée à l’intention des entreprises du Commissariat à la protection de la vie privée du Canada (CPVP) pour obtenir des conseils sur la manière de se conformer à la LPRPDE. |
| Conseils du commissaire à l’intention des acheteurs |
|---|
| Si vous avez des préoccupations concernant la collecte, l’utilisation, le stockage, la divulgation ou la destruction de vos renseignements personnels par un détaillant, demandez à parler à son agent de protection de la vie privée. |
| Demandez aux détaillants s’ils stockent vos informations personnelles sur des serveurs situés en dehors du Canada. Choisissez d’acheter du cannabis auprès de ceux qui conservent vos renseignements personnels au Canada. |
- Date de modification :