Dix conseils pour éviter les plaintes au Commissariat
Avril 2013
1. Affichez les coordonnées de votre responsable de la protection de la vie privée sur votre site Web.
Toute organisation assujettie à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) doit nommer une personne chargée expressément du respect de la Loi(généralement connue sous le nom de « responsable de la protection de la vie privée ») et faire connaître son identité au besoin. Les coordonnées de cette personne devraient être affichées bien en vue sur votre site Web, et vos représentants du service à la clientèle doivent connaître cette information ou savoir à quel endroit les clients peuvent la trouver.
Pour obtenir de plus amples renseignements, voir le document Un programme de gestion de la protection de la vie privée : la clé de la responsabilité.
2. Donnez à vos employés de la formation sur la protection de la vie privée.
Intégrez les renseignements de base sur les responsabilités en matière de protection de la vie privée (et les coordonnées de votre responsable de la protection de la vie privée) dans les outils et la formation à l’intention de votre personnel, notamment vos représentants du service à la clientèle et le personnel chargé de concevoir les produits ou formulaires à l’intention des clients ou les systèmes de gestion des documents.
Pour obtenir de plus amples renseignements, voir le document Un programme de gestion de la protection de la vie privée : la clé de la responsabilité.
3. Assumez la responsabilité des actes de vos employés.
Il arrive que les employés ne tiennent pas compte des politiques en matière de protection de la vie privée (délibérément ou accidentellement). Les organisations doivent savoir que l’erreur d’un employé n’excuse pas la perpétration d’une infraction à la LPRPDE; il n’est pas suffisant d’avoir simplement des politiques en la matière. Afin d’assumer vos responsabilités en vertu de la LPRPDE, vous devez avoir des mesures en place pour renforcer ces politiques, par exemple la formation ou le perfectionnement des employés, des conséquences en cas de non-respect des procédures, un accès limité aux renseignements personnels ou des mesures pour empêcher la copie de grandes quantités d’information sur des appareils portatifs (s’il y a lieu).
Pour obtenir de plus amples renseignements, voir le document Un programme de gestion de la protection de la vie privée : la clé de la responsabilité.
4. Limitez la collecte de renseignements personnels.
En vertu de la LPRPDE, les entreprises sont tenues de recueillir le moins de renseignements personnels possible dans le but d’offrir un produit ou un service et d’indiquer clairement à leurs clients les fins de la collecte. Vous pouvez chercher à obtenir des renseignements qui vont au‑delà de ce qui est nécessaire pour offrir un produit ou un service à condition que vous indiquiez clairement que leur communication est facultative. Vous pouvez également chercher à obtenir le consentement des clients pour utiliser des renseignements à des fins secondaires (p. ex. de marketing) si celui‑ci est facultatif.
Pour obtenir de plus amples renseignements, voir le document Un programme de gestion de la protection de la vie privée : la clé de la responsabilité et les lignes directrices La protection de la vie privée et la publicité comportementale en ligne.
5. N’exigez pas le numéro d’assurance sociale.
Indiquez clairement (sur tous les formulaires et dans la formation à l’intention du personnel) que les clients n’ont pas à donner leur numéro d’assurance sociale pour obtenir un produit ou un service (à moins que ce ne soit obligatoire en vertu de la loi). Il n’est pas nécessaire d’obtenir le NAS pour faire une vérification de solvabilité.
Pour obtenir de plus amples renseignements, voir la fiche d’information Pratiques exemplaires pour l’utilisation des numéros d’assurance sociale dans le secteur privé.
6. Examinez les permis de conduire, mais ne consignez pas leur contenu.
Si vous devez confirmer l’identité d’une personne ou son adresse, il est généralement acceptable d’examiner son permis de conduire. Cependant, vous ne devriez pas en faire une photocopie ou en consigner le numéro, sauf en de rares circonstances. Le numéro de permis de conduire est un renseignement sensible et précieux pour ceux qui ont l’intention de commettre des crimes contre l’identité.
Pour obtenir de plus amples renseignements, voir notre page sur les permis de conduire.7. Dites-le à vos clients s’ils font l’objet d’une surveillance vidéo.
Même si vous ne conservez pas les enregistrements, la surveillance vidéo constitue une collecte de renseignements personnels. Vous ne devriez y avoir recours qu’en cas de réel besoin. Vous devriez également installer des affiches bien en vue afin d’informer les clients à cet effet et leur indiquer à qui ils doivent communiquer leurs plaintes ou leurs questions au sujet de la surveillance.
Pour obtenir de plus amples renseignements, voir le document Lignes directrices sur la surveillance vidéo au moyen d’appareils non dissimulés dans le secteur privé.
8. Protégez les renseignements personnels.
Si vous décidez de recueillir des renseignements personnels, vous devez utiliser des mesures de sécurité qui sont proportionnelles à leur degré de sensibilité. Par exemple, faites preuve de vigilance pour les renseignements médicaux et financiers ainsi que pour les renseignements qui facilitent le vol d’identité. Par ailleurs, évitez de recueillir et de conserver des renseignements personnels dont vous n’avez pas besoin (p. ex. il n’est pas nécessaire de faire des copies d’une pièce d’identité lorsqu’on vérifie l’identité) et, si vous en conservez, gardez cette information sous clé. Chiffrez l’information contenue dans les ordinateurs portatifs, unités de disque dur, appareils mobiles et clés USB qui pourraient contenir des renseignements personnels.
Pour obtenir de plus amples renseignements, voir la ressource Protéger les renseignements personnels : Un outil d’auto-évaluation à l’intention des organisations.
9. Répondez aux demandes d’accès.
Vos clients (et si vous êtes une « entreprise fédérale », vos employés ou les personnes qui postulent pour un emploi auprès de votre entrepriseNote de bas de page 1) ont le droit d’avoir accès aux renseignements que vous détenez à leur sujet en tant que personne identifiable — dans un délai de 30 jours, gratuitement ou à peu de frais. Cela comprend les renseignements écrits ainsi que les enregistrements audio et vidéo. Lorsque vous répondez à des demandes d’accès, vous devez protéger les renseignements personnels des tiers et savoir qu’il y a quelques exceptions au droit d’accès.
Pour obtenir de plus amples renseignements, voir la fiche d’information Accès aux renseignements personnels au titre de la LPRPDE — Ce que les entreprises doivent savoir.
10. Expliquez d’emblée pourquoi vous recueillez des renseignements personnels et comment vous les utiliserez.
Si vous n’êtes pas en mesure d’expliquer clairement la raison pour laquelle il vous faut certains renseignements, vos clients risquent davantage de se méfier de vos pratiques.
Enfin, n’hésitez pas à communiquer avec nous au 1-800-282-1376. Le Commissariat a pour mandat d’établir un équilibre entre la protection des renseignements personnels et les besoins légitimes des entreprises — nous sommes là pour vous aider. Vous pouvez également consulter la section Ressources pour les entreprises de notre site Web pour des conseils utiles. Comme point de départ, vous pouvez consulter notre guide à l’intention des entreprises et des organisations.
Footnotes/Endnotes
- Note de bas de page 1
-
Pour savoir si votre organisation est une entreprise fédérale, voir la fiche d’information suivante : Application de la Loi sur la protection des renseignements personnels et les documents électroniques aux dossiers du personnel.
Avril 2013
- Date de modification :