Quelles sont les responsabilités de mon entreprise en vertu de la LPRPDE?

Quelles sont les responsabilités de mon entreprise en vertu de la LPRPDE?

Afficher à l’écran : Quelles sont les responsabilités de mon entreprise en vertu de la LPRPDE?

Narratrice : La LPRPDE comprend 10 principes relatifs à l’équité dans le traitement de l’information que toutes les entreprises assujetties à la Loi doivent respecter. Examinons quelques points saillants de chaque principe pour vous donner une idée de ce que votre entreprise peut faire pour s’acquitter de ses responsabilités.

[À l’écran, en arrière-plan : photo d’une femme en vêtements de travail qui parle au téléphone. Dix pictogrammes représentant les dix principes relatifs à l’équité dans le traitement de l’information apparaissent à l’écran au premier plan.]

Narratrice : N’oubliez pas qu’il ne s’agit que d’un aperçu de vos responsabilités – le Guide sur la protection de la vie privée à l’intention des entreprises décrit chacun des principes de manière plus détaillée et peut vous diriger vers d’autres ressources utiles.

[Les pictogrammes sont remplacés par le logo du Commissariat à la protection de la vie privée du Canada.]

Afficher à l’écran : Principe relatif à l’équité dans le traitement de l’information no 1 : Responsabilité

Narratrice : Le premier principe est la « responsabilité ». Votre entreprise est responsable des renseignements personnels dont elle a la gestion. En d’autres termes, elle doit être responsable.

[Un pictogramme représentant une planchette à pince avec un crochet apparaît, puis un pictogramme représentant un petit commerce. Ensuite, un crochet apparaît entre les deux. Le pictogramme de petit commerce disparaît et est remplacée par la liste de vérification suivante :]

Narratrice : Cela signifie :

• Nommer un responsable de la conformité à la LPRPDE – par exemple, un chef de la protection des renseignements personnels
• Protéger tous les renseignements personnels, y compris ceux qui sont transférés à un tiers
• Élaborer et mettre en œuvre des politiques et des pratiques pour protéger les renseignements personnels
• Il est important de dire aux employés et aux clients qui est votre responsable de la protection de la vie privée et la façon de communiquer avec lui.
• Pour montrer votre responsabilité, vous devriez également vous assurer que tous les employés de première ligne sont en mesure d’expliquer les politiques de confidentialité de votre entreprise aux clients.

Afficher à l’écran : Principe relatif à l’équité dans le traitement de l’information no 2 : Détermination des fins de la collecte des renseignements

Narratrice : Le principe suivant est la « détermination des fins de la collecte des renseignements ».

Vous devez être capable d’expliquer clairement à vos clients les renseignements personnels que vous recueillez et pourquoi, et cela doit être fait avant ou au moment de la collecte.

[Le pictogramme d’une flèche au centre d’une cible apparaît à l’écran. Ensuite, un pictogramme représentant une personne apparaît à côté. Le pictogramme de personne disparaît et la liste de vérification suivante s’affiche :]

Narratrice :

• Vous devez donc examiner tous les renseignements personnels que votre entreprise conserve pour vous assurer qu’ils servent une fin précise.
• Cela signifie également que lorsque vous demandez des renseignements personnels à un client, vous devez expliquer les raisons pour lesquelles vous les recueillez.
• Si vous n’êtes pas certain de savoir comment définir vos fins, réfléchissez à ce qu’une personne raisonnable jugerait appropriée dans ces circonstances.
• Veillez à ce que la définition soit aussi claire et précise que possible afin que les clients puissent comprendre facilement la façon dont les renseignements seront utilisés.
• Consignez toutes les fins ainsi déterminées et les consentements que votre entreprise a obtenus.

Afficher à l’écran : Qu’en pensez-vous? Sur quoi devrait porter la formation de tous les employés lorsqu’il est question de politiques de confidentialité?

• En quoi consiste le consentement valable et quand et comment il doit être obtenu
• Qui dans l’entreprise reçoit les questions ou les plaintes relatives à la protection de la vie privée
• Comment reconnaître et traiter les demandes d’accès aux renseignements personnels
• Tout ce qui précède

[La réponse « Tout ce qui précède » est surlignée pour indiquer qu’il s’agit de la bonne réponse.]

Commentaires : Les employés devraient également savoir comment répondre aux demandes du public concernant les politiques de confidentialité et être informés de toute initiative relative à la protection des renseignements personnels.

Afficher à l’écran : Une entreprise prend le temps de documenter toutes ses fins de collecte de renseignements personnels. Est-ce vraiment nécessaire?

• Absolument
• Non, c’est exagéré

[La réponse « Absolument » est surlignée pour indiquer qu’il s’agit de la bonne réponse.]

Commentaires : Non seulement la documentation des fins déterminées est une exigence, mais, en premier lieu, elle aide également les entreprises à déterminer les renseignements personnels à recueillir.

Afficher à l’écran : Principe relatif à l’équité dans le traitement de l’information no 3 : Consentement

Narratrice : Le troisième principe relatif à l’équité dans le traitement de l’information est le « consentement ».

Les entreprises qui souhaitent recueillir, utiliser ou communiquer des renseignements personnels doivent demander et obtenir un consentement pour le faire.

[Le pictogramme d’un crochet à l’intérieur d’une bulle de texte apparaît à l’écran. Ensuite, un pictogramme représentant un petit commerce apparaît à côté, suivie d’un pictogramme représentant une personne. Enfin, un crochet apparaît entre le pictogramme du petit commerce et celle de personne.]

Narratrice : Cela donne à vos clients un plus grand contrôle sur leurs renseignements personnels. Vous avez peut-être remarqué que beaucoup de politiques de confidentialité et de conditions d’utilisation sont longues et pleines de jargon juridique. Votre entreprise doit fournir aux clients des informations claires, opportunes et conviviales. Cela aidera à garantir que le consentement de vos clients est valable.

[Le pictogramme du petit commerce, le crochet et le pictogramme de personne disparaissent. Ensuite, la liste de vérification suivante apparaît à côté du pictogramme de bulle de texte :]

Narratrice : Les entreprises doivent expliquer clairement à leurs clients :

• les renseignements personnels qui sont recueillis
• pourquoi elles demandent ces renseignements personnels
• à qui elles vont les communiquer
• le risque de préjudice pouvant être causé par la collecte ou la communication de leurs renseignements

[Le pictogramme de bulle de texte disparaît et le logo du Commissariat à la protection de la vie privée du Canada apparaît.]

Narratrice : Le consentement est un élément essentiel de la LPRPDE. Pour en savoir plus à ce sujet, consultez le Guide sur la protection de la vie privée à l’intention des entreprises et les documents d’orientation du CPVP sur l’obtention d’un consentement valable.

Afficher à l’écran : Qu’en pensez-vous? Tant qu’une entreprise fournit aux clients une sorte d’explication sur l’utilisation des renseignements personnels, elle satisfait aux exigences en matière de consentement.

• Ça semble juste
• Non, je ne le pense pas

[La réponse « Non, je ne le pense pas » est surlignée pour indiquer qu’il s’agit de la bonne réponse.]

Commentaires : Pas tout à fait. En vertu de la LPRPDE, les entreprises doivent obtenir un consentement valable pour la collecte, l’utilisation et la communication de renseignements personnels. Le consentement est considéré comme valable lorsque des informations claires et opportunes sont fournies aux personnes et expliquent la façon dont leurs données personnelles sont utilisées. Les fins de la collecte doivent être des fins qu’une personne raisonnable jugerait appropriées dans ces circonstances.

Afficher à l’écran : Principe relatif à l’équité dans le traitement de l’information no 4 : Limitation de la collecte

Narratrice : Le quatrième principe relatif à l’équité dans le traitement de l’information est assez simple : Limitez les renseignements personnels que votre entreprise recueille à ce qui est nécessaire pour répondre à une fin légitime.

[Le pictogramme représentant une personne apparaît dans un cercle. Dans le cercle, il y a aussi une main signalant « Arrêtez ». À côté, la liste de vérification suivante s’affiche :]

Narratrice :

• Soyez toujours honnête avec vos clients sur les raisons pour lesquelles vous recueillez des renseignements – il est illégal d’induire en erreur ou de tromper les clients sur la fin de la collecte.
• N’oubliez pas qu’il est beaucoup plus sûr de recueillir moins de renseignements que trop. Cela réduit le risque d’accès ou d’utilisation inappropriés ou de perte.

Afficher à l’écran : Principe relatif à l’équité dans le traitement de l’information no 5 : Limitation de l’utilisation, de la communication et de la conservation

Narratrice : Le cinquième principe consiste à limiter la manière dont vous utilisez, communiquez et conservez les renseignements personnels :

[Le pictogramme représentant une personne apparaît à l’écran dans un cercle de couleur plus foncée. Une pointe a été découpée dans le cercle, comme une partie d’un diagramme circulaire, représentant les limitations relatives à l’utilisation de l’information. À côté, la liste de vérification suivante s’affiche :]

Narratrice :

• Utilisez les renseignements personnels uniquement pour les raisons que vous avez indiquées à votre client.
• Si vous souhaitez utiliser ou communiquer des renseignements à une nouvelle fin, obtenez un nouveau consentement.
• Ne conservez pas les renseignements plus longtemps que nécessaire.
• Vous ne pouvez conserver des renseignements personnels que tant qu’ils répondent à la fin établie. Après cela, vous devez détruire ou effacer les renseignements.
• Les renseignements doivent être détruits de manière sécurisée pour éviter toute atteinte à la vie privée. Cela pourrait signifier déchiqueter en toute sécurité des fichiers papier ou supprimer efficacement des enregistrements électroniques.

Afficher à l’écran : Qu’en pensez-vous? Si une entreprise obtient le consentement d’un client pour utiliser ses renseignements à une fin donnée, elle est autorisée à les utiliser pour autre chose.

• Oui, c’est logique
• Non, ça ne semble pas juste

[La réponse « Non, ça ne semble pas juste » est surlignée pour indiquer qu’il s’agit de la bonne réponse.]

Commentaires : Une entreprise ne peut pas utiliser des renseignements recueillis à une autre fin à moins d’obtenir le consentement clair et valable du client.

Tous les employés devraient-ils avoir accès aux renseignements personnels détenus par une entreprise?

• Oui, absolument
• Non, je ne le pense pas

[La réponse « Non, je ne le pense pas » est surlignée pour indiquer qu’il s’agit de la bonne réponse.]

Commentaires : Absolument pas. Les employés devraient avoir accès uniquement aux renseignements dont ils ont besoin dans le cadre de leur travail. Votre entreprise devrait prendre les mesures qui s’imposent lorsque l’on accède à des renseignements sans autorisation.

Afficher à l’écran : Principe relatif à l’équité dans le traitement de l’information no 6 : Exactitude

Narratrice : Le sixième principe relatif à l’équité dans le traitement de l’information est l’« exactitude ». Assurez-vous que les renseignements personnels que votre entreprise détient sont aussi exacts, complets et à jour que nécessaire pour répondre à la fin pour laquelle vous les avez recueillis.

[Une paire de lunettes apparaît à l’intérieur d’un cercle, pour ressembler à un visage. À côté, la liste de vérification suivante s’affiche :]

Narratrice :

• Élaborez des politiques régissant les types de renseignements à mettre à jour.
• Cela réduira la possibilité d’utiliser des renseignements inexacts lors de la prise de décision concernant une personne ou de la communication de renseignements à un tiers.
• Demandez-vous toujours si votre client pourrait subir un préjudice en cas de communication de renseignements faux ou obsolètes.

Afficher à l’écran : Principe relatif à l’équité dans le traitement de l’information no 7 : Mesures de sécurité

Narratrice : Les « mesures de sécurité » constituent le septième principe.

Utilisez les mesures de sécurité appropriées pour protéger les renseignements personnels contre la perte ou le vol, et l’accès, la communication, la copie, l’utilisation ou la modification non autorisés. Plus les renseignements personnels sont sensibles, plus vos mesures de sécurité devraient être renforcées.

[Un pictogramme de bouclier apparaît à l’intérieur d’un cercle. À côté, la liste de vérification suivante s’affiche :]

Narratrice :

• Cela signifie mettre en place des mesures matérielles comme des armoires verrouillées et des systèmes d’alarme. Des contrôles organisationnels comme des cotes de sécurité et la formation du personnel. Des outils technologiques, comme des mots de passe ou le chiffrement
• Vérifiez les vulnérabilités de votre technologie. Assurez-vous que les anciens systèmes ou anciennes bases de données ne seront pas vulnérables si vous effectuez une mise à niveau vers une technologie plus récente. Il existe des solutions standard et des spécialistes de la sécurité qui peuvent vous aider à cet égard.
• Il est également important de connaître votre secteur. Les pirates essayent souvent les mêmes astuces contre de nombreuses entreprises. Plus vous vous tenez au courant, plus vous avez de chances d’éviter de tomber dans les mêmes pièges.

Afficher à l’écran : Qu’en pensez-vous? Comment mon entreprise peut-elle être proactive en matière d’exactitude?

• Demandez-vous souvent si l’utilisation ou la communication de renseignements obsolètes ou incomplets pourrait nuire au client.
• Élaborez et mettez en œuvre des politiques sur les types de renseignements à mettre à jour.
• Sachez les renseignements personnels dont votre entreprise a besoin pour fournir un service et soyez au courant du lieu de stockage de ces renseignements.
• Tout ce qui précède

[La réponse « Tout ce qui précède » est surlignée pour indiquer qu’il s’agit de la bonne réponse.]

Commentaires : Votre entreprise doit également consigner le moment où des renseignements sont obtenus ou mis à jour et les mesures prises par les employés pour s’assurer que les renseignements sont à jour. Cela pourrait exiger d’examiner vos dossiers ou de communiquer avec vos clients.

Afficher à l’écran : Une fois qu’une entreprise a mis en place un ensemble de mesures de sécurité, elle s’est acquittée de ses responsabilités en matière de protection des renseignements personnels.

• Oui, exactement
• Non, pas tout à fait

[La réponse « Non, pas tout à fait » est surlignée pour indiquer qu’il s’agit de la bonne réponse.]

Commentaires : Une fois que les mesures de sécurité sont en place, il est important de les examiner régulièrement pour vous assurer qu’elles sont à jour et que toutes les vulnérabilités connues ont été corrigées.

Afficher à l’écran : Principe relatif à l’équité dans le traitement de l’information no 8 : Transparence

Le huitième principe relatif à l’équité dans le traitement de l’information est la « transparence ».

Une paire de mains apparaît à l’intérieur d’un cercle. Les mains tiennent un cercle contenant la lettre « i ». À côté, la liste de vérification suivante s’affiche :]

Narratrice :

• Montrez à vos clients que vous prenez la protection de leur vie privée au sérieux en leur indiquant que votre entreprise a établi des politiques et des pratiques relatives à la gestion de leurs renseignements personnels.
• Et assurez-vous que ces politiques sont compréhensibles et facilement disponibles.
• Mettez des panneaux, publiez de l’information sur votre site Web et recherchez d’autres moyens de communiquer activement cette information.

Afficher à l’écran : Principe relatif à l’équité dans le traitement de l’information no 9 : Accès aux renseignements personnels

Narratrice : Le neuvième principe est l’« accès aux renseignements personnels ».

Vos clients ont généralement le droit de consulter les renseignements personnels que votre entreprise détient à leur sujet. Ils ont également le droit de contester l’exactitude et l’exhaustivité des renseignements et de demander à les modifier au besoin.

[Une main apparaît à l’intérieur d’un cercle. Au-dessus de la main se trouve une clé. La main semble offrir ou recevoir la clé. À côté, la liste de vérification suivante s’affiche :]

Narratrice :

Soyez prêt à répondre aux demandes d’accès :

• Lorsque des gens vous le demande, informez-les des renseignements personnels que votre entreprise détient à leur sujet.
• Expliquez la façon dont ces renseignements sont utilisés et à qui ils sont communiqués.
• Si un client le demande, fournissez-lui une copie des renseignements ou autorisez-le à consulter ou examiner un enregistrement de ces renseignements.
• Vous devez répondre aux demandes le plus rapidement possible. Le délai de réponse normal est de trente jours.
• Vous devez également vous assurer de documenter tout désaccord et informer des tiers, au besoin.

Notez qu’il existe des exceptions au principe de l’accès.

• Par exemple, une entreprise peut ne pas avoir besoin de fournir l’accès, si cela révélerait des renseignements personnels sur une autre personne ou si les renseignements sont protégés par le secret professionnel.

Le Guide sur la protection de la vie privée à l’intention des entreprises fournit une orientation supplémentaire, y compris d’autres exceptions au principe de l’accès.

[Le cercle, la main et la clé disparaissent. Le logo du Commissariat à la protection de la vie privée du Canada apparaît.]

Afficher à l’écran : Qu’en pensez-vous? Lorsqu’une entreprise fournit aux clients de l’information sur ses politiques et procédures d’accès, que devrait-elle inclure?

• Qui est responsable des demandes d’accès et comment communiquer avec cette personne
• Comment les gens peuvent avoir accès à leurs renseignements personnels
• Comment déposer une plainte
• Tout ce qui précède

[La réponse « Tout ce qui précède » est surlignée pour indiquer qu’il s’agit de la bonne réponse.]

Commentaires : Tous ces renseignements devraient être fournis dans des termes faciles à comprendre. L’information relative aux pratiques de protection des renseignements personnels devrait également indiquer les renseignements que votre entreprise communiquera à d’autres organisations et pourquoi.

Afficher à l’écran : Comment une entreprise peut-elle s’assurer que les renseignements demandés sont compréhensibles pour les clients?

• Expliquer les acronymes
• Mettre les abréviations au long
• Décrire les codes
• Tout ce qui précède

[La réponse « Tout ce qui précède » est surlignée pour indiquer qu’il s’agit de la bonne réponse.]

Commentaires : Ce sont tous de bons moyens de rendre les renseignements demandés plus compréhensibles pour les clients.

Afficher à l’écran : Principe relatif à l’équité dans le traitement de l’information no 10 : Possibilité de porter plainte à l’égard du non-respect des principes.

Narratrice : Le dixième et dernier principe est la « possibilité de porter plainte à l’égard du non-respect des principes ». Les personnes ont le droit de se plaindre du non-respect par votre entreprise des 10 principes relatifs à l’équité dans le traitement de l’information. Elles ont également droit à un recours efficace en cas de traitement inadéquat de leurs renseignements personnels.

Une bulle de texte apparaît dans un cercle. La bulle contient un point d’exclamation. À côté, la liste de vérification suivante s’affiche :]

Narratrice :

• Informez les clients que s’ils ont des questions ou des préoccupations concernant la manière dont vous traitez leurs renseignements personnels, ils peuvent contacter le responsable de la protection de la vie privée de votre entreprise.
• Élaborez des procédures de plainte simples et accessibles, et étudiez toutes les plaintes que votre entreprise reçoit.
• Si votre enquête révèle des problèmes, prenez les mesures appropriées pour corriger vos pratiques de traitement des renseignements personnels.

Afficher à l’écran : Qu’en pensez-vous? La conformité à la LPRPDE est la seule raison pour traiter les plaintes et les contestations relatives à la protection de la vie privée de manière claire et équitable.

• Oui, absolument
• Non, il n’y a pas que ça

[La réponse « Non, il n’y a pas que ça » est surlignée pour indiquer qu’il s’agit de la bonne réponse.]

Commentaires : Le traitement équitable des plaintes peut aider à préserver ou à rétablir la confiance d’un client envers une entreprise.

Narratrice : Toutes les entreprises doivent respecter les 10 principes relatifs à l’équité dans le traitement de l’information.

[Les dix principes apparaissent à l’écran :]

• Responsabilité
• Détermination des fins de la collecte des renseignements
• Consentement
• Limitation de la collecte
• Limitation de l’utilisation, de la communication et de la conservation
• Exactitude
• Mesures de sécurité
• Transparence
• Accès aux renseignements personnels
• Possibilité de porter plainte à l’égard du non-respect des principes

Narratrice : Être proactif en matière de protection de la vie privée vous permet de profiter de la confiance de vos clients.

[Les dix principes relatifs à l’équité disparaissent et le logo du Commissariat à la protection de la vie privée du Canada apparaît.]