Notes d’allocution pour la trousse de présentation sur la LPRPDE pour les entreprises
DIAPOSITIVE 1 – Titre : La protection de la vie privée et votre entreprise
Une introduction à la Loi sur la protection des renseignements personnels et les documents électroniques
DIAPOSITIVE 2 – Ce dont nous allons parler aujourd’hui
Aujourd'hui, nous allons parler de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), la loi fédérale sur la protection des renseignements personnels dans le secteur privé.
L'objectif de cette présentation est de vous offrir de l'information pour aider votre entreprise à se conformer à la loi fédérale sur la protection de la vie privée et vous aider à comprendre pourquoi de bonnes pratiques en matière de protection de la vie privée sont bonnes pour les affaires.
Aujourd’hui, nous parlerons:
- Du rôle du Commissariat à la protection de la vie privée du Canada
- D’une vue d’ensemble de la LPRPDE et à qui elle s’applique
- Des raisons qui font que la protection des renseignements personnels sont importantes
- De ce que les Canadiens pensent de la protectection des renseignement personnels
- Des 10 principes de la LPRPDE
DIAPOSITIVE 3 – Le rôle du Commissariat à la protection de la vie privée du Canada
Le Commissariat à la protection de la vie privée du Canada (le Commissariat) surveille à la fois la Loi sur la protection des renseignements personnels et la Loi sur la protection des renseignements personnels et les documents électroniques, également connue sous le nom de LPRPDE. Ces lois établissent des règles sur la façon dont les institutions fédérales et les organisations commerciales, respectivement, traitent les renseignements personnels.
La principale responsabilité du Commissariat est de protéger les droits à la vie privée des Canadiens. Cela se fait en menant des enquêtes, en faisant la promotion de la sensibilisation et de la compréhension des droits et obligations en matière de protection de la vie privée et en conseillant le Parlement sur les répercussions potentielles des lois et des programmes gouvernementaux sur la protection de la vie privée.
Le Commissariat offre des ressources pratiques sur son site Web (priv.gc.ca) pour vous aider, vous et votre entreprise, à protéger les droits à la vie privée des Canadiens et à respecter vos obligations légales.
DIAPOSITIVE 4 – La LPRPDE en bref
Alors, qu'est-ce que la LPRPDE?
En un mot, la LPRPDE est une loi fédérale qui établit les règles de collecte, d'utilisation et de divulgation de renseignements personnels dans le cadre d'activités commerciales.
La LPRPDE énonce dix (10) principes d'information équitables que les entreprises doivent respecter, peu importe leur taille, dont nous parlerons sous peu.
Tout d’abord, nous allons parler de la loi, de l’importance de la protection des renseignements personnels et de l’opinion des Canadiens à ce sujet.
DIAPOSITIVE 5 – La LPRPDE s'applique-t-elle à votre entreprise?
La LPRPDE s'applique à la plupart des entreprises au Canada, sauf au Québec, en Colombie-Britannique et en Alberta. Ces provinces ont leurs propres lois pour le secteur privé qui sont similaires à la LPRPDE. Mais même dans ces provinces, la LPRPDE régit les industries qui sont sous la réglementation fédérale, comme les transports, les télécommunications et les banques.
De plus, les entreprises qui exercent leurs activités au Canada et qui traitent des renseignements personnels qui traversent les frontières provinciales ou nationales sont assujetties à la LPRPDE, peu importe la province ou le territoire où elles se trouvent.
Finalement, toutes les entreprises situées dans les trois territoires sont assujetties à la LPRPDE.
DIAPOSITIVE 6 — Qu’entend-on par renseignements personnels?
Un autre bon point de départ est de comprendre ce que l'on entend par « renseignements personnels » parce que c'est plus qu'un nom ou une adresse. C'est un renseignement sur un individu identifiable.
C'est un renseignement qui, seul ou combiné à d'autres renseignements, peut identifier une personne. Il peut s'agir de l'âge, de l'origine ethnique, d’une information médicale, d’un numéro de carte de crédit ou même du revenu d'une personne.
Cette définition n'inclut pas les renseignements concernant une entreprise parce que ces derniers ne constituent habituellement pas des renseignements personnels. Également, des renseignements anonymisés, pourvu qu’il ne soit pas possible de les relier à une personne identifiable.
DIAPOSITIVE 7 – Pourquoi la protection de la vie privée est-elle importante?
Bien que les petites entreprises ont un petit nombre d'employés, étant donné la nature de l'économie numérique, elles peuvent gérer de grandes quantités de renseignements personnels.
Les récents sondages d’opinion du Commissariat auprès des entreprises suggèrent que les petites entreprises ont tendance à être moins conscientes de leurs responsabilités en matière de protection de la vie privée que les grandes entreprises, avec 65% des grandes organisations (plus de 100 employés), contre 43% des petites entreprises en 2017.
En effet, les petites entreprises n’ont peut-être pas d'agent de conformité attitré, et encore moins de connaissances approfondies en matière de confidentialité. Le défi de la conformité pour les petites organisations est plus difficile en raison des ressources humaines limitées (et parfois financières) dont elles disposent, et le manque de connaissances au sujet de leurs obligations en matière de protection de la vie privée.
Le manque de sensibilisation pourrait potentiellement mener à des plaintes au sujet de votre entreprise, ce qui pourrait en retour avoir un impact sur la réputation de votre entreprise.
DIAPOSITIVE 8 – L’attitude des Canadiens à l'égard de la vie privée
Les sondages montrent systématiquement qu'une écrasante majorité de Canadiens (plus de 90%) se préoccupent de leur vie privée.
Les Canadiens s'attendent à ce que les entreprises prennent les mesures appropriées pour protéger les renseignements personnels qu'elles partagent avec elles. Pourtant, les Canadiens croient que les entreprises – et les gouvernements – ne font pas tout ce qu'ils peuvent pour protéger leurs renseignements personnels.
Selon le Commissariat, près de 80% des Canadiens hésitent à partager leurs renseignements personnels à la suite de reportages sur des renseignements perdus, volés ou rendus publics. La plupart ont refusé de fournir leurs renseignements à une organisation à un moment donné, et la moitié ont choisi de ne pas faire affaire avec une entreprise en raison de ses pratiques de confidentialité.
Près de la moitié ont déclaré avoir l'impression de perdre le contrôle sur la façon dont les entreprises collectent et utilisent leurs données.
Mais, plus ils font confiance à une entreprise, plus ils sont susceptibles de faire affaire avec eux.
Les entreprises qui ne disposent pas de solides contrôles de confidentialité risquent de perdre leur avantage concurrentiel sur un marché de plus en plus soucieux de la protection de la vie privée.
D'un autre côté, une bonne protection des renseignements personnels peut être très bonne pour les affaires. Quatre-vingt-un pour cent des Canadiens ont dit qu'ils choisiraient de faire affaire avec une entreprise, précisément parce qu'elle a de bonnes pratiques en matière de protection des renseignements personnels.
DIAPOSITIVE 9 – 10 principes de la protection de la vie privée
La LPRPDE comprend dix Principes relatifs à l’équité dans le traitement de l’information de la LPRPDE que toutes les entreprises assujetties à la Loi doivent respecter.
Les 10 principes d'information équitables sont :
- Responsabilité
- Détermination des fins de la collecte des renseignements
- Consentement
- Limitation de la collecte
- Limitation de l'utilisation, de la divulgation et de la conservation
- Exactitude
- Mesures de sécurité
- Transparence
- Accès aux renseignements personnels
- Possibilité de porter plainte à l’égard du non-respect des principes
Le Commissariat a élaboré une trousse d'informations pour la protection des renseignements personnels à l'intention des entreprises qui décrit chacun des principes. Voici quelques points saillants pour chaque principe, pour vous donner une idée de ce qu'ils signifient et de ce que vous pouvez faire pour remplir vos responsabilités.
DIAPOSITIVE 10 – Responsabilité
Votre organisation est responsable des renseignements personnels qu’elle détient.
Élaborez et mettez en œuvre des politiques et des pratiques en matière de renseignements personnels et formez votre personnel. Nommez quelqu'un dans votre entreprise qui sera responsable de la conformité à la protection des renseignements.
Assurez-vous que votre personnel sait qui est cette personne et que les clients peuvent facilement communiquer avec cette personne.
Il est aussi important que votre personnel puisse expliquer votre politique en matière de renseignement personnels à vos clients.
DIAPOSITIVE 11 – Détermination des fins de la collecte des renseignements
Expliquez clairement à vos clients quels renseignements personnels vous collectez et les raisons pour lesquelles vous le faites, avant ou au moment de la collecte.
Assurez-vous que ces objectifs sont limités à ce à quoi une personne raisonnable s'attendrait dans les circonstances.
DIAPOSITIVE 12 – Consentement
Les entreprises qui souhaitent recueillir, utiliser ou divulguer des renseignements personnels doivent d'abord obtenir le consentement de leurs clients.
Ce principe est au cœur de la LPRPDE et donne aux particuliers le contrôle de leurs renseignements personnels.
De nombreuses politiques de confidentialité et conditions d'utilisation peuvent être longues et pleines de jargon juridique.
Au lieu de cela, fournissez ces informations à vos clients de manière opportune et conviviale pour assurer un consentement éclairé.
Dans les faits, des lignes directrices robustes concernant le consentement des clients sont en vigueur depuis le 1er janvier 2019 (disponible depuis mai).
Les entreprises doivent clairement expliquer (entre autres choses) les éléments-clés suivant à leurs clients.
- Quels renseignements personnels sont recueillis
- Pourquoi ces renseignements sont-ils demandés
- Avec qui ces renseignements seront-ils partagés
- Quels sont les risques potentiels découlant de la collecte et du partage de ces renseignements
Il est important que toutes les entreprises assujetties à la LPRPDE se familiarisent avec les exigences relatives au consentement expliquées dans cette directive, et les respectent.
DIAPOSITIVE 13 – Limitation de la collecte
Limitez votre collection de renseignements personnels à ce qui est uniquement nécessaire.
La collecte d’un minimum de renseignements réduit le risque d'accès, d'utilisation, de divulgation et de perte inappropriés.
Par exemple, le Commissariat met en garde les entreprises contre le fait de demander le numéro d'assurance sociale d'une personne, puisque peu d'organisations sont légalement tenues de le faire.
DIAPOSITIVE 14 – Limitation de l'utilisation, de la divulgation et de la conservation
Utilisez uniquement des renseignements personnels pour les raisons que vous avez expliquées à vos clients, ne les conservez pas plus longtemps que nécessaire.
Vous ne pouvez pas utiliser les renseignements que vous avez recueillis à des fins autres à moins d’avoir obtenu le consentement clair et valide pour le faire.
Assurez-vous d’éliminer les informations d'une manière qui empêche une violation de la vie privée. Avant de vous débarrasser des appareils électroniques, assurez-vous que tous les renseignements personnels sont entièrement supprimés.
DIAPOSITIVE 15 – Exactitude
Assurez-vous que les renseignements personnels sont aussi précis et complets que possible.
Ceci minimisera la possibilité d'utiliser des informations incorrectes lors de la prise de décision concernant un individu ou de la divulgation de l'information à un tiers.
DIAPOSITIVE 16 – Mesures de sécurité
Utilisez des mesures de sécurité appropriées pour protéger les renseignements contre toute perte, vol, accès non autorisé, divulgation, copie, utilisation ou modification.
Cela signifie des mesures physiques (telles que des classeurs verrouillés), des outils technologiques (tels que mots de passe ou cryptage) et des contrôles organisationnels (tels que des autorisations de sécurité).
DIAPOSITIVE 17 – Transparence
Montrez à vos clients que vous prenez la protection de leurs renseignements personnels au sérieux.
- Informez vos clients et employés que vous avez établi des politiques et des pratiques pour la gestion des renseignements personnels.
- Rendez ces politiques compréhensibles et disponibles.
- Installez des affiches, publiez des informations sur votre site Web et cherchez d'autres moyens de partager activement ces informations.
DIAPOSITIVE 18 – Accès aux renseignements personnels
Vos clients ont le droit de voir les renseignements personnels que vous détenez à leur sujet, alors soyez prêt à répondre aux demandes d’accès.
Développez une procédure pour répondre rapidement aux demandes, en les informant de la manière dont leurs renseignements personnels (le cas échéant) ont été utilisés et en les modifiant si elles s'avèrent déficientes.
DIAPOSITIVE 19 – Possibilité de porter plainte à l’égard du non-respect des principes
Faites savoir à vos clients ce qu'ils peuvent faire s'ils ont des inquiétudes ou d'autres questions sur la manière dont vous gérez leurs renseignements personnels.
Développer des procédures de plainte simples et accessibles, et enquêter sur toutes les plaintes reçues. Si une enquête révèle des problèmes, prenez les mesures appropriées pour améliorer vos pratiques de traitement des renseignements personnels.
DIAPOSITIVE 20 – Atteintes à la vie privée
Ayez des procédures en place en cas d’atteinte à la vie privée. Vous devez disposer de solides garanties, comme l'exige la loi, pour protéger les renseignements personnels dont vous avez la garde.
Parfois, les atteintes se produisent, malgré tous les efforts. Cela peut impliquer le vol de renseignements personnels par des pirates informatiques, la perte d'un dispositif externe (comme une clé USB) contenant des données sur vos clients ou même un ex-employé mécontent utilisant des renseignements ou des listes de contacts de vos clients.
Alors que pouvez-vous faire?
- Pour commencer, testez votre technologie à la recherche de vulnérabilités et assurez-vous que les anciens systèmes ou bases de données ne sont pas vulnérables lorsque vous passez à une technologie plus récente.
- Il existe des solutions prêtes à être employées et des spécialistes de la sécurité qui peuvent vous aider si vous n'avez pas de service informatique.
- C'est aussi une bonne idée d'être au courant des atteintes au sein de votre industrie. Les pirates utilisent souvent les mêmes astuces contre plusieurs entreprises. Plus vous êtes alerte, plus vous éviterez les pièges.
De nouvelles directives relatives aux atteintes à la vie privée sont entrées en vigueur en novembre 2018. Ces directives exigent que les entreprises documentent et conservent les informations concernant toutes les atteintes à la vie privée et de communiquer toute atteinte comportant un sérieux risque de violation au CPVP et à tout client affecté.
Si vous rencontrez une atteinte à la vie privée qui pourrait potentiellement nuire à vos clients, contactez immédiatement le Commissariat.
DIAPOSITIVE 21 – La Loi canadienne anti-pourriel et la LPRPDE
Vous avez peut-être entendu parler de la LCAP ou de la loi anti-pourriel du Canada. La surveillance de la LCAP est partagée entre le Commissariat à la protection de la vie privée du Canada, le Bureau de la concurrence Canada et le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC).
Le Commissariat traite deux types de violations de la LCAP :
- la collecte d’adresses électroniques, qui consiste généralement à utiliser des programmes informatiques pour extraire automatiquement des adresses électroniques sur Internet afin de compiler des listes à des fins de marketing; et
- la collecte d'informations grâce à l'utilisation de logiciels espions ou de logiciels malveillants.
Les entreprises qui font du marketing par courriel doivent faire preuve de diligence raisonnable pour éviter de récolter ou d'utiliser par inadvertance des adresses électroniques récoltées. Elles devraient prendre les précautions appropriées lorsqu'elles travaillent avec un tiers qui a été engagé pour faire du marketing par courriel, ou lorsqu'elles achètent une liste d'un fournisseur pour faire du marketing par courriel.
Consultez www.priv.gc.ca/lcap pour vous assurer de respecter la LPRPDE lorsque vous recueillez et utilisez les adresses courriels pour des fins de marketing électronique.
DIAPOSITIVE 22 – Si c’est bon pour la protection de la vie privée c’est bon pour les affaires
Une protection de la vie privée défaillante peut nuire à la réputation de votre entreprise et réduire votre marge de profit. À l'inverse, les entreprises proactives en matière de protection des renseignements personnels bénéficient de la confiance de leurs clients.
Les Canadiens nous disent que plus ils font confiance à une entreprise, plus ils sont susceptibles de faire affaire avec elle et de fournir les données que cette entreprise juge nécessaires. La protection de la vie privée est votre chance de démontrer que vous méritez cette confiance et cet investissement.
N'oubliez pas que l'un des Principes relatifs à l’équité dans le traitement de l’information décrit plus haut est la responsabilité. En bout de piste, vous êtes responsable de la protection des renseignements personnels que vous recueillez.
Installez des mesures de protection de confidentialité dans tout ce que vous faites en tant qu'entreprise et ayez des politiques et des procédures claires pour la collecte, l'utilisation et la divulgation des renseignements personnels. La meilleure façon de le faire est de développer un programme de gestion de la confidentialité qui couvre tous les aspects de la gestion des renseignements personnels.
Le Commissariat à la protection de la vie privée du Canada peut vous aider. Il y a des conseils à ce sujet et beaucoup plus à l’adresse www.priv.gc.ca.
DIAPOSITIVE 23 – Pour obtenir d'autres conseils sur la façon de protéger les renseignements personnels de vos clients, consultez le www.priv.gc.ca
Pour obtenir d'autres conseils sur la façon de protéger les renseignements personnels, consultez www.priv.gc.ca
Supports de substitution
- PDF (117 Ko) Accessibilité non vérifiée
- Date de modification :