En bref : les obligations prévues par la LPRPDE
La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) expose les règles fondamentales de la collecte, de l’utilisation et de la communication de renseignements personnels. Les organisations du secteur privé partout au Canada doivent s’y soumettre dans le cadre de leurs activités commerciales à but lucratif. La LPRPDE s’applique aussi aux renseignements personnels concernant les employés d’entreprises sous réglementation fédérale.
Sur cette page
- Les responsabilités clés sous le régime la LPRPDE
- Les 10 principes
- La loi s’applique-t-elle à votre entreprise?
- Lois provinciales sur la protection des renseignements personnels
- Des renseignements qui traversent les frontières
- Organisations sous réglementation fédérale
- Qu’entend-on par « renseignements personnels »?
- Qu’est-ce qui n’est pas visé par la LPRPDE?
Les responsabilités clés sous le régime de la LPRPDE
Afin de protéger les renseignements personnels, les entreprises assujetties à la LPRPDE doivent respecter les 10 principes relatifs à l’équité dans le traitement de l’information énumérés à l’Annexe 1 de la Loi.
En suivant ces principes, vous contribuerez à établir la confiance envers votre entreprise et l’économie numérique.
Les 10 principes
- Responsabilité
- Détermination des fins de la collecte des renseignements
- Consentement
- Limitation de la collecte
- Limitation de l’utilisation, de la communication et de la conservation
- Exactitude
- Mesures de sécurité
- Transparence
- Accès aux renseignements personnels
- Possibilité de porter plainte à l’égard du non-respect des principes
Renseignez-vous sur la façon de respecter ces 10 principes au sein de votre organisation.
La loi s’applique-t-elle à votre entreprise?
La LPRPDE s’applique aux organisations du secteur privé qui recueillent, utilisent ou communiquent des renseignements personnels dans le cadre de leurs activités commerciales. Selon la loi, une « activité commerciale » s’entend de toute activité régulière ainsi que tout acte isolé qui revêtent un caractère commercial de par leur nature, y compris la vente, le troc ou la location de listes de donneurs, d’adhésion ou de collecte de fonds.
Lois provinciales sur la protection des renseignements personnels
L’Alberta, la Colombie-Britannique et le Québec ont leurs propres lois en matière de protection des renseignements personnels dans le secteur privé jugées être essentiellement similaires à la LPRPDE. Les organisations assujetties à des lois provinciales essentiellement similaires en matière de protection des renseignements personnels sont habituellement exonérées de la LPRPDE en ce qui a trait à la collecte, à l’utilisation ou à la communication de renseignements personnels au sein de cette province.
L’Ontario, le Nouveau-Brunswick, la Nouvelle-Écosse et Terre-Neuve-et-Labrador ont également adopté des lois essentiellement similaires à l’égard de la collecte, de l’utilisation et de la communication de renseignements personnels sur la santé.
Des renseignements qui traversent les frontières
Toutes les entreprises qui exercent des activités au Canada et qui traitent des renseignements personnels qui vont au-delà des frontières provinciales ou nationales dans le cadre de leurs activités commerciales sont assujetties à la LPRPDE, quel que soit le territoire ou la province où elles se situent (y compris dans des provinces dotées de lois essentiellement similaires).
Organisations sous réglementation fédérale
Les organisations sous réglementation fédérale qui exercent leurs activités au Canada sont toujours assujetties à la LPRPDE. La Loi s’applique également aux renseignements personnels de leurs employés.
Ces organisations sont les suivantes :
- les aéroports, les aéronefs et les lignes aériennes;
- les banques et les banques étrangères autorisées;
- les entreprises de transport interprovinciales ou internationales;
- les entreprises de télécommunication;
- les entreprises exerçant des activités de forage en mer;
- les radiodiffuseurs et télédiffuseurs.
Remarque : Les organisations situées dans les Territoires du Nord-Ouest, au Yukon et au Nunavut sont réputées être sous réglementation fédérale et sont donc également visées par la LPRPDE.
Si vous n’êtes pas certain que votre entreprise est assujettie à la LPRPDE, veuillez consulter Trouver à qui vous adresser en cas de problème lié à la protection de la vie privée.
Qu’entend-on par « renseignements personnels »?
Aux termes de la LPRPDE, on entend par renseignement personnel tout renseignement factuel ou subjectif, consigné ou non, concernant une personne identifiable. Il peut s’agir de tout type de renseignement, par exemple :
- l’âge, le nom, un numéro d’identification, le revenu, l’origine ethnique ou le groupe sanguin;
- une opinion, une évaluation, un commentaire, le statut social ou une mesure disciplinaire;
- le dossier d’un employé, un dossier de crédit ou de prêt, un dossier médical, l’existence d’un différend entre un consommateur et un commerçant ou le projet d’une personne (par exemple, l’intention d’acquérir des biens ou des services ou de changer d’emploi).
Qu’est-ce qui n’est pas visé par la LPRPDE?
Il y a des cas où la LPRPDE ne s’applique pas, par exemple :
- les renseignements personnels traités par les organisations fédérales mentionnées dans la Loi sur la protection des renseignements personnels;
- les renseignements personnels gérés par les gouvernements provinciaux et territoriaux et leurs mandataires;
- les coordonnées d’affaires, comme le nom, le titre, l’adresse professionnelle, le numéro de téléphone ou l’adresse courriel de l’employé, recueillis, utilisés ou communiqués uniquement dans le but de contacter la personne pour les besoins de son emploi ou de sa profession;
- les renseignements personnels recueillis, utilisés ou communiqués par une personne à des fins strictement personnelles (p. ex. la constitution d’une liste de personnes à qui adresser des cartes de vœux);
- les renseignements personnels recueillis, utilisés ou communiqués par une organisation à des fins strictement journalistiques, artistiques ou littéraires.
À moins qu’ils ne réalisent des activités commerciales qui ne sont pas essentielles à l’exécution de leur mandat et qui nécessitent l’utilisation de renseignements personnels, les entités suivantes ne sont généralement pas visées par la LPRPDE :
- les œuvres de bienfaisance et organismes sans but lucratif;
- les associations et partis politiques.
Les municipalités, universités, écoles et hôpitaux sont normalement régis par les lois provinciales. La LPRPDE peut s’appliquer dans certaines situations.
- Date de modification :