Insights Header image
Insights Header image
Insights Header image

Les cinq principales mesures que vous n’appliquez probablement pas (mais que vous devriez) pour vous conformer aux lois canadiennes sur la protection de la vie – MESURE Nº 4 : réponse appropriée aux demandes des personnes concernées

10 septembre 2024 Bulletin sur la protection de la vie privée et des données Lecture de 5 min

En vertu des lois canadiennes sur la protection de la vie privée, les particuliers bénéficient de certains droits relativement à leurs renseignements personnels. Ces droits varient selon les lois qui s’appliquent dans une situation donnée. En voici des exemples :

  • Demander si une organisation détient des renseignements personnels au sujet des particuliers et, le cas échéant, y accéder.
  • Poser des questions ou demander des informations sur la façon dont l’organisation traite ces renseignements, par exemple une explication des fins auxquelles ils sont ou ont été utilisés.
  • Demander des informations sur la façon dont ces renseignements ont été communiqués et les personnes auxquelles ils ont été ou peuvent avoir été transmis, par exemple une liste des organisations.
  • Contester l’exactitude ou l’exhaustivité de ces renseignements et demander qu’ils soient corrigés ou mis à jour.
  • Refuser son consentement à la collecte, à l’utilisation ou à la divulgation continue de ces renseignements.
  • Déposer une plainte au sujet de la collecte, de l’utilisation ou de la divulgation de ces renseignements par une organisation.

La Loi sur la protection des renseignements personnels dans le secteur privé du Québec (la « Loi du Québec ») confère aussi plusieurs droits uniques aux particuliers, notamment :

  • le droit d’être informé de l’utilisation des renseignements personnels ainsi que de demander des informations et de présenter des observations à leur sujet pour rendre une décision fondée exclusivement sur le traitement automatisé de ceux-ci;
  • le droit restreint de demander à une entreprise de cesser de diffuser leurs renseignements personnels, ou de désindexer ou réindexer un hyperlien rattaché à leur nom permettant d’accéder à ces renseignements par un moyen technologique;
  • à compter du 22 septembre 2024, le droit restreint à la portabilité des données, par exemple le droit de demander que les renseignements personnels informatisés recueillis auprès de la personne concernée soient communiqués à cette dernière, à une personne ou à un organisme dans un format technologique structuré et couramment utilisé.

Dans certains cas, les lois sur la protection de la vie privée applicables prévoient des conditions préalables, des exceptions ou des restrictions aux droits des personnes concernées ainsi que le délai dans lequel une organisation doit répondre, le contenu de cette réponse et/ou le format dans lequel l’accès aux renseignements personnels doit être accordé.

De plus, les organisations sont généralement tenues de fournir aux particuliers des renseignements sur la façon dont ils peuvent exercer leurs droits. Par exemple, en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques, une organisation est tenue de mettre en place des procédures pour recevoir les plaintes et les demandes de renseignements relatives à la protection de la vie privée et pour y donner suite. Elle doit aussi fournir le nom ou la fonction de même que l’adresse de la personne à qui il faut acheminer les plaintes et les demandes de renseignements ainsi que la description du moyen d’accès aux renseignements personnels que possède l’organisation. Des exigences semblables existent dans d’autres territoires, notamment en vertu de la Personal Information Protection Act de la Colombie-Britannique, qui demande aux organisations d’élaborer un processus pour donner suite aux plaintes qui pourraient être déposées relativement à l’application de cette loi et de fournir sur demande des renseignements sur ce processus.

La Loi du Québec prescrit également à toute personne qui exploite une entreprise d’établir et de mettre en œuvre des politiques et des pratiques encadrant sa gouvernance à l’égard des renseignements personnels, y compris un processus de traitement des plaintes relatives à la protection de ceux-ci. Ces politiques et pratiques doivent être proportionnées à la nature et à l’importance des activités de l’entreprise, être approuvées par le responsable de la protection des renseignements personnels de cette dernière et être publiées en termes simples et clairs sur son site Internet ou, si elle n’a pas de site, rendues accessibles par tout autre moyen approprié.

Les politiques et les procédures relatives aux réponses données aux personnes concernées doivent également comprendre des processus appropriés de vérification de l’identité, car le fait de ne pas confirmer la légitimité de leurs demandes peut entraîner une atteinte à la vie privée devant être signalée si l’accès aux renseignements personnels est fourni à une personne non autorisée. Il faut soigneusement mettre au point les processus d’authentification au cas par cas pour que les exigences des lois et des indications réglementaires du Canada sur la protection de la vie privée soient respectées. Par exemple, même si les organismes canadiens de réglementation de la protection de la vie privée désapprouvent en général la collecte d’autres renseignements personnels sensibles (comme des copies de pièces d’identité délivrées par le gouvernement) dans le seul but de vérifier l’identité d’une personne dans le cadre d’une demande d’accès, il peut être approprié de le faire dans certains contextes.

Ne pas donner suite à la demande d’une personne concernée d’une manière rapide et légalement conforme peut engendrer divers risques pour les entreprises, y compris nuire à la relation avec les clients. De nombreuses plaintes déposées auprès des organismes canadiens de réglementation de la protection de la vie privée allèguent un traitement inefficace des demandes. De telles plaintes peuvent donner lieu à des enquêtes réglementaires pour lesquelles la collecte d’informations nécessite beaucoup de temps et d’argent. Il est donc impératif que les organisations adoptent des politiques et des pratiques efficaces pour donner suite adéquatement aux demandes des personnes concernées et documenter ces réponses de manière à prouver la conformité en cas de contestation.

Mesures à adopter

Maîtrisez le processus de réponse efficace et légalement conforme aux demandes des personnes concernées d’exercer leurs droits 1) en vous familiarisant avec les droits dont disposent ces personnes dans le ou les territoires où votre organisation exerce ses activités ainsi qu’avec les exceptions liées à ces droits; 2) en veillant à ce que les politiques de protection de la vie privée, les avis et la formulation du consentement de votre organisation informent les particuliers de la manière dont elles peuvent exercer leurs droits en tant que personnes concernées; 3) en élaborant des politiques et des procédures internes claires et détaillées sur la réception, la documentation et la transmission des demandes des personnes concernées ainsi que sur la façon d’y donner suite, y compris en précisant les processus de vérification de l’identité et les échéances pertinentes; 4) en examinant et en mettant à jour les politiques et procédures actuelles de traitement des demandes des personnes concernées afin de tenir compte des modifications récentes et à venir des lois et des indications réglementaires du Canada sur la protection de la vie privée; 5) lorsque la Loi du Québec l’exige, en élaborant et en publiant le processus de votre organisation en matière de règlement des plaintes relatives à la protection des renseignements personnels; 6) en veillant à ce que les contrats conclus avec des tiers tels que des fournisseurs et des sociétés affiliées expliquent de manière appropriée la façon dont les demandes seront traitées; et 7) en fournissant régulièrement aux employés une formation adaptée à leurs fonctions sur les politiques et procédures de votre organisation à l’égard du traitement des demandes.

L’équipe du groupe Protection de la vie privée et des données de McMillan peut aider votre organisation à adopter les mesures ci-dessus. Nous vous invitons à communiquer avec votre représentant.e chez McMillan pour obtenir le soutien dont votre organisation a besoin en vue de respecter ces questions essentielles de conformité en matière de protection de la vie privée.

Par Lyndsay Wasser et Kristen Pennington

Mise en garde

Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis.

© McMillan S.E.N.C.R.L., s.r.l. 2024

Perspectives (5 Posts)Voir Plus

Featured Insight

Les cinq principales mesures que vous n’appliquez probablement pas (mais que vous devriez) pour vous conformer aux Lois canadiennes sur la protection de la vie privée – MESURE Nº 5 : formation des employés

La formation des employés constitue une mesure à prendre essentielle pour assurer l’efficacité d’un programme canadien de conformité en matière de protection de la vie privée.

Lire plus
25 Sep, 2024
Featured Insight

Les dates limites approchent : le gouvernement du Canada lance une série de consultations sur l’avenir commercial du Canada

Le gouvernement a lancé une série de consultations publiques sans précédent sur la politique commerciale, qui visent notamment la sécurité économique, certains produits en provenance de la Chine et l’ACEUM.

Lire plus
25 Sep, 2024
Featured Insight

Les États-Unis contestent la taxe sur les services numériques du Canada

On August 30, 2024, the United States challenged Canada’s Digital Services Tax under CUSMA. The dispute implicates billions of dollars in Canada-US trade.

Lire plus
25 Sep, 2024
Featured Insight

La nouvelle disposition québécoise relative à la portabilité des données : les principales caractéristiques que vous devez connaître

Dans ce bulletin, nous vous présentons un aperçu de la nouvelle disposition québécoise relative à la portabilité des données.

Lire plus
20 Sep, 2024
Featured Insight

Conférence – Expropriation 2.0 : Naviguer dans les nouvelles règles

Plongez dans la récente réforme des règles d'expropriation au Québec sous un angle pratique.

Détails
Le mardi 22 octobre 2024