Les cinq principales mesures que vous n’appliquez probablement pas (mais que vous devriez) pour vous conformer aux lois canadiennes sur la protection de la vie privée

Les cinq principales mesures que vous n’appliquez probablement pas (mais que vous devriez) pour vous conformer aux lois canadiennes sur la protection de la vie privée

Au fil du temps, les exigences du droit canadien en matière de protection de la vie privée ont beaucoup évolué, notamment en fonction des indications réglementaires et de la jurisprudence. Il peut donc être difficile pour les entreprises de respecter leurs obligations. Plus particulièrement, les programmes de conformité en matière de protection de la vie privée des entreprises canadiennes présentent souvent des lacunes dans les cinq (5) domaines communs énumérés ci-après.

1.    Obtention d’un consentement valide

Habituellement, lorsque les consommateurs achètent des biens ou les enregistrent, ou s’inscrivent à des services, ils doivent cocher une case à côté d’une ligne indiquant qu’ils consentent à la politique de confidentialité de l’organisation. Mais est-ce que cela constitue un consentement valide aux fins de collecte, d’utilisation et de communication de renseignements personnels au Canada? Selon les directives des organismes de réglementation, ce n’est pas le cas. Une stratégie de consentement efficace au Canada exige que l’on tienne compte des obligations statutaires uniques de chaque territoire ainsi que de la façon dont le Commissariat à la protection de la vie privée du Canada et ses homologues provinciaux ont interprété ces exigences.

2.     Évaluations des facteurs relatifs à la protection de la vie privée

Les organisations des secteurs public et de la santé ont pris l’habitude de réaliser des évaluations des facteurs relatifs à la protection de la vie privée (EFPVP), mais cette pratique est moins courante dans le secteur privé (sauf celui de la santé). Des modifications apportées récemment à la Loi sur la protection des renseignements personnels dans le secteur privé du Québec ont mené à la formulation de nouvelles exigences en matière d’EFPVP pour les entreprises qui font affaire dans la province. Toutefois, beaucoup d’organisations n’ont pas encore mis en place de processus en vue de se conformer à ces exigences. De plus, les entreprises du Québec, comme celles partout ailleurs au Canada, devraient réfléchir aux circonstances dans lesquelles il leur est nécessaire ou pour lesquelles il est prudent d’effectuer une EFPVP afin de respecter leurs obligations en matière de protection de la vie privée.

3.     Gestion des fournisseurs

Au cours des dernières années, les organisations ont commencé à inclure des modalités relatives à la protection de la vie privée dans diverses ententes commerciales, comprenant souvent des addendas complets sur le traitement des données. Toutefois, celles-ci s’appuient parfois sur la législation d’autres territoires, comme le Règlement général sur la protection des données de l’Union européenne. Que vous reteniez les services d’un fournisseur pour traiter des renseignements personnels au nom de votre entreprise ou que vous soyez un fournisseur offrant vos services à des entreprises canadiennes, votre contrat doit obligatoirement respecter les lois canadiennes applicables en matière de protection de la vie privée. En outre, dans le cas des entreprises qui font appel à un fournisseur de services, une gestion adéquate des fournisseurs nécessite en plus des modalités contractuelles des processus rigoureux de sélection des fournisseurs et des activités de surveillance tout au long de la relation d’affaires.

4.      Réponse appropriée aux demandes des personnes concernées

Les plaintes les plus courantes soumises aux organismes de réglementation canadiens responsables de la protection de la vie privée concernent les demandes des personnes concernées. Il s’agit notamment de demandes d’accès à des renseignements personnels ou de rectification de ces derniers ainsi que de retraits du consentement. Lorsqu’elles mettent en œuvre des processus opportuns de transmission aux fins d’escalade et de traitement des demandes et des plaintes qui sont conformes à la loi, les organisations peuvent économiser du temps et éviter les frais d’enquête réglementaire.

5.     Formation des employés

Les employés sont souvent le « maillon faible » du programme de protection de la vie privée et des données d’une organisation. Même s’il est impossible d’éviter toute erreur humaine, le nombre de telles erreurs peut être réduit en offrant au personnel une formation appropriée. Alors qu’une séance de formation générale ponctuelle peut accroître la sensibilisation des employés, une formation continue et des activités adaptées aux responsabilités de chacun peuvent diminuer considérablement la probabilité d’atteintes à la protection de la vie privée et des données au sein d’une organisation.

Le groupe Protection de la vie privée et des données de McMillan a conçu une série en cinq parties pour aider les entreprises canadiennes à comprendre leurs obligations au Canada relativement à chacun des sujets susmentionnés. Au cours des cinq

(5) prochaines semaines, nous vous invitons à surveiller nos conseils pratiques et recommandations de mesures à adopter qui permettront à votre organisation de se conformer aux exigences essentielles de la législation sur la protection de la vie privée!

par Lyndsay Wasser, Kristen Pennington et Robbie Grant

Mise en garde

Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis.

© McMillan S.E.N.C.R.L., s.r.l. 2024