Protection des renseignements personnels de vos clients : connaissez-vous vos obligations?

Pour répondre aux exigences de la LPRPDE, vous devez offrir à vos employés une formation sur le respect des renseignements personnels. Le Commissariat à la protection de la vie privée du Canada n’accepte pas l’erreur d’un employé comme excuse à une infraction à la Loi. Vous devez prendre les mesures nécessaires pour faire appliquer votre politique sur la vie privée dans votre entreprise, par exemple en multipliant les formations sur le sujet, en imposant des mesures disciplinaires à ceux qui ne se conforment pas aux procédures ou en limitant l’accès des employés aux renseignements personnels. 
 

Il vous incombe de protéger les renseignements personnels que vous recueillez, tout particulièrement ceux qui concernent la santé, la situation financière ou tout ce qui pourrait servir à un vol d’identité. Vous devez prendre les mesures qui s’imposent, par exemple, crypter les clés USB, les ordinateurs, les appareils mobiles et les disques durs qui contiennent des renseignements personnels. 

Vous pouvez utiliser les renseignements dans un autre but que celui pour lequel vous les recueillez, par exemple, pour une campagne de marketing, à condition de demander la permission de le faire et d’indiquer que la demande est optionnelle.  
 

En vertu de la LPRPDE, vous devez désigner un responsable de la protection de la vie privée qui sera chargé de la conformité à la Loi dans votre entreprise. Ses coordonnées doivent être facilement accessibles sur votre site Web et vos employés doivent être en mesure de les donner aussi sur demande. 
 

Vos clients ont le droit de consulter, dans un délai de 30 jours, les renseignements que vous avez sur eux et qui permettent de les identifier. Ceci doit être fait gratuitement ou à peu de frais, et comprend les informations écrites et les enregistrements vidéo et audio. Si votre entreprise est sous réglementation fédérale, vos employés et les personnes qui postulent chez vous peuvent également faire une demande d’accès à leurs renseignements. Vous devez toutefois protéger les renseignements personnels de tiers dans le processus. Renseignez-vous également sur les quelques exceptions qui restreignent le droit d’accès. 
 

À moins que la loi ne l’exige, indiquez clairement sur tous vos formulaires que le numéro d’assurance social (NAS) n’est pas nécessaire pour obtenir vos produits ou services. Vous pouvez demander à voir le permis de conduire pour identifier une personne ou valider son adresse. Par contre, vous ne devriez jamais le photocopier ou noter le numéro du permis, sauf dans des circonstances bien précises. 

En vertu du Règlement sur les atteintes aux mesures de sécurité, si les renseignements personnels que vous détenez ont été compromis, vous devez : 

• Déterminer si l’atteinte présente « un risque réel de préjudice grave » pour la personne dont les renseignements ont été compromis, notamment : lésion corporelle, humiliation, dommage à la réputation ou aux relations, perte de possibilité d’emploi, d’occasions d’affaires ou d’activités professionnelles, perte financière, vol d’identité, effet négatif sur le dossier de crédit et dommage aux biens ou leur perte.  
• Informer dès que possible les personnes touchées par une atteinte qui « pose un risque réel de préjudice grave ». 
• Signaler dès que possible au Commissariat à la protection de la vie privée toute atteinte aux données qui « pose un risque réel de préjudice grave. »
• Lorsqu’il y a lieu, aviser les tiers qui peuvent être également concernés par l’atteinte (p. ex. des sociétés de cartes de crédit). 
• Conserver un registre des atteintes aux données et le transmettre, sur demande, au commissaire à la protection de la vie privée.