Protection des renseignements personnels de vos clients : connaissez-vous vos obligations? | FCEI
Nous vivons dans un monde numérique et la façon dont vous gérez l’information de vos clients est importante. Les gens sont de plus en plus préoccupés et se sentent de plus en plus concernés par la façon dont leurs renseignements personnels sont collectés, utilisés et partagés.
Le gouvernement fédéral a adopté la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) pour encadrer la façon dont vous gérez les renseignements personnels recueillis dans le cadre de vos activités commerciales.
Votre entreprise est-elle concernée?
La LPRPDE s’applique à toutes les entreprises du secteur privé exerçant des activités commerciales au Canada, sauf si une province a adopté une loi sur la protection de la vie privée considérée comme essentiellement équivalente. La Colombie-Britannique, l’Alberta et le Québec ont leurs propres lois en la matière. Toutefois, même si votre entreprise est située dans l’une de ces provinces, la LPRPDE peut tout de même s’appliquer si des renseignements personnels ou des activités commerciales franchissent les frontières provinciales ou territoriales. En ce qui concerne les entreprises qui recueillent des renseignements personnels sur la santé, le Nouveau-Brunswick, la Nouvelle-Écosse, Terre-Neuve-et-Labrador, l’Ontario et le Manitoba ont adopté des lois précises encadrant la collecte et le traitement de ces renseignements. Il est donc important de consulter la législation applicable dans votre province ou territoire.
Qu’est-ce qu’un « renseignement personnel »?
Les renseignements personnels comprennent notamment l’âge, les dossiers médicaux, les revenus, l’origine ethnique, les dossiers d’employés, les numéros de carte de crédit. En général, tout renseignement qui n’apparaît pas normalement sur une carte d’affaires est protégé par la loi.
Vous trouverez la liste complète sur le site Web du Commissariat à la protection de la vie privée du Canada.
Comment créer une politique sur la protection des renseignements personnels?
Le Commissariat à la protection de la vie privée du Canada vous propose plusieurs ressources pour partir du bon pied :
- Un Guide sur la protection de la vie privée à l’intention des entreprises, qui vous permet de comprendre vos responsabilités, la LPRPDE et les grandes lignes d’une bonne politique sur la vie privée.
- Une liste de 10 conseils pour améliorer votre politique de confidentialité en ligne
- Une vidéo sur la protection de la vie privée de vos clients
- Et plusieurs autres ressources comme la section Aide sur la façon de se conformer à la LPRPDE
Comment puis-je me conformer à la Loi?
La législation en matière de protection de la vie privée est complexe, mais voici 6 mesures à prendre pour mieux protéger les renseignements de vos clients et de vos employés, et pour éviter une plainte.
1. Formez vos employés
Pour répondre aux exigences de la LPRPDE, vous devez offrir à vos employés une formation sur le respect des renseignements personnels. Le Commissariat à la protection de la vie privée du Canada n’accepte pas l’erreur d’un employé comme excuse à une infraction à la Loi. Vous devez prendre les mesures nécessaires pour faire appliquer votre politique sur la vie privée dans votre entreprise, par exemple en multipliant les formations sur le sujet, en imposant des mesures disciplinaires à ceux qui ne se conforment pas aux procédures ou en limitant l’accès des employés aux renseignements personnels.
2. Protégez les renseignements personnels
Il vous incombe de protéger les renseignements personnels que vous recueillez, tout particulièrement ceux qui concernent la santé, la situation financière ou tout ce qui pourrait servir à un vol d’identité. Vous devriez à tout le moins crypter les clés USB, les ordinateurs, les appareils mobiles et les disques durs qui contiennent des renseignements personnels.
Remarque : Vous pouvez utiliser les renseignements dans un autre but que celui pour lequel vous les recueillez, par exemple, pour une campagne de marketing, à condition de demander la permission de le faire et d’indiquer que la demande est optionnelle.
3. Nommez une personne responsable de la vie privée
En vertu de la LPRPDE, vous devez désigner un responsable de la protection de la vie privée qui sera chargé de la conformité à la Loi dans votre entreprise. Ses coordonnées doivent être facilement accessibles sur votre site Web et vos employés doivent être en mesure de les donner aussi sur demande.
4. Répondez aux demandes d’information
Vos clients ont le droit de consulter, dans un délai de 30 jours, les renseignements que vous avez sur eux et qui permettent de les identifier. Ceci doit être fait gratuitement ou à peu de frais, et comprend les informations écrites et les enregistrements vidéo et audio. Si votre entreprise est sous réglementation fédérale, vos employés et les personnes qui postulent chez vous peuvent également faire une demande d’accès à leurs renseignements. Vous devez toutefois protéger les renseignements personnels de tiers dans le processus. Renseignez-vous également sur les quelques exceptions qui restreignent le droit d’accès.
5. Ne demandez pas le NAS
À moins que la loi ne l’exige, indiquez clairement sur tous vos formulaires que le numéro d’assurance social (NAS) n’est pas nécessaire pour obtenir vos produits ou services. Vous pouvez demander à voir le permis de conduire pour identifier une personne ou valider son adresse. Par contre, vous ne devriez jamais le photocopier ou noter le numéro du permis, sauf dans des circonstances bien précises.
6. Divulguez les atteintes à la sécurité des données
En vertu du Règlement sur les atteintes aux mesures de sécurité, si les renseignements personnels que vous détenez ont été compromis, vous devez :
- Déterminer si l’atteinte présente « un risque réel de préjudice grave » pour la personne dont les renseignements ont été compromis, notamment : lésion corporelle, humiliation, dommage à la réputation ou aux relations, perte de possibilité d’emploi, d’occasions d’affaires ou d’activités professionnelles, perte financière, vol d’identité, effet négatif sur le dossier de crédit et dommage aux biens ou leur perte.
- Informer dès que possible les personnes touchées par une atteinte qui « pose un risque réel de préjudice grave ».
- Signaler dès que possible au Commissariat à la protection de la vie privée toute atteinte aux données qui « pose un risque réel de préjudice grave. »
- Lorsqu’il y a lieu, aviser les tiers qui peuvent être également concernés par l’atteinte (p. ex. des sociétés de cartes de crédit).
- Conserver un registre des atteintes aux données et le transmettre, sur demande, au commissaire à la protection de la vie privée
Vous cherchez un exemple de politique?
Voici une politique sur la protection des renseignements personnels dont vous pouvez vous inspirer : la nôtre! Une politique comme celle-ci est essentielle pour votre site Web.
Vous avez d’autres questions? Communiquez avec nous au 1 833 568-3234 ou à rheclair@fcei.ca. Vous pouvez aussi contacter le Commissariat à la protection de la vie privée du Canada au 1 800 282-1376 , ou remplir un formulaire en ligne, pour toute autre question concernant la LPRPDE et ses répercussions sur votre entreprise.