ANNEXE 1
|
|
|
PRINCIPES ÉNONCÉS DANS LA NORME NATIONALE DU CANADA INTITULÉE CODE TYPE SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS, CAN/CSA-Q830-96 |
|
|
4.1 Premier principe - Responsabilité
|
|
|
Une organisation est responsable des renseignements
personnels dont elle a la gestion et doit désigner une ou des
personnes qui devront s'assurer du respect des principes énoncés
ci-dessous.
|
|
|
4.1.1
|
|
|
Il incombe à la ou aux personnes désignées de s'assurer que
l'organisation respecte les principes même si d'autres membres
de l'organisation peuvent être chargés de la collecte et du
traitement quotidiens des renseignements personnels. D'autres
membres de l'organisation peuvent aussi être délégués pour agir
au nom de la ou des personnes désignées.
|
|
|
4.1.2
|
|
|
Il doit être possible de connaître sur demande l'identité des
personnes que l'organisation a désignées pour s'assurer que les
principes sont respectés.
|
|
|
4.1.3
|
|
|
Une organisation est responsable des renseignements
personnels qu'elle a en sa possession ou sous sa garde, y compris
les renseignements confiés à une tierce partie aux fins de
traitement. L'organisation doit, par voie contractuelle ou autre,
fournir un degré comparable de protection aux renseignements
qui sont en cours de traitement par une tierce partie.
|
|
|
4.1.4
|
|
|
Les organisations doivent assurer la mise en oeuvre des
politiques et des pratiques destinées à donner suite aux principes,
y compris :
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
4.2 Deuxième principe - Détermination des fins de la
collecte des renseignements
|
|
|
Les fins auxquelles des renseignements personnels sont
recueillis doivent être déterminées par l'organisation avant la
collecte ou au moment de celle-ci.
|
|
|
4.2.1
|
|
|
L'organisation doit documenter les fins auxquelles les
renseignements personnels sont recueillis afin de se conformer
au principe de la transparence (article 4.8) et au principe de
l'accès aux renseignements personnels (article 4.9).
|
|
|
4.2.2
|
|
|
Le fait de préciser les fins de la collecte de renseignements
personnels avant celle-ci ou au moment de celle-ci permet à
l'organisation de déterminer les renseignements dont elle a
besoin pour réaliser les fins mentionnées. Suivant le principe de
la limitation en matière de collecte (article 4.4), l'organisation ne
doit recueillir que les renseignements nécessaires aux fins
mentionnées.
|
|
|
4.2.3
|
|
|
Il faudrait préciser à la personne auprès de laquelle on recueille
des renseignements, avant la collecte ou au moment de celle-ci,
les fins auxquelles ils sont destinés. Selon la façon dont se fait la
collecte, cette précision peut être communiquée de vive voix ou
par écrit. Par exemple, on peut indiquer ces fins sur un formulaire
de demande de renseignements.
|
|
|
4.2.4
|
|
|
Avant de se servir de renseignements personnels à des fins non
précisées antérieurement, les nouvelles fins doivent être
précisées avant l'utilisation. À moins que les nouvelles fins
auxquelles les renseignements sont destinés ne soient prévues
par une loi, il faut obtenir le consentement de la personne
concernée avant d'utiliser les renseignements à cette nouvelle
fin. Pour obtenir plus de précisions sur le consentement, se
reporter au principe du consentement (article 4.3).
|
|
|
4.2.5
|
|
|
Les personnes qui recueillent des renseignements personnels
devraient être en mesure d'expliquer à la personne concernée à
quelles fins sont destinés ces renseignements.
|
|
|
4.2.6
|
|
|
Ce principe est étroitement lié au principe de la limitation de
la collecte (article 4.4) et à celui de la limitation de l'utilisation,
de la communication et de la conservation (article 4.5).
|
|
|
4.3 Troisième principe - Consentement
|
|
|
Toute personne doit être informée de toute collecte, utilisation
ou communication de renseignements personnels qui la
concernent et y consentir, à moins qu'il ne soit pas approprié de
le faire.
|
|
|
Note : Dans certaines circonstances, il est possible de
recueillir, d'utiliser et de communiquer des renseignements à
l'insu de la personne concernée et sans son consentement. Par
exemple, pour des raisons d'ordre juridique ou médical ou pour
des raisons de sécurité, il peut être impossible ou peu réaliste
d'obtenir le consentement de la personne concernée. Lorsqu'on
recueille des renseignements aux fins du contrôle d'application
de la loi, de la détection d'une fraude ou de sa prévention, on peut
aller à l'encontre du but visé si l'on cherche à obtenir le
consentement de la personne concernée. Il peut être impossible
ou inopportun de chercher à obtenir le consentement d'un
mineur, d'une personne gravement malade ou souffrant
d'incapacité mentale. De plus, les organisations qui ne sont pas
en relation directe avec la personne concernée ne sont pas
toujours en mesure d'obtenir le consentement prévu. Par
exemple, il peut être peu réaliste pour une oeuvre de bienfaisance
ou une entreprise de marketing direct souhaitant acquérir une
liste d'envoi d'une autre organisation de chercher à obtenir le
consentement des personnes concernées. On s'attendrait, dans de
tels cas, à ce que l'organisation qui fournit la liste obtienne le
consentement des personnes concernées avant de communiquer
des renseignements personnels.
|
|
|
4.3.1
|
|
|
Il faut obtenir le consentement de la personne concernée avant
de recueillir des renseignements personnels à son sujet et
d'utiliser ou de communiquer les renseignements recueillis.
Généralement, une organisation obtient le consentement des
personnes concernées relativement à l'utilisation et à la
communication des renseignements personnels au moment de la
collecte. Dans certains cas, une organisation peut obtenir le
consentement concernant l'utilisation ou la communication des
renseignements après avoir recueilli ces renseignements, mais
avant de s'en servir, par exemple, quand elle veut les utiliser à des
fins non précisées antérieurement.
|
|
|
4.3.2
|
|
|
Suivant ce principe, il faut informer la personne au sujet de
laquelle on recueille des renseignements et obtenir son
consentement. Les organisations doivent faire un effort
raisonnable pour s'assurer que la personne est informée des fins
auxquelles les renseignements seront utilisés. Pour que le
consentement soit valable, les fins doivent être énoncées de façon
que la personne puisse raisonnablement comprendre de quelle
manière les renseignements seront utilisés ou communiqués.
|
|
|
4.3.3
|
|
|
Une organisation ne peut pas, pour le motif qu'elle fournit un
bien ou un service, exiger d'une personne qu'elle consente à la
collecte, à l'utilisation ou à la communication de renseignements
autres que ceux qui sont nécessaires pour réaliser les fins
légitimes et explicitement indiquées.
|
|
|
4.3.4
|
|
|
La forme du consentement que l'organisation cherche à
obtenir peut varier selon les circonstances et la nature des
renseignements. Pour déterminer la forme que prendra le
consentement, les organisations doivent tenir compte de la
sensibilité des renseignements. Si certains renseignements sont
presque toujours considérés comme sensibles, par exemple les
dossiers médicaux et le revenu, tous les renseignements peuvent
devenir sensibles suivant le contexte. Par exemple, les nom et
adresse des abonnés d'une revue d'information ne seront
généralement pas considérés comme des renseignements
sensibles. Toutefois, les nom et adresse des abonnés de certains
périodiques spécialisés pourront l'être.
|
|
|
4.3.5
|
|
|
Dans l'obtention du consentement, les attentes raisonnables
de la personne sont aussi pertinentes. Par exemple, une personne
qui s'abonne à un périodique devrait raisonnablement s'attendre
à ce que l'entreprise, en plus de se servir de son nom et de son
adresse à des fins de postage et de facturation, communique avec
elle pour lui demander si elle désire que son abonnement soit
renouvelé. Dans ce cas, l'organisation peut présumer que la
demande de la personne constitue un consentement à ces fins
précises. D'un autre côté, il n'est pas raisonnable qu'une
personne s'attende à ce que les renseignements personnels
qu'elle fournit à un professionnel de la santé soient donnés sans
son consentement à une entreprise qui vend des produits de soins
de santé. Le consentement ne doit pas être obtenu par un
subterfuge.
|
|
|
4.3.6
|
|
|
La façon dont une organisation obtient le consentement peut
varier selon les circonstances et la nature des renseignements
recueillis. En général, l'organisation devrait chercher à obtenir
un consentement explicite si les renseignements sont
susceptibles d'être considérés comme sensibles. Lorsque les
renseignements sont moins sensibles, un consentement implicite
serait normalement jugé suffisant. Le consentement peut
également être donné par un représentant autorisé (détenteur
d'une procuration, tuteur).
|
|
|
4.3.7
|
|
|
Le consentement peut revêtir différentes formes, par
exemple :
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
4.3.8
|
|
|
Une personne peut retirer son consentement en tout temps,
sous réserve de restrictions prévues par une loi ou un contrat et
d'un préavis raisonnable. L'organisation doit informer la
personne des conséquences d'un tel retrait.
|
|
|
4.4 Quatrième principe - Limitation de la collecte
|
|
|
L'organisation ne peut recueillir que les renseignements
personnels nécessaires aux fins déterminées et doit procéder de
façon honnête et licite.
|
|
|
4.4.1
|
|
|
Les organisations ne doivent pas recueillir des renseignements
de façon arbitraire. On doit restreindre tant la quantité que la
nature des renseignements recueillis à ce qui est nécessaire pour
réaliser les fins déterminées. Conformément au principe de la
transparence (article 4.8), les organisations doivent préciser la
nature des renseignements recueillis comme partie intégrante de
leurs politiques et pratiques concernant le traitement des
renseignements.
|
|
|
4.4.2
|
|
|
L'exigence selon laquelle les organisations sont tenues de
recueillir des renseignements personnels de façon honnête et
licite a pour objet de les empêcher de tromper les gens et de les
induire en erreur quant aux fins auxquelles les renseignements
sont recueillis. Cette obligation suppose que le consentement à la
collecte de renseignements ne doit pas être obtenu par un
subterfuge.
|
|
|
4.4.3
|
|
|
Ce principe est étroitement lié au principe de détermination
des fins auxquelles la collecte est destinée (article 4.2) et à celui
du consentement (article 4.3).
|
|
|
4.5 Cinquième principe - Limitation de l'utilisation, de la
communication et de la conservation
|
|
|
Les renseignements personnels ne doivent pas être utilisés ou
communiqués à des fins autres que celles auxquelles ils ont été
recueillis à moins que la personne concernée n'y consente ou que
la loi ne l'exige. On ne doit conserver les renseignements
personnels qu'aussi longtemps que nécessaire pour la réalisation
des fins déterminées.
|
|
|
4.5.1
|
|
|
Les organisations qui se servent de renseignements personnels
à des fins nouvelles doivent documenter ces fins (voir article
4.2.1).
|
|
|
4.5.2
|
|
|
Les organisations devraient élaborer des lignes directrices et
appliquer des procédures pour la conservation des
renseignements personnels. Ces lignes directrices devraient
préciser les durées minimales et maximales de conservation. On
doit conserver les renseignements personnels servant à prendre
une décision au sujet d'une personne suffisamment longtemps
pour permettre à la personne concernée d'exercer son droit
d'accès à l'information après que la décision a été prise. Une
organisation peut être assujettie à des exigences prévues par la loi
en ce qui concerne les périodes de conservation.
|
|
|
4.5.3
|
|
|
On devrait détruire, effacer ou dépersonnaliser les
renseignements personnels dont on n'a plus besoin aux fins
précisées. Les organisations doivent élaborer des lignes
directrices et appliquer des procédures régissant la destruction
des renseignements personnels.
|
|
|
4.5.4
|
|
|
Ce principe est étroitement lié au principe du consentement
(article 4.3), à celui de la détermination des fins auxquelles la
collecte est destinée (article 4.2), ainsi qu'à celui de l'accès
individuel (article 4.9).
|
|
|
4.6 Sixième principe - Exactitude
|
|
|
Les renseignements personnels doivent être aussi exacts,
complets et à jour que l'exigent les fins auxquelles ils sont
destinés.
|
|
|
4.6.1
|
|
|
Le degré d'exactitude et de mise à jour ainsi que le caractère
complet des renseignements personnels dépendront de l'usage
auquel ils sont destinés, compte tenu des intérêts de la personne.
Les renseignements doivent être suffisamment exacts, complets
et à jour pour réduire au minimum la possibilité que des
renseignements inappropriés soient utilisés pour prendre une
décision à son sujet.
|
|
|
4.6.2
|
|
|
Une organisation ne doit pas systématiquement mettre à jour
les renseignements personnels à moins que cela ne soit nécessaire
pour atteindre les fins auxquelles ils ont été recueillis.
|
|
|
4.6.3
|
|
|
Les renseignements personnels qui servent en permanence, y
compris les renseignements qui sont communiqués à des tiers,
devraient normalement être exacts et à jour à moins que des
limites se rapportant à l'exactitude de ces renseignements ne
soient clairement établies.
|
|
|
4.7 Septième principe - Mesures de sécurité
|
|
|
Les renseignements personnels doivent être protégés au
moyen de mesures de sécurité correspondant à leur degré de
sensibilité.
|
|
|
4.7.1
|
|
|
Les mesures de sécurité doivent protéger les renseignements
personnels contre la perte ou le vol ainsi que contre la
consultation, la communication, la copie, l'utilisation ou la
modification non autorisées. Les organisations doivent protéger
les renseignements personnels quelle que soit la forme sous
laquelle ils sont conservés.
|
|
|
4.7.2
|
|
|
La nature des mesures de sécurité variera en fonction du degré
de sensibilité des renseignements personnels recueillis, de la
quantité, de la répartition et du format des renseignements
personnels ainsi que des méthodes de conservation. Les
renseignements plus sensibles devraient être mieux protégés. La
notion de sensibilité est présentée à l'article 4.3.4.
|
|
|
4.7.3
|
|
|
Les méthodes de protection devraient comprendre :
|
|
|
|
|
|
|
|
|
|
|
|
4.7.4
|
|
|
Les organisations doivent sensibiliser leur personnel à
l'importance de protéger le caractère confidentiel des
renseignements personnels.
|
|
|
4.7.5
|
|
|
Au moment du retrait ou de la destruction des renseignements
personnels, on doit veiller à empêcher les personnes non
autorisées d'y avoir accès (article 4.5.3)
|
|
|
4.8 Huitième principe - Transparence
|
|
|
Une organisation doit faire en sorte que des renseignements
précis sur ses politiques et ses pratiques concernant la gestion des
renseignements personnels soient facilement accessibles à toute
personne.
|
|
|
4.8.1
|
|
|
Les organisations doivent faire preuve de transparence au
sujet de leurs politiques et pratiques concernant la gestion des
renseignements personnels. Une personne doit pouvoir obtenir
sans efforts déraisonnables de l'information au sujet des
politiques et des pratiques d'une organisation. Ces
renseignements doivent être fournis sous une forme
généralement compréhensible.
|
|
|
4.8.2
|
|
|
Les renseignements fournis doivent comprendre :
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
4.8.3
|
|
|
Une organisation peut rendre l'information concernant sa
politique et ses pratiques accessibles de diverses façons. La
méthode choisie est fonction de la nature des activités de
l'organisation et d'autres considérations. Par exemple, une
organisation peut offrir des brochures à son établissement, poster
des renseignements à ses clients, offrir un accès en ligne ou établir
un numéro de téléphone sans frais.
|
|
|
4.9 Neuvième principe - Accès aux renseignements
personnels
|
|
|
Une organisation doit informer toute personne qui en fait la
demande de l'existence de renseignements personnels qui la
concernent, de l'usage qui en est fait et du fait qu'ils ont été
communiqués à des tiers, et lui permettre de les consulter. Il sera
aussi possible de contester l'exactitude et l'intégralité des
renseignements et d'y faire apporter les corrections appropriées.
|
|
|
Note : Dans certains cas, il peut être impossible à une
organisation de communiquer tous les renseignements
personnels qu'elle possède au sujet d'une personne. Les
exceptions aux exigences en matière d'accès aux renseignements
personnels devraient être restreintes et précises. On devrait
informer la personne, sur demande, des raisons pour lesquelles
on lui refuse l'accès aux renseignements. Ces raisons peuvent
comprendre le coût exorbitant de la fourniture de l'information,
le fait que les renseignements personnels contiennent des détails
sur d'autres personnes, l'existence de raisons d'ordre juridique,
de raisons de sécurité ou de raisons d'ordre commercial
exclusives et le fait que les renseignements sont protégés par le
secret professionnel ou dans le cours d'une procédure de nature
judiciaire.
|
|
|
4.9.1
|
|
|
Une organisation doit informer la personne qui en fait la
demande du fait qu'elle possède des renseignements personnels
à son sujet, le cas échéant. Les organisations sont invitées à
indiquer la source des renseignements. L'organisation doit
permettre à la personne concernée de consulter ces
renseignements. Dans le cas de renseignements médicaux
sensibles, l'organisation peut préférer que ces renseignements
soient communiqués par un médecin. En outre, l'organisation
doit informer la personne concernée de l'usage qu'elle fait ou a
fait des renseignements et des tiers à qui ils ont été communiqués.
|
|
|
4.9.2
|
|
|
Une organisation peut exiger que la personne concernée lui
fournisse suffisamment de renseignements pour qu'il lui soit
possible de la renseigner sur l'existence, l'utilisation et la
communication de renseignements personnels. L'information
ainsi fournie doit servir à cette seule fin.
|
|
|
4.9.3
|
|
|
L'organisation qui fournit le relevé des tiers à qui elle a
communiqué des renseignements personnels au sujet d'une
personne devrait être la plus précise possible. S'il lui est
impossible de fournir une liste des organisations à qui elle a
effectivement communiqué des renseignements au sujet d'une
personne, l'organisation doit fournir une liste des organisations
à qui elle pourrait avoir communiqué de tels renseignements.
|
|
|
4.9.4
|
|
|
Une organisation qui reçoit une demande de communication
de renseignements doit répondre dans un délai raisonnable et ne
peut exiger, pour ce faire, que des droits minimes. Les
renseignements demandés doivent être fournis sous une forme
généralement compréhensible. Par exemple, l'organisation qui
se sert d'abréviations ou de codes pour l'enregistrement des
renseignements doit fournir les explications nécessaires.
|
|
|
4.9.5
|
|
|
Lorsqu'une personne démontre que des renseignements
personnels sont inexacts ou incomplets, l'organisation doit
apporter les modifications nécessaires à ces renseignements.
Selon la nature des renseignements qui font l'objet de la
contestation, l'organisation doit corriger, supprimer ou ajouter
des renseignements. S'il y a lieu, l'information modifiée doit être
communiquée à des tiers ayant accès à l'information en question.
|
|
|
4.9.6
|
|
|
Lorsqu'une contestation n'est pas réglée à la satisfaction de la
personne concernée, l'organisation prend note de l'objet de la
contestation. S'il y a lieu, les tierces parties ayant accès à
l'information en question doivent être informées du fait que la
contestation n'a pas été réglée.
|
|
|
4.10 Dixième principe - Possibilité de porter plainte à
l'égard du non-respect des principes
|
|
|
Toute personne doit être en mesure de se plaindre du
non-respect des principes énoncés ci-dessus en communiquant
avec le ou les personnes responsables de les faire respecter au sein
de l'organisation concernée.
|
|
|
4.10.1
|
|
|
La question de la désignation de la personne responsable du
respect des principes dans l'organisation fait l'objet de l'article
4.1.1.
|
|
|
4.10.2
|
|
|
Les organisations doivent établir des procédures pour recevoir
les plaintes et les demandes de renseignements concernant leurs
politiques et pratiques de gestion des renseignements personnels
et y donner suite. Les procédures relatives aux plaintes devraient
être facilement accessibles et simples à utiliser.
|
|
|
4.10.3
|
|
|
Les organisations doivent informer les personnes qui
présentent une demande de renseignements ou déposent une
plainte de l'existence des procédures pertinentes. Il peut exister
un éventail de ces procédures. Par exemple, certaines autorités
réglementaires acceptent les plaintes concernant les pratiques de
gestion des renseignements personnels des entreprises relevant
de leur compétence.
|
|
|
4.10.4
|
|
|
Une organisation doit faire enquête sur toutes les plaintes. Si
une plainte est jugée fondée, l'organisation doit prendre les
mesures appropriées, y compris la modification de ses politiques
et de ses pratiques au besoin.
|
|
|