La LPRPDE et vous: la loi sur la protection des renseignements personnels au Canada

Vous n’avez pas besoin d’être un accro des nouvelles pour savoir que les données numériques sont plus à risque que jamais. L’accès aux informations sur la santé, les transactions bancaires et autres transactions rendent la vie plus pratique, mais elles mettent nos informations en danger contre les cybercriminels, l’espionnage du gouvernement et les simples erreurs humaines. En conséquence, les gouvernements et les industries font de leur mieux pour créer une atmosphère sécurisée pour la transmission et le stockage des données.


Des réglementations telles que le règlement général européen sur la protection des données (RGPD) ont été créées pour garantir que les consommateurs et les organisations sont protégés par la loi..

Heureusement, le Canada est l’un des premiers pays à anticiper ce besoin et à répondre en conséquence.

Le besoin de protection des données au Canada

Selon un rapport publié décrivant la croissance numérique canadienne et les tendances de l’industrie, plus de 80% des Canadiens ont effectué au moins une transaction en ligne au cours de l’année précédant la publication de l’étude (2018). Les tendances indiquent que les plateformes en ligne pour les vêtements, les voyages et les articles ménagers augmenteront en nombre et en trafic.

En plus du commerce électronique, des tendances comme le travail à distance, les jeux en ligne et la diffusion de contenu signifient que davantage de Canadiens utiliseront Internet pour le travail et les loisirs. Cela met en évidence la dépendance croissante à l’égard du commerce électronique et la nécessité de réglementations plus strictes concernant la collecte, le stockage et l’utilisation des données..

la vie privée n'est pas un crime

Dès 1996, le gouvernement canadien s’est rendu compte de la nécessité de lois sur la protection des données et a réagi en créant un ensemble de principes directeurs, le modèle de protection de la protection des renseignements personnels, par lequel les entreprises en ligne devraient vivre et exercer leurs activités..

Ces principes ont été officialisés et inscrits dans la loi en 2000 avec la création de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui a été mise à jour à nouveau en 2015 et a fixé une date finale au 1er novembre 2018 pour la conformité. Une autre mise à jour a été introduite et mise en œuvre en janvier 2018 et mai 2019.

La LPRPDE a été approuvée par la commission de régulation numérique de l’UE et est en fait antérieure à la version finale du RGPD d’environ six mois. En plus des normes comme les lignes directrices actuelles sur l’accessibilité des sites Web et d’autres lois sur la protection des renseignements personnels, la LPRPDE est conçue pour faire en sorte qu’Internet soit une plateforme sûre et accessible pour tous ceux qui en ont besoin ou veulent l’utiliser..

Qu’est-ce que la LPRPDE?

La Loi sur la protection des renseignements personnels et les documents électroniques couvre toute entreprise ou organisation du secteur privé qui recueille et / ou utilise des renseignements personnels dans le cadre de ses activités commerciales.

Aux fins du présent règlement, ces organisations sont définies comme toute entreprise dont l’objet principal est commercial, notamment la vente, la location, le troc avec le public, les organisations qui s’engagent dans des entreprises liées à l’adhésion et celles qui collectent et collectent des fonds. Cela s’applique également aux listes et montants des donateurs, sauf si cette information est requise par la loi..logo pipeda

Les règlements de la LPRPDE visent à couvrir toutes les provinces canadiennes, bien que beaucoup aient leurs propres règlements similaires concernant la collecte et la protection des données. Ces provinces sont l’Alberta, la Colombie-Britannique et le Québec; Le Labrador, le Nouveau-Brunswick, Terre-Neuve, la Nouvelle-Écosse et l’Ontario ont créé des règlements concernant la collecte, l’utilisation et le stockage de données liées à la santé.

La LPRPDE couvre également les informations transmises à travers les frontières canadiennes et les organisations sous réglementation fédérale comme:

  • Aéroports, compagnies aériennes et transport aérien
  • Banques locales et institutions financières étrangères autorisées
  • Compagnies de transport interprovinciales ou internationales
  • Entreprises de télécommunications
  • Radiodiffuseurs et télédiffuseurs
  • Opérations de forage offshore

Qui n’est pas lié par la LPRPDE?

L’objectif de la LPRPDE est de fournir une large protection et un ensemble unificateur de lignes directrices pour la collecte de données. Mais tout le monde n’est pas lié par ces réglementations.

Ces organisations et circonstances ne sont pas réglementées par la LPRPDE:

  • Renseignements recueillis par des organismes gouvernementaux et couverts par la Loi sur la protection des renseignements personnels.
  • Gouvernements et agents provinciaux ou territoriaux
  • Coordonnées de l’entreprise collectées, stockées et / ou utilisées à des fins professionnelles ou professionnelles
  • Informations collectées par des individus pour un usage personnel, telles que des listes de cartes de voeux
  • Informations collectées, utilisées et / ou stockées par des organisations à des fins artistiques, journalistiques et littéraires
  • Organismes sans but lucratif, s’ils ne sont pas engagés dans des activités commerciales
  • Partis et organisations politiques, à utiliser lors d’activités non commerciales

La plupart des écoles, des municipalités et des établissements médicaux publics sont régis par les lois et règlements de leur province, bien que la LPRPDE puisse s’appliquer dans certains cas..

Définition des informations personnelles

Maintenant que vous avez une compréhension de base de qui couvre la LPRPDE, vous vous demandez peut-être ce qu’elle couvre. Le gouvernement définit les renseignements personnels comme tout ce qui peut vous identifier, votre emplacement et votre statut d’emploi, y compris:pipeda cyber security

  • Noms, adresses, âge, numéro de compte ou d’identification, revenu, groupe sanguin ou origine ethnique
  • Opinions, réponses au sondage, commentaires, statut social ou matrimonial et mention de mesures disciplinaires
  • Dossiers d’emploi, de santé, militaires, de crédit et financiers
  • Preuve de litiges entre un consommateur et un commerçant

Les principes directeurs de la LPRPDE

La portée de la LPRPDE ne définit pas sa portée au-delà des frontières canadiennes, mais la Cour fédérale du Canada a décrété que les organisations à l’extérieur du Canada doivent respecter la conformité si leurs activités et leurs intérêts sont étroitement liés aux intérêts canadiens..

Non seulement les directives de la LPRPDE vous assureront que vous restez en conformité, mais les mises à jour de ce règlement visent à le maintenir en conformité avec les lois de protection / stockage des données dans d’autres pays. Cela nous permettra de continuer à élargir les possibilités financières à l’étranger et à protéger nos propres informations – et celles des citoyens canadiens – dans le processus..

bouton de verrouillage

Si vous n’êtes pas certain ou pas familier avec les lignes directrices de la LPRPDE, voici les 10 principes directeurs sur lesquels il est basé et la justification de chacun. Ces principes d’utilisation équitable de l’information sont décrits plus en détail dans le texte de l’annexe 1 du règlement sur la LPRPDE.

1. Responsabilité

Étant donné que vous êtes responsable des renseignements personnels que vous collectez et contrôlez, vous devez nommer un responsable de la protection des renseignements personnels qualifié dans le seul but d’assurer la conformité à la LPRPDE.

2. Identification des objectifs

Vous devez divulguer les données que vous collecterez et pourquoi vous en avez besoin avant ou au moment de la collecte des données.

3. Consentement éclairé

Vous devez informer les individus et obtenir leur consentement pour toute collecte, utilisation ou divulgation de leurs informations personnelles. Des exemptions s’appliquent aux cas où des raisons juridiques, médicales ou de sécurité rendent ce consentement éclairé impossible ou impossible.

4. Limiter la collecte

Toute information personnelle collectée doit être collectée par des moyens justes et légaux, et elle doit être limitée aux seules informations nécessaires aux fins légales identifiées par l’organisation.

5. Limitation de la divulgation, de la conservation et de l’utilisation

Les informations personnelles ne peuvent être utilisées ou divulguées qu’aux fins déclarées de la collecte. Toute information que vous collectez ne peut être conservée que pendant la durée indiquée pour remplir ces objectifs, et vous devez obtenir un consentement supplémentaire de la personne si ces conditions changent ou si la loi l’exige..

6. Exactitude des données

Toutes les données personnelles ou sensibles doivent être aussi précises, complètes et à jour que possible pour atteindre leur objectif.

7. Sauvegardes des données

Vous êtes responsable de la protection des informations personnelles par des normes de sécurité appropriées contre la perte, le vol, la copie, la modification, la divulgation, l’accès non autorisé ou l’utilisation.

8. Ouverture et transparenceicône de transparence des données

Vous devez être totalement transparent sur votre collecte / conservation des données. politiques et pratiques de stockage. Ces politiques et procédures doivent être facilement disponibles, accessibles et compréhensibles pour les particuliers et les organismes gouvernementaux.

9. Accès individuel

Toute personne qui demande des informations sur les données personnelles et la gestion / protection des données doit être informée de l’existence, de l’utilisation et de la divulgation de ses informations et avoir un accès complet à ces données. Ils ont également le droit de contester l’exactitude et l’exhaustivité et de demander que leurs données soient modifiées.

Votre droit de refuser de telles demandes est limité à des raisons commerciales, juridiques ou de sécurité, y compris celles couvertes par le privilège relatif au litige ou les relations avocat-client.

10. Contester la conformité

Les individus ont le droit de contester la conformité d’une organisation aux principes de la LPRPDE et d’adresser cette contestation au bon de commande de l’organisation responsable de la conformité à la LPRPDE.

Rester en conformité avec l’OPC

Pour chacun des principes, il existe un moyen de vous assurer que vous êtes en conformité et d’éviter un examen ou une sanction par le Commissariat à la protection de la vie privée. Voici 10 conseils simples conçus pour vous éviter les ennuis.

  1. Assurez-vous que votre politique de confidentialité est visible sur votre site Web aux visiteurs et au responsable de la confidentialité de votre organisation.
  2. Informer et former les collaborateurs concernant vos protocoles de confidentialité et assurez-vous qu’ils disposent des informations de contact pour votre bon de commande.
  3. Rappelez-vous que la balle s’arrête avec vous. Vous êtes responsable de la conformité et de vous assurer que tous les membres du personnel sont correctement formés et disposent des outils dont ils ont besoin.collecte d'informations personnelles sur la cybersécurité
  4. Affinez vos exigences et procédures de collecte de données. Si vous collectez des informations personnelles sur quiconque, y compris le personnel et les clients, collectez uniquement ce dont vous avez besoin et assurez-vous qu’elles sont stockées dans un environnement sécurisé.
  5. Rendre facultatif l’utilisation d’un NAS. À moins qu’il n’y ait une raison légale de le faire, n’exigez pas des clients qu’ils divulguent leur NAS lorsqu’ils remplissent des formulaires sur votre site Web..
  6. Ne faites pas de copies d’identifications personnelles ou gouvernementales. Il peut arriver que vous deviez vérifier l’identité ou la résidence d’une personne. Votre personnel peut consulter le permis de conduire ou toute autre pièce d’identité du gouvernement, mais il n’a pas besoin d’en faire ou d’en conserver une copie.
  7. Informez les clients lorsqu’ils sont enregistrés sur bande vidéo ou enregistrés. Si vous utilisez du matériel de vidéosurveillance sur votre propriété ou enregistrez des appels entrants, affichez des panneaux et informez les appelants de ce fait, et essayez de ne pas en conserver de copie à moins qu’ils ne soient nécessaires à votre utilisation professionnelle..
  8. Protégez toutes les informations personnelles. La collecte d’informations est inévitable, en particulier dans les secteurs de la santé ou de la finance. Si vous avez besoin de telles données, collectez uniquement ce dont vous avez besoin, informez les clients des données que vous collectez et pourquoi, et conservez-les en toute sécurité grâce à un stockage sécurisé et en installant un VPN sur tous les appareils et réseaux. Mais gardez à l’esprit que les VPN gratuits peuvent ne pas être aussi fiables et sécurisés.
  9. Répondre rapidement aux demandes d’accès. Vous avez le devoir de vous conformer à tous les protocoles de collecte de données et la responsabilité de répondre à toutes les demandes d’informations des clients ou des candidats. Lorsque vous recevez une demande légale, répondez rapidement et pleinement.
  10. Soyez transparent. Dès que votre politique de confidentialité est en place, assurez-vous d’être totalement transparent sur vos besoins de collecte de données, vos utilisations et toutes les mesures de sécurité en place pour la protection des données.

Que se passe-t-il si vous n’êtes pas conforme à la LPRPDE?

Si vous êtes préoccupé par votre statut, vous êtes libre de contacter le bon de commande attribué à votre organisation ou industrie. L’une des exigences les plus récentes du règlement mis à jour est l’introduction de notifications obligatoires de violation de données.

À compter du 1er novembre 2018, les organisations assujetties à la LPRPDE sont légalement tenues d’aviser le commissaire à la protection de la vie privée du Canada dès qu’elles ont connaissance de toute violation des mesures de sécurité impliquant des renseignements personnels qui présente un risque réel de causer un préjudice important aux employés, consommateurs et autres particuliers.

drapeau canadien

Selon la loi, ces sociétés et organisations doivent également informer toutes les personnes concernées par de telles violations. Ils doivent également conserver des dossiers de toutes ces violations pendant une période d’au moins deux ans, même si ces violations ont déjà été signalées au Commissaire à la protection de la vie privée du Canada..

Il est dans votre intérêt de développer un processus de travail pour évaluer le risque de dommage significatif en ce qui concerne votre organisation et la définition légale du dommage significatif. Le commissaire à la protection de la vie privée du Canada vous recommande de prendre en considération la sensibilité des renseignements personnels en cause et la probabilité que ces renseignements soient utilisés à mauvais escient s’ils sont exposés ou consultés par une personne ou un groupe non autorisé..

Un tel risque peut être calculé en posant les bonnes questions concernant la nature de la violation, telle que l’intention, et si elle a été protégée à l’aide des protocoles, des normes et des meilleures pratiques en vigueur pour la protection des données. Si vous ignorez sciemment et intentionnellement les nouvelles exigences de la LPRPDE pour les notifications de violation de données et la conservation des enregistrements, vous risquez des amendes allant jusqu’à 100 000 $.

Dernières pensées

Dans une économie de plus en plus mondialisée, le respect de toutes les réglementations pertinentes est essentiel. Le Canada est depuis longtemps un chef de file en matière de protection de la vie privée de ses citoyens et de ses chefs d’entreprise.

Les améliorations apportées à nos lois sur la protection des renseignements personnels serviront à informer les Canadiens de leurs droits en matière de transactions numériques et nous assureront que nous continuerons d’étendre nos intérêts commerciaux internationaux..

Si vous êtes un propriétaire de site Web préoccupé par votre conformité à la LPRPDE, un certain nombre de guides et de publications du gouvernement sont disponibles pour vous aider à évaluer votre niveau de préparation et à vous mettre à jour.. 

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map