Vos obligations en matière de sauvegarde et de destruction de renseignements personnels

November 23, 2017 | Imran Ahmad, Éloïse Gagné

Dans notre précédent article, nous avons déterminé que les organisations à but non lucratif peuvent être assujetties à l’application de la Loi sur la protection des renseignements personnels et les documents électroniques (la « Loi »). Ceci dit, qu’on soit assujetti ou non, du moment que l’on collecte ou utilise des renseignements personnels, il est suggéré de suivre les règles de base suivantes afin de se conformer aux exigences minimales applicables.

Limitez la collecte

La règle d’or est que la collecte de renseignements personnels doit être faite pour des fins définies et que seuls les renseignements personnels nécessaires à l’accomplissement de ces fins peuvent être collectés. Vous devriez toujours être en mesure de justifier pourquoi ces renseignements spécifiques sont collectés. Par exemple, avez-vous vraiment besoin de collecter une date de naissance?

Obtenez le consentement

Il est de plus essentiel d’obtenir le consentement libre et éclairé des individus tant pour la collecte que pour l’utilisation, la préservation et la divulgation des renseignements personnels. Ainsi, chaque organisation devrait, entre autres, clairement divulguer les raisons de la collecte et indiquer les utilisations qui seront faites des renseignements. Il est important de garder une preuve du consentement reçu.

Si la conduite de vos activités vous mène à modifier votre utilisation, sauvegarde ou communication des renseignements, obtenez de nouveau le consentement des personnes concernées en précisant les changements qui sont apportés.

Limitez l’utilisation, la sauvegarde et la divulgation des renseignements personnels

Ne conservez que les informations qui doivent être utilisées afin d’éviter des coûts et des risques élevés en matière de gestion des renseignements personnels.

Au moment de la destruction, il ne suffit pas de mettre des dossiers à la poubelle ou à la corbeille. Ayez recours à du déchiquetage ou à d’autres moyens qui permettent la destruction complète de l’information. Dans le cas de données stockées sur un support informatique, le Commissariat à la protection de la vie privée suggère de se référer aux NIST Guidelines for Media Sanitization afin d’obtenir de plus amples renseignements sur les méthodes de destruction appropriées.

Finalement, vous pourriez avoir besoin de communiquer certains renseignements pour atteindre vos objectifs ; par exemple, à des fournisseurs de services ou à des tiers pour fins de stockage. Dans ce cas, assurez-vous que le consentement des individus soit obtenu pour cette communication et que vous ayez des ententes adéquates en place afin d’assurer la protection des renseignements et de limiter votre responsabilité en cas de problèmes.

Maintenez vos dossiers sécuritaires et accessibles

Prenez les mesures adéquates pour la sauvegarde des renseignements, peu importe la manière dont ils sont conservés. Une entité qui recueille des renseignements personnels doit les protéger contre la perte, le vol, la consultation, la communication, la copie, l’utilisation ou la modification non utilisée.

Le principe 4.7.3. de l’Annexe 1 de la Loi précise que les méthodes de protection doivent comprendre :

a)des moyens matériels, par exemple le verrouillage des classeurs et la restriction de l’accès aux bureaux ;

b)des mesures administratives, par exemple des autorisations sécuritaires et un accès sélectif ; et

c)des mesures techniques, par exemple l’usage de mots de passe et du chiffrement.

Finalement, de manière générale, toute personne a le droit d’avoir accès à l’information répertoriée à son sujet et de savoir comment ces renseignements ont été utilisés et à qui ils ont été communiqués. Des mécanismes de plainte doivent aussi être disponibles.

Conclusion

En bref, dès le moment que l’on décide de collecter et d’utiliser des renseignements personnels, il est essentiel de préciser les raisons pour lesquelles cette information est collectée et d’obtenir le consentement spécifique à la collecte et l’utilisation. De plus, conservez les renseignements de manière sécuritaire et employez des méthodes adéquates pour leur destruction. En cas de doute, mieux vaut être prudents !

Disclaimer

This publication is provided as an information service and may include items reported from other sources. We do not warrant its accuracy. This information is not meant as legal opinion or advice.

Miller Thomson LLP uses your contact information to send you information electronically on legal topics, seminars, and firm events that may be of interest to you. If you have any questions about our information practices or obligations under Canada's anti-spam laws, please contact us at privacy@millerthomson.com.

© 2017 Miller Thomson LLP. This publication may be reproduced and distributed in its entirety provided no alterations are made to the form or content. Any other form of reproduction or distribution requires the prior written consent of Miller Thomson LLP which may be requested by contacting newsletters@millerthomson.com.