Dans cet article, nous expliquons tout sur le règlement canadien sur la protection des données LPRPDE et le règlement CPPA à venir. Dans le prochain article , nous aborderons plus en détail les cookies et le consentement.
Qu’est-ce que la LPRPDE?
La LPRPDE est l’abréviation de Loi sur la protection des renseignements personnels et les documents électroniques et fait référence au nouveau Règlement général sur la protection des données du Canada. L’amendement combine les deux lois canadiennes précédentes sur la protection des données, la Consumer Privacy Protection Act (CPPA) et la Personal Information and Data Protection Tribunal Act (PIDPTA) dans un règlement complet équivalent au RGPD. La référence au Règlement général européen sur la protection des données peut être vue à plusieurs endroits dans la LPRPDE, c’est pourquoi elle est souvent aussi appelée RGPD Canada.
Semblable au RGPD, la Loi sur la protection des données du Canada réglemente le traitement des renseignements personnels recueillis et stockés dans le cadre d’activités commerciales. La Loi sur la protection des renseignements personnels et les documents électroniques LPRPDE est donc importante pour toutes les entreprises qui veulent atteindre les consommateurs au Canada avec des services et des produits – qu’ils soient fixes ou à distance. Les activités commerciales au sens de la LPRPDE sont toutes les transactions et actions d’origine commerciale ou à visée commerciale.
La LPRPDE s’applique aux entreprises et aux organisations qui sont sous réglementation fédérale et assujetties à la législation canadienne. La Loi sur la protection des renseignements personnels et les documents électroniques s’applique également au secteur privé de chaque province, à moins qu’une province n’ait adopté sa propre loi sur la protection des données, qui est largement similaire à la Loi sur la protection des renseignements personnels et les documents électroniques LPRPDE. Seuls la Colombie-Britannique, l’Alberta et le Québec ont des lois sur la protection des renseignements personnels qui sont globalement similaires à la Loi sur la protection des renseignements personnels et les documents électroniques, la LPRPDE. Si une entreprise est basée en Colombie-Britannique, en Alberta ou au Québec, la Loi sur la protection des renseignements personnels et les documents électroniques s’applique aux renseignements personnels recueillis par ces organisations lorsque les utilisations commerciales des renseignements dépassent les frontières de cette province.
Les 10 principes de confidentialité de la Loi sur la protection des renseignements personnels et les documents électroniques LPRPDE
Les entreprises qui doivent se conformer aux règlements de la LPRPDE doivent tenir compte des principes de confidentialité de ce RGPD pour le Canada en temps opportun. 10 points décrivent les droits et obligations que les organisations doivent respecter lorsqu’elles effectuent des transactions commerciales avec des consommateurs canadiens en vertu du RGPD pour le Canada :
- responsabilité
- affectation
- consentement
- Évitement des données et économie des données
- Stockage, utilisation et traitement
- précision
- intégrité et confidentialité
- transparence
- droit de fournir des informations
- droit d’appel
Quiconque connaît le règlement général sur la protection des données reconnaîtra déjà de nombreux aspects dans l’aperçu des 10 principes de la LPRPDE que l’on retrouve également dans le RGPD de l’UE . Néanmoins, il existe des différences de détail , aussi et surtout en ce qui concerne le consentement à la collecte de données personnelles. Examinons rapidement chacun des 10 points :
1. Responsabilité
Le principe de responsabilité signifie qu’au-delà d’une certaine taille, une organisation doit nommer une personne responsable de la gestion des données collectées et personnelles. Cette personne est appelée responsable de la protection des données dans le RGPD – dans la loi sur la protection des informations personnelles et les documents électroniques LPRPDE, elle est appelée responsable de la confidentialité ou responsable de la confidentialité (CPO) . Dans les petites entreprises, le responsable de la protection de la vie privée peut également exercer son rôle à temps partiel . Sa tâche principale réside dans l’ élaboration, la mise en œuvre et le suivi de procédures répondant aux exigences de protection des données selon la LPRPDE . En outre, le délégué à la protection des données doit recevoir et répondre aux plaintes concernant la collecte de données . Un autre domaine important est la formation des employés et la communication des exigences en matière de protection des données pertinentes pour les domaines de responsabilité individuels. Si le consommateur a donné son consentement au traitement des données par des tiers, le responsable de la protection de la vie privée est responsable du respect des exigences de la LPRPDE par les tiers.
2. Limitation de l’objectif
Pourquoi l’entreprise souhaite-t-elle stocker les informations personnelles d’un client ? La finalité doit être indiquée au consommateur au plus tard au moment de l’enregistrement des données. La divulgation crée de la transparence, mais facilite également la mise en œuvre d’un accès spécifique par l’entreprise. Selon la LPRPDE, le but de la collecte de données doit être communiqué à chaque employé qui entre en contact avec des clients. Si, par exemple, on demande à un client l’adresse ou le numéro de téléphone lors d’un achat à la caisse, l’utilisation des informations de données doit lui être expliquée sur demande . Les formulaires papier et les formulaires en ligne qui collectent des informations personnellement identifiables auprès des clients doivent également décrire clairement le but de la collecte. Les données personnelles collectées ne peuvent être utilisées dans un nouveau but sans l’autorisation expresse du client. Une exception sont les exigences légales qui l’exigent.
3. Consentement
Une entreprise ne doit pas collecter, utiliser ou divulguer des données personnelles à l’insu et sans le consentement du client. L’intention de collecter des données client doit être clairement et sans ambiguïté communiquée. Si des données personnelles sont demandées dans un formulaire, les formulations ambiguës ne sont donc pas autorisées. Une personne ne sera pas désavantagée si elle refuse de fournir des informations. Les entreprises doivent donc également mettre leurs produits et services à la disposition des consommateurs qui ne souhaitent pas fournir de données sans rapport avec le produit ou le service. Il existe quelques exceptions : Une entreprise peut s’abstenir de donner son consentement s’il existe des raisons légales ou médicales de ne pas le faire. Des raisons de sécurité peuvent également s’appliquer à certains produits. Et si des informations sont collectées pour l’application de la loi, le consentement est également supprimé. Il peut également être renoncé au consentement dans les cas où une personne est mineure, gravement malade ou handicapée mentale. Cependant, le consentement peut également être donné par un représentant autorisé.
En ce qui concerne le type de consentement, une distinction est faite entre :
- explicite
- implicitement
- se désengager
Dans de nombreux cas – tels que l’enregistrement en ligne – comme dans le règlement européen général sur la protection des données, le consentement explicite du consommateur est également requis ici. Un opt-out n’est généralement pas fourni. Par exemple, aucune coche ou aucun bouton ne peut être pré-affecté à la LPRPDE relative au consentement aux cookies, ce qui équivaut à la réglementation sur les cookies du RGPD. En principe, le consentement ne doit pas être donné par écrit – un consentement verbal suffit. Par exemple, il suffit qu’une partie intéressée donne son accord pour être incluse dans une newsletter par téléphone. Cependant , le consentement donné par téléphone rend régulièrement plus difficile pour une entreprise de fournir des preuves . Dans certains cas, le consentement peut également découler directement des actions du consommateur.
Le consommateur peut retirer son consentement à tout moment, sous réserve des restrictions et délais contractuels et légaux, l’entreprise devant informer le client des conséquences d’un retrait de consentement.
4. Évitement des données et économie des données
Le principe de limitation de la collecte de données à la quantité de données nécessaires à une finalité est un principe qui joue également un rôle important dans le RGPD européen. Les données personnelles collectées par une entreprise doivent être limitées à ce qui est nécessaire à une action dans le cadre d’une relation d’affaires.
La collecte et le stockage de données personnelles inutiles doivent également être évités conformément à la LPRPDE. Le traitement loyal et licite des données, qui se cache derrière l’expression « Moyens justes et licites », vise la souveraineté des données du client et la nécessité de processus transparents. La finalité pour laquelle certaines données personnelles sont collectées ne doit pas être occultée par des tromperies ou des déclarations ambiguës.
5. Stockage, utilisation et traitement
L’utilisation des données enregistrées ne peut se faire que dans le couloir connu du client et pour lequel il a donné son accord. La divulgation ou toute autre utilisation des données personnelles n’est pas autorisée en vertu du Règlement général canadien sur la protection des données LPRPDE. Les périodes de conservation sont basées sur les exigences de l’entreprise et d’autres réglementations légales. La durée de conservation minimale recommandée pour les entreprises est d’un an. Cette période laisse à l’entreprise une capacité suffisante pour vérifier et se conformer aux exigences légales. La période de conservation maximale doit être déterminée et divulguée par l’entreprise.
Un stockage illimité de données n’est pas autorisé – le consommateur doit être informé sur demande lorsque ses données seront définitivement supprimées. Si vous le souhaitez, les données peuvent être anonymisées et détruites à l’avance, en tenant compte des délais. En outre, une organisation doit être en mesure de divulguer qui a reçu le consentement au traitement des données et dans quelle mesure.
6. Précision
Le principe d’exactitude garantit que les données personnelles collectées par une entreprise sont correctes, complètes et à jour au regard des finalités pour lesquelles elles sont utilisées.
Il convient de garder à l’esprit que les données collectées doivent être utilisées dans le meilleur intérêt du consommateur.
La spécification de l’exactitude dans la LPRPDE n’est pas seulement importante pour la relation entre les entreprises et les clients. Par exemple, si une organisation collecte des données personnelles afin de vérifier les profils des candidats avant un processus de recrutement, il convient de s’assurer qu’un enregistrement incorrect ou incomplet n’entraîne pas de désavantages pour les candidats.
Mise à jour des informations personnelles
La mise à jour automatique et régulière des données personnelles n’est généralement pas autorisée. Cette directive de la LPRPDE s’applique également aux informations transmises à des tiers.
7. Intégrité et confidentialité
Le principe d’intégrité et de confidentialité signifie que les données personnelles doivent être protégées contre la perte ou le vol , l’accès non autorisé, la divulgation, la copie, l’altération ou l’utilisation non autorisée. Ce principe s’applique quel que soit le format dans lequel les données sont stockées.
Mesures de protection appropriées
L’effort dépend de la taille de l’entreprise. Une petite entreprise qui collecte les adresses e-mail des clients pour un bulletin d’information en ligne peut stocker les adresses e-mail dans une feuille de calcul. Si la table est protégée par un mot de passe et en outre cryptée à un degré élevé, une protection adéquate peut être supposée.
Les grandes organisations gèrent souvent des données personnelles sensibles à grande échelle – malgré toute économie de données. Ces entreprises sont également plus susceptibles d’être des cibles pour les attaquants, des précautions de sécurité beaucoup plus strictes doivent donc être prises ici.
Toutes les mesures de sécurité doivent offrir une protection supérieure à la moyenne des données personnelles à protéger afin de garantir un haut niveau d’intégrité.
Destruction des informations personnelles
Si des données personnelles doivent être éliminées ou détruites, une récupération basée sur un jugement humain et en utilisant des normes technologiques élevées pour la destruction des données peut être exclue. Ceci s’applique aussi bien à la destruction physique des documents papier qu’à la destruction des bases de données sur modules mémoire.
8. Transparence
Une entreprise doit rendre ses politiques et procédures de traitement des informations personnelles facilement accessibles . Les clients doivent donc pouvoir accéder à ces informations sans détours compliqués. Les réponses aux demandes des consommateurs concernant la protection des données doivent être traitées dans un délai raisonnable et aussi directement que possible . Les informations fournies doivent être formulées de manière généralement compréhensible. Le jargon juridique doit être évité.
Exigences de la LPRPDE
Selon la LPRPDE, une organisation doit fournir ces données sur demande :
- Nom ou titre et adresse de la personne responsable des politiques et pratiques de l’organisation et à qui les plaintes ou demandes de renseignements peuvent être transmises.
- Façons d’accéder aux données personnelles
- Type de données personnelles collectées, y compris une description de son utilisation.
- Informations écrites expliquant les politiques et les normes d’organisation de l’entreprise
9. Droit à l’information
Sur demande, une entreprise doit fournir à une personne des informations sur les données personnelles stockées et leur utilisation après authentification. Si un client doute de l’exactitude ou de l’exhaustivité des données personnelles, il peut exiger la modification des données enregistrées. Cela peut signifier corriger , supprimer ou ajouter des données .
exceptions
Les informations sur les données personnelles peuvent être refusées pour diverses raisons. C’est le cas lorsque les informations sont soumises au secret professionnel de l’avocat ou lorsque des informations commerciales confidentielles seraient divulguées.
Exigences d’authentification
Avant d’accorder l’accès aux données personnelles, une entreprise doit s’assurer qu’elle communique avec la bonne personne.
Certaines organisations le font en demandant une pièce d’identité émise par le gouvernement. Si nécessaire, une vérification basée sur les informations de compte en combinaison avec d’autres informations telles que le nom de jeune fille ou un mot de passe enregistré est également possible. Toutefois, des exigences strictes en matière d’authentification ne doivent pas constituer un obstacle au droit à l’information.
Informations – temps et coûts
Les demandes d’information doivent être traitées dans un délai raisonnable et à un coût minime ou sans frais pour la personne. Au plus tard 30 jours après réception d’une demande, il doit y être répondu. Si, exceptionnellement, une entreprise a besoin de plus de temps pour fournir des informations, elle doit adresser à la personne une décision provisoire et donner une raison plausible du retard.
10. Droit de réclamation
Le droit d’ appel ancré dans la LPRPDE permet aux clients et aux consommateurs de prendre des mesures ciblées contre les entreprises en cas de violation de points du RGPD Canada.
Les entreprises doivent fournir des procédures pour recevoir et répondre aux plaintes et aux demandes de renseignements. Ces procédures doivent être simples et faciles à utiliser. De plus, en vertu du RGPD Canada, les entreprises sont tenues de suivre et d’enquêter sur les plaintes même si elles estiment que la plainte semble sans fondement . Si la plainte s’avère fondée, des mesures correctives appropriées doivent être prises. Le délégué à la protection des données de l’entreprise est chargé de recevoir les réclamations et d’engager les procédures.