Compréhension de la LPRPDE et des exigences en matière de protection de la vie privée

Nous avons tous entendu parler de la controverse entourant les infractions à la sécurité des renseignements personnels et de leurs conséquences. Alors même que les technologies continuent d’évoluer, il reste des défis à relever relativement à la collecte et à l’utilisation de renseignements personnels. En 2015, la Loi sur la protection des renseignements personnels numériques du Canada a reçu la sanction royale, accompagnée d’une amélioration de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

En tant que loi canadienne régissant la protection des renseignements personnels dans le secteur privé, la LPRPDE établit les règles que les organismes du secteur privé de compétence fédérale doivent observer concernant la manière de recueillir, d’utiliser et (ou) de communiquer des renseignements personnels. Bien que la LPRPDE ne s’applique pas en Colombie-Britannique, en Alberta ni au Québec (aux organisations de compétence provinciale de ces provinces), qui ont adopté des lois semblables,
elle régit l’échange de renseignements personnels au-delà des frontières provinciales, territoriales ou internationales.

Selon le Commissariat à la protection de la vie privée du Canada, « les organisations visées par la Loi doivent obtenir le consentement d’une personne avant de recueillir, d’utiliser ou de communiquer des renseignements personnels la concernant. Toute personne a le droit de consulter les renseignements personnels que détient une organisation à son sujet et, au besoin, d’en contester l’exactitude. Les renseignements personnels ne peuvent être utilisés qu’aux fins pour lesquelles ils ont été recueillis. L’organisation qui entend les utiliser à d’autres fins doit obtenir expressément le consentement de le faire. »

Qu’entend-on par renseignement personnel?

On entend par renseignement personnel tout renseignement concernant une personne identifiable,
tel que :

• l’âge, le nom, un numéro d’identification, le revenu, l’origine ethnique ou le groupe sanguin;
• une opinion, une évaluation, un commentaire, le statut social ou une mesure disciplinaire;
• le dossier d’un employé, un dossier de crédit ou de prêt, un dossier médical, l’existence d’un différend entre un consommateur et un commerçant.

Ce que signifie la LPRPDE pour le secteur des services financiers

Il existe des règles précises visant à protéger les renseignements personnels que les conseillers financiers recueillent auprès de leurs clients. Ces renseignements ne peuvent être recueillis qu’avec le consentement du client et utilisés expressément aux fins indiquées. Le conseiller doit s’assurer que les renseignements sont exacts, stockés de façon sécuritaire et accessibles à des fins d’inspection et, au besoin, de correction.

La LPRPDE ne s’applique pas :

• aux institutions gouvernementales auxquelles s’applique la Loi sur la protection des renseignements personnels;
• à une personne qui recueille, utilise ou communique des renseignements personnels à des fins strictement personnelles;
• aux coordonnées d’entreprise qu’une organisation recueille, utilise ou divulgue uniquement pour communiquer avec une personne relativement à son emploi, son entreprise ou sa profession;
• à une organisation qui recueille, utilise ou communique des renseignements personnels à des fins journalistiques, artistiques ou littéraires et à aucune autre fin.

Que ce soit dans le contexte du secteur des services financiers ou autrement, chaque Canadien doit connaître ses droits et ses responsabilités relativement à la collecte et à l’utilisation de renseignements personnels.

Le Cours sur les fonds d’investissement au Canada (CFIC) couvre de nombreux sujets pertinents, y compris l’utilisation appropriée de renseignements personnels, pour les investisseurs et les personnes qui travaillent (ou désirent travailler) dans le secteur des services financiers.