|
Par Erin R. Kuzz et Rob Colapinto
Illustration : Joe Salina
 L'ENTRÉE EN VIGUEUR DE LA LOI SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS OUVRIRA AUX CA LA VOIE D'UNE NOUVELLE SPÉCIALISATION EN TRÈS FORTE DEMANDE
La publicité d'une agence immobilière qui fut un jour distribuée à des milliers d'exemplaires dans un marché torontois en pleine ébullition remporte à coup sûr la palme de l'originalité et de l'aspect accrocheur. Au recto du feuillet, rien d'inhabituel : on voyait la photo de superbes propriétés à vendre dans la ville; mais au verso, on pouvait lire des extraits du dossier médical d'une résidente d'Ottawa, et notamment les résultats d'une mammographie récente. Cette dame avait demandé à son médecin de faire parvenir les documents à son avocat. Comment le dossier avait-il pu ensuite aboutir dans ce marché et dans des milliers de boîtes aux lettres? Il faut dire qu'il avait été jeté dans un bac de recyclage, puis qu'il s'était retrouvé chez un imprimeur. La confidentialité de renseignements hautement personnels avait ainsi été violée de la façon la plus publique qui soit.
«Voilà le scénario cauchemardesque par excellence pour les entreprises!» s'exclame Peter Sievers, associé du cabinet de conseil Expatriate.Com, établi à Calgary, et spécialisé dans le traitement des dossiers fiscaux de Canadiens qui vont vivre à l'étranger. «On a peine à croire que cela puisse arriver, surtout à un moment où les citoyens ont de vives inquiétudes au sujet de la protection de la vie privée.» Tout en parlant, Peter Sievers rédige une note pour penser à revérifier les procédures suivies par l'entreprise de déchiquetage de documents qui détruit les dossiers les plus sensibles de ses clients. «Les comptables devraient être parmi les premiers, je pense, à apprécier l'importance de la protection des renseignements personnels.»
En effet, les CA et les avocats sont aux premiers rangs de ce qui deviendra sous peu une spécialisation en très forte demande : la gestion de la protection des renseignements personnels et la conformité à la législation. Étant donné l'importance du rôle de conseiller joué par les comptables et les avocats, ces professionnels devront être à la fine pointe pour comprendre les obligations de leurs clients en matière de protection des renseignements personnels, et pouvoir les conseiller à cet égard. Sinon, cela risque de se révéler coûteux et embarrassant pour toutes les parties. Les CA doivent se demander si leur cabinet a instauré, en cette matière, des pratiques propres à éviter les erreurs coûteuses. Étant donné le volume de renseignements personnels sur des clients contenus dans les dossiers des cabinets de CA, ceux-ci se sont-ils dotés de politiques de conservation et de destruction appropriées? Et dans l'affirmative, sont-elles réellement appliquées par les employés? Il est temps de le vérifier.
L'utilisation abusive des renseignements personnels constitue une menace pour les entreprises depuis que l'ordinateur, de simple machine bizarroïde utilisée pour stocker de l'information d'une manière relativement innocente, est devenu le principal outil de collecte, de suivi et d'interprétation des données de l'économie mondiale. Ce n'est pourtant qu'au cours des dernières années que des mesures législatives officielles ont été prises pour donner aux individus un certain droit de regard sur la collecte, la diffusion et la sécurité des données à caractère personnel.
Les préoccupations relatives à la protection des renseignements personnels ont pris naissance en Europe au début des années 1970 en raison du nombre croissant de bases de données et de l'utilisation de codes d'identification personnels pour «étiqueter» les renseignements personnels. La Suède fut le premier pays à adopter une loi sur la protection des données, en 1973, et fut imitée peu après par l'Allemagne, le Danemark, la Norvège et la France. En 1995, l'Union européenne publiait une directive à l'intention de tous les États membres, exigeant qu'ils assurent le respect de leurs lois nationales en matière de protection des données.
Depuis le début des années 1980, les Canadiens jouissent de mesures de protection imposées par la loi à l'égard des renseignements personnels utilisés par les municipalités, ainsi que les gouvernements provinciaux et fédéral. En 1996, l'Association canadienne de normalisation (CSA) a élaboré un code sur la protection des renseignements personnels, d'application facultative, fondé sur les Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel élaborées par l'OCDE. Le Code comprenait les notions suivantes.
Les individus ont le droit : de savoir quels sont les renseignements personnels recueillis, utilisés et communiqués à leur sujet; de connaître l'identité de ceux qui recueillent ces renseignements, et à quelles fins ils le font; de limiter raisonnablement la collecte, l'utilisation et la communication de ces renseignements par le mécanisme du consentement (dans la plupart des cas); de consulter ces renseignements pour s'assurer de leur exactitude, et de porter plainte en cas de non-respect de la loi. Il a également rendu les organisations responsables des renseignements qu'elles recueillent et utilisent, et exigé la transparence de leurs pratiques de gestion de l'information.
En 2001, le Parlement fédéral a adopté la première série de normes commerciales nationales sur la protection des renseignements personnels au Canada, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). La Loi, qui vise uniquement les institutions gouvernementales ainsi que les sociétés de régime fédéral, a de vastes implications, et vise l'équilibre entre le droit de l'individu à la vie privée à l'égard des renseignements personnels qui le concernent et le besoin des organisations de recueillir, d'utiliser et de communiquer des renseignements personnels dans le cadre de leurs activités commerciales.
Le 1er janvier 2004, la LPRPDE entrera pleinement en vigueur. Toutes les organisations du secteur privé exerçant des activités commerciales devront alors se conformer à ses dispositions. Des petites exploitations familiales aux conglomérats transnationaux établis au Canada, tous devront prendre en compte les aspects juridiques de la notion de protection des renseignements personnels. Pour certaines organisations, cela s'avérera difficile et coûteux. Pour d'autres, la mise en place d'un programme de vérification et de conformité sera relativement simple. Mais, dans la plupart des cas, le coût potentiel de la non-conformité sera tout simplement prohibitif.
La LPRPDE est semblable au Code sur la protection des renseignements personnels de la CSA, mais son application, contrairement à celle du Code, est bien sûr obligatoire. Celle-ci exige entre autres que les organisations désignent une ou des personnes qui devront s'assurer du respect de la LPRPDE par l'organisation, et de l'obtention du consentement approprié aux fins de la collecte, de l'utilisation ou de la communication de renseignements personnels. En fait, la notion juridique de consentement constitue un élément fondamental de la LPRPDE; ce consentement peut être explicite ou implicite. Toutefois, lorsque c'est possible, les organisations devraient se protéger en obtenant un consentement éclairé et explicite. Il s'agit d'établir clairement l'objet de la collecte, de l'utilisation et/ou de la communication des renseignements, et de s'assurer que les individus comprennent bien ces objectifs — qui doivent eux-mêmes être «raisonnables». Les organisations doivent également obtenir un nouveau consentement lorsque l'utilisation aux fins de laquelle des renseignements avaient été recueillis a changé.
Le consentement n'est pas exigé lorsqu'un tribunal ou un tribunal administratif ordonne la communication de renseignements personnels, lorsque les renseignements personnels sont recueillis au cours d'une enquête sur la violation d'un accord ou sur la contravention d'une disposition légale, lorsque des renseignements personnels sur la santé d'une personne sont communiqués en raison d'une situation d'urgence mettant en danger la vie ou la santé de cette personne, et lorsque la collecte des renseignements est manifestement dans l'intérêt de l'intéressé, et que le consentement ne peut être obtenu auprès de celui-ci en temps opportun. (Ces exceptions seront toutefois vraisemblablement interprétées très strictement par le Commissaire à la protection de la vie privée du Canada, les tribunaux ainsi que les arbitres.)
Dans les provinces qui ne disposent pas de loi «essentiellement similaire» à la LPRPDE, chaque organisation sera régie par cette dernière, et c'est le gouvernement du Canada qui décidera si une loi est similaire. Lorsque la loi provinciale est essentiellement similaire à certaines parties de la LPRPDE, la province sera régie à la fois par la loi fédérale et par la loi provinciale. Le Québec dispose pour sa part déjà d'une loi essentiellement similaire, et un projet de loi a été déposé en Alberta ainsi qu'en Colombie-Britannique.
«À mon avis, la Loi [LPRPDE] est une bonne chose pour le milieu des affaires», dit Robert Parker, associé responsable de la protection des renseignements personnels au Canada chez Deloitte & Touche. Robert Parker a consacré une grande partie des 10 dernières années aux questions relatives à la protection des renseignements personnels. La LPRPDE offre aux entreprises des lignes directrices claires quant à l'obtention du consentement approprié pour utiliser des renseignements personnels, explique-t-il. Lorsqu'elles [les entreprises] examinent la question de la protection des renseignements personnels, suggère-t-il, elles devraient se demander : "Que voulons-nous réaliser? Voulons-nous créer de l'achalandage, ou encore accroître l'image de marque de l'organisation?" Eh bien, on peut y parvenir en utilisant la Loi comme moteur d'activités commerciales.»
La LPRPDE a créé un terrain fertile pour les comptables agréés et les avocats qui se consacrent à la prestation de services spécialisés en matière de protection des renseignements personnels. L'approche modérée de cette loi en matière de conformité et d'accès à l'information offre une opportunité double pour le CA : la prestation de services à titre de vérificateur de la conformité (comme dans le cas mystérieux de la mammographie «détournée») et la collaboration avec des avocats dans le cadre d'une équipe de professionnels fournissant des conseils sur la meilleure façon de répondre aux exigences de la législation sur la protection des renseignements personnels.
«L'une des tâches pour lesquelles le CA est particulièrement bien préparé est la vérification du respect de la législation par une société», explique David McKendry, ancien directeur du service de conseil de Price Waterhouse. «Les CA comprennent également les systèmes ainsi que les procédures et stratégies commerciales. Or c'est dans une large mesure ce qui est en cause, en matière de protection des renseignements personnels.» David McKendry, praticien exerçant seul, a été commissaire au CRTC et président du comité qui a élaboré, en 1996, le Code sur la protection des renseignements personnels, d'application facultative, de l'Association canadienne de normalisation. Dans le volet «protection de la vie privée» de sa pratique, il met actuellement l'accent sur la mise en œuvre des grands principes de la LPRPDE. «Il ne suffit pas de les connaître, souligne-t-il. Il faut des connaissances spécialisées, et les sociétés devront disposer de gens qui comprennent le champ d'application de la Loi, ainsi que son sens et son interprétation.»
Malheureusement, peu de CA et de cabinets de CA possèdent l'expertise qu'a pu acquérir David McKendry en une décennie de spécialisation dans ce domaine. La plupart d'entre eux, selon l'ICCA et l'AICPA, n'ont pas encore mis leurs compétences à jour en matière de conformité. Paul-Émile Roy, directeur de projets au Service des monographies de l'ICCA, doute que la profession soit prête à faire face à l'avalanche de demandes liées à la LPRPDE qui proviendra de leurs clients.
Sur une échelle de préparation allant de 1 à 10, «à l'exception des grands cabinets de CA, qui se sont fait un devoir d'acquérir les connaissances nécessaires et d'informer leurs clients, la plupart des comptables, estime-t-il, en sont au niveau "1"; ils sont peu ou pas du tout en mesure de saisir les exigences de la LPRPDE ni les autres obligations rattachées à la protection des renseignements personnels».
Robert Parker s'amuse du jugement sévère de son ami, mais convient que «bon nombre d'entreprises et de professionnels ont encore du travail à faire pour répondre pleinement aux exigences de la législation sur les renseignements personnels».
Pour aider les CA à se familiariser avec la Loi et même à offrir des services à valeur ajoutée à leurs clients ou à leur employeur, l'ICCA a préparé un dossier qui peut être consulté sur le site Web de l'Institut à l'adresse www.icca.ca/vieprivee.
Peter Sievers — peut-être parce qu'il travaille d'arrache-pied à la mise à jour du site Web de son propre cabinet en croissance — est déterminé à ce que tout soit impeccable dès le départ. «Dans le cadre de services en ligne, méconnaître toute loi ou tout code concernant la protection des renseignements personnels et la sécurité serait suicidaire», déclare-t-il. On sait qu'Internet, depuis qu'il est apparu pour devenir rapidement une source clé de renseignements personnels, a été la source principale des plaintes et de la méfiance des consommateurs relativement à la protection de ces renseignements.
Même si Peter Sievers doute qu'une loi, quelle qu'elle soit, puisse dissiper les soupçons du public sur la sécurité en ligne — «Internet est interconnecté à l'échelle mondiale et je m'interroge moi-même sur la sécurité des données qui me concernent quand elles sortent du territoire d'application des dispositions de la LPRPDE» —, il prend toutes les mesures nécessaires pour assurer la conformité. Il sait parfaitement que si des bévues aussi graves que celle de la publicité de l'agence immobilière étaient commises sur Internet, il ne s'en relèverait pas. «Une telle bavure prend des proportions incalculables lorsqu'elle se produit sur Internet. Il ne nous resterait plus qu'à fermer boutique.»
Un sondage récent mené par Harris Interactive dans le cadre de l'étude Privacy and American Business Study confirme l'intolérance croissante du public à l'égard des violations de la vie privée. Dans une proportion de 83 %, même les clients qui n'ont aucunement l'intention de communiquer des renseignements personnels à une entreprise seraient prêts à faire affaire ailleurs s'ils apprenaient que l'entreprise en question a fait un usage abusif de tels renseignements. Pour les affaires en ligne, à l'égard desquelles la méfiance est déjà courante, une attitude aussi répandue n'augure rien de bon.
«En fin de compte, la protection des renseignements personnels est une question de contrôle, et je veux dire par là la capacité de l'individu d'exercer un contrôle sur la collecte et l'utilisation des renseignements personnels à son sujet», affirme David McKendry. Idéalement, la LPRPDE offrira cette capacité à l'individu. Elle permettra également d'exercer un contrôle sur les paramètres dans le cadre desquels les entreprises seront autorisées à utiliser les renseignements de façon légale et comme outils d'affaires. Pour ce qui est du commerce électronique, David McKendry estime que les entreprises devront prendre l'initiative de modifier leur attitude et leur façon de concevoir la protection des renseignements personnels. C'est à cette seule condition qu'elles pourront raisonnablement s'attendre à un renouveau de confiance de la part des consommateurs. Si une entreprise perçoit la législation sur la protection des renseignements personnels comme un obstacle à ses activités commerciales — tant en ligne que traditionnelles —, elle aura inutilement posé une entrave à l'efficacité du commerce. «Les sociétés doivent reconnaître que les individus ont maintenant la capacité d'exercer un contrôle sur l'utilisation des renseignements personnels qui les concernent», affirme-t-il. Leur refuser l'exercice de ce droit sera non seulement nuisible pour les affaires, mais illégal.
Or, à qui la responsabilité de la surveillance de l'application de la Loi revient-elle? C'est au commissaire à la protection de la vie privée du Canada que le Parlement a confié la surveillance de la législation sur la protection des renseignements personnels dans la sphère d'activité fédérale, et il ne relève d'aucun ministre en particulier. Ses pouvoirs sont larges et comprennent celui de procéder à une vérification de toute organisation s'il a des motifs raisonnables de croire qu'il y a non-conformité. Lorsqu'il exécute une vérification, le commissaire peut assigner une personne à comparaître et à fournir des éléments de preuve; il peut également visiter un local commercial pour s'entretenir avec toute personne s'y trouvant ou se faire remettre copie de documents s'y trouvant. À la suite d'une vérification, le commissaire est tenu de communiquer à l'organisation ayant fait l'objet de la vérification les résultats de celle-ci ainsi que les recommandations appropriées.
Le commissaire à la protection de la vie privée a également le pouvoir de faire enquête sur les plaintes déposées par des tiers, assorti de pouvoirs en matière de collecte d'éléments probants et d'obligations en matière de rapport qui sont très semblables à ceux rattachés à une vérification. Dans certaines circonstances, un plaignant peut exiger que les constatations du commissaire fassent l'objet d'une révision par la Cour fédérale qui a compétence pour accorder réparation. La Cour peut entre autres ordonner que l'organisation se conforme à la LPRPDE et/ou qu'elle paie des dommages-intérêts. Si l'organisation fait l'objet de plaintes de la part de plusieurs personnes, les sommes en jeu risquent d'être considérables.
Le commissaire à la protection de la vie privée n'a toutefois pas le pouvoir d'infliger une amende ni de déposer une accusation criminelle ou quasi-criminelle pour non-conformité à la Loi (bien que les tribunaux le fassent dans certaines circonstances). Le commissaire tente d'avoir recours à la médiation et à la persuasion pour régler les plaintes et, en dernière instance, a le pouvoir de déterminer si une plainte est «bien fondée».
Cette absence de pouvoir de contrainte officiel et légal ne signifie pas que le commissaire ne puisse exercer aucune sanction contre les organisations qui enfreignent la LPRPDE. Il peut en effet rendre public le nom d'une organisation fautive s'il estime que cela est dans l'intérêt public. Le commissaire peut également communiquer au procureur général du Canada ou de toute province des informations sur la violation de toute loi, même lorsque ces informations n'ont rien à voir avec la protection des renseignements personnels. La mauvaise publicité, indique Robert Parker, constitue le moyen de dissuasion le plus efficace. «Une étude américaine intitulée The Privacy Blow-Out, se souvient-il, a montré que rétablir la réputation d'une petite entreprise coûte environ 50 000 dollars, et celle de grandes entreprises, environ un million de dollars.» Pour les sociétés ayant un site Internet, se relever d'une telle stigmatisation publique pourrait devenir presque impossible.
Il est bien sûr important de se conformer à la législation sur la protection des renseignements personnels pour des raisons juridiques, mais en le faisant pour cette seule raison, on passe à côté des avantages que peut en tirer une organisation. La conformité effective est désormais incontournable pour faire des affaires et demeurer concurrentiel. Elle est en effet essentielle pour obtenir et conserver des renseignements exacts au sujet des clients et des employés, pour gagner leur confiance et leur loyauté, pour profiter des opportunités d'affaires à l'échelle internationale et, au bout du compte, pour réaliser des bénéfices.
Le fait que le commissaire puisse rendre public le nom d'une organisation fautive peut avoir un effet dévastateur sur la réputation de celle-ci. Déjà, par exemple, on a vu des organisations désireuses de se conformer à la législation refuser de faire affaire avec des organisations qui ne s'y conforment pas, de crainte que des renseignements personnels échangés dans le cours normal des affaires ne soient pas protégés adéquatement. Par ailleurs, la méfiance des clients et des employés peut donner lieu à la non-divulgation de renseignements pourtant nécessaires à l'efficience des pratiques d'affaires et du développement des produits.
Les avantages de la protection des renseignements personnels sont donc plus évidents lorsque les organisations comprennent l'importance que lui accordent les clients et les clients potentiels, les partenaires d'affaires et les employés, ainsi que les coûts potentiels d'une atteinte à cette protection, sur le plan de la réputation et des résultats financiers.
Certaines sociétés, comme les librairies Indigo-Books & Music Inc. (qui comprend le site Web Chapters Online), comprennent depuis longtemps l'importance de la conformité en matière de protection des renseignements personnels. Deirdre Horgan, vice-présidente, Marketing, pour la société, explique que celle-ci avait prévu l'instauration d'un cadre législatif bien avant le lancement du site commercial, en 1998. «Nous avons travaillé comme si la Loi était déjà en vigueur et qu'elle était très stricte», précise-t-elle. La société a exploité le thème de la protection des renseignements personnels dans le cadre de ses activités commerciales. Sa charte en matière de protection des renseignements personnels est claire et sans ambiguïté : le client a un droit de regard sur les renseignements personnels qui le concernent. Un programme de fidélisation de Indigo-Chapters, par exemple, dans le cadre duquel le client doit communiquer des renseignements personnels à l'intention du service du marketing, affiche une transparence presque exagérée au chapitre du consentement, de l'utilisation et de la sécurité. «Il faut toutefois manipuler les données sensibles avec grande prudence, souligne Mme Horgan. La valeur de la fidélité des clients obtenue grâce à la protection de la confidentialité est tout simplement trop importante pour agir autrement.»
Curieusement, peu d'organisations ont même pris en compte cette valeur. La première banque ayant engagé un responsable de la protection des renseignements personnels, RBC Groupe financier, a déterminé en 2000 que 7 % des décisions d'achat des clients en matière de services bancaires personnels étaient fondées sur la protection des renseignements personnels. «On pourrait prendre la capitalisation boursière de cette banque, explique Robert Parker, pour avoir une idée de la valeur de la perte. Ça fait beaucoup d'argent…» Pour le commerce électronique, une étude menée par Jupiter Communications Inc. avait permis d'évaluer à quelque 18 milliards de dollars US les pertes qui seraient subies en 2002 en raison des inquiétudes liées à la protection des renseignements personnels.
Il n'est pas surprenant que Chapters ait consacré autant de temps et d'argent à la mise à jour et au fignolage de sa politique de confidentialité afin d'aller au-delà du simple avis juridique d'exonération de responsabilité. Peter Sievers a l'intention d'examiner plusieurs politiques de confidentialité en ligne, et convient que l'utilisation d'une langue simple, claire et concise constitue l'élément clé.
Robert Parker prévoit que la difficulté d'obtenir la confiance des consommateurs tout en satisfaisant aux exigences complexes de conformité commerciale et légale persistera pendant des années. Et les CA, une fois qu'ils se seront mis au diapason, seront au cœur de la mêlée. Il s'attend à ce que la demande de services relatifs à la protection des renseignements personnels connaisse une croissance phénoménale avec la mise en vigueur intégrale de la LPRPDE en 2004. La Privacy Act de l'Australie, par exemple, est en vigueur depuis décembre 2001, et vise les secteurs public et privé. Peut-être parce que cette loi n'a pas été mise en application progressivement comme la LPRPDE, le commissaire à la protection de la vie privée de l'Australie s'est vu submergé par plus de 30 000 demandes par année et environ 1 000 plaintes écrites officielles. «Nous n'avons eu que quelques centaines de plaintes l'an dernier, indique Robert Parker, mais lorsque les gens prendront connaissance de leurs droits, ce sera l'avalanche.»
David McKendry est prêt à faire face à la situation, et il estime que la profession comptable aura un rôle central à jouer pour aider les entreprises à se conformer à la législation. «Les gens trouveront rassurant de savoir que des professionnels crédibles ont effectué une vérification indépendante de la conformité de leurs pratiques en matière de protection des renseignements personnels», estime-t-il. Pour Peter Sievers, l'attente est longue jusqu'au 1er janvier 2004. «Je n'aime pas l'idée d'attendre pour voir si nous serons submergés de questions de clients à propos de la Loi et si nous serons en mesure d'assurer la conformité. C'est comme une épée de Damoclès. Mettons-nous à la tâche, et faisons ce qu'il faut», conclut-il.
|
Comment atteindre la conformité
Concrètement, la première étape pour atteindre la conformité consiste à nommer une personne (ou plusieurs) «responsable de la protection des renseignements personnels». Cette personne devra avoir une formation adéquate et disposer des ressources, des pouvoirs et des budgets nécessaires pour élaborer et mettre en application des politiques et procédures conformes à la législation. Les organisations doivent ensuite déterminer avec précision quels renseignements personnels sont recueillis, utilisés et communiqués. Cela suppose l'exécution d'une vérification interne dont l'ampleur et l'étendue dépendra du degré de complexité de l'organisation et du travail qu'elle effectue. Les grandes organisations pourraient envisager l'établissement d'un groupe de travail qui recevra et acheminera les commentaires provenant des divers secteurs de l'organisation. Une vérification de base devrait couvrir les éléments suivants :
1. Des renseignements personnels sont recueillis et conservés au sujet des clients et des employés. Des renseignements personnels peuvent être recueillis de façon courante dans divers contextes : points de vente, concours, courriels, sondages, utilisation de caméras vidéo ou de bandes audio, listes de marketing, programmes de fidélisation, services de livraison, garanties, retours de marchandise, formulaires de candidature, sites Web, centres d'appel, outils technologiques, demandes d'emploi, demandes de prestations.
2. Quels renseignements personnels sont utilisés dans le cadre des activités de l'organisation — ventes, marketing, collecte de fonds, relations avec la clientèle, etc.?
3. Quels renseignements personnels l'entreprise obtient-elle d'entités affiliées ou de tiers — ou leur communique-t-elle —, par exemple dans le cadre de l'impartition de la paie?
4. Des protocoles appropriés sont-ils en place pour assurer une protection continue lorsque des renseignements personnels sont communiqués à des tiers?
5. À quelles fins les renseignements personnels sont-ils recueillis?
6. À qui les renseignements personnels sont-ils communiqués?
7. Quelles sont les formes de consentement utilisées?
8. Quelle est l'incidence, pour l'organisation, de la LPRPDE et/ou des exigences provinciales (une interprétation juridique pourrait s'avérer nécessaire)?
9. Comment la protection des renseignements personnels est-elle prise en compte dans le plan d'affaires?
10. A-t-on affecté des ressources adéquates à l'élaboration, à la mise en œuvre et au maintien d'un programme de protection des renseignements personnels?
11. Quelles politiques de protection l'organisation a-t-elle instaurées quant à la collecte, à l'utilisation, à la communication et à la conservation des renseignements personnels?
12. Comment les politiques et les procédures de gestion des renseignements personnels sont-elles portées à la connaissance des employés?
13. Quelle formation donne-t-on aux employés ayant accès à des renseignements personnels afin d'assurer la protection de ces renseignements?
14. Comment les renseignements médicaux personnels sont-ils recueillis, utilisés, communiqués, stockés et détruits?
15. Les formulaires et documents appropriés ont-ils tous été élaborés?
16. Quels sont les mécanismes mis en place pour garantir que les personnes concernées soient informées des politiques sur la protection des renseignements personnels de l'organisation — y compris de leur droit d'accès aux renseignements personnels qui les concernent — et qu'elles aient, au besoin, la possibilité de les corriger?
17. De quelle façon l'organisation est-elle en mesure d'identifier et de repérer les renseignements personnels au sujet d'une personne?
18. Quels objectifs spécifiques ont été établis, pour l'organisation, du point de vue de la conformité avec les politiques instaurées en matière de protection des renseignements personnels?
19. Jusqu'à quel point a-t-on défini et mis en œuvre les mesures de contrôle appropriées en matière de protection des renseignements personnels?
20. Comment assure-t-on le suivi et la divulgation de l'efficacité de ces mesures de contrôle?
21. Quels mécanismes a-t-on mis en place pour réagir d'une manière efficace lorsque les politiques et procédures instaurées en matière de protection des renseignements personnels ne sont pas appliquées correctement?
22. Quels avantages tirerait l'organisation d'une évaluation complète des risques, des contrôles et des renseignements d'entreprise liés à la protection des renseignements personnels? |
Erin R. Kuzz est associée du cabinet d'avocats Sherrard Kuzz LLP à Toronto, spécialisé en services conseils et en représentation de directions d'entreprises sur les questions relatives à la main-d'œuvre, à l'emploi et à la législation sur la protection des renseignements personnels. On peut la contacter à www.sherrardkuzz.com. Rob Colapinto est rédacteur pigiste à Toronto. |
