top of page

Protection des données personnelles 101



Au Québec, la collection et l'utilisation des données personnelles de clients par un tiers sont régis par la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et au fédéral par le Personal Information Protection and Electronic Documents Act (PIPEDA) et plus récemment le Digital Electronic Act. Son application est contrôlée par le Commissariat à la Protection de la Vie Privée du Canada (Office of the Privacy Commissioner of Canada).

En France, ces questions sont régies par la Loi Informatique et Libertés de 1978 et contrôlées par la Commission Nationale Informatique et Libertés (CNIL).

Il existe également d'autres réglementations sectorielles selon que l'on s'attache aux données financières, aux données de santé, ou aux informations de crédit par exemple. Enfin, il existe des différences d'un pays à l'autre, d'un état à l'autre mais dans l'ensemble ces réglementations encadrent 10 domaines :

1. Responsabilité

Toute organisation est responsable des renseignements personnels qu'elle collecte et doit désigner un responsable qui devra protéger les données de ses clients dans le respect du cadre de la loi.

2. Objectif de la collecte de données

La finalité pour laquelle des renseignements personnels de clients doivent être recueillis doit être déclarées avant où au moment de la collecte.

3. Consentement du client

Toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire.

4. Limite de la collecte

L'organisation ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées et doit procéder de façon honnête et licite.

5. Limite de l'utilisation, communication et conservation des données

Les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis, à moins que la personne concernée n'y consente ou que la loi ne l'exige. La durée de conservation des données personnelles doit être limité au strict nécessaire à l'atteinte de la finalité énoncée.

6. Exactitude

Les renseignements personnels doivent être aussi exacts, complets et à jour que l'exigent les fins auxquelles ils sont destinés.

7. Mesures de sécurité

Les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.

8. Transparence de la politique de protection des renseignements personnels

L'organisation doit énoncer clairement ses politiques et ses pratiques concernant la gestion des renseignements personnels et les rendre facilement accessibles à toute personne.

9. Droit d'accès aux renseignements personnels

L'organisation doit informer toute personne qui en fait la demande de l'existence de renseignements personnels qui la concernent, de l'usage qui en est fait et des demandes d'accès exercées par des autorités légales. Tout individu a le droit de contester l'exactitude, le caractère intégral ou partiel des informations et et de demander la rectification des renseignements le concernant.

10. Réclamations et plainte

Toute personne peut se plaindre du non respect des principes de protection énoncées sur ses renseignements personnels. Il peut le faire auprés de l'organisation ou de l'autorité gouvernementale en place (Commissariat à la Protection de la Vie Privée du Canada (Office of the Privacy Commissioner of Canada, la CNIL en France)

Quant aux États-Unis, ils font office de parent pauvre dans ce domaine. Historiquement, la collecte des données personnelles n'était pas interdite au niveau fédéral. Dans les faits, de nombreuses lois ont été passés dans les états et dans le secteur privé pour pallier les risques. La Californie avec le Online Privacy Protection Act (OPPA) et le Massachussets avec le 201 CMR 17 sont les états les plus actifs dans ce domaine. On notera également le Children Onine Privacy Protection Act (COPPA) au niveau fédéral qui a l'avantage de réglementer strictement les renseignements personnels sur les enfants.

Besoin d'un audit dans ce domaine ? Faites appel à nous !

Posts récents

Voir tout
bottom of page