Dans notre précédent article, nous avons déterminé que les organisations à but non lucratif peuvent être assujetties à l’application de la Loi sur la protection des renseignements personnels et les documents électroniques (la « Loi »). Ceci dit, qu’on soit assujetti ou non, du moment que l’on collecte ou utilise des renseignements personnels, il est suggéré de suivre les règles de base suivantes afin de se conformer aux exigences minimales applicables.

Limitez la collecte

La règle d’or est que la collecte de renseignements personnels doit être faite pour des fins définies et que seuls les renseignements personnels nécessaires à l’accomplissement de ces fins peuvent être collectés. Vous devriez toujours être en mesure de justifier pourquoi ces renseignements spécifiques sont collectés. Par exemple, avez-vous vraiment besoin de collecter une date de naissance?

Obtenez le consentement

Il est de plus essentiel d’obtenir le consentement libre et éclairé des individus tant pour la collecte que pour l’utilisation, la préservation et la divulgation des renseignements personnels. Ainsi, chaque organisation devrait, entre autres, clairement divulguer les raisons de la collecte et indiquer les utilisations qui seront faites des renseignements. Il est important de garder une preuve du consentement reçu.

Si la conduite de vos activités vous mène à modifier votre utilisation, sauvegarde ou communication des renseignements, obtenez de nouveau le consentement des personnes concernées en précisant les changements qui sont apportés.

Limitez l’utilisation, la sauvegarde et la divulgation des renseignements personnels

Ne conservez que les informations qui doivent être utilisées afin d’éviter des coûts et des risques élevés en matière de gestion des renseignements personnels.

Au moment de la destruction, il ne suffit pas de mettre des dossiers à la poubelle ou à la corbeille. Ayez recours à du déchiquetage ou à d’autres moyens qui permettent la destruction complète de l’information. Dans le cas de données stockées sur un support informatique, le Commissariat à la protection de la vie privée suggère de se référer aux NIST Guidelines for Media Sanitization afin d’obtenir de plus amples renseignements sur les méthodes de destruction appropriées.

Finalement, vous pourriez avoir besoin de communiquer certains renseignements pour atteindre vos objectifs ; par exemple, à des fournisseurs de services ou à des tiers pour fins de stockage. Dans ce cas, assurez-vous que le consentement des individus soit obtenu pour cette communication et que vous ayez des ententes adéquates en place afin d’assurer la protection des renseignements et de limiter votre responsabilité en cas de problèmes.

Maintenez vos dossiers sécuritaires et accessibles

Prenez les mesures adéquates pour la sauvegarde des renseignements, peu importe la manière dont ils sont conservés. Une entité qui recueille des renseignements personnels doit les protéger contre la perte, le vol, la consultation, la communication, la copie, l’utilisation ou la modification non utilisée.

Le principe 4.7.3. de l’Annexe 1 de la Loi précise que les méthodes de protection doivent comprendre :

a)des moyens matériels, par exemple le verrouillage des classeurs et la restriction de l’accès aux bureaux ;

b)des mesures administratives, par exemple des autorisations sécuritaires et un accès sélectif ; et

c)des mesures techniques, par exemple l’usage de mots de passe et du chiffrement.

Finalement, de manière générale, toute personne a le droit d’avoir accès à l’information répertoriée à son sujet et de savoir comment ces renseignements ont été utilisés et à qui ils ont été communiqués. Des mécanismes de plainte doivent aussi être disponibles.

Conclusion

En bref, dès le moment que l’on décide de collecter et d’utiliser des renseignements personnels, il est essentiel de préciser les raisons pour lesquelles cette information est collectée et d’obtenir le consentement spécifique à la collecte et l’utilisation. De plus, conservez les renseignements de manière sécuritaire et employez des méthodes adéquates pour leur destruction. En cas de doute, mieux vaut être prudents !