Cueillette En EntrepriseLa loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est une loi fédérale canadienne sur la protection de la vie privée qui a été promulguée pour la première fois en 2000 et mise à jour en 2015. Son objectif est d’encourager les organisations à collecter, utiliser et communiquer des informations personnelles d’une manière qui reconnaisse le droit des citoyens à la vie privée. Bien qu’elle ait été élaborée à l’origine pour promouvoir la confiance dans le commerce électronique, elle a depuis été étendue à d’autres secteurs, notamment les soins de santé et les banques.
En vertu de la LPRPDE, de nombreux éléments de données sont considérés comme des informations personnelles, notamment:
- Nom
- Numéros d’identification, tels que le numéro d’assurance sociale ou le permis de conduire
- Âge
- Informations financières, telles que les dossiers de crédit et de prêt
- État civil
- La race, l’origine nationale ou ethnique
- ADN
- Dossiers des employés
- Dossiers médicaux
- Historique de l’éducation
- Opinions, commentaires et statut social
Toute entreprise privée canadienne qui recueille des données personnelles dans le cadre de ses activités commerciales doit se conformer à la LPRPDE. Si votre organisation est soumise à cette loi, voici ce que vous devez faire pour en assurer le respect.
Les 10 exigences de la LPRPDE
1. Responsabilité
Désignez au moins une personne qui sera tenue responsable du respect de la LPRPDE. La ou les personnes désignées devront élaborer une politique de protection de la vie privée, englobant les neuf principes suivants, et auront le pouvoir de superviser l’application de cette politique.
2. Détermination des objectifs
Les organisations doivent être en mesure d’expliquer pourquoi les informations sont collectées et de les utiliser uniquement aux fins prévues. Si elles doivent être utilisées à des fins autres que celles prévues initialement, il convient de demander un nouveau consentement si nécessaire.
3. Consentement
Avant de recueillir des informations personnelles, vous devez vous assurer que vous avez le consentement des parties qui fournissent leurs données. Les personnes doivent être en mesure de comprendre clairement ce que signifie donner son consentement et ne doivent pas se sentir contraintes de le donner.
4. Limitation de la collecte
La LPRPDE exige également que les organisations ne recueillent que les renseignements absolument nécessaires à la conduite des affaires. Par exemple, si vous dirigez une entreprise de réparation d’appareils électroménagers, vous pourriez avoir besoin de l’adresse d’un propriétaire pour envoyer un technicien en réparation, mais vous n’auriez pas besoin de recueillir le permis de conduire du client ou d’autres renseignements personnels.
5. Limitation de l’utilisation, de la divulgation et de la conservation
Dans votre politique de protection de la vie privée, veillez à définir des lignes directrices et des processus garantissant que les informations ne sont utilisées qu’aux fins pour lesquelles le fournisseur a donné son consentement. En vertu de cette clause, les entreprises sont également tenues de fixer une période de conservation des données, qui ne doit pas dépasser la durée nécessaire à la conduite des affaires.
La gestion de la conservation des données est un domaine dans lequel Quantum excelle. Nous pouvons vous aider à maintenir un calendrier de conservation conforme à votre politique interne de protection de la vie privée et à la LPRPDE. En tant qu’entreprise certifiée AAA par la National Association for Information Destruction (NAID), nous répondons à des exigences rigoureuses en matière de destruction de données. Quantum s’assure que vos équipements dans lesquels sont stockées des informations personnelles, tels que les disques durs, sont manipulés de manière sécurisée et détruits de manière appropriée. Grâce à une programmation pratique via notre portail client, vous pouvez même mettre en place des collectes qui s’alignent sur les périodes de conservation fixes de votre entreprise.
6. Précision
Les entreprises doivent également veiller à ce que les informations personnelles soient exactes, complètes et régulièrement mises à jour, selon les besoins, en fonction de l’objectif visé. Cela permet de réduire le risque de prendre des décisions basées sur des informations obsolètes.
7. Garanties
Vous devez empêcher que des données sensibles soient accessibles à d’autres parties, volées, copiées ou altérées. Les données doivent être protégées non seulement dans vos locaux, mais aussi lors de tout processus de destruction hors site. Des mesures physiques, organisationnelles et techniques doivent être prises pour protéger les informations personnelles.
Pour vous aider à respecter les mesures physiques et techniques, Quantum propose des services de destruction de disques durs et d’effacement de données. Notre déchiqueteuse certifiée par le NIST déchiquette les disques durs en morceaux de taille égale ou inférieure à ¾ », ce qui répond aux exigences de la GRC et du DoD en matière de destruction de données. Nous pouvons également effacer toutes les traces de données personnelles qui pourraient être cachées dans des sources autres que les disques durs, y compris les formats flash et autres, grâce à l’effacement des données numériques. Suite à ces services, vos fichiers sont définitivement détruits et ne peuvent être récupérés. Par la suite, nous pouvons vous fournir des certificats pour vos dossiers, que vous pouvez conserver à des fins de conformité.
8. Transparence
En plus de demander le consentement, vous devez également communiquer aux clients la politique de confidentialité de votre entreprise. Votre politique doit inclure le nom et les coordonnées de la personne désignée comme responsable de la LPRPDE, ainsi que des détails sur la manière dont les consommateurs peuvent accéder à leurs données personnelles et sur la manière dont elles sont partagées.
Dans votre politique de confidentialité, vous pouvez également inclure des détails sur la manière dont les biens informatiques en fin de vie sont détruits par un expert en cession de biens informatiques (ITAD) tel que Quantum…
9. Accès individuel
Si une personne demande des détails sur les informations qui sont collectées auprès d’elle et sur la manière dont elles sont utilisées, les organisations doivent lui donner accès à ces informations. Si un consommateur le souhaite, il peut contester l’exactitude de ses données personnelles et les modifier si nécessaire.
10. Contestation de la conformité
Enfin, la LPRPDE exige que vous établissiez un processus pour recevoir, examiner et répondre aux plaintes concernant les violations.