Le visage changeant de la protection de la vie privée

Écrit par Stephen D. Burns

Depuis le 1er mai 2010, la Personal Information Protection Act de l’Alberta et ses règlements ont été modifiés par la Personal Information Protection Amendment Act et le Personal Information Protection Act Amendment Regulation correspondant.

Parmi les nombreuses modifications apportées à la Loi sur la protection des renseignements personnels, nous attirons votre attention sur les points suivants :

• Une nouvelle exigence selon laquelle les organisations doivent aviser le commissaire de tout incident mettant en cause la perte ou la communication non autorisée de renseignements personnels, lorsqu’une personne raisonnable considérerait qu’il existe un risque réel de préjudice grave pour une personne en raison de la perte ou de l’accès ou de la communication non autorisés; le commissaire peut exiger de l’organisation qu’elle avise les personnes touchées. L’article 19 du Règlement modifié précise la forme et les détails de ces avis.
• Une nouvelle exigence selon laquelle les organisations qui utilisent un fournisseur de services (y compris une société mère, une filiale ou une autre société affiliée) à l’extérieur du Canada doivent :
  • inclure dans leurs politiques et pratiques des renseignements concernant :
    • les pays à l’extérieur du Canada où la collecte, l’utilisation, la divulgation ou le stockage a lieu ou peut avoir lieu; et
    • les fins pour lesquelles le fournisseur de services à l’extérieur du Canada a été autorisé à recueillir, utiliser ou divulguer des renseignements personnels pour ou au nom de l’organisation;
  • aviser les personnes au moment de la collecte ou du transfert ou avant, par écrit ou oralement :
    • comment les personnes peuvent obtenir des renseignements écrits sur les politiques et les pratiques de l’organisation à l’égard des fournisseurs de services à l’extérieur du Canada; et
    • le nom ou le nom ou le titre du poste d’une personne qui est en mesure de répondre aux questions de la personne.
• Une nouvelle exigence selon laquelle les organisations, dans un délai raisonnable après qu’une organisation n’a plus raisonnablement besoin de renseignements personnels à des fins juridiques ou commerciales, détruisent les documents contenant les renseignements personnels ou révisent les documents de sorte que les renseignements restants ne puissent plus être utilisés pour identifier une personne.
• Clarification que les dispositions relatives aux renseignements personnels sur les employés s’appliquent aux employés potentiels, actuels et anciens d’une organisation et comprennent la gestion des relations de travail après l’emploi ou après le bénévolat.
• Clarification des dispositions permettant la divulgation sans préavis ni consentement dans le cadre de la prévention, de la détection ou de la répression de la fraude, y compris l’inclusion spécifique des bureaux d’enquête du Bureau d’assurance du Canada et de l’Association des banquiers du Canada.
• Un nouveau consentement réputé à la collecte, à l’utilisation ou à la communication de renseignements personnels dans le cadre de l’adhésion d’une personne à une police d’assurance, d’une pension, d’un régime d’avantages sociaux ou d’une protection en vertu d’une police d’assurance, d’une pension, d’un régime d’avantages sociaux ou d’un régime semblable.
• Une nouvelle exigence de conserver les documents liés à une enquête du commissaire pendant une période d’un an.

Étant donné que ces modifications comprennent à la fois de nouvelles obligations (comme la destruction, l’avis de perte et l’avis des fournisseurs de services à l’extérieur du Canada) et des précisions dans certains domaines clés (comme l’application de la Loi à la relation d’emploi), le moment est peut-être venu d’examiner vos politiques et pratiques actuelles et d’examiner ce qui, le cas échéant, des modifications peuvent maintenant être requises à la suite de ces modifications.