Introduction

L’un des principaux buts de la loi est d’assurer la protection de la vie privée des personnes en protégeant leurs renseignements personnels dont des institutions ont la garde ou le contrôle. Ce chapitre est une introduction aux concepts de protection de la vie privée et de renseignements personnels.

La loi protège la vie privée en fixant les règles à suivre par les institutions pour la collecte, l’utilisation, la divulgation, l’exactitude de la mise à jour, la conservation, la sécurité et la suppression des renseignements personnels. Ces règles de protection de la vie privée sont passées en revue en détail dans ce chapitre, ainsi que les moyens par lesquels les institutions se conforment à la loi.

Chapitre 8 : Demandes d’accès aux renseignements personnels et demandes de rectification.
Ce chapitre traite des cas particuliers dans lesquels une personne demande ses renseignements personnels et la rectification des renseignements personnels dont une institution a la garde ou le contrôle. Chapitre 9 : Gestion de la protection de la vie privée. Ce chapitre est consacré aux pratiques exemplaires des institutions pour créer un programme de gestion de la protection de la vie privée afin de s’assurer de respecter la loi.

Certaines institutions peuvent également être assujetties à la Loi sur la protection des renseignements personnels sur la santé. Ces institutions tiennent compte de facteurs additionnels dans leurs règles régissant la collecte, l’utilisation et la divulgation des renseignements personnels sur la santé dont elles ont la garde. Ce chapitre n’aborde pas ce sujet et ces institutions doivent consulter la LPRPS pour obtenir de plus amples renseignements.

Comprendre la protection de la vie privée

La loi ne définit pas explicitement la protection de la vie privée. Elle définit les renseignements personnels et énonce les règles que les institutions doivent suivre pour la collecte, l’utilisation, la divulgation, la conservation, la sécurité, le transfert aux archives et la destruction des renseignements personnels.

La loi protège la vie privée en :

  • énonçant les règles qui déterminent quels renseignements personnels peuvent être collectés par les institutions et par quels moyens;
  • énonçant les règles régissant le traitement, la gestion et le partage des renseignements personnels entre les institutions et entre d’autres organismes gouvernementaux;
  • établissant pour les personnes des procédures d’accès à leurs propres renseignements personnels, sous réserve de quelques exemptions nécessaires et clairement définies.

Renseignements personnels

LAIPVP art. 2 / LAIMPVP art. 2

Selon la définition de la loi, les renseignements personnels sont des renseignements enregistrés au sujet d’une personne identifiable. Cette définition des renseignements personnels ne s’applique pas à ceux d’une personne décédée depuis plus de 30 ans.

Certains renseignements entrent vraisemblablement dans la définition des renseignements personnels si une personne peut être raisonnablement identifiée, soit seulement à partir des renseignements en question, soit à partir de la combinaison de ces renseignements avec d’autres renseignements.

Une importante exception de la définition d’un « document » s’applique aux renseignements non enregistrés (p. ex. divulgation verbale) qui peuvent constituer des renseignements personnels.

Les renseignements personnels sont notamment :

  • le nom;
  • l’adresse personnelle;
  • l’adresse de courriel personnelle;
  • le numéro de téléphone personnel;
  • la race;
  • l’origine nationale;
  • l’origine ethnique;
  • la couleur;
  • la religion;
  • l’âge;
  • la date de naissance;
  • le sexe;
  • l’orientation sexuelle;
  • l’état matrimonial;
  • l’état familial;
  • l’éducation;
  • les antécédents médicaux;
  • les antécédents professionnels;
  • les opérations financières auxquelles une personne a participé;
  • le numéro d’identification;
  • un symbole individuel attribué à une personne;
  • la photographie d’une personne;
  • un autre signe particulier permettant d’identifier une personne;
  • les empreintes digitales;
  • le groupe sanguin;
  • la correspondance adressée par une personne à une institution, de caractère personnel ou confidentiel, soit implicitement, soit explicitement, ou des réponses à cette correspondance qui révèleraient le contenu de la première correspondance;
  • les opinions ou les points de vue d’une personne, sauf s’ils sont au sujet d’une autre personne;
  • les opinions ou les points de vue d’une autre personne au sujet de la personne en question.

Renseignements sur l’identité professionnelle

LAIPVPpar. 2 (3), par. 2 (4) / LAIMPVPpar. 2 (2.1), par. 2 (2.2).

La loi clarifie ce qui ne constitue pas des renseignements personnels dans un contexte professionnel.

Les renseignements sur l’identité professionnelle sont le nom, le titre, les coordonnées ou la désignation d’une personne qui permettent de l’identifier en liaison avec ses activités commerciales, professionnelles ou officielles.

Les règles qui régissent les renseignements sur l’identité professionnelle s’appliquent même si une personne exerce des activités commerciales, professionnelles ou officielles depuis son logement et si ses coordonnées sont celles de ce logement.

Renseignements liés au service à la clientèle

LAIPVPpar. 65.1 (2)

La LAIPVP autorise une organisation de prestation de services à recueillir des renseignements personnels liés au service à la clientèle avec le consentement d’une personne. Au sein du gouvernement de l’Ontario, ServiceOntario est un exemple d’organisation de prestation de services.

Les renseignements liés au service à la clientèle constituent une catégorie de renseignements personnels séparée qui comprend :

  • le nom, l’adresse et le numéro de téléphone ou les autres coordonnées;
  • le numéro de transaction ou du reçu fourni;
  • les renseignements relatifs au versement des droits, s’il y a lieu;
  • les autres renseignements prescrits.

Exemples courants de renseignements personnels

Un nom à lui seul ne constitue pas, par définition, un renseignement personnel. Un nom devient un renseignement personnel quand il apparaît à côté d’autres renseignements personnels liés à une personne ou quand la divulgation d’un nom révèlerait d’autres renseignements personnels au sujet d’une personne.

Les renseignements au sujet des caractéristiques, du milieu et des antécédents d’une personne sont des exemples courants de renseignements personnels, par exemple, la race, l’origine ethnique, le pays d’origine, le genre, l’identité de genre, les antécédents professionnels et l’éducation, entre autres.

Un numéro d’identification est normalement un numéro unique, lié à une personne dans un contexte particulier, par exemple le numéro de carte de santé, les numéros des dossiers médicaux attribués par les hôpitaux, le numéro d’assurance sociale (NAS), le numéro du permis de conduire, les numéros des étudiants et ceux des adresses. Les numéros des télécopieurs personnels ou les adresses de protocole Internet peuvent également appartenir à cette catégorie de renseignements personnels.

Un symbole permettant d’identifier une personne représente ou laisse entendre quelque chose d’autre à cause d’une relation, d’une association, d’une convention ou d’une ressemblance accidentelle, par exemple une signature, un diplôme ou un titre professionnel, un tatouage, un emblème ou une cicatrice.

D’autres signes particuliers peuvent être des données biométriques comme l’empreinte d’une main, d’un pied, l’image de l’iris ou l’ADN. Les données biométriques comportementales peuvent être notamment la frappe des touches d’un clavier et les empreintes vocales.

Règles de protection de la vie privée

Afin de pouvoir assurer la prestation de services et de programmes au public, les institutions ont besoin de collecter, de gérer, de divulguer et de transférer à des archives ou de détruire des renseignements personnels. Les institutions doivent s’assurer que leur mode de collecte, d’utilisation, de divulgation et de transfert à des archives ou de destruction des renseignements personnels est conforme aux règles de protection de la vie privée prescrites par la loi.

Comme les règles de protection de la vie privée décrites dans la loi sont générales, la majorité des institutions ont d’autres politiques, normes ou procédures de protection de la vie privée grâce auxquelles ces règles sont mises en œuvre dans le contexte de leurs activités. Par exemple, ces politiques internes peuvent décrire les rôles et les responsabilités au sein d’une institution pour diverses activités liées à la protection de la vie privée.

Les règles de protection de la vie privée s’appliquent à tous les renseignements personnels détenus par les institutions, à l’exception des renseignements personnels contenus dans les documents accessibles au grand public, qui seront abordés en fin de chapitre, et certains documents liés à l’emploi et au travail.

Les règles de protection de la vie privée et leur but principal sont résumés ci-dessous, puis présentés plus en détail par la suite.

Autorité de collecter : limiter la collecte des renseignements personnels par les institutions à la réalisation des activités autorisées.

Mode de collecte : assurer la collecte directe des renseignements personnels auprès d’une personne, sauf dans quelques rares cas.

Exigences en matière d’avis : informer une personne de la collecte de ses renseignements personnels.

Utilisation et divulgation nécessaires : limiter l’utilisation et le partage du contrôle ou la diffusion des renseignements personnels à la réalisation des activités autorisées.

Exactitude : assurer la mise en place de processus grâce auxquels les renseignements personnels sont toujours exacts.

Conservation  : assurer l’accès d’une personne à ses propres renseignements personnels pendant une certaine période.

Sécurité : assurer la sécurité et la confidentialité des renseignements personnels.

Transfert à des archives et destruction : assurer l’autorisation et la sécurité du transfert aux archives et de la destruction des renseignements personnels.

Autorité de collecter

LAIPVP art. 38 / LAIMPVP art. 28

Une institution ne peut collecter des renseignements personnels que dans l’une des situations ci-dessous :

  • la collecte des renseignements personnels est autorisée expressément par une loi;
  • les renseignements personnels collectés servent à l’exécution de la loi;
  • la collecte est nécessaire au bon exercice d’une activité autorisée par la loi.

L’expression « autorisée expressément par une loi » exige que les types de renseignements personnels particuliers soient décrits dans un texte législatif (c. à d. une loi) ou qu’une loi comporte une référence générale à cette activité.

« Servent à l’exécution de la loi » fait référence à l’exécution de la loi décrite dans la deuxième partie de la loi. Consultez la section sur l’exécution de la loi du Chapitre 5 : Exemptions et exclusions pour obtenir de plus amples renseignements sur la définition de l’exécution de la loi.

« Nécessaire au bon exercice d’une activité autorisée par la loi » fait référence aux cas dans lesquels les institutions doivent collecter des renseignements personnels pour assurer la prestation d’un service ou d’un programme autorisé par le gouvernement. Pour les ministères provinciaux, cette autorité peut prendre la forme d’une loi, de règlements d’application ou d’un décret. Pour les institutions municipales, l’autorité peut prendre la forme d’un texte législatif, d’un règlement municipal ou d’un règlement.

« Nécessaire » est un mot clé dans cette disposition. Les institutions doivent pouvoir démontrer que chaque renseignement personnel collecté pour administrer un programme est indispensable à la correction et à l’efficacité de sa mise en œuvre. La collecte de renseignements personnels simplement utiles pour l’institution ne pourrait pas être autorisée.

Une collecte se produit quand une institution cherche activement à acquérir des renseignements ou demande à une ou plusieurs personnes de lui envoyer leurs renseignements personnels. Même si une institution collecte des renseignements personnels non écrits (c. à d. verbalement), cette activité serait également considérée comme une collecte de renseignements personnels.

Si une personne communique ses renseignements personnels sans qu’une institution le lui demande, on ne considère qu’une collecte a lieu que si l’institution garde ou utilise ces renseignements.

Mode de collecte

LAIPVPpar. 39 (1) / LAIMPVPpar. 29 (1)

Collecte directe

La loi exige que les renseignements personnels soient collectés directement auprès de la personne concernée par ces renseignements.

La loi prévoit un nombre limité de cas dans lesquels il est possible de collecter des renseignements personnels indirectement, à savoir d’une source différente de la personne concernée par ces renseignements.

Collecte indirecte

Les institutions peuvent collecter des renseignements personnels indirectement à condition qu’une personne autorise ce mode de collecte. Les institutions doivent conserver la date et les détails de cette autorisation dans un registre, à savoir :

  • les renseignements personnels collectés;
  • la source des renseignements personnels;
  • le nom de l’institution ayant collecté les renseignements personnels.

Autres circonstances dans lesquelles la collecte indirecte des renseignements personnels est permise :

  • autre mode de collecte autorisé par d’autres lois;
  • institutions détenant l’autorité légale de divulguer les renseignements personnels;
  • instance poursuivie ou envisagée devant un tribunal;
  • exécution de la loi;
  • détermination des candidats possibles à une distinction ou à un prix.

Exemples de lois autorisant une institution à collecter indirectement les renseignements personnels :

  • Loi sur l’évaluation foncière;
  • Loi sur les obligations familiales et l’exécution des arriérés d’aliments;
  • Loi sur les services de santé municipaux;
  • Loi sur les renseignements concernant le consommateur.

Exemples d’instances ou de tribunaux quasi-judiciaires : la Commission des affaires municipales de l’Ontario, le Comité des normes des biens-fonds, la Commission de révision de l’aide sociale et les comités de dérogation.

Afin de justifier la collecte de renseignements personnels auprès d’une autre institution, une institution doit démontrer que ces renseignements personnels sont collectés, au moins en partie, dans le même but.

Pouvoir du commissaire à l’information et à la protection de la vie privée (CIPVP)

La loi donne au CIPVP le pouvoir d’autoriser une collecte indirecte dans les deux cas suivants :

  • la collecte n’est pas autorisée expressément en vertu de cet article;
  • il n’est pas possible ni pratique de collecter les renseignements personnels directement ou d’obtenir directement l’autorisation de la personne concernée.

Une institution doit solliciter une dérogation à la loi devant le CIPVP.

Exigences en matière d’avis

LAIPVPpar. 39 (2), par. 39 (3) / LAIMPVPpar. 29 (2), par. 29 (3)

Une institution doit informer la personne concernée que ses renseignements personnels ont été collectés. Dans toute la mesure du possible, l’avis doit être communiqué à cette personne au moment de la collecte ou doit figurer dans les formulaires et les communications d’un programme.

L’avis à cette personne doit contenir les renseignements suivants :

  • l’autorité légale pour procéder à cette collecte;
  • une référence précise à cette loi, à cet article ou à ce règlement municipal;
  • l’utilisation principale et secondaire, s’il y a lieu, de ces renseignements personnels;
  • le titre et les coordonnées professionnelles d’un fonctionnaire de l’institution.

Cet avis doit être communiqué à chaque collecte. L’avis doit mentionner les autorités légales ou les collectes différentes si un seul formulaire est utilisé pour plusieurs collectes.

L’avis doit être formulé ou rédigé clairement et informer une personne suffisamment en détail, mais sans contraintes inutiles pour l’institution. Le mode de communication de l’avis doit tenir compte des personnes concernées et de l’activité liée à la collecte. Il existe de nombreuses options, par exemple cette information peut être communiquée sous la forme d’un avis verbal ou écrit, par la poste ou dans des annonces publiques.

Les avis doivent être examinés régulièrement pour s’assurer que leur information est exacte et à jour. Le fonctionnaire désigné doit être disponible et en mesure de répondre aux questions sur la protection de la vie privée et sur l’utilisation et la divulgation des renseignements personnels.

Exception aux exigences en matière d’avis

LAIPVPpar. 39 (3) / LAIMPVPpar. 29 (3)

La loi autorise le ministre responsable à accorder une dispense d’avis de collecte au cas par cas. Une demande de dispense doit s’appliquer à une catégorie ou à un groupe de personnes et non à une seule personne.

Une dispense peut être accordée dans les cas suivants :

  • la collecte indirecte est autorisée par la loi;
  • l’avis entraverait une collecte indirecte pour des programmes uniques ou des enquêtes;
  • la communication de l’avis est impossible ou très difficile;
  • le fardeau administratif et le coût de la communication de l’avis sont excessifs par rapport à sa nécessité;
  • les divulgations ultérieures d’une institution sont incompatibles avec le premier avis.

L’annexe 8 est un formulaire que les institutions peuvent utiliser pour solliciter une dispense auprès du ministre responsable qui contient la liste des facteurs dont tenir compte par les institutions dans ce cas. Les institutions devraient consulter un avocat quand elles envisagent de solliciter une dispense.

Utilisation et divulgation des renseignements personnels

LAIPVP art. 41, art. 42 / LAIMPVP art. 31, art. 32

La loi fixe plusieurs conditions pour déterminer l’utilisation et la divulgation des renseignements personnels. En règle générale, les renseignements personnels ne peuvent être utilisés ou divulgués que dans le but pour lequel ils ont été collectés.

Dans plusieurs cas, l’utilisation et la divulgation des renseignements personnels sont permises pour d’autres buts que ceux de leur collecte. Ces buts sont expliqués ci-dessous.

Fin compatible

LAIPVPpar. 41 (1) (b), par. 42 (1) (c), art. 43 / LAIMPVPpar. 31 (b), par. 32 (c), art. 33

La loi autorise les institutions à utiliser et à divulguer les renseignements personnels dans un but compatible avec celui indiqué dans l’avis de collecte. Un but est compatible quand une personne peut raisonnablement s’attendre à l’utilisation ou à la divulgation de ses renseignements personnels au moment de leur collecte.

Par exemple, la divulgation du nom et de l’adresse d’une personne à une entreprise de messagerie afin qu’elle puisse lui livrer un colis serait considérée comme un but compatible si cette personne avait demandé de nouvelles plaques d’immatriculation pour son véhicule au ministère des Transports.

Dans le cas d’une collecte indirecte auprès d’une autre institution, une institution doit démontrer la compatibilité de la collecte indirecte avec la première collecte.

Consentement

LAIPVPpar. 41 (1) (a), par. 42 (1) (b) / LAIMPVPpar. 31 (a), par. 32 (b)

Une personne peut consentir à une collecte indirecte ou à une utilisation secondaire de ses renseignements personnels. Une institution peut également utiliser et divulguer des renseignements personnels si la personne concernée y a consenti.

Le consentement doit être donné par écrit en identifiant les renseignements pour lesquels il est donné. Si le consentement n’est pas obtenu par écrit, les institutions doivent prendre note :

  • des renseignements personnels à divulguer;
  • du destinataire des renseignements à divulguer et du but de leur utilisation;
  • de la date du consentement;
  • de l’institution à laquelle le consentement a été donné.

Conformité à d’autres lois

LAIPVPpar. 41 (1) (c), par. 42 (1) (e) / LAIMPVPpar. 31 (c), par. 32 (e)

Une institution peut utiliser et divulguer des renseignements personnels dans le but de se conformer à une loi de la Législature ou du Parlement, à un traité, à un accord ou à un arrangement. L’accord ou l’arrangement doit être autorisé par une loi fédérale ou provinciale.

Voici quelques exemples :

  • la Loi sur les services à l’enfance et à la famille;
  • le Code de la route;
  • la Loi sur l’ombudsman.

Exercice de fonctions

LAIPVPpar. 41 (1) (c), par. 42 (1) (d) / LAIMPVPpar. 31 (c), par. 32 (d)

Une institution peut utiliser ou divulguer des renseignements personnels en son sein pour d’autres buts que ceux qui ont été indiqués lors de leur collecte dans les cas suivants :

  • les renseignements détenus sont nécessaires pour l’accomplissement des fonctions d’une institution;
  • un dirigeant, un employé, un expert-conseil ou le représentant d’une institution en a besoin pour exercer ses fonctions.

Le besoin et la nécessité doivent être suffisants. Les divulgations effectuées simplement en réponse à des sujets de préoccupation ou pour des raisons de commodité ne sont pas autorisées en vertu de cet article.

Entre organisations

LAIPVPpar. 42 (1) (j) à (n) / LAIMPVPpar. 32 (j) à (l)

La loi autorise les institutions à divulguer des renseignements personnels pour des raisons autres que celles pour lesquelles ils ont été collectés dans des circonstances limitées et clairement définies. Les institutions peuvent divulguer des renseignements personnels à d’autres organisations ou représentants d’organisation, comme :

  • le ministre responsable;
  • le CIPVP;
  • un député de l’Assemblée législative autorisé par un électeur en vertu de la LAIPVP;
  • un membre de l’agent négociateur autorisé par un employé en vertu de la LAIPVP;
  • le gouvernement du Canada afin de faciliter la vérification des programmes cofinancés (p. ex. en vertu de la Loi sur l’aide sociale générale).

Circonstances humanitaires

LAIPVPpar. 42 (1) (i) / LAIMPVPpar. 32 (i)

Une institution peut divulguer des renseignements personnels dans des circonstances humanitaires afin de faciliter la communication avec un proche parent ou un ami d’une personne blessée, malade ou décédée. Les renseignements personnels divulgués peuvent être ceux de n’importe laquelle de ces personnes. Seuls les renseignements nécessaires pour faciliter la communication doivent être divulgués.

Cet article n’est pas pertinent pour décider quels renseignements personnels peuvent être divulgués en réponse à une demande d’accès. Les facteurs liés aux circonstances humanitaires qui sont pertinents dans le traitement des demandes sont présentés dans le Chapitre 5 : Exemptions et exclusions dans la section consacrée à l’exemption à la protection de la vie privée.

Activités de financement

LAIPVPpar. 41 (1) (d), par. 42 (1) (o), par. 42 (2), par. 42 (3)

Les établissements d’enseignement peuvent utiliser et divulguer des renseignements personnels tirés de leurs documents sur d’anciens étudiants et les hôpitaux peuvent utiliser et divulguer des renseignements personnels tirés de leurs documents pour les besoins de leurs activités de financement à condition :

  • d’en aviser une personne en la contactant pour la première fois;
  • d’informer régulièrement cette personne;
  • de publier périodiquement un avis public.

Le but de chaque type d’avis est d’informer une personne et de lui permettre de refuser l’utilisation de ses renseignements personnels dans le cadre d’activités de financement ou de demander d’y mettre fin.

La LAIPVP exige qu’un accord de financement soit conclu entre un établissement d’enseignement ou un hôpital et toute personne ou organisation associée qui réalise ces activités de financement.

Consultez la disposition de la Loi sur la protection des renseignements personnels sur la santé qui traite des activités de financement et, plus particulièrement, des dépositaires de renseignements sur la santé et des renseignements personnels sur la santé.

Santé et sécurité

LAIPVPpar. 42 (1) (h) / LAIMPVPpar. 32 (h)

Une institution peut divulguer des renseignements personnels dans une situation d’urgence où la santé et la sécurité d’une personne sont en jeu. Cette divulgation doit être suivie de l’envoi d’un avis à la dernière adresse connue de la personne concernée par ces renseignements.

Exécution de la loi

LAIPVPpar. 42 (1) (f) à (g) / LAIMPVPpar. 32 (f) à (g)

Une institution peut divulguer des renseignements personnels pour les besoins de l’exécution de la loi, si cette divulgation est faite :

  • par une institution chargée de l’exécution de la loi;
  • à un organisme chargé de l’exécution de la loi dans un pays étranger en vertu d’un arrangement, d’un accord écrit, d’un traité ou d’une loi;
  • à un autre organisme du Canada chargé de l’exécution de la loi;
  • à une institution ou à un organisme chargé de l’exécution de la loi au Canada afin de faciliter une enquête qui aboutira vraisemblablement à une action en justice.

Les autorisations internes appropriées doivent être obtenues avant la divulgation. Les renseignements personnels ne doivent pas être divulgués pour formuler des hypothèses ou rechercher des faits d’ordre général et ne doivent être divulgués que pour une question d’exécution de la loi clairement définie.

Dans certains cas, une institution doit insister pour voir une ordonnance ou un mandat avant de divulguer des renseignements personnels aux représentants d’une institution chargée de l’exécution de la loi.

Exactitude

LAIPVPpar. 40 (2), par. 40 (3) / LAIMPVPpar. 30 (2), par. 30 (3)

Une institution doit prendre des mesures raisonnables pour s’assurer que les renseignements personnels contenus dans les documents qu’elle utilise sont exacts et à jour.

En revanche, cette norme d’exactitude ne s’applique pas aux renseignements personnels collectés pour les besoins de l’exécution de la loi pendant une enquête. Par exemple, les témoignages recueillis par des agents d’exécution de la loi ne doivent pas être modifiés si d’autres personnes contestent l’exactitude de leur contenu.

Conservation

LAIPVPpar. 40 (1), Rég. 460 (5) / LAIMPVPpar. 30 (1), Rég. 823 (5)

Les calendriers de conservation des documents peuvent subir l’influence de diverses exigences légales, nécessités opérationnelles ou politiques de gestion de l’information. La loi exige de conserver les renseignements personnels pendant une année au minimum après leur utilisation afin d’offrir à quelqu’un une possibilité raisonnable d’accès à ses renseignements personnels.

Les exigences en matière de conservation sont fixées par les règlements d’application des lois qui prévoient quatre exceptions afin qu’une destruction puisse survenir avant la fin de l’année de conservation qui est de règle. Ces exceptions sont les suivantes :

  • une personne peut consentir à une destruction précoce de ses renseignements;
  • les renseignements sont les données de paiement d’une carte de crédit ou de débit;
  • une durée de conservation différente est fixée par un règlement municipal (uniquement pour les institutions assujetties à la LAIMPVP);
  • les renseignements personnels conservés dans des bandes-témoins de télécommunication peuvent être supprimés après 45 jours (uniquement pour les institutions assujetties à la LAIPVP).

L’utilisation des renseignements personnels est importante pour déterminer les exigences en matière de conservation. Par exemple, on ne considérerait pas que les renseignements personnels collectés par des caméras vidéo de surveillance ont été utilisés si leurs vidéos ne sont pas examinées pour des enquêtes sur des incidents de sécurité. Les institutions peuvent donc fixer des durées de conservation plus brèves pour les vidéos de surveillance qu’elles n’examinent pas.

De plus, si les institutions reçoivent des renseignements personnels par erreur et ne les utilisent pas, elles ne sont pas tenues de les conserver pendant une année.

Sécurité

Rég. 460 (3), (4) / Rég. 823 (2), (3)

Une institution doit assurer la sécurité et la confidentialité des documents contenant des renseignements personnels. Les institutions doivent prendre des mesures de sécurité raisonnables, par exemple en adoptant des politiques, des procédures et des normes en réponse aux diverses exigences en matière de sécurité.

Les exigences fixées par les règlements en matière de sécurité sont résumées ci-dessous :

  • on doit accorder l’accès à l’original d’un document en assurant sa sécurité;
  • l’identité d’une personne qui cherche à accéder à ses renseignements personnels doit être vérifiée;
  • on doit empêcher l’accès non autorisé à des documents en tenant compte de la nature des documents à protéger.

D’autres exigences en matière de sécurité sont abordées dans la section suivante, consacrée au transfert à des archives et à la destruction des documents.

Disposition

Rég. 459 (4), (5), (6)

Les règlements exigent que les institutions ne disposent des renseignements personnels qu’avec l’autorisation d’une personne responsable. Les institutions doivent tenir à jour la liste des renseignements personnels dont elles ont disposé, en les transférant à des archives ou en les détruisant, et indiquer la date de leur transfert à des archives ou de leur destruction.

Le transfert à des archives et la destruction de renseignements personnels doivent respecter des exigences en matière de sécurité et leur reconstitution ou leur récupération doivent être impossibles.

En vertu de la LAIPVP, les institutions peuvent disposer de renseignements personnels par les moyens suivants :

  • transfert aux Archives publiques de l’Ontario;
  • destruction.

De plus, un établissement d’enseignement ne peut disposer de renseignements personnels que par les moyens suivants :

  • transfert aux archives d’un établissement d’enseignement conformément à une entente autorisant ce transfert;
  • transfert aux Archives publiques de l’Ontario conformément à une entente autorisant ce transfert;
  • destruction.

Il n’existe aucun règlement similaire pour les institutions assujetties à la LAIMPVP. Celles-ci doivent cependant suivre les principes du Règlement 459 et disposer des renseignements personnels de la même manière. Les institutions assujetties à la LAIMPVP doivent solliciter une approbation avant de disposer de renseignements personnels et tenir également à jour la liste des renseignements personnels dont elles ont disposé. Conformément aux principes du Règlement 459, les institutions assujetties à la LAIMPVP doivent disposer de renseignements personnels par les moyens suivants :

  • transfert aux archives d’une administration municipale ou locale;
  • destruction.

Renseignements personnels dans les documents accessibles au public

LAIPVP art. 37 / LAIMPVP art. 27

La loi prévoit une exemption des règles de protection de la vie privée quand des renseignements personnels sont conservés dans le but de créer un document accessible au public. En revanche, la loi n’impose aucune exigence à respecter pour gérer des documents publics.

Les documents publics qui contiennent des renseignements personnels sont des documents auxquels l’accès est donné à tous les membres du public. Les renseignements personnels seulement accessibles à certains membres du public et pas à d’autres ne constituent pas des documents publics.

Les documents publics sont conservés pour une partie ou pour la totalité des raisons suivantes :

  • administrer adéquatement des programmes, activités ou services;
  • promouvoir la reddition de comptes du gouvernement en fournissant des renseignements relatifs à la délivrance de licences et permis, à la signature de contrats gouvernementaux, etc.;
  • promouvoir des choix éclairés et la protection des consommateurs;
  • permettre la juste détermination des droits.

La nature publique d’un document ne signifie pas qu’aucune condition n’est imposée aux membres du public pour y accéder. Par exemple, des droits peuvent être exigés pour accéder à des documents publics.

Des renseignements personnels similaires peuvent exister dans de multiples contextes. Par exemple, des renseignements personnels peuvent exister dans un contexte, pour conserver un document public, ainsi que dans un autre contexte, pour gérer un programme. Malgré la disponibilité de ces renseignements personnels dans le contexte du document public, les renseignements personnels conservés dans l’autre contexte demeurent confidentiels.

L’exception prévue pour les documents publics n’est applicable qu’à condition que l’institution les conserve expressément dans le but de créer un document public. Les autres institutions ne peuvent pas se prévaloir de l’exception applicable aux documents publics si elles ne détiennent pas également le même pouvoir.

Les documents de la liste ci-dessous sont des exemples de documents qui contiennent des renseignements personnels et qui sont conservés dans le but de mettre cette information à la disposition du public :

  • rôles d’évaluation créés en vertu de la Loi sur l’évaluation foncière;
  • certains renseignements sur les condamnations assujetties à la Loi sur la modernisation de la réglementation;
  • listes électorales créées en vertu de la Loi sur les élections municipales.

Conditions dans lesquels les documents publics sont créés

En Ontario, les documents publics peuvent être soit créés en vertu de la législation, soit en vertu d’une politique adoptée par l’institution.

Quand un document public est créé en vertu de dispositions législatives, de règlements d’application ou de règlements administratifs, il contient en règle générale des conditions relatives à la gestion de ces renseignements, comme le pouvoir de percevoir des droits et les périodes et les lieux d’accès.

Quand un document public est créé sans autorité légale, l’institution doit justifier sa politique par une solide argumentation en démontrant que le droit d’accès du public à ces renseignements l’emporte sur les droits à la protection de la vie privée des personnes concernées par ces renseignements.

Les facteurs suivants font partie de ceux dont tenir compte pour créer et conserver des documents publics.

  • Le «  besoin de savoir  » du public l’emporte-t-il sur les droits à la protection de la vie privée des personnes concernées?
  • La divulgation de ces renseignements permet-elle des choix éclairés?
  • Ces renseignements seront-ils accessibles à tous?
  • Le public a-t-il besoin de ces renseignements pour gérer ses affaires?
  • Si ces renseignements sont rendus publics, cette divulgation constituerait-elle une atteinte injustifiée à la vie privée?
  • Ces renseignements personnels sont-ils particulièrement sensibles?
  • Ces renseignements sont-ils pertinents pour la juste détermination des droits de l’auteur d’une demande?

Ressources

Commissaire à l’information et à la protection de la vie privée : Feuille-info – Que sont les renseignements personnels?

Commissaire à l’information et à la protection de la vie privée : Collecte, utilisation et divulgation des renseignements personnels