Annulée [2018-06-29] - Directive sur les demandes de renseignements personnels et de correction

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

1. Date d'entrée en vigueur

1.1 La présente directive entre en vigueur le 1er avril 2010.

2. Application

2.1 La présente directive s'applique aux institutions fédérales visées par l'article 3 de la Loi sur la protection des renseignements personnels (la Loi), y compris toute société d'État mère ou filiale en propriété exclusive d'une telle société.

2.2 La présente directive ne s'applique pas à la Banque du Canada.

2.3 La présente directive ne s'applique pas aux renseignements exclus en vertu de la Loi.

3. Contexte

3.1 En vertu de la Loi sur la protection des renseignements personnels, les individus ont le droit d'accéder aux renseignements personnels les concernant, ainsi que le droit de demander la correction de toute information factuelle sous le contrôle d'une institution fédérale, et d'y faire ajouter une notation. Cela comprend aussi l'assurance que d'autres individus ou organisations qui utilisent l'information pour des fins administratives soient informés de la correction ou de la notation. Les individus ont le droit de savoir quels renseignements personnels les institutions fédérales recueillent et de s'assurer que ces renseignements sont exacts et complets. Le droit d'accéder aux renseignements personnels et le droit de demander des corrections peuvent être limités dans certaines circonstances. La Loi sur la protection des renseignements personnels stipule qu'il incombe aux responsables des institutions fédérales de répondre aux demandes d'accès aux renseignements personnels et aux demandes de correction.

3.2 La Politique sur la protection de la vie privée stipule que les responsables (ou leurs délégués) doivent assurer l'application uniforme des pratiques et des procédures dans l'administration de la Loi sur la protection des renseignements personnels et du Règlement sur la protection des renseignements personnels afin que les requérants obtiennent des réponses complètes, exactes et opportunes. Ils sont ainsi responsables de confirmer l'identité des requérants et de la protéger, dans la mesure du possible, d'élaborer des procédures pour le traitement des demandes, de donner accès aux renseignements personnels et d'exercer certains pouvoirs discrétionnaires. Les responsables (ou leurs délégués) sont également tenus de considérer toute demande de correction des renseignements personnels et de s'assurer qu'elle soit traitée en conformité avec le Règlement sur la protection des renseignements personnels. Les institutions fédérales appliquent les principes de l'ouverture et de la transparence en facilitant l'accès informel aux renseignements personnels, dans la mesure du possible, et en respectant l'esprit et les exigences de la Loi sur la protection des renseignements personnels, du Règlement sur la protection des renseignements personnels et des instruments de politiques connexes.

3.3 La présente directive expose les exigences auxquelles il faut se conformer pour répondre aux demandes de renseignements personnels et aux demandes de correction en vertu de la Loi sur la protection des renseignements personnels.

3.4 La présente directive est émise conformément à l'alinéa 71(1)d) de la Loi sur la protection des renseignements personnels.

3.5 La présente directive doit être lue de concert avec la Loi sur la protection des renseignements personnels, le Règlement sur la protection des renseignements personnels et la Politique sur la protection de la vie privée.

4. Définitions

4.1 Les définitions devant s'appliquer pour interpréter la présente directive se trouvent à l'annexe A de la présente directive. D'autres définitions sont jointes à l'annexe A de la Politique sur la protection de la vie privée.

5. Énoncé de la directive

5.1 Objectif

5.1.1 Établir des pratiques et des procédures uniformes pour le traitement des demandes d'accès aux renseignements personnels sous le contrôle de l'institution fédérale et des demandes de correction de renseignements personnels qui ont été, sont ou peuvent être utilisés à des fins administratives.

5.2 Résultats attendus

5.2.1 Administration efficace, coordonnée et proactive de la Loi sur la protection des renseignements personnels au sein des institutions fédérales;

5.2.2 Réponses complètes, exactes et en temps utile aux demandes de renseignements personnels et de correction présentées en vertu de la Loi sur la protection des renseignements personnels.

6. Exigences

6.1 Les responsables des institutions fédérales assument les responsabilités suivantes :

Principes de délégation en vertu de la Loi sur la protection des renseignements personnels

6.1.1 Respecter les principes suivants lorsqu'il s'agit de déléguer des attributions en vertu de la Loi sur la protection des renseignements personnels :

  • Le responsable ne peut déléguer ses attributions qu'aux cadres et employés de son institution fédérale dans l'arrêté de délégation. Des consultants ou des employés de l'extérieur de l'institution fédérale ou du secteur privé ne peuvent pas être nommés dans l'arrêté de délégation.
  • Les pouvoirs, les tâches et les fonctions sont délégués aux postes désignés par leur titre et non aux personnes désignées par leur nom.
  • Les personnes auxquelles des pouvoirs ont été délégués doivent être bien informées de leurs responsabilités.
  • Les pouvoirs, les tâches et les fonctions ayant été délégués ne peuvent pas être sous délégués. Les employés et les consultants peuvent cependant exécuter des tâches à l'appui des responsabilités conférées aux délégués.
  • L'arrêté de délégation doit être revu lorsque les circonstances entourant la délégation ont changé. Un arrêté de délégation demeure en vigueur jusqu'à ce que le responsable de l'institution le réexamine et le révise.

Sensibilisation à la protection des renseignements personnels

6.1.2 Faire en sorte que les délégués reçoivent une formation en protection des renseignements personnels (PRP) dans les domaines décrits à l'annexe B de la présente directive.

6.2 Les responsables des institutions fédérales ou leurs délégués assument les responsabilités suivantes :

Exercice du pouvoir discrétionnaire

6.2.1 Exercer un pouvoir discrétionnaire de manière équitable, raisonnable et impartiale après avoir suivi les étapes suivantes :

  • tenir compte de l'objet général de la Loi qui donne un droit d'accès aux individus à leurs renseignements personnels, sous réserve des exceptions précises et limitées;
  • tenir compte des dispositions de la Loi et de la jurisprudence qui s'appliquent;
  • consulter les institutions fédérales, si nécessaire, concernant le traitement et la communication des renseignements personnels;
  • examiner les renseignements personnels;
  • considérer de façon équitable et objective les facteurs pertinents.

Nota : Les mesures susmentionnées s'appliquent à toutes les dispositions de la Loi pour lesquelles le responsable ou le délégué exerce un pouvoir discrétionnaire.

Sensibilisation à la protection des renseignements personnels

6.2.2 Faire en sorte que les employés des institutions fédérales et les agents ayant des responsabilités fonctionnelles en matière d'administration de la Loi sur la protection des renseignements personnelsreçoivent une formation en PRP dans les domaines décrits à l'annexe B de la présente directive.

Identité du demandeur

6.2.3 Établir des procédures pour valider :

  • l'identité du requérant;
  • l'autorisation d'une personne qui présente une demande au nom d'une autre personne;
  • si le requérant est un citoyen canadien, un résident permanent ou est présent au Canada.

Obligation d'aider

Protection de l'identité du demandeur 

6.2.4 Restreindre la communication de renseignements qui permettraient directement ou indirectement d'identifier le requérant aux personnes qui ont un besoin de les connaître, sauf si le requérant a donné son consentement.

Principes pour aider les demandeurs

6.2.5 Appliquer et communiquer les principes sur l'assistance aux requérants énoncés à l'annexe C de la présente directive.

Traitement informel

6.2.6 Déterminer s'il est approprié de traiter une demande de renseignements personnels de façon informelle. Dans ce cas, offrir au requérant la possibilité de traiter la demande de façon informelle, et expliquer que seules les demandes officielles sont traitées selon les dispositions de la Loi sur la protection des renseignements personnels.

Traitement des demandes de renseignements personnels et de correction

Système de suivi

6.2.7 Établir et maintenir un système de gestion interne visant à assurer le suivi des demandes de renseignements personnels et de correction, y compris documenter les notations, au besoin. Ceci comprend documenter le règlement des plaintes et les examens par les tribunaux.

Documentation

6.2.8 Documenter le traitement des demandes en versant au dossier tous les documents papiers ou électroniques créés et reçus qui appuient les décisions prises en vertu de la Loi, y compris les communications au cours desquelles des recommandations ont été faites ou des décisions ont été prises.

Demandes révisées

6.2.9 Dans le cas où une demande est précisée ou modifiée, inscrire le libellé de la demande révisée et la date du changement apporté dans le système de suivi.

Notification du droit de porter plainte

6.2.10  Faire en sorte que les requérants sont avisés de leur droit de porter plainte auprès du Commissaire à la protection de vie privée du Canada sur toute question relative à la demande, la collecte et le traitement des renseignements personnels.

Application des exceptions

6.2.11  Invoquer les exceptions applicables en appliquant dûment les dispositions de la Loi. Ces exceptions sont fondées sur des critères objectifs ou subjectifs et peuvent être obligatoires ou discrétionnaires, tel que décrit à l'annexe A et énuméré à l'annexe D de la présente directive.

Indication des exceptions

6.2.12  Indiquer, dans les documents qui contiennent des renseignements personnels, toutes les exceptions, sauf si cela est susceptible d'entraîner la divulgation des renseignements visés par l'exception ou de causer le préjudice sur lequel se base l'exception.

Consultations obligatoires

6.2.13  Consulter l'institution fédérale appropriée dans tous les cas où les articles 21, 22, et 23 de la Loi sur la protection des renseignements personnels sont appliqués, conformément à l'annexe E de la présente directive.

Demandes de correction et de notation de renseignements personnels

6.2.14  Établir et documenter des procédures permettant de faire en sorte que toute demande de correction et toute action subséquente soit présentée en conformité avec le Règlement sur la protection des renseignements personnels.

6.2.15  Incorporer toute correction ou notation de façon à ce qu'elle puisse être récupérée et utilisée chaque fois que les renseignements personnels originaux soient utilisés à des fins administratives. Ceci consiste aussi à aviser les individus et les organismes du secteur public ou privé qui utilisent l'information pour des fins administratives de toute correction ou notification relative aux renseignements personnels.

6.3 Les employés des institutions fédérales assument les responsabilités suivantes :

Traitement informel

6.3.1 Recommander, s'il y a lieu, au responsable ou au délégué de communiquer l'information demandée de façon informelle.

Recherche des documents pertinents

6.3.2 Faire tous les efforts raisonnables pour chercher les documents relevant d'une institution fédérale afin d'identifier et de trouver les renseignements personnels demandés.

Recommandations

6.3.3 Fournir des recommandations valables concernant la communication de renseignements personnels aux demandes.

6.4 Exigences en matière de contrôle et de rapports

6.4.1 Les exigences en matière de contrôle et de rapports de la présente directive sont exposées au paragraphe 6.3 de la Politique sur la protection de la vie privée.

7. Conséquences

7.1 Les conséquences du non-respect de la présente directive sont exposées à l'article 7 de la Politique sur la protection de la vie privée.

8. Rôles et responsabilités des institutions fédérales

8.1 Les rôles et responsabilités des institutions fédérales sont exposés à l'article 8 de la Politique sur la protection de la vie privée.

9. Références

10. Demandes de renseignements

10.1 Veuillez adresser les demandes de renseignements concernant la présente directive au coordonnateur de l'accès à l'information et de la protection des renseignements personnels (AIPRP) de votre institution. Pour une interprétation de cette directive, le coordonnateur de l'AIPRP doit communiquer avec :

La Division des politiques de l'information et de la protection des renseignements personnels
Direction du dirigeant principal de l'information
Secrétariat du Conseil du Trésor du Canada
219, avenue Laurier Ouest
Ottawa (Ontario) K1A 0R5

Courriel : ippd-dpiprp@tbs-sct.gc.ca
Téléphone : 613-946-4945
Télécopieur : 613-952-7287


Annexe – Définitions

Critère objectif (class test)
Un critère qui décrit objectivement des catégories de renseignements ou de documents qui peuvent faire l'objet d'une exception en vertu de certaines dispositions de la Loi sur la protection des renseignements personnels. Les exceptions suivantes sont fondées sur un critère objectif : 19(1), 22(1)a), 22(2), 22.1, 22.2, 22.3, 23, 24(b), 26 et 27.
Critère subjectif (injury test)
Un critère fondé sur un risque raisonnable de préjudice probable qui doit être rencontré pour appliquer certaines exceptions de la Loi sur la protection des renseignements personnels. Les exceptions suivantes sont fondées sur un critère subjectif : 20, 21, 22(1)b), 22(1)c), 24(a), 25 et 28.
Exception discrétionnaire (discretionary exemption)
Disposition d'exception de la Loi sur la protection des renseignements personnels qui contient l'expression «  peut refuser la communication ». Les dispositions suivantes sont des exceptions discrétionnaires : 20, 21, 22(1)a), 22(1)b), 22(1)c), 23, 24(a), 24(b), 25, 27 et 28.
Exception obligatoire (mandatory exemption)
Disposition d'exception de la Loi sur la protection des renseignements personnels qui contient l'expression « est tenu de refuser la communication ». Les dispositions suivantes sont des exceptions obligatoires : 19(1), 22(2), 22.1, 22.2, 22.3 et 26.
Formation en PRP (Privacy training)
Toutes les activités qui contribuent à accroître la sensibilisation à la protection des renseignements personnels, notamment la formation officielle, la recherche, les groupes de discussion, les conférences, les réunions de la collectivité de l'AIPRP, l'apprentissage auprès des collègues, la formation en cours d'emploi, les projets spéciaux, le jumelage et d'autres activités de communication qui favorisent l'apprentissage dans les domaines décrits à l'annexe B de la présente directive.
Système de suivi (tracking system)
Système de gestion électronique ou sur papier utilisé dans les bureaux de l'AIPRP pour suivre et documenter tous les aspects du traitement des demandes d'accès à l'information et de correction en vertu de la Loi.
Tous les efforts raisonnables (every reasonable effort)
Les efforts auxquels s'attend une personne juste et raisonnable ou qu'elle estime sont acceptables.

Annexe B – Sensibilisation à la protection des renseignements personnels

Information pour tous les employés :

  • Faire en sorte que les employés de l'institution fédérale reçoivent une formation en PRP dans les domaines suivants :
  • application de la Loi sur la protection des renseignements personnels notamment :
  • l'objet de la Loi;
  • les définitions pertinentes;
  • leurs responsabilités prévues par la Loi, y compris les principes sur l'assistance aux demandeurs;
  • la délégation, les décisions relatives aux exceptions et l'exercice du pouvoir discrétionnaire;
  • l'exigence de fournir des réponses exactes, complètes et opportunes;
  • le processus de traitement des plaintes et les examens par les tribunaux.
  • pratiques saines relatives à la protection de la vie privée (création, collecte, conservation, exactitude, utilisation, communication et disposition des renseignements personnels);
  • exigences prévues dans les instruments de politiques du Conseil du Trésor relativement aux responsabilités susmentionnées;
  • politiques, processus et protocoles de l'institution fédérale se rapportant à l'administration de la Loi sur la protection des renseignements personnels et des politiques sur la gestion de l'information.

Information destinée aux employés dans la protection de la vie privée

Faire en sorte que les employés qui ont des responsabilités fonctionnelles en matière d'administration de la Loi sur la protection des renseignements personnels reçoivent une formation en PRP dans les domaines susmentionnés, ainsi que dans les domaines suivants :

Annexe C – Principes sur l'assistance aux requérants

Les principes suivants sur l'assistance aux requérants doivent être communiqués au requérant.

  1. Pour traiter votre demande de renseignements personnels ou de correction en vertu de la Loi sur la protection des renseignements personnels, nous devons : 
  2. Traiter la demande sans tenir compte de votre identité.
  3. Offrir une aide raisonnable tout au long du processus de traitement de votre demande.
  4. Fournir de l'information concernant la Loi sur la protection des renseignements personnels, notamment en ce qui concerne le traitement de votre demande et votre droit de porter plainte auprès du Commissaire à la protection de la vie privée du Canada. 
  5. Communiquer avec vous dans un délai raisonnable si des précisions au sujet de votre demande sont requises. 
  6. Faire tous les efforts raisonnables pour trouver et recueillir les renseignements personnels demandés qui sont sous le contrôle de l'institution fédérale. 
  7. Appliquer les exceptions aux renseignements personnels demandés de façon précise et limitée.
  8. Fournir des réponses exactes et complètes. 
  9. Communiquer en temps utile les renseignements personnels demandés. 
  10. Fournir, s'il y a lieu, les renseignements personnels sur le support et dans la langue officielle demandés.
  11. Fixer un endroit approprié dans l'institution fédérale pour examiner les renseignements personnels demandés.

Annexe D – Classification des exceptions

Voici une liste de toutes les exceptions prévues par la Loi sur la protection des renseignements personnels indiquant si elles sont fondées sur un critère objectif ou subjectif et si elles sont obligatoires ou discrétionnaires.

Exception

Obligatoire

Discrétionnaire

Critère objectif

Critère subjectif

Paragraphe 18(2)

non

oui

oui

non

Paragraphe 19(1)

oui

non

oui

non

Article 20

non

oui

non

oui

Article 21

non

oui

non

oui

Alinéa 22(1)a)

non

oui

oui

non

Alinéa 22(1)b)

non

oui

non

oui

Alinéa 22(1)c)

non

oui

non

oui

Paragraphe 22(2)

oui

non

oui

non

Article 22.1

oui

non

oui

non

Article 22.2

oui

non

oui

non

Article 22.3

oui

non

oui

non

Article 23

non

oui

oui

non

Paragraphe 24a)

non

oui

non

oui

Paragraphe 24b)

non

oui

oui

non

Article 25

non

oui

non

oui

Article 26

oui

non

oui

non

Article 27

non

oui

oui

non

Article 28

non

oui

non

oui

Annexe E – Consultations obligatoires

Les tableaux suivants indiquent les cas où la consultation est obligatoire, ainsi que les institutions fédérales devant être consultées :

Exceptions

Institutions à consulter

Article 21 : Affaires internationales et défense

Affaires internationales

Ministère des Affaires étrangères et Commerce international Canada

Défense du Canada ou de tout état allié du Canada ou associé à celui-ci

Ministère de la Défense nationale

Détection, prévention ou répression d'activités hostiles ou subversives

L'institution fédérale la plus directement concernée (p. ex. ministère de la Sécurité publique, Gendarmerie royale du Canada, Service canadien du renseignement de sécurité, ministère de la Défense nationale ou ministère des Affaires étrangères et Commerce international)

Article 22 : Application de la loi, enquêtes et sécurité des pénitenciers

Alinéa 22(1)a)

L'organisme d'enquête ayant obtenu ou préparé les renseignements à l'origine

Alinéa 22(1)b)

L'organisme d'enquête ou l'institution fédérale le plus directement concerné par l'application d'une loi visée ou par une enquête en cours

Alinéa 22(1)c)

Service correctionnel du Canada

Article 23 : Enquêtes de sécurité

L'organisme d'enquête ayant fourni les renseignements

© Sa Majesté la Reine du chef du Canada, représentée par le président du Conseil du Trésor, 2017,
ISBN: 978-0-660-09678-0