Directive sur les demandes de renseignements personnels et de correction des renseignements personnels

Fournit une orientation aux institutions gouvernementales sur la façon de répondre aux demandes d’accès à des renseignements personnels.
Modification : 2018-06-26

Renseignements supplémentaires

Sujet :

Version imprimable XML

1. Date d'entrée en vigueur

1.1 La présente Directive entre en vigueur le 1er octobre 2018.

1.2 La présente Directive remplace la Directive sur les demandes de renseignements personnels et de correction des renseignements personnels datée du 1er avril 2010.

2. Pouvoirs

2.1 La présente Directive est publiée conformément à l'alinéa 71(1)d) de la Loi sur la protection des renseignements personnels.

3. Objectifs et résultats escomptés

3.1 L'objectif de la présente Directive est d'établir des pratiques et des procédures uniformes pour le traitement des demandes d'accès aux renseignements personnels sous le contrôle de l'institution fédérale et des demandes de correction de renseignements personnels qui ont été, sont ou peuvent être utilisés à des fins administratives.

3.2 Voici les résultats escomptés de l'application de la présente Directive :

4. Exigences

4.1 Les responsables des institutions fédérales assument les responsabilités suivantes :

Principes de délégation en vertu de la Loi sur la protection des renseignements personnels

4.1.1 Respecter les principes suivants lorsqu'il s'agit de déléguer des attributions en vertu de la Loi sur la protection des renseignements personnels :

  • 4.1.1.1. Le responsable ne peut déléguer ses attributions qu'aux cadres et employés de son institution fédérale dans l'arrêté de délégation. Des consultants ou des employés de l'extérieur de l'institution fédérale ou du secteur privé ne peuvent pas être nommés dans l'arrêté de délégation.
  • 4.1.1.2. Les pouvoirs, les tâches et les fonctions sont délégués aux postes désignés par leur titre et non aux personnes désignées par leur nom.
  • 4.1.1.3. Les personnes auxquelles des pouvoirs ont été délégués doivent être bien informées de leurs responsabilités.
  • 4.1.1.4. Les pouvoirs, les tâches et les fonctions ayant été délégués ne peuvent pas être sous délégués. Les employés et les consultants peuvent cependant exécuter des tâches à l'appui des responsabilités conférées aux délégués.
  • 4.1.1.5. L'arrêté de délégation doit être revu lorsque les circonstances entourant la délégation ont changé. Un arrêté de délégation demeure en vigueur jusqu'à ce que le responsable de l'institution le réexamine et le révise.

Sensibilisation à la protection de la vie privée

4.1.2 Faire en sorte que les délégués reçoivent une formation en protection des renseignements personnels (PRP) dans les domaines décrits à l'annexe B de la présente Directive.

4.2 Les responsables des institutions fédérales ou leurs délégués assument les responsabilités suivantes :

Exercice du pouvoir discrétionnaire

4.2.1 Exercer un pouvoir discrétionnaire de manière équitable, raisonnable et impartiale après avoir suivi les étapes suivantes :

  • 4.2.1.1. Tenir compte de l'objet général de la Loi qui donne un droit d'accès aux individus à leurs renseignements personnels, sous réserve des exceptions précises et limitées.
  • 4.2.1.2. Tenir compte des dispositions de la Loi et de la jurisprudence qui s'appliquent.
  • 4.2.1.3. Consulter les institutions fédérales, si nécessaire, concernant le traitement et la divulgation de renseignements personnels.
  • 4.2.1.4. Examiner les renseignements personnels.
  • 4.2.1.5. Considérer de façon équitable et objective les facteurs pertinents.

Sensibilisation à la protection de la vie privée

4.2.2 Faire en sorte que les employés des institutions fédérales et les agents ayant des responsabilités fonctionnelles en matière d'administration de la Loi sur la protection des renseignements personnels reçoivent une formation en PRP dans les domaines décrits à l'annexe B de la présente Directive.

Identité du demandeur

4.2.3 Établir des procédures pour valider :

  • 4.2.3.1. l'identité du requérant;
  • 4.2.3.2. l'autorisation d'une personne qui présente une demande au nom d'une autre personne;
  • 4.2.3.3. si le requérant est un citoyen canadien, un résident permanent ou est présent au Canada.

Obligation d'aider

Protection de l'identité du demandeur

4.2.4 Restreindre la divulgation de renseignements qui permettraient directement ou indirectement d'identifier le requérant aux personnes qui ont un besoin de les connaître, sauf si le requérant a donné son consentement.

Principes pour aider les demandeurs

4.2.5 Appliquer et communiquer les principes sur l'assistance aux requérants énoncés à l'annexe C de la présente Directive.

Traitement informel

4.2.6 Déterminer s'il est approprié de traiter une demande de renseignements personnels de façon informelle. Dans ce cas, offrir au requérant la possibilité de traiter la demande de façon informelle, et expliquer que seules les demandes officielles sont traitées selon les dispositions de la Loi sur la protection des renseignements personnels.

Explication écrite pour les demandes de prorogation

4.2.7 Fournir une explication écrite au demandeur lorsqu'il faut plus de 30 jours pour répondre à une demande d'accès à des renseignements personnels.

4.2.8 Indiquer, dans le rapport annuel de l'institution présenté au Parlement, le nombre de prorogations et les motifs invoqués pour les justifier.

Traitement des demandes de renseignements personnels et de correction de renseignements personnels

Système de suivi

4.2.9 Établir et maintenir un système de gestion interne pour assurer le suivi des demandes de renseignements personnels et de correction de renseignements personnels, ainsi que pour documenter les notations, au besoin. Ceci comprend la documentation du règlement des plaintes et les examens par les tribunaux.

Documentation

4.2.10 Documenter le traitement des demandes en versant au dossier tous les documents papier ou électroniques créés et reçus qui appuient les décisions prises en vertu de la Loi, y compris les communications au cours desquelles des recommandations ont été faites ou des décisions ont été prises.

Demandes révisées

4.2.11 Dans le cas où une demande est précisée ou modifiée, inscrire le libellé de la demande révisée et la date du changement apporté dans le système de suivi.

Notification du droit de porter plainte

4.2.12 Faire en sorte que les requérants sont avisés de leur droit de porter plainte auprès du commissaire à la protection de vie privée du Canada sur toute question relative à la demande, la collecte et le traitement des renseignements personnels.

Application des exceptions

4.2.13 Invoquer les exceptions applicables en appliquant dûment les dispositions de la Loi. Ces exceptions sont fondées sur des critères objectifs ou subjectifs et peuvent être obligatoires ou discrétionnaires, tel que décrit à l'annexe A et énuméré à l'annexe D de la présente Directive.

Indication des exceptions

4.2.14 Indiquer, dans les documents qui contiennent des renseignements personnels, toutes les exceptions, sauf si cela est susceptible d'entraîner la divulgation des renseignements visés par l'exception ou de causer le préjudice sur lequel se base l'exception.

Consultations obligatoires

4.2.15 Consulter l'institution fédérale appropriée dans tous les cas où les articles 21, 22, et 23 de la Loi sur la protection des renseignements personnels sont appliqués, conformément à l'annexe E de la présente Directive.

Demandes de correction et de notation de renseignements personnels

4.2.16 Établir et documenter des procédures permettant de faire en sorte que toute demande de correction et toute action subséquente soit présentée en conformité avec le Règlement sur la protection des renseignements personnels.

4.2.17 Incorporer toute correction ou notation de façon à ce qu'elle puisse être récupérée et utilisée chaque fois que les renseignements personnels originaux soient utilisés à des fins administratives. Ceci consiste aussi à aviser les individus et les organisations du secteur public ou privé qui utilisent l'information à des fins administratives de toute correction ou notification relative aux renseignements personnels.

Contrôle et établissement de rapports

4.2.18 Les exigences en matière de contrôle et d'établissement de rapports de la présente Directive sont conformes à la Politique sur la protection de la vie privée.

4.3 Les employés des institutions fédérales assument les responsabilités suivantes :

Traitement informel

4.3.1 Recommander, s'il y a lieu, au responsable ou au délégué de communiquer l'information demandée de façon informelle.

Recherche des documents pertinents

4.3.2 Faire tous les efforts raisonnables pour chercher les documents relevant d'une institution fédérale afin d'identifier et de trouver les renseignements personnels demandés.

Recommandations

4.3.3 Fournir des recommandations valables concernant la divulgation de renseignements personnels aux demandes.

5. Rôles et responsabilités des institutions fédérales

5.1 Les rôles et responsabilités des institutions fédérales sont exposés à l'article 5 de la Politique sur la protection de la vie privée.

6. Application

6.1 La présente Directive s'applique aux institutions fédérales visées par l'article 3 de la Loi sur la protection des renseignements personnels (la Loi), y compris toute société d'État mère ou filiale en propriété exclusive d'une telle société.

6.2 La présente Directive ne s'applique pas à la Banque du Canada.

6.3 La présente Directive ne s'applique pas aux renseignements exclus en vertu de la Loi.

7. Références

8. Demandes de renseignements

8.1 Le public peut communiquer avec le Secrétariat du Conseil du Trésor du Canada pour les Demandes de renseignements concernant des questions au sujet de la présente Directive.

8.2 Les employés des institutions gouvernementales peuvent communiquer avec leur coordonnateur à l'accès à l'information et de la protection des renseignements personnels (AIPRP) concernant des questions au sujet de la présente Directive.

8.3 Les coordonnateurs de l'AIPRP peuvent communiquer avec la Direction des politiques de l'accès à l'information et de la protection des renseignements personnels en ce qui concerne des questions au sujet de la présente Directive.


Annexe A : Définitions

critère objectif (class test)
Un critère qui décrit objectivement des catégories de renseignements ou de documents qui peuvent faire l'objet d'une exception en vertu de certaines dispositions de la Loi sur la protection des renseignements personnels. Les exceptions suivantes sont fondées sur un critère objectif : 19(1), 22(1)a), 22(2), 22.1, 22.2, 22.3, 23, 24b), 26 et 27.
critère subjectif (injury test)
Un critère fondé sur un risque raisonnable de préjudice probable qui doit être respecté pour appliquer certaines exceptions de la Loi sur la protection des renseignements personnels. Les exceptions suivantes sont fondées sur un critère subjectif : 20, 21, 22(1)b), 22(1)c), 24a), 25 et 28.
exception discrétionnaire (discretionary exemption)
Disposition d'exception de la Loi sur la protection des renseignements personnels qui contient l'expression « peut refuser la divulgation ». Les dispositions suivantes sont des exceptions discrétionnaires : 20, 21, 22(1)a), 22(1)b), 22(1)c), 23, 24a), 24b), 25, 27 et 28.
exception obligatoire (mandatory exemption)
Disposition d'exception de la Loi sur la protection des renseignements personnels qui contient l'expression « est tenu de refuser la divulgation ». Les dispositions suivantes sont des exceptions obligatoires : 19(1), 22(2), 22.1, 22.2, 22.3 et 26.
Formation en PRP (Privacy training)
Toutes les activités qui contribuent à accroître la sensibilisation à la protection des renseignements personnels, notamment la formation officielle, la recherche, les groupes de discussion, les conférences, les réunions de la collectivité de l'AIPRP, l'apprentissage auprès des collègues, la formation en cours d'emploi, les projets spéciaux, le jumelage et d'autres activités de communication qui favorisent l'apprentissage dans les domaines décrits à l'annexe B de la présente Directive.
système de suivi (tracking system)
Système de gestion électronique ou sur papier utilisé dans les bureaux de l'AIPRP pour suivre et documenter tous les aspects du traitement des demandes d'accès à l'information et de correction en vertu de la Loi.
Des nouvelles définitions sont énumérées à l'annexe A de la Politique sur la protection de la vie privée.
tous les efforts raisonnables (every reasonable effort)
Un niveau d'effort auquel une personne juste et raisonnable peut s'attendre ou trouverait acceptable.

Annexe B : Sensibilisation à la protection des renseignements personnels

Information pour tous les employés :

Faire en sorte que les employés de l'institution fédérale reçoivent une formation en PRP dans les domaines suivants :

  • application de la Loi sur la protection des renseignements personnels, notamment :
    • l'objet de la Loi;
    • les définitions pertinentes;
    • leurs responsabilités prévues par la Loi, y compris les principes sur l'assistance aux demandeurs;
    • la délégation, les décisions relatives aux exceptions et l'exercice du pouvoir discrétionnaire;
    • l'exigence de fournir des réponses exactes, complètes et opportunes;
    • le processus de traitement des plaintes et les examens par les tribunaux;
  • pratiques saines en matière de protection de la vie privée pour la création, la collecte, la conservation, l'exactitude, l'utilisation, la divulgation et la disposition des renseignements personnels);
  • exigences prévues dans les instruments de politiques du Conseil du Trésor relativement aux responsabilités susmentionnées;
  • politiques, processus et protocoles de l'institution fédérale se rapportant à l'administration de la Loi sur la protection des renseignements personnels et des politiques sur la gestion de l'information.

Information destinée aux employés dans la protection de la vie privée

Faire en sorte que les employés qui ont des responsabilités fonctionnelles en matière d'administration de la Loi sur la protection des renseignements personnels reçoivent une formation en PRP dans les domaines susmentionnés, ainsi que dans les domaines suivants :

Annexe C : Principes sur l'assistance aux requérants

Les principes suivants sur l'assistance aux requérants doivent être communiqués au requérant.

Pour traiter votre demande de renseignements personnels ou de correction de renseignements personnels en vertu de la Loi sur la protection des renseignements personnels, nous devons :

  1. Traiter la demande sans tenir compte de votre identité.
  2. Offrir une aide raisonnable tout au long du processus de traitement de votre demande.
  3. Fournir de l'information concernant la Loi sur la protection des renseignements personnels, notamment en ce qui concerne le traitement de votre demande et votre droit de porter plainte auprès du commissaire à la protection de la vie privée du Canada.
  4. Communiquer avec vous dans un délai raisonnable si des précisions au sujet de votre demande sont requises.
  5. Faire tous les efforts raisonnables pour trouver et recueillir les renseignements personnels demandés qui sont sous le contrôle de l'institution fédérale.
  6. Appliquer les exceptions aux renseignements personnels demandés de façon précise et limitée.
  7. Fournir des réponses exactes et complètes.
  8. Accorder l'accès aux renseignements personnels demandés en temps utile et, si une prorogation est nécessaire, fournir une explication écrite à ce sujet au demandeur.
  9. Fournir, s'il y a lieu, les renseignements personnels sur le support et dans la langue officielle demandés.
  10. Fixer un endroit approprié dans l'institution fédérale pour examiner les renseignements personnels demandés.

Annexe D : Classification des exceptions

Voici une liste de toutes les exceptions prévues par la Loi sur la protection des renseignements personnels indiquant si elles sont fondées sur un critère objectif ou subjectif et si elles sont obligatoires ou discrétionnaires.

Exception Obligatoire Discrétionnaire Critère objectif Critère subjectif
Paragraphe 18(2) non oui oui non
Paragraphe 19(1) oui non oui non
Article 20 non oui non oui
Article 21 non oui non oui
Alinéa 22(1)a) non oui oui non
Alinéa 22(1)b) non oui non oui
Alinéa 22(1)c) non oui non oui
Paragraphe 22(2) oui non oui non
Article 22.1 oui non oui non
Article 22.2 oui non oui non
Article 22.3 oui non oui non
Article 23 non oui oui non
Paragraphe 24a) non oui non oui
Paragraphe 24b) non oui oui non
Article 25 non oui non oui
Article 26 oui non oui non
Article 27 non oui oui non
Article 28 non oui non oui

Annexe E : Consultations obligatoires

Les tableaux suivants indiquent les cas où la consultation est obligatoire, ainsi que les institutions fédérales devant être consultées :

Exceptions Institutions à consulter
Article 21 : Affaires internationales et défense
Affaires internationales Affaires mondiales Canada
Défense du Canada ou de tout État allié du Canada ou associé à Ministère de la Défense nationale
Détection, prévention ou répression d'activités hostiles ou subversives L'institution fédérale la plus directement concernée (p. ex., ministère de la Sécurité publique, Gendarmerie royale du Canada, Service canadien du renseignement de sécurité, ministère de la Défense nationale ou ministère des Affaires étrangères et Commerce international)
Article 22 : Application de la loi, enquêtes et sécurité des pénitenciers
Alinéa 22(1)a) L'organisme d'enquête ayant obtenu ou préparé les renseignements à l'origine
Alinéa 22(1)b) L'organisme d'enquête ou l'institution fédérale le plus directement concerné par l'application d'une loi visée ou par une enquête en cours
Alinéa 22(1)c) Le Service correctionnel du Canada
Article 23 : Enquêtes de sécurité L'organisme d'enquête ayant fourni les renseignements
Date de modification :