Écrit par Ruth Promislow, Katherine Rusk and Jing Xu

L’OIPC a publié récemment des lignes directrices à l’intention des organisations du secteur privé qui exercent des activités en Colombie-Britannique, notamment des entreprises constituées en société provinciale ou fédérale qui exercent des activités dans la province et qui sont assujetties à la Loi sur la protection des renseignements personnels (C.-B.) (PIPA).

L’OIPC recommande que les organisations du secteur privé préparent une évaluation des facteurs relatifs à la vie privée (EFVP) afin d’être proactives lorsqu’il s’agit de « s’assurer que les initiatives qu’elles ont prévues sont conformes à la PIPA ».  En bref, une ÉFVP peut aider une organisation à cerner et à gérer les risques associés à la collecte, au stockage, à l’utilisation et à la communication de renseignements personnels. En lien avec cette recommandation, l’OIPC a publié : (1) un modèle pour l’ÉFVP qui contient un exemple de langage et d’instructions sur la façon d’effectuer une ÉFVP; et (2) un document d’orientation qui « ajoute de la profondeur à l’exemple de langue et d’enseignement offerts dans le modèle ».

Les ÉFVP ne sont pas une exigence légale pour les organisations du secteur privé en vertu de la PIPA. Toutefois, l’OIPC considère l’achèvement des ÉFVP comme une pratique exemplaire pour toutes les organisations qui recueillent, utilisent, communiquent et éliminent des renseignements personnels, et un exercice qui peut « faire preuve de diligence raisonnable et de responsabilisation dans le respect d’un engagement à protéger la vie privée ».

Le document d’orientation comprend les catégories suivantes de questions qu’une organisation doit examiner et aborder dans l’EFVP :

• Les renseignements personnels qu’ils recueillent et si les renseignements sont nécessaires pour fournir le produit ou le service;
• le type de consentement obtenu et la portée du consentement à l’égard de l’utilisation et de la communication des renseignements;
• si l’utilisation et la communication réelles des renseignements personnels dépassent les limites du consentement;
• Où et comment l’information est-elle stockée; qui peut accéder à l’information et s’ils ont besoin d’y accéder;
• Si l’organisation détruit l’information une fois qu’elle n’est plus nécessaire; et
• Quelles mesures de protection (physiques, opérationnelles et technologiques) sont en place pour protéger les renseignements et si elles sont suffisantes.

Le document d’orientation fournit également un cadre pour une analyse de l’atténuation des risques, qui consiste à documenter les risques pour l’organisation, la probabilité qu’ils se produisent, l’impact potentiel sur l’organisation et les personnes touchées et ce que l’organisation a l’intention de faire pour réduire le risque.

Pour de plus amples renseignements sur la préparation des ÉFVP et les questions connexes, veuillez communiquer avec l’équipe de protection de la vie privée et de la protection des données de Bennett Jones Privacy and Data Protection.