Confidentialité des données au Canada

La vie privée est un droit fondamental au Canada. Nous avons même un commissaire à la vie privée. Le travail du Bureau du commissaire à la protection de la vie privée du Canada est de s'assurer que toute organisation qui collecte vos informations personnelles – qu'il s'agisse d'un organisme gouvernemental ou d'une institution privée – le fait avec soin et respect pour votre vie privée.

Qu'est-ce que la confidentialité des données ?

Dans ce pays, comme dans beaucoup d'autres, les individus ont le droit de contrôler la manière dont leurs informations personnelles sont collectées et utilisées. Lorsque nous parlons de la confidentialité des données, nous abordons la question de savoir si l'information est utilisée à des fins légitimes et prévues. Lorsque des informations personnelles sont traitées, une gestion prudente doit garantir la confidentialité d'éléments tels que le consentement, le stockage et l'élimination appropriés, l'avis et le respect des réglementations sur la protection de la vie privée applicables.

Pour une entreprise ou une entité traitant des informations personnelles, la protection des données a deux objectifs. Respecter le premier aide à atteindre le second.

1. Se conformer aux exigences réglementaires et contractuelles.

2. Construire la confiance des clients

La confiance se construit par la transparence, il est donc important de démontrer publiquement que les exigences réglementaires sont respectées et que des systèmes sont en place pour rester conformes. Les politiques de confidentialité doivent être accessibles et simples à comprendre. Les divulgations des politiques de sécurité, les alertes et les mises à jour sont essentielles pour maintenir cette relation de confiance.

Il existe deux niveaux de lois sur la protection des données au Canada, et lorsque plus d'une loi s'applique, vous devez vous conformer aux deux.

Federal Privacy Laws

• Le Loi sur la protection des renseignements personnels soutient les règlements sur la vie privée pour le secteur public fédéral ainsi que la législation provinciale sur la vie privée.

Le gouvernement collecte des informations auprès de ses citoyens afin de fournir des services et d'établir des politiques (par exemple : prestations d'emploi, fiscalité, paiements de pension). La Loi sur la protection des renseignements personnels dicte comment ces informations sont collectées, utilisées et conservées. Elle couvre également les droits des citoyens d'accéder à leurs renseignements personnels.

• Le Loi sur la protection des renseignements personnels et les documents électroniques (PIPEDA) protège les informations personnelles recueillies à des fins commerciales, peu importe si elles sont acquises manuellement ou numériquement. La LPRPDE protège également les informations personnelles des employés qui travaillent dans entreprises réglementées au fédéral tels que les banques, les compagnies aériennes et les entreprises de télécommunications.

Lois provinciales sur la vie privée

Les provinces maintiennent leurs propres lois sur la vie privée et chacune a son propre commissaire à la vie privée ou ombudsman qui est responsable de la surveillance et de l'application de l'accès à l'information ainsi que des diverses réglementations en matière de vie privée qui peuvent varier d'une province à l'autre.

Voici quelques variations dans les lois provinciales sur la vie privée au Canada :

• L'Alberta et le Québec restreignent le transfert d'informations personnelles du secteur public à l'extérieur du pays, et parfois à l'extérieur de la province.

• L'Ontario exige que les informations liées à la santé restent au Canada.

• La Colombie-Britannique et la Nouvelle-Écosse interdisent aux institutions gouvernementales, aux agents de la Couronne et à leurs fournisseurs de services de déplacer des renseignements personnels à l'extérieur du Canada.

Les lois provinciales et territoriales sur la vie privée du Canada peuvent être trouvées. ici .

Qu'est-ce que la résidence des données ?

Lorsque les réglementations nous obligent à conserver certains types de données à l'intérieur de nos frontières, c'est ce que l'on entend par résidence des données. C'est le cas des informations liées à la santé en Ontario. PHIPA est la législation ontarienne régissant l'information personnelle sur la santé, sa collecte, son stockage, son transfert et l'accès personnel. Elle exige que les données soient conservées « sur place » au Canada.

Docusign est un bon exemple d'une entreprise qui permet à ses clients de protéger les données canadiennes dans ce pays et leur permet de se conformer facilement aux réglementations sur la résidence des données au Canada. Pour les exigences de résidence des données, Docusign maintient deux centres de données au Canada, un à Toronto et un à Québec.

Stockage de données transfrontalier aux États-Unis.

Tant que la législation canadienne sur la protection de la vie privée ou d'autres réglementations ne l'interdisent pas, les entreprises canadiennes peuvent généralement utiliser des solutions cloud basées aux États-Unis. En vertu de la LPRPDE, les organisations qui respectent par ailleurs la loi peuvent librement transférer des renseignements personnels à travers la frontière si cela a du sens sur le plan commercial. Les entreprises canadiennes, y compris les institutions financières, peuvent transférer des données vers les États-Unis sans obtenir de consentement spécial de la part des clients pour ce transfert, tant qu'elles informent les clients sur leurs pratiques de sécurité et de protection de l'information et qu'elles gardent les informations sécurisées.

PIPEDA, la réglementation fédérale sur la vie privée qui régit la manière dont les informations personnelles sont collectées et protégées, régule également le transfert de ces données à travers les frontières. Dans les cas où les données sont transférées en dehors du Canada, PIPEDA tient l'entreprise canadienne d'origine responsable de tout problème survenant lors du transfert transfrontalier. Tout tiers qui traite des données canadiennes doit fournir un niveau de protection comparable à celui que les données auraient reçu si elles étaient restées avec l'entreprise canadienne à l'origine du transfert.

Quoi de neuf en matière de protection de la vie privée ?

Avec un accent accru sur la protection des données, de nouvelles lois sur la vie privée sont introduites à travers le monde, ce qui a des implications dans ces régions, ainsi que pour quiconque y fait des affaires. Règlement général sur la protection des données , la réglementation rigoureuse sur la protection des données en Europe, et la California Consumer Privacy Act CCPA ), sont des exemples récents de règles de gestion des données plus strictes.

Les obligations en matière de confidentialité à l'échelle mondiale couvrent généralement plusieurs aspects importants de la gestion des données :

1. Légalité, équité et transparence

2. Précision

3. Responsabilité

4. Limitation de la finalité

5. Minimisation des données

6. Limitation de stockage

7. Intégrité et confidentialité (sécurité)

À la date de cette publication, le Canada a été accordé état d'adéquation par l'UE, ce qui signifie que le cadre de protection des données du Canada est généralement suffisant pour répondre aux garanties du RGPD requises pour tout transfert de données européennes ici depuis l'Europe. Les données canadiennes protégées par la LPRPDE sont comprises comme offrant un niveau de protection conforme au RGPD, facilitant ainsi les affaires des entreprises canadiennes avec les pays de l'UE.

Il est difficile de comprendre que 90 % La quantité de données dans le monde a été collectée au cours des deux dernières années seulement - et devrait doubler tous les deux ans. Une grande partie de ces données est personnelle, il n'est donc pas étonnant que la question de la confidentialité des données soit une priorité et fasse l'objet d'un examen et d'un examen constant.  

* Pour un exemple d'une politique de confidentialité complète, voir le Docusign Privacy Policy

* Visitez le Centre de confiance Docusign pour des informations sur les pratiques de sécurité et de protection des données de l'entreprise