Sécurisation des renseignements personnels

Le paragraphe 7 (11) de la Loi exige que les OSP prennent des mesures raisonnables pour sécuriser les renseignements personnels tout au long de leur cycle de vie, notamment dans le cadre de leur transmission, de leur stockage et de leur élimination (transport, manipulation et destruction ou transfert à des archives).

Norme 18. Protéger des renseignements personnels et gérer des atteintes à la vie privée

Les OSP doivent rédiger et mettre en œuvre des mesures raisonnables pour s’assurer que :

  • les renseignements personnels sont protégés contre le vol, la perte, l’accès non autorisé ou toute utilisation, altération, divulgation ou destruction non autorisée;
  • les dossiers (papier et électroniques) contenant des renseignements personnels sont protégés contre toute reproduction, modification ou élimination non autorisée.

Les OSP doivent disposer d’un protocole de gestion et d’intervention en cas d’atteinte à la vie privée, lequel protocole précise :

  • Loi sur l’accès à l’information et la protection de la vie privée
  • les mesures qui doivent être prises pour constater, évaluer, contenir et gérer les atteintes à la vie privée connues ou soupçonnées et pour intervenir dans de tels cas;
  • les exigences applicables aux tiers fournisseurs de services;
  • le moment convenable pour aviser les particuliers touchés; 
  • le moment convenable pour signaler une atteinte au CIPVP.

Justification

Il est nécessaire de maintenir la confidentialité, l’intégrité et la disponibilité des renseignements personnels pour satisfaire aux exigences de la Loi, des règlements et des normes.  

Il faut notamment protéger les renseignements personnels contre les atteintes à la vie privée résultant d’un vol, d’une perte, de toute utilisation ou divulgation ou tout accès non autorisé et de toute reproduction, modification ou élimination non autorisée. Il est essentiel d’avoir des protocoles de gestion et d’intervention clairs en cas d’atteinte à la vie privée pour atténuer les préjudices découlant de tels incidents.

Lignes directrices

Les OSP devraient élaborer, rédiger, mettre en œuvre et maintenir des politiques et procédures de sécurité qui traitent des obligations en vertu de la Loi, des règlements et des normes, ainsi qu’en vertu d’autres lois applicables, y compris la LAIPVP/LAIMPVP. Elles devraient le faire en collaboration avec leur agent de la protection de la vie privée ou leur coordonnateur de l’accès à l’information et de la protection de la vie privée (LAIPVP/LAIMPVP), ainsi qu’avec des professionnels de la sécurité.

Les mesures de sécurité des OSP devraient comprendre des mesures de protection administratives, techniques et physiques (voir l’annexe B). Ces mesures devraient viser les personnes, les processus et la technologie et protéger la confidentialité, l’intégrité et la disponibilité des renseignements. De plus, les OSP devraient cerner et aborder les risques pour la sécurité que posent l’accès à distance (p.  ex. l’utilisation d’appareils mobiles), les applications Internet/Web et la transmission électronique de renseignements personnels.

Les OSP devraient également s’assurer que les mesures de sécurité sont appropriées et proportionnelles compte tenu de la nature des renseignements personnels à protéger, en prenant en considération ce qui suit :

  • la nature délicate des renseignements personnels et leur quantité;
  • le nombre et le type de personnes ayant accès aux renseignements personnels;
  • les menaces et les risques associés aux renseignements personnels.

Les organisations devraient avoir des protocoles pour leurs employés, cadres ou dirigeants, experts-conseils et mandataires afin de relever les problèmes de sécurité et de les signaler à un gestionnaire responsable. Elles devraient aussi mettre en œuvre un entretien et des mises à jour de routine des systèmes de gestion de bases de données servant à stocker, à récupérer et à gérer les dossiers.

Des renseignements détaillés sur les mesures de sécurité se trouvent dans les Normes en technologie de l’information (NTI-GO) du gouvernement de l’Ontario se rapportant à la sécurité.

Les atteintes à la vie privée peuvent avoir des effets importants sur le particulier concerné par les renseignements. Dès qu’elles ont connaissance d’une atteinte à la vie privée, les OSP doivent immédiatement prendre les mesures suivantes :

  • mettre en œuvre ses protocoles en cas d’atteinte à la vie privée;
  • déterminer la portée de l’atteinte et prendre les mesures qui s’imposent pour en limiter les conséquences;
  • identifier les particuliers touchés par l’atteinte et, s’il y a lieu, les aviser en conséquence;
  • s’il y a lieu, informer le CIPVP de l’atteinte, y compris quant aux circonstances de sa survenance;
  • faire enquête quant aux causes et prendre les mesures nécessaires pour régler les lacunes et éviter que d’autres atteintes ne surviennent.

Les lignes directrices du CIPVP intitulées Prévenir et gérer les atteintes à la vie privée sont une ressource utile.

Stockage sécurisé dans les bases de données

Norme 19. Stockage des renseignements personnels sous forme électronique

Les OSP doivent conserver tous les renseignements personnels recueillis en vertu de la Loi dans une base de données sécurisée faisant partie des dossiers administratifs ou pouvant être liée à ceux-ci.

Les renseignements personnels qui sont recueillis tant aux fins énoncées dans la Loi qu’à une autre fin légitime doivent être conservés conformément aux exigences en matière de sécurité et de protection de la vie privée que prévoient les lois applicables (p. ex. la LAIPVP ou la LAIMPVP).

Justification

Le stockage des renseignements personnels dans une base de données sécurisée permet d’analyser les répercussions individuelles et les tendances à long terme afin de relever d’éventuelles inégalités raciales systémiques.

Lignes directrices

Les OSP devraient s’assurer que leurs mesures de sécurité liées au stockage des renseignements personnels (notamment sur papier et sur support électronique, sur les lieux et hors site, ainsi que le recours à des tiers fournisseurs de services) sont appropriées et proportionnelles compte tenu de la nature et du caractère délicat des renseignements personnels et des dossiers à protéger.

Si des renseignements personnels recueillis en vertu de la Loi sont conservés dans un ensemble de données qui est distinct de l’ensemble de données administratives, un pseudonyme ou numéro d’identification unique peut être assigné à chaque dossier, de manière que seul un gestionnaire désigné puisse au besoin établir des liens entre les ensembles de données pour faciliter les analyses.

Restriction de l’accès aux renseignements personnels

Le paragraphe 7 (13) de la Loi exige que les organisations restreignent l’accès aux renseignements personnels aux particuliers qui ont besoin d’y accéder dans l’exercice de leurs fonctions relativement aux exigences de la Loi, des règlements et des normes. La Loi interdit d’utiliser des renseignements personnels si l’utilisation d’autres renseignements réalisera la fin précisée par la loi; elle interdit aussi d’utiliser plus de renseignements personnels qu’il n’est raisonnablement nécessaire pour réaliser cette fin (par. 7 (8)).

Norme 20. Restreindre l’accès aux renseignements personnels aux particuliers qui en ont besoin 

Les OSP doivent déterminer le niveau d’accès aux renseignements personnels dont leurs employés, cadres ou dirigeants, experts-conseils et mandataires ont besoin dans l’exercice de leurs fonctions dans le cadre de la Loi, des règlements et des normes. L’accès aux renseignements personnels doit être restreint selon une telle détermination.

Justification

Pour protéger la vie privée des personnes et la confidentialité, l’accès à des renseignements personnels particuliers est restreint à ceux qui en ont besoin dans le cadre de leurs fonctions. Ces derniers devraient avoir accès strictement aux renseignements nécessaires à cette fin. Un accès restreint de la sorte réduit le risque d’atteinte à la vie privée attribuable aux accès non autorisés et contribue ainsi à protéger la vie privée.

Lignes directrices

Les employés, cadres ou dirigeants, experts-conseils et mandataires de l’OSP ne devraient pas avoir accès aux renseignements personnels recueillis sous le régime de la Loi, sauf si ceux-ci sont nécessaires à l’exercice de leurs fonctions. Par exemple, les membres du personnel de première ligne n’ont pas accès aux renseignements sur l’identité autochtone ou la race des particuliers, sauf s’ils ont besoin de ces renseignements pour s’acquitter de leurs fonctions professionnelles.

De plus, les OSP devraient définir l’accès axé sur les rôles en fonction de chaque élément de données plutôt qu’en fonction de bases de données entières (c.-à-d. éviter un accès général, sauf si un accès de cet ordre est nécessaire). Il ne faut pas permettre l’accès à :

  • des renseignements personnels si l’accès à d’autres renseignements réalisera la même fin;
  • plus de renseignements personnels qu’il n’est raisonnablement nécessaire pour réaliser cette fin.

Dans le cadre d’une analyse, les organisations ne devraient extraire des ensembles de données originaux que les renseignements personnels nécessaires afin de l’analyse. Il faut enlever tous les renseignements personnels qui permettent d’identifier directement des particuliers (p.  ex. noms, adresses, numéros de téléphone), ou remplacer les identifiants directs par des renseignements pseudonymes ou chiffrés (« masquage »).

Exactitude

Le paragraphe 7 (12) de la Loi exige qu’avant de les utiliser à leur fin prévue, les OSP prennent des mesures raisonnables pour veiller à ce que les renseignements personnels recueillis soient aussi exacts que cela est nécessaire à cette fin.

Norme 21. Exactitude des renseignements personnels

Les OSP doivent se doter de politiques et de procédures écrites pour surveiller et maintenir l’exactitude des renseignements personnels recueillis, stockés, utilisés et divulgués pour l’application de la Loi.

Les OSP doivent prendre des mesures raisonnables pour saisir les renseignements personnels de façon exacte dans des dossiers électroniques (« bases de données »).

Les variables relatives à l’identité autochtone et à la race doivent être codées dans des dossiers électroniques de la manière décrites dans ce qui suit. Les OSP doivent assigner et saisir des codes pour les variables sur la religion et l’origine ethnique en utilisant des valeurs correspondant à la façon dont les renseignements personnels sont recueillis en vertu des normes 16 et 17.

Codage des renseignements sur l’identité autochtone

Lorsque les OSP recueillent des renseignements au moyen d’options discrétionnaires, comme « Autre identité autochtone » dans un champ à texte libre, des champs et codes supplémentaires peuvent être créés au besoin.

Élément de données : Identité autochtone

Description : Indique si une personne déclare être membre des Premières Nations, Métis ou Inuit

Noms de champ : Il y a des champs distincts pour chaque catégorie d’identité autochtone dans le cadre de cet élément de données, identifiés comme suit :

  • Non-Autochtone seulement
  • Premières Nations
  • Métis
  • Inuit
  • Préfère ne pas répondre  (S’il s’agit d’une option valable)

Type et format de champ : Le type de champ est discret et le format est numérique (1).

Jeu de codes (Valeurs valables) : Binaire, p.  ex.  0 = Pas indiqué, 1 = Oui

Données manquantes (Valeur nulle) : Blanc ou « . » (point) pour une valeur nulle, si aucune réponse valable n’est fournie, c.-à-d. non et oui sont tous les deux choisis, inconnus/valeur non fournie pour toutes les catégories

Valeurs par défaut : Blanc ou « . » (valeur nulle)

Multiplicité : Une personne peut modifier son identification à un groupe autochtone au fil du temps, ou modifier sa réponse d’un point de collecte à l’autre. Il se peut que les systèmes doivent prendre en considération la façon d’inscrire les modifications ou de traiter de différentes réponses inscrites pour le même particulier si elles ont été recueillies auprès de plusieurs sources.

Codage des renseignements sur la race

Voir la section 7 afin d’obtenir les règles distinctes sur la saisie de données pour les renseignements donnés par des observateurs participants (RDOP).

Élément de données : Race

Description : Indique la/les race(s) d’un particulier comme catégorie sociale ou descripteur social

Noms de champ : Il y a des champs distincts pour chaque catégorie raciale, identifiés comme suit :

  • noire
  • asiatique/asiatique du Sud-Est (Il peut y avoir deux champs si les renseignements sont recueillis séparément.)
  • autochtone
  • latino
  • moyen-orientale
  • sud-asiatique
  • blanche
  • Autre catégorie raciale  
  • Préfère ne pas répondre (S’il s’agit d’une option valable)

Type et format de champ : Le type de champ est discret et le format est numérique (1).

Exception : Si « Autre catégorie raciale » est un texte libre, le type de champ est qualitatif et le format est alphanumérique (25).

Jeu de codes (Valeurs valables) : Pour les champs numériques : Binaire, p.  ex. 0 = pas indiqué et 1 = oui

Pour le champ alphanumérique : (c.-à-d. Autre race) toute chaîne de caractères

Données manquantes (Valeur nulle) : Blanc ou « . » (point) pour une valeur nulle, si la race est inconnue/valeur non fournie

Valeurs par défaut : s.o.

Multiplicité : Une personne peut modifier sa perception de sa race au fil du temps, ou modifier sa réponse d’un point de collecte à l’autre. Il se peut que les systèmes doivent prendre en considération la façon d’inscrire les modifications ou de traiter de différentes réponses inscrites pour le même particulier si elles ont été recueillies auprès de plusieurs sources.

Justification

Afin de promouvoir l’intégrité des analyses, des efforts permanents sont nécessaires pour s’assurer que les renseignements personnels sont exacts, complets et à jour.

Des protocoles d’assurance de la qualité aident à garantir l’exactitude. Ils améliorent la confiance du public quant à l’intégrité des renseignements personnels recueillis, utilisés et divulgués, et quant à l’information figurant dans les publications et les rapports.

Lignes directrices

Le plan d’assurance de la qualité de l’OSP devrait énoncer les politiques et pratiques de l’organisation en matière de vérification de l’exactitude, y compris :

  • des méthodes, processus, dictionnaires de données et listes de codage étayés, ainsi que des protocoles de gestion de l’information;
  • des contrôles systématiques d’assurance de la qualité des données pour surveiller et maintenir la qualité des données (exactitude, fiabilité, validité, uniformité, actualité et exhaustivité des renseignements personnels), comme la vérification de l’exactitude des renseignements personnels, de la saisie de données, des tables de sortie et des analyses.

Les OSP devraient prendre des mesures raisonnables pour en vérifier l’exactitude, y compris les erreurs ou omissions, conformément à un plan d’assurance de la qualité. Elles devraient les faire appliquer au moment où les renseignements personnels sont recueillis ou lorsqu’ils sont traités et saisis dans les bases de données. Les règles de codage énoncées ci-dessus sont des exigences minimales afin de saisir les renseignements dans les bases de données de façon uniforme. Lorsque les OSP recueillent des renseignements au moyen d’options discrétionnaires, comme « autre identité autochtone » dans un champ à texte libre, des champs supplémentaires peuvent être créés au besoin.

Avant d’utiliser ou de divulguer des renseignements personnels, les OSP devraient en évaluer et en étayer la qualité, notamment quant à savoir si et dans quelle mesure :

  • l’exactitude des renseignements a été vérifiée;
  • les renseignements sont à jour (p.  ex. les particuliers ont dûment eu l’occasion de mettre à jour leurs renseignements personnels);
  • les renseignements sont complets (p.  ex. les renseignements recueillis représentent la population de tous les particuliers admissibles).

Les OSP devraient prendre des mesures raisonnables pour s’assurer de ne pas utiliser des renseignements personnels, sauf s’ils sont exacts et à jour. Avant de les utiliser, les OSP devraient aussi vérifier si les renseignements personnels ont été rectifiés ou si une déclaration de désaccord est jointe au dossier. Dans les rares cas où les renseignements personnels recueillis en application de la Loi peuvent être divulgués (p.  ex. à des fins de recherche), les OSP devraient par ailleurs prendre des mesures raisonnables pour garantir qu’elles ne communiquent que des renseignements exacts et à jour.  

Les OSP régies par la Loi sont tenues de faire état de la qualité de l’information utilisée (voir la norme 36).

Si les renseignements sont recueillis sur papier pour être ensuite saisis dans des systèmes électroniques, les OSP devraient effectuer des vérifications aléatoires pour évaluer l’exactitude, la validité, l’exhaustivité et l’actualité des renseignements électroniques.

Accéder aux renseignements, les rectifier et les retirer

Ni le paragraphe 7 (17) de la Loi ni les normes ne limitent le droit des particuliers d’accéder à leurs propres renseignements personnels et de les rectifier en vertu de toute loi (p.  ex. la LAIPVP ou la LAIMPVP).

Norme 22. Accéder aux renseignements personnels et les rectification

Les OSP doivent se doter de procédures écrites permettant aux particuliers de consulter leurs renseignements personnels se trouvant sous la garde ou le contrôle de l’organisation, ou de les rectifier.

Ces procédures doivent prévoir et garantir que les particuliers peuvent :

  1. demander la rectification des renseignements personnels s’ils estiment qu’il y a une erreur ou omission;
  2. exiger qu’une déclaration de désaccord soit jointe aux renseignements pour indiquer toute rectification demandée mais qui n’a pas été effectuée;
  3. exiger que toute personne ou tout organisme auquel les renseignements personnels ont été divulgués dans l’année précédant la date à laquelle une rectification est demandée ou une déclaration de désaccord exigée soit avisé de la rectification ou de la déclaration de désaccord.

Justification

La capacité des particuliers d’accéder à leurs renseignements personnels et de les rectifier est importante pour respecter la dignité individuelle et favoriser l’exactitude des renseignements personnels. Elle améliore également la transparence des pratiques des OSP en vertu de la Loi.

Lignes directrices

La présente norme ne s’applique pas aux RDOP (voir la norme 43).

Les OSP devraient fournir des instructions claires et en langage simple au sujet de la façon dont les particuliers peuvent demander l’accès à leurs renseignements personnels, ainsi que la rectification de ces renseignements. Ces instructions devraient figurer dans les avis aux particuliers et être affichées sur les sites Web des OSP. Les OSP devraient permettre aux particuliers de présenter des demandes écrites ou orales pour accéder à leurs renseignements personnels ou pour rectifier un dossier. Elles devraient aussi vérifier l’identité du demandeur avant de répondre à une demande.

Tant pour les demandes d’accès que pour les demandes de correction, les OSP devraient étayer ce qui suit :

  • à qui, quand et comment l’accès a été accordé, ainsi que l’identité du décideur qui a autorisé l’accès;
  • quelle correction a été effectuée et pourquoi;
  • les motifs pour refuser l’accès à des renseignements ou leur rectification, et quand et comment cette décision a été communiquée au demandeur.

Les systèmes de technologie de l’information devraient pouvoir consigner les déclarations de désaccord qui doivent être jointes aux renseignements personnels s’il n’a pas été fait droit à une demande de correction.

La correction des renseignements personnels n’exige pas que les organisations refassent les analyses déjà effectuées.

Norme 23. Retrait des renseignements personnels

Les OSP doivent se doter de procédures écrites permettant de retirer des renseignements personnels lorsqu’un particulier concerné par ces renseignements retire son consentement à leur utilisation et divulgation continues et demande le retrait de ses renseignements personnels.

Justification

La capacité des particuliers de retirer leur consentement et d’obtenir le retrait de leurs renseignements personnels est un aspect important du consentement exprès volontaire et du respect de la dignité de chaque particulier.

Lignes directrices

La présente norme ne s’applique pas aux RDOP (voir la norme 43).

Si les renseignements personnels ont été recueillis sous le régime de la Loi, le retrait du consentement signifie que les renseignements personnels sont retirés et ne peuvent plus être utilisés pour l’application de la Loi.

Le retrait des renseignements personnels peut signifier leur suppression ou leur mise à part de manière qu’ils ne puissent plus être utilisés ou divulgués. Dans certains cas, il se peut que le retrait du consentement n’exige pas la destruction ou la suppression des renseignements. Par exemple, l’OSP peut avoir l’obligation d’étayer le processus décisionnel associé aux renseignements. Le retrait des renseignements personnels devrait être réalisé dans un délai raisonnable après la présentation de la demande.

Au moment de la collecte, l’OSP devrait communiquer clairement aux particuliers qu’ils peuvent retirer leur consentement à tout moment. Les particuliers devraient aussi recevoir des instructions claires quant aux procédures à suivre pour demander le retrait des renseignements personnels, advenant que ce soit là leur souhait. Ces détails devraient figurer dans l’avis et être affichés sur le site Web de l’OSP.

L’OSP devrait vérifier l’identité du particulier qui présente oralement ou par écrit une demande de retrait de renseignements personnels avant de répondre à sa demande. Les OSP devraient tenir un registre des demandes de retrait, où figure les dates des demandes, les réponses faites, les mesures prises et la personne qui a autorisé les mesures.

Le retrait des renseignements personnels n’exige pas que les OSP refassent les analyses effectuées au moyen des renseignements personnels qui ont été retirés.

Conservation des renseignements personnels

Le paragraphe 7 (10) de la Loi exige que les OSP conservent les renseignements personnels pendant la période précisée dans les normes ou, si aucune période n’est précisée, pendant au moins un an après le jour où ils ont été utilisés pour la dernière fois par l’organisation. 

Norme 24. Période de conservation de cinq ans

Les OSP doivent conserver les renseignements personnels stockés dans des bases de données électroniques pendant au moins cinq ans après le jour où ils ont été utilisés pour la dernière fois, ou pour aussi longtemps qu’il est raisonnable et nécessaire de les conserver afin de repérer les manifestations de racisme systémique et de faire progresser l’équité raciale, sauf si un particulier demande le retrait de ses renseignements personnels.

Justification

La conservation des renseignements personnels dans des bases de données pendant au moins cinq ans permet d’effectuer une analyse des tendances à long terme et une analyse longitudinale exigeant des renseignements personnels. Elle permet également d’examiner et d’analyser de nouveau les renseignements historiques en tenant compte des questions qui se présentent au fil du temps.

Les périodes de conservation définies aident les OSP à s’assurer qu’elles ne conservent pas les renseignements personnels plus longtemps qu’il est nécessaire pour l’application de la Loi. Les conserver indéfiniment pourrait être coûteux et lourd sur le plan administratif, en plus d’accroître le risque d’atteintes à la vie privée.

Lignes directrices

La période de conservation définie dans la présente norme s’applique aux RDOP saisis dans un dossier électronique conformément à la norme 42.

Cependant, cette période de conservation ne s’applique pas aux renseignements personnels conservés dans des dossiers éphémères, comme les formulaires papier ou en ligne utilisés pour recueillir des renseignements. Les dossiers éphémères sont des dossiers temporairement utiles dans tout format ou sur tout support, créés ou reçus par les OSP pour réaliser des activités de collecte de renseignements.

Une fois que les renseignements personnels sont transférés à une base de données en vue de leur stockage sécurisé, les dossiers éphémères devraient être détruits de façon sécuritaire, conformément au calendrier et aux protocoles d’élimination des dossiers de l’organisation, ou éliminés après la période de conservation par défaut prévue par la Loi (au moins un an après la date de leur dernière utilisation).

Les dossiers papier qui ne sont pas éphémères et qui ont été consignés dans une base de données électronique devraient être conservés conformément aux échéanciers de conservation des dossiers de l’organisation, dans les cas où ells sont assujetties à la Loi de 2006 sur les Archives publiques et la conservation des documents, ou autrement, selon les politiques de conservation des documents internes ou auxquelles elles sont légalement tenues.

Il se peut que les organisations du secteur public doivent mettre à jour leurs calendriers de conservation des dossiers électroniques pour se conformer aux normes. Les OSP qui comptent effectuer une analyse longitudinale sur une période de plus de cinq ans devraient définir des délais de conservation raisonnables pour les renseignements personnels et s’abstenir de les conserver indéfiniment.

Les OSP devraient consulter leur personnel de gestion de l’information, ainsi que leur agent de la protection de la vie privée ou leur coordonnateur de l’accès à l’information et de la protection de la vie privée (LAIPVP/LAIMPVP), pour déterminer s’il existe d’autres obligations opérationnelles ou légales qui imposent de conserver les renseignements personnels plus longtemps.

Lorsque des renseignements personnels sont mis à jour ou corrigés, les renseignements désuets peuvent être conservés sous une certaine forme de manière qu’ils soient disponibles durant la période de conservation définie dans la norme.

Si le retrait du consentement mène au retrait de renseignements personnels avant la fin de la période de conservation approuvée, les OSP doivent garder des traces écrites des mesures prises.

Éliminer des renseignements personnels

Norme 25. Élimination en toute sécurité

Les OSP doivent prendre des mesures raisonnables pour éliminer en toute sécurité les renseignements personnels conservés dans des dossiers (papier ou électroniques), y compris les mesures suivantes :

  • protéger la sécurité et la confidentialité des renseignements personnels qui doivent être détruits ou transférés à des archives, notamment en protégeant leur sécurité et leur confidentialité durant leur stockage, leur transport, leur manipulation et leur destruction;
  • s’assurer que les renseignements personnels sont détruits en toute sécurité de manière qu’ils ne puissent être reconstitués ou récupérés;
  • éliminer en toute sécurité les appareils dotés d’une mémoire (p.  ex. ordinateurs, téléphones, photocopieurs, télécopieurs).

Lorsqu’une OSP est assujettie à la Loi de 2006 sur les Archives publiques et la conservation des documents, il doit être disposé des renseignements personnels conservés dans des dossiers soit par leur transfert aux Archives publiques de l’Ontario (si un transfert de cet ordre est exigé par un calendrier de conservation des dossiers approuvé), soit par leur destruction en toute sécurité.

Les OSP doivent tenir un registre sur l’élimination des renseignements personnels, où figure l’autorité utilisée pour procéder à l’élimination, les renseignements personnels éliminés, qui a approuvé leur élimination, la façon dont les renseignements ont été éliminés ainsi que la date de leur élimination. Ce registre ne doit pas contenir de renseignements personnels.

Justification

L’élimination en toute sécurité des renseignements personnels protège la vie privée et réduit le risque d’atteinte à la vie privée.

Lignes directrices

Les OSP devraient mettre en œuvre des protocoles et des échéanciers pour la destruction permanente et systématique des dossiers papier et électroniques et tenir un registre sur l’élimination des renseignements personnels.

Les OSP devraient collaborer avec un spécialiste de la gestion et de la confidentialité des dossiers et des renseignements afin d’élaborer des échéanciers pour les séries de dossiers contenant des renseignements personnels recueillis en vertu de la Loi. Les échéanciers devraient préciser les exigences relatives à la disposition des renseignements, y compris leur élimination ou leur transfert aux Archives de l’Ontario, sous réserve de l’approbation de l’archiviste de l’Ontario, en ce qui a trait aux organisations assujetties à la Loi de 2006 sur les archives publiques et la conservation des documents.

Les organisations qui ne sont pas assujetties à des exigences légales concernant la destruction des renseignements personnels devraient se servir des dispositions du Règl. de l’Ont. 459, Disposition des renseignements personnels (pris en application de la LAIPVP), afin de mettre la norme 25 en œuvre.

Les moyens de destruction des renseignements personnels devraient être appropriées compte tenu de la nature délicate des renseignements et du type de support sur lequel ils sont stockés.

Si un tiers fournisseur de services est chargé de l’élimination des renseignements, l’OSP devrait exiger que le fournisseur lui remette un « certificat de destruction » signé par un dirigeant de la compagnie. Le certificat devrait être lié au dossier sur l’élimination des renseignements tenu par l’OSP.

Restrictions en matière d’utilisation

Selon le paragraphe 7 (6) de la Loi, les renseignements personnels recueillis ne peuvent être utilisés qu’afin d’éliminer le racisme systémique et de faire progresser l’équité raciale au sens du par. 7 (2). De plus, les paragraphes 7 (8) et 9 (3) de la Loi prévoit que les OSP s’abstiennent d’utiliser des renseignements personnels dans les cas où d’autres renseignements réaliseraient la même fin (s’il est possible de recourir à des renseignements anonymisés pour réaliser la même fin, il ne faut pas utiliser de renseignements personnels).

L’article 9 de la Loi autorise une OSP à utiliser les renseignements personnels qu’elle a recueillis légitimement afin d’éliminer le racisme systémique et de faire progresser l’équité raciale, sous réserve des exigences précisées dans la Loi, les règlements et les normes.

Cela permet aux organisations d’utiliser des renseignements personnels recueillis à une autre fin légitime pour analyser les conséquences et répercussions, sur le plan racial, d’un programme, d’un service ou d’une fonction. Par exemple, une organisation qui recueille déjà des renseignements personnels au sujet de particuliers (p.  ex. l’âge et le sexe) ou qui suit déjà des répercussions individuelles (p.  ex. mesures de rendement) dans le cadre d’un programme, d’un service ou d’une fonction peut utiliser ces renseignements afin de repérer et de surveiller le racisme systémique et les disparités raciales.

Norme 26. Restriction de l’utilisation des renseignements personnels

Les OSP ne doivent utiliser les renseignements personnels recueillis sous le régime de la Loi que dans la mesure où ils sont nécessaires pour éliminer le racisme systémique et faire progresser l’équité raciale dans le cadre de leurs services, programmes ou fonctions.

Les OSP ne doivent utiliser les renseignements personnels recueillis sous le régime de la Loi que dans la forme la moins identifiable qui est nécessaire pour réaliser la fin de l’utilisation, notamment celle de procéder à des analyses.

Justification

Le fait de réduire au minimum la quantité de renseignements personnels à utiliser pour réaliser les fins prévues par la Loi protège la vie privée et réduit le risque d’atteinte à la vie privée (c.-à-d. l’utilisation non autorisée de renseignements personnels).

Lignes directrices

Les OSP ne devraient pas utiliser les renseignements personnels recueillis en vertu de la Loi à des fins qui ne sont pas directement liées à l’élimination du racisme systémique et à la progression de l’équité raciale.

En vertu de la Loi, l’analyse est une utilisation essentielle (voir la section 4 : Analyses des renseignements recueillis).

Avant d’utiliser des renseignements personnels à toute fin autorisée, les OSP devraient déterminer si des renseignements personnels sont nécessaires pour l’activité ou l’analyse. Par exemple, elles devraient envisager la possibilité de réaliser l’analyse au moyen de renseignements anonymisés. Si des renseignements personnels sont nécessaires, les OSP devraient alors réduire au minimum le caractère identifiable des renseignements personnels en utilisant des techniques d’anonymisation appropriées (voir l’annexe C). Les données ne devraient être utilisées que dans la forme la moins identifiable nécessaire à la réalisation de la fin recherchée.

Les OSP devraient évaluer le niveau d’anonymisation approprié qui est nécessaire pour l’utilisation selon un éventail allant de renseignements personnels pleinement identifiables à des données anonymisées :

Lorsque aucun identifiant direct ou indirect n’est nécessaire dans le cadre de l’analyse d’un programme, d’un service ou d’une fonction, il faut retirer tout renseignement qui identifie directement une personne en particulier et assigner un pseudonyme ou un numéro d’identification unique au dossier (masquage) de manière que son renvoi aux bases de données contenant les dossiers administratifs puisse être effectué par un décideur désigné.

L’anonymisation est contextuelle. Ce qui est considéré comme des données anonymisées dans un contexte peut ne pas être considéré comme des données anonymisées dans un autre contexte. Par exemple, lorsque des noms, adresses et numéros de téléphone sont retirés d’un ensemble de données (des données pseudonymes), mais que les numéros de dossiers y sont laissés, cet ensemble de données n’est considéré comme étant anonymisé que si les particuliers autorisés qui y ont accès n’ont pas accès aux renseignements sur les dossiers des clients. Cependant, ce même ensemble de données n’est pas considéré comme étant anonymisé si les particuliers autorisés qui y ont accès ont aussi accès aux ensembles de données contenant les numéros de dossiers et les noms, adresses et autres renseignements personnels des clients.

La nécessité d’anonymiser les renseignements personnels avant leur communication au public et leur déclaration est définie dans les normes 33 et 34.

Restrictions en matière de divulgation

Le paragraphe 7 (14) de la Loi n’autorise la divulgation de renseignements personnels que dans les circonstances suivantes :

  • la personne concernée par ces renseignements consent à leur divulgation;
  • la divulgation est exigée par la loi, notamment ainsi que l’exige l’article 31 du Code;
  • la divulgation est faite aux fins d’une instance judiciaire en cours ou éventuelle;
  • la divulgation a pour fin la recherche conformément à l’article 8 de la Loi;
  • la divulgation est faite au CIPVP.

Les paragraphes 7 (15) et (16) prévoient des exemptions quant à ces règles de divulgation. À cet égard, si les renseignements personnels ont été recueillis à une fin légitime, outre celle prévue par la Loi, ils peuvent être divulgués sous reserve des autorisations et des restrictions à la divulgation prévues dans toute autre loi pertinente.

L’article 8 de la Loi énonce les circonstances dans lesquelles une OSP peut divulguer des renseignements personnels recueillis à une fin de recherche. Elle peut notamment en divulguer afin de l’approbation d’un plan de recherche par une commission d’éthique de la recherche, ou dans le cas où la recherche ne peut être raisonnablement effectuée avec des renseignements anonymisés. La Loi et les règlements définissent les exigences que les OSP et les chercheurs doivent respecter.

Renseignements personnels pleinement identifiables :
données contenant des identifiants directs et indirects.
Données pseudonymes :
données dont les identifiants directs ont été enlevés ou remplacés par un code confidentiel ou un pseudonyme.
Données anonymisées :
données ayant été transformées ou modifiées de manière que l’on ne puisse raisonnablement s’attendre, dans les circonstances, à ce que les renseignements puissent être utilisés, seuls ou avec d’autres renseignements, pour identifier un particulier.