Questions fréquentes

Question 1
Qu'est-ce que laprotection des renseignements personnels?
La protection des renseignements personnels englobe les droits et obligations des personnes et organisations en ce qui a trait à la cueillette, à l'utilisation, à la communication et à la conservation des renseignements personnels. La protection des renseignements personnels qui concernent les clients est l’un des grands défis qui se posent aujourd'hui aux entreprises. Le degré croissant de complexité et de perfectionnement des processus d'affaires entraîne une augmentation du volume de renseignements personnels recueillis et utilisés. En conséquence, la protection des renseignements personnels est devenue une question plus sensible et constitue désormais une préoccupation cruciale pour les organisations, les pouvoirs publics et la population en général. Le vol d'identité, que le Commissaire à la protection de la vie privée du Canada décrit comme étant le crime dont la fréquence augmente le plus rapidement en Amérique du Nord, ainsi que la crainte que les dossiers financiers et médicaux ne fassent l'objet d'accès abusifs font redouter aux consommateurs d'avoir perdu tout contrôle à l'égard des renseignements personnels qui les concernent. Pour dissiper ces craintes et respecter la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), les entreprises doivent mettre sur pied un programme de protection des renseignements personnels. (Questions)

Question 2
Qu'est-ce qu'unrenseignement personnel?
Un renseignement personnel est un renseignement concernant un individu identifiable, qui peut être de nature factuelle ou subjective, être enregistré ou non et revêtir n'importe quelle forme. Voici des exemples de renseignements personnels :

nom, numéros d'identification personnelle, adresse, revenu ou couleur des cheveux;
dossiers d'employé, évaluations et mesures disciplinaires;
dossiers de conducteur et dossiers de crédit ou d'emprunteur;
existence d'un litige entre un consommateur et un commerçant;
intention d'acquérir des biens ou des services.

Certains renseignements personnels sont considérés sensibles et sont donc vulnérables aux abus s'ils ne sont pas traités de façon convenable. Il peut s'agir, par exemple, de renseignements sur l'état de santé, l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance à un syndicat et les préférences sexuelles. (Questions)

Question 3
Qu’est-ce que la LPRPDE? À qui s’applique-t-elle?
La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) du Canada institue un droit exécutoire à la protection de la vie privée en ce qui a trait à la collecte, à l’utilisation et à la communication des renseignements personnels par les organisations du secteur privé. La LPRPDE régit les «organisations», terme qui engloble les personnes, les associations, les sociétés de personnes et les organisations syndicales. Le terme «personnes», quant à lui, désigne les personnes morales autant que les personnes physiques. Les organisations sont d’une manière générale assujetties à la Loi en ce qui a trait à la collecte, à l’utilisation et à la communication de renseignements personnels dans le cadre d’activités commerciales.

La LPRPDE fait actuellement l’objet d’un examen quinquennal obligatoire par le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique. Le Comité devrait présenter son rapport à la Chambre des communes au printemps 2007. (Questions)

Question 4
Quelles sont les«règles en matière de protection de la vie privée» instituées par la LPRPDE?
La LPRPDE a un caractère révolutionnaire : elle fait du Canada le premier pays à avoir instauré, au chapitre de la protection des renseignements personnels dans le secteur privé, des règles fondées sur des normes nationales, soit le Code type sur la protection des renseignements personnels élaboré par l’Association canadienne de normalisation (CSA). Lancé officiellement en 1996, le code type de la CSA énonce, en matière de protection des renseignements personnels, des principes touchant les défis auxquels font face les entreprises pour la prise en compte des préoccupations des clients et des employés à cet égard ainsi que des diverses circonstances dans lesquelles des renseignements personnels sont recueillis et utilisés à des fins commerciales. Le code type, neutre sur le plan de la technologie, propose de solides principes essentiels applicables aussi bien aux dossiers papier qu’au commerce électronique.

La LPRPDE exige, au minimum, le respect des principes suivants dans la collecte, l’utilisation et la communication de renseignements personnels : responsabilité; détermination des fins de la collecte des renseignements; obtention du consentement; limitation de la collecte; limitation de l’utilisation, de la communication et de la conservation; exactitude; mesures de sécurité; transparence; accès aux renseignements personnels; possibilité de porter plainte à l’égard du non-respect de ces principes. (Questions)

Question 5
Quelle est la mesure la plus importante qu'une entreprise puisse prendre pour rassurer ses clients sur la façon dont elle protège les renseignements personnels qui les concernent?
Cette mesure consiste à soumettre les pratiques de l’entreprise en la matière à une vérification indépendante par un tiers. La mise en place d'une politique de protection des renseignements personnels claire et accessible et la désignation d'une personne responsable sont des premiers pas nécessaires et importants en vue de l'obtention d'un rapport de vérification indépendant. (Questions)

Question 6
En quoi consiste une vérification indépendante? Qu'est-ce que cela implique?
La vérification des politiques de protection des renseignements personnels implique la conduite de tests auprès du personnel et de tests des processus, des technologies et des contrôles pour assurer que l'entreprise respecte ses politiques déclarées en la matière. Un rapport de vérification indépendant procure l'assurance que l'entreprise agit de la façon qu’elle indique. Une vérification indépendante est une vérification réalisée objectivement et exempte de conflits d'intérêts.

Les CA fournissent des services de certification, le plus connu étant la vérification d'états financiers. On accorde un grand prix au rapport de vérification signé par un CA parce que les CA connaissent bien les domaines de la comptabilité générale et de la certification et qu'ils sont reconnus pour leur indépendance, leur intégrité, leur objectivité et leur discrétion. La certification d'états financiers n'est qu'un des nombreux types de services de certification offerts par les CA. Ceux-ci fournissent également une assurance dans divers domaines, tels que les contrôles internes et la conformité à des critères précis.

L'expérience professionnelle, la connaissance du secteur où oeuvre l'entreprise, l'expertise dans le domaine en cause (protection des renseignements personnels, sécurité et contrôle) et les caractéristiques professionnelles (indépendance, intégrité, objectivité et discrétion) requises pour l'exécution de telles missions sont les mêmes atouts qui permettent aux CA d'évaluer globalement et objectivement les risques et contrôles associés à la fiabilité des systèmes. De plus, les CA sont tenus d'observer un ensemble exhaustif de règles de déontologie et de normes professionnelles lorsqu'ils fournissent des services professionnels. (Questions)

Question 7
Quels éléments les consommateurs voudraient-ils assujettir à une vérification indépendante?
Une étude menée en 2002 par Harris Interactive indique que ces éléments sont les suivants :

maintien de procédures de sécurité destinées à protéger les renseignements personnels;
non-transmission de renseignements personnels à un tiers sans le consentement des consommateurs;
collecte et transmission des renseignements personnels en conformité avec les politiques de l'entreprise en matière de protection des renseignements personnels;
maintien de contrôles internes visant à permettre aux seuls utilisateurs autorisés d'accéder aux renseignements personnels.

Par définition, dans le cadre d'une vérification indépendante, chacune de ces mesures doit être vérifiée au regard d'un ensemble de normes de performance. La profession de CA est la seule à mettre en pratique un ensemble de normes applicables à la vérification des contrôles et à la production d'un rapport à cet égard, des normes de déontologie applicables à l'exécution du travail, et une obligation d'indépendance réelle et apparente vis-à-vis de l'organisation pour laquelle le rapport est publié. Ces normes de vérification s’étendront à des critères particuliers permettant aux praticiens d'évaluer la nouvelle problématique de la confiance, dans laquelle s'inscrit la protection des renseignements personnels. (Questions)

Question 8
La législation ne peut-elle pas obliger les entreprises à respecter leurs politiques en matière de protection des renseignements personnels? Cette obligation n'est-elle pas suffisante pour que les consommateurs fassent confiance aux entreprises?
Selon une étude récente menée par Harris Interactive et commanditée par l'AICPA et Ernst & Young sur la protection des renseignements personnels dans les entreprises américaines, les efforts actuels déployés par les entreprises ne suffisent pas pour dissiper les craintes de la population en matière de protection des renseignements personnels, même lorsque les entreprises respectent la législation pertinente. Les consommateurs indiquent qu'ils font davantage confiance aux entreprises qui ont aussi soumis leurs pratiques en la matière à une vérification indépendante.

Jusqu'à présent, les lois n'ont pas réussi à établir la confiance chez les consommateurs, comme le confirme l'étude. Les entreprises chefs de file et celles qui souhaitent sortir gagnantes du redressement économique adoptent une attitude proactive, rigoureuse et globale à l'égard de la protection des renseignements personnels. Pour ces entreprises, les renseignements personnels recueillis auprès des consommateurs et des employés représentent un actif stratégique.

Les entreprises visionnaires investissent dans les processus de cueillette, de protection et de destruction des renseignements personnels et en font des éléments essentiels de leur infrastructure. Les entreprises chefs de file à cet égard communiquent diligemment leurs politiques et pratiques de protection des renseignements personnels et s'attachent à montrer à leurs parties prenantes qu’elles sont dignes de confiance en s’appuyant sur leur image de marque et en faisant preuve de leadership.

Ces entreprises élaborent des politiques en matière de protection des renseignements personnels qui reflètent leur philosophie organisationnelle, leur modèle d'affaires ainsi que les besoins de leurs marchés cibles. Elles connaissent les types de renseignements qu'elles recueillent, l’utilisation qu’elles en font, la façon dont elles les transmettent et la mesure dans laquelle elles en ont réellement besoin. Elles comparent leurs politiques non seulement par rapport aux lois qui s’appliquent à leur secteur, mais également aux principes d'information équitable reconnus et aux programmes auto-réglementés qu'elles se sont engagées à respecter. Les chefs de file conçoivent leurs politiques et pratiques de façon à attirer et à conserver la clientèle, et non seulement pour respecter des exigences minimales de conformité. Les lois continueront d'évoluer dans l'optique de répondre aux principales préoccupations de la population. Or, les organisations de premier plan n'attendent pas que les problèmes qui nuisent à la participation active des consommateurs prennent des proportions nécessitant l'intervention des autorités législatives. (Questions)

Question 9
Qu'est-ce que le risque lié à la protection des renseignements personnels?
Les risques que présente la protection des renseignements personnels et auxquels doit faire face la direction touchent notamment les aspects suivants :

Image et marque. Les manquements en matière de protection des renseignements personnels peuvent se répercuter négativement sur l’image et la marque de l’organisation, altérant ainsi la perception qu’en a le public.
Perte financière. Les manquements à la protection des renseignements personnels peuvent se traduire par d’importantes pertes financières directes (nouvelle émission de cartes de crédit, par exemple) ou indirectes (recul de la fidélisation de la clientèle et perte de ventes, par exemple).
Parties prenantes. La réaction du marché à la suite d’un manquement à la protection des renseignements personnels peut faire fléchir le cours des actions de l’organisation, ce qui entraîne une réduction de sa capitalisation boursière.
Conformité. La non-conformité aux lois et règlements peut être néfaste sur le plan des relations publiques et donner lieu à des amendes et à des sanctions.
Relations entre associés en affaires. Les associés en affaires qui partagent des renseignements personnels mais omettent de protéger ces derniers peuvent cesser de se faire confiance mutuellement.
Ententes internationales. L’organisation qui ne respecte pas les normes établies en matière de protection des renseignements personnels s’expose aux interdictions ou restrictions prévues par certaines lois étrangères à l’égard de l’exportation des renseignements personnels.

Pour déterminer l’importance de tels risques, il est important de procéder à une évaluation des risques liés à la protection des renseignements personnels. Les résultats de cette évaluation indiqueront s’il y a lieu de mettre en oeuvre un régime de conformité et, dans l’affirmative, quelle devrait en être la portée. (Questions)

Question 10
Quels sont les services à valeur ajoutée concernant la protection des renseignements personnels?
Les CA peuvent fournir un certain nombre de services à valeur ajoutée, par exemple :

évaluer et gérer le risque lié à la protection des renseignements personnels;
élaborer une philosophie et une stratégie de protection des renseignements personnels;
fournir des conseils et donner de la formation dans ce domaine;
préparer et examiner les politiques de protection des renseignements personnels;
faciliter l’élaboration et la mise en oeuvre de programmes de conformité concernant la protection des renseignements personnels, comme l'actuel sceau de certification WebTrust, afin de favoriser la protection des renseignements personnels en ligne;
exprimer une assurance quant à l’efficacité des systèmes de contrôle de la protection des renseignements personnels. (Questions)

Question 11
Depuis combien de temps les cabinets de CA réalisent-ils des vérifications concernant la protection des renseignements personnels?
Bien que la situation varie d'un cabinet à l'autre, la protection des renseignements personnels est l'un des éléments de la problématique de la confiance à l'égard duquel les CA conseillent leurs clients depuis de nombreuses années. Les CA participent au débat sur la protection de la vie privée, font partie d’organismes de normalisation et assurent un leadership éclairé dans le domaine depuis les tout débuts. Ils sont tout désignés pour conseiller les clients sur leurs contrôles internes et la protection de leurs données. Les renseignements personnels ne représentent qu'une autre catégorie de données dont la gestion et le contrôle par les clients ont été facilités par les CA. (Questions)

Question 12
Pourquoi les CA réalisent-ils des vérifications concernant la protection des renseignements personnels? Quels sont les avantages pour les entreprises? Quels sont les avantages pour les consommateurs?
Le rôle des CA consiste depuis toujours à renforcer la confiance à l’égard des états financiers et, aujourd’hui, de questions telles que la protection des renseignements personnels. C'est là une évolution naturelle des services qu'ils offrent à leurs clients. Les entreprises bénéficient ainsi de la possibilité de gagner la confiance des consommateurs, d'établir leur marque et de gérer le risque lié à la protection des renseignements personnels. Les consommateurs, quant à eux, font davantage confiance à une entreprise qui a soumis ses pratiques de protection des renseignements personnels à une vérification indépendante. (Questions)

Question 13
Les vérifications concernant la protection des renseignements personnels sont-elles visées par le devoir du CA envers un client ou un employeur?
La vérification des politiques de protection des renseignements personnels ne fait généralement pas partie de la vérification des états financiers. Dans le cours normal de la vérification des états financiers, les CA vérifient souvent les contrôles exercés sur le traitement et la protection des informations financières. Les CA ont acquis les compétences nécessaires pour vérifier efficacement ces processus de gestion de l'information. Les organisations leur demandent à présent de vérifier d'autres processus de gestion des données, notamment ceux sur lesquels se fondent les politiques de protection des renseignements personnels. (Questions)

Question 14
Pourquoi est-il préférable qu’un cabinet de CA vérifie les pratiques d'une entreprise en matière de protection des renseignements personnels plutôt que cette entreprise atteste qu’elle respecte ses politiques?
L'un des principaux problèmes qui se posent aux consommateurs est qu'ils ne font pas confiance aux politiques et pratiques déclarées d'une entreprise en matière de protection des renseignements personnels. Ils s'inquiètent des atteintes à la vie privée ou de l'utilisation abusive des renseignements personnels.

S’il est important qu'une entreprise déclare à ses clients quelles sont ses politiques et pratiques de protection des renseignements personnels, la problématique de la confiance n'est parfaitement prise en compte que lorsque l'entreprise est en mesure de convaincre ses clients qu'elle respecte ces politiques et pratiques. Un cabinet de CA peut fournir, au moyen d'une vérification indépendante, l'assurance qu'une entreprise respecte des normes acceptables en matière de protection des renseignements personnels et qu'elle utilise ces renseignements de la façon indiquée. (Questions)

Question 15
Que fait l'ICCA pour appuyer les efforts des CA dans le domaine de la protection des renseignements personnels?
La protection des renseignements personnels relève de la gouvernance et de la gestion des risques. Par conséquent, de nombreuses organisations ont besoin d'assistance pour gérer le risque lié à la protection des renseignements personnels et pour mettre en œuvre des programmes en la matière. L'Institut Canadien des Comptables Agréés (ICCA) a préparé un certain nombre de documents visant à répondre à ce besoin, dont les suivants¹:

Principes généralement reconnus en matière de protection des renseignements personnels (voir ci-dessous);
20 Questions que les entreprises devraient poser sur la protection des renseignements personnels
Privacy Resource Guide (voir ci-dessous);
Conformité concernant la protection des renseignements personnels : guide à l'intention des organisations et des certificateurs;
Plan d'intervention.

En outre, l'ICCA et l'American Institute of Certified Public Accountants (AICPA) ont établi en 2001 un groupe de travail mixte sur la protection des renseignements personnels. En 2006, ce groupe de travail a publié ses principes généralement reconnus en matière de protection des renseignements personnels. Il s'agit de 10 principes, accompagnés de critères connexes, qui sont essentiels à la protection et à la gestion adéquates des renseignements personnels. Ils se fondent sur les pratiques équitables de traitement de l'information reconnues à l'échelle internationale qui sont énoncées dans de nombreux textes légaux et réglementaires de divers pays, et sur les meilleures pratiques. Tous les CA, qu'ils soient en entreprise ou en cabinet, pourront se servir des principes généralement reconnus en matière de protection des renseignements personnels pour aider les organisations qui font appel à eux sur ces questions.²

L'ICCA a également publié à l'intention des CA un guide intitulé Privacy Resource Guide qui vise à leur permettre d'élargir leur base de connaissances sur le sujet. L'ouvrage contient des méthodes et des exemples détaillés qui permettront aux CA :

de donner des conseils stratégiques à la direction en vue de la mise au point d'un plan d'action pour la protection des renseignements personnels;
de faire le point sur les pratiques de l'organisation en cette matière et d'apprécier les risques qui s'y rattachent;
de donner des conseils d'ordre opérationnel à la direction lors de la mise au point et de l'instauration d'un programme de protection des renseignements personnels;
de gérer les politiques et procédures en matière de renseignements personnels en fonction de critères mesurables, et de les tenir à jour;
de contribuer à ce que leur cabinet puisse fournir une assurance en fonction de critères mesurables et se bâtir une clientèle dans le domaine de la protection des renseignements personnels.

Grâce au Privacy Ressource Guide, les CA sont en mesure d'offrir aux organisations toute une gamme de services à valeur ajoutée³ , dont la planification stratégique et opérationnelle en matière de protection des renseignements personnels, l'analyse de l'écart et des risques en la matière, l'étalonnage, la conception et la mise en œuvre d'une politique de protection des renseignements personnels, la mesure de la performance et la vérification indépendante des mesures de contrôle touchant la protection des renseignements personnels.(Questions)

¹ Ces documents et d’autres publications sur la question peuvent être téléchargés sans frais à partir du Centre de ressources en ligne sur la protection des renseignements personnels de l’ICCA (www.icca.ca/prp).
² Les principes généralement reconnus en matière de protection des renseignements personnels peuvent être téléchargés sans frais à partir du site Web de l’ICCA (www.icca.ca/prp).
³ Le document Solutions aux problèmes actuels en matière de protection des renseignements personnels de l’ICCA, peut être commandé à partir de la boutique en ligne de l’ICCA. Pour ce faire, rendez-vous à l’adresse http://www.knotia.ca/boutique ou communiquez avec le Service des commandes de l’ICCA, par téléphone au 1-800-268-3793 ou au 416-977-0748 (à Toronto), ou par télécopieur au 416-204-3416 et demandez le produit numéro 02980.

	Protection des renseignements personnels \| Droits d'auteur \| Plan du site \| Liens L'INSTITUT CANADIEN DES COMPTABLES AGRÉÉS 277, rue Wellington Ouest Toronto (Ontario) M5V 3H2 Canada Téléphone : 1.416.977.3222 Télécopieur : 1.416.977.8585