La liste de vérification LPRPDE qui correspond à ce que le CPVP recherche vraiment
La plupart des listes de vérification LPRPDE ne sont que du jargon juridique générique. Celle-ci est bâtie à partir de véritables conclusions d'enquêtes du CPVP — ce que le Commissaire à la protection de la vie privée recherche réellement lorsqu'une plainte est déposée.
Pourquoi la plupart des listes de vérification LPRPDE n'aident pas
Cherchez « liste de vérification de conformité LPRPDE » et vous en trouverez des dizaines. Presque toutes partagent la même structure : énumérer les dix principes relatifs à l'équité dans le traitement de l'information, ajouter une case à cocher à côté de chacun, terminé. Le problème, c'est qu'une case à côté de « responsabilité » ne vous dit rien sur la capacité de vos pratiques de responsabilisation à résister à l'examen du CPVP — et une case à côté de « mesures de sécurité » ne vous dit pas si vos mesures de sécurité sont réellement adéquates compte tenu de la sensibilité des renseignements que vous détenez.
Le Commissariat à la protection de la vie privée publie publiquement ses conclusions d'enquête. Ce ne sont pas des documents d'orientation abstraits — ce sont des comptes rendus de plaintes réelles contre des organisations réelles, des manquements précis relevés par le CPVP et de la remédiation qu'il a exigée. Le CPVP a publié des centaines de ces conclusions depuis l'entrée en vigueur de la LPRPDE. Leur lecture révèle une tendance constante : les organisations qui se retrouvent visées par des conclusions défavorables ont presque toujours échoué sur les mêmes points précis, non pas parce qu'elles étaient négligentes envers la vie privée en général, mais parce qu'elles avaient des lacunes conceptuelles dans la compréhension de ce que des principes précis exigent réellement en pratique.
Cette liste de vérification est bâtie à partir de cette lecture. Chaque élément ci-dessous correspond à une tendance précise de manquement sur laquelle le CPVP a réellement enquêté — et non à ce que la loi énonce dans l'abstrait.
Une note sur la portée : la LPRPDE s'applique aux organisations du secteur privé qui exercent des activités commerciales. Si vous êtes au Québec, en Alberta ou en Colombie-Britannique, une loi provinciale peut s'appliquer au lieu de la LPRPDE ou en plus de celle-ci. La Loi 25 du Québec en particulier comporte des exigences plus strictes dans plusieurs domaines — lorsque cela est pertinent, cette liste de vérification le souligne.
Comment utiliser cette liste de vérification
Parcourez chaque section et classez les éléments comme suit : Fait (vous avez de la documentation pour le prouver), Partiel (la pratique existe mais n'est pas documentée ou cohérente) ou Lacune (ce n'est pas en place). Chaque Lacune est une exposition à la non-conformité. Chaque Partiel est une Lacune potentielle dans les conditions d'une enquête, car les pratiques orales sans documentation sont difficiles à prouver.
À la fin de cette liste de vérification, toute Lacune ou tout Partiel dans les sections 1, 3, 7 et 9 représente une priorité urgente — ce sont les domaines où le CPVP relève le plus fréquemment des violations.
Principe 1 : Responsabilité — là où la plupart des programmes s'effondrent
La responsabilité est le premier principe de la LPRPDE et celui qui sous-tend tous les autres. Il exige des organisations qu'elles soient responsables des renseignements personnels sous leur contrôle, y compris les renseignements communiqués à des tiers.
☐ Désigner une personne nommément responsable de la conformité à la LPRPDE.
« Le rôle de responsable de la protection de la vie privée » sans le nom d'une personne précise rattaché à celui-ci ne satisfait pas à la responsabilité dans les enquêtes du CPVP. La personne n'a pas besoin d'un titre officiel. Elle doit réellement exercer la fonction. Consignez la désignation par écrit — un courriel, une résolution du conseil, un dossier des RH ou un document de politique portant le nom de la personne. Mettez-la à jour lorsque la personne change.
*Tendance du CPVP :* Dans plusieurs cas ayant fait l'objet d'enquêtes, des organisations ont désigné une « équipe de protection de la vie privée » ou un « service des TI » comme responsable de la vie privée. Le CPVP a jugé cela insuffisant, car aucune personne n'était responsable de l'ensemble du programme de protection de la vie privée.
☐ Rendre les coordonnées de la personne désignée accessibles au public.
Votre personne-ressource en matière de vie privée n'a pas besoin d'être mise en évidence — mais elle doit pouvoir être trouvée. Une adresse courriel dédiée à la vie privée dans votre politique de confidentialité satisfait à cette exigence. Un formulaire générique « contactez-nous » qui aboutit à une boîte de réception générale n'y satisfait pas clairement. Si quelqu'un doit joindre votre responsable de la vie privée, il doit pouvoir le faire sans parcours d'obstacles.
☐ Tenir des politiques de confidentialité écrites qui reflètent fidèlement les pratiques courantes.
Le CPVP a rendu des conclusions défavorables contre des organisations dont les politiques écrites décrivaient des pratiques qui ne correspondaient pas à la réalité. Une politique qui dit que vous ne partagez pas de données avec des tiers alors que vous les partagez en fait avec une plateforme d'analyse marketing constitue une violation du principe de transparence qui s'ajoute à la violation de consentement qui a causé le partage. Révisez votre politique chaque année par rapport à vos flux de données, vos fournisseurs et vos pratiques réels.
☐ Vérifier votre politique par rapport à votre véritable arsenal de fournisseurs.
Énumérez chaque service tiers utilisé par votre organisation qui traite des renseignements personnels. Comparez cette liste à ce que votre politique de confidentialité dit du partage de données. Si elles ne concordent pas, mettez la politique à jour — ou cessez le partage non divulgué.
☐ Des protections contractuelles pour chaque sous-traitant tiers.
Chaque fournisseur qui traite des renseignements personnels pour votre compte doit être lié par des obligations contractuelles de les protéger. Un accord de traitement des données (ATD) ou une clause équivalente dans votre entente de service doit préciser : ce que le fournisseur peut faire de vos données, les normes de sécurité qu'il doit maintenir, les obligations de notification d'incident envers vous, ce qui advient des données à la fin du contrat et s'il peut faire appel à des sous-traitants ultérieurs.
*Tendance du CPVP :* L'absence de protections contractuelles pour les sous-traitants tiers est l'un des facteurs les plus systématiquement cités dans les conclusions défavorables du CPVP. Il figure dans environ 30 % des sommaires d'application publiés. Le CPVP n'accepte pas « nous faisions confiance au fournisseur » comme mesure de sécurité.
☐ Effectuer des revues annuelles du programme de protection de la vie privée.
La responsabilité n'est pas une désignation ponctuelle — c'est une fonction continue. Au minimum chaque année : passez en revue les renseignements personnels que vous recueillez et vérifiez si les fins déclarées sont toujours d'actualité, revoyez votre liste de fournisseurs et l'état des ATD, revoyez les contrôles d'accès et revoyez votre préparation aux incidents. Documentez que cette revue a eu lieu.
Principe 2 : Détermination des fins — vous devez dire pourquoi avant de recueillir
☐ Énoncer la fin de la collecte au moment de la collecte ou avant.
Les énoncés de fins enfouis dans une politique de confidentialité que les utilisateurs ne sont pas invités à lire avant de soumettre un formulaire ne satisfont pas à ce principe dans les enquêtes du CPVP. La fin doit être communiquée au moment où les renseignements sont recueillis — sur le formulaire lui-même, dans le texte d'avis adjacent au formulaire ou au moyen d'une référence explicite que l'utilisateur rencontre avant de fournir ses renseignements.
☐ Énoncer les fins de façon assez précise pour avoir un sens.
« Améliorer nos services » n'est pas une fin. « Vous envoyer des courriels promotionnels au sujet de nouvelles fonctionnalités de produit » est une fin. Le CPVP a relevé des violations lorsque les fins étaient énoncées à un niveau de généralité qui empêchait les personnes de comprendre à quoi elles consentaient réellement. L'énoncé de la fin doit être assez précis pour qu'une personne raisonnable puisse décider si elle souhaite fournir les renseignements à cette fin.
☐ Conserver un registre de la fin communiquée lors de la collecte.
Vos pratiques de données évolueront. Vous ajouterez des fournisseurs, créerez de nouvelles fonctionnalités, modifierez votre approche marketing. Lorsque cela arrive, vous devez savoir quelles fins vous avez communiquées aux personnes au moment où elles ont fourni leurs renseignements — car cela détermine ce que vous pouvez et ne pouvez pas en faire. Conservez des registres datés de vos mécanismes de consentement et de vos énoncés de fins tels qu'ils existaient à différents moments.
☐ De nouvelles fins exigent un nouveau consentement.
Si vous souhaitez utiliser des renseignements personnels à une fin qui n'avait pas été déterminée lors de leur collecte, vous devez revenir obtenir le consentement pour la nouvelle fin avant d'utiliser les renseignements de cette façon. Il n'y a aucune clause de droits acquis pour les données que vous détenez déjà. Les organisations qui présument pouvoir étendre des données existantes à de nouvelles utilisations sans consentement additionnel constituent une violation de consentement en attente d'une plainte.
Principe 3 : Consentement — le principe le plus contesté
☐ Le consentement implicite ne convient que pour des utilisations évidentes et attendues.
Le consentement implicite s'applique lorsque les personnes s'attendraient raisonnablement à ce que leurs renseignements soient utilisés d'une certaine façon compte tenu du contexte de la collecte. Envoyer une confirmation de commande à l'adresse courriel fournie lors du paiement — le consentement implicite s'applique. Ajouter ce courriel à une liste promotionnelle — il ne s'applique pas. Le CPVP trace cette ligne de façon claire et constante.
☐ Les renseignements sensibles exigent un consentement explicite.
Les numéros d'assurance sociale, les renseignements sur la santé, les détails de comptes financiers, les données biométriques et les renseignements personnels concernant des mineurs exigent un consentement explicite et actif — pas implicite, pas enfoui en petits caractères. Un utilisateur qui clique pour traverser des conditions d'utilisation de 4 000 mots sans être dirigé vers une disposition de consentement pour les données sensibles ne constitue pas un consentement explicite pour ces données.
*Note sur la Loi 25 du Québec :* La Loi 25 hausse la norme de consentement pour tous les renseignements personnels à « manifeste, libre et éclairé » — essentiellement une norme de consentement explicite. Si vous avez des utilisateurs québécois, vos mécanismes de consentement devraient satisfaire à cette norme plus élevée de façon généralisée.
☐ Les demandes de consentement sont dégroupées.
Le consentement groupé — une seule case à cocher qui couvre plusieurs fins de traitement — est de plus en plus mal vu par le CPVP et ne satisfait pas à la Loi 25. Un consentement distinct pour des fins distinctes est l'approche défendable. Si vous recueillez une adresse courriel pour des messages transactionnels et que vous souhaitez aussi envoyer du marketing, il s'agit de deux demandes de consentement distinctes.
☐ Le retrait du consentement est respecté en quelques jours, et non en quelques mois.
Une fois qu'une personne retire son consentement — en se désabonnant, en révoquant un accès, en envoyant une demande écrite — vous disposez d'un délai raisonnable pour cesser. « Raisonnable » se mesure en jours pour les retraits simples. Les organisations qui continuent d'utiliser des renseignements personnels des semaines ou des mois après une demande de retrait ont été reconnues en violation. Vos systèmes techniques doivent être en mesure de traiter le retrait rapidement, et pas seulement d'en accuser réception.
☐ Les mécanismes de consentement sont documentés et datés.
Si une enquête du CPVP demande comment vous avez obtenu le consentement pour une utilisation précise, vous devez être en mesure de montrer le mécanisme — le libellé du formulaire, le texte de la case à cocher, l'énoncé d'avis — tel qu'il existait au moment où le consentement a été obtenu. Des captures d'écran, du HTML géré en contrôle de version ou des documents de politique archivés servent à cette fin.
Principe 4 : Limitation de la collecte
☐ Chaque champ de données a une fin documentée et actuelle.
Parcourez chaque formulaire, chaque processus de saisie, chaque élément de données que vous recueillez. Pour chacun, notez la fin commerciale précise qu'il sert. Si vous ne pouvez pas formuler une fin actuelle précise, vous ne devriez probablement pas le recueillir.
*Tendance du CPVP :* « Nous le recueillons parce que notre plateforme comporte un champ pour cela » et « cela pourrait être utile un jour » sont des justifications que le CPVP rejette explicitement. La limitation porte sur la collecte, et pas seulement sur l'utilisation — vous ne pouvez pas recueillir largement puis décider des fins plus tard.
☐ Vous recueillez le minimum nécessaire, et non le maximum possible.
Si la vérification de l'âge exige de savoir qu'un utilisateur a plus de 18 ans, vous n'avez pas besoin de sa date de naissance — vous avez besoin d'une vérification d'âge fondée sur la date de naissance qui renvoie un oui/non. Si le code postal sert votre fin géographique, vous n'avez pas besoin d'une adresse postale complète. Si les quatre derniers chiffres d'un numéro de carte de crédit servent votre fin de référence, vous n'avez pas besoin du numéro complet. Appliquez la norme du minimum nécessaire à chaque élément de données.
☐ Les NAS ne sont recueillis que lorsque la loi l'exige.
Le CPVP a publié des directives précises selon lesquelles les NAS ne devraient être recueillis que lorsque la loi l'exige et ne devraient pas être conservés au-delà de la période de nécessité légale. Recueillir des NAS aux fins de vérification d'identité lorsque la fin de vérification n'exige pas légalement un NAS constitue une violation de la limitation de la collecte. Cela revient régulièrement dans les contextes de l'emploi et des services financiers.
Principe 5 : Limitation de l'utilisation, de la communication et de la conservation
☐ Les renseignements personnels ne sont pas utilisés à des fins secondaires sans consentement.
C'est la violation la plus fréquemment relevée dans les sommaires d'application publiés du CPVP. Utiliser les coordonnées d'un client pour le marketing alors qu'elles ont été recueillies pour la prestation de services. Utiliser les données d'employés à des fins étrangères à la relation d'emploi. Utiliser des données recueillies pour un produit afin de personnaliser un autre produit. Chacune de ces utilisations est une violation d'utilisation secondaire sans nouveau consentement.
☐ Un calendrier de conservation existe et est appliqué.
Vous devez disposer d'un calendrier documenté précisant la durée de conservation des différentes catégories de renseignements personnels et d'un mécanisme pour réellement les supprimer à l'expiration des périodes de conservation. Le calendrier devrait reposer sur les minimums légaux (certains documents doivent être conservés pendant des périodes précises en vertu du droit fiscal, du droit du travail ou de la réglementation sur la santé) et sur la nécessité commerciale (ce dont vous avez réellement besoin, et non ce qui pourrait être pratique).
☐ La suppression a réellement lieu.
Une politique de conservation qui existe mais n'est pas appliquée est une violation de la LPRPDE en attente d'être découverte. Effectuez périodiquement des vérifications ponctuelles de vos entrepôts de données pour confirmer que les documents ayant dépassé leur date de conservation sont réellement purgés.
☐ L'accès interne est fondé sur les rôles.
Les employés ne devraient avoir accès qu'aux renseignements personnels que leur rôle exige. Les dossiers financiers des clients ne devraient pas être accessibles au personnel du marketing. Les renseignements sur la santé des employés ne devraient pas être accessibles à leurs pairs. Les dossiers des RH ne devraient pas être accessibles d'un service à l'autre. Des contrôles d'accès fondés sur les rôles qui font correspondre l'accès aux renseignements au besoin commercial constituent une attente standard du CPVP.
Principe 6 : Exactitude
☐ Un processus de correction existe et est documenté.
Les personnes ont le droit de demander la correction de leurs renseignements personnels. Votre organisation a besoin d'un processus pour recevoir les demandes de correction, les évaluer, effectuer les corrections lorsqu'il y a lieu, aviser les tiers pertinents qui ont reçu les renseignements inexacts et communiquer le résultat au demandeur. Documentez ce processus. Testez-le périodiquement.
☐ Des revues de la qualité des données sont effectuées pour les documents détenus longtemps.
Les renseignements personnels qui changent avec le temps — adresses, numéros de téléphone, statut d'emploi, renseignements financiers — devraient être révisés périodiquement pour leur exactitude, surtout s'ils sont utilisés dans des décisions qui touchent des personnes.
Principe 7 : Mesures de sécurité — le principe le plus complexe sur le plan technique
☐ Chiffrement au repos pour les catégories sensibles.
Les renseignements personnels sur la santé, les NAS, les numéros de comptes financiers et autres données très sensibles doivent être chiffrés lorsqu'ils sont stockés. Les bases de données non chiffrées contenant des NAS ou des dossiers de santé constituent un signal d'alarme pour le CPVP. La norme d'adéquation du chiffrement est la pratique cryptographique actuelle — et non la norme d'il y a cinq ans lorsque votre base de données a été configurée.
☐ Chiffrement en transit pour tous les renseignements personnels.
Tous les renseignements personnels transmis sur les réseaux devraient être chiffrés en transit au moyen des normes TLS actuelles. Le HTTP non chiffré pour tout formulaire qui recueille des renseignements personnels est inadéquat. Les courriels contenant des renseignements personnels sensibles devraient utiliser une transmission chiffrée lorsque cela est possible.
☐ Des contrôles d'accès sont mis en œuvre et révisés.
Chaque système contenant des renseignements personnels devrait être doté de contrôles d'accès limitant qui peut les lire, les modifier ou les exporter. Les listes d'accès devraient être révisées lorsque des employés changent de rôle ou quittent l'organisation. Les anciens employés devraient perdre leur accès rapidement — le CPVP a relevé des violations lorsque des employés partants ont conservé l'accès à des bases de données de clients pendant des mois après leur départ.
☐ Des journaux d'accès existent pour les systèmes sensibles.
Vous devez savoir qui a accédé aux renseignements personnels, quand et d'où. Cela importe à la fois pour l'évaluation des incidents (si un incident survient, vous devez en connaître l'ampleur de l'exposition) et pour démontrer l'adéquation des mesures de sécurité (vous pouvez montrer au CPVP que l'accès aux données sensibles était surveillé). Les systèmes contenant des NAS, des renseignements sur la santé ou des détails de comptes financiers devraient avoir la journalisation d'audit activée.
☐ La formation des employés est documentée.
Une formation verbale que personne n'a consignée pourrait tout aussi bien ne pas avoir eu lieu du point de vue d'une enquête du CPVP. Des dossiers de formation écrits — un registre indiquant qui a suivi la formation, ce qu'elle couvrait et quand — constituent ce que vous pouvez réellement produire. La formation devrait couvrir : quels renseignements personnels l'organisation détient, comment les traiter de façon appropriée, quoi faire en cas de problème et comment répondre aux demandes d'accès individuelles.
☐ Un plan d'intervention en cas d'incident documenté existe.
Le plan devrait préciser : qui est avisé à l'interne lorsqu'un incident est soupçonné, qui évalue le risque de préjudice grave, qui décide si la déclaration au CPVP et la notification des personnes sont requises, qui rédige la déclaration au CPVP, qui rédige les notifications individuelles et quels dossiers sont conservés sur l'intervention. Testez ce plan chaque année — un exercice sur table avec vos principaux décideurs suffit.
☐ Les mesures de sécurité physiques sont à la hauteur des mesures électroniques.
Les documents papier contenant des renseignements personnels exigent une protection physique proportionnelle à leur sensibilité. Des classeurs verrouillés pour les documents sensibles, des politiques de bureau dégagé, une destruction sécurisée des documents et des contrôles d'accès des visiteurs sont des mesures de sécurité physiques que le CPVP considère comme faisant partie d'un programme de mesures de sécurité adéquat.
Principe 8 : Transparence
☐ La politique de confidentialité est exacte et à jour.
Votre politique doit décrire ce que vous faites réellement, et non ce que vous aviez prévu de faire au moment de sa rédaction. Elle doit désigner votre personne-ressource en matière de vie privée, expliquer quels renseignements vous recueillez et pourquoi, décrire avec qui vous les partagez et expliquer comment les personnes peuvent exercer leurs droits. Vérifiez-la par rapport à la réalité au moins une fois l'an.
☐ La politique de confidentialité est accessible.
Reliée dans le pied de page de votre site Web, accessible depuis tout formulaire de collecte de données et rédigée dans un langage clair qu'un non-juriste peut comprendre. Une politique de confidentialité qui existe mais exige un effort considérable pour être trouvée échoue au principe de transparence.
Principe 9 : Accès aux renseignements personnels — souvent déclenché, souvent mal géré
☐ Les demandes d'accès reçoivent une réponse dans les 30 jours.
La LPRPDE exige une réponse dans les 30 jours, ou un avis écrit de prolongation si plus de temps est nécessaire, à l'intérieur de cette période de 30 jours. La prolongation est possible pour les demandes complexes mais doit être communiquée avant l'échéance initiale. Les organisations qui ne répondent tout simplement pas, ou qui répondent après 45 jours sans avoir communiqué de prolongation, sont en violation.
*Tendance du CPVP :* Les manquements dans le traitement des demandes d'accès figurent dans un nombre important d'enquêtes du CPVP. Souvent, le manquement n'est pas intentionnel — la demande a été reçue, acheminée à la mauvaise personne et oubliée. Disposer d'un processus désigné assorti d'un mécanisme de billetterie ou de suivi prévient cela.
☐ Les réponses d'accès sont substantielles.
La réponse doit réellement fournir les renseignements personnels que vous détenez au sujet de la personne, expliquer comment ils sont utilisés et indiquer à qui ils ont été communiqués. « Nous prenons votre vie privée au sérieux et examinerons votre demande » n'est pas une réponse d'accès. Accusez réception de la demande immédiatement, puis fournissez la réponse substantielle dans les 30 jours.
☐ Les exceptions sont appliquées correctement et documentées.
La LPRPDE comporte des exceptions limitées au droit d'accès — renseignements qui révéleraient des renseignements sur un tiers qui n'a pas consenti, renseignements protégés par le secret professionnel de l'avocat, renseignements recueillis dans le cadre d'une enquête. Lorsque vous retenez des renseignements en vous fondant sur une exception, documentez quelle exception s'applique et pourquoi. Le CPVP peut réviser vos décisions relatives aux exceptions.
☐ Un processus existe pour vérifier l'identité du demandeur.
Avant de fournir les renseignements personnels d'une personne en réponse à une demande d'accès, vérifiez que la personne qui demande est bien celle qu'elle prétend être. Le mécanisme de vérification devrait être proportionnel à la sensibilité des renseignements demandés.
Principe 10 : Possibilité de porter plainte
☐ Une procédure de plainte documentée existe.
Les personnes doivent pouvoir se plaindre de vos pratiques en matière de vie privée. Cela suppose une personne-ressource nommée (assurée par votre désignation de responsabilité), un moyen de la joindre (assuré par vos coordonnées publiques) et un véritable processus de réception, d'examen et de réponse aux plaintes.
☐ Les plaintes parviennent à la bonne personne.
Les plaintes en matière de vie privée acheminées vers une file d'attente générale du service à la clientèle sans escalade vers le responsable désigné de la vie privée sont des plaintes qui ne reçoivent jamais l'attention appropriée. La procédure doit faire en sorte que la plainte soit examinée par une personne ayant le pouvoir d'enquêter et de modifier les pratiques si nécessaire.
Référence rapide des priorités
Corrigez ceci en premier (fréquence de violation la plus élevée au CPVP) :
- Contrats de fournisseurs tiers manquants ou incomplets
- Utilisation secondaire de renseignements personnels sans consentement
- Plan d'intervention en cas d'incident absent ou inadéquat
- Demandes d'accès sans réponse dans les 30 jours
- Conservation sans calendrier de suppression
Corrigez ceci en deuxième (importants mais moins fréquemment contestés) :
- Fins énoncées lors de la collecte mais pas assez précisément
- Consentement implicite utilisé là où un consentement explicite est requis
- Formation des employés sans documentation
- Contrôles d'accès non révisés lors des changements de personnel
À maintenir en continu :
- Exactitude de la politique de confidentialité par rapport aux pratiques réelles
- Exhaustivité de la liste des fournisseurs et état des ATD
- Application du calendrier de conservation
Les organisations qui parcourent complètement cette liste — pas seulement en la lisant, mais en vérifiant réellement chaque élément par rapport à des preuves documentées — sont dans une posture de conformité fondamentalement différente de celles qui considèrent la conformité à la LPRPDE comme le fait d'avoir une politique de confidentialité et rien de plus.
La conformité IA et vie privée, simplifiée.
Valdra aide les entreprises canadiennes à gouverner l’IA et à respecter PIPEDA et la Loi 25 — hébergé au Canada.
Découvrir Valdra