Principe de responsabilité
Le programme de la Sécurité du revenu est responsable des renseignements personnels dont il a la gestion. Le directeur ou le superviseur des unités de gestion doivent s'assurer du respect des principes énoncés ci-dessous.
Il incombe aux directeurs ou superviseurs des unités de gestion de respecter les principes même si d'autres membres du programme de la Sécurité du revenu peuvent être chargés de la collecte et du traitement quotidien des renseignements personnels.
Le programme de la Sécurité du revenu est responsable des renseignements personnels qu'il a en sa possession ou sous sa garde, y compris les renseignements confiés à une tierce partie aux fins de traitement. Le programme de la Sécurité du revenu doit, par voie d’entente ou autre, fournir un degré comparable de protection aux renseignements qui sont en cours de traitement par une tierce partie.
Le programme de la Sécurité du revenu doit assurer la mise en oeuvre des politiques et des pratiques destinées à donner suite aux principes, y compris:
a) la mise en oeuvre des procédures pour protéger les renseignements personnels;
b) la mise en place des procédures pour recevoir les plaintes et les demandes de renseignements et y donner suite;
c) la formation des employés et la transmission aux employés de l'information relative aux politiques et pratiques du programme de la Sécurité du revenu; et
d) la rédaction des documents explicatifs concernant leurs politiques et pratiques.
Principe de détermination des fins de la collecte des renseignements
Les fins pour lesquelles des renseignements personnels sont recueillis doivent être déterminées par le programme de la Sécurité du revenu avant ou au moment de la collecte.
Il faudrait préciser au client les fins auxquelles ils sont destinés avant ou au moment de la collecte. Selon la façon dont se fait la collecte, cette précision peut être communiquée de vive voix ou par écrit. Par exemple, lors de l’utilisation du formulaire de demande de renseignements, les fins doivent être inscrites à l’emplacement approprié.
Avant de se servir de renseignements personnels à des fins non précisées antérieurement, les nouvelles fins doivent être précisées au préalable avant de les utiliser. Il faut alors obtenir le consentement du client avant d'utiliser les renseignements pour cette nouvelle fin.
Les conseillers qui recueillent des renseignements personnels devraient être en mesure d'expliquer au client à quelles fins sont destinés ces renseignements.
Principe de consentement
Tout client doit être informé et consentir à toute collecte, utilisation ou communication de renseignements personnels qui la concernent, à moins qu'il ne soit pas approprié de le faire.
Dans certaines circonstances, il est possible de recueillir, d'utiliser et de communiquer des renseignements personnels à l'insu du client et sans son consentement. Par exemple, pour des raisons d'ordre juridique ou médical ou pour des raisons de sécurité. Il peut être impossible ou inopportun de chercher à obtenir le consentement d'un mineur non émancipé, d'un client gravement malade ou souffrant d'incapacité mentale.
Il faut obtenir le consentement du client avant de recueillir des renseignements personnels à son sujet et d'utiliser ou de communiquer les renseignements recueillis. Généralement, le programme de la Sécurité du revenu obtient le consentement des clients relativement à l'utilisation et à la communication des renseignements personnels au moment de la collecte.
Suivant ce principe, il faut informer le client le but de la cueillette des renseignements et obtenir son consentement. Les unités de gestions doivent faire un effort raisonnable pour s'assurer que le client est informé des fins auxquelles les renseignements seront utilisés. Pour que le consentement soit valable, les fins doivent être énoncées de façon que le client puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués.
Le programme de la Sécurité du revenu ne peut pas, pour le motif qu'il fournit un bien ou un service, exiger d'un client qu’il consente à la collecte, à l'utilisation ou à la communication de renseignements autres que ceux qui sont nécessaires pour réaliser les fins légitimes et explicitement indiquées.
Comme les renseignements recueillis sont de nature sensible, telle que les informations concernant les revenus, l’historique, la situation familiale, etc., la forme du consentement que le programme de la Sécurité du revenu doit obtenir doit être explicite. Par contre, elle pourra être implicite si les données recueillies sont moins sensibles.
Dans l'obtention du consentement, les attentes raisonnables du client sont aussi à considérer et à être traité avec délicatesse. Par exemple, il serait légitime pour le programme de la Sécurité du revenu de communiquer avec les clients afin de leur offrir des opportunités d’emploi.
Le consentement peut revêtir différentes formes, par exemple:
a) on peut se servir d'un formulaire de demande de renseignements pour obtenir le consentement, recueillir des renseignements et informer le client de l'utilisation qui sera faite des renseignements. En remplissant le formulaire et en le signant, le client donne son consentement à la collecte de renseignements et aux usages précisés;
b) le consentement peut être donné de vive voix lorsque les renseignements sont recueillis par téléphone; ou
c) le consentement peut être donné au moment où le service est rendu.
Un client peut retirer son consentement en tout temps. Le programme de la Sécurité du revenu devrait informer le client des conséquences d'un tel retrait.
Principe de limitation de la collecte
Le programme de la Sécurité du revenu ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées et doit procéder de façon honnête et licite.
Les unités de gestions ne doivent pas recueillir des renseignements de façon arbitraire. On doit restreindre tant la quantité que la nature des renseignements recueillis à ce qui est nécessaire pour réaliser les fins déterminées.
L'exigence selon laquelle les unités de gestions sont tenues de recueillir des renseignements personnels de façon honnête et légale, a pour objet d’empêcher de tromper les gens et de les induire en erreur quant aux fins auxquelles les renseignements sont recueillis. Cette obligation sous-entend que le consentement à la collecte de renseignements ne doit pas être obtenu par un subterfuge.
Principe de limitation de l'utilisation, de la communication et de la conservation
Les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que le client concerné n'y consente. On ne doit conserver les renseignements personnels aussi longtemps que nécessaire pour la réalisation des finalités déterminées.
Les unités de gestion qui se servent de renseignements personnels à de nouvelles fins, qui n’avaient pas été prévues dans le consentement initial, doivent documenter ces fins.
Les unités de gestion devraient élaborer des lignes directrices et appliquer des procédures pour la conservation des renseignements personnels. Ces lignes directrices devraient préciser les durées maximales de conservation. On doit conserver les renseignements personnels servant à prendre une décision au sujet d'un client suffisamment longtemps pour permettre au client concerné d'exercer son droit d'accès à l'information après que la décision a été prise. Le programme de la Sécurité du revenu peut être assujettie à des exigences prévues par la loi en ce qui concerne les périodes de conservation.
On devrait détruire, effacer ou dépersonnaliser les renseignements personnels dont on n'a plus besoin aux fins précisées. Les unités de gestion doivent s’assurer de l’efficacité de ces opérations afin d’éviter tout accès non approprié.
Principe d’exactitude
Les renseignements personnels doivent être aussi exacts, complets et à jour que l'exigent les fins pour lesquelles ils sont utilisés.
Le degré d'exactitude et de mise à jour ainsi que le caractère complet des renseignements personnels dépendront de l'usage auquel ils sont destinés, compte tenu des intérêts du client. Les renseignements doivent être suffisamment exacts, complets et à jour pour réduire au minimum la possibilité que des renseignements erronés soient utilisés pour prendre une décision à son sujet.
Le programme de la Sécurité du revenu ne devrait pas systématiquement mettre à jour les renseignements personnels à moins que cela ne soit nécessaire pour atteindre les fins auxquelles ils ont été recueillis.
Principe de mesures de sécurité
Les renseignements personnels doivent être protégés.
Les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l'utilisation ou la modification non autorisées. Le programme de la Sécurité du revenus doivent protéger les renseignements personnels quelle que soit la forme sous laquelle ils sont conservés.
Les méthodes de protection doivent comprendre:
a) des moyens matériels, par exemple le verrouillage des classeurs et la restriction de l'accès aux bureaux;
b) des mesures administratives, par exemple des autorisations sécuritaires et un accès sélectif; et
c) des mesures techniques, par exemple l'usage de mots de passe et du chiffrement électronique.
Les unités de gestion doivent sensibiliser leurs employés à l'importance de protéger le caractère confidentiel des renseignements personnels. Au minimum, un nouvel employé devrait être assermenté par une personne habilitée à le faire.
Au moment du retrait ou de la destruction des renseignements personnels, on doit veiller à empêcher toutes personnes non autorisées d'y avoir accès.
Principe de transparence
Le programme de la Sécurité du revenu doit mettre à la disposition de tout client des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels.
Les unités de gestion doivent faire preuve de transparence au sujet de leurs politiques et pratiques concernant la gestion des renseignements personnels. Un client devrait pouvoir obtenir sans efforts déraisonnables de l'information au sujet des politiques et des pratiques du programme de la Sécurité du revenu.
Les renseignements fournis doivent comprendre:
a) les nom, fonction et adresse du directeur ou du superviseur de la politique et des pratiques du programme de la Sécurité du revenu et à qui il faut acheminer les plaintes et les demandes de renseignements ;
b) le moyen d'avoir accès aux renseignements personnels que possède le programme de la Sécurité du revenu;
c) une description du genre de renseignements personnels que possède le programme de la Sécurité du revenu, y compris une explication générale de l'usage auquel ils sont destinés; et
d) la nature des renseignements personnels communiqués aux autres secteurs du conseil de bande.
Principe d’accès aux renseignements personnels
Le programme de la Sécurité du revenu doit informer tout client qui en fait la demande de l'existence de renseignements personnels qui le concernent, de l'usage qui en est fait et s’il s’avère le cas, du fait qu'ils ont été communiqués à des tiers, et lui permettre de les consulter. Il sera aussi possible de contester l'exactitude et l'état complet des renseignements et d'y faire apporter les corrections appropriées. Plus précisément, il serait judicieux de présenter des copies de formulaires ayant été produite par le client. Nul besoin d’étendre l’accès à tout autre document s’ils ont été produit par le programme de la Sécurité du revenu (par exemple des notes ayant été prises par un conseiller), nous considérons alors qu’il s’agit d’outils ayant pour fonction de faciliter l’administration dudit.
Dans certains cas, il peut être impossible à un programme de la Sécurité du revenu de communiquer tous les renseignements personnels qu'il possède au sujet d'un client. Les exceptions aux exigences en matière d'accès aux renseignements personnels devraient être restreintes et précises. On devrait informer le client, sur demande, des raisons pour lesquelles on lui refuse l'accès aux renseignements. Ces raisons peuvent comprendre le coût prohibitif de l'information à fournir, le fait que les renseignements personnels contiennent des détails sur d'autres clients, l’existence de raisons de sécurité ou dans le cours d'une procédure de nature judiciaire.
Le programme de la Sécurité du revenu doit informer le client qui en fait la demande du fait qu'il possède des renseignements personnels à son sujet, le cas échéant. Les unités de gestions sont invitées à indiquer la source des renseignements. Le programme de la Sécurité du revenu doit permettre au client concerné de consulter ces renseignements.
Le programme de la Sécurité du revenu qui reçoit une demande de communication de renseignements doit répondre dans un délai raisonnable et à un coût minime sinon nul pour le client. Les renseignements demandés doivent être fournis sous une forme généralement compréhensible. Par exemple, le programme de la Sécurité du revenu qui se sert d'abréviations ou de codes pour l'enregistrement des renseignements doit fournir les explications nécessaires.
Lorsqu'un client démontre que des renseignements personnels sont inexacts ou incomplets, le programme de la Sécurité du revenu doit apporter les modifications nécessaires à ces renseignements. Selon la nature des renseignements qui font l'objet de la contestation, le programme de la Sécurité du revenu doit corriger, supprimer ou ajouter des renseignements. S'il y a lieu, l'information modifiée doit être communiquée à des tiers ayant accès à l'information en question.
Principe de possibilité de porter plainte contre le non-respect des principes
Tout client doit être en mesure de se plaindre du non-respect des principes énoncés ci-dessus en communiquant avec le ou les individus responsables de les faire respecter au sein du programme de la Sécurité du revenu concernée.
Le programme de la Sécurité du revenu doivent établir des mécanismes pour recevoir les plaintes et les demandes de renseignements concernant leurs politiques et pratiques de gestion des renseignements personnels et y donner suite. Une demande écrite et même verbale de la part du client doit suffire afin qu’il puisse exercer son droit. Si la demande de renseignement est exprimée verbalement, le conseiller doit la consigner au dossier du client.
Le programme de la Sécurité du revenu doit traiter et examiner toutes les plaintes. Si une plainte est jugée fondée, le programme de la Sécurité du revenu doit prendre les mesures appropriées, y compris la modification de ses politiques et de ses pratiques si c'est nécessaire.