Droits d'accès et de rectification : Obligations de l'entreprise

Art. 27-41, LPRPSP

Ce que la loi exige

La Loi sur la protection des renseignements personnels dans le secteur privé accorde à toute personne le droit d'accéder aux renseignements personnels que vous détenez sur elle et de les faire rectifier. Ces droits ne peuvent être limités que dans des cas précis prévus par la loi.

Droit d'accès (Art. 27) : Toute personne peut demander à consulter les renseignements personnels la concernant. Elle peut aussi obtenir des informations sur l'utilisation qui en est faite et sur les tiers à qui ils ont été communiqués.

Délai de réponse (Art. 32) : Vous disposez de 30 jours pour répondre à une demande d'accès.

Droit de rectification (Art. 28) : La personne peut demander la correction de renseignements inexacts, incomplets ou équivoques. Elle peut aussi demander la suppression de renseignements dont la collecte ou la conservation n'est pas autorisée.

Texte de référence

Toute personne qui exploite une entreprise et détient un renseignement personnel sur autrui doit, à la demande de la personne concernée, lui en confirmer l'existence et lui donner communication de ce renseignement en lui permettant d'en obtenir une copie.

À la demande du requérant, un renseignement personnel informatisé doit être communiqué sous la forme d'une transcription écrite et intelligible.

À moins que cela ne soulève des difficultés pratiques sérieuses, un renseignement personnel informatisé recueilli auprès du requérant, et non pas créé ou inféré à partir d'un renseignement personnel le concernant, lui est, à sa demande, communiqué dans un format technologique structuré et couramment utilisé. Ce renseignement est aussi communiqué à sa demande à toute personne ou à tout organisme autorisé par la loi à recueillir un tel renseignement.

Lorsque le requérant est une personne handicapée, des mesures d'accommodement raisonnables doivent être prises, sur demande, pour lui permettre d'exercer le droit d'accès prévu par la présente section.

Art. 27, Loi sur la protection des renseignements personnels dans le secteur privé

Ce que vous devez faire

La gestion des demandes d'accès requiert un processus structuré pour respecter les délais légaux et documenter vos actions. Chaque demande doit être traitée avec rigueur et cohérence.

Établir un processus de réception

Désignez un point de contact clair pour les demandes d'accès, idéalement le responsable de la protection des renseignements personnels (RPRP). Assurez-vous que tous les employés savent comment acheminer une demande reçue.

  • Publiez une adresse courriel ou un formulaire dédié aux demandes
  • Accusez réception rapidement (même si le traitement prend 30 jours)
  • Consignez la date de réception, car elle déclenche le délai légal
  • Demandez des précisions si la demande est imprécise

Vérifier l'identité du demandeur

Avant de divulguer des renseignements, vous devez vous assurer que le demandeur est bien la personne concernée. La méthode de vérification doit être proportionnée :

  • Pour des renseignements peu sensibles : vérification de l'adresse courriel connue
  • Pour des renseignements sensibles : pièce d'identité gouvernementale
  • Ne demandez jamais plus d'informations que nécessaire pour la vérification

Rechercher les renseignements

Effectuez une recherche dans tous vos systèmes :

  • Bases de données clients ou employés
  • Systèmes de courriels
  • Dossiers papier et archives
  • Systèmes de sous-traitants (si vous avez transféré des données)
  • Sauvegardes (si accessibles sans effort disproportionné)

Préparer la réponse

Compilez les renseignements dans un format compréhensible. Si les documents contiennent des renseignements sur des tiers, vous devez les caviarder (masquer) avant la transmission.

  • Fournissez les renseignements dans un format lisible (PDF, tableau)
  • Expliquez clairement la provenance et l'utilisation des données
  • Indiquez les tiers à qui les renseignements ont été communiqués
  • Si vous refusez partiellement, expliquez les motifs légaux

Gérer les demandes de rectification

Si la personne demande une correction :

  • Vérifiez si les renseignements sont effectivement inexacts
  • Corrigez les erreurs dans tous vos systèmes
  • Transmettez la correction aux tiers concernés si demandé
  • Conservez une trace de la version originale et de la correction

Erreurs courantes

  • Dépasser le délai de 30 jours. L'absence de réponse équivaut à un refus et expose l'entreprise à une plainte à la CAI. Utilisez un système de suivi pour ne jamais manquer une échéance.
  • Exiger des frais excessifs. Les frais doivent correspondre au coût réel de reproduction. Des frais dissuasifs violent l'esprit de la loi.
  • Refuser sans motif légal. Vous ne pouvez refuser que pour les raisons prévues par la loi.
  • Ne pas vérifier l'identité. Transmettre des renseignements sans vérification expose l'entreprise à une fuite de données et à une plainte de la personne concernée.
  • Oublier les systèmes secondaires. Les courriels, notes manuscrites et fichiers Excel contiennent souvent des renseignements personnels. Une recherche incomplète est une réponse incomplète.
  • Ne pas documenter le processus. En cas de plainte, vous devez pouvoir démontrer que vous avez traité la demande correctement. Conservez une trace de chaque étape.
  • Ignorer les demandes des anciens clients. Les droits d'accès persistent même après la fin de la relation d'affaires. Traitez ces demandes avec la même rigueur.

Questions fréquentes

Quel est le délai pour répondre à une demande d'accès?

Vous devez répondre dans les 30 jours civils suivant la réception de la demande.

Puis-je facturer des frais pour une demande d'accès?

Vous pouvez exiger des frais raisonnables pour la reproduction ou la transmission des documents, mais vous devez en informer la personne à l'avance. Les frais doivent correspondre au coût réel et ne pas être dissuasifs.

Comment vérifier l'identité du demandeur?

Vous devez vous assurer raisonnablement que le demandeur est bien la personne concernée. Demandez une pièce d'identité ou utilisez une méthode de vérification proportionnée à la sensibilité des renseignements.

Que faire si les renseignements concernent aussi un tiers?

Vous devez masquer les renseignements du tiers avant de transmettre le document. Si c'est impossible sans rendre les renseignements inintelligibles, vous pouvez refuser partiellement la demande.

La personne peut-elle demander la rectification de ses renseignements?

Oui. Si les renseignements sont inexacts, incomplets ou équivoques, la personne peut demander leur rectification. Vous devez corriger les informations et, sur demande, transmettre la correction aux tiers qui ont reçu ces renseignements.

Que se passe-t-il si je ne réponds pas dans le délai?

L'absence de réponse dans le délai de 30 jours équivaut à un refus. La personne peut alors porter plainte à la Commission d'accès à l'information (CAI), qui pourrait ordonner la divulgation et imposer des sanctions.

Comment gérer une demande pour un ancien employé ou client?

Les mêmes règles s'appliquent. Les anciens employés et clients conservent leurs droits d'accès. Consultez vos archives et répondez dans le délai de 30 jours, même si la relation d'affaires est terminée.

Prochaine étape

Une fois votre processus de gestion des demandes en place, assurez-vous d'avoir également un registre des incidents de confidentialité et un plan de réponse en cas de fuite de données.

← Retour au guide de conformité

Sujets connexes