| Fédéral |
Loi sur la protection des renseignements personnels, L.R. 1985, ch. P-21 |
COLLECTE, CONSERVATION ET RETRAIT DES RENSEIGNEMENTS PERSONNELS
Art. 6(1) Les renseignements personnels utilisés par une institution fédérale à des fins administratives doivent être conservés après usage par l'institution pendant une période, déterminée par règlement, suffisamment longue pour permettre à l'individu qu'ils concernent d'exercer son droit d'accès à ces renseignements.
(2) Une institution fédérale est tenue de veiller, dans la mesure du possible, à ce que les renseignements personnels qu'elle utilise à des fins administratives soient à jour, exacts et complets.
(3) Une institution fédérale procède au retrait des renseignements personnels qui relèvent d'elle conformément aux règlements et aux instructions ou directives applicables du ministre désigné.
DISPOSITIONS GÉNÉRALES
Art. 62 Le Commissaire à la protection de la vie privée et les personnes agissant en son nom ou sous son autorité qui reçoivent ou recueillent des renseignements dans le cadre des enquêtes prévues par la présente loi ou une autre loi fédérale sont tenus, quant à l'accès à ces renseignements et leur utilisation, de satisfaire aux normes applicables en matière de sécurité et de prêter les serments imposés à leurs usagers habituels.
Art. 77(1) Le gouverneur en conseil peut, par règlement
(...)
b) fixer la période pendant laquelle les renseignements personnels visés au paragraphe 6(1), doivent, selon leur catégorie, être conservés;
c) déterminer les circonstances et les modalités du retrait des renseignements personnels relevant d'une institution fédérale et visés au paragraphe 6(3);
(...) |
| Règlement sur la protection des renseignements personnels, DORS/83-508 |
CONSERVATION DE RENSEIGNEMENTS PERSONNELS UTILISÉS PAR UNE INSTITUTION FÉDÉRALE À DES FINS ADMINISTRATIVES
Art. 4(1) Les renseignements personnels utilisés par une institution fédérale à des fins administratives doivent être conservés par cette institution
a) pendant au moins deux ans après la dernière fois où ces renseignements ont été utilisés à des fins administratives, à moins que l'individu qu'ils concernent ne consente à leur retrait du fichier; et
b) dans les cas où une demande d'accès à ces renseignements a été reçue, jusqu'à ce que son auteur ait eu la possibilité d'exercer tous ses droits en vertu de la Loi.
(2) Nonobstant le paragraphe (1) lorsque des renseignements personnels sont sous le contrôle d'une institution fédérale dans une mission canadienne à l'étranger, le chef ou le fonctionnaire supérieur responsable de la mission peut ordonner leur destruction dans les situations d'urgence afin d'éviter qu'ils ne soient soustraits au contrôle de cette institution.
Art. 7 Le responsable d'une institution fédérale doit conserver pendant au moins deux ans après la réception d'une demande d'accès à des renseignements personnels faite à une institution en vertu de l'alinéa 8(2)e) de la Loi,
a) pour chaque fichier de renseignements personnels visé par la demande; ou
b) pour chaque catégorie de renseignements personnels qui ne figurent pas dans un fichier de renseignements personnels.
[Remarque: Le paragraphe 8(2)(e) de la Loi édicte que « Sous réserve d'autres lois fédérales, la communication des renseignements personnels qui relèvent d'une institution fédérale est autorisée lorsque la communication à un organisme d'enquête déterminé par règlement et qui en fait la demande par écrit, en vue de faire respecter des lois fédérales ou provinciales ou pour la tenue d'enquêtes licites, pourvu que la demande précise les fins auxquelles les renseignements sont destinés et la nature des renseignements demandés »] |
Loi sur la protection des renseignements personnels et les documents électroniques, 2000, ch. 5
|
Annexe 1
4.1 Premier principe -- Responsabilité
4.1.3 Une organisation est responsable des renseignements personnels qu'elle a en sa possession ou sous sa garde, y compris les renseignements confiés à une tierce partie aux fins de traitement. L'organisation doit, par voie contractuelle ou autre, fournir un degré comparable de protection aux renseignements qui sont en cours de traitement par une tierce partie.
4.1.4 Les organisations doivent assurer la mise en oeuvre des politiques et des pratiques destinées à donner suite aux principes, y compris : a) la mise en oeuvre des procédures pour protéger les renseignements personnels; b) la mise en place des procédures pour recevoir les plaintes et les demandes de renseignements et y donner suite; c) la formation du personnel et la transmission au personnel de l'information relative aux politiques et pratiques de l'organisation; et d) la rédaction des documents explicatifs concernant leurs politiques et procédures.
4.5 Cinquième principe - Limitation de l'utilisation, de la communication et de la conservation
Les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée n'y consente ou que la loi ne l'exige. On ne doit conserver les renseignements personnels qu'aussi longtemps que nécessaire pour la réalisation des fins déterminées.
4.5.2 Les organisations devraient élaborer des lignes directrices et appliquer des procédures pour la conservation des renseignements personnels. Ces lignes directrices devraient préciser les durées minimales et maximales de conservation. On doit conserver les renseignements personnels servant à prendre une décision au sujet d'une personne suffisamment longtemps pour permettre à la personne concernée d'exercer son droit d'accès à l'information après que la décision a été prise. Une organisation peut être assujettie à des exigences prévues par la loi en ce qui concerne les périodes de conservation.
4.5.3 On devrait détruire, effacer ou dépersonnaliser les renseignements personnels dont on n'a plus besoin aux fins précisées. Les organisations doivent élaborer des lignes directrices et appliquer des procédures régissant la destruction des renseignements personnels.
4.7 Septième principe - Mesures de sécurité
Les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.
4.7.1 Les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l'utilisation ou la modification non autorisées. Les organisations doivent protéger les renseignements personnels quelle que soit la forme sous laquelle ils sont conservés.
4.7.2 La nature des mesures de sécurité variera en fonction du degré de sensibilité des renseignements personnels recueillis, de la quantité, de la répartition et du format des renseignements personnels ainsi que des méthodes de conservation. Les renseignements plus sensibles devraient être mieux protégés. (...)
4.7.3 Les méthodes de protection devraient comprendre :
a) des moyens matériels, par exemple le verrouillage des classeurs et la restriction de l'accès aux bureaux;
b) des mesures administratives, par exemple des autorisations sécuritaires et un accès sélectif; et
c) des mesures techniques, par exemple l'usage de mots de passe et du chiffrement.
4.7.4 Les organisations doivent sensibiliser leur personnel à l'importance de protéger le caractère confidentiel des renseignements personnels.
4.7.5 Au moment du retrait ou de la destruction des renseignements personnels, on doit veiller à empêcher les personnes non autorisées d'y avoir accès (article 4.5.3). |
Colombie-Britannique
|
Loi sur l'accès à l'information et la protection des renseignements personnels, R.S.B.C. 1996, c. 165 |
Partie 3 - Protection de la vie privée
Section 1 - Collecte, protection et conservation d'un renseignement personnel par un organisme public
28. L'organisme public déploie tous les efforts voulus pour s'assurer que les renseignements personnels qui relèvent de lui et qu'il entend utiliser pour prendre une décision touchant directement le particulier en cause sont exacts et complets.
30. La personne responsable d'un organisme public protège les renseignements personnels en prenant des mesures de sécurité raisonnables contre la consultation, la collecte, l'utilisation, la communication ou la destruction non autorisée.
30.1 L'organisme public s'assure que les renseignements personnels qui relèvent de lui sont stockés et accessibles uniquement au Canada, sauf dans les cas suivants :
a) le particulier en cause a identifié les renseignements et a consenti, de la manière prescrite, à ce qu'ils soient stockés ou accessibles dans une autre juridiction;
b) les renseignements en cause sont stockés ou accessibles dans une autre juridiction pour une communication autorisée au titre de la présente loi.
30.2(1) Les définitions qui suivent s'appliquent au présent article :
« demande de communication de l'étranger » : subpoena, mandat, ordonnance ou demande qui émane d'un tribunal étranger, d'un organisme d'un État étranger ou d'une autre autorité située à l'extérieur du Canada et qui vise à obtenir la communication non autorisée de renseignements personnels visés par la présente loi;
« communication non autorisée de renseignements personnels » : le fait de communiquer, de produire ou de rendre accessibles des renseignements personnels qui sont visés par la présente loi et dont la communication, la production ou l'accès n'est pas autorisé par celle-ci.
(2) Lorsqu'un organisme public, un employé d'un organisme public ou un associé d'un fournisseur de services
a) reçoit une demande de communication de l'étranger ou une demande en vue d'obtenir la communication ou la production de renseignements personnels visés par la présente loi ou l'accès à ceux-ci;
b) sait ou a des raisons de croire que cette demande vise à répondre à une demande de communication de l'étranger ou a des raisons de croire qu'une communication non autorisée de renseignements personnels est survenue en réponse à une demande de communication de l'étranger, il doit aviser immédiatement le ministre responsable de l'application de la présente loi.
(3) L'avis visé au paragraphe (2) doit faire état des renseignements suivants, lorsqu'ils sont connus ou soupçonnés :
a) la nature de la demande de communication de l'étranger,
b) l'auteur de la demande de communication de l'étranger,
c) la date à laquelle la demande de communication de l'étranger a été reçue;
d) les renseignements demandés ou communiqués en réponse à la demande de communication de l'étranger.
31 L'organisme public qui utilise des renseignements personnels qui relèvent de lui pour prendre une décision touchant directement le particulier en cause, doit veiller à ce que les renseignements soient conservés pendant au moins un an suivant leur utilisation afin de permettre au particulier d'exercer son droit d'accès à ces renseignements.
Partie 6 - Dispositions générales
69(1) Les définitions qui suivent s'appliquent au présent article :
(...)
« évaluation des facteurs relatifs à la vie privée » : évaluation menée en vue de savoir si une nouvelle disposition législative ou un nouveau système, projet ou programme respecte les exigences de la partie 3 de la présente loi.
(5) Le responsable d'un ministère doit mener une évaluation des facteurs relatifs à la vie privée et un accord de partage des renseignements conformément aux directives du ministre responsable de l'application de la présente Loi.
76(2) (...) le lieutenant-gouverneur en conseil peut prendre un règlement :
(...)
m) prévoyant la conservation et la destruction de documents par un organisme public lorsque la loi intitulée Document Disposal Act ne s'applique pas à l'organisme public;
(...) |
| Loi sur la protection des renseignements personnels, S.B.C. 2003, c. 63 |
Partie 2 — Règles générales concernant la protection des renseignements personnels par les organisations.
5. L'organisation doit :
a) élaborer et mettre en oeuvre les pratiques et politiques nécessaires pour respecter les obligations qui lui incombent au titre de la présente loi;
b) élaborer un processus lui permettant de répondre aux plaintes formulées au sujet de l'application de la présente loi;
c) veiller à ce que des renseignements soient disponibles sur demande au sujet des politiques et pratiques visées à l'alinéa a) ainsi que du processus de traitement des plaintes visé à l'alinéa b).
Partie 9 - Soin des renseignements personnels
34. L'organisation doit protéger les renseignements personnels qui relèvent d'elle en prenant des mesures de sécurité raisonnables contre la consultation, la collecte, l'utilisation, la communication, la reproduction, la modification ou l'élimination non autorisée ou d'autres risques similaires.
35(1) Malgré le paragraphe (2), l'organisation qui utilise des renseignements personnels pour prendre une décision touchant directement le particulier en cause doit conserver les renseignements en question pendant au moins un an après les avoir utilisés, afin de permettre au particulier d'exercer son droit d'accès aux renseignements.
(2) L'organisation doit détruire ses documents contenant des renseignements personnels ou retirer le moyen d'associer les renseignements personnels au particulier en cause dès qu'il est raisonnable de présumer que
a) la fin à laquelle ils ont été recueillis n'est plus desservie par leur conservation;
b) la conservation n'est plus nécessaire à des fins juridiques ou commerciales. |
Alberta
|
Loi sur les renseignements sur la santé, R.S.A. 2000, c. H-5 |
Partie 1 - Questions préliminaires
3. La présente loi (...)
c) n'interdit pas le transfert, le stockage ou la destruction d'un document conformément à une disposition législative de l'Alberta ou du Canada.
Partie 5 - Communication de renseignements sur la santé
Section 1 - Règles générales applicables à la communication
41(1) Le dépositaire qui, en application du paragraphe 35(1) ou (4), communique un document renfermant un renseignement identificateur sur le diagnostic, le traitement et les soins consigne :
a) le nom de la personne à qui le renseignement est communiqué;
b) la date et l'objet de la communication;
c) la teneur du renseignement communiqué.
[Note : Le paragraphe 35(1) est reproduit sous la section intitulée « Utilisation et divulgation de renseignements personnels (sur la santé) »]
(2) Le dépositaire conserve le renseignement visé au paragraphe (1) pendant une période de dix ans après la communication.
(3) Le particulier auquel se rapporte le renseignement visé au paragraphe (1) peut demander au dépositaire d'avoir accès au renseignement et d'en obtenir copie, la demande étant régie par la partie 2.
46(1) Le ministre ou le ministère peut demander à un autre dépositaire de communiquer un renseignement identificateur sur la santé à l'une des fins mentionnées au paragraphe 27(2)
(...)
b) si le renseignement demandé concerne un service de santé qui est fourni par l'autre dépositaire et
(i) soit est payé en tout ou en partie par le ministère;
(ii) soit est fourni à l'aide des ressources financières, physiques ou humaines fournies, administrées ou payées par le ministère.
(...)
(5) Lorsqu'un renseignement sur la santé est demandé au titre de l'alinéa (1)b), le ministère
a) prépare une évaluation des facteurs relatifs à la vie privée décrivant la façon dont la communication des renseignements peut toucher la vie privée du particulier en cause et soumettre l'évaluation au commissaire pour examen et commentaires;
b) examine les commentaires du commissaire, le cas échéant, formulés en réponse à l'évaluation avant de communiquer les renseignements sur la santé au titre du paragraphe 3.
[Note : Le paragraphe 27(2) renvoie à l'utilisation par un dépositaire d'un renseignement identificateur sur la santé qui relève de lui afin d'exercer les fonctions suivantes à l'intérieur de la zone géographique où le dépositaire a compétence pour promouvoir les objectifs dont il est responsable :
a) la planification et la répartition des ressources;
b) la gestion du système de santé;
c) la surveillance de la santé publique;
d) l'élaboration de politiques sur la santé.]
Partie 6 - Obligations et attributions du dépositaire relativement aux renseignements sur la santé
Section 1 - Obligations et attributions générales
60(1) Conformément au règlement applicable, le dépositaire prend des mesures raisonnables d'ordre administratif, technique ou matériel qui :
a) protègent la confidentialité des renseignements sur la santé qu'il a en sa possession ainsi que la vie privée des particuliers auxquels se rapportent ces renseignements;
b) protègent la confidentialité des renseignements sur la santé devant être stockés ou utilisés à l'extérieur de l'Alberta ou devant être communiqués par le dépositaire à une personne se trouvant à l'extérieur de l'Alberta et la vie privée des particuliers auxquels se rapportent ces renseignements;
c) protègent contre le risque raisonnablement prévisible :
(i) d'atteinte à la sécurité ou à l'intégrité des renseignements sur la santé ou de perte de ceux-ci; ou
(ii) de consultation, d'utilisation, de communication ou de modification non autorisée des renseignements sur la santé; et
d) assurent par ailleurs le respect de la présente loi par le dépositaire et les personnes qui sont liées à celui-ci.
(2) Les mesures à prendre au titre du paragraphe (1) comprennent des mesures satisfaisantes
a) pour assurer la sécurité et la confidentialité des documents, notamment en ce qui concerne les risques associés aux dossiers électroniques sur la santé;
b) pour assurer l'élimination appropriée des dossiers afin d'empêcher toute consultation, utilisation ou communication non autorisée et raisonnablement anticipée des renseignements sur la santé après l'élimination.
(3) L'expression « dossiers électroniques sur la santé » utilisée à l'alinéa (2)a) s'entend des dossiers sous forme électronique comportant des renseignements sur la santé.
62(1) Le dépositaire identifie ses sociétés affiliées qui sont chargées d'assurer le respect de la présente loi et de ses règlements d'application ainsi que des politiques et modalités adoptées sous le régime de l'article 63. (...)
63(1) Tout dépositaire établit ou adopte des politiques et des modalités qui sont de nature à faciliter la mise en oeuvre de la présente loi et de ses règlements d'application.
(2) Le dépositaire fournit sur demande au ministre ou au ministère le texte des politiques et des modalités établies ou adoptées en application du présent article.
64(1) Tout dépositaire établit un document dans lequel il évalue l'incidence sur la vie privée et fait état des effets que pourront avoir sur la vie privée des intéressés les pratiques administratives et les systèmes d'information proposés relativement à la collecte, à l'utilisation et à la communication de renseignements identificateurs sur la santé.
(2) Le dépositaire remet le document d'évaluation au commissaire, qui l'examine puis formule des observations à son sujet, avant de mettre en oeuvre une nouvelle pratique administrative ou un nouveau système d'information visé au paragraphe (1) ou encore un changement proposé aux pratiques et systèmes existants visés au paragraphe (1).
66(6) (...) le dépositaire demeure tenu d'assurer le respect de la présente loi et des règlements en ce qui concerne les renseignements qu'il a communiqués au gestionnaire de l'information.
PARTIE 8
DISPOSITIONS GÉNÉRALES
108(1) Le lieutenant-gouverneur en conseil peut prendre un règlement :
(...)
g) concernant la conservation, la destruction et l'archivage des documents aux fins de l'article 60;
h) concernant les mesures d'ordre administratif, technique et matériel que le dépositaire prend à l'égard des renseignements sur la santé conformément à l'article 60;
(...) |
| Loi sur les renseignements sur la santé, Règlement pris en application de la Loi sur les renseignements sur la santé, 70/2001 |
8(1) Le dépositaire doit identifier et consigner par écrit toutes les mesures d'ordre administratif, technique et matériel qu'il prend à l'égard des renseignements sur la santé.
(2) Le dépositaire doit désigner une personne chargée d'assurer la sécurité et la protection générales des renseignements sur la santé qui relèvent de lui.
(3) Le dépositaire doit évaluer à l'occasion ses mesures d'ordre administratif, technique et matériel en ce qui concerne
a) la confidentialité des renseignements sur la santé qui relèvent de lui et la vie privée des particuliers en cause;
b) les risques ou menaces raisonnablement prévisibles quant à la sécurité, à l'intégrité ou à la perte des renseignements sur la santé ;
c) toute utilisation, communication, modification ou consultation non autorisée des renseignements sur la santé.
(4) Afin d'assurer la protection et la confidentialité des renseignements sur la santé destinés à être stockés ou utilisés par une personne située à l'extérieur de l'Alberta ou encore à être communiqués à une personne située à l'extérieur de l'Alberta, le dépositaire doit, avant le stockage, l'utilisation ou la communication des renseignements, conclure avec la personne un accord écrit
a) selon lequel le dépositaire conserve le contrôle des renseignements sur la santé;
b) qui prévoit des mesures de protection adéquates contre les risques associés au stockage, à l'utilisation ou à la communication des renseignements sur la santé;
c) qui oblige la personne à mettre en oeuvre et à maintenir des mesures suffisantes pour assurer la sécurité et la protection des renseignements sur la santé;
d) qui permet au dépositaire de surveiller le respect des conditions de l'accord;
e) qui prévoit des recours en cas d'inobservation des conditions de l'accord par l'autre personne.
(5) Le paragraphe (4) ne s'applique pas aux renseignements personnels sur la santé qui sont utilisés à l'extérieur de l'Alberta dans le seul but de permettre au particulier en cause d'obtenir des soins et traitements continus.
(6) Le dépositaire doit veiller à ce que ses sociétés affiliées soient au courant de l'ensemble des mesures d'ordre administratif, technique et matériel qu'il a prises à l'égard des renseignements sur la santé et à ce qu'elles les respectent.
(7) Le dépositaire doit déterminer les sanctions pouvant être infligées aux sociétés affiliées qui contreviennent ou tentent de contrevenir aux mesures d'ordre administratif, technique et matériel qu'il a adoptées à l'égard des renseignements sur la santé. |
| Loi sur l'accès à l'information et la protection des renseignements personnels, R.S.A. 2000, c. F-25 |
Partie 2
Protection de la vie privée
Section 1 - Collecte de renseignements personnels
35. L'organisme public qui entend utiliser des renseignements personnels concernant un particulier afin de prendre une décision qui touche celui-ci directement doit :
a) prendre les mesures voulues pour faire en sorte que les renseignements soient exacts et complets; et
b) conserver ces renseignements personnels pendant au moins un an après les avoir utilisés afin de permettre au particulier en cause d'exercer son droit d'accès à ces renseignements ou pour toute autre période plus courte convenue par écrit par :
(i) le particulier en cause;
(ii) l'organisme public; et
(iii) si l'organisme qui approuve les documents et le calendrier de la conservation et de la disposition pour l'organisme public est différent de l'organisme public, en ce cas, cet organisme.
38. La personne responsable d'un organisme public protège les renseignements personnels en prenant des mesures de sécurité raisonnables contre la consultation, la collecte, l'utilisation, la communication ou la destruction non autorisée.
94(1) Le lieutenant gouverneur en conseil peut prendre des règlements
(...)
j) concernant les normes et mesures d'ordre technique à prendre ou à observer pour assurer la sécurité et la protection des renseignements personnels;
(...) |
| Loi sur la protection des renseignements personnels, S.A. 2003, c. P-6.5 |
Partie 2 - Protection des renseignements personnels
Section 1 -Conformité et politiques
6. L'organisation doit :
a) élaborer et mettre en oeuvre des politiques et pratiques raisonnables pour lui permettre de respecter ses obligations au titre de la présente loi;
b) veiller à ce que les renseignements concernant les politiques et pratiques visées à l'alinéa a) soient disponibles sur demande.
Partie 3 - Consultation, correction et soin des renseignements personnels
Section 2- Soin des renseignements personnels
34. L'organisation doit protéger les renseignements personnels qui relèvent d'elle en prenant des mesures de sécurité raisonnables contre la consultation, la collecte, l'utilisation, la communication, la reproduction, l'élimination ou la destruction non autorisée.
35. Malgré le retrait ou la modification d'un consentement en application de l'article 9, l'organisation peut, à des fins juridiques ou commerciales, conserver un renseignement personnel aussi longtemps qu'il est raisonnable de le faire.
[Note : L'article 9 est reproduit sous la section intitulée « Exigences en matière de consentement et éléments du consentement »] |
| Loi sur les municipalitiés, R.S.A. 2000, c. M-26 |
214. (...)
(2) Le conseil peut prendre un règlement concernant la destruction d'autres dossiers et documents de la municipalité.
(3) Le règlement pris en application du paragraphe (2) doit prévoir que, lorsque la municipalité entend utiliser des renseignements personnels pour prendre une décision touchant directement le particulier en cause, elle doit conserver les renseignements en question pendant au moins un an après les avoir utilisés afin de permettre au particulier d'exercer son droit d'accès aux renseignements en question. |
Saskatchewan
|
Loi sur les renseignements sur la santé, S.S. 1999, c. H-0.021 |
PARTIE III
Obligation du dépositaire de protéger les renseignements personnels sur la santé
16. Sous réserve des dispositions réglementaires, le dépositaire qui a en sa possession un renseignement personnel sur la santé établit des politiques et des modalités d'ordre administratif, technique et matériel qui :
a) protègent l'intégrité, l'exactitude et la confidentialité du renseignement;
b) protègent contre le risque raisonnablement prévisible :
(i) d'atteinte à la sécurité ou à l'intégrité du renseignement;
(ii) de perte du renseignement; ou
(iii) de consultation, d'utilisation, de communication ou de modification non autorisée du renseignement; et
c) assurent par ailleurs le respect de la présente loi par ses employés.
Le par. 17(1) [n'est pas encore en vigueur]
Le dépositaire a les obligations suivantes :
a) se doter, relativement à la conservation et à la destruction des renseignements personnels sur la santé, d'une politique écrite qui satisfait aux exigences établies par règlement;
b) se conformer à cette politique et aux normes établies quant à la conservation et à la destruction des renseignements personnels sur la santé.
(2) Le dépositaire fait en sorte :
a) qu'un renseignement personnel sur la santé stocké sous quelque forme puisse être récupéré, lu et utilisé à la fin à laquelle il a été recueilli et ce, pendant toute la période de conservation du renseignement que prévoit la politique visée au paragraphe (1); et
b) qu'un renseignement personnel sur la santé soit détruit d'une façon qui est de nature à protéger la vie privée du particulier en cause.
(...)
23(2) Le dépositaire établit des politiques et procédures restreignant la possibilité pour ses employés d'avoir accès aux renseignements personnels sur la santé dont ils n'ont pas besoin aux fins pour lesquelles les renseignements ont été recueillis ou à une autre fin autorisée par la présente loi.
PARTIE VIII
Généralités
63(1) Aux fins de l'application de la présente loi conformément à l'intention du législateur, le lieutenant-gouverneur en conseil peut prendre un règlement :
(...)
h) prescrivant et régissant les mesures d'ordre administratif, technique et matériel de protection des renseignements personnels sur la santé;
i) prescrivant et régissant les normes de conservation et de destruction des renseignements personnels sur la santé et régissant les politiques de conservation et de destruction;
(...) |
| Loi sur l'accès à l'information et la protection des renseignements personnels, R.S.S. 1990-91, c. F-22.01 |
27. L'institution gouvernementale veille à ce que les renseignements personnels qu'elle utilise à une fin administrative soient le plus exacts et complets possibles. |
Manitoba
|
Loi sur les renseignements médicaux personnels, C.P.L.M., c. P-33.5 |
PARTIE 3
PROTECTION DE LA CONFIDENTIALITÉ
SECTION 1
RESTRICTIONS QUANT À LA COLLECTE ET LA CONSERVATION DES RENSEIGNEMENTS
Art. 17(1) Le dépositaire observe les directives, qu'il établit par écrit, concernant la conservation et la destruction des renseignements médicaux personnels.
(2) Les directives respectent les exigences réglementaires.
(3) En conformité avec les exigences réglementaires, le dépositaire fait en sorte que les renseignements médicaux personnels soient détruits d'une manière qui protège la vie privée du particulier qu'ils concernent.
(4) S'il détruit des renseignements médicaux personnels, le dépositaire conserve un document mentionnant :
a) le particulier dont les renseignements sont détruits et la période à laquelle ceux-ci se rapportent;
b) le mode de destruction et la personne chargée de superviser la destruction.
(5) Le présent article n'a pas pour effet de remplacer ou de modifier les exigences des textes provinciaux ou fédéraux concernant la conservation ou la destruction des documents que maintiennent les organismes publics.
SECTION 2
GARANTIES
Art. 18(1) En conformité avec les exigences réglementaires, le dépositaire protège les renseignements médicaux personnels en établissant des garanties administratives, techniques et physiques satisfaisantes afin que soient assurées la confidentialité, la sécurité, l'exactitude et l'intégrité des renseignements.
(2) Sans préjudice du paragraphe (1), le dépositaire :
a) met en oeuvre des dispositifs qui limitent le nombre de personnes qui peuvent utiliser les renseignements médicaux personnels qu'il maintient à celles qu'il autorise explicitement à cette fin;
b) met en oeuvre des dispositifs visant à garantir que les renseignements médicaux personnels qu'il maintient ne puissent être utilisés que si :
(i) la personne qui cherche à les utiliser est bien l'une des personnes qu'il a autorisées à cette fin,
(ii) l'utilisation projetée est effectivement autorisée sous le régime de la présente loi;
c) met en oeuvre des mesures visant à empêcher l'interception de renseignements médicaux personnels par des personnes non autorisées, s'il utilise des moyens électroniques pour demander la communication de tels renseignements ou pour répondre à des demandes de communication;
d) veille à ce que les demandes de communication de renseignements médicaux personnels auxquelles il répond contiennent suffisamment de détails pour identifier uniquement le particulier que les renseignements concernent.
(3) Le dépositaire qui maintient des renseignements médicaux personnels sous forme électronique établit les garanties supplémentaires qui sont applicables à ces renseignements et que prévoient les règlements.
Art. 19 Afin de déterminer si les garanties exigées à l'article 18 sont satisfaisantes, le dépositaire tient compte du niveau de sensibilité des renseignements médicaux personnels à protéger.
Art. 20(3) Le dépositaire limite l'utilisation et la communication des renseignements médicaux personnels qu'il maintient à ceux de ses employés et mandataires qui doivent les connaître pour réaliser la fin à laquelle les renseignements ont été recueillis ou reçus ou une des fins qu'autorise l'article 21.
[Remarque: L'article 21 a été reproduit dans la section intitulée « Utilisation et divulgation de renseignements personnels (sur la santé) »]
SECTION 4
Fourniture de renseignements à un gestionnaire de l'information
Art. 25(1) Le dépositaire peut remettre des renseignements médicaux personnels à un gestionnaire de l'information afin que celui-ci les traite, les stocke ou les détruise ou lui fournisse des services de gestion ou de technologie de l'information.
(...)
(3) Le dépositaire qui désire remettre des renseignements médicaux personnels à un gestionnaire de l'information conclut avec celui-ci un accord écrit qui prévoit leur protection contre des risques tels que l'accès, l'utilisation, la communication, la destruction ou la modification non autorisé, en conformité avec les règlements.
(...)
(5) Pour l'application de la présente loi, le dépositaire qui remet des renseignements médicaux personnels à un gestionnaire de l'information conformément au paragraphe (3) est réputé les maintenir.
PARTIE 6
DISPOSITIONS GÉNÉRALES
Art. 66(1) Le lieutenant-gouverneur en conseil peut, par règlement :
(...)
f) pour l'application de l'article 17, régir les directives des dépositaires concernant les périodes de conservation des renseignements médicaux personnels, prendre des mesures concernant la destruction de ces renseignements et exiger que les directives soient mises à la disposition du public;
(...)
h) prendre des mesures concernant les garanties que doivent établir les dépositaires à l'égard des renseignements médicaux personnels, notamment en ce qui a trait aux renseignements détenus sous forme électronique;
(...) |
| Règlement sur les renseignements médicaux personnels, Règlement du Manitoba 245/97 |
Art. 2 Le dépositaire établit des directives écrites qu'il observe et qui contiennent :
a) des dispositions pour la sécurité des renseignements médicaux personnels au cours de leur collecte, de leur utilisation, de leur communication, de leur stockage et de leur destruction, notamment des mesures :
(i) garantissant la sécurité des renseignements si un document les contenant est retiré d'un lieu désigné d'accès réservé,
(ii) garantissant la sécurité des renseignements sous forme électronique si le matériel informatique ou les supports électroniques amovibles servant à leur consignation sont utilisés à une autre fin ou qu'il en soit disposé;
b) des dispositions prévoyant la consignation des atteintes à la sécurité des renseignements;
c) des mesures correctrices visant à remédier aux atteintes à la sécurité des renseignements.
Art. 3 Le dépositaire :
a) fait en sorte que les renseignements médicaux personnels soient maintenus dans un ou des lieux désignés et fassent l'objet de mesures de protection appropriées;
b) limite l'accès aux lieux désignés où se trouvent des renseignements médicaux personnels aux personnes autorisées;
c) prend les précautions voulues pour protéger les renseignements médicaux personnels contre le feu, le vol, le vandalisme, la détérioration, la destruction ou la perte accidentelle et d'autres dangers;
d) fait en sorte que les supports électroniques amovibles servant à consigner les renseignements médicaux personnels soient gardés en lieu sûr lorsqu'ils ne sont pas utilisés.
Art. 4(1) Le dépositaire fait en sorte que chaque système d'information électronique qu'il conçoit ou acquiert après le 11 décembre 2000 :
a) produise un document électronique concernant les tentatives -- fructueuses ou non -- :
(i) d'accès aux renseignements médicaux personnels maintenus dans le système,
(ii) de modification des renseignements médicaux personnels maintenus dans le système;
b) consigne chaque transmission concernant les
renseignements médicaux personnels maintenus dans le système
(2) Le dépositaire examine régulièrement les documents électroniques produits en application du paragraphe (1) afin de déceler les atteintes à la sécurité de ces documents.
(3) Les exigences prévues au présent article s'appliquent uniquement aux systèmes d'information électroniques qu'utilisent les dépositaires afin de maintenir des renseignements médicaux personnels.
Art. 5 Le dépositaire détermine les renseignements médicaux personnels auxquels chacun de ses employés et mandataires a accès.
Art. 6 Le dépositaire donne des sessions d'orientation et une formation continue à ses employés et à ses mandataires au sujet des directives que vise l'article 2.
Art. 7 Le dépositaire fait en sorte que ses employés et mandataires signent une promesse de confidentialité dans laquelle ils reconnaissent être liés par les directives que vise l'article 2 et déclarent être au courant des conséquences que comporte leur inobservation.
Art. 8(1) Le dépositaire vérifie les mesures de protection qu'il a prises au moins une fois tous les deux ans.
(2) Le dépositaire corrige dès que possible les carences que la vérification lui permet, le cas échéant, de déceler dans les mesures de protection qu'il a prises. |
| Loi sur l'accès à l'information et la protection de la vie privée, C.P.L.M., c. F-175 |
PARTIE 3
PROTECTION DE LA VIE PRIVÉE
SECTION 2
COLLECTE, CORRECTION ET CONSERVATION DES RENSEIGNEMENTS PERSONNELS
Art. 38 L'organisme public qui entend utiliser des renseignements personnels concernant un particulier afin de prendre une décision qui touche celui-ci directement prend les mesures voulues pour faire en sorte que les renseignements soient exacts et complets.
Art. 40(1) L'organisme public qui utilise des renseignements personnels concernant un particulier afin de prendre une décision qui touche celui-ci directement est tenu, en l'absence de toute autre obligation légale en ce sens, d'établir et d'observer des directives écrites concernant la conservation de ces renseignements.
(2) Les directives :
a) prévoient la conservation des renseignements personnels pendant une période suffisante afin de permettre au particulier en cause d'exercer son droit d'accès à ces renseignements;
b) respectent les autres exigences que fixent les règlements.
Art. 41 Le responsable d'un organisme public protège les renseignements personnels, en conformité avec les exigences que prévoient les règlements, en prenant les mesures de sécurité voulues contre des risques tels que l'accès, l'utilisation, la communication ou la destruction non autorisé.
PARTIE 6
DISPOSITIONS GÉNÉRALES
Art. 87 Le lieutenant-gouverneur en conseil peut, par règlement :
(...)
g) pour l'application de l'alinéa 40(2)b), régir les directives des organismes publics relativement aux périodes de conservation des renseignements personnels et prendre des mesures concernant la destruction de ces renseignements;
(...)
j) prendre des mesures concernant les normes applicables aux garanties administratives, techniques et physiques et exiger l'établissement de ces garanties afin que soient assurées la sécurité et la confidentialité des documents et des renseignements personnels relevant d'organismes publics;
(...) |
Ontario
|
Loi de 2004 sur la protection des renseignements personnels sur la santé, L.O. 2004, ch. 3 |
PARTIE I
INTERPRÉTATION ET APPLICATION
OBJETS, DÉFINITIONS ET INTERPRÉTATION
Art. 2 Les définitions qui suivent s'appliquent à la présente loi, (...)
« pratiques relatives aux renseignements » Relativement à un dépositaire de renseignements sur la santé, s'entend de sa politique concernant ses actes relatifs aux renseignements personnels sur la santé, y compris :
(...)
b) les mesures de précaution et pratiques d'ordre administratif, technique et matériel qu'il maintient à l'égard de ces renseignements;
(...)
PARTIE II
PROTECTION DES RENSEIGNEMENTS PERSONNELS SUR LA SANTÉ
DISPOSITIONS GÉNÉRALES
Art. 12(1) Un mandataire d'un dépositaire de renseignements sur la santé avise ce dernier à la première occasion raisonnable en cas de vol ou de perte de renseignements personnels sur la santé qu'il emploie en son nom ou d'accès à ceux-ci par des personnes non autorisées.
(2) Sous réserve du paragraphe (3) et des exceptions et exigences additionnelles, le cas échéant, qui sont prescrites, le dépositaire de renseignements sur la santé qui a la garde ou le contrôle de renseignements personnels sur la santé avise le particulier qu'ils concernent à la première occasion raisonnable en cas de vol ou de perte des renseignements ou d'accès à ceux-ci par des personnes non autorisées.
(3) Si le dépositaire de renseignements sur la santé est un chercheur qui a reçu les renseignements personnels sur la santé d'un autre dépositaire de renseignements sur la santé en application du paragraphe 44 (1), le chercheur ne doit pas aviser le particulier qu'ils ont été volés ou perdus ou qu'une personne non autorisée y a eu accès à moins que le dépositaire visé à ce paragraphe n'obtienne au préalable le consentement du particulier pour que le chercheur communique avec ce dernier et n'informe le chercheur que le particulier a donné son consentement.
[Remarque : L'article 44(1) a été reproduit dans la section intitulée « Utilisation et divulgation de renseignements personnels (sur la santé) »]
Art. 13(1) Un dépositaire de renseignements sur la santé veille à ce que les dossiers de renseignements personnels sur la santé dont il a la garde ou le contrôle soient conservés, transférés et éliminés de manière sécuritaire conformément aux exigences prescrites, le cas échéant.
(2) Malgré le paragraphe (1), le dépositaire de renseignements sur la santé qui a la garde ou le contrôle de renseignements personnels sur la santé faisant l'objet d'une demande d'accès prévue à l'article 53 les conserve aussi longtemps que nécessaire pour permettre au particulier d'épuiser tout recours prévu par la présente loi qu'il peut avoir à l'égard de la demande.
Art. 14(1) Un dépositaire de renseignements sur la santé peut garder un dossier de renseignements personnels sur la santé au domicile du particulier qu'ils concernent de toute manière raisonnable à laquelle consent celui-ci, sous réserve des restrictions énoncées dans un règlement, un règlement administratif ou une ligne directrice publiée prévu par la Loi de 1991 sur les professions de la santé réglementées, par une loi visée à l'annexe 1 de cette loi, par la Loi sur les praticiens ne prescrivant pas de médicaments ou par la Loi de 1998 sur le travail social et les techniques de travail social.
(2) Un praticien de la santé peut garder un dossier de renseignements personnels sur la santé ailleurs qu'au domicile du particulier qu'ils concernent et ailleurs qu'en un lieu qui est sous le contrôle du praticien si les conditions suivantes sont réunies :
a) le dossier est gardé de manière raisonnable;
b) le particulier y consent;
c) il est permis au praticien de la santé, s'il est visé à l'un ou l'autre des alinéas a) à c) de la définition de « praticien de la santé » à l'article 2, de garder le dossier dans le lieu conformément à un règlement, un règlement administratif ou une ligne directrice publiée prévu par la Loi de 1991 sur les professions de la santé réglementées, par une loi visée à l'annexe 1 de cette loi, par la Loi sur les praticiens ne prescrivant pas de médicaments ou par la Loi de 1998 sur le travail social et les techniques de travail social;
d) il est satisfait aux conditions prescrites, le cas échéant.
(...)
Art. 17(3) Un mandataire d'un dépositaire de renseignements sur la santé avise ce dernier à la première occasion raisonnable en cas de vol ou de perte de renseignements personnels sur la santé qu'il emploie en son nom ou d'accès à ceux-ci par des personnes non autorisées.
PARTIE IV
COLLECTE, UTILISATION ET DIVULGATION DE RENSEIGNEMENTS PERSONNELS SUR LA SANTÉ
Art. 45(1) Un dépositaire de renseignements sur la santé peut divulguer des renseignements personnels sur la santé à une entité prescrite à des fins d'analyse ou de compilation de renseignements statistiques à l'égard de la gestion, de l'évaluation, de la surveillance ou de la planification de tout ou partie du système de santé ou de l'affectation de ressources à tout ou partie de celui-ci, y compris la prestation de services, si l'entité satisfait aux exigences du paragraphe (3).
(3) Un dépositaire de renseignements sur la santé peut divulguer des renseignements personnels sur la santé à une entité prescrite en vertu du paragraphe (1) si :
a) d'une part, l'entité a adopté des règles de pratique et de procédure visant à protéger la vie privée des particuliers dont elle reçoit de tels renseignements les concernant et à maintenir la confidentialité de ceux-ci;
b) d'autre part, le commissaire a approuvé les règles de pratique et de procédure, si le dépositaire fait la divulgation le jour du premier anniversaire de l'entrée en vigueur du présent article ou par la suite.
PARTIE VII
DISPOSITIONS GÉNÉRALES
Art. 73(1) Sous réserve de l'article 74, le lieutenant-gouverneur en conseil peut, par règlement : (...)
g) pour l'application du paragraphe 10 (1), préciser des exigences à l'égard des pratiques relatives aux renseignements, notamment les conditions qu'un dépositaire de renseignements sur la santé doit remplir lorsqu'il recueille, utilise ou divulgue des renseignements personnels sur la santé ou des catégories de ceux-ci, ou préciser des modalités à suivre ou des exigences à respecter pour établir les exigences à l'égard des pratiques relatives aux renseignements pour l'application de ce paragraphe;
h) pour l'application du paragraphe 10 (3), préciser des exigences, ou la procédure à suivre pour les établir, auxquelles doit se conformer un dépositaire de renseignements sur la santé lorsqu'il utilise des moyens électroniques pour recueillir, utiliser, modifier, divulguer, conserver ou éliminer des renseignements personnels sur la santé, y compris les normes relatives aux transactions, aux données élémentaires aux fins des transactions, aux jeux de codes aux fins des données élémentaires et aux modalités de transmission et d'authentification des signatures électroniques;
(...)
[Remarque: L'article 10(3) a été reproduit dans la section intitulée « L'imputabilité et la transparence dans la gestion des renseignements personnels (sur la santé) »] |
| Loi de 2004 sur la protection des renseignements personnels sur la santé, Règlement de l'Ontario 329/04 |
Art. 6(1) Sauf si la loi l'exige par ailleurs, les exigences suivantes sont prescrites, pour l'application du paragraphe 10 (4) de la Loi, à l'égard de quiconque fournit des services afin de permettre à un dépositaire de renseignements sur la santé dont il n'est pas mandataire d'utiliser des moyens électroniques pour recueillir, utiliser, modifier, divulguer, conserver ou éliminer des renseignements personnels sur la santé :
1. La personne ne doit pas utiliser de renseignements personnels sur la santé auxquels elle a accès lorsqu'elle fournit des services pour le dépositaire, sauf dans la mesure nécessaire à la fourniture de ces services.
2. La personne ne doit pas divulguer de renseignements personnels sur la santé auxquels elle a accès lorsqu'elle fournit des services pour le dépositaire.
3. La personne ne doit pas permettre à ses employés ou à quiconque agit en son nom d'avoir accès aux renseignements, sauf s'ils conviennent de satisfaire aux restrictions applicables à la personne assujettie au présent paragraphe.
[Remarque: L'article 10(4) a été reproduit dans la section section intitulée « L'imputabilité et la transparence dans la gestion des renseignements personnels (sur la santé) »]
(2) La définition qui suit s'applique au paragraphe (3);
« fournisseur d'un réseau d'information sur la santé » ou « fournisseur » Personne qui fournit des services à deux dépositaires de renseignements sur la santé ou plus principalement dans le but de leur permettre d'utiliser des moyens électroniques pour se divulguer entre eux des renseignements personnels sur la santé, que cette personne soit ou non mandataire de n'importe lequel d'entre eux.
(3) Les exigences suivantes sont prescrites à l'égard du fournisseur d'un réseau d'information sur la santé lorsqu'il fournit des services afin de permettre à un dépositaire de renseignements sur la santé d'utiliser des moyens électroniques pour recueillir, utiliser, divulguer, conserver ou éliminer des renseignements personnels sur la santé :
1. Le fournisseur avise chaque dépositaire de renseignements sur la santé concerné à la première occasion raisonnable si, selon le cas :
i. il a eu accès à des renseignements personnels sur la santé ou en a utilisés, divulgués ou éliminés d'une façon qui n'est pas conforme aux dispositions 1 et 2 du paragraphe (1),
ii. une personne non autorisée a eu accès aux renseignements.
2. Le fournisseur remet à chaque dépositaire de renseignements sur la santé concerné une description claire des services qu'il lui fournit, laquelle peut être partagée avec les particuliers que concernent les renseignements personnels sur la santé, y compris une description générale des mesures de précaution qui ont été mises en place pour éviter une utilisation et une divulgation non autorisées et protéger l'intégrité des renseignements.
3. Le fournisseur met ce qui suit à la disposition du public :
i. la description mentionnée à la disposition 2,
ii. ses directives, lignes directrices et politiques, le cas échéant, qui s'appliquent aux services qu'il fournit aux dépositaires de renseignements sur la santé dans la mesure où elles ne révèlent pas de secret industriel ni de renseignements confidentiels d'ordre scientifique, technique ou commercial ou qui ont trait aux relations de travail,
iii. la description générale des mesures de précaution qu'il a prises à l'égard de la protection et du caractère confidentiel des renseignements.
4. Dans la mesure où il est raisonnablement possible et pratique de le faire, le fournisseur tient un dossier électronique contenant les données suivantes et le met à la disposition de chaque dépositaire de renseignements sur la santé concerné qui le lui demande :
i. tous les cas d'accès à la totalité ou à une partie des renseignements personnels sur la santé confiés au dépositaire que contient l'équipement dont le fournisseur a le contrôle, avec indication du nom de la personne qui y a accédé et des date et heure de l'accès,
ii. tous les cas de transfert de la totalité ou d'une partie des renseignements confiés au dépositaire effectué en utilisant l'équipement dont le fournisseur a le contrôle, avec indication du nom de la personne qui les a transférés, du nom ou de l'adresse du destinataire et des date et heure du transfert.
5. Le fournisseur évalue les services qui ont été fournis aux dépositaires de renseignements sur la santé concernés à l'égard des points suivants et remet à chacun d'eux une copie des résultats obtenus :
i. les menaces, la vulnérabilité et les risques qui existent en matière de protection et d'intégrité des renseignements personnels sur la santé,
ii. l'impact possible des services sur la vie privée des particuliers que concernent les renseignements.
6. Le fournisseur veille à ce que les tiers qu'il engage pour l'aider à fournir des services aux dépositaires de renseignements sur la santé conviennent de satisfaire aux restrictions et aux conditions nécessaires pour lui permettre de se conformer au présent article.
7. Le fournisseur conclut avec chaque dépositaire de renseignements sur la santé un accord écrit sur les services qui ont été fournis à ce dernier, lequel réunit les conditions suivantes :
i. il décrit les services qu'il est tenu de lui fournir,
ii. il décrit les mesures de précaution d'ordre administratif, technique et physique qui existent afin d'assurer le caractère confidentiel et la protection des renseignements,
iii. il exige que le fournisseur se conforme à la Loi et aux règlements.
(4) Le dépositaire de renseignements sur la santé qui utilise des biens ou des services que lui a fournis quiconque en application du paragraphe 10 (4) de la Loi, à l'exception d'un mandataire du dépositaire, afin d'utiliser des moyens électroniques pour recueillir, utiliser, modifier, divulguer, conserver ou éliminer des renseignements personnels sur la santé ne doit pas être considéré comme mettant les renseignements à la disposition de cette personne ou les lui communiquant pour l'application de la définition de « divulguer » à l'article 2 de la Loi si :
a) d'une part, la personne fournit les services conformément aux paragraphes (1) et (3), s'il y a lieu;
b) d'autre part, en cas de fourniture de biens au dépositaire, celui-ci ne permet à la personne à qui il retourne les biens d'avoir accès aux renseignements personnels sur la santé que si le paragraphe (1) s'applique et qu'il est respecté.
[Remarque: La définition de « divulguer » prévue à l'article 2 a été reproduit dans la section intitulée « Utilisation et divulgation de renseignements personnels (sur la santé) »]
Art. 13 (1) Les personnes suivantes sont prescrites pour l'application de l'alinéa 39 (1) c) de la Loi :
1. Cardiac Care Network of Ontario en ce qui concerne son registre de services cardiologiques.
2. INSCYTE (Information System for Cytology etc.) Corporation en ce qui concerne sa base de données CytoBase.
3. London Health Sciences Centre en ce qui concerne le registre ontarien de remplacements articulaires.
4. Le Réseau canadien contre les accidents cérébrovasculaires en ce qui concerne le Registre du RCCACV.
[Remarque: L'article 39(1)(c) a été reproduit dans la section intitulée « Utilisation et divulgation de renseignements personnels (sur la santé) »]
(2) Les personnes prescrites pour l'application de l'alinéa 39 (1) c) de la Loi mettent en place des règles de pratique et de procédure que le commissaire approuve afin de protéger la vie privée des particuliers dont elles reçoivent les renseignements personnels sur la santé les concernant et de maintenir la confidentialité de ceux-ci; le commissaire n'est toutefois pas tenu d'approuver ces règles de pratique et de procédure avant le jour du premier anniversaire de l'entrée en vigueur de l'article 45 de la Loi.
(...)
Art. 14(1) Sous réserve de l'alinéa 42 (3) b) de la Loi, un dépositaire de renseignements sur la santé peut, en vertu de cet alinéa, transférer des dossiers de renseignements personnels sur la santé à une personne qui satisfait aux conditions suivantes :
a) elle a appliqué des mesures raisonnables pour veiller à ce que les renseignements personnels sur la santé dont elle a la garde ou le contrôle soient protégés contre le vol, la perte et une utilisation ou une divulgation non autorisée et à ce que les dossiers qui les contiennent soient protégés contre une duplication, une modification ou une élimination non autorisée;
b) elle a appliqué des mesures donnant au particulier un accès raisonnable au dossier de renseignements personnels sur la santé le concernant qu'elle détient;
c) elle a mis à la disposition du public une déclaration écrite qui réunit les conditions suivantes :
(i) la déclaration expose, d'une manière générale, ses propres pratiques relatives aux renseignements,
(ii) elle précise la façon dont le particulier peut avoir accès à un dossier de renseignements personnels sur la santé le concernant et dont elle a la garde ou le contrôle,
(iii) elle décrit le mandat de la personne responsable des archives, ses rapports avec d'autres organisations et ses affiliations,
(iv) elle précise la façon de porter plainte devant elle et le commissaire en vertu de la Loi;
d) elle a fait part au commissaire de son intention d'agir en qualité de destinataire des renseignements en vertu du présent article et lui a remis la déclaration prévue à l'alinéa c) ainsi que les autres renseignements que le commissaire a des motifs raisonnables de lui demander.
(2) La personne qui, ayant reçu des dossiers en application de l'alinéa 42 (3) b) de la Loi, cesse d'exercer les fonctions de collecte et de préservation de dossiers revêtant une importance historique ou archivistique ou cesse de satisfaire aux conditions énoncées au paragraphe (1) transfère immédiatement les dossiers, y compris les numéros de carte Santé qui y figurent, à une autre personne qui est autorisée à les recevoir en vertu de l'alinéa 42 (3) a) ou b) de la Loi, sous réserve de l'accord de cette dernière.
[Remarque: Les articles 42(3)(a) et 42(3)(b) sont reproduits dans la section intitulée « Utilisation et divulgation de renseignements personnels (sur la santé) »]
(3) Malgré le paragraphe 49 (1) de la Loi et sous réserve de l'accord de la personne devant recevoir les dossiers par transfert, la personne à qui un dépositaire de renseignements sur la santé a divulgué des renseignements personnels sur la santé et qui n'est pas elle-même un dépositaire de renseignements sur la santé peut transférer des dossiers contenant des renseignements personnels sur la santé, y compris les numéros de carte Santé qui y figurent :
a) soit aux Archives publiques de l'Ontario;
b) soit à une personne prescrite en application du paragraphe (1) si les renseignements sont divulgués à cette fin.
[Remarque: L'article 49(1) prévoit que: « Sauf selon ce qui est autorisé ou exigé par la loi et sous réserve des exceptions et exigences additionnelles, le cas échéant, qui sont prescrites, la personne à qui un dépositaire de renseignements sur la santé divulgue des renseignements personnels sur la santé et qui n'est pas elle-même un dépositaire de renseignements sur la santé ne doit pas utiliser ni divulguer les renseignements à d'autres fins que les fins suivantes :
a) les fins auxquelles le dépositaire était autorisé à les divulguer en vertu de la présente loi;
b) l'exercice d'une obligation d'origine législative ou juridique. »]
(4) La personne qui reçoit, par transfert, des dossiers de renseignements personnels sur la santé en application du paragraphe (2) ou (3) ou de l'alinéa 42 (3) b) de la Loi peut faire ce qui suit :
a) recueillir les numéros de carte Santé qui y figurent accessoirement dans le cadre du transfert des dossiers;
b) utiliser les renseignements personnels sur la santé qui y figurent, y compris les numéros de carte Santé, comme si elle était elle-même un dépositaire de renseignements sur la santé pour l'application de l'alinéa 37 (1) j) et du paragraphe 37 (3) de la Loi;
c) divulguer les renseignements personnels sur la santé qui y figurent, y compris les numéros de carte Santé, comme si elle était elle-même un dépositaire de renseignements sur la santé pour l'application des articles 44, 45 et 47 de la Loi.
[Remarque: Les articles 37(1)(j), 37(3), 44, 45 et 47 ont été reproduits dans la section intitulée « Utilisation et divulgation de renseignements personnels (sur la santé) »]
(5) La personne qui, avant le 1er novembre 2004, a reçu, par transfert, un dossier de renseignements personnels sur la santé auquel le paragraphe (4) se serait appliqué à compter de cette date peut divulguer et utiliser ce dossier dans le cadre d'une recherche, y compris les numéros de carte Santé qui y figurent, comme si elle était elle-même un dépositaire de renseignements sur la santé en vertu de la Loi. |
| Loi sur l'accès à l'information et la protection de la vie privée, L.R.O. 1990, ch. F.31 |
PARTIE III
PROTECTION DE LA VIE PRIVÉE
COLLECTE ET CONSERVATION DES RENSEIGNEMENTS PERSONNELS
Art. 40 (1) L'institution qui s'est servie des renseignements personnels les conserves durant le délai prescrit par les règlements afin de fournir l'occasion au particulier concerné par ces renseignements d'y obtenir lui-même accès.
(2) La personne responsable d'une institution veille à ce que seuls soient utilisés les renseignements personnels consignés dans ses documents qui sont exacts et à jour.
(...)
(4) La personne responsable dispose des renseignements personnels dont l'institution a le contrôle conformément aux règlements.
PARTIE V
DISPOSITIONS GÉNÉRALES
Art. 60(1) Le lieutenant-gouverneur en conseil peut, par règlement :
(...)
d) exiger des garanties d'ordre administratif, technique et matériel et en fixer les normes, afin d'assurer la protection et le caractère confidentiel de documents et de renseignements personnels dont une institution a le contrôle;
e) fixer des normes d'exactitude et d'intégralité des renseignements personnels dont une institution a le contrôle;
f) prescrire les délais pour l'application du paragraphe 40 (1);
(...)
j) prescrire les conditions relatives à la sécurité et au caractère confidentiel des documents utilisés à des fins de recherche;
(...) |
| Loi sur l'accès à l'information et la protection de la vie privée, R.R.O. 1990, Règl. 460 |
Art. 4(1) Les personnes responsables veillent à ce que des mesures raisonnables pour empêcher l'accès non autorisé aux documents qui se trouvent dans leur institution soient déterminées, documentées et appliquées en tenant compte du caractère des documents à protéger.
(2) Les personnes responsables veillent à ce que seuls les particuliers qui ont besoin d'un document pour l'exercice de leurs fonctions y aient accès.
(3) Les personnes responsables veillent à ce que des mesures raisonnables pour empêcher les documents qui se trouvent dans leur institution d'être détruits ou endommagés par inadvertance soient déterminées, documentées et appliquées en tenant compte du caractère des documents à protéger.
Art. 5(1) L'institution conserve les renseignements personnels dont elle s'est servie pendant un an au moins après leur utilisation, sauf si le particulier concerné par ces renseignements consent à leur suppression avant la fin du délai imparti.
Art. 10(1) Les conditions relatives à la sécurité et au caractère confidentiel que la personne est tenue d'accepter avant que la personne responsable puisse lui divulguer des renseignements personnels à des fins de recherche sont les suivantes :
1. La personne n'utilise les renseignements qu'à des fins de recherche précisées dans l'accord ou pour lesquelles elle a reçu l'autorisation écrite de l'institution.
2. La personne nomme dans l'accord les autres personnes à qui sera accordé l'accès aux renseignements personnels sous une forme dans laquelle le particulier concerné par ces renseignements peut être identifié.
3. Avant de divulguer les renseignements personnels aux autres personnes visées à la disposition 2, la personne conclut un accord avec celles-ci pour veiller à ce qu'elles ne les divulguent pas à d'autres personnes.
4. La personne conserve les renseignements dans un endroit sûr dont l'accès n'est accordé qu'à la personne et aux personnes à qui l'accès est accordé aux termes de la disposition 2.
5. La personne détruit tous les identificateurs individuels contenus dans les renseignements au plus tard à la date précisée dans l'accord.
6. La personne ne communique avec aucun particulier concerné par ces renseignements personnels, directement ou indirectement, sans obtenir au préalable l'autorisation écrite de l'institution.
7. La personne veille à ce qu'aucun renseignement personnel ne soit utilisé ou divulgué sous une forme dans laquelle le particulier concerné par ce renseignement peut être identifié, à moins d'obtenir l'autorisation écrite de l'institution.
8. La personne avise l'institution par écrit immédiatement si elle apprend que les conditions énoncées au présent article n'ont pas été observées.
(2) L'accord relatif à la sécurité et au caractère confidentiel des renseignements personnels à être divulgués à des fins de recherche est rédigé selon la formule 1. |
| Loi sur l'accès à l'information et la protection de la vie privée, Règlement sur la destruction des renseignements personnels, R.R.O. 1990, Règl. 459 |
2. Une institution ne peut se départir d'un renseignement personnel qu'en l'acheminant au service des archives ou en le détruisant.
3. Nul ne peut détruire un renseignement personnel se trouvant en la possession d'une institution sans obtenir au préalable l'autorisation de la personne responsable de l'institution.
4(1) La personne responsable d'une institution fait en sorte que toutes les mesures raisonnables soient prises pour assurer la sécurité et la confidentialité des renseignements personnels devant être détruits, notamment pendant leur stockage, leur transport, leur manipulation et leur destruction.
(2) La personne responsable d'une institution fait en sorte que toutes les mesures raisonnables soient prises pour assurer la sécurité et la confidentialité des renseignements personnels devant être acheminés au service des archives, notamment pendant leur stockage, leur transport et leur manipulation.
(3) Pour déterminer si toutes les mesures raisonnables sont prises en application du paragraphe (1) ou (2), la personne responsable de l'institution tient compte de la nature des renseignements personnels devant être détruits ou acheminés.
5. La personne responsable d'une institution prend toutes les mesures raisonnables afin que les renseignements personnels devant être détruits le soient d'une façon qui rend impossible leur reconstitution ou leur récupération.
6(1) La personne responsable d'une institution veille à ce que celle-ci tienne un registre faisant état de la destruction de renseignements personnels ou de leur acheminement au service des archives, ainsi que de la date de la destruction ou de l'acheminement.
(2) La personne responsable d'une institution fait en sorte que le registre visé au paragraphe (1) ne renferme aucun renseignement personnel. |
| Loi sur l'accès à l'information municipale et la protection de la vie privée, L.R.O. 1990, ch. M.56 |
Art. 30(1) L'institution qui s'est servie des renseignements personnels les conserve durant le délai prescrit par les règlements afin de fournir l'occasion au particulier concerné par ces renseignements d'y obtenir lui-même accès.
(...)
(4) La personne responsable dispose des renseignements personnels dont l'institution a le contrôle conformément aux règlements.
Art. 47(1) Le lieutenant-gouverneur en conseil peut, par règlement :
(...)
c) exiger des garanties d'ordre administratif, technique et matériel et en fixer les normes, afin d'assurer la protection et le caractère confidentiel de documents et de renseignements personnels dont une institution a le contrôle;
(...) |
| Loi sur l'accès à l'information municipale et la protection de la vie privée, Dispositions générales, R.R.O. 1990, Règl. 823 |
Art. 3(1) Les personnes responsables veillent à ce que des mesures raisonnables pour empêcher l'accès non autorisé aux documents qui se trouvent dans leur institution soient déterminées, documentées et appliquées en tenant compte du caractère des documents à protéger.
(2) Les personnes responsables veillent à ce que seuls les particuliers qui ont besoin d'un document pour l'exercice de leurs fonctions y aient accès.
(3) Les personnes responsables veillent à ce que des mesures raisonnables pour empêcher les documents qui se trouvent dans leur institution d'être détruits ou endommagés par inadvertance soient déterminées, documentées et appliquées en tenant compte du caractère des documents à protéger.
Art. 5 L'institution conserve les renseignements personnels dont elle s'est servie pendant un an après leur utilisation ou pendant la période fixée dans un règlement ou une résolution qu'elle a adopté ou qu'une autre institution a adopté mais qui la touche, la plus courte de ces périodes étant retenue, à moins que le particulier concerné par ces renseignements ne consente à leur suppression avant la fin du délai imparti. |
Québec
|
Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, L.R.Q., ch. A-2.1 |
CHAPITRE III
PROTECTION DES RENSEIGNEMENTS PERSONNELS
SECTION III
ÉTABLISSEMENT ET GESTION DES FICHIERS
Art. 72 Un organisme public doit veiller à ce que les renseignements nominatifs qu'il conserve soient à jour, exacts et complets pour servir aux fins pour lesquelles ils sont recueillis.
Art. 73 Lorsque l'objet pour lequel un renseignement nominatif a été recueilli est accompli, l'organisme public doit le détruire, sous réserve de la Loi sur les archives (chapitre A-21.1).
Art. 76 L'établissement d'un fichier doit faire l'objet d'une déclaration à la Commission.
La déclaration doit contenir les indications suivantes:
1) la désignation du fichier, les types de renseignements qu'il contient, l'usage projeté de ces renseignements et le mode de gestion du fichier;
2) la provenance des renseignements versés au fichier;
3) les catégories de personnes concernées par les renseignements versés au fichier;
4) les catégories de personnes qui auront accès au fichier dans l'exercice de leurs fonctions;
5) les mesures de sécurité prises au sein de l'organisme pour assurer le caractère confidentiel des renseignements nominatifs et leur utilisation suivant les fins pour lesquelles ils ont été recueillis;
6) le titre, l'adresse et le numéro de téléphone de la personne responsable de la protection des renseignements personnels;
7) les modalités d'accès offertes à la personne concernée;
8) toute autre indication prescrite par règlement du gouvernement.
Elle doit être faite conformément aux règles établies par la Commission.
Art. 78 Les articles 64 à 77 ne s'appliquent pas au traitement de renseignements nominatifs recueillis par une personne physique et qui lui servent d'instrument de travail pour autant que ces renseignements ne soient pas communiqués à une autre personne que la personne concernée ou à un autre organisme que celui dont elle fait partie, et qu'ils soient utilisés à bon escient.
Il en est de même du traitement de renseignements nominatifs recueillis par une personne physique et qui lui servent à des fins de recherche scientifique.
L'organisme public devient assujetti à ces articles dès que la personne visée au premier ou au deuxième alinéa lui communique un renseignement nominatif qu'elle a recueilli ou qui résulte du traitement.
[Remarque: Les articles 64, 65 et 66 sont reproduits dans « La collecte de renseignements personnels (sur la santé) » . Les articles 67 et 71 sont reproduits dans la section intitulée « L'imputabilité et la transparence dans la gestion des renseignements personnels (sur la santé) ».
Les articles 68, 69 et 70 sont reproduits dans la section intitulée « Utilisation et divulgation de renseignements personnels (sur la santé) ».
Les articles 74 et 75 ont été abrogées.]
CHAPITRE VI
RÈGLEMENTATION
Art. 155 Le gouvernement peut adopter des règlements pour:
(...)
(5) prescrire les normes de sécurité propres à assurer le caractère confidentiel des renseignements versés dans un fichier de renseignements personnels;
(...) |
| Loi sur la protection des renseignements personnels dans le secteur privé, L.R.Q., ch. P-39.1 |
SECTION III
CARACTÈRE CONFIDENTIEL DES RENSEIGNEMENTS PERSONNELS
§1. - Détention, utilisation et non-communication des renseignements
Art. 10 Toute personne qui exploite une entreprise et recueille, détient, utilise ou communique des renseignements personnels sur autrui doit prendre et appliquer des mesures de sécurité propres à assurer le caractère confidentiel des renseignements.
Art. 11 Toute personne qui exploite une entreprise doit veiller à ce que les dossiers qu'elle détient sur autrui soient à jour et exacts au moment où elle les utilise pour prendre une décision relative à la personne concernée.
Art. 12 L'utilisation des renseignements contenus dans un dossier n'est permise, une fois l'objet du dossier accompli, qu'avec le consentement de la personne concernée, sous réserve du délai prévu par la loi ou par un calendrier de conservation établi par règlement du gouvernement.
(...)
Art. 20 Dans l'exploitation d'une entreprise, un renseignement personnel n'est accessible, sans le consentement de la personne concernée, à tout préposé, mandataire ou agent de l'exploitant qui a qualité pour le connaître qu'à la condition que ce renseignement soit nécessaire à l'exercice de ses fonctions ou à l'exécution de son mandat.
SECTION IV
ACCÈS DES PERSONNES CONCERNÉES
§ 1. — Dispositions générales
Art. 36 Celui qui détient un renseignement faisant l'objet d'une demande d'accès ou de rectification doit, s'il n'acquiesce pas à cette demande, le conserver le temps requis pour permettre à la personne concernée d'épuiser les recours prévus par la loi. |
Nouveau-Brunswick
|
Loi sur la protection des renseignements personnels, L.N.-B. 1998, ch. P-19.1 |
Art. 2 (1) Tout organisme public est soumis au Code de pratique statutaire.
(2) Le Code de pratique statutaire doit être interprété et appliqué conformément à l'Annexe B et à tous règlements établis en vertu de l'alinéa 7b).
Annexe A
Code de pratique statutaire
Principe 5 : Limitation de l'utilisation, de la divulgation et de la conservation
Les renseignements personnels ne doivent pas être utilisés ou divulgués à des fins autres que celles auxquelles ils ont été recueillis (...)
Principe 6 : Exactitude
Les renseignements personnels doivent être aussi exacts, complets et à jour que l'exigent les fins pour lesquelles ils doivent être utilisés.
Principe 7 : Dispositifs de protection
Les renseignements personnels doivent être protégés par des dispositifs de protection correspondant à leur degré de sensibilité.
Annexe B
Interprétation et application du Code de pratique statutaire
Principe 5 : Limitation de l'utilisation, de la divulgation et de la conservation
Art. 5.1 Un organisme public peut satisfaire à l'obligation de ne pas conserver des renseignements personnels en convertissant ces renseignements sous une forme non identifiable.
Art. 5.2 Les renseignements personnels qui sont conservés en dehors d'un système d'enregistrement des renseignements personnels et qui ne sont pas facilement accessibles à une personne qui n'a pas de connaissance préalable de ces renseignements sont réputés être convertis sous une forme non identifiable lorsque l'usage des renseignements cesse.
Principe 7 : Dispositifs de protection
Art. 7.1 Les dispositifs de protection qui doivent être adoptés comprennent des mesures de formation et des mesures administratives, techniques, physiques et autres, comme il convient dans les circonstances, et comprennent les dispositifs de protection qui doivent être adoptés quand un organisme public divulgue des renseignements personnels à un tiers ou prend des mesures pour qu'un tiers recueille des renseignements personnels en son nom. |
| Nouvelle-Écosse |
Loi sur l'accès à l'information et la protection des renseignements personnels, S.N.S. 1993, c. 5 |
PROTECTION DE LA VIE PRIVÉE
COLLECTE, PROTECTION, CONSERVATION, UTILISATION ET COMMUNICATION DES RENSEIGNEMENTS PERSONNELS
24(2) L'organisme public qui entend utiliser des renseignements personnels concernant un particulier afin de prendre une décision qui touche celui-ci directement prend les mesures voulues pour faire en sorte que les renseignements soient exacts et complets.
(3) La personne responsable d'un organisme public protège les renseignements personnels en prenant des mesures de sécurité raisonnables contre la consultation, la collecte, l'utilisation, la communication ou la destruction non autorisée.
(4) L'organisme public qui entend utiliser des renseignements personnels concernant un particulier afin de prendre une décision qui touche celui-ci directement prend les mesures voulues pour conserver ces renseignements pendant au moins un an après les avoir utilisés afin de permettre au particulier concerné d'exercer son droit d'accès à ces renseignements. |
| Loi sur les municipalités, S.N.S. 1998, c. 18 |
483. (...)
(4) Lorsqu'elle utilise des renseignements personnels pour prendre une décision touchant directement le particulier en cause, la municipalité conserve les renseignements pendant au moins un an après les avoir utilisés afin de permettre au particulier d'exercer son droit d'accès à ces renseignements. |
Île-du-Prince-Édouard
|
Loi sur l'accès à l'information et la protection des renseignements personnels , R.S.P.E.I., c. F-15.01 |
PARTIE II
PROTECTION DE LA VIE PRIVÉE
Section 1
Collecte de renseignements personnels
33. L'organisme public qui entend utiliser des renseignements personnels concernant un particulier afin de prendre une décision qui touche celui-ci directement doit :
a) prendre les mesures voulues pour faire en sorte que les renseignements soient exacts et complets; et
b) conserver ces renseignements personnels pendant au moins un an après les avoir utilisés afin de permettre au particulier concerné d'exercer son droit d'accès à ces renseignements.
35. La personne responsable d'un organisme public protège les renseignements personnels en prenant des mesures de sécurité raisonnables contre la consultation, la collecte, l'utilisation, la communication ou la destruction non autorisée.
77(1) Le lieutenant-gouverneur en conseil peut prendre un règlement
(...)
j) concernant les normes et mesures techniques à observer ou à prendre pour assurer la sécurité et la protection des renseignements personnels;
(...) |
| Terre-Neuve-et-Labrador |
Loi sur l'accès à l'information et la protection des renseignements personnels, S.N.L. 2002, c. A-1.1
|
[La partie IV n'est pas encore en vigueur]
PARTIE IV
PROTECTION DE LA VIE PRIVÉE
34. L'organisme public qui entend utiliser des renseignements personnels concernant un particulier afin de prendre une décision qui touche celui-ci directement doit déployer tous les efforts voulus pour faire en sorte que les renseignements soient exacts et complets.
36. La personne responsable d'un organisme public protège les renseignements personnels en prenant des mesures de sécurité raisonnables contre la consultation, la collecte, l'utilisation, la communication ou la destruction non autorisée.
37. L'organisme public qui entend utiliser des renseignements personnels concernant un particulier afin de prendre une décision qui touche celui-ci directement doit :conserver ces renseignements personnels pendant au moins un an après les avoir utilisés afin de permettre au particulier concerné d'exercer son droit d'accès à ces renseignements.
51. En plus de ses attributions en matière d'examen, le commissaire peut (...)
e) commenter les incidences de ce qui suit pour la protection de la vie privée : (i) l'utilisation ou la communication des renseignements personnels pour le couplage de dossiers ou (ii) l'utilisation de la technologie de l'information pour la collecte, le stockage, l'utilisation ou le transfert de renseignements personnels; (...)
PARTIE VII
GÉNÉRALITÉS
73. Le lieutenant-gouverneur en conseil peut prendre un règlement :
(l) prévoyant la conservation et la destruction de documents par un organisme public lorsque la loi intitulée Archives Act ne s'applique pas à l'organisme;
(...) |
| Yukon |
Accès à l'information et la protection de la vie privée, Loi sur l', L.R.Y. 2002, c.1 |
PARTIE 3
PROTECTION DES RENSEIGNEMENTS PERSONNELS
Art. 31 L'organisme public doit, dans la mesure du possible, veiller à ce que les renseignements personnels concernant un particulier qu'il utilise pour prendre une décision touchant ce dernier soient exacts et complets.
Art. 33 L'organisme public doit prendre les mesures de sécurité nécessaires pour protéger les renseignements personnels contre les risques tel les pertes ou modifications accidentelles, l'accès, la collecte, l'utilisation, la communication ou l'élimination non autorisés.
Art. 34 L'organisme public qui s'est servi de renseignements personnels pour prendre une décision qui touche directement un particulier doit les conserver pour au moins un an afin de fournir l'occasion au particulier concerné d'y avoir accès. |
| Territoires du Nord-Ouest |
Loi sur l'accès à l'information et la protection de la vie privée, L.T.N.-O. 1994, ch. 20 |
PARTIE 2
PROTECTION DE LA VIE PRIVÉE
SECTION A - COLLECTE DES RENSEIGNEMENTS PERSONNELS
Art. 42 Le responsable d'un organisme public protège les renseignements personnels en prenant les mesures de sécurité voulues contre des risques tels que l'accès, la collecte, l'usage, la divulgation ou le retrait non autorisé.
SECTION B - USAGE DES RENSEIGNEMENTS PERSONNELS
Art. 44 L'organisme public qui utilise les renseignements personnels concernant un individu afin de prendre une décision qui touche celui-ci directement :
a) veille, dans la mesure du possible, à ce que les renseignements soient exacts et complets;
b) les conserve pendant une période minimale d'un an après leur usage afin de permettre à l'individu d'exercer son droit d'accès à ces renseignements. |
Nunavut
|
Loi sur l'accès à l'information et la protection de la vie privée, L.T.N.-O. 1994, ch. 20, telle que reproduite pour le Nunavut par l'article 29 de la Loi sur le Nunavut, S.C. 1993, ch. 28 |
PARTIE 2
PROTECTION DE LA VIE PRIVÉE
SECTION A - COLLECTE DES RENSEIGNEMENTS PERSONNELS
Art. 42 Le responsable d'un organisme public protège les renseignements personnels en prenant les mesures de sécurité voulues contre des risques tels que l'accès, la collecte, l'usage, la divulgation ou le retrait non autorisé.
SECTION B - USAGE DES RENSEIGNEMENTS PERSONNELS
Art. 44 L'organisme public qui utilise les renseignements personnels concernant un individu afin de prendre une décision qui touche celui-ci directement :
a) veille, dans la mesure du possible, à ce que les renseignements soient exacts et complets;
b) les conserve pendant une période minimale d'un an après leur usage afin de permettre à l'individu d'exercer son droit d'accès à ces renseignements. |
