La Loi 25 accorde à toute personne le droit de savoir si une organisation détient des renseignements personnels à son sujet, d'y accéder et d'en demander la correction. Ce droit n'est pas nouveau, mais les organisations qui n'ont pas de processus en place pour y répondre s'exposent à des délais dépassés, à des plaintes à la Commission d'accès à l'information (CAI) et à des amendes potentielles.
La fenêtre de 30 jours
Lorsqu'une personne soumet une demande d'accès valide, vous avez 30 jours civils pour y répondre. Ce délai peut être prolongé de 30 jours supplémentaires si la demande est complexe ou volumineuse, à condition d'aviser le demandeur avant l'expiration du premier délai.
Si vous ne répondez pas dans les délais, la personne peut déposer une plainte à la CAI, qui peut ensuite ordonner la communication des renseignements et imposer des sanctions.
À quoi ressemble une demande valide
Il n'existe pas de formulaire obligatoire. Une demande d'accès peut arriver par courriel, par courrier ou même verbalement. Pour être valide, elle doit simplement :
- Identifier la personne qui fait la demande (suffisamment pour permettre la vérification de son identité)
- Indiquer les renseignements recherchés ou demander un accès général à l'ensemble des renseignements détenus
La demande n'a pas à citer la Loi 25 ni à utiliser un vocabulaire juridique précis. Si quelqu'un vous écrit "je voudrais savoir quelles informations vous avez sur moi", c'est une demande d'accès.
Ce que vous pouvez et ne pouvez pas refuser
Vous pouvez refuser de communiquer des renseignements dans certains cas précis :
- Les renseignements concernent une autre personne identifiable (et ne peuvent être séparés)
- La communication nuirait à une enquête en cours menée par un organisme d'application de la loi
- Les renseignements sont protégés par le secret professionnel (par exemple, des avis juridiques)
- La demande est manifestement abusive (répétitive, vexatoire)
Vous ne pouvez pas refuser une demande simplement parce qu'elle vous dérange, parce que les renseignements sont volumineux ou parce que vous n'avez pas encore mis en place de registre structuré.
Vérifier l'identité du demandeur
Avant de communiquer des renseignements sensibles, vous devez vous assurer que la personne est bien celle qu'elle prétend être. Les méthodes courantes :
- Copie d'une pièce d'identité avec photo
- Confirmation par un renseignement que seule la personne devrait connaître
- Signature sur la demande, comparée à un document existant au dossier
Évitez de demander plus que le nécessaire pour vérifier l'identité. La vérification doit être proportionnelle à la sensibilité des renseignements demandés.
Ce que doit contenir votre réponse
Votre réponse écrite doit indiquer :
- Quels renseignements vous détenez (ou confirmer que vous n'en détenez pas)
- La source de ces renseignements, si connue
- Les tiers à qui vous les avez communiqués au cours de l'année précédente
- Les fins auxquelles ils sont utilisés
- Si vous refusez l'accès en tout ou en partie, les motifs du refus et les recours disponibles (dépôt d'une plainte à la CAI)
La communication se fait généralement par écrit, dans le format demandé si raisonnable (papier ou numérique).
Mettre en place un processus interne
Sans processus défini, les demandes d'accès tombent dans les angles morts. Voici les éléments essentiels :
Désigner un point de contact clair. La personne responsable de la protection des renseignements personnels dans votre organisation doit être le point de réception et de traitement des demandes. Son nom et ses coordonnées doivent être visibles sur votre site web.
Créer un registre des demandes. Pour chaque demande reçue, notez la date de réception, l'identité du demandeur, l'objet de la demande, les actions prises et la date de réponse. Ce registre est votre preuve de conformité en cas de plainte.
Définir qui fait quoi. Dans une PME, une seule personne peut gérer le processus. Dans une organisation plus grande, il faut définir comment les différents départements reçoivent et transmettent les informations pertinentes au responsable.
Se fixer des rappels. Le délai de 30 jours peut passer vite si la demande arrive en période achalandée. Un système de rappel automatique (agenda partagé, outil de gestion de tâches) évite les oublis.
Les demandes de rectification
En plus des demandes d'accès, les individus peuvent demander la correction de renseignements inexacts ou incomplets. Vous avez également 30 jours pour répondre. Si vous acceptez la correction, vous devez aviser les tiers à qui vous avez communiqué les renseignements, si c'est raisonnable de le faire. Si vous refusez, vous devez indiquer pourquoi et permettre au demandeur de joindre ses commentaires au dossier.
Observantia inclut un module de gestion des demandes d'accès qui centralise les demandes entrantes, suit les délais automatiquement et génère les communications requises, pour que rien ne soit oublié.
Ce contenu est fourni à titre informatif seulement et ne constitue pas un avis juridique. Pour des questions spécifiques à votre situation, consultez un conseiller juridique qualifié.