What is PIPEDA?

The Personal Information Protection and Electronic Documents Act (PIPEDA) is Canada's federal privacy law governing how private-sector organizations collect, use, and disclose personal information in the course of their commercial activities. Enforced by the Office of the Privacy Commissioner of Canada (OPC), PIPEDA aims to balance an individual's right to privacy with the need for organizations to conduct business.

Who Does PIPEDA Apply To?

PIPEDA's application can be nuanced. It applies to:

1. Federally Regulated Organizations: This includes businesses like banks, airlines, telecommunications companies, and interprovincial transportation, regardless of which province they operate in.

2. Commercial Activities in Most Provinces: PIPEDA is the default private-sector privacy law in provinces and territories that have not enacted their own "substantially similar" privacy legislation.

3. Interprovincial and International Data Transfers: It also governs data flows across provincial or national borders.

Important Note: Provinces such as British Columbia (PIPA), Alberta (PIPA), and Quebec (Law 25) have their own private-sector privacy laws that are considered substantially similar to PIPEDA. For businesses operating solely within these provinces, the provincial law generally applies instead of PIPEDA for intra-provincial activities.

The 10 Fair Information Principles of PIPEDA

PIPEDA is founded on ten core principles that organizations must follow:

1. Accountability: An organization is responsible for the personal information it controls and must designate an individual to be accountable for compliance.

2. Identifying Purposes: The purposes for collecting personal information must be identified at or before the time of collection.

3. Consent: The knowledge and consent of the individual are required for the collection, use, or disclosure of personal information.

4. Limiting Collection: The collection of personal information must be limited to what is necessary for the purposes identified by the organization.

5. Limiting Use, Disclosure, and Retention: Personal information can only be used or disclosed for the purposes for which it was collected, unless the individual consents otherwise. It should only be kept as long as necessary.

6. Accuracy: Personal information must be as accurate, complete, and up-to-date as is necessary for the purposes for which it is to be used.

7. Safeguards: Personal information must be protected by security safeguards appropriate to the sensitivity of the information.

8. Openness: An organization must make its policies and practices regarding the management of personal information readily available to individuals.1

9. Individual Access: Upon request, an individual must be informed of the existence, use, and disclosure of their personal information and be given access to that information.2

10. Challenging Compli3ance: An individual can challenge an organization's compliance with the above principles to the designated accountability individual or the OPC.

Comprendre la LPRPDE du Canada : Un guide pour les organisations du secteur privé

Qu'est-ce que la LPRPDE ?

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est la loi fédérale canadienne sur la protection de la vie privée qui régit la manière dont les organisations du secteur privé4 collectent, utilisent et communiquent des renseignements personnels dans le cadre de leurs activités commerciales. Appliquée par le Commissariat à la protection de la vie privée du Canada (CPVP), la LPRPDE vise à équilibrer le droit à la vie privée des individus et le besoin des organisations de mener leurs activités.

À qui s'applique la LPRPDE ?

L'application de la LPRPDE peut être nuancée. Elle s'applique :

1. Aux organisations sous réglementation fédérale : Cela inclut des entreprises comme les banques, les compagnies aériennes, les entreprises de télécommunications et les transports interprovinciaux.

2. Aux activités commerciales dans la plupart des provinces : La LPRPDE est la loi par défaut dans les provinces qui n'ont pas leur propre législation « essentiellement similaire ».

3. Aux transferts de données interprovinciaux et internationaux.

Remarque importante : Des provinces comme la Colombie-Britannique (PIPA), l'Alberta (PIPA) et le Québec (Loi 25) ont leurs propres lois jugées essentiellement similaires. Pour les entreprises opérant uniquement dans ces provinces, la loi provinciale s'applique généralement aux activités intra-provinciales.

Les 10 principes relatifs à l'équité dans le traitement de l'information de la LPRPDE

La LPRPDE est fondée sur dix principes fondamentaux :

1. Responsabilité : Une organisation doit désigner une personne responsable de sa conformité.

2. Détermination des fins de la collecte : Les fins de la collecte doivent être déterminées avant ou au moment de la collecte.

3. Consentement : La collecte, l'utilisation ou la communication de renseignements personnels exigent que la personne concernée en soit informée et y consente.

4. Limitation de la collecte : La collecte doit se limiter aux renseignements nécessaires aux fins déterminées.

5. Limitation de l'utilisation, de la communication et de la conservation : Les renseignements ne peuvent être utilisés ou communiqués qu'aux fins pour lesquelles ils ont été collectés, sauf consentement contraire.

6. Exactitude : Les renseignements personnels doivent être aussi exacts, complets et à jour que nécessaire.

7. Mesures de sécurité : Les renseignements doivent être protégés par des mesures de sécurité correspondant à leur degré de sensibilité.

8. Transparence : Une organisation doit mettre ses politiques de gestion des renseignements personnels à la disposition du public.

9. Accès aux renseignements personnels : Une personne doit être informée de l'existence de renseignements personnels qui la concernent et y avoir accès.

10. Possibilité de porter plainte à l'égard du non-respect des principes : Une personne peut contester la conformité d'une organisation aux principes.