PIPEDA

Ce qu’est la PIPEDA

La PIPEDA (Personal Information Protection and Electronic Documents Act) est la loi fédérale canadienne de référence pour la protection des renseignements personnels dans le secteur privé. Adoptée en 2000, elle s’applique aux organisations qui collectent, utilisent ou communiquent des renseignements personnels dans le cadre d’activités commerciales sur le territoire canadien ou impliquant des résidents canadiens.

Le régulateur est le Commissariat à la protection de la vie privée du Canada (OPC).

Dix principes fondateurs

La PIPEDA repose sur dix principes inspirés des lignes directrices de l’OCDE :

1. Responsabilité — désignation d’un responsable de la conformité.
2. Détermination des fins.
3. Consentement.
4. Limitation de la collecte.
5. Limitation de l’utilisation, de la communication et de la conservation.
6. Exactitude.
7. Mesures de sécurité.
8. Transparence.
9. Accès aux renseignements personnels.
10. Possibilité de porter plainte à l’égard du non-respect.

Articulation avec les lois provinciales

Le Québec, l’Alberta et la Colombie-Britannique ont leurs propres lois provinciales considérées « essentiellement similaires » à la PIPEDA. Pour ces provinces, c’est la loi provinciale qui prime dans la majorité des situations — par exemple la Loi 25 au Québec. La PIPEDA s’applique néanmoins aux échanges interprovinciaux ou internationaux.

Notification d’incident

Depuis 2018, la PIPEDA impose la notification d’un incident à l’OPC et aux personnes concernées dès qu’il existe un risque réel de préjudice grave. Les organisations doivent également tenir un registre des incidents pendant 24 mois.

PIPEDA chez Hexceos

Notre offre canadienne couvre la conformité PIPEDA et Loi 25 sur le même contrat. Notre SOC montréalais opère dans le respect de ces deux régimes. Voir services audit & conformité et agence Montréal.