La présente directive entre en vigueur le 26 octobre 2022.La présente directive remplace la Directive sur les demandes de renseignements personnels et de correction des renseignements personnels datée du 13 juillet 2022.La présente directive est émise conformément à l’alinéa 71(1)d) de la Loi sur la protection des renseignements personnels et comme spécifié à la section 2.2 de la Politique sur la protection de la vie privée.En plus des objectifs indiqués à la section 3.1 de la Politique sur la protection de la vie privée, l’objectif de la présente directive est d’établir des pratiques et des procédures cohérentes pour le traitement des demandes des individus pour accès à leurs renseignements personnels ou pour la correction de leurs renseignements personnels qui relèvent des institutions fédérales et qui ont été utilisés, sont utilisés ou peuvent être utilisés à des fins administratives.Les résultats escomptés précisés à la section 3 de la Politique sur la protection de la vie privée s’appliquent à la présente directive.Les responsables des institutions fédérales ou leurs délégués assument les responsabilités suivantes :

Exercice du pouvoir discrétionnaire

Exercer le pouvoir discrétionnaire de manière équitable, raisonnable et impartiale après avoir : Tenu compte de l’objet de la Loi, qui consiste, en partie, à donner aux individus un droit d’accès à leurs renseignements personnels, sous réserve d’exceptions limitées et spécifiques, et le droit de demander la correction de leurs renseignements personnels.Tenu compte de l’ensemble des facteurs pertinents en faveur ou à l’encontre de la divulgation, les dispositions pertinentes de la Loi, ainsi que la jurisprudence applicable. Consulté les institutions fédérales, le cas échéant. Examiné les renseignements contenus dans les documents.

Formation en protection des renseignements personnels

Veiller à ce que les employés des institutions fédérales et les fonctionnaires ayant une responsabilité fonctionnelle ou déléguée en matière d’application de la Loi reçoivent une formation conformément à l’annexe B : Procédures obligatoires pour la formation en protection des renseignements personnels.Documenter l’achèvement de la formation conformément à l’annexe B : Procédures obligatoires pour la formation en protection des renseignements personnels.

Admissibilité du demandeur

Établir des procédures pour : confirmer l’identité du demandeur afin de ne pas porter atteinte à la vie privée; etconfirmer le pouvoir d’un individu de présenter une demande au nom d’une autre personne.

Traitement informel

Déterminer s’il est approprié de répondre à une demande de renseignements personnels de façon informelle, en reconnaissant que la Loi vise à compléter les procédures existantes pour obtenir des renseignements personnels détenus par le gouvernement. Procéder uniquement au traitement d’une demande de façon informelle à la réception d’un avis de consentement écrit de la part d’un demandeur qui a été informé du fait que seules les demandes formelles sont assujetties aux dispositions de la Loi sur la protection des renseignements personnels, y compris les délais prévus par la Loi et le droit de déposer une plainte.

Accusés de réception des demandes

Fournir au demandeur : un accusé de réception de la demande; la date d’échéance pour la réponse selon la Loi; les coordonnées de l’agent compétent ou bureau au sein de l’institution qui pourrait répondre aux éventuelles questions et demandes de clarifications supplémentaires; un avis concernant le droit de déposer une plainte auprès du commissaire à la protection de la vie privée;une copie des principes sur l’assistance aux demandeurs ou un lien vers les principes en ligne.

Obligation de prêter assistance

Protection de l’identité du demandeur

Restreindre l’utilisation ou la divulgation de renseignements qui permettraient de reconnaître directement ou indirectement le demandeur aux seules personnes qui ont besoin de les connaître, sauf lorsqu’autorisé autrement par la Loi.

Interprétation et clarification des demandes

Adopter une interprétation large de la demande de renseignements personnels et communiquer rapidement avec le demandeur en cas de besoin afin de préciser la demande. Aider le demandeur à clarifier une demande lorsque cela lui permettrait de bénéficier d’un accès plus complet, précis ou en temps utile.Documenter la formulation d’une demande clarifiée telle qu’elle a été acceptée par le demandeur et la date du changement lorsqu’une demande est clarifiée ou que sa formulation est modifiée.

Examen sur place

Lorsqu’une copie des renseignements personnels ne peut être mise à disposition, assurer un lieu et un moment appropriés au sein de l’institution fédérale pour que le demandeur puisse examiner les documents contenant les renseignements personnels.

Langue de communication des renseignements

Fournir les renseignements personnels dans la langue officielle demandée par le demandeur, y compris la traduction ou l’interprétation des renseignements personnels lorsque cela est nécessaire pour permettre à la personne de comprendre les renseignements.

Format accessible pour les demandeurs

Fournir les renseignements personnels sur le support de substitution demandé par le demandeur, y compris en transférant les documents sur le support de substitution lorsque cela est nécessaire pour permettre au demandeur de comprendre les renseignements et si un tel transfert est raisonnable.

Traitement des demandes de renseignements personnels et des demandes de correction

Utilisation de plateformes désignées

Recevoir les demandes en utilisant les plateformes désignées énumérées à l’annexe D : Plateformes désignées pour la réception et le traitement des demandes de renseignements personnels.Traiter les demandes en utilisant les plateformes désignées énumérées à l’annexe D : Plateformes désignées pour la réception et le traitement des demandes de renseignements personnels lorsque des plateformes ont été désignées.

Système de suivi

Établir et maintenir un système de gestion interne pour suivre : le traitement des demandes de renseignements personnels et des demandes de correction;les corrections effectuées ou mentions portées; les plaintes; les rapports et les recommandations du commissaire à la protection de la vie privée; les révisions par les tribunaux.

Documentation

Documenter le traitement des demandes en versant au dossier tous les documents qui appuient les décisions prises en vertu de la Loi sur la protection des renseignements personnels, y compris les communications où l’on discute des facteurs à prendre en considération lorsque l’on exerce son pouvoir discrétionnaire, où des recommandations sont faites, où des justifications sont fournies et où des décisions sont prises.

Renseignements personnels relevant d’une institution

Déterminer, d'une manière conforme à la jurisprudence et en tenant compte de toute orientation du Secrétariat du Conseil du Trésor (SCT) du Canada, si les renseignements personnels relèvent de l’institution fédérale.

Prorogation du délai

Évaluer, sans retard injustifié, chaque demande reçue en vertu de la Loi afin de déterminer si une prorogation est nécessaire pour le traitement de la demande.Fournir au demandeur, dans les 30 jours suivant la réception de la demande, une explication écrite des motifs de la prorogation si le traitement de la demande de renseignements personnels s’étend sur plus de 30 jours. Informer le demandeur de son droit de déposer une plainte auprès du commissaire à la protection de la vie privée en ce qui concerne la prorogation du délai.Indiquer, dans le rapport annuel de l’institution présenté au Parlement, le nombre de prorogations et les motifs invoqués pour les justifier.

Limiter la nécessité de mener des consultations interinstitutionnelles

Entreprendre une consultation interinstitutionnelle uniquement dans les cas suivants : l’institution qui traite la demande a besoin de plus d’information pour exercer correctement son pouvoir discrétionnaire de ne pas communiquer l’information; oul’institution qui traite la demande a l’intention de communiquer des renseignements potentiellement délicats.Veiller à ce que les demandes de consultation d’autres institutions fédérales soient traitées avec la même priorité que les demandes de renseignements personnels.

Exceptions en matière de communication

Appliquer les dispositions d’exception et d’exclusion conformément à la jurisprudence pertinente et aux orientations du SCT. L’annexe C : Classification des exceptions, énumère les exceptions et indique si elles sont fondées sur un critère objectif ou subjectif et si elles sont de nature discrétionnaire ou obligatoire.Indiquer sur les documents toutes les exceptions et les exclusions invoquées sur chaque page, sauf si une telle précision est susceptible de divulguer les renseignements visés par l’exception ou de faire en sorte que le préjudice sur lequel se fonde l’exception se matérialise.Indiquer clairement les renseignements caviardés d’une manière qui est évidente sur le document individuel.

Autoriser l’accès

Fournir un avis écrit au demandeur indiquant si l’accès lui est accordé.Donner accès à tous les renseignements ou à une partie des renseignements et aviser le demandeur si l’accès est refusé. Aviser les demandeurs de leur droit de déposer une plainte auprès du commissaire à la protection de la vie privée pour des questions relatives aux demandes de renseignements personnels.

Demandes de correction de renseignements personnels et de mention de corrections non effectuées

Établir des procédures permettant de faire en sorte que toute demande de correction et toute mesure subséquente soit présentée en conformité avec le Règlement sur la protection des renseignements personnels et soit documentée.Documenter toute correction apportée à des renseignements personnels et toute mention de corrections demandées mais non effectuées de manière que chaque mention ou correction puisse être extraite et utilisée aussitôt que les renseignements personnels visés sont utilisés à des fins administratives. Aviser les individus et toutes les organisations du secteur public ou privé qui utilisent les renseignements à des fins administratives de toute correction apportée ou demandée aux renseignements personnels.Aviser les demandeurs de leur droit de déposer une plainte auprès du commissaire à la protection de la vie privée pour des demandes de correction de renseignements personnels.

Envisager d’autres moyens de donner accès aux renseignements

Examiner régulièrement la nature des demandes reçues et évaluer la possibilité de rendre disponibles, par d’autres moyens, les types de renseignements fréquemment demandés.

Surveillance et établissement de rapports

Surveiller et établir des rapports sur les exigences de la présente directive, comme le précise la Politique sur la protection de la vie privée.
Les employés des institutions fédérales assument les responsabilités suivantes :

Traitement informel

Recommander, s’il y a lieu, au responsable ou au délégué de communiquer l’information demandée de façon informelle.

Réponses précises, complètes et en temps utile

Faire tous les efforts raisonnables pour chercher, trouver et recueillir les renseignements personnels demandés qui relèvent de l’institution fédérale. S’assurer que les recherches de documents sont complètes et tiennent compte à la fois de la lettre et de l’esprit de la demande.Renvoyer les questions relatives au fait de déterminer si les renseignements personnels relèvent de l’institution fédérale aux responsables de l’Accès à l’information et de la protection des renseignements personnels (AIPRP), qui ont le pouvoir délégué d’effectuer cette détermination. Aviser les responsables de l’AIPRP à un stade précoce si une demande ne peut être traitée dans le délai de 30 jours prévu par la Loi. Faire tous les efforts raisonnables pour répondre aux demandes dans les délais prescrits par la Loi, y compris les prorogations prises conformément à la Loi.

Recommandations

Fournir des recommandations et des renseignements contextuels pour informer le responsable de l’institution fédérale, ou son délégué, sur les exceptions ou exclusions possibles applicables aux renseignements personnels demandés, en tenant compte de l’objet de la Loi.

Contrats et ententes

Établir des mesures pour soutenir le droit d’accès d’une personne à ses renseignements personnels lors de la conclusion de contrats, d’ententes et d’accords.
Les rôles et responsabilités des institutions fédérales découlant de la présente directive sont énoncés à la section 5 de la Politique sur la protection de la vie privée. La présente directive s’applique conformément à la section 6 de la Politique sur la protection de la vie privée.Legislation Instruments de politique connexes Instruments d’orientation connexes Le public peut communiquer avec le service des demandes de renseignements du Secrétariat du Conseil du Trésor du Canada concernant toute question relative à la présente directive.Les employés des institutions fédérales peuvent communiquer avec leur coordonnateur de l’accès à l’information et de la protection des renseignements personnels concernant des questions au sujet de la présente directive.Les coordonnateurs de l’accès à l’information et de la protection des renseignements personnels peuvent communiquer avec la Division de la protection de la vie privée et des données du Secrétariat du Conseil du Trésor du Canada concernant toute question relative à cette directive
critère objectif (class test)
Un critère qui décrit objectivement des catégories de renseignements ou de documents qui peuvent faire l’objet d’une exception en vertu de certaines dispositions de la Loi sur la protection des renseignements personnels. Les exceptions énoncées dans les articles suivants de la Loi sont fondées sur un critère objectif : 18(2) 19(1), 22(1)a), 22(2), 22.1, 22.2, 22.3, 22.4, 23, 24b), 26, 27 et 27.1.
critère subjectif (injury test)
Un critère visant à déterminer le risque raisonnable de préjudice probable qui doit exister pour que certaines dispositions d’exception de la Loi sur la protection des renseignements personnels deviennent applicables. Les articles suivants de la Loi sont fondés sur un critère subjectif : 20, 21, 22(1)b), 22(1)c), 24a), 25 et 28.
demande informelle (informal request)
Une demande de renseignements personnels faite au bureau de l'AIPRP d'une institution fédérale qui n'est pas faite ou traitée en vertu de la Loi. Il n'y a pas de délais pour répondre. De plus, le demandeur n'a pas le droit statutaire de déposer une plainte auprès du commissaire à la protection de la vie privée.
exception discrétionnaire (discretionary exemption)
Une disposition d’exception de la Loi sur la protection des renseignements personnels qui contient l’expression « est tenu de refuser la communication ». Les exceptions énoncées dans les articles suivants de la Loi ont un caractère discrétionnaire : 18(2), 20, 21, 22(1)a), 22(1)b), 22(1)c), 23, 24a), 24b), 25, 27, 27.1 et 28.
exception obligatoire (mandatory exemption)
Une disposition d’exception de la Loi sur la protection des renseignements personnels qui contient l’expression « est tenu de refuser la communication ». Les exceptions énoncées dans les articles suivants de la Loi ont un caractère obligatoire : 19(1), 22(2), 22.1, 22.2, 22.3, 22.4 et 26.
formation en protection des renseignements personnels (privacy training)
Toutes les activités qui contribuent à accroître la sensibilisation à la protection des renseignements personnels, notamment la formation officielle, les groupes de discussion, les conférences, les réunions de la communauté de l’Accès à l’information et de la protection des renseignements personnels, l’apprentissage partagé entre collègues, la formation en cours d’emploi, les projets spéciaux, le jumelage et d’autres activités de communication qui favorisent l’apprentissage dans les domaines décrits à l’annexe B de la présente directive.
système de suivi (tracking system)
Un système de gestion électronique ou sur papier utilisé dans les bureaux de l’AIPRP pour suivre les demandes de renseignement personnels et de correction des renseignements et documenter leur traitement.
tous les efforts raisonnables (every reasonable effort)
Les efforts auxquels une personne juste et raisonnable s’attendrait ou trouverait acceptables.

D’autres définitions sont énumérées à l’annexe A de la Politique sur la protection de la vie privée.

Cette annexe fournit des conseils relatifs à la formation à l’application de la Loi que tous les employés des institutions fédérales devraient recevoir.

Date d’entrée en vigueurLes présentes procédures entrent en vigueur le 26 octobre 2022.Ces procédures étaient auparavant présentées à l’annexe B : Sensibilisation à la protection des renseignements personnels dans la Directive sur les demandes de renseignements personnels et de correction des renseignements personnels entrée en vigueur le 13 juillet 2022.ProceduresCes procédures décrivent en détail les exigences énoncées à l’article 4.1.2 de la Directive sur les demandes de renseignements personnels et de correction des renseignements personnels. Tous les employés des institutions fédérales doivent recevoir une formation sur leurs obligations en vertu de la Loi sur la protection des renseignements personnels et des instruments de politique connexes du Conseil du Trésor. La formation doit porter sur les sujets suivants : l’objet de la Loi;les définitions pertinentes;les responsabilités des employés stipulées dans la Loi et dans la Politique sur la protection de la vie privée et les directives connexes, y compris les principes concernant l’assistance aux demandeurs;la délégation, les décisions relatives aux exceptions et l’exercice du pouvoir discrétionnaire;l’obligation pour les employés de faire tous les efforts raisonnables pour trouver et récupérer les renseignements personnels demandés relèvent de l’institution fédérale;l’exigence de fournir des réponses complètes, précises et en temps utile;le processus des plaintes et les révisions par les tribunaux;les pratiques solides en matière de la protection de la vie privée et de la sécurité pour la création, la collecte, la conservation, l’attestation de sécurité, la validation, l’utilisation, la communication et le retrait des renseignements personnels;la gestion des atteintes à la vie privée; etles politiques, procédures et protocoles spécifiques de l’institution fédérale se rapportant à l’application de la Loi sur la protection des renseignements personnels, y compris les politiques sur la gestion de l’information.Tous les employés des institutions fédérales qui ont une responsabilité fonctionnelle ou déléguée en matière d’application de la Loi sur la protection des renseignements personnels et du Règlement sur la protection des renseignements personnels doivent recevoir une formation portant sur les éléments énumérés ci-dessus ainsi que sur les éléments suivants : les dispositions concernant la prorogation des délais, les exceptions et les exclusions, et la langue de communication, le support et les méthodes d’accès;les exigences en matière d’établissement de rapports publics, y compris les rapports annuels au Parlement;le rôle du commissaire à la protection de la vie privée, de la commissaire à l’information et des comités permanents du Parlement en ce qui concerne la Loi.

Le tableau ci-dessous présente la liste de toutes les exceptions prévues par la Loi sur la protection des renseignements personnels et indique si elles sont fondées sur un critère objectif ou subjectif et si elles sont obligatoires ou discrétionnaires. Les descriptions sont paraphrasées et doivent être utilisées comme aide-mémoire seulement. Pour plus de détails, reportez-vous à l’article pertinent de la Loi.

ExemptionBrève description des exceptionsObligatoireDiscrétionnaireClassBlessure
Paragraphe 18(2)L’accès peut être refusé en raison du fait que les renseignements personnels se trouvent dans un fichier inconsultable qui contient principalement des renseignements personnels décrits aux articles 21 et 22 de la Loi. nonouiouinon
Paragraphe 19(1)

Les renseignements personnels qui doivent être protégés puisqu’ils ont été obtenus à titre confidentiel auprès :

  • du gouvernement d’un État étranger;
  • d’une organisation internationale d’État;
  • du gouvernement d’une province;
  • d’une administration municipale ou régionale;
  • du conseil de la première nation de Westbank;
  • du conseil d’une première nation, au sens de la Loi sur la compétence des Premières Nations en matière d’éducation en Colombie-Britannique.
ouinon **ouinon
Article 20L’accès peut être refusé car la divulgation pourrait être préjudiciable à la conduite des affaires fédérales-provinciales du gouvernement du Canada.nonouinonoui
Article 21L’accès peut être refusé car la divulgation pourrait être préjudiciable à la conduite des affaires internationales, à la défense du Canada ou de tout État allié ou associé avec le Canada, ou aux efforts du Canada pour détecter, prévenir ou éliminer des activités subversives ou hostiles.nonouinonoui
Alinéa 22(1)a)L’accès peut être refusé car les renseignements personnels ont été obtenus ou préparés par un organisme d’enquête (conformément au règlement) dans le cadre d’une enquête concernant : la détection, la prévention ou la répression du crime, l’application de toute loi du Canada ou d’une province; ou des activités soupçonnées de constituer des menaces pour la sécurité du Canada, conformément à la Loi sur le Service canadien du renseignement de sécuriténonouiouinon
Alinéa 22(1)b)L’accès peut être refusé car la divulgation risquerait vraisemblablement de nuire aux activités destinées à faire respecter les lois fédérales ou provinciales ou au déroulement d’enquêtes licites.nonouinonoui
Alinéa 22(1)c)L’accès peut être refusé car la divulgation risquerait vraisemblablement de nuire à la sécurité des établissements pénitentiaires.nonouinonoui
Paragraphe 22(2)Les renseignements personnels doivent être protégés car ils ont été obtenus par la Gendarmerie royale du Canada dans l’exercice de fonctions de police provinciale ou municipale.ouinonouinon
Article 22.1*Les renseignements personnels doivent être protégés car ils ont été obtenus ou créés par le commissaire à la protection de la vie privée au cours d’une enquête ou d’une consultation avec la commissaire à l’information.ouinonouinon
Article 22.2*Les renseignements personnels doivent être protégés car ils ont été obtenus ou créés par le commissaire à l’intégrité du secteur public au cours d’une enquête sur une divulgation ou d’une enquête ouverte en vertu de l’article 33 de la Loi sur la protection des fonctionnaires divulgateurs d’actes répréhensibles (LPFDAR).ouinonouinon
Article 22.3Les renseignements personnels doivent être protégés car ils ont été créés dans le but de faire une divulgation ou au cours d’une enquête sur une divulgation en vertu de la LPFDAR.ouinonouinon
Article 22.4*Les renseignements personnels doivent être protégés car ils ont été obtenus ou créés par le Secrétariat du Comité des parlementaires sur la sécurité nationale et le renseignement ou pour son compte dans l’exercice de son mandat.ouinonouinon
Article 23L’accès peut être refusé si les renseignements personnels ont été obtenus ou préparés lors d’enquêtes de sécurité. nonouiouinon
Paragraphe 24a)La divulgation pourrait avoir des conséquences négatives sur la libération conditionnelle ou d’office du demandeur car les renseignements personnels ont été recueillis ou obtenus par le Service correctionnel du Canada ou la Commission des libérations conditionnelles du Canada pendant que l’individu qui a présenté la demande était sous le coup d’une condamnation à la suite d’une infraction à une loi fédérale.nonouinonoui
Paragraphe 24b)L’accès peut être refusé à des renseignements personnels obtenus à titre confidentiel au sujet de services correctionnels ou d’une libération conditionnelle.nonouiouinon
Article 25L’accès peut être refusé si la divulgation risque vraisemblablement de nuire à la sécurité des individus.nonouinonoui
Article 26L’accès peut être refusé à des renseignements personnels concernant un individu autre que le demandeur.  Ces renseignements doivent être protégés lorsque leur divulgation est interdite en vertu de l’article 8 de la Loi.ouinon **ouinon
Article 27L’accès peut être refusé aux renseignements personnels soumis au secret professionnel de l’avocat ou du notaire.nonouiouinon
Article 27.1L’accès peut être refusé aux renseignements personnels protégés aux termes de l’article 16.1 de la Loi sur les brevets et de l’article 51.13 de la Loi sur les marques de commerce.nonouiouinon
Article 28La divulgation du dossier médical relatif à la santé physique ou mentale de la personne pourrait aller à l’encontre des intérêts de la personne. nonouinonoui

* L’exception ne peut être invoquée que par les institutions fédérales nommées dans la disposition.

** Là où l’exercice du pouvoir discrétionnaire est autorisé.

Cette annexe fournit des détails sur les exigences énoncées aux sections 4.1.15 et 4.1.16 de la Directive sur les demandes de renseignements personnels et de correction des renseignements personnels.

Date d’entrée en vigueurCette liste a été mise à jour le 26 octobre, 2022.Cette liste était énoncée auparavant dans l’Annexe D : Plateformes désignées pour la réception et le traitement des demandes de renseignements personnels de la Directive sur les demandes de renseignements personnels et de correction des renseignements personnels datée du 13 juillet 2022.Plateformes désignéesRéception des demandes La plateforme désignée est l’AIPRP en ligne du SCT. Les demandes peuvent être reçues sur d’autres supports, tels que le courrier électronique ou le papier.Il n’y a aucune plateforme pour le traitement des demandes. Cependant, les solutions approuvées pour les ministères sont accessibles par le biais des outils de passation de marchés désignés pour les solutions logicielles de traitement des demandes de l’AIPRP.Pour demander une exception aux plateformes désignées, les institutions fédérales doivent s’adresser à la Division de la protection de la vie privée et des données afin d’obtenir de plus amples renseignements.