Dernière mise à jour: 1^er février 2021

Objectif

Le présent document énonce les attentes de l’Office de la réglementation de la construction des logements (ORCL) à l’égard des titulaires de permis en ce qui concerne la gestion et la protection de la confidentialité des renseignements personnels et commerciaux de nature délicate qu’un titulaire de permis recueille, utilise ou partage à titre de constructeur ou de vendeur.

Obligation

Tous les titulaires de permis ont l’obligation légale de gérer et de protéger les renseignements confidentiels dans le cadre de leurs activités. Cela comprend l’information en format numérique et papier. En vertu de la Loi de 2017 sur l’agrément en matière de construction de logements neufs, l’article 3 du paragraphe 1 du Règlement de l’Ontario 626/20: Dispositions générales, stipule ce qui suit:

Le titulaire de permis doit maintenir des mesures raisonnables de sécurité des données afin de protéger les renseignements personnels et autres renseignements qu’il recueille, conserve, utilise, transfère, divulgue et élimine.

Portée des renseignements confidentiels

Dans le cadre de ses activités, un titulaire de permis peut recevoir ou créer des renseignements qui devraient demeurer confidentiels et privés. Ces renseignements personnels et commerciaux de nature délicate comprennent des renseignements qui ne devraient être communiqués qu’à des personnes ou des entités précises à des fins précises. Cela comprend l’information en format numérique et papier. Ces renseignements sont collectivement appelés « renseignements confidentiels ».

Lignes directrices de l’ORCL pour protéger les renseignements confidentiels

 1.    Confidentialité

L’ORCL s’attend à ce que les titulaires de permis établissent une politique de confidentialité pour protéger les renseignements confidentiels. Une entente de confidentialité écrite et signée doit être en place entre tous les titulaires de permis et leur personnel, leurs agents et/ou leurs entrepreneurs indépendants pour communiquer clairement et reconnaître leurs responsabilités quant à la façon dont ils obtiennent, stockent, consultent et éliminent les renseignements confidentiels concernant les consommateurs, les employés et les activités commerciales du titulaire de permis.

2.    Protéger les renseignements confidentiels

Il est important de s’assurer que tous les renseignements confidentiels demeurent protégés, surtout lorsqu’ils sont distribués. Cela signifie que seules les personnes autorisées à traiter des renseignements confidentiels devraient avoir accès à ces renseignements et être autorisées à les partager. Les titulaires de permis sont tenus d’avoir une politique sur la façon dont ils protègent les renseignements. Il y a plusieurs façons d’assurer la sécurité des renseignements:

a.    Envoi et réception de renseignements

Lorsque des personnes doivent envoyer des renseignements confidentiels à l’extérieur des bureaux du titulaire de permis, des mesures doivent être prises pour s’assurer que les renseignements sont protégés et ne peuvent être consultés par des personnes autres que le destinataire prévu.

Les copies électroniques de renseignements confidentiels doivent être acheminée sous forme chiffrée, qui n’est pas facilement accessible, par exemple au moyen d’un dispositif protégé par un mot de passe ou d’un service infonuagique. Il n’est pas conseillé d’envoyer des fichiers confidentiels à des comptes de courriel personnels, comme Hotmail et Gmail, parce qu’une fois qu’un courriel a été envoyé, la sécurité de l’information ne peut pas être contrôlée. L’utilisation du courriel pour transmettre des renseignements confidentiels n’est pas recommandée, à moins que les deux parties acceptent de garder ces renseignements confidentiels.

Les copies papier des renseignements confidentiels doivent être déplacées avec soin. Les dossiers et les documents ne doivent jamais être laissés sans surveillance là où les autres peuvent les consulter.

b.    Partage de renseignements

L’ORCL rappelle aux titulaires de permis que les plateformes en ligne ou de médias sociaux comme Twitter, Facebook, Instagram, les salles de clavardage, les wikis ou les blogues sont publiques. Les personnes qui souhaitent utiliser les plateformes de médias sociaux ne doivent pas discuter de renseignements confidentiels dans une tribune publique ou de les communiquer.

Les personnes doivent également faire preuve de prudence lorsqu’elles discutent de renseignements confidentiels avec des personnes à l’extérieur du travail. Par exemple, les particuliers doivent faire des efforts pour s’assurer que les renseignements confidentiels ne sont pas discutés en public, où ils peuvent être entendus par d’autres.

c.    Stockage des renseignements

Les renseignements doivent être conservés de façon sécuritaire. Les copies papier des dossiers ou des documents doivent être conservées dans un endroit sécurisé accessible uniquement aux personnes autorisées à traiter des renseignements confidentiels. Les copies électroniques doivent être stockées sur des appareils dotés de caractéristiques de sécurité, y compris un accès protégé par mot de passe et/ou le chiffrement du disque dur. Si des plateformes de stockage en nuage sont utilisées, le titulaire de permis devrait confirmer que les caractéristiques de sécurité empêchent l’accès externe non autorisé à des renseignements confidentiels.

On s’attend à ce que les renseignements confidentiels ne soient pas stockés de façon permanente, mais seulement pour la durée requise pour accomplir la tâche ou le projet en question, ou pour la durée de la garantie, ou pour toute raison juridique de conserver ces renseignements plus longtemps. (p. ex., cas juridiques possibles).

d.    Destruction de renseignements

L’ORCL s’attend à ce que les titulaires de permis détruisent tous les renseignements confidentiels de façon sécuritaire, ce qui fait partie de leur politique sur la protection des renseignements confidentiels.

Les fichiers électroniques de renseignements confidentiels doivent être supprimés de façon permanente à chaque endroit où ils ont été sauvegardés, notamment les disques durs internes et externes, les clés USB, les lecteurs réseau, les téléphones intelligents et autres appareils mobiles. S’il y a lieu, supprimez les renseignements du dossier « Messages supprimés » ou « Corbeille ». Les copies papier des renseignements confidentiels doivent être déchiquetées de façon sécuritaire.

3.    Atteinte à la sécurité des renseignements

Le respect des attentes énoncées dans le présent document aidera à assurer la protection de la confidentialité des renseignements. Il peut y avoir des situations où, malgré ces pratiques, on craint que la confidentialité des renseignements ait été compromise et qu’il y ait eu atteinte à la sécurité des renseignements.

Le titulaire de permis doit informer l’ORCL d’une atteinte importante à la confidentialité. Les titulaires de permis, leurs employés et les entrepreneurs sont tenus de respecter la politique du titulaire de permis sur la sécurité des renseignements. Si un employé ou un entrepreneur du titulaire de permis soupçonne qu’une atteinte a été commise, ce dernier doit en être informé immédiatement. L’ORCL s’attend à ce que les titulaires de permis évaluent soigneusement la situation et prennent toutes les mesures nécessaires pour réduire au minimum la compromission des renseignements, notamment la communication avec la police, avec toute personne ou entreprise dont les renseignements pourraient avoir été compromis et avec toute autre personne qui devrait raisonnablement être informée de l’atteinte.

Défaut de protéger les renseignements

Le titulaire de permis est tenu, comme condition de son permis, de protéger les renseignements confidentiels qu’il obtient. Le défaut de mettre en œuvre des mesures raisonnables pour protéger la sécurité des renseignements confidentiels est contraire à la condition de permis prévue dans le Règlement et pourrait entraîner des mesures de conformité en matière de permis, comme des conditions supplémentaires pour un permis, des exigences en matière d’éducation ou de formation ou d’autres mesures appropriées dans les circonstances.

Ressources

Les titulaires de permis qui mènent des activités commerciales doivent également se conformer à la Loi sur la protection des renseignements personnels et les documents électroniques (Canada). Pour de plus amples renseignements, veuillez consulter le Guide du commissaire à la protection de la vie privée du Canada à l’intention des entreprises: https://priv.gc.ca/media/2039/guide_org_f.pdf