Celui qui procède ou fait procéder au traitement des renseignements personnels assume la responsabilité qui en découle. Il lui incombe de prendre toutes les mesures requises afin que les principes relatifs à la protection des renseignements personnels aient plein effet. L’usager doit être en mesure de déterminer facilement l’existence et la nature des renseignements personnels collectés et détenus et les finalités de leur utilisation (Loi sur le secteur privé, art. 8 et 27; Loi sur l’accès, art. 65 et 83). Il faut expliquer de façon claire et simple quel type de renseignement personnel est recueilli, dans quel but et expliquer la manière dont cette information est traitée. L’usager ne doit pas être laissé dans un état d’incertitude quant à la politique du site concernant la protection des renseignements personnels. Ainsi le concepteur d’un environnement doit éviter que soient recueillies des informations personnelles sans que les usagers soient informés au préalable de la façon dont ces renseignements seront traités et utilisés. L’usager qui se fait demander des renseignements personnels dont on n’a pas démontré la nécessité, compte tenu du bien ou du service concerné, doit s’interroger si les risques qu’il prend à l’égard de la protection des renseignements personnels ne sont pas trop élevés. La personne concernée a un droit d’accès à son dossier. Cela emporte l’obligation de permettre l’accès à ce dossier d’une manière simple et facile. Le plus souvent, on cherchera à assurer les accès à ces dossiers par un mécanisme en ligne. En outre, la personne concernée doit avoir la possibilité de corriger ou effacer les informations erronées ou incomplètes la concernant. Elle dispose d’un droit de recours auprès de la Commission d’accès à l’information lorsque ces droits lui sont refusés. |