Bonnes questions à se poser!

En tant qu’entreprise, la Loi sur la protection des renseignements personnels dans le secteur privé vous impose certaines obligations.

Voici 10 bonnes questions à se poser pour éviter les faux pas en matière de collecte, d’utilisation, de communication et de conservation de renseignements personnels dans le cadre de l’exercice de ses activités.

1. Qu’est-ce qu’un renseignement personnel?

En vertu de la Loi sur la protection des renseignements personnels dans le secteur privé (ou Loi sur le privé), trois critères permettent de déterminer ce qu’est un renseignement personnel. Il doit s’agir d’un renseignement qui fait connaître quelque chose sur une personne physique et qui permet de l’identifier.

Ainsi, sont notamment des renseignements personnels :

  • l’identité d’une personne;
  • le numéro d’assurance-maladie (« NAM »);
  • le numéro de plaque d’immatriculation;
  • un rapport d’évaluation;
  • un enregistrement vidéo ou audio d’une personne;
  • les antécédents judiciaires.

Toutefois, si une seule information peut paraître anodine, elle peut, quand elle est combinée à d’autres, permettre d’identifier une personne physique.

Dans ce contexte, ces informations constituent des renseignements personnels.

Disposition applicable : art. 2 Loi sur le privé

2. Pour quelles raisons un dossier sur autrui peut-il être constitué?

Pour pouvoir constituer un dossier sur autrui, une entreprise doit avoir un intérêt sérieux et légitime, préalablement déterminé. Cette finalité doit être claire et définie au moment de la collecte.

Par conséquent, il n’est pas possible d’anticiper la collecte de renseignements personnels en vue d’une finalité future et indéterminée.

Disposition applicable : art. 4 Loi sur le privé

3. Quels sont les renseignements personnels qui peuvent être recueillis?

Une entreprise ne doit recueillir que les renseignements personnels nécessaires à l’objet du dossier. Il en est ainsi lorsque chaque fin spécifique poursuivie par l’entreprise est légitime, importante, urgente et réelle, et lorsque l’atteinte au droit à la vie privée que peut constituer la cueillette, la communication ou la conservation de chaque élément de renseignement est proportionnelle à cette fin.

Le fardeau de démontrer la nécessité de recueillir ces renseignements personnels repose sur l’entreprise.

Le consentement de la personne doit être demandé pour obtenir des renseignements personnels auprès d’une autre personne.

Une entreprise ne peut (sauf exception prévue par la loi) refuser un bien, un service ou un emploi à une personne qui refuse de lui communiquer un renseignement personnel qui n’est pas nécessaire.

Attention : on ne peut déroger au principe de nécessité, et ce même avec le consentement de la personne concernée. Et en cas de doute, un renseignement personnel est réputé non-nécessaire.

Disposition applicable : art. 5 Loi sur le privé

Pour aller plus loin, voir notamment :

4. Dois-je informer les personnes dont je souhaite utiliser les renseignements personnels?

Au moment de constituer un dossier, une entreprise doit informer les personnes concernées de l’objet du dossier, de son utilisation, de leurs droits d’accès et de rectification et des catégories de personnes qui y auront accès ainsi que de l’endroit (Québec ou autre province/territoire/pays) où il sera conservé.

Disposition applicable : art. 8 Loi sur le privé

5. Auprès de qui puis-je recueillir des renseignements personnels?

Une entreprise doit recueillir les renseignements personnels auprès de la personne concernée ou bien auprès de tiers si la personne concernée y consent ou que la loi l’autorise.

Le consentement doit être manifeste, libre, éclairé et donné à des fins spécifiques.

Dispositions applicables : art. 6 et 14 Loi sur le privé

6. Quelle utilisation puis-je faire des renseignements personnels?

L’utilisation doit être pertinente à l’objet du dossier, sinon il s’agit d’une utilisation secondaire nécessitant le consentement de la personne concernée.

Aussi, les renseignements personnels qu’une entreprise détient doivent être à jour et exacts au moment de les utiliser.

Dispositions applicables : art. 11 et 13 Loi sur le privé

7. Ai-je le droit de partager les renseignements personnels que j’ai recueillis?

Les renseignements personnels doivent demeurer confidentiels et ne peuvent être communiqués à des tiers sans le consentement de la personne concernée (sauf exception prévue par la loi).

Dispositions applicables : art. 13 et 18 Loi sur le privé

8. Quelle sécurité accorder aux renseignements personnels collectés?

Une entreprise doit adopter des mesures de sécurité raisonnables et adaptées à la sensibilité, à la finalité, à la quantité et au support des renseignements personnels collectés, y compris lorsqu’elle communique ces renseignements personnels à des tiers.

Disposition applicable : art. 10 Loi sur le privé

Pour aller plus loin, voir notamment :

9. Quelles précautions prendre à l’égard des renseignements personnels qui sont communiqués à l’extérieur du Québec?

Une entreprise qui entend communiquer des renseignements personnels à l’extérieur du Québec ou qui confie à une personne à l’extérieur du Québec la tâche de détenir, d’utiliser ou de communiquer pour son compte de tels renseignements doit au préalable prendre tous les moyens pour s’assurer que :

  • les renseignements ne seront pas utilisés à d’autres fins, ni communiqués à des tiers sans le consentement de la personne concernée, sauf exception prévue à la Loi sur la protection des renseignements personnels dans le secteur privé;
  • les personnes concernées dont les renseignements (nom, numéros de téléphone, adresses postale ou électronique) sont contenus dans une liste nominative ont eu l’occasion de s’opposer à l’utilisation de leurs renseignements à des fins de prospection commerciale ou philanthropique et, le cas échéant, de les faire retirer de la liste.

Si l’entreprise estime que la personne (organisme ou entreprise) située à l’extérieur du Québec n’est pas en mesure d’assurer de telles garanties, elle doit refuser de communiquer ou de confier les renseignements personnels qu’elle détient à l’extérieur du Québec.

Disposition applicable : art. 17 Loi sur le privé

10. Quand et comment détruire les renseignements personnels?

Une entreprise doit détruire les renseignements personnels qu’elle détient dès que l’objet pour lequel ils ont été recueillis est accompli (sous réserve du délai légal ou du calendrier de conservation).

La méthode de destruction choisie doit être définitive, adaptée au support et au niveau de confidentialité des renseignements personnels.

Dispositions applicables : art. 10 et 12 Loi sur le privé

Pour aller plus loin, voir notamment :

11. Les personnes concernées peuvent-elles avoir accès à leurs renseignements personnels?

Toute personne justifiant de son identité à titre de personne concernée a le droit d’être informée qu’une entreprise détient des renseignements personnels sur elle et peut demander à ce que ceux-ci soient rectifiés ou supprimés s’ils sont inexacts, incomplets ou équivoques.

Une entreprise doit répondre à une demande d’accès ou de rectification dans les 30 jours de la date de sa réception. Une absence de réponse, à l’expiration de ce délai, équivaut à un refus qui donne ouverture à un recours devant la Commission d’accès à l’information : on parle d’examen de mésentente.

Dispositions applicables : art. 27 et suiv.; 42 et suiv. Loi sur le privé

Pour aller plus loin, voir notamment :

Schéma d'une demande d'examen de mésentente