Protection des renseignements personnels

Une entreprise qui recueille, détient, utilise ou communique à des tiers des renseignements personnels doit respecter plusieurs obligations, à savoir :

  • Nécessité :  Une entreprise qui recueille des renseignements personnels doit avoir un intérêt sérieux et légitime pour constituer un dossier sur autrui. Elle ne doit collecter que les seuls renseignements nécessaires à l’obtention du bien ou du service et cela doit se faire par des moyens licites.Sauf exceptions, la collecte doit se faire auprès de la personne concernée;
  • Consentement :  Sauf exceptions, avant de collecter, utiliser ou communiquer des renseignements personnels, une entreprise doit obtenir le consentement de la personne concernée. Ce consentement doit être manifeste, libre, éclairé et être donné à des fins spécifiques. De plus, il ne vaut que pour la durée nécessaire à la réalisation des fins pour lesquelles il a été demandé;
  • Informer :  Avant de constituer un dossier, une entreprise doit informer la personne concernée des finalités du dossier, de l’utilisation qui sera faite des renseignements personnels, des catégories de personnes qui y auront accès au sein de l’entreprise et de l’endroit où ils seront détenus. L’entreprise doit également informer les personnes concernées des droits d’accès et de rectification qui leur sont accordés par la Loi;
  • Sécurité : Une entreprise doit prendre les mesures de sécurité propre à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservé ou détruits. Ces mesures doivent être raisonnables compte tenu, notamment, de la sensibilité, de la finalité, de la quantité, de la répartition et du support des renseignements personnels;
  • Utilisation :  Une entreprise doit obtenir le consentement de la personne concernée pour utiliser ses renseignements une fois l’objet du dossier accompli, sauf exceptions prévues par la loi;
  • Communication : Une entreprise doit obtenir le consentement de la personne concernée pour communiquer ses renseignements à autrui, sauf exceptions prévues par la Loi;
  • Exactitude : Une entreprise doit veiller à ce que les renseignements personnels qu’elle détient soient à jour et exacts au moment où elle les utilise pour prendre une décision relative à la personne concernée;
  • Répondre avec diligence aux demandes d’accès aux renseignements personnels, et de rectification, soumises par les personnes concernées.

Une entreprise doit donner suite à une demande d’accès ou de rectification dans les 30 jours de la date de sa réception. L’absence de réponse, à l’expiration de ce délai, équivaut à un refus qui, tout comme en cas de réponse insatisfaisante, donne ouverture à un recours devant la Commission d’accès à l’information.

Pour aller plus loin, la Commission met à la disposition des entreprises – et du public – de la documentation sur la protection des renseignements personnels dans la section Publications et documentation.