Protection des renseignements personnels

Un organisme public qui collecte, utilise, communique et conserve des renseignements personnels, c’est-à-dire tout renseignement qui concerne une personne physique et permet de l’identifier, doit respecter plusieurs obligations, à savoir :

  • Nécessité : Un organisme public ne peut recueillir un renseignement personnel que si cela est nécessaire à l’exercice de ses attributions ou à la mise en œuvre d’un programme dont il a la gestion;
  • Informer : Préalablement à la collecte et par la suite sur demande, un organisme public doit informer la personne concernée :
  • Sécurité : Un organisme public doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits. Ces mesures doivent être raisonnables compte tenu, notamment, de la sensibilité, de la finalité, de la quantité, de la répartition et du support des renseignements personnels;
  • Utilisation : Les renseignements personnels collectés par un organisme public ne peuvent être utilisés qu’aux fins pour lesquelles ils ont été recueillis, sauf consentement de la personne concernée ou exceptions prévues par la Loi;
  • Communication : Les renseignements personnels collectés par un organisme public sont confidentiels, ils ne peuvent donc être communiqués à un tiers, sauf consentement de la personne concernée ou exceptions prévues par la Loi. Par ailleurs, lorsqu’un organisme public entend communiquer à l’extérieur du Québec des renseignements personnels ou de confier à une personne ou à un organisme à l’extérieur du Québec la tâche de détenir, d’utiliser ou de communiquer pour son compte de tels renseignements, il doit s’assurer qu’ils bénéficieront d’une protection équivalent à celle que la Loi lui impose;
  • Exactitude : Un organisme public doit veiller à ce que les renseignements personnels qu’il conserve soient à jour, exacts et complets pour servir aux fins pour lesquels ils sont recueillis;
  • Destruction : Sauf exceptions, un organisme public doit détruire les renseignements personnels recueillis ou utilisés lorsque les finalités sont accomplies;
  • Répondre avec diligence aux demandes d’accès aux renseignements personnels, et de rectification, soumises par les personnes concernées.

Un organisme public dispose d’au plus 20 jours civils pour répondre à une demande d’accès ou de rectification. Toutefois, ce délai peut être prolongé de 10 jours, si cela s’avère nécessaire. L’absence de réponse, à l’expiration de ce délai, équivaut à un refus qui, tout comme en cas de réponse insatisfaisante, donne ouverture à un recours devant la Commission d’accès à l’information.