En principe, une entreprise doit limiter l’utilisation des renseignements personnels afin de respecter le droit à la vie privée des citoyens. À titre de représentant d’une entreprise, votre vigilance quant au respect de Loi sur le privé contribue à la préservation de ce droit fondamental.
En matière de protection des renseignements personnels, la notion de consentement s’ajoute au critère de nécessité. C’est ce dernier qui doit prédominer en toute circonstance.
Pour utiliser des renseignements personnels à de nouvelles fins :
- Vous devez d’abord évaluer la nécessité d’utiliser un renseignement personnel, pour ensuite obtenir le consentement de la personne concernée.
De plus, le consentement d’une personne doit être spécifique à une seule utilisation.
Par exemple :
- Vous ne pouvez pas réutiliser un renseignement pour un autre usage que celui pour lequel vous avez obtenu le consentement de la personne concernée. En d’autres mots, vous devez de nouveau solliciter son consentement si vous prévoyez de faire une autre utilisation de ce même renseignement personnel.
La limitation de l’utilisation des renseignements personnels favorise leur protection.
En principe, une entreprise peut utiliser un renseignement personnel :
- Pour les raisons qui ont justifié sa collecte;
- Seulement après en avoir informé la personne concernée.
À compter du 22 septembre 2023, la Loi vous autorisera toutefois à utiliser un renseignement personnel sans l’obtention du consentement dans ces situations exceptionnelles :
- Quand les objectifs pour lesquels il a été préalablement recueilli sont compatibles avec son utilisation. Pour être « compatibles », ces objectifs doivent avoir un lien pertinent et direct avec les objectifs initiaux. La prospection commerciale ou philanthropique n’est pas considérée comme une utilisation compatible avec les objectifs initiaux;
- Quand son utilisation est manifestement au bénéfice de la personne concernée;
- Quand son utilisation est nécessaire pour prévenir ou détecter la fraude ou encore pour évaluer et améliorer les mesures de protection et de sécurité;
- Quand son utilisation est nécessaire pour fournir ou livrer un produit ou assurer un service demandé par la personne concernée;
- Quand son utilisation est nécessaire à des fins d’étude, de recherche ou de production de statistiques au sein de votre entreprise et qu’il est dépersonnalisé. Dans ce cas, vous devrez prendre les mesures raisonnables pour minimiser les risques qu’une personne physique soit réidentifiée à partir de renseignements dépersonnalisés.
À noter : les exceptions relatives au consentement doivent être interprétées de manière restrictive. Quand la situation le permet, la Commission vous invite à privilégier l’obtention du consentement plutôt que le recours à l’exception.
Mise à jour : 25 juillet 2023