Politique de confidentialité : une obligation pour toute collecte
La publication d’une politique de confidentialité est obligatoire, tant pour les organismes publics que les entreprises. Si vous recueillez des renseignements personnels à l’aide d’une technologie, cette politique doit être publiée dans votre site Web. Les personnes concernées doivent aussi être informées des renseignements que vous recueillez sur elles.
Par exemple, lorsque vous utilisez une application en vue de recueillir des renseignements personnels, les personnes concernées doivent avoir accès à votre politique de confidentialité.
Qu’est-ce qu’une politique de confidentialité?
Il s’agit d’une politique expliquant les pratiques d’un organisme public ou d’une entreprise pour protéger les renseignements personnels recueillis au moyen d’une technologie. Son objectif est de fournir aux personnes concernées toutes les informations nécessaires à une prise de décision éclairée lors de la collecte et de la circulation de leurs renseignements.
Cette politique doit être articulée selon le contexte dans lequel elle s’inscrit et informer les personnes :
- Des renseignements personnels collectés et des fins pour lesquelles ils sont recueillis;
- Des communications de ces renseignements qui pourraient être effectuées ;
- Des mesures de protection mises en place pour préserver la confidentialité des renseignements personnels;
- Du recours à l’utilisation de témoins de connexion (cookies), si tel est le cas.
- De toute modification apportée à la politique, si tel est le cas.
La politique de confidentialité doit aussi permettre aux personnes concernées de comprendre l’utilisation et la circulation de leurs renseignements. Elles doivent pouvoir exercer ou faire valoir leurs droits en toute connaissance de cause. Par conséquent, cette politique doit être rédigée en termes simples et clairs.
Paramètres de confidentialité
Les organismes publics et les entreprises qui recueillent des renseignements personnels en offrant des produits ou des services doivent :
- S’assurer que les paramètres de confidentialité par défaut assurent le plus haut niveau de confidentialité, et ce, sans aucune intervention de la personne concernée.
Les paramètres de confidentialité d’un témoin de connexion ne sont pas visés par cette exigence.
Spécificités pour les organismes publics et les entreprises
Peu importe la technologie utilisée, des informations spécifiques doivent être communiquées aux personnes concernées, et ce, lors de chaque collecte. Les lois applicables prévoient cependant certaines distinctions.
Organismes publics
Le contenu et les modalités de la politique de confidentialité ainsi que l’avis en cas de modification seront éventuellement déterminés par un règlement du gouvernement.
Dans l’attente de ce règlement, des obligations en matière de transparence doivent être respectées. Consultez la page Informations à fournir avant la collecte de renseignements personnels.
Entreprises
Contrairement au secteur public, les modalités de la politique de confidentialité des entreprises ne feront pas l’objet d’un règlement du gouvernement. Des obligations de transparence doivent cependant être respectées. Consultez la page Informations à fournir avant une collecte de renseignements personnels.
Mise à jour : 17 août 2023