5 mai 2020 – Dans le contexte actuel, des initiatives, notamment technologiques, sont proposées avec l’objectif déclaré de contribuer à limiter la propagation de la COVID-19. Pour ne donner que quelques exemples : applications d’autodiagnostic ou de traçage des contacts, objets connectés visant le suivi du respect des consignes d’isolement ou de détection de symptômes, ou encore outils de détection et de surveillance de foules, tels les drones ou les caméras thermiques.

Plusieurs de ces initiatives impliquent une intrusion importante dans la vie privée des citoyens, sans compter une atteinte à d’autres droits fondamentaux. Que faire?

Pour un organisme public ou une entreprise

Vous envisagez un tel projet?

• Évaluez d’abord la nécessité d’y recourir : est-ce que l’objectif poursuivi justifie de mettre en place une telle solution?
• Vous devez aussi évaluer la proportionnalité du projet : est-ce que l’atteinte à la vie privée qu’il implique est proportionnelle à l’objectif poursuivi?
• Assurez-vous que les modalités de la solution envisagée respectent les principes, les règles et les meilleures pratiques de protection des renseignements personnels.

Malgré l’importance de la crise actuelle et le besoin de respecter certaines mesures préventives, on ne saurait faire l’économie de cette évaluation préalable qui permet de prendre une décision éclairée et de faire des choix judicieux et réfléchis, respectueux des droits des citoyens et de vos obligations – sans compter qu’investir dans une solution sans s’être assuré de sa conformité aux règles applicables peut être coûteux.

Comment vous y prendre?

Réalisez une évaluation des facteurs à la vie privée. Cette évaluation permet d’identifier dès le début d’un projet les enjeux en matière de vie privée et de protection des renseignements personnels et d’ajuster la solution de manière à respecter la loi et à minimiser ses impacts sur la vie privée. La Commission a élaboré un guide pour vous accompagner dans cette démarche.

Le document de réflexion publié récemment par la Commission au sujet du recours à certaines technologies en temps de pandémie contient aussi des éléments d’analyse pertinents pour réaliser cette évaluation. Bien que les exemples ou questions particulières qui y sont énoncés visent plus spécifiquement certaines technologies, la démarche d’analyse et les principes s’appliquent à d’autres contextes.

Au Québec, la Loi sur la protection des renseignements personnels dans le secteur privé et la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels prévoient des obligations que doivent respecter les entreprises et les organismes publics. La Loi concernant le cade juridique des technologies de l’information prévoit des obligations supplémentaires, notamment pour le recours à des renseignements de nature biométrique.

Enfin, les autorités de santé publique pourraient exiger la mise en place de mesures spécifiques ou une certaine vigilance particulière. Suivez ces recommandations tout en vous assurant de ne recueillir que les renseignements sur la santé des individus qui auraient été sollicités par les autorités compétentes.

Pour le citoyen

Vous avez des doutes au sujet d’une pratique concernant la protection des renseignements personnels par un organisme public ou une entreprise privée? Vous pouvez nous contacter par courriel :  cai.communications@cai.gouv.qc.ca ou porter plainte à la Commission.

La Commission a pour fonction de promouvoir la protection des renseignements personnels en rappelant aux organismes publics et aux entreprises, mais aussi aux citoyens, leurs droits et obligations découlant des lois citées précédemment. Elle a aussi pour fonction de surveiller leur application. À ce titre, elle peut, après avoir fourni l’occasion à un organisme public ou à une entreprise de présenter ses observations, recommander ou ordonner l’application de toute mesure corrective propre à assurer la protection des renseignements personnels.