Registres des clients ou des visiteurs : secteur privé

***Les questions et réponses suivantes s’adressent exclusivement
aux entreprises ou aux personnes qui ont l’obligation de tenir un registre
des clients ou des visiteurs, selon les textes légaux de référence
au bas de cette page.***


Dois-je tenir un registre des clients ou des visiteurs?

Oui, si vous êtes :

Si vous ne faites pas partie des entreprises ou des personnes ci-dessus, vous devriez éviter de tenir un registre des clients ou des visiteurs. Toutefois, vous pouvez le faire :

  • sur recommandation de la CNESST ou d’une autorité de santé publique;
  • si une loi, un décret ou un arrêté vous y oblige.

À quoi servira-t-il?

Il vise à faciliter les enquêtes épidémiologiques. En cas d’éclosion de COVID-19, la santé publique peut avoir besoin des informations du registre pour retracer les contacts d’une personne déclarée positive.

Vous devez donc communiquer votre registre à une autorité de santé publique sur demande. Celui-ci ne peut servir à aucune autre fin. Par exemple, vous ne pouvez pas réutiliser les renseignements qu’il contient à des fins de marketing.


Quels renseignements doit-il contenir?

Vous devez recueillir uniquement le nom, le numéro de téléphone et l’adresse électronique (si disponible) des clients ou des visiteurs. Ces informations sont les seules dont la santé publique a besoin pour contacter les personnes à risque et sont listées dans les textes légaux de référence au bas de cette page.

Notez que si vous exploitez une résidence privée pour aînés, votre registre doit aussi contenir le jour et l’heure de chaque entrée et sortie des résidents et des membres de votre personnel, mais pas des visiteurs.


Un client ou un visiteur peut-il refuser de le remplir?

Non. Vos clients ou vos visiteurs ont l’obligation de divulguer les renseignements nécessaires afin d’accéder à votre établissement ou à l’événement que vous organisez, selon les textes légaux de référence au bas de cette page.


Comment puis-je informer adéquatement mes clients ou mes visiteurs?

Vous devriez notamment les informer :

  • des raisons pour lesquelles vous recueillez les renseignements;
  • de l’utilisation que vous ferez des renseignements personnels;
  • des mesures de sécurité en place pour en assurer la confidentialité;
  • de la durée de conservation des renseignements;
  • de leurs droits d’accès et de rectification.

Vous pouvez donner ces informations de différentes manières. Par exemple, vous pourriez :

  • afficher l’information en évidence pour le public dans vos locaux;
  • diffuser l’information dans une section facilement accessible sur votre page Web;
  • demander à vos employés d’informer verbalement chaque client ou visiteur en préparant un court message à leur intention.

Sous quel format devrais-je tenir mon registre?

Dans la majorité des cas, un registre au format papier est adéquat, tant qu’il est mis en place de façon à protéger les renseignements personnels. Une solution technologique n’est donc généralement pas requise.


Comment puis-je protéger les renseignements personnels qu’il contient?

Pour assurer la confidentialité du registre, vous devriez notamment :

  • le conserver en lieu sûr;
  • limiter l’accès aux seules personnes qui doivent le consulter pour exercer leurs fonctions;
  • utiliser un format ne permettant pas à des clients ou à des visiteurs de prendre connaissance des renseignements personnels d’autres personnes.

Vous pourriez par exemple utiliser des coupons insérés dans une boîte fermée ou noter vous-même les renseignements fournis dans un cahier inaccessible aux visiteurs.


Combien de temps dois-je conserver les renseignements personnels qu’il contient?

30 jours, comme le prévoient les textes légaux de référence au bas de cette page. Après cette période, vous devez détruire les renseignements personnels recueillis, peu importe le format de votre registre.

Pour plus d’informations sur la destruction sécuritaire des renseignements personnels, référez-vous à la fiche La destruction des renseignements contenant des renseignements personnels.


TEXTES LÉGAUX DE RÉFÉRENCE

Les arrêtés ou décrets suivants obligent la tenue de registres par certaines entreprises ou personnes :

Pour les entreprises, la Loi sur la protection des renseignements personnels dans le secteur privé s’applique également. Un résumé des obligations prévues à cette loi est disponible sur le site Web de la Commission.

 

Mise à jour : 2 novembre 2020