Protéger les renseignements personnels : une obligation pour les entreprises
Votre entreprise doit protéger les renseignements personnels des citoyens et permettre l’exercice de leurs droits, notamment à l’accès et à la rectification. La Loi sur le privé l’y oblige. Depuis septembre 2022, de nouvelles obligations adaptées à la réalité technologique d’aujourd’hui rehaussent d’ailleurs cette protection et ces droits.
La Loi s’applique aux renseignements personnels que votre entreprise :
- Recueille;
- Détient;
- Utilise;
- Communique à des tiers.
La Loi s’applique aux renseignements personnels, que leur conservation soit assurée par l’entreprise ou par un tiers. Elle vise à protéger tous les renseignements personnels, que la nature de leur support ou de leur forme soit :
- Écrite;
- Graphique;
- Sonore;
- Visuelle;
- Informatisée.
Pour que la Loi sur le privé s’applique, il n’est pas nécessaire que les renseignements personnels soient constitués ou conservés dans un « dossier » identifié au nom d’un individu. Les obligations des entreprises s’articulent autour de la finalité de la collecte.
Cette Loi s’applique aussi :
- Aux ordres professionnels, dans la mesure prévue par le Code des professions, c’est-à-dire à d’autres renseignements personnels que ceux détenus dans le cadre du contrôle de l’exercice d’une profession;
- Aux congrégations religieuses pour l’application de la Loi autorisant la communication de renseignements personnels aux familles d’enfants autochtones disparus ou décédés à la suite d’une admission en établissement;
- Aux partis politiques, députés indépendants ou candidats indépendants, dans la mesure prévue par la Loi électorale, à compter de septembre 2023.
Sachez que la Loi ne s’applique pas à la collecte, à la détention, à l’utilisation ou à la communication de matériel journalistique, historique ou généalogique faite dans un but d’information légitime du public.
Pour en apprendre davantage sur vos obligations légales en matière de protection des renseignements personnels, consultez l’aide-mémoire sur les nouvelles responsabilités des entreprises, les pistes d’action et les bonnes pratiques.
Que considère-t-on comme une entreprise?
La Loi sur le privé s’appuie sur le Code civil pour déterminer la définition d’une entreprise. Celle-ci réfère à l’exercice, par une ou plusieurs personnes, d’une activité économique organisée, qu’elle soit ou non à caractère commercial, consistant dans la production ou la réalisation de biens, leur administration ou leur aliénation, ou dans la prestation de services (article 1525 du Code civil du Québec).
Cette définition s’étend notamment à l’entreprise individuelle (travailleur autonome), à la société par actions (compagnie), à la société en nom collectif (S.E.N.C.), à la société en commandite (S.E.C.), à la société en participation, à la personne morale sans but lucratif, au syndicat de copropriété, à l’association (p. ex. : syndicat), au groupement de personnes (p. ex. : consortium) ou à une fiducie exploitant une entreprise à caractère commercial.
Cette définition large vise les entreprises qui exploitent une entreprise au Québec, mais peut aussi viser d’autres organisations tels que des organismes à but non lucratif (OBNL). Une analyse au cas par cas doit toutefois être effectuée afin de déterminer si l’organisation exerce véritablement une activité économique organisée et est assujettie à la Loi sur le privé. L’aide d’un juriste peut être requise.
Une organisation située à l’extérieur du Québec, qui recueille, détient, utilise ou communique des renseignements personnels dans le cadre des activités de son entreprise au Québec, est assujettie à la Loi sur le privé. Elle est notamment responsable de la protection des renseignements personnels qu’elle recueille et détient. La personne détenant la plus haute fonction au sein de l’entreprise veille à assurer le respect et la mise en œuvre de ces obligations.
Les textes de ce site Web visent à vulgariser les lois applicables. Ils n’ont pas force de loi. En cas de divergence entre l’information du site et les textes législatifs, ces derniers prévalent en toute circonstance.
Pour plus d’information sur les obligations de la Loi sur le privé, consultez les menus de gauche :
- Un renseignement personnel, c’est quoi?
- Protection des renseignements personnels
- Responsable de la protection des renseignements personnels
- Responsabilité: politiques et pratiques de gouvernance
- La collecte des renseignements
- Informations à fournir avant la collecte de renseignements personnels
- Collecte par des moyens technologiques
- Évaluation des facteurs à la vie privée
- Consentement en matière de renseignements personnels
- Exceptions en matière de consentement
- Communiquer des renseignements personnels sans le consentement de la personne concernée
- Destruction et anonymisation
- Procédure de destruction
- Distinguer anonymisation et dépersonnalisation
- Incident de confidentialité impliquant des renseignements personnels
- Biométrie
- Agent de renseignements personnels
- Sanctions pour non-conformité
- Autres obligations provinciales, fédérales et internationales
Mise à jour : 21 septembre 2023