Agent de renseignements personnels

Agents de renseignements personnels : toutes vos obligations face à la Commission et au public

À titre d’agent de renseignements personnels faisant le commerce de constituer des dossiers de crédit contenant des renseignements personnels, vous avez plusieurs obligations. La Loi sur la protection des renseignements personnels dans le secteur privé (Loi sur le privé) définit celles-ci, tant à l’égard de la Commission que des citoyens dont les renseignements personnels sont concernés.

Obligations à l’égard de la Commission

Votre première obligation consiste à vous inscrire auprès de la Commission.

La demande d’inscription doit contenir :

  • Votre nom et votre adresse et, si vous êtes une personne morale, l’adresse de votre siège et les noms et adresses des administrateurs;
  • L’adresse et le numéro de téléphone de tout établissement situé au Québec;
  • L’adresse et le numéro de téléphone de tout bureau permettant aux personnes concernées de consulter les renseignements les concernant ou d’en obtenir copie.

À compter du 22 septembre 2023, la demande d’inscription devra aussi contenir :

  • Votre adresse de courrier électronique et celle de tout établissement vous appartenant;
  • Le titre et les coordonnées du responsable de la protection des renseignements personnels;
  • Les moyens pris afin de garantir que les renseignements que vous communiquez sont à jour et exacts et que cette communication est effectuée conformément à la Loi sur le privé;
  • Les règles de conduite permettant à toute personne concernée par un renseignement personnel d’y avoir accès, selon des modalités propres à en assurer la protection, et lui permettant de le faire rectifier, le cas échéant;
  • Les autres mesures prises pour assurer la confidentialité et la sécurité des renseignements personnels conformément à la Loi sur le privé.

Vous devez aviser la Commission de toute modification de l’information fournie lors de votre inscription. Dès le 22 septembre 2023, vous disposerez d’un délai de 30 jours pour ce faire. Si vous prévoyez cesser vos activités d’agent de renseignements personnels, vous devez en informer rapidement la Commission.

La Commission doit tenir à jour un registre des agents de renseignements personnels.

Formulaire pour vous inscrire auprès de la Commission.

 

Obligations à l’égard du public

Informer le public de vos activités

Évaluation du crédit, recouvrement de créances, vérification d’antécédents judiciaires ou enquêtes de pré-emploi, etc. : les renseignements personnels que vous recueillez, détenez et communiquez concernent des décisions déterminantes pour les citoyens qui sont pourtant rarement au fait de vos activités et de vos pratiques. Pour cette raison, vous devez être transparent envers la population.

Dès que votre inscription auprès de la Commission est complétée, vous êtes tenu de publier un premier avis public au sujet de vos activités dans un journal de circulation générale, et ce, dans chacune des régions où vous faites affaire.  Cette information doit être publiée tous les deux ans.

Cet avis doit informer le public :

  • du fait que vous détenez des renseignements personnels sur autrui, que vous communiquez à vos cocontractants des rapports de crédit au sujet du caractère, de la réputation et de la solvabilité des personnes concernées par ces renseignements et que vous recevez communication de renseignements personnels sur autrui;
  • des droits d’accès et de rectification que les personnes concernées peuvent exercer en vertu de la Loi sur le privé;
  • du nom, de l’adresse et du numéro de téléphone de la personne dans la région à qui les personnes concernées peuvent s’adresser pour consulter leur dossier de crédit ainsi que les modalités de cette consultation.

Consultez un exemple d’avis public.

À compter du 22 septembre 2023, vous pourrez informer le public des éléments ci-dessus sur votre site Web ou par tout autre moyen approprié. Vous ne serez plus tenu d’informer le public au moyen d’un avis publié dans un journal. Vous devrez également diffuser :

  • le titre et les coordonnées du responsable de la protection des renseignements personnels;
  • les moyens pris afin de garantir que les renseignements que vous communiquez sont à jour et exacts et que cette communication est effectuée conformément à la Loi sur le privé;
  • les règles de conduite permettant à toute personne concernée par un renseignement personnel que vous détenez d’y avoir accès, selon des modalités propres à en assurer la protection, et lui permettant de le faire rectifier, le cas échéant;
  • les autres mesures prises pour assurer la confidentialité et la sécurité des renseignements personnels, comme le prévoit la loi applicable.

Notez que la notion de « dossier » est remplacée par celle de « renseignement personnel », favorisant ainsi une portée plus large pour les nouvelles obligations des agents de renseignements personnels.

Plus généralement, la Commission vous encourage à faire preuve d’une plus grande transparence envers les personnes concernées par les renseignements personnels que vous avez en votre possession. Par exemple :

  • la diffusion des règles de conservation des renseignements personnels;
  • la communication des facteurs et des paramètres les plus importants pris en compte pour tout renseignement personnel calculé, comme la cote ou le pointage de crédit, et la liste des renseignements personnels utilisés pour ces calculs.

D’autres informations sur vos pratiques peuvent aussi être communiquées aux citoyens pour optimiser la transparence de vos activités d’agent de renseignements personnels.

Détruire les renseignements de plus de sept ans

À compter de septembre 2023, vous serez aussi tenu de détruire un renseignement personnel recueilli il y a plus de sept ans. Notez que cette obligation ne s’applique pas à un renseignement contenu dans un dossier d’enquête constitué en vue de prévenir, de détecter ou de réprimer un crime ou une infraction à la loi.

Établir et appliquer des règles de conduite sur l’accès et la rectification

Les citoyens doivent pouvoir exercer un contrôle sur l’exactitude des renseignements personnels qui les concernent, de même que sur leur circulation et leur utilisation à diverses fins.

C’est pourquoi, dès le 22 septembre 2023, vous serez aussi tenu :

  • d’établir et d’appliquer des règles de conduite permettant à toute personne concernée par un renseignement personnel que vous détenez d’y avoir accès, selon des modalités propres à assurer leur protection;
  • d’établir et d’appliquer des règles de conduite permettant la rectification de ces renseignements.

Sanctions

À compter du 22 septembre 2023, un agent de renseignements personnels sera passible de sanctions administratives pécuniaires ou de sanctions pénales prévues par la Loi sur le privé s’il commet un des manquements suivants :

  • Omettre de s’inscrire à la Commission;
  • Invoquer le fait qu’il est inscrit à la Commission pour prétendre que sa compétence, sa solvabilité, sa conduite ou ses opérations sont reconnues ou approuvées;
  • Omettre d’établir et d’appliquer des modalités permettant de garantir que les renseignements qu’il communique sont à jour et exacts et que cette communication est effectuée conformément à la Loi sur le privé;
  • Omettre de transmettre l’information requise par la Loi sur le privé dans la demande d’inscription;
  • Omettre d’informer la Commission de toute modification à l’information transmise lors de l’inscription dans un délai de 30 jours suivant la modification;
  • Omettre d’établir et d’appliquer des règles de conduite ayant pour objet de permettre à toute personne concernée par un renseignement personnel qu’il détient d’y avoir accès selon des modalités propres à assurer la protection d’un tel renseignement et de le faire rectifier;
  • Omettre d’informer le public de ses activités conformément à la Loi sur le privé;
  • Omettre de détruire un renseignement personnel recueilli il y a plus de sept ans;
  • Omettre d’informer la Commission avec diligence de la cessation de ses activités.

Mise à jour : 24 mai 2023