Au Québec, l’utilisation de renseignements personnels par les entreprises est encadrée principalement par la Loi sur la protection des renseignements personnels dans le secteur privé (Loi sur le privé). Cependant, en fonction de la nature et de la portée des activités des entreprises, d’autres obligations peuvent exister en matière de protection des renseignements personnels au niveau provincial, fédéral et international. Sans être exhaustive, cette page en présente quelques-unes.
L’identification de ces obligations et la compréhension des enjeux qu’elles impliquent peuvent s’avérer complexes. En cas de doute, il est recommandé de consulter un juriste.
Aperçu des autres obligations sur le plan provincial
Voici une liste non exhaustive de lois qui contiennent des particularités en matière de protection des renseignements personnels :
- Charte québécoise des droits et libertés;
- Code civil du Québec (RLRQ, c. CCQ-1991);
- Loi concernant la cadre juridique des technologies de l’information (RLRQ, c. C‑1.1);
- Code de la sécurité routière (RLRQ, c. C-24.2);
- Loi sur la protection de la jeunesse (RLRQ, c. P-34.1);
- Loi sur les services de santé et les services sociaux (RLRQ, c. S-4.2);
- Loi sur l’assurance maladie (RLRQ, c. A-29);
- Loi concernant le partage de certains renseignements de santé (RLRQ, c. P-9.0001);
- Loi autorisant la communication de renseignements personnels aux familles d’enfants autochtones disparus ou décédés à la suite d’une admission en établissement (RLRQ, c. C-37.4);
- Loi sur l’administration fiscale (RLRQ, c. A-6.002);
- Loi sur les agents d’évaluation du crédit (RLRQ, c. A-8.2).
Exemples de particularités et exceptions :
- La collecte et l’utilisation du numéro de permis de conduire et du numéro d’assurance maladie sont régies par des lois, des règlements ou des directives sectorielles;
- La gestion du consentement est particulière pour les mineurs et les personnes majeures inaptes;
- L’utilisation et la collecte de renseignements biométriques sont régies de manière spécifique et complémentaire par la Loi concernant la cadre juridique des technologies de l’information.
Aperçu des autres obligations sur le plan fédéral et international
Le gouvernement fédéral et certaines provinces canadiennes possèdent leurs propres législations et réglementations en matière de protection des renseignements personnels. À titre d’exemple, à l’échelle fédérale, l’utilisation du numéro d’assurance sociale est encadrée par des règles particulières.
Si une entreprise exerce ses activités dans une ou plusieurs autres provinces, elle est soumise aux obligations et à l’encadrement particulier des lois provinciales et fédérales.
En ce qui concerne les activités à l’international, les lois peuvent différer d’un pays à l’autre. De plus, des obligations supplémentaires pourraient s’appliquer à certaines catégories de renseignements personnels, notamment pour les renseignements sensibles.
Enfin, certaines législations ont une portée extraterritoriale. Elles s’appliquent si une organisation collecte, utilise, communique ou conserve des renseignements personnels de personnes se trouvant sur un territoire couvert par ces législations, même si cette organisation ne se trouve pas sur ce territoire. Le Règlement général sur la protection des données européen est un exemple. Le non-respect de ces législations s’accompagne parfois de lourdes sanctions financières.
Mise à jour : 20 septembre 2022