La collecte des renseignements

Le critère de nécessité : principe fondamental et prédominant

L’évaluation de la nécessité de recueillir des renseignements personnels doit prédominer en toute circonstance. Elle permet de minimiser l’atteinte à la vie privée des personnes concernées. Elle est réalisée avant la collecte des renseignements personnels par les entreprises privées et les organismes publics.

La collecte doit s’avérer nécessaire avant même d’obtenir le consentement valide des personnes concernées.

Les entreprises doivent :

  • Recueillir seulement les renseignements nécessaires aux objectifs déterminés avant la collecte. Ces objectifs doivent être sérieux et légitimes.

Une fois recueillis, les renseignements devront être protégés : en limitant les renseignements personnels lors de la collecte, les risques de communication, de divulgation et d’utilisation interdites sont ainsi minimisés.

Définition de la notion « nécessaire »

La nécessité va au-delà de la simple utilité. Pour une entreprise, elle s’évalue par rapport à la finalité de la collecte et à sa proportionnalité. Ainsi, une collecte sera nécessaire si ces conditions sont toutes réunies :

  • L’objectif poursuivi est légitime, important et réel;
  • L’atteinte à la vie privée est proportionnelle à cet objectif, ce qui signifie plus précisément que : La collecte des renseignements est rationnellement liée aux objectifs.
  • L’atteinte au droit à la vie privée est minimisée. Autrement dit, il n’existe pas d’autres moyens d’atteindre les mêmes objectifs d’une façon qui porte moins atteinte à la vie privée.
    • La collecte, l’utilisation ou la communication du renseignement est nettement plus utile à l’organisme ou à l’entreprise que préjudiciable à la personne concernée.

Si la nécessité n’est pas établie, le droit à la vie privée des personnes doit primer. La collecte ne peut donc pas être faite.

Particularités pour les entreprises

Dans le secteur privé, en cas de doute, un renseignement personnel est considéré comme n’étant pas nécessaire.

En règle générale, sous prétexte qu’une personne refuse de fournir un renseignement personnel, une entreprise ne peut pas :

  • Refuser de fournir un bien ou un service;
  • Rejeter une demande d’emploi.

Toutefois, elle peut le faire dans les situations suivantes :

  • La collecte est nécessaire à la conclusion ou à l’exécution d’un contrat;
  • La collecte est autorisée par la loi;
  • Des motifs raisonnables permettent de croire que la demande de bien, de service ou d’emploi est illicite.

L’analyse de la nécessité d’une collecte est au cœur de plusieurs dossiers examinés par la Commission. Pour en savoir plus, consultez les décisions rendues par sa section de surveillance.

Fardeau de la preuve : qui doit démontrer que le renseignement est nécessaire?

C’est à l’entreprise de démontrer à la personne concernée que le renseignement personnel demandé est nécessaire.

Autres obligations liées à la collecte

Une fois qu’il a été établi qu’il était nécessaire de recueillir des renseignements personnels, la loi obligent les entreprises à :

Une entreprise doit recueillir un renseignement personnel auprès de la personne concernée sauf dans certaines situations prévues par la loi. Si elle souhaite recueillir un renseignement personnel auprès d’un tiers, elle doit obtenir le consentement de la personne concernée.

Identifiants : numéro d’assurance sociale, numéro de permis de conduire, numéro d’assurance maladie

Les identifiants peuvent servir à s’assurer qu’une personne est bien celle qu’elle prétend être. Cette vérification a pour seul objectif de confirmer l’identité ou la qualité d’une personne. Habituellement, elle ne doit pas conduire à la collecte des renseignements inscrits sur ces documents.

Recours des citoyens face à des demandes de renseignements qui ne sont pas nécessaires

Les citoyens qui jugent qu’une entreprise demande des renseignements qui ne sont pas nécessaires peuvent déposer une plainte à la Commission.