Une entreprise qui recueille, utilise, communique à des tiers, conserve ou détruit des renseignements personnels a plusieurs obligations à respecter en vertu de la Loi sur la protection des renseignements personnels dans le secteur privé (Loi sur le privé).
Cette page présente les étapes du cycle de vie d’un renseignement personnel.
En fonction de la nature et de la portée des activités de l’entreprise, d’autres obligations peuvent exister en matière de protection des renseignements personnels. Consulter la page Autres obligations provinciales, fédérales et internationales pour en apprendre davantage.
Cycle de vie d’un renseignement personnel :
Collecte
Première étape du cycle de vie du renseignement personnel, la collecte est le moment où le renseignement personnel est :
- recueilli (ex. : formulaire d’abonnement, sondage, outils analytiques Web);
- créé (ex. : no de membre ou de permis de conduire);
- inféré (ex. : profil de consommateur), c’est-à-dire déduit à partir d’autres renseignements.
Le fait de visualiser un renseignement personnel, comme ceux contenus sur une pièce d’identité, constitue également une collecte, même s’il n’y a pas de conservation par la suite.
La collecte est réalisée par une entreprise ou un tiers, comme un mandataire ou un prestataire de services.
À cette étape, les obligations suivantes doivent être respectées afin de protéger les renseignements personnels :
- Déterminer les fins de la collecte : un intérêt sérieux et légitime doit motiver la constitution d’un dossier sur une personne;
- Limiter la collecte de renseignements personnels : la collecte doit se limiter aux renseignements nécessaires aux fins déterminées. En cas de doute, un renseignement personnel est réputé non nécessaire;
- Recueillir les renseignements personnels par des moyens légaux et légitimes : sauf exception, la collecte doit se faire auprès de la personne concernée;
- Informer la personne concernée, avant de constituer un dossier :
- de l’objet du dossier;
- de l’utilisation qui sera faite des renseignements personnels;
- des catégories de personnes qui y auront accès au sein de l’entreprise;
- de l’endroit où ils seront détenus;
- de ses droits d’accès et de rectification.
- Obtenir le consentement des personnes concernées avant de collecter leurs renseignements personnels auprès d’un tiers, à moins d’une exception prévue par la loi.
Une entreprise ne peut refuser d’offrir un bien, un service ou un emploi à une personne qui refuse de fournir un renseignement personnel, sauf exception prévue par la loi.
Utilisation
L’utilisation est la période où le renseignement personnel est utilisé par les personnes autorisées au sein de l’entreprise.
À cette étape, l’entreprise doit respecter les obligations suivantes :
- Limiter l’accès aux renseignements personnels aux seules personnes ayant la qualité pour les recevoir au sein de l’entreprise lorsque ces renseignements sont nécessaires à l’exercice de leurs fonctions;
- Limiter l’utilisation des renseignements personnels : à moins d’une exception prévue par la loi, l’entreprise doit obtenir le consentement de la personne concernée pour utiliser ses renseignements une fois l’objet du dossier accompli.
Communication
La communication est la période où le renseignement personnel est communiqué, par exemple dans un système de prestation électronique de services, par courriel, au service à la clientèle, par le biais de sites Web ou à un tiers.
À cette étape, l’entreprise doit respecter les obligations suivantes :
- Obtenir le consentement des personnes concernées pour communiquer leurs renseignements à un tiers (ex. : assureur ou prestataire de services), à moins d’une exception prévue par la loi;
- Respecter les obligations prévues par la loi lorsqu’elle communique des renseignements personnels sans le consentement de la personne concernée;
- Respecter les obligations particulières applicables à la communication de renseignements personnels à l’extérieur du Québec.
Conservation
La conservation est la période durant laquelle une entreprise garde des renseignements personnels, sous quelque forme que ce soit, et ce, peu importe que les renseignements soient activement utilisés ou non.
À cette étape, l’entreprise doit respecter les obligations suivantes :
- Assurer la qualité des renseignements personnels en veillant à ce que les renseignements personnels qu’elle détient soient à jour et exacts au moment où elle les utilise pour prendre une décision relative à la personne concernée;
- Prendre des mesures de sécurité propres à assurer la sécurité des renseignements personnels.
Destruction
Le cycle de vie du renseignement personnel se termine lors de sa destruction.
À cette étape, l’entreprise doit :
- Détruire les renseignements personnels de manière sécuritaire dès que la finalité pour laquelle ils ont été collectés est accomplie, sous réserve du délai prévu par la loi ou par un calendrier de conservation établi par règlement du gouvernement (ex. pour des obligations fiscales).
Autres obligations : sécurité, accès et rectification
- Mettre en place des mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits.
- Ces mesures sont raisonnables compte tenu, notamment, de la sensibilité, de la finalité, de la quantité, de la répartition et du support des renseignements personnels.
- Permettre l’exercice des droits d’accès et de rectification et répondre avec diligence, dans les 30 jours, aux demandes d’accès aux renseignements personnels et de rectification soumises par les personnes concernées.
- L’absence de réponse dans ce délai équivaut à un refus. Un citoyen peut contester un refus ou une réponse jugée insatisfaisante en exerçant son droit de recours devant la Commission d’accès à l’information.
Mise à jour : 20 septembre 2022