Protection des renseignements personnels

Une entreprise qui recueille, utilise, communique à des tiers, conserve ou détruit des renseignements personnels a plusieurs obligations à respecter en vertu de la Loi sur la protection des renseignements personnels dans le secteur privé (LPRP).

Cette page présente ces principales obligations selon chacune des étapes du cycle de vie d’un renseignement personnel. D’autres obligations découlant de la LPRP, qui ne sont pas liées à une étape en particulier, sont présentées au bas de cette page.

En fonction de la nature et de la portée de vos activités commerciales, d’autres obligations peuvent exister en matière de protection des renseignements personnels. Consultez la page Autres obligations provinciales, fédérales et internationales pour en apprendre davantage.

Cycle de vie d’un renseignement personnel :

 

Collecte 

Première étape du cycle de vie du renseignement personnel, la collecte est la période où le renseignement personnel est :

  • recueilli (ex. : formulaire d’abonnement, sondage, outils analytiques Web),
  • créé (ex. : no de membre ou de permis de conduire)
  • ou inféré (ex. : profil de consommateur, par exemple).

Elle est réalisée par vous ou par un tiers, comme un mandataire ou un prestataire de services.

Au cours de cette opération, comme entreprise, vous devez respecter les obligations suivantes afin de protéger les renseignements personnels :

  • Déterminer les fins de la collecte: Vous devez avoir un intérêt sérieux et légitime pour constituer un dossier sur une personne.
  • Limiter la collecte de renseignements personnels : Vous devez collecter uniquement les renseignements nécessaires pour offrir votre bien ou votre service.
  • Recueillir les renseignements personnels par des moyens licites (c’est-à-dire légaux et légitimes). Sauf exception, la collecte doit se faire auprès de la personne concernée.
  • Avant de constituer un dossier, informer la personne concernée:
    • de l’objet du dossier;
    • de l’utilisation qui sera faite des renseignements personnels;
    • des catégories de personnes qui y auront accès au sein de votre entreprise;
    • de l’endroit où ils seront détenus;
    • de ses droits d’accès et de rectification.
  • Obtenir le consentement des personnes concernées avant de collecter leurs renseignements personnels auprès d’un tiers, à moins d’une exception prévue par la Loi.

Vous ne pouvez refuser un bien, un service ou une demande relative à un emploi à quelqu’un à cause de son refus de fournir un renseignement personnel, sauf dans l’une ou l’autre des trois circonstances prévues par la Loi. En cas de doute, un renseignement personnel est réputé non nécessaire.

Pour aller plus loin, consultez :

Utilisation 

L’utilisation est la période où le renseignement personnel est utilisé par les personnes autorisées au sein de votre entreprise.

Au cours de cette opération, comme entreprise, vous devez respecter les obligations suivantes :

  • Limiter l’accès aux renseignements personnels aux seules personnes ayant la qualité pour les recevoir au sein de l’entreprise lorsque ces renseignements sont nécessaires à l’exercice de leurs fonctions.
  • Limiter l’utilisation des renseignements personnels : À moins d’une exception prévue par la Loi, vous devez obtenir le consentement de la personne concernée pour utiliser ses renseignements une fois l’objet du dossier accompli.

Communication

La communication est la période où le renseignement personnel est communiqué, par exemple dans un système de prestation électronique de service, par courriel, au service à la clientèle, par le biais de sites Web ou à un tiers.

Au cours de cette opération, comme entreprise, vous devez respecter les obligations suivantes :

  • Obtenir le consentement des personnes concernées pour communiquer leurs renseignements à un tiers (ex. : assureur ou prestataire de services), à moins d’une exception prévue par la Loi.
  • Veiller à ce qu’un niveau de protection équivalent à celui que vous êtes tenus de respecter soit assuré par la personne à qui vous communiquez ou confiez des renseignements personnels à l’extérieur de la province.

Pour aller plus loin :

Conservation

La conservation est la période durant laquelle une entreprise garde des renseignements personnels, sous quelque forme que ce soit, et ce, peu importe leur étape d’utilisation (document actif, semi-actif ou inactif).

Au cours de cette période, comme entreprise, vous devez respecter les obligations suivantes :

  • Assurer la qualité des renseignements personnels en veillant à ce que les renseignements personnels que vous détenez soient à jour et exacts au moment où vous les utilisez pour prendre une décision relative à la personne concernée.

Destruction

La destruction des renseignements personnels caractérise la fin de leur cycle de vie.

Au cours de cette opération, comme entreprise, vous devez respecter l’obligation suivante :

  • Détruire les renseignements personnels de manière sécuritaire dès que la finalité pour laquelle ils ont été collectés est accomplie, sous réserve du délai prévu par la loi ou par un calendrier de conservation établi par règlement du gouvernement (ex. pour des obligations fiscales).

Pour aller plus loin, consulter :

Autres obligations de la LPRP

  • Mettre en place des mesures de sécurité appropriées propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits.

Ces mesures sont raisonnables compte tenu, notamment, de la sensibilité, de la finalité, de la quantité, de la répartition et du support des renseignements personnels.

  • Permettre l’exercice des droits d’accès et de rectification et répondre avec diligence, dans les 30 jours, aux demandes d’accès aux renseignements personnels et de rectification soumises par les personnes concernées.

L’absence de réponse dans ce délai équivaut à un refus. Un citoyen peut contester un refus ou une réponse jugée insatisfaisante en exerçant son droit de recours devant la Commission d’accès à l’information.

Pour aller plus loin, consulter :

Mise à jour : 5 mai 2021