Une entreprise qui recueille, utilise, communique à des tiers, conserve ou détruit des renseignements personnels a plusieurs obligations à respecter en vertu de la Loi sur la protection des renseignements personnels dans le secteur privé (Loi sur le privé).
Cette page présente les étapes du cycle de vie d’un renseignement personnel.
En fonction de la nature et de la portée des activités de l’entreprise, d’autres obligations peuvent exister en matière de protection des renseignements personnels. Consulter la page Autres obligations provinciales, fédérales et internationales pour en apprendre davantage.
Cycle de vie d’un renseignement personnel :
Collecte
Première étape du cycle de vie du renseignement personnel, la collecte est le moment pendant lequel le renseignement personnel est :
- Recueilli (p. ex. un formulaire d’abonnement, un sondage, des outils analytiques Web);
- Créé (p. ex. un no de membre ou de permis de conduire);
- Inféré (p. ex. un profil de consommateur), c’est-à-dire déduit à partir d’autres renseignements.
Le fait de voir un renseignement personnel, comme ceux contenus sur une pièce d’identité, constitue une collecte, même s’il n’y a pas de conservation par la suite.
La collecte est réalisée par une entreprise ou un tiers, comme un mandataire ou un prestataire de services.
À cette étape, les obligations suivantes doivent être respectées afin de protéger les renseignements personnels :
- Déterminer les fins de la collecte : vous devez avoir un intérêt sérieux et légitime pour recueillir des renseignements personnels et déterminer à quelles fins vous les recueillez, avant de procéder à leur collecte;
- Limiter la collecte de renseignements personnels : la collecte doit se limiter aux renseignements nécessaires aux fins déterminées. En cas de doute, un renseignement personnel est réputé non nécessaire;
- Recueillir les renseignements personnels par des moyens légaux et légitimes : sauf exception, la collecte doit se faire auprès de la personne concernée;
- Fournir certaines informations à la personne concernée : lors de la collecte et, par la suite, sur demande, l’entreprise doit informer la personne de certains éléments;
- Obtenir le consentement des personnes concernées avant de collecter leurs renseignements personnels auprès d’un tiers, à moins d’une exception prévue par la loi.
Une entreprise ne peut refuser d’offrir un bien, un service ou un emploi à une personne qui refuse de fournir un renseignement personnel, sauf exception prévue par la loi.
Utilisation
L’utilisation est la période pendant laquelle le renseignement personnel est utilisé par les personnes autorisées au sein de l’entreprise.
À cette étape, l’entreprise doit respecter les obligations suivantes :
- Limiter l’accès aux renseignements personnels aux seules personnes ayant la qualité pour les recevoir au sein de l’entreprise lorsque ces renseignements sont nécessaires à l’exercice de leurs fonctions;
- Limiter l’utilisation des renseignements personnels : à moins d’une exception prévue par la loi, l’entreprise doit obtenir le consentement de la personne concernée pour utiliser ses renseignements à une autre fin que celles pour lesquelles il a été recueilli ou une fois l’objet du dossier accompli.
Dès le 22 septembre 2023, lorsqu’elle rendra une décision fondée exclusivement sur un traitement automatisé, par exemple en utilisant l’intelligence artificielle, une entreprise devra aussi fournir certaines informations à la personne concernée.
Communication
La communication est la période où le renseignement personnel est communiqué, par exemple dans un système de prestation électronique de services, par courriel, au service à la clientèle, par le biais de sites Web ou à un tiers.
À cette étape, l’entreprise doit respecter les obligations suivantes :
- Obtenir le consentement des personnes concernées pour communiquer leurs renseignements à un tiers (ex. : assureur ou prestataire de services), à moins d’une exception prévue par la loi;
- Respecter les obligations prévues par la loi lorsqu’elle communique des renseignements personnels sans le consentement de la personne concernée;
- Respecter les obligations particulières applicables à la communication de renseignements personnels à l’extérieur du Québec.
Conservation
La conservation est la période durant laquelle une entreprise garde des renseignements personnels, sous quelque forme que ce soit, et ce, peu importe que les renseignements soient activement utilisés ou non.
À cette étape, l’entreprise doit respecter les obligations suivantes :
- Assurer la qualité des renseignements personnels en veillant à ce que les renseignements personnels qu’elle détient soient à jour et exacts au moment où elle les utilise pour prendre une décision relative à la personne concernée;
- Prendre des mesures de sécurité propres à assurer la sécurité des renseignements personnels.
Destruction
Le cycle de vie du renseignement personnel se termine lors de sa destruction.
À cette étape, l’entreprise doit :
- Détruire les renseignements personnels de manière sécuritaire dès que la finalité pour laquelle ils ont été collectés est accomplie.
Autres obligations : sécurité, accès et rectification
- Mettre en place des mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits.
- Ces mesures sont raisonnables compte tenu, notamment, de la sensibilité, de la finalité, de la quantité, de la répartition et du support des renseignements personnels.
- Permettre l’exercice des droits d’accès et de rectification et répondre avec diligence, dans les 30 jours, aux demandes d’accès aux renseignements personnels et de rectification soumises par les personnes concernées.
- L’absence de réponse dans ce délai équivaut à un refus. Un citoyen peut contester un refus ou une réponse jugée insatisfaisante en exerçant son droit de recours devant la Commission d’accès à l’information.
Mise à jour : 20 septembre 2022