En tant que représentant d’entreprise, vous devez faire preuve de transparence à l’égard des personnes auprès de qui vous recueillez des renseignements personnels. La mise en œuvre du principe de transparence est essentielle à la protection de leur vie privée : une information claire et simple doit leur permettre de savoir comment leurs renseignements seront utilisés et circuleront afin d’exercer un contrôle à ce sujet. Les citoyens peuvent ainsi faire valoir leurs droits en toute connaissance de cause.
La Loi sur le privé prévoit des informations à fournir, par défaut ou sur demande, lors de la collecte.
Informations à fournir dans tous les cas
Avant toute collecte
Le tableau suivant indique les renseignements que vous devez fournir aux personnes concernées avant la collecte (et sur demande, par la suite) et précise, en gras, les changements qui entreront en vigueur le 22 septembre 2023.
| Actuellement | Dès le 22 septembre 2023 |
| 1. Objectifs pour lesquels les renseignements sont recueillis;
2. Utilisation qui sera faite des renseignements; 3. Catégories de personnes qui y auront accès au sein de l’entreprise; 4. Endroit où seront détenus les renseignements; 5. Droits d’accès et de rectification prévus par la Loi. |
1. Objectifs pour lesquels les renseignements sont recueillis;
2. Moyens par lesquels les renseignements sont recueillis (par exemple un formulaire, une captation vidéo); 3. Droits d’accès et de rectification prévus par la Loi; 4. Droit de retirer son consentement à la communication ou à l’utilisation des renseignements recueillis. Le cas échéant, les informations suivantes devront aussi être fournies : 5. Nom du tiers pour qui la collecte est faite : 6. Nom du tiers ou des catégories de tiers à qui il est nécessaire de communiquer les renseignements pour atteindre les objectifs justifiant la collecte : 7. Possibilité que les renseignements soient communiqués à l’extérieur du Québec : |
Notez que vous ne pouvez pas recueillir de renseignements personnels auprès d’un tiers sans le consentement de la personne concernée ou d’une exception légale. Vous pouvez toutefois le faire, si vous avez un intérêt sérieux et légitime, dans l’un des deux cas suivants :
- Les renseignements sont recueillis dans l’intérêt de la personne concernée et ne peuvent être recueillis auprès de celle-ci en temps opportun;
- La cueillette auprès d’un tiers est nécessaire pour s’assurer de l’exactitude des renseignements.
Avant de collecter des renseignements personnels à l’aide de certaines technologies
Dès le 22 septembre 2023, vous devrez fournir des informations supplémentaires aux personnes concernées si vous collectez leurs renseignements en utilisant une technologie comprenant des fonctions permettant :
- D’identifier ces personnes;
- De les localiser;
- D’effectuer un profilage à leur sujet.
Le profilage est défini comme suit :
- La « collecte et l’utilisation de renseignements personnels afin d’évaluer certaines caractéristiques d’une personne physique, notamment à des fins d’analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de la personne ».
Dans un tel cas, vous devrez informer les personnes :
- Que vous utilisez une telle technologie;
- Des moyens offerts pour activer les fonctions d’identification, de localisation ou de profilage.
Par conséquent, vous ne pouvez pas activer ces fonctions par défaut. La personne concernée doit pouvoir le faire elle-même, volontairement.
Renseignements à fournir sur demande
Dès le 22 septembre 2023, vous devrez aussi fournir à la personne concernée qui le demande les informations suivantes :
- Renseignements personnels qui sont recueillis auprès d’elle;
- Catégories de personnes qui ont accès à ces renseignements au sein de l’entreprise;
- Durée de conservation des renseignements personnels;
- Coordonnées du responsable de la protection des renseignements personnels.
L’avis de la Commission sur la transparence
La Commission vous invite à faire preuve de la plus grande transparence possible lorsque vous recueillez des renseignements personnels, que la collecte se fasse directement auprès des personnes concernées ou auprès d’un tiers. Même si les personnes concernées n’en font pas la demande, communiquez-leur les informations facultatives pertinentes selon la situation.
Peu importe le moyen ou l’outil technologique utilisé pour la collecte, vous gagnez à être proactif en matière de communication avec les citoyens. L’information que vous fournissez doit être claire, compréhensible, accessible et adaptée au support.
Décisions automatisées
Les organisme publics et les entreprises peuvent rendre des décisions automatisées en utilisant des renseignements personnels, notamment grâce à l’intelligence artificielle. Par exemple, pour :
- Accorder un crédit;
- Évaluer une demande de soutien financier;
- Attribuer une priorité à une demande.
Lorsque ces décisions sont fondées exclusivement sur un traitement automatisé, c’est-à-dire qu’aucune intervention humaine n’est impliquée, les lois applicables prévoient des obligations de transparence et un droit de révision pour les personnes concernées.
Informations à fournir
Un organisme public ou une entreprise qui rend une décision entièrement automatisée doit en informer la personne concernée au plus tard au moment où il lui communique la décision. Si cette personne le demande, l’organisme ou l’entreprise doit également l’informer :
- Des renseignements personnels utilisés pour rendre la décision;
- Des raisons, ainsi que des principaux facteurs et paramètres, ayant mené à la décision;
- De son droit de faire rectifier les renseignements personnels utilisés pour rendre la décision.
Droit de présenter ses observations
Lorsqu’une décision entièrement automatisée est rendue, un organisme public ou une entreprise doit donner à la personne concernée l’occasion de présenter ses observations à un membre du personnel de l’organisation en mesure de réviser la décision. Ce droit permet donc à la personne d’exiger une intervention humaine face à la situation.
Mise à jour : 1 août 2023