Entreprises et organisations privées

Responsabilité des entreprises

Le responsable doit approuver les politiques et les pratiques de l’entreprise encadrant sa gouvernance à l’égard des renseignements personnels.

Le responsable de la protection des renseignements personnels est chargé de recevoir et d’assurer le traitement des demandes d’accès ou de rectification de renseignements personnels, de même que des demandes d'accès, pour des motifs de deuil, aux renseignements personnels d'une personne décédée. 

• Il doit évaluer les demandes et y répondre dans les 30 jours. L’absence de réponse dans ce délai équivaut à un refus. Un citoyen peut contester un refus ou une réponse jugée insatisfaisante en exerçant son droit de recours devant la Commission;
  
  
• Lorsque la demande n'est pas suffisamment précise ou si le requérant le demande, le responsable doit prêter assistance pour identifier les renseignements recherchés;
  
  
• Lorsqu’il refuse une demande d’accès ou de rectification, le responsable doit :
  • Motiver le refus en indiquant la disposition législative appropriée;
  • Sur demande d’un requérant, l’aider à comprendre le refus. Il pourrait, par exemple, se rendre disponible pour une discussion de vive voix.

Les citoyens bénéficient de droits leur permettant de contrôler la diffusion de leurs renseignements personnels. Par conséquent, le responsable doit répondre aux demandes écrites des personnes exigeant :

• La cessation de la diffusion de leurs renseignements personnels;
  
  
• La désindexation d’un hyperlien rattaché à leur nom et donnant accès à leurs renseignements par un moyen technologique.

Les personnes concernées peuvent faire ces demandes : 

• Si la diffusion de leurs renseignements contrevient à la Loi ou à une ordonnance judiciaire;
• Si la diffusion de leurs renseignements personnels leur cause un préjudice grave lié au droit du respect de leur réputation ou de leur vie privée. Dans ce cas, ils pourront aussi en demander la réindexation. La Loi prévoit certaines conditions.

Le responsable doit répondre par écrit à cette demande, selon les mêmes modalités que les demandes d’accès et de rectification. S’il accepte la demande, sa réponse écrite doit attester de la cessation de diffusion des renseignements, de la désindexation ou de la réindexation de l’hyperlien.

Pour en savoir plus sur les droits des citoyens, consultez la page Vos droits en matière de renseignements personnels.

Le responsable de la protection des renseignements personnels doit participer à l’évaluation des facteurs relatifs à la vie privée (EFVP) concernant les projets d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services impliquant des renseignements personnels. Le responsable doit prendre part au projet du début à la fin. 

À toutes les étapes, il peut suggérer des mesures de protection des renseignements personnels, comme :

• La nomination d’une personne chargée de mettre en œuvre des mesures de protection des renseignements personnels;
  
  
• L’ajout de mesures de protection des renseignements personnels dans tout document concernant le projet;
  
  
• La description des responsabilités des participants au projet, en matière de protection des renseignements personnels;
  
  
• La tenue d’activités de formation sur la protection des renseignements personnels pour les participants au projet.

Le responsable peut aussi participer aux autres évaluations des facteurs relatifs à la vie privée prévues par la Loi.

Pour tout savoir sur la démarche d'évaluation des facteurs relatifs à la vie privée, consultez la section Évaluation des facteurs relatifs à la vie privée.

Les mandataires ou les exécutants d’un contrat de service ou d’entreprise doivent aviser sans délai le responsable de la protection des renseignements personnels concernant :

• Toute violation ou tentative d’une violation de l’une ou l’autre des obligations touchant à la confidentialité des renseignements personnels qui leur ont été communiqués par l’entreprise.

Ils doivent alors permettre au responsable d’effectuer toute vérification concernant cette confidentialité.

Lorsqu'elle évalue le risque qu'un préjudice soit causé aux personnes concernées à la suite d'un incident de confidentialité, une entreprise doit consulter son responsable de la protection des renseignements personnels.

Pour en savoir plus, consultez la page sur les incidents de confidentialité.

À compter du 22 septembre 2024, le responsable devra répondre aux demandes de citoyens portant sur le droit à la portabilité de leurs renseignements personnels.

• La portabilité est la communication de renseignements personnels informatisés dans un format technologique structuré et couramment utilisé.

Pour vous préparer à répondre à ces nouvelles demandes, consultez l’aide-mémoire sur les nouvelles responsabilités des entreprises, les pistes d’action et les bonnes pratiques. (PDF, 223 Ko)

D’autres tâches peuvent être assumées par le responsable. Par exemple :

• Offrir de la formation à l’interne;
  
  
• Agir comme interlocuteur de l’entreprise auprès de la Commission.

Le responsable joue un rôle crucial au sein de son entreprise. Il est donc aussi appelé à mettre en place des mesures préventives en matière de protection des renseignements personnels.

Ces politiques et ces pratiques doivent minimalement prévoir :

• Des règles applicables à la conservation et à la destruction des renseignements personnels;
  
  
• Les rôles et les responsabilités des membres du personnel, tout au long du cycle de vie des renseignements personnels;
  
  
• Un processus de traitement des plaintes relatives à la protection des renseignements personnels.

Ces politiques et ces pratiques doivent être proportionnelles à la nature et à l’importance des activités de l’entreprise.

Les entreprises doivent faire connaître leurs politiques et leurs pratiques dans leur site Web. L’information publiée à ce sujet doit être détaillée et expliquée en termes simples et clairs.

En l’absence d'un site Web, l’entreprise doit informer le public par tout autre moyen approprié.

L'EFVP est une démarche préventive et évolutive visant à mieux protéger les renseignements personnels et à mieux respecter la vie privée des personnes. Ce droit fondamental est protégé par la Charte des droits et libertés de la personne.

Concrètement, l'EFVP est une analyse d’impact. Avant d’entamer un projet et au cours de celui-ci, cette démarche permet de considérer tous les facteurs ayant un effet positif ou négatif sur le respect de la vie privée des personnes concernées.

Ces facteurs sont :

• La conformité du projet aux lois applicables en matière de protection des renseignements personnels et le respect des principes l’appuyant;
  
  
• L’identification des risques d’atteinte à la vie privée engendrés par le projet et l’évaluation de leurs conséquences;
  
  
• La mise en place de stratégies pour éviter ces risques ou les réduire efficacement ainsi que leur maintien dans le temps.

L’EFVP a pour objectifs :

• La protection des personnes concernées par un projet, et ce, de la collecte de leurs renseignements personnels à leur destruction;
  
  
• La mise en place de mesures adéquates pour respecter les obligations en matière de protection des renseignements personnels;
  
  
• Le fait d'éviter les problèmes que causerait une gestion inadéquate de ces renseignements (incidents de confidentialité, poursuites, atteintes à l’image, etc.).

La réalisation d’une EFVP doit être proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support.

L’organisation réalisant une EFVP démontre qu’elle assume ses responsabilités quant à la protection des renseignements personnels.

En 2018, un sondage Léger Marketing réalisé pour la Commission a d’ailleurs révélé que 91 % des Québécois accordaient de l’importance à la protection de leurs renseignements personnels et auraient fait davantage affaire avec une entreprise possédant une bonne réputation en la matière. Plus récemment, en 2022-2023, un sondage mené par le Commissariat à la protection de la vie privée du Canada dévoilait que la grande majorité (93 %) des répondants sont préoccupés par la protection de leur vie privée.

Vous devez réaliser une EFVP dans trois situations. Au-delà de ces situations, la Commission recommande cette pratique à toute organisation ayant un projet mettant en cause des renseignements personnels.

Communication d’un renseignement personnel à l’extérieur du Québec

Votre entreprise doit procéder à une EFVP avant de :

• Communiquer un renseignement personnel à une entité située à l’extérieur du Québec;
  
  
• Confier à une personne ou à un organisme à l’extérieur du Québec la tâche de recueillir, d’utiliser, de communiquer ou de conserver, pour votre compte, un tel renseignement.

Consultez la section sur la communication de renseignements personnels à l’extérieur du Québec.

Projet d’acquisition, de développement ou de refonte de système d’information ou de prestation électronique de services

Une EFVP est requise pour tout projet lié à un système d’information ou de prestation électronique de services impliquant des renseignements personnels. Il peut s’agir d’un projet d'acquisition, de développement ou de refonte. Dès le début d'un tel projet, aux fins de l'EFVP, l’entreprise doit consulter son responsable de la protection des renseignements personnels.

Un système d’information peut revêtir de multiples formes. Il n’est pas nécessairement informatisé, quoique cela soit fréquent. Il peut s’agir entre autres d’un :

• Système informatique de traitement des dossiers;
  
  
• Logiciel de vidéoconférence ou de collaboration;
  
  
• Système biométrique;
  
  
• Système d’intelligence artificielle;
  
  
• Système de cartes à puce/RFID;
  
  
• Système de vidéosurveillance;
  
  
• Système statistique;
  
  
• Système de gestion de la paie.

Un système de prestation électronique de services peut notamment prendre la forme :

• D’une borne libre-service;
  
  
• D’un service de paiement par RFID/NFC;
  
  
• D’une zone membre d’un site Web;
  
  
• D’un dossier électronique;
  
  
• D’une application mobile.
  
  

Communication de renseignements personnels sans consentement à un tiers à des fins d’étude, de recherche ou de production de statistiques

La communication de renseignements personnels sans le consentement des personnes concernées à une personne ou à un organisme souhaitant utiliser ces renseignements à des fins d’étude, de recherche ou de production de statistiques est permise seulement si une EFVP conclut au respect de certains critères.

La communication doit être faite dans le cadre d’une entente écrite, transmise à la Commission. Cette entente entre en vigueur dans les 30 jours suivant sa réception.

Pour plus d'information, consultez la section sur la communication de renseignements personnels sans consentement à des fins de recherche.

Pour vous aider à réaliser votre EFVP et à mieux comprendre cette démarche, consultez le Guide d’accompagnement conçu par la Commission (PDF, 1 108 Ko). La Commission propose également un modèle générique de rapport (DOCX, 151 Ko) permettant de rendre compte des résultats d’une EFVP.