La collecte de renseignements personnels | Commission d'accès à l'information du Québec

Le critère de nécessité : un principe fondamental

En matière de protection des renseignements personnels, une entreprise privée ne doit recueillir que les renseignements nécessaires à l’objet du dossier. Les organismes publics ne doivent recueillir que les renseignements nécessaires à l’exercice de leurs attributions ou à la mise en œuvre d’un programme dont ils ont la gestion.

Une fois recueillis, les renseignements devront être protégés : en limitant les renseignements personnels lors de la collecte, les risques de communication, divulgation et utilisation interdites sont ainsi réduit.

Le critère de nécessité est un principe fondamental ayant pour objectif de réduire les atteintes à la vie privée des personnes concernées par les renseignements personnels recueillis par les entreprises privées et les organismes publics. Il n’est pas donc possible de déroger à ce principe, même avec le consentement de la personne concernée.

Ce principe doit s’interpréter au regard de la finalité poursuivie par l’entreprise privée ou par l’organisme public. Un renseignement personnel est nécessaire si la finalité poursuivie est légitime, importante, urgente et réelle et si l’atteinte au droit à la vie privée consécutive à la collecte, la communication ou la conservation de chaque élément de renseignement est proportionnelle à cette finalité (c.-à-d. la collecte des renseignements est-elle rationnellement liée aux objectifs visés, l’atteinte au droit à la vie privée est-elle minimisée et la divulgation du renseignement requis est-elle nettement plus utile à l’entreprise que préjudiciable à la personne concernée).

Dans le secteur privé, en cas de doute, un renseignement personnel est réputé non nécessaire. Et, sous réserve de quelques exceptions, une entreprise ne peut refuser d’accorder un bien ou un service ni rejeter une demande relative à un emploi parce que la personne qui formule la demande refuse de lui fournir un renseignement personnel. Les exceptions sont :

la collecte est nécessaire à la conclusion ou à l’exécution du contrat;
la collecte est autorisée par la loi;
il y a des motifs raisonnables de croire qu’une telle demande n’est pas licite.

[Pour aller plus loin, voir les décisions rendues par la section de surveillance de la Commission]

Collecte auprès d’un tiers

Dans le secteur privé, les renseignements doivent, sous réserve de quelques exceptions, être recueillis auprès de la personne concernée. Une personne peut toutefois donner son consentement pour qu’une entreprise recueille des renseignements la concernant auprès d’un tiers. Même avec le consentement d’une personne, une entreprise ou un organisme ne peut recueillir un renseignement non nécessaire.

Le consentement

Pour être valide, le consentement à la collecte, à la communication ou à l’utilisation d’un renseignement personnel doit être manifeste, libre, éclairé et être donné à des fins spécifiques. Ce consentement ne vaut que pour la durée nécessaire à la réalisation des fins pour lesquelles il a été demandé.

Responsabilisation du citoyen

Au-delà des protections légales, la sensibilisation et la responsabilisation du citoyen à l’importance de la protection de ses renseignements personnels est nécessaire. Avant de consentir à la collecte d’un renseignement personnel, la personne concernée doit pouvoir comprendre pourquoi l’entreprise ou l’organisme recueille ses renseignements personnels. Toute entreprise privée et tout organisme public ont une obligation d’information relativement à la collecte des renseignements personnels.

Fardeau de preuve : qui doit démontrer que le renseignement est nécessaire?

C’est à l’entreprise privée ou à l’organisme public de démontrer que le renseignement qu’il demande est nécessaire; ce n’est pas au citoyen à démontrer que le renseignement n’est pas nécessaire.

Les identifiants : numéro d’assurance sociale, numéro de permis de conduire, numéro d’assurance maladie

Les identifiants peuvent servir à s’assurer qu’une personne est bien celle qu’elle prétend être. Cette vérification a pour seul objectif de confirmer l’identité ou la qualité d’une personne. Habituellement, elle ne doit pas conduire à la collecte des renseignements inscrits sur ces documents.

Pour obtenir l’information générale sur les pièces d’identité, nous vous invitons à consulter la fiche pour les entreprises privées.
Les organismes publics peuvent se référer à des décisions de la section de surveillance :

Que dois-je faire si une entreprise privée ou un organisme public exige des renseignements personnels non nécessaires?

Si vous pensez qu’une entreprise privée ou un organisme public demande d’obtenir des renseignements personnels non nécessaires à l’objet du dossier ou à l’exercice de leurs fonctions, vous pouvez vous adresser à la Commission pour y déposer une plainte.

Lorsqu’un citoyen porte plainte à la Commission, une évaluation de la recevabilité est faite et la Commission peut décider de faire enquête ou d’intervenir d’une autre façon à l’intérieur de son champ de compétence.

Pour vous aider dans vos démarches, la Commission met à votre disposition un formulaire de plainte.