Protection des renseignements personnels

Les organismes publics ont la responsabilité d’assurer la protection des renseignements personnels.

Quand ils recueillent, utilisent, communiquent à des tiers, conservent ou détruisent des renseignements personnels, les organismes publics ont plusieurs obligations à respecter en vertu de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (Loi sur l’accès).

Voici les étapes du cycle de vie d’un renseignement personnel :

Collecte

Première étape du cycle de vie du renseignement personnel, la collecte est le moment où le renseignement personnel est :

  • Recueilli;
  • Créé;
  • Inféré, c’est-à-dire déduit à partir d’autres renseignements.

Le fait de voir un renseignement personnel, comme ceux contenus sur une pièce d’identité, constitue une collecte, même s’il n’y a pas de conservation par la suite.

La collecte est réalisée par l’organisme public ou par un tiers, comme un mandataire ou un prestataire de services.

À cette étape, les obligations suivantes doivent notamment être respectées afin de protéger les renseignements personnels :

  • Limiter la collecte de renseignements personnels à ceux qui sont nécessaires :
    • À l’exercice de ses attributions ou à la mise en œuvre d’un programme dont il a la gestion;
    • À l’exercice des attributions ou à la mise en œuvre d’un programme de l’organisme public avec lequel il collabore pour la prestation de services ou pour la réalisation d’une mission commune.
  • Fournir certaines informations à la personne concernée. Lors de la collecte et, par la suite, sur demande, l’organisme public doit informer la personne de certains éléments.

Utilisation

L’utilisation est la période pendant laquelle le renseignement personnel est utilisé par les personnes autorisées au sein de l’organisme public.

À cette étape, l’organisme public doit notamment :

  • Limiter l’accès aux renseignements personnels à toute personne qui a qualité pour les recevoir au sein de l’organisme, lorsque ces renseignements sont nécessaires à l’exercice de ses fonctions;
  • Limiter l’utilisation des renseignements personnels. À moins d’une exception prévue par la loi, l’organisme public doit obtenir le consentement de la personne concernée pour utiliser ses renseignements à d’autres fins que celles pour lesquelles ils ont été recueillis.

Dès le 22 septembre 2023, lorsqu’il rendra une décision fondée exclusivement sur un traitement automatisé, par exemple en utilisant l’intelligence artificielle, un organisme public devra aussi fournir certaines informations à la personne concernée.

Communication

La communication est la période où le renseignement personnel est communiqué à un tiers, par exemple dans un système de prestation électronique de services, par courriel ou par le biais de sites Web.

À cette étape, l’organisme public doit notamment respecter les obligations suivantes :

  • Obtenir le consentement des personnes concernées pour communiquer leurs renseignements à un tiers, à moins d’une exception prévue par la Loi;
  • Respecter les obligations prévues par la Loi lorsqu’il communique des renseignements personnels sans le consentement de la personne concernée;
  • S’assurer que les renseignements bénéficieront d’une protection équivalente à celle que la Loi sur l’accès procure avant de communiquer ceux-ci à l’extérieur du Québec.

Conservation

La conservation est la période durant laquelle un organisme public garde des renseignements personnels, sous quelque forme que ce soit, et ce, peu importe que les renseignements soient activement utilisés ou non.

À cette étape, l’organisme public doit notamment respecter les obligations suivantes :

  • Assurer la qualité des renseignements personnels en veillant à ce qu’ils soient à jour, exacts et complets pour servir aux fins pour lesquelles ils sont recueillis ou utilisés;
  • Prendre des mesures de sécurité propres à assurer la protection des renseignements personnels.

Destruction

Le cycle de vie du renseignement personnel se termine lors de sa destruction.

À cette étape, sauf exception, l’organisme doit détruire les renseignements personnels de manière sécuritaire lorsque les fins pour lesquelles ils ont été recueillis ou utilisés sont accomplies, sous réserve de la Loi sur les archives ou du Code des professions.

Autres obligations : sécurité, accès et rectification

  • Mettre en place des mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits.
    • Ces mesures sont raisonnables compte tenu, notamment, de la sensibilité, de la finalité de leur utilisation, de la quantité, de la répartition et du support des renseignements personnels.
  • Permettre l’exercice des droits d’accès et de rectification et répondre avec diligence aux demandes d’accès aux renseignements personnels et de rectification soumises par les personnes concernées.
    • Un organisme public dispose d’au plus 20 jours civils pour répondre à une demande d’accès ou de rectification. Toutefois, ce délai peut être prolongé de 10 jours, si cela s’avère nécessaire.

L’absence de réponse à l’intérieur de ce délai équivaut à un refus. Un citoyen peut contester un refus ou une réponse jugée insatisfaisante en exerçant son droit de recours devant la Commission d’accès à l’information.

Régime d’exception pour certains renseignements détenus par le gouvernement

En matière de protection des renseignements personnels, certaines dispositions créent un régime d’exception à celui prévu par la Loi sur l’accès. À des fins administratives ou de services publics, des renseignements personnels détenus par le gouvernement peuvent être communiqués et utilisés sans le consentement des personnes concernées.

La Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement (ou LGGRI) favorise entre autres la circulation et la réutilisation des données numériques gouvernementales, notamment les renseignements personnels. Un des objectifs est d’offrir aux citoyens et entreprises des services intégrés de qualité fondés sur les technologies numériques.

Pour assurer la circulation sécuritaire de ces renseignements, la LGGRI prévoit la désignation d’organismes pouvant recevoir, utiliser et communiquer des données numériques gouvernementales transmises par d’autres organismes. Le ministère de la Cybersécurité et du Numérique a notamment été désigné pour assumer ces fonctions.

Ces organismes désignés, appelés « sources officielles de données numériques gouvernementales », doivent :

  • procéder à des évaluations des facteurs relatifs à la vie privée avant de recueillir, d’utiliser ou de communiquer des renseignements personnels dans l’exercice de leurs fonctions;
  • établir des règles de gouvernance à l’égard des renseignements personnels;
  • produire un rapport annuel sur les activités concernant le traitement de ceux-ci.

Ces trois types de documents doivent ensuite être soumis à la Commission, qui dispose du pouvoir formel d’approuver les règles de gouvernance.

Mise à jour : 3 mai 2023