Informations à fournir avant la collecte de renseignements personnels

En tant que représentant d’organisme public, vous devez faire preuve de transparence envers les citoyens auprès de qui vous recueillez des renseignements personnels. La mise en œuvre du principe de transparence est essentielle à la protection de leur vie privée : une information claire et simple doit leur permettre de savoir comment leurs renseignements seront utilisés et circuleront afin qu’ils puissent exercer un contrôle à ce sujet. Les citoyens peuvent ainsi exercer ou faire valoir leurs droits en toute connaissance de cause.

La Loi sur l’accès prévoit les informations à fournir, par défaut ou sur demande, lors de la collecte.

Informations à fournir dans tous les cas

Avant toute collecte

Le tableau suivant indique les renseignements que vous devez fournir aux personnes concernées avant la collecte (et sur demande, par la suite) et précise, en gras, les changements qui entreront en vigueur le 22 septembre 2023.

Actuellement Dès le 22 septembre 2023
1.    Nom et adresse de l’organisme au nom de qui la collecte est faite;

2.    Objectifs pour lesquels le renseignement est recueilli;

3.    Catégories de personnes qui auront accès au renseignement au sein de l’organisme;

4.    Caractère obligatoire ou facultatif de la demande :
Une demande est obligatoire quand elle est directement liée à une attribution de l’organisme et qu’il ne pourrait offrir le service sans recueillir le renseignement personnel;

5.    Conséquences pour la personne concernée (ou pour le tiers) d’un refus de répondre à la demande;

6.    Droits d’accès et de rectification prévus par la Loi.

 1.    Nom de l’organisme au nom de qui la collecte est faite;

2.    Objectifs pour lesquels les renseignements sont recueillis;

3.    Moyens par lesquels les renseignements sont recueillis (par exemple : formulaire, captation vidéo);

4.    Caractère obligatoire ou facultatif de la demande :

Une demande est obligatoire quand elle est directement liée à une attribution de l’organisme et qu’il ne pourrait offrir le service sans recueillir le renseignement personnel;

5.    Conséquences pour la personne concernée (ou pour le tiers) d’un refus de répondre à la demande ou, si cela s’applique, d’un retrait de son consentement à la communication ou à l’utilisation des renseignements recueillis suivant une demande facultative;

6.    Droits d’accès et de rectification prévus par la Loi.

Si tel est le cas, les informations suivantes devront aussi être fournies :

7.    Nom du tiers qui recueille les renseignements au nom de votre organisme :
Par exemple, si vous avez mandaté une firme pour effectuer un sondage pour votre organisme, elle doit s’identifier au moment de la collecte;

8.    Nom du tiers ou des catégories de tiers à qui il est nécessaire de communiquer les renseignements pour atteindre les objectifs justifiant la collecte :
Si, par exemple, une entreprise vous assiste dans l’évaluation d’un programme et qu’elle doit recevoir certains renseignements, vous devez la nommer. Si le contrat n’est pas encore signé, vous pouvez indiquer une catégorie plus générale;

9.    Possibilité que les renseignements soient communiqués à l’extérieur du Québec :
Par exemple, si vous stockez les renseignements chez un fournisseur infonuagique dans une autre province, vous devez le mentionner.

 Si vous recueillez les renseignements personnels auprès d’un tiers, et non directement auprès de la personne concernée, vous devez seulement l’informer des éléments numérotés 1, 5 et 6 dans le tableau ci-dessus.

La collecte de renseignements à l’aide de certaines technologies

Dès le 22 septembre 2023, vous devrez fournir des informations supplémentaires aux personnes concernées si vous collectez leurs renseignements en utilisant une technologie comprenant des fonctions permettant :

  • D’identifier ces personnes;
  • De les localiser;
  • D’effectuer un profilage à leur sujet.

Dans un tel cas, vous devrez informer les personnes :

  • Que vous utilisez une telle technologie;
  • Des moyens offerts pour activer les fonctions d’identification, de localisation ou de profilage.

Par conséquent, vous ne pouvez pas activer ces fonctions par défaut. La personne concernée doit pouvoir le faire elle-même, volontairement.

Sachez que le profilage est défini comme suit :

  • La « collecte et l’utilisation de renseignements personnels afin d’évaluer certaines caractéristiques d’une personne physique, notamment à des fins d’analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de la personne ».

Renseignements à fournir sur demande

Dès le 22 septembre 2023, vous devrez aussi fournir à la personne concernée qui le demande les informations suivantes :

L’avis de la Commission sur la transparence

La Commission vous invite à faire preuve de la plus grande transparence possible lorsque vous recueillez des renseignements personnels, que la collecte se fasse directement auprès des personnes concernées ou auprès d’un tiers. Même si les personnes concernées n’en font pas la demande, vous pouvez leur communiquer les informations facultatives pertinentes selon la situation.

Peu importe le moyen ou l’outil technologique utilisé pour la collecte, vous gagnez à être proactif en matière de communication avec les citoyens. L’information que vous fournissez doit être claire, compréhensible, accessible et adaptée au support utilisé.

Décisions automatisées

Les organisme publics et les entreprises peuvent rendre des décisions automatisées en utilisant des renseignements personnels, notamment grâce à l’intelligence artificielle. Par exemple, pour :

  • Accorder un crédit;
  • Évaluer une demande de soutien financier;
  • Attribuer une priorité à une demande.

Lorsque ces décisions sont fondées exclusivement sur un traitement automatisé, c’est-à-dire qu’aucune intervention humaine n’est impliquée, les lois applicables prévoient des obligations de transparence et un droit de révision pour les personnes concernées.

Informations à fournir

Un organisme public ou une entreprise qui rend une décision entièrement automatisée doit en informer la personne concernée au plus tard au moment où il lui communique la décision. Si cette personne le demande, l’organisme ou l’entreprise doit également l’informer :

  • Des renseignements personnels utilisés pour rendre la décision;
  • Des raisons, ainsi que des principaux facteurs et paramètres, ayant mené à la décision;
  • De son droit de faire rectifier les renseignements personnels utilisés pour rendre la décision.

Droit de présenter ses observations

Lorsqu’une décision entièrement automatisée est rendue, un organisme public ou une entreprise doit donner à la personne concernée l’occasion de présenter ses observations à un membre du personnel de l’organisation en mesure de réviser la décision. Ce droit permet donc à la personne d’exiger une intervention humaine face à la situation.

Mise à jour : 1er août 2023