Utilisation de fichiers de témoins (cookies)
Le site de la Commission n’intègre pas de fichier de témoins (cookies) permanent dans les appareils des visiteurs. Cependant, un fichier de témoins temporaire est utilisé pour optimiser certaines fonctionnalités du site Web. Vos données de navigation ne sont pas recueillies.
Consultez notre politique de confidentialité.
Aller au contenu
Recherche
EN
Recherche
  2. Protection des renseignements personnels
  3. Entreprises et organisations privées
  4. Champ d'application de la Loi

Entreprises et organisations privées

Champ d'application de la Loi

Assurer le droit à la vie privée : renseignements personnels concernés et définition de l'entreprise

Les renseignements personnels sont confidentiels. Leur confidentialité découle du droit à la vie privée des citoyens. De leur collecte à leur destruction, les entreprises et les organisations privées doivent les protéger et assurer leur bonne gestion. Leurs obligations sont majoritairement prévues dans la Loi sur le privé.

Quelle est la portée de la Loi?

Votre entreprise ou votre organisation privée doit protéger les renseignements personnels des citoyens, qui ont notamment le droit d'accéder à leurs renseignements personnels et d'exercer un contrôle leur circulation. 

La Loi s’applique aux renseignements personnels que votre entreprise :

  • Recueille;

  • Détient;

  • Utilise;

  • Communique à des tiers.


La Loi s’applique aux renseignements personnels, que leur conservation soit assurée par l’entreprise ou par un tiers. Elle vise à protéger tous les renseignements personnels, que la nature de leur support ou de leur forme soit :

  • Écrite;

  • Graphique;

  • Sonore;

  • Visuelle;

  • Informatisée.


Pour que la Loi sur le privé s’applique, il n’est pas nécessaire que les renseignements personnels d'une personne soient constitués ou conservés dans un « dossier » identifié à son nom. Les obligations des entreprises s’articulent autour de la finalité de la collecte, à savoir les objectifs pour lesquels les renseignements personnels sont recueilis.

Sachez que la Loi ne s’applique pas à la collecte, à la détention, à l’utilisation ou à la communication de matériel journalistiquehistorique ou généalogique réalisé dans un but d’information légitime du public.

Qu’est-ce qu’un renseignement personnel?

Un renseignement personnel est un renseignement qui permet d’identifier une personne physique, directement ou indirectement.

Les renseignements personnels sont confidentiels. Leur confidentialité découle du droit à la vie privée, permettant ainsi à toute personne d’exercer un contrôle sur l’utilisation et la circulation de ses renseignements.

Pour une définition plus détaillée d'un renseignement, consultez la page Qu'est-ce qu'un renseignement personnel? 

Cycle de vie d'un renseignement personnel

Collecte

La collecte est la première étape du cycle de vie d'un renseignement personnel. C'est le moment pendant lequel le renseignement personnel est :

  • Recueilli (formulaire d’abonnement, sondage, outils analytiques Web, etc.);

  • Créé (p. ex. no de membre ou de permis de conduire);

  • Inféré, c’est-à-dire déduit à partir d’autres renseignements (p. ex. profil de consommateur).


Le fait de voir un renseignement personnel, comme ceux contenus sur une pièce d’identité, constitue une collecte, même s’il n’y a pas de conservation par la suite.

La collecte est réalisée par une entreprise ou un tiers, comme un mandataire ou un prestataire de services.

À cette étape, les obligations suivantes doivent être respectées. Ainsi, l'entreprise doit :

  • Déterminer les fins de la collecte. Vous devez avoir un intérêt sérieux et légitime pour recueillir des renseignements personnels et déterminer à quelles fins vous les recueillez, et ce, avant de procéder à leur collecte;

  • Limiter la collecte de renseignements personnels. La collecte doit se limiter aux renseignements nécessaires aux fins déterminées. En cas de doute, un renseignement personnel est réputé non nécessaire;

  • Recueillir les renseignements personnels par des moyens légaux et légitimes. Sauf exception, la collecte doit se faire directement auprès de la personne concernée;

  • Fournir certaines informations à la personne concernée. Lors de la collecte et, par la suite, sur demande, l’entreprise doit informer la personne de certains éléments;

  • Obtenir le consentement des personnes concernées avant de collecter leurs renseignements personnels auprès d’un tiers, à moins d’une exception prévue par la Loi.


Une entreprise ne peut refuser d’offrir un bien, un service ou un emploi à une personne qui refuse de fournir un renseignement personnel, sauf exception prévue par la Loi.

Utilisation

L’utilisation est la période pendant laquelle le renseignement personnel est utilisé par les personnes autorisées au sein de l’entreprise.

À cette étape, l’entreprise doit :

  • Limiter l’accès aux renseignements personnels aux seules personnes ayant la qualité pour les recevoir au sein de l’entreprise lorsque ces renseignements sont nécessaires à l’exercice de leurs fonctions;

  • Limiter l’utilisation des renseignements personnels. À moins d’une exception prévue par la Loi, l’entreprise doit obtenir le consentement de la personne concernée pour utiliser ses renseignements à une autre fin que celles pour lesquelles il a été recueilli ou une fois l’objet du dossier accompli.


Lorsqu’elle rend une décision fondée exclusivement sur un traitement automatisé, par exemple en utilisant l’intelligence artificielle, une entreprise doit aussi fournir certaines informations à la personne concernée.

Communication

La communication est la période pendant laquelle le renseignement personnel est communiqué, par exemple dans un système de prestation électronique de services, par courriel, au service à la clientèle ou par le biais de sites Web.

À cette étape, l’entreprise doit :

Conservation

La conservation est la période durant laquelle une entreprise garde des renseignements personnels, sous quelque forme que ce soit, et ce, peu importe que les renseignements soient activement utilisés ou non.

À cette étape, l’entreprise doit :

  • Assurer la qualité des renseignements personnels en veillant à ce que les renseignements personnels qu’elle détient soient à jour et exacts au moment où elle les utilise pour prendre une décision relative à la personne concernée;

  • Prendre des mesures de sécurité propres à assurer la sécurité des renseignements personnels.
Destruction

Le cycle de vie du renseignement personnel se termine lors de sa destruction.

À cette étape, l’entreprise doit :

  • Détruire les renseignements personnels de manière sécuritaire dès que la finalité pour laquelle ils ont été collectés est accomplie.
Autres obligations : sécurité, accès et rectification

L'entreprise a également les obligations suivantes :

  • Mettre en place des mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits. Ces mesures sont raisonnables compte tenu notamment de la sensibilité, de la finalité, de la quantité, de la répartition et du support des renseignements personnels;

  • Permettre l’exercice des droits d’accès et de rectification et répondre avec diligence, dans les 30 jours, aux demandes d’accès aux renseignements personnels et de rectification soumises par les personnes concernées. L’absence de réponse dans ce délai équivaut à un refus. Un citoyen peut contester un refus ou une réponse jugée insatisfaisante en exerçant son droit de recours devant la Commission.

Que considère-t-on comme une entreprise?

La Loi sur le privé s’appuie sur l'article 1525 du Code civil pour déterminer la définition d’une entreprise. Celle-ci réfère à l’exercice, par une ou plusieurs personnes, d’une activité économique organisée, qu’elle soit ou non à caractère commercial, consistant dans la production ou la réalisation de biens, leur administration ou leur aliénation, ou dans la prestation de services.

Cette définition s’étend notamment à :

  • L’entreprise individuelle (travailleur autonome);

  • La société par actions (compagnie);

  • La société en nom collectif (S.E.N.C.);

  • La société en commandite (S.E.C.);

  • La société en participation;

  • Le syndicat de copropriété;

  • L'association (p. ex. un syndicat);

  • Le groupement de personnes (p. ex. un consortium);

  • La fiducie exploitant une entreprise à caractère commercial.


Elle vise les personnes qui exploitent une entreprise au Québec, mais peut aussi viser d’autres organisations telles que des organismes à but non lucratif (OBNL). Une analyse au cas par cas doit toutefois être effectuée afin de déterminer si l’organisation exerce véritablement une activité économique organisée et est assujettie à la Loi sur le privé. L’aide d’un juriste peut être requise.

Une organisation située à l’extérieur du Québec qui recueille, détient, utilise ou communique des renseignements personnels dans le cadre des activités de son entreprise au Québec est assujettie à la Loi sur le privé. Elle est notamment responsable de la protection des renseignements personnels qu’elle recueille et détient. La personne détenant la plus haute fonction au sein de l’entreprise veille à assurer le respect et la mise en œuvre de ces obligations.

Applications particulières de la Loi

Certains types d'organisations sont visés par des obligations supplémentaires de la Loi sur le privé ou une partie de ses dispositions.

Organisations et intervenants du secteur de la santé et des services sociaux

La Loi sur les renseignements de santé et de services sociaux a été adoptée en 2023 pour donner un cadre spécifique aux organismes et aux intervenants en santé et en services sociaux concernant la protection des renseignements personnels. Cette loi sera éventuellement en vigueur, à une date déterminée par un décret du gouvernement. Consultez la page sur les obligations des organismes de la santé et des services sociaux en matière de protection des renseignements personnels pour plus d'information.

Agents de renseignements personnels

Les agents de renseignements personnels ont autant d'obligations à l'égard du public qu'à l'égard de la Commission pour exercer leurs fonctions. Consultez la page Obligations des agents de renseignements personnels pour plus d'information. 

Ordres professionnels

Les ordres professionnels sont soumis à un régime hybride d’accès à l’information et à la protection des renseignements personnels. La Loi sur l’accès et la Loi sur le privé s’appliquent dans la mesure prévue par le Code des professions. Consultez la page sur les ordres professionnels pour plus d'information.

Partis politiques, députés indépendants et candidats indépendants

Les partis politiques (incluant leurs instances), les députés et les candidats indépendants doivent protéger les renseignements personnels qu’ils détiennent à propos des électeurs. Pour plus d'information, consultez la page sur les obligations des partis politiques.

Chercheurs

La Loi sur le privé et la Loi sur l'accès prévoient des dispositions permettant aux chercheurs de demander l'accès à des renseignements personnels sans le consentement des personnes concernées. Pour plus d'information, consultez la page Accès et obligations en matière de protection des renseignements personnels.

Congrégations religieuses

La Loi sur le privé s'applique aussi aux congrégations religieuses avec la Loi autorisant la communication de renseignements personnels aux familles d’enfants autochtones disparus ou décédés à la suite d’une admission en établissement.

 

Votre avis nous intéresse

Avez-vous trouvé les informations que vous cherchiez ?
Les informations sur cette page sont-elles claires, faciles à comprendre ?

Évitez d’inscrire des renseignements personnels. Notez que vous ne recevrez pas de réponse.

500 characters left