Le responsable devra approuver les politiques et les pratiques de l’entreprise encadrant sa gouvernance à l’égard des renseignements personnels dans l’entreprise.
Votre entreprise est responsable de protéger les renseignements personnels qu'elle recueille, détient, utilise, communique et conserve.
La personne ayant la plus haute autorité dans l’entreprise, par exemple son dirigeant, est par défaut responsable de la protection des renseignements personnels. Elle exerce cette fonction en assurant le respect et la mise en œuvre de la Loi sur le privé.
Cette fonction peut cependant être déléguée par écrit, en tout ou en partie, à une personne en mesure d’assumer efficacement ce rôle. Dans ce cas, la Commission recommande de désigner une personne ayant les compétences requises et un pouvoir décisionnel important.
Même en cas de délégation, la personne ayant la plus haute autorité demeure imputable quant au respect et à la mise en œuvre de la Loi dans son entreprise. La personne ayant la plus haute autorité doit appuyer la personne à qui elle délègue ses fonctions en lui fournissant les ressources humaines, techniques et financières nécessaires pour assumer pleinement ses fonctions.
Le titre et les coordonnées du responsable de la protection des renseignements personnels doivent être publiés sur le site Web de l’entreprise. En l’absence d’un site Web, l’entreprise doit en informer le public par tout autre moyen approprié. La Commission n’a pas à en être informée.
Le responsable devra approuver les politiques et les pratiques de l’entreprise encadrant sa gouvernance à l’égard des renseignements personnels dans l’entreprise.
Le responsable de la protection des renseignements personnels est chargé de recevoir et d’assurer le traitement des demandes d’accès ou de rectification de renseignements personnels. Il fait de même pour les demandes d'accès, pour des motifs de deuil, aux renseignements personnels d'une personne décédée, qui permettent à son conjoint ou à l’un de ses proches parents de demander à recevoir un tel renseignement si le fait de le connaître est susceptible de l'aider dans son processus de deuil. Une restriction s’appliquera, cependant, si une personne décédée a préalablement consigné, par écrit, son refus d’accorder ce droit d’accès.
Le responsable doit évaluer les demandes d'accès et de rectification et y répondre dans les 30 jours. L’absence de réponse dans ce délai équivaut à un refus. Un citoyen peut contester un refus ou une réponse jugée insatisfaisante en exerçant son droit de recours devant la Commission;
Lorsque la demande n'est pas suffisamment précise ou si le requérant le demande, le responsable doit prêter assistance pour identifier les renseignements recherchés;
Lorsqu’il refuse une demande d’accès ou de rectification, le responsable doit :
Le droit à la portabilité permet à toute personne qui le demande d’obtenir ses renseignements personnels informatisés, dans un format technologique structuré et couramment utilisé. Ceux-ci doivent cependant avoir été recueillis auprès d’elle. Selon les précisions du gouvernement du Québec, un format est dit "structuré et couramment utilisé" lorsque des applications logicielles d’usage courant peuvent facilement reconnaître et extraire les informations qui y sont contenues.
Les entreprises ont l’obligation de s’assurer que tout nouveau projet d’acquisition, de développement ou de refonte d’un système d’information ou de prestation électronique de services permette la communication de renseignements personnels informatisés dans un format technologique structuré et couramment utilisé.
Cette modalité d’exercice du droit d’accès vise à donner plus de contrôle aux individus sur leurs renseignements personnels et à faciliter leurs démarches lorsqu’ils souhaitent obtenir des services auprès d’une autre entreprise.
Dans ce contexte, une personne peut aussi demander que ses renseignements personnels informatisés soient communiqués dans un format technologique structuré et couramment utilisé à une personne ou une entreprise autorisée à les recevoir. Pour assurer la protection des renseignements personnels, toute entreprise qui recueille des renseignements personnels, informatisés ou non, est tenue d’évaluer la nécessité de les recevoir en suivant la démarche proposée.
Actuellement, aucune exigence législative n’impose aux entreprises l’obligation de se doter de systèmes interopérables. Toutefois, l’interopérabilité constitue un élément crucial pour favoriser un transfert efficace des renseignements personnels, et pour que les personnes concernées puissent pleinement bénéficier du droit à la portabilité.
Pour que s’applique le droit à la portabilité, les renseignements personnels concernés doivent être :
Les renseignements créés ou inférés sont exclus du droit à la portabilité, car ils n’ont pas été recueillis directement ou indirectement auprès de la personne concernée. Ils sont plutôt générés par l’analyse, l’observation ou obtenus par des algorithmes et des corrélations. Par exemple, le niveau de risque associé à un individu par sa compagnie d’assurance constitue un renseignement personnel créé ou inféré.
De même, les renseignements personnels informatisés qu’une entreprise obtient par des tiers sont également exclus du droit à la portabilité.
La procédure à suivre pour répondre à une personne demandant à obtenir dans un format technologique structuré et couramment utilisé la communication de ses renseignements personnels informatisés est la même que pour toute demande d’accès et de rectification. Entre autres, le délai à respecter pour répondre à une telle demande est également de 30 jours.
Une personne insatisfaite de la réponse à sa demande peut recourir à la Commission en déposant une demande d’examen de mésentente.
De plus, les entreprises sont tenues de prendre des mesures de sécurité appropriées quand elles transmettent des renseignements personnels informatisés dans un format technologique structuré et couramment utilisé.
La communication des renseignements personnels dans un format technologique structuré et couramment utilisé ne doit pas entrainer de difficultés pratiques sérieuses pour l’entreprise. La Loi sur le privé ne définit pas ce que peuvent être « des difficultés pratiques sérieuses ». L’interprétation jurisprudentielle de la Commission concernant cette expression réfère à une analyse au cas par cas. À titre d’exemple, la Commission a déjà conclu que les coûts importants engendrés pour donner suite à une demande ou la complexité que nécessite le transfert dû au choix du demandeur quant à la forme peuvent être considérés comme des « difficultés pratiques sérieuses ».
Les citoyens bénéficieront de nouveaux droits afin de contrôler la diffusion de leurs renseignements personnels. Par conséquent, le responsable devra répondre aux demandes écrites des personnes exigeant :
Les personnes concernées pourront faire ces demandes dans l’un des cas suivants :
Le responsable devra répondre par écrit à cette demande, selon les mêmes modalités que les demandes d’accès et de rectification. S’il accepte la demande, sa réponse écrite devra attester de la cessation de diffusion des renseignements, de la désindexation ou de la réindexation de l’hyperlien.
Le responsable devra participer à l’évaluation des facteurs relatifs à la vie privée des projets d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services impliquant des renseignements personnels, et ce, dès le départ.
À toutes les étapes, il pourra suggérer des mesures de protection des renseignements personnels, comme :
Le responsable pourra aussi participer aux autres évaluations des facteurs relatifs à la vie privée prévues par la Loi.
Les mandataires ou exécutants d’un contrat de service ou d’entreprise devront aviser sans délai le responsable de la protection des renseignements personnels concernant :
Ils devront alors permettre au responsable d’effectuer toute vérification concernant cette confidentialité.
Lorsqu'elle évalue le risque qu'un préjudice soit causé aux personnes concernées à la suite d'un incident de confidentialité, une entreprise doit consulter son responsable de la protection des renseignements personnels.
Pour en savoir plus, consultez la page sur les incidents de confidentialité.
D’autres tâches peuvent être assumées par le responsable. Par exemple :
Le responsable joue un rôle crucial au sein de son entreprise. Il est donc aussi appelé à mettre en place des mesures préventives en matière de protection des renseignements personnels.
Les entreprises doivent établir et mettre en œuvre des politiques et des pratiques de gouvernance pour protéger les renseignements personnels.
Ces politiques et ces pratiques doivent minimalement prévoir :
Ces politiques et ces pratiques doivent être proportionnelles à la nature et à l’importance des activités de l’entreprise.
Les entreprises doivent faire connaître leurs politiques et leurs pratiques dans leur site Web. L’information publiée à ce sujet doit être détaillée et expliquée en termes simples et clairs.
En l’absence d'un site Web, l’entreprise doit informer le public par tout autre moyen approprié.
Dans certaines situations impliquant des renseignements personnels, une entreprise doit réaliser une évaluation des facteurs relatifs à la vie privée (EFVP). Cette obligation vise évidemment à mieux protéger le droit fondamental des citoyens à à la vie privée.
L'EFVP est une démarche préventive et évolutive visant à mieux protéger les renseignements personnels et à mieux respecter la vie privée des personnes. Ce droit fondamental est protégé par la Charte des droits et libertés de la personne.
Concrètement, l'EFVP est une analyse d’impact. Avant d’entamer un projet et au cours de celui-ci, cette démarche permet de considérer tous les facteurs ayant un effet positif ou négatif sur le respect de la vie privée des personnes concernées.
Ces facteurs sont :
L’EFVP a pour objectifs :
La réalisation d’une EFVP doit être proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support.
L’organisation réalisant une EFVP démontre qu’elle assume ses responsabilités quant à la protection des renseignements personnels.
En 2018, un sondage Léger Marketing réalisé pour la Commission a d’ailleurs révélé que 91 % des Québécois accordaient de l’importance à la protection de leurs renseignements personnels et auraient fait davantage affaire avec une entreprise possédant une bonne réputation en la matière. Plus récemment, en 2022-2023, un sondage mené par le Commissariat à la protection de la vie privée du Canada dévoilait que la grande majorité (93 %) des répondants sont préoccupés par la protection de leur vie privée.
Vous devez réaliser une EFVP dans trois situations. Au-delà de ces situations, la Commission recommande cette pratique à toute organisation ayant un projet mettant en cause des renseignements personnels.
Votre entreprise doit procéder à une EFVP avant de :
Consultez la section sur la communication de renseignements personnels à l’extérieur du Québec.
Une EFVP est requise pour tout projet lié à un système d’information ou de prestation électronique de services impliquant des renseignements personnels. Il peut s’agir d’un projet d'acquisition, de développement ou de refonte. Dès le début d'un tel projet, aux fins de l'EFVP, l’entreprise doit consulter son responsable de la protection des renseignements personnels.
Un système d’information peut revêtir de multiples formes. Il n’est pas nécessairement informatisé, quoique cela soit fréquent. Il peut s’agir entre autres d’un :
Un système de prestation électronique de services peut notamment prendre la forme :
La communication de renseignements personnels sans le consentement des personnes concernées à une personne ou à un organisme souhaitant utiliser ces renseignements à des fins d’étude, de recherche ou de production de statistiques est permise seulement si une EFVP conclut au respect de certains critères.
La communication doit être faite dans le cadre d’une entente écrite, transmise à la Commission. Cette entente entre en vigueur dans les 30 jours suivant sa réception.
Pour plus d'information, consultez la section sur la communication de renseignements personnels sans consentement à des fins de recherche.
Pour vous aider à réaliser votre EFVP et à mieux comprendre cette démarche, consultez le Guide d’accompagnement conçu par la Commission (PDF, 1 108 Ko). La Commission propose également un modèle générique de rapport (DOCX, 151 Ko) permettant de rendre compte des résultats d’une EFVP.