Aller au contenu

Entreprises et organisations privées

Responsabilité des entreprises

Qui est responsable de la protection des renseignements personnels dans une entreprise?

Votre entreprise est responsable de protéger les renseignements personnels qu'elle recueille, détient, utilise, communique et conserve.

La personne ayant la plus haute autorité dans l’entreprise, par exemple son dirigeant, est par défaut responsable de la protection des renseignements personnels. Elle exerce cette fonction en assurant le respect et la mise en œuvre de la Loi sur le privé.

Délégation de la fonction de responsable

Cette fonction peut cependant être déléguée par écrit, en tout ou en partie, à une personne en mesure d’assumer efficacement ce rôle. Dans ce cas, la Commission recommande de désigner une personne ayant les compétences requises et un pouvoir décisionnel important.

Même en cas de délégation, la personne ayant la plus haute autorité demeure imputable quant au respect et à la mise en œuvre de la Loi dans son entreprise. La personne ayant la plus haute autorité doit appuyer la personne à qui elle délègue ses fonctions en lui fournissant les ressources humaines, techniques et financières nécessaires pour assumer pleinement ses fonctions.

Publication des coordonnées du responsable

Le titre et les coordonnées du responsable de la protection des renseignements personnels doivent être publiés sur le site Web de l’entreprise. En l’absence d’un site Web, l’entreprise doit en informer le public par tout autre moyen approprié. La Commission n’a pas à en être informée.

Fonctions de la personne responsable de la protection des renseignements personnels

Approuver les politiques et les pratiques de l’entreprise

Le responsable devra approuver les politiques et les pratiques de l’entreprise encadrant sa gouvernance à l’égard des renseignements personnels dans l’entreprise.

Répondre aux demandes d’accès et de rectification

Le responsable de la protection des renseignements personnels est chargé de recevoir et d’assurer le traitement des demandes d’accès ou de rectification de renseignements personnels. Il fait de même pour les demandes d'accès, pour des motifs de deuil, aux renseignements personnels d'une personne décédée, qui permettent à son conjoint ou à l’un de ses proches parents de demander à recevoir un tel renseignement si le fait de le connaître est susceptible de l'aider dans son processus de deuil. Une restriction s’appliquera, cependant, si une personne décédée a préalablement consigné, par écrit, son refus d’accorder ce droit d’accès.

Le responsable doit évaluer les demandes d'accès et de rectification et y répondre dans les 30 jours. L’absence de réponse dans ce délai équivaut à un refus. Un citoyen peut contester un refus ou une réponse jugée insatisfaisante en exerçant son droit de recours devant la Commission;


Lorsque la demande n'est pas suffisamment précise ou si le requérant le demande, le responsable doit prêter assistance pour identifier les renseignements recherchés;


Lorsqu’il refuse une demande d’accès ou de rectification, le responsable doit :

  • Motiver le refus en indiquant la disposition législative appropriée;
  • Sur demande d’un requérant, l’aider à comprendre le refus. Il pourrait, par exemple, se rendre disponible pour une discussion de vive voix.

 

Communiquer des renseignements dans un format technologique

Le droit à la portabilité permet à toute personne qui le demande d’obtenir ses renseignements personnels informatisés, dans un format technologique structuré et couramment utilisé. Ceux-ci doivent cependant avoir été recueillis auprès d’elle. Selon les précisions du gouvernement du Québec, un format est dit  "structuré et couramment utilisé" lorsque des applications logicielles d’usage courant peuvent facilement reconnaître et extraire les informations qui y sont contenues.

Les entreprises ont l’obligation de s’assurer que tout nouveau projet d’acquisition, de développement ou de refonte d’un système d’information ou de prestation électronique de services permette la communication de renseignements personnels informatisés dans un format technologique structuré et couramment utilisé. 

Cette modalité d’exercice du droit d’accès vise à donner plus de contrôle aux individus sur leurs renseignements personnels et à faciliter leurs démarches lorsqu’ils souhaitent obtenir des services auprès d’une autre entreprise.

Dans ce contexte, une personne peut aussi demander que ses renseignements personnels informatisés soient communiqués dans un format technologique structuré et couramment utilisé à une personne ou une entreprise autorisée à les recevoir. Pour assurer la protection des renseignements personnels, toute entreprise qui recueille des renseignements personnels, informatisés ou non, est tenue d’évaluer la nécessité de les recevoir en suivant la démarche proposée.  

Actuellement, aucune exigence législative n’impose aux entreprises l’obligation de se doter de systèmes interopérables. Toutefois, l’interopérabilité constitue un élément crucial pour favoriser un transfert efficace des renseignements personnels, et pour que les personnes concernées puissent pleinement bénéficier du droit à la portabilité. 

Conditions d’application du droit à la portabilité

Pour que s’applique le droit à la portabilité, les renseignements personnels concernés doivent être : 

  • Informatisés
    • Le droit à la portabilité est limité aux renseignements personnels informatisés, c’est-à-dire organisés et structurés à l’aide de l’informatique. 

  • Recueillis auprès de la personne concernée
    • Ces renseignements personnels informatisés doivent aussi avoir été recueillis directement ou indirectement auprès de la personne par l’entreprise. Les renseignements recueillis indirectement sont notamment ceux qui sont générés par les activités de la personne concernée, comme l’historique de ses achats, déplacements, habitudes de conduite, etc.   


Les renseignements créés ou inférés sont exclus du droit à la portabilité, car ils n’ont pas été recueillis directement ou indirectement auprès de la personne concernée. Ils sont plutôt générés par l’analyse, l’observation ou obtenus par des algorithmes et des corrélations. Par exemple, le niveau de risque associé à un individu par sa compagnie d’assurance constitue un renseignement personnel créé ou inféré.

De même, les renseignements personnels informatisés qu’une entreprise obtient par des tiers sont également exclus du droit à la portabilité.

Procédure d'accès aux renseignements personnels informatisés

La procédure à suivre pour répondre à une personne demandant à obtenir dans un format technologique structuré et couramment utilisé la communication de ses renseignements personnels informatisés est la même que pour toute demande d’accès et de rectification. Entre autres, le délai à respecter pour répondre à une telle demande est également de 30 jours. 

Une personne insatisfaite de la réponse à sa demande peut recourir à la Commission en déposant une demande d’examen de mésentente. 

De plus, les entreprises sont tenues de prendre des mesures de sécurité appropriées quand elles transmettent des renseignements personnels informatisés dans un format technologique structuré et couramment utilisé.

Difficultés pratiques sérieuses

La communication des renseignements personnels dans un format technologique structuré et couramment utilisé ne doit pas entrainer de difficultés pratiques sérieuses pour l’entreprise. La Loi sur le privé ne définit pas ce que peuvent être « des difficultés pratiques sérieuses ». L’interprétation jurisprudentielle de la Commission concernant cette expression réfère à une analyse au cas par cas. À titre d’exemple, la Commission a déjà conclu que les coûts importants engendrés pour donner suite à une demande ou la complexité que nécessite le transfert dû au choix du demandeur quant à la forme peuvent être considérés comme des « difficultés pratiques sérieuses ».  

Répondre aux demandes de cessation de diffusion, de désindexation et de réindexation

Les citoyens bénéficieront de nouveaux droits afin de contrôler la diffusion de leurs renseignements personnels. Par conséquent, le responsable devra répondre aux demandes écrites des personnes exigeant :

  • La cessation de la diffusion de leurs renseignements personnels;
  • La désindexation d’un hyperlien rattaché à leur nom et donnant accès à leurs renseignements par un moyen technologique.

Les personnes concernées pourront faire ces demandes dans l’un des cas suivants :

  • Si la diffusion de leurs renseignements contrevient à la Loi ou à une ordonnance judiciaire;
  • Si la diffusion de leurs renseignements personnels leur cause un préjudice grave lié au droit du respect de leur réputation ou de leur vie privée. Dans ce cas, ils pourront aussi en demander la réindexation. La Loi prévoit certaines conditions.

Le responsable devra répondre par écrit à cette demande, selon les mêmes modalités que les demandes d’accès et de rectification. S’il accepte la demande, sa réponse écrite devra attester de la cessation de diffusion des renseignements, de la désindexation ou de la réindexation de l’hyperlien.

 

Participer à l’évaluation des facteurs relatifs à la vie privée

Le responsable devra participer à l’évaluation des facteurs relatifs à la vie privée des projets d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services impliquant des renseignements personnels, et ce, dès le départ.

À toutes les étapes, il pourra suggérer des mesures de protection des renseignements personnels, comme :

  • La nomination d’une personne chargée de mettre en œuvre des mesures de protection des renseignements personnels;
  • L’ajout de mesures de protection des renseignements personnels dans tout document concernant le projet;
  • La description des responsabilités des participants au projet, en matière de protection des renseignements personnels;
  • La tenue d’activités de formation sur la protection des renseignements personnels pour les participants au projet.

Le responsable pourra aussi participer aux autres évaluations des facteurs relatifs à la vie privée prévues par la Loi.

Recevoir et traiter les avis de violation d'obligations de confidentialité des mandataires

Les mandataires ou exécutants d’un contrat de service ou d’entreprise devront aviser sans délai le responsable de la protection des renseignements personnels concernant :

  • Toute violation ou tentative d’une violation de l’une ou l’autre des obligations touchant à la confidentialité des renseignements personnels qui leur ont été communiqués par l’entreprise.

Ils devront alors permettre au responsable d’effectuer toute vérification concernant cette confidentialité.

Participer à l'évaluation des préjudices causés par un incident de confidentialité

Lorsqu'elle évalue le risque qu'un préjudice soit causé aux personnes concernées à la suite d'un incident de confidentialité, une entreprise doit consulter son responsable de la protection des renseignements personnels.

Pour en savoir plus, consultez la page sur les incidents de confidentialité.

Autres tâches du responsable

D’autres tâches peuvent être assumées par le responsable. Par exemple :

  • Offrir de la formation à l’interne;
  • Agir comme interlocuteur de l’entreprise auprès de la Commission.

Le responsable joue un rôle crucial au sein de son entreprise. Il est donc aussi appelé à mettre en place des mesures préventives en matière de protection des renseignements personnels.

Politiques et pratiques de gouvernance

Les entreprises doivent établir et mettre en œuvre des politiques et des pratiques de gouvernance pour protéger les renseignements personnels.

Contenu des politiques et des pratiques de gouvernance

Ces politiques et ces pratiques doivent minimalement prévoir :

  • Des règles applicables à la conservation et à la destruction des renseignements personnels;

  • Les rôles et les responsabilités des membres du personnel, tout au long du cycle de vie des renseignements personnels;

  • Un processus de traitement des plaintes relatives à la protection des renseignements personnels.


Ces politiques et ces pratiques doivent être proportionnelles à la nature et à l’importance des activités de l’entreprise.

Publication d'informations sur les politiques et les pratiques de gouvernance

Les entreprises doivent faire connaître leurs politiques et leurs pratiques dans leur site Web. L’information publiée à ce sujet doit être détaillée et expliquée en termes simples et clairs.

En l’absence d'un site Web, l’entreprise doit informer le public par tout autre moyen approprié.

Évaluation des facteurs relatifs à la vie privée

Dans certaines situations impliquant des renseignements personnels, une entreprise doit réaliser une évaluation des facteurs relatifs à la vie privée (EFVP). Cette obligation vise évidemment à mieux protéger le droit fondamental des citoyens à à la vie privée.

Qu'est-ce qu'une EFVP?

L'EFVP est une démarche préventive et évolutive visant à mieux protéger les renseignements personnels et à mieux respecter la vie privée des personnes. Ce droit fondamental est protégé par la Charte des droits et libertés de la personne.

Concrètement, l'EFVP est une analyse d’impact. Avant d’entamer un projet et au cours de celui-ci, cette démarche permet de considérer tous les facteurs ayant un effet positif ou négatif sur le respect de la vie privée des personnes concernées.

Ces facteurs sont :

  • La conformité du projet aux lois applicables en matière de protection des renseignements personnels et le respect des principes l’appuyant;

  • L’identification des risques d’atteinte à la vie privée engendrés par le projet et l’évaluation de leurs conséquences;

  • La mise en place de stratégies pour éviter ces risques ou les réduire efficacement ainsi que leur maintien dans le temps.

Pourquoi réaliser une EFVP?

L’EFVP a pour objectifs :

  • La protection des personnes concernées par un projet, et ce, de la collecte de leurs renseignements personnels à leur destruction;

  • La mise en place de mesures adéquates pour respecter les obligations en matière de protection des renseignements personnels;

  • Le fait d'éviter les problèmes que causerait une gestion inadéquate de ces renseignements (incidents de confidentialité, poursuites, atteintes à l’image, etc.).


La réalisation d’une EFVP doit être proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support.

L’organisation réalisant une EFVP démontre qu’elle assume ses responsabilités quant à la protection des renseignements personnels.

En 2018, un sondage Léger Marketing réalisé pour la Commission a d’ailleurs révélé que 91 % des Québécois accordaient de l’importance à la protection de leurs renseignements personnels et auraient fait davantage affaire avec une entreprise possédant une bonne réputation en la matière. Plus récemment, en 2022-2023, un sondage mené par le Commissariat à la protection de la vie privée du Canada dévoilait que la grande majorité (93 %) des répondants sont préoccupés par la protection de leur vie privée.

Dans quelles situations l'EFVP est-elle obligatoire?

Vous devez réaliser une EFVP dans trois situations. Au-delà de ces situations, la Commission recommande cette pratique à toute organisation ayant un projet mettant en cause des renseignements personnels.

Communication d’un renseignement personnel à l’extérieur du Québec

Votre entreprise doit procéder à une EFVP avant de :

  • Communiquer un renseignement personnel à une entité située à l’extérieur du Québec;

  • Confier à une personne ou à un organisme à l’extérieur du Québec la tâche de recueillir, d’utiliser, de communiquer ou de conserver, pour votre compte, un tel renseignement.


Consultez la section sur la communication de renseignements personnels à l’extérieur du Québec.

Projet d’acquisition, de développement ou de refonte de système d’information ou de prestation électronique de services

Une EFVP est requise pour tout projet lié à un système d’information ou de prestation électronique de services impliquant des renseignements personnels. Il peut s’agir d’un projet d'acquisition, de développement ou de refonte. Dès le début d'un tel projet, aux fins de l'EFVP, l’entreprise doit consulter son responsable de la protection des renseignements personnels.

Un système d’information peut revêtir de multiples formes. Il n’est pas nécessairement informatisé, quoique cela soit fréquent. Il peut s’agir entre autres d’un :

  • Système informatique de traitement des dossiers;

  • Logiciel de vidéoconférence ou de collaboration;

  • Système biométrique;

  • Système d’intelligence artificielle;

  • Système de cartes à puce/RFID;

  • Système de vidéosurveillance;

  • Système statistique;

  • Système de gestion de la paie.


Un système de prestation électronique de services peut notamment prendre la forme :

  • D’une borne libre-service;

  • D’un service de paiement par RFID/NFC;

  • D’une zone membre d’un site Web;

  • D’un dossier électronique;

  • D’une application mobile.

Communication de renseignements personnels sans consentement à un tiers à des fins d’étude, de recherche ou de production de statistiques

La communication de renseignements personnels sans le consentement des personnes concernées à une personne ou à un organisme souhaitant utiliser ces renseignements à des fins d’étude, de recherche ou de production de statistiques est permise seulement si une EFVP conclut au respect de certains critères.

La communication doit être faite dans le cadre d’une entente écrite, transmise à la Commission. Cette entente entre en vigueur dans les 30 jours suivant sa réception.

Pour plus d'information, consultez la section sur la communication de renseignements personnels sans consentement à des fins de recherche.

Guide d'accompagnement à l'EFVP

Pour vous aider à réaliser votre EFVP et à mieux comprendre cette démarche, consultez le Guide d’accompagnement conçu par la Commission (PDF, 1 108 Ko). La Commission propose également un modèle générique de rapport (DOCX, 151 Ko) permettant de rendre compte des résultats d’une EFVP.

Votre avis nous intéresse

Avez-vous trouvé les informations que vous cherchiez ?
Les informations sur cette page sont-elles claires, faciles à comprendre ?

Évitez d’inscrire des renseignements personnels. Notez que vous ne recevrez pas de réponse.

500 characters left