Entreprises et organisations privées

Utilisation et communication de renseignements personnels

En tout temps, vous devez limiter l'accès et la circulation des renseignements personnels. Seules les personnes autorisées et pour lesquelles ces renseignements sont néssaires à l'exercice de leurs fonctions peuvent y avoir accès. 

Cette restriction de l'accès aux renseignements personnels vise à minimiser les risques d'utilisation inadéquate et d'incident de confidentialité.

Votre vigilance quant à la restriction de l'accès aux renseignements personnels contribue à la préservation du droit fondamental à la vie privée.

En principe, l'utilisation de renseignements personnels est la conséquence d'une démarche dans laquelle vous devez :

• Déterminer les objectifs avant la collecte; 
  
  
• Obtenir le consentement des personnes concernées.
  
  

Dans certaines circonstances, il est possible que vous souhaitiez utiliser des renseignements personnels pour d'autres objectifs que ceux pour lesquels vous aviez préalablement obtenu le consentement des personnes concernées.

Pour ce faire, vous devez absolument :

• Évaluer la nécessité de réutiliser ces renseignements pour d'autres objectifs;
  
  
• Parvenir au constat que l'utilisation de ces renseignements est nécessaire à l'accomplissement de nouveaux objectifs;
  
  
• Obtenir de nouveau le consentement des personnes concernées. 
  
  

La Loi sur le privé prévoit quelques exceptions à l'obligation d'obtenir le consentement des personnes concernées. Pour les connaître, consultez la section sur les circonstances permettant la communication de renseignements sans consentement.

En matière de protection des renseignements personnels, la notion de consentement s’ajoute au critère de nécessité. C’est ce dernier qui doit prédominer en toute circonstance. La limitation de l’utilisation des renseignements personnels favorise la protection des renseignements personnels.

La Loi prévoit toutefois certaines exceptions pour la réutilisation d’un renseignement sans consentement, notamment lorsque :

• Les objectifs pour lesquels il a été préalablement recueilli sont compatibles avec son utilisation. Pour être « compatibles », ces objectifs doivent avoir un lien pertinent et direct avec les objectifs initiaux (la prospection commerciale ou philanthropique n’est pas considérée comme une utilisation compatible avec les objectifs initiaux);
  
  
• Son utilisation est manifestement au bénéfice de la personne concernée;
  
  
• Son utilisation est nécessaire pour prévenir ou détecter la fraude ou pour évaluer et améliorer les mesures de protection et de sécurité;
  
  
• Son utilisation est nécessaire pour fournir ou livrer un produit ou assurer un service demandé par la personne concernée;
  
  
• Quand son utilisation est nécessaire à des fins d’étude, de recherche ou de production de statistiques au sein de votre entreprise et qu’il est dépersonnalisé. Dans ce cas, vous devrez prendre les mesures raisonnables pour minimiser les risques qu’une personne physique soit réidentifiée à partir de renseignements dépersonnalisés.

Sachez que les exceptions relatives au consentement doivent être interprétées de manière restrictive. Quand la situation le permet, la Commission vous invite à privilégier l’obtention du consentement plutôt que le recours à l’exception.

Votre entreprise peut utiliser des renseignements personnels pour faire de la prospection commerciale ou philanthropique. Cette pratique peut prendre la forme de marketing ou de sollicitation à l'aide de noms, d'adresses, de numéros de téléphone ou de courriels. 

Par exemple, quand vous sollicitez des clients ou des donateurs potentiels, la notion de consentement de la Loi vous oblige à :

• Communiquer votre identité à la personne concernée par votre démarche;
  
  
• Informer la personne concernée de son droit de retirer son consentement à l'utilisation de ses renseignements personnels au profit de votre entreprise. 

Lorsque la personne concernée retire son consentement à une telle utilisation, vous devez cesser d'utiliser ses renseignements personnels pour vos démarches de prospection commerciale ou philanthropique. 

Certaines entreprises peuvent rendre des décisions automatisées en utilisant des renseignements personnels, notamment grâce à l’intelligence artificielle. Il peut alors s'agir :

• D'accorder un crédit;
  
  
• D'évaluer une demande de soutien financier;
  
  
• D'attribuer une priorité à une demande. 

Quand ces décisions sont fondées exclusivement sur un traitement automatisé, sans intervention humaine, la Loi prévoit des obligations de transparence et un droit de révision pour les personnes concernées.

Informations à fournir

Si votre entreprise utilise des renseignements personnels pour rendre des décisions automatisées, vous devez en informer les personnes concernées au plus tard lors de la communication de la décision.

Si des personnes en font la demande, vous devez aussi les informer :

• Des renseignements personnels utilisés pour rendre la décision;
  
  
• Des raisons ainsi que des principaux facteurs et paramètres ayant mené à la décision;
  
  
• De leur droit de faire rectifier les renseignements personnels utilisés pour rendre la décision.

Droit de la personne de présenter ses observations

Lorsqu’une décision entièrement automatisée est rendue, votre entreprise doit donner aux personnes concernées l’occasion de présenter leurs observations à un membre du personnel en mesure de réviser la décision. 

En principe, vous pouvez communiquer des renseignements personnels uniquement pour atteindre des objectifs déterminés avant la collecte et suivant le consentement des personnes concernées. Vous devez également les avoir informées des personnes ou organisations à qui il est nécessaire de communiquer les renseignements pour atteindre ces fins.

En règle générale, pour communiquer des renseignements personnels en poursuivant d'autres objectifs que ceux pour lesquels vous aviez préalablement obtenu le consentement des personnes concernées, vous devez :

• Évaluer la nécessité de communiquer des renseignements personnels;
  
  
• Parvenir au constat que la communication de ces renseignements est nécessaire à l'accomplissement de nouveaux objectifs;
  
  
• Obtenir de nouveau le consentement des personnes concernées.

La Loi sur le privé prévoit des exceptions à l'obligation d'obtenir le consentement des personnes concernées. Pour les connaître, consultez la section sur les circonstances permettant la communication de renseignements sans consentement. Notez qu'il existe également une exception en matière de communication à des fins de recherche.

Votre entreprise a des obligations supplémentaires pour assurer la protection des renseignements personnels :

• Avant de communiquer des renseignements personnels à une entité située à l’extérieur du Québec, tant interprovinciale qu’internationale;
  
  
• Avant de confier à une personne ou à un organisme à l’extérieur du Québec la tâche de recueillir, d’utiliser, de communiquer ou de conserver, pour votre compte, de tels renseignements.

Les lois applicables prévoient :

1. L’obligation d’informer et d'obtenir le consentement des personnes concernées;
   
   
2. L’obligation de réaliser une évaluation des facteurs relatifs à la vie privée :
   • La communication pourra avoir lieu s’il est démontré que les renseignements bénéficieront d’une protection adéquate, notamment au regard des principes de protection des renseignements personnels généralement reconnus – pour en savoir plus, consultez le guide sur l'évaluation des facteurs relatifs à la vie privée (PDF, 1 108 Ko);
   • La communication à l’extérieur du Québec doit toujours faire l’objet d’une entente écrite;
   • Des sanctions sont prévues lorsque des renseignements personnels sont communiqués en contrevenant à la Loi.

Sachez qu’une entreprise demeure toujours responsable des renseignements personnels qui lui sont confiés.

Lorsque vous recevez une demande de communication de renseignements personnels sans consentement à des fins de recherche, d'étude ou de production de statistiques vous devez :

• Réaliser une évaluation des facteurs relatifs à la vie privée et parvenir à certaines conclusions;
  
  
• Conclure une entente écrite avec le demandeur.

Sachez que votre entreprise dispose d’un pouvoir discrétionnaire. Vous pouvez donc refuser de communiquer les renseignements personnels demandés, et ce, même sans évaluation des facteurs relatifs à la vie privée au préalable.

À noter : les exceptions relatives au consentement doivent être interprétées de manière restrictive. Quand la situation le permet, la Commission vous invite à privilégier l’obtention du consentement plutôt que le recours à l’exception.

Quand un chercheur souhaite recevoir des renseignements personnels détenus par votre entreprise sans le consentement des personnes concernées, il doit d'abord vous consulter. Cette étape préalable lui permet de statuer sur l’existence et l’accessibilité des renseignements que vous détenez.

Une fois que la possibilité d’obtenir les renseignements demandés est confirmée, le chercheur doit ensuite vous adresser une demande écrite.

En plus de la liste complète de tous les renseignements personnels demandés, la demande du chercheur doit contenir :

1. Une présentation détaillée des activités de recherche pour lesquelles les renseignements demandés seront utilisés;
   
   
2. Les motifs justifiant le respect des différents critères de l’évaluation des facteurs relatifs à la vie privée. Ces explications, fournies par le chercheur, faciliteront votre évaluation relative à la satisfaction des critères nécessaires à la communication des renseignements personnels à des fins de recherche, d’étude ou de production de statistiques;
   
   
3. La liste de toutes les autres personnes ou organisations auxquelles le chercheur a aussi demandé l’accès à des renseignements pour la même recherche;
   
   
4. Une description des technologies qui seront utilisées pour le traitement des renseignements personnels aux fins de de la recherche;
   
   
5. La décision documentée d’un comité d’éthique de recherche, le cas échéant.

En tant qu'entreprise détentrice des renseignements personnels, vous devez réaliser une évaluation des facteurs relatifs à la vie privée (EFVP) en vous basant notamment sur les éléments fournis par le chercheur dans sa demande. En effet, ce dernier est bien placé, par exemple, pour décrire la façon dont les renseignements personnels seront utilisés après leur communication, en quoi ils sont nécessaires à la recherche et les mesures de sécurité applicables sur place. Sachez que la décision d’un comité d’éthique de la recherche ne peut pas remplacer votre EFVP. Toutefois, le contenu et les recommandations de ce comité peuvent être utiles lors de l’EFVP.

L'ampleur de cette EFVP doit être proportionnelle à la sensibilité des renseignements concernés, la finalité de leur utilisation, leur quantité, leur répartition et leur support. Par exemple, les renseignements relatifs à la santé constituent des renseignements sensibles. Une demande visant une cohorte de milliers de personnes ou des renseignements échelonnés sur plusieurs années, ainsi que la comparaison ou l’ajout de renseignements obtenus auprès d’autres organisations et entreprises influencent aussi l’évaluation qui doit être réalisée.

Votre évaluation doit permettre de conclure que les cinq critères suivants sont satisfaits :

1. L’objectif poursuivi par la recherche peut être atteint seulement si les renseignements sont communiqués sous une forme permettant d’identifier les personnes concernées

Par exemple, s’il est possible de réaliser la recherche ou l’étude à l’aide de renseignements anonymisés ou de données synthétiques, la communication de renseignements personnels n’est pas autorisée.

Si la recherche peut être menée en utilisant des renseignements dépersonnalisés, seuls ces renseignements devraient être communiqués. Il importe de souligner que ces renseignements constituent tout de même des renseignements personnels confidentiels. Il appartient au chercheur de convaincre l’entreprise de la nécessité d’utiliser des renseignements personnels, dépersonnalisés ou non. L’utilisation de renseignements non dépersonnalisés requiert une démonstration convaincante de l’impossibilité de réaliser la recherche sans les « identifiants directs ».

2. Il est déraisonnable d’exiger que le chercheur obtienne le consentement des personnes concernées en matière de protection des renseignements personnels et de leur droit au respect de la vie privée

Comme il s’agit d’une exception au principe du consentement, l’entreprise doit pouvoir conclure qu’il est déraisonnable d’exiger le consentement de toutes les personnes dont les renseignements sont requis aux fins de la recherche. Cela pourrait être le cas notamment dans les situations suivantes (ces exemples ne sont pas limitatifs et, dans tous les cas, doivent être contextualisés par rapport à la recherche spécifique évaluée) :

• Il peut être déraisonnable d’obtenir le consentement de milliers de personnes dont les coordonnées ne sont pas à jour;
  
  
• La recherche pourrait viser les renseignements de personnes inaptes à consentir ou décédées;
  
  
• La recherche pourrait s’appuyer sur des renseignements dépersonnalisés détenus par une entreprise, rendant impossible pour le chercheur d’obtenir le consentement;
  
  
• Dans certains cas, la constitution d’un échantillon représentatif pourrait nécessiter de ne pas introduire un biais en utilisant seulement les données de personnes désireuses de consentir.
  
  

3. L’objectif poursuivi l’emporte, par rapport à l’intérêt public, sur les conséquences de la communication et de l’utilisation des renseignements personnels sur la vie privée des personnes concernées

Cette partie de l’évaluation vise à pondérer l’objectif poursuivi par la recherche en termes d’intérêt public et les conséquences de la communication et de l’utilisation des renseignements personnels sur la vie privée des personnes concernées.

Cette analyse doit d’abord identifier et décrire les différents éléments et les facteurs à considérer pour réaliser cette pondération.

L’entreprise doit ensuite déterminer si l’objectif de la recherche au regard de l’intérêt public l’emporte sur les conséquences possibles sur la vie privée des personnes concernées.

Voici quelques exemples de questions pour évaluer la demande d’un chercheur :

• Quel est l’objectif de la recherche et en quoi est-elle d’intérêt public?
  
  
• Quels bénéfices pour la société sont attendus ?
  
  
• Quelles sont les différentes conséquences sur la vie privée des personnes concernées par la communication de renseignements?
  
  
• Ces conséquences peuvent-elles être minimisées dans le cadre de la recherche? Si oui, comment?
  
  
• Les renseignements personnels demandés sont-ils sensibles?
  
  
• Les renseignements seront-ils couplés ou comparés à d’autres?
  
  
• Si oui, quelles seront les conséquences de ce couplage ou de cette comparaison sur la vie privée des personnes concernées? Est-ce que ces pratiques auront un effet sur les risques de divulgation de renseignements personnels au sujet d’une ou plusieurs personnes?
  
  
• Qu’est-ce qui permet de croire que l’intérêt public l’emporte sur les conséquences de la communication et de l’utilisation des renseignements personnels sur la vie privée des personnes concernées?
  
  

Attention : l’évaluation de ce critère ne se limite pas à exposer l’objectif poursuivi par la recherche ni à énoncer simplement un effet général, comme le fait qu’elle permettra d’accroître les connaissances dans un domaine d’activité. Il faut préciser les bénéfices attendus de la recherche en lien avec l’intérêt public et les pondérer avec les conséquences sur la vie privée des individus dont les renseignements seront utilisés aux fins de la recherche.

4. Les renseignements personnels sont utilisés de manière à en assurer la confidentialité

Dans cette partie de l’analyse, il faut évaluer si l’utilisation projetée des renseignements et les différentes mesures de protection qui seront mises en place lors de leur communication par l’entreprise et à toutes les étapes de la recherche permettent d’en assurer la confidentialité. Cette évaluation devrait notamment tenir compte de la sensibilité et de la quantité des renseignements personnels.

5. Seuls les renseignements nécessaires sont communiqués

L’évaluation doit permettre à l'entreprise de s’assurer que seuls les renseignements nécessaires à la recherche seront communiqués au chercheur. Une attention particulière devrait être apportée aux « identifiants directs et indirects » (en lien avec le premier critère, par exemple : adresse, code postal complet, numéro d’assurance maladie, date de naissance ou âge) et aux renseignements particulièrement sensibles.

Un document écrit attestant de la démarche d’évaluation pour chacun des critères permet à l’entreprise de démontrer qu’elle a respecté son obligation. Ce document doit permettre de comprendre la façon chacun des critères a été analysé et de savoir quels éléments ont été considérés par l’entreprise. Il peut s’agir, par exemple, d’un tableau ou d’un rapport. La Commission s’attend à recevoir un tel document en même temps qu’une copie de l’entente. La Commission propose d’ailleurs un modèle générique de rapport (DOCX, 151 Ko) permettant de rendre compte des résultats d’une EFVP.

Durant l’évaluation, si des risques pour la protection de la vie privée des personnes concernées ont été ciblés, l’entreprise et le chercheur peuvent convenir de mesures qui permettront de les éliminer ou de les minimiser. Cette étape fait d’ailleurs partie de la démarche générale d’évaluation des facteurs relatifs à la vie privée proposée par la Commission dans son guide d’accompagnement (PDF, 1 108 Ko). Ce guide prévoit, entre autres, des étapes permettant de repérer et d’évaluer les risques et les conséquences sur la vie privée et de mettre en place des stratégies pour éviter ces risques, les minimiser ou les éliminer.

Si l’évaluation permet de conclure au respect des cinq éléments mentionnés précédemment, l’entreprise et le chercheur peuvent conclure une entente en vue de la communication et de l’utilisation des renseignements. En raison de son pouvoir discrétionnaire, l’entreprise n’a toutefois pas l’obligation de poursuivre le processus, même si l’évaluation est favorable. Elle peut choisir de refuser la demande, à ce stade.

Avant de procéder à toute communication des renseignements demandés, vous devez conclure une entente écrite avec le chercheur et remplir le formulaire de dépôt (PDF, 280 Ko) proposé par la Commission. Le tout doit être acheminé à la Commission.

L’entente doit être signée par les deux parties et prévoir minimalement :

1. Le nom et les coordonnées des parties à l’entente (le chercheur et votre entreprise);
   
   
2. La liste complète des renseignements qui seront communiqués et qui sont visés par l’entente. Par exemple, référer à des catégories de renseignements contenus dans un entrepôt de données ne suffit pas. La liste détaillée des renseignements qui seront communiqués doit se retrouver en annexe à l’entente;
   
   
3. Le détail des activités de recherche pour lesquelles les renseignements pourront être utilisés;
   
   
4. La façon dont ces renseignements seront rendus accessibles au chercheur par l'entreprise, de manière confidentielle et sécuritaire;
   
   
5. La durée de l’entente;
   
   
6. Le nom et les coordonnées du chercheur principal et du représentant de l’entreprise à joindre pour tout élément relatif à cette entente;
   
   
7. Les conditions selon lesquelles les renseignements sont rendus accessibles et pourront être utilisés, dont les suivantes :
   • Les renseignements doivent être accessibles uniquement aux personnes concernées dans l’exercice de leurs fonctions et ayant signé un engagement de confidentialité (DOCX, 55,2 Ko);
   • Les renseignements ne peuvent pas être utilisés à d'autres fins que celles prévues à la présentation détaillée des activités de recherche;
   • Les renseignements ne peuvent pas être appariés à tout autre fichier de renseignements, si cela n’est pas prévu dans la présentation détaillée des activités de recherche;
   • Les renseignements ne peuvent pas être communiqués, publiés ou autrement diffusés sous une forme permettant d’identifier les personnes concernées;
     
     
8. L’information qui sera communiquée aux personnes dont les renseignements personnels seront utilisés dans le cas où la recherche requiert leur participation;
   
   
9. Les mesures spécifiques qui devront être prises par le chercheur pour assurer la protection des renseignements personnels, entre autres celles ciblées au terme de l’évaluation des facteurs relatifs à la vie privée (par exemple l'endroit où seront conservés les renseignements durant toutes les étapes de la recherche, les mesures matérielles, humaines et techniques visant à assurer la sécurité et la confidentialité des renseignements, la liste des personnes qui auront accès à quels renseignements, etc.);
   
   
10. Un délai de conservation des renseignements personnels par le chercheur;
    
    
11. L’obligation pour le chercheur d’aviser l’entreprise de la destruction des renseignements une fois ce délai expiré;
    
    
12. L’obligation pour le chercheur d’aviser l’entreprise et la Commission :
    • En cas de non-respect des conditions de l’entente;
    • En cas de manquement aux mesures de protection prévues à l’entente;
    • De tout événement pouvant porter atteinte à la confidentialité des renseignements personnels.
      
      

Les parties doivent transmettre l’entente signée à la Commission, accompagnée du rapport d’évaluation des facteurs relatifs à la vie privée contenant l’analyse réalisée.

L’entente entre en vigueur 30 jours après sa réception par la Commission. Par conséquent, aucune communication de renseignements ne peut être faite avant ce délai. La Commission peut joindre les parties durant ce délai et après l’écoulement de celui-ci, si elle le juge nécessaire. Au besoin, elle peut suspendre l’entente ou exercer ses autres pouvoirs de surveillance prévus par la Loi.

Les modifications à l’entente doivent suivre le même processus que pour une nouvelle entente. Certaines modifications peuvent nécessiter de revoir l’évaluation des facteurs relatifs à la vie privée.

En principe, comme représentant d’une entreprise, vous devez préalablement obtenir le consentement des personnes pour communiquer leurs renseignements personnels. Leur confidentialité découle du droit à la vie privée des citoyens. Votre vigilance quant au respect de la Loi sur le privé contribue à la préservation de ce droit fondamental.

Ces lois prévoient cependant des exceptions, notamment pour une situation d’urgence mettant en danger la vie, la santé ou la sécurité d’une personne et plus particulièrement pour prévenir un acte de violence présentant un risque sérieux de mort ou de blessure grave.

Situations mettant en danger la vie, la santé ou la sécurité d’une personne

Quand la santé ou la sécurité d’une personne est menacée par une situation urgente et dangereuse, vous pouvez :

• Communiquer les renseignements personnels de cette personne sans son consentement à toute personne à qui cette communication doit être faite;
  
  
• Le caractère urgent et dangereux de la situation doit cependant être établi pour que vous puissiez communiquer les renseignements sans consentement.

Prévention d’un acte de violence présentant un risque sérieux de mort ou de blessures graves

Dans le but de prévenir un acte de violence, dont un suicide, vous pouvez :

• Communiquer des renseignements personnels sans le consentement des personnes concernées. Cette communication doit cependant se limiter aux personnes exposées à ce danger, à leur représentant et à toute personne susceptible de leur porter secours, par exemple un policier, un centre de prévention du suicide, l’intervenant d’un CLSC, la DPJ, un professionnel de la santé, etc.

Vous devez cependant avoir un motif raisonnable de croire qu’un risque sérieux de mort ou de blessures graves menace une personne ou un groupe de personnes identifiable. Une « blessure grave » peut être physique ou mentale : elle nuit d’une manière importante à l’intégrité physique, à la santé ou au bien-être.

Sachez que :

• De simples soupçons ou une crainte de votre part ne sont pas suffisants : une autre personne raisonnable ayant à juger de la même situation devrait, elle aussi, conclure au risque sérieux de mort ou de blessures graves;
  
  
• La nature de la menace doit inspirer un sentiment d’urgence, notamment en raison de faits liés à sa gravité, à son sérieux et à son évidence.

Si ces conditions sont réunies, vous pouvez communiquer les renseignements personnels nécessaires à la prévention de l’acte de violence aux personnes exposées à ce danger, à leur représentant et à toute personne susceptible de leur porter secours.

Inscrire la communication de renseignements

Dans une situation comportant un risque important pour la santé ou la sécurité des personnes, vous devez :

• Inscrire la communication dans le dossier.

Sachez que les exceptions relatives au consentement doivent être interprétées de manière restrictive. Quand la situation le permet, la Commission vous invite à privilégier l’obtention du consentement plutôt que le recours à l’exception.

En principe, les entreprises doivent obtenir le consentement des personnes pour communiquer leurs renseignements personnels. Leur confidentialité découle du droit à la vie privée des citoyens. Votre vigilance quant au respect de la Loi sur le privé contribue à la préservation de ce droit fondamental.

Ces lois prévoient cependant des exceptions, entre autres pour l’exécution d’un mandat ou d’un contrat de service ou d’entreprise.

Dans la mesure où la communication de renseignements personnels est nécessaire à l’exercice d’un mandat ou à l’exécution d’un contrat de service ou d’entreprise que vous avez conclu :

• Vous pouvez communiquer ces renseignements sans le consentement des personnes concernées.

Ce mandat ou ce contrat doit être confié par écrit et indiquer les mesures devant être prises par le mandataire ou le contractant :

• Pour assurer le caractère confidentiel des renseignements;
  
  
• Pour que ces renseignements soient utilisés seulement dans le cadre de son mandat ou de l’exécution de son contrat;
  
  
• Pour que ces renseignements ne soient pas conservés après l’expiration du mandat ou du contrat.

En cas de manquement à une obligation concernant la confidentialité, le responsable de la protection des renseignements personnels devra être avisé sans délai, et ce dernier devra pouvoir procéder aux vérifications relatives à la confidentialité.

Sachez que les exceptions relatives au consentement doivent être interprétées de manière restrictive. Quand la situation le permet, la Commission vous invite à privilégier l’obtention du consentement plutôt que le recours à l’exception.

Une entreprise peut aviser toute personne ou organisation susceptible de diminuer le risque de préjudice sérieux à la suite d'un incident de confidentialité. Seuls les renseignements personnels nécessaires peuvent alors être communiqués, sans le consentement de la personne concernée. Le responsable de la protection des renseignements personnels doit enregistrer cette communication.

Vous pouvez communiquer un renseignement personnel sans consentement :

• À votre procureur;
  
  
• Au directeur des poursuites criminelles et pénales, si le renseignement est requis aux fins d’une poursuite pour infraction à une loi applicable au Québec;
  
  
• À une personne ou à un organisme chargé en vertu de la loi de prévenir, de détecter ou de réprimer le crime ou les infractions aux lois, qui le demande dans l’exercice de ses fonctions, par exemple un service de police. Le renseignement doit être nécessaire à la poursuite relative à une infraction à une loi applicable au Québec.

Quand un texte juridique ou un organisme public le demande, vous pouvez communiquer un renseignement personnel sans consentement :

• À une personne à qui il est nécessaire de communiquer le renseignement dans le cadre d’une loi applicable au Québec ou pour l’application d’une convention collective;
• À un organisme public qui, par l’entremise d’un représentant, le recueille dans l’exercice de ses attributions ou dans le cadre de la mise en œuvre d’un programme dont il a la gestion;
  
  
• À une personne ou à un organisme ayant le pouvoir de vous obliger à le communiquer et qui le demande dans l’exercice de ses fonctions.

Lorsqu’il s’agit de récupérer des montants impayés, vous pouvez communiquer des renseignements personnels sans consentement :

• À une personne qui, en vertu de la loi, peut recouvrer des créances pour autrui et qui le demande dans l’exercice de ses fonctions;
  
  
• À une personne, si les renseignements sont nécessaires afin de recouvrer une créance de votre entreprise.

Quand un renseignement personnel est nécessaire pour conclure une transaction commerciale, vous pouvez le communiquer à l’autre partie de la transaction sans le consentement de la personne concernée.

Une entente écrite devra préalablement être conclue avec l’autre partie, qui s’engagera :

• À utiliser le renseignement seulement pour la conclusion de la transaction commerciale;
  
  
• À communiquer le renseignement personnel seulement avec le consentement de la personne concernée, à moins d’y être autorisée par la Loi sur le privé;
• À prendre les mesures nécessaires pour protéger la confidentialité du renseignement;
  
  
• À détruire le renseignement, si la transaction commerciale n’est pas conclue ou si son utilisation n’est plus nécessaire pour la conclure.
  
  

Qu'est-ce qu'une transaction commerciale?

Pour les fins de l’application de la Loi, une transaction commerciale est l’une des opérations suivantes :

• La vente ou la location, en tout ou en partie, d’une entreprise ou de ses actifs;
  
  
• Une modification de la structure juridique de l’entreprise, par fusion ou autrement;
  
  
• L’obtention d’un prêt ou de toute autre forme de financement par l’entreprise;
  
  
• Une sûreté prise pour garantir une de ses obligations.