Aller au contenu

Ministères et organismes publics

Champ d'application de la Loi

Renseignements personnels concernés et organismes publics visés

Les renseignements personnels sont confidentiels. Leur confidentialité découle du droit à la vie privée des citoyens.

De leur collecte à leur destruction, les organismes publics doivent les protéger et assurer leur bonne gestion.

Quelle est la portée de la Loi?

Votre organisme public doit protéger les renseignements personnels des citoyens et permettre l’exercice de leurs droits, notamment en ce qui concerne l’accès et la rectification de leurs renseignements personnels. 

La Loi s’applique aux renseignements personnels que votre entreprise :

  • Recueille;

  • Détient;

  • Utilise;

  • Communique à des tiers.


Elle s’applique aux renseignements personnels, que leur conservation soit assurée par l’entreprise ou par un tiers. Elle vise à protéger tous les renseignements personnels, que la nature de leur support ou de leur forme soit :

  • Écrite;

  • Graphique;

  • Sonore;

  • Visuelle;

  • Informatisée.


Pour que la Loi s'applique, il n’est pas nécessaire que les renseignements personnels d'une personne soient constitués ou conservés dans un « dossier » identifié à son nom. Les obligations des entreprises s’articulent autour de la finalité de la collecte.

Sachez que la Loi ne s’applique pas à la collecte, à la détention, à l’utilisation ou à la communication de matériel journalistique, historique ou généalogique réalisé dans un but d’information légitime du public.

Quels sont les organismes publics visés par la Loi?

Près de 3 000 organismes publics sont assujettis à la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels. Parmi eux, on compte :

  • Les ministères et les organismes gouvernementaux;

  • Les municipalités et les organismes qui en relèvent, les communautés métropolitaines, les municipalités régionales de comté;

  • Les centres de services scolaires, les commissions scolaires, les établissements privés subventionnés, les cégeps, les universités;

  • Les établissements de santé et de services sociaux;

  • Les ordres professionnels, dans la mesure prévue par le Code des professions (en ce qui concerne les documents détenus dans le cadre du contrôle de l’exercice de la profession).

Qu'est-ce qu'un renseignement personnel?

C’est un renseignement qui permet d’identifier une personne physique, directement ou indirectement.

Les renseignements personnels sont confidentiels. Leur confidentialité découle du droit à la vie privée, permettant à toute personne d’exercer un contrôle sur l’utilisation et la circulation de ses renseignements.

Pour une définition plus détaillée d'un renseignement, consultez la page Qu'est-ce qu'un renseignement personnel?

Cycle de vie d'un renseignement personnel

Collecte

La collecte est la première étape du cycle de vie d'un renseignement personnel. C'est le moment pendant lequel le renseignement personnel est :

  • Recueilli;

  • Créé;

  • Inféré, c’est-à-dire déduit à partir d’autres renseignements.


Le fait de voir un renseignement personnel, comme ceux contenus sur une pièce d’identité, constitue une collecte, même s’il n’y a pas de conservation par la suite.

La collecte est réalisée par l'organisme public ou un tiers, comme un mandataire ou un prestataire de services.

À cette étape, les obligations suivantes doivent être respectées. L'organisme public doit :

  • Déterminer les fins de la collecte;

  • Limiter la collecte de renseignements personnels à ceux qui sont nécessaires :
    • À l'exercice de ses attributions ou à la mise en œuvre d’un programme dont il a la gestion;
    • À l’exercice des attributions ou à la mise en œuvre d’un programme de l’organisme public avec lequel il collabore pour la prestation de services ou pour la réalisation d’une mission commune;

  • Recueillir les renseignements personnels par des moyens légaux et légitimes;

  • Fournir certaines informations à la personne concernée lors de la collecte et, par la suite, sur demande.

Utilisation

L’utilisation est la période pendant laquelle le renseignement personnel est utilisé par les personnes autorisées au sein de l'organisme public.

À cette étape, l’organisme public doit respecter les obligations suivantes :

  • Limiter l’accès aux renseignements personnels aux seules personnes ayant la qualité pour les recevoir au sein de l’organisme public lorsque ces renseignements sont nécessaires à l’exercice de leurs fonctions;

  • Limiter l’utilisation des renseignements personnels. À moins d’une exception prévue par la Loi, l’organisme doit obtenir le consentement de la personne concernée pour utiliser ses renseignements à une autre fin que celles pour lesquelles il a été recueilli.

Lorsqu’il rend une décision fondée exclusivement sur un traitement automatisé, par exemple en utilisant l’intelligence artificielle, un organisme public doit aussi fournir certaines informations à la personne concernée.

Communication

La communication est la période pendant laquelle le renseignement personnel est communiqué, par exemple dans un système de prestation électronique de services, par courriel, au service à la clientèle ou par le biais de sites Web.

À cette étape, l’organisme public doit :

Conservation

La conservation est la période durant laquelle un organisme public garde des renseignements personnels, sous quelque forme que ce soit, et ce, peu importe que les renseignements soient activement utilisés ou non.

À cette étape, l’organisme public doit :

  • Assurer la qualité des renseignements personnels en veillant à ce que les renseignements personnels qu’il détient soient à jour et exacts au moment où il les utilise pour prendre une décision relative à la personne concernée;

  • Prendre des mesures propres à assurer la sécurité des renseignements personnels. 

Destruction

Le cycle de vie du renseignement personnel se termine lors de sa destruction.

À cette étape, sauf exception, l’organisme public doit :

  • Détruire les renseignements personnels de manière sécuritaire dès que la finalité pour laquelle ils ont été collectés est accomplie, sous réserve de la Loi sur les archives ou du Code des professions.

Autres obligations : sécurité, accès et rectification

L'organisme public a également les obligations suivantes :

  • Mettre en place des mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits. Ces mesures sont raisonnables compte tenu notamment de la sensibilité, de la finalité, de la quantité, de la répartition et du support des renseignements personnels;

  • Permettre l’exercice des droits d’accès et de rectification et répondre avec diligence, dans les 30 jours, aux demandes d’accès aux renseignements personnels et de rectification soumises par les personnes concernées. L’absence de réponse dans ce délai équivaut à un refus. Un citoyen peut contester un refus ou une réponse jugée insatisfaisante en exerçant son droit de recours devant la Commission.

Applications particulières de la Loi

Certains types d'organismes sont seulement visés par une partie des dispositions de la Loi sur l'accès ou sont encadrés par un régime particulier.

Organisations et intervenants du secteur de la santé et des services sociaux

Une nouvelle loi a été adoptée en 2023 pour donner un cadre spécifique aux organismes et intervenants en santé et en services sociaux concernant la protection des renseignements personnels. Cette Loi sera éventuellement en vigueur, à une date déterminée par un décret du gouvernement.

Ordres professionnels

Les ordres professionnels sont soumis à un régime hybride d’accès à l’information et à la protection des renseignements personnels. La Loi sur l’accès et la Loi sur le privé s’appliquent dans la mesure prévue par le Code des professions. Consultez la page sur les ordres professionnels pour plus d'information.

Chercheurs

La Loi sur le privé et la Loi sur l'accès prévoient des dispositions permettant aux chercheurs de demander l'accès à des renseignements personnels sans le consentement des personnes concernées. Pour plus d'information, consultez la page L'accès aux renseignements personnels et leur protection pour les chercheurs.

Régime d'exception pour certains renseignements détenus par le gouvernement

En matière de protection des renseignements personnels, certaines dispositions créent un régime d’exception à celui prévu par la Loi sur l’accès. À des fins administratives ou de services publics, des renseignements personnels détenus par le gouvernement peuvent être communiqués et utilisés sans le consentement des personnes concernées.

La Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement (LGGRI) favorise entre autres la circulation et la réutilisation des données numériques gouvernementales, notamment les renseignements personnels. Un des objectifs est d’offrir des services intégrés de qualité et fondés sur les technologies numériques aux citoyens et aux entreprises.

Pour assurer la circulation sécuritaire de ces renseignements, la LGGRI prévoit la désignation d’organismes pouvant recevoir, utiliser et communiquer des données numériques gouvernementales transmises par d’autres organismes. Le ministère de la Cybersécurité et du Numérique a notamment été désigné pour assumer ces fonctions.

Ces organismes désignés, appelés « sources officielles de données numériques gouvernementales », doivent :

  • Procéder à des évaluations des facteurs relatifs à la vie privée avant de recueillir, d’utiliser ou de communiquer des renseignements personnels dans l’exercice de leurs fonctions;

  • Établir des règles de gouvernance à l’égard des renseignements personnels;

  • Produire un rapport annuel sur les activités concernant le traitement de ceux-ci.

Ces trois types de documents doivent ensuite être soumis à la Commission, qui dispose du pouvoir formel d’approuver les règles de gouvernance.

Votre avis nous intéresse

Avez-vous trouvé les informations que vous cherchiez ?
Les informations sur cette page sont-elles claires, faciles à comprendre ?

Évitez d’inscrire des renseignements personnels. Notez que vous ne recevrez pas de réponse.

500 characters left