C’est un renseignement qui permet d’identifier une personne physique, directement ou indirectement.
Les renseignements personnels sont confidentiels. Leur confidentialité découle du droit à la vie privée, permettant à toute personne d’exercer un contrôle sur l’utilisation et la circulation de ses renseignements.
Pour une définition plus détaillée d'un renseignement, consultez la page Qu'est-ce qu'un renseignement personnel?
Cycle de vie d'un renseignement personnel
Collecte
La collecte est la première étape du cycle de vie d'un renseignement personnel. C'est le moment pendant lequel le renseignement personnel est :
- Recueilli;
- Créé;
- Inféré, c’est-à-dire déduit à partir d’autres renseignements.
Le fait de voir un renseignement personnel, comme ceux contenus sur une pièce d’identité, constitue une collecte, même s’il n’y a pas de conservation par la suite.
La collecte est réalisée par l'organisme public ou un tiers, comme un mandataire ou un prestataire de services.
À cette étape, les obligations suivantes doivent être respectées. L'organisme public doit :
- Déterminer les fins de la collecte;
- Limiter la collecte de renseignements personnels à ceux qui sont nécessaires :
- À l'exercice de ses attributions ou à la mise en œuvre d’un programme dont il a la gestion;
- À l’exercice des attributions ou à la mise en œuvre d’un programme de l’organisme public avec lequel il collabore pour la prestation de services ou pour la réalisation d’une mission commune;
- Recueillir les renseignements personnels par des moyens légaux et légitimes;
- Fournir certaines informations à la personne concernée lors de la collecte et, par la suite, sur demande.
Utilisation
L’utilisation est la période pendant laquelle le renseignement personnel est utilisé par les personnes autorisées au sein de l'organisme public.
À cette étape, l’organisme public doit respecter les obligations suivantes :
- Limiter l’accès aux renseignements personnels aux seules personnes ayant la qualité pour les recevoir au sein de l’organisme public lorsque ces renseignements sont nécessaires à l’exercice de leurs fonctions;
- Limiter l’utilisation des renseignements personnels. À moins d’une exception prévue par la Loi, l’organisme doit obtenir le consentement de la personne concernée pour utiliser ses renseignements à une autre fin que celles pour lesquelles il a été recueilli.
Lorsqu’il rend une décision fondée exclusivement sur un traitement automatisé, par exemple en utilisant l’intelligence artificielle, un organisme public doit aussi fournir certaines informations à la personne concernée.
Communication
La communication est la période pendant laquelle le renseignement personnel est communiqué, par exemple dans un système de prestation électronique de services, par courriel, au service à la clientèle ou par le biais de sites Web.
À cette étape, l’organisme public doit :
Conservation
La conservation est la période durant laquelle un organisme public garde des renseignements personnels, sous quelque forme que ce soit, et ce, peu importe que les renseignements soient activement utilisés ou non.
À cette étape, l’organisme public doit :
- Assurer la qualité des renseignements personnels en veillant à ce que les renseignements personnels qu’il détient soient à jour et exacts au moment où il les utilise pour prendre une décision relative à la personne concernée;
- Prendre des mesures propres à assurer la sécurité des renseignements personnels.
Destruction
Le cycle de vie du renseignement personnel se termine lors de sa destruction.
À cette étape, sauf exception, l’organisme public doit :
- Détruire les renseignements personnels de manière sécuritaire dès que la finalité pour laquelle ils ont été collectés est accomplie, sous réserve de la Loi sur les archives ou du Code des professions.
Autres obligations : sécurité, accès et rectification
L'organisme public a également les obligations suivantes :
- Mettre en place des mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits. Ces mesures sont raisonnables compte tenu notamment de la sensibilité, de la finalité, de la quantité, de la répartition et du support des renseignements personnels;
- Permettre l’exercice des droits d’accès et de rectification et répondre avec diligence, dans les 30 jours, aux demandes d’accès aux renseignements personnels et de rectification soumises par les personnes concernées. L’absence de réponse dans ce délai équivaut à un refus. Un citoyen peut contester un refus ou une réponse jugée insatisfaisante en exerçant son droit de recours devant la Commission.