La publication d’une politique de confidentialité est obligatoire si vous recueillez des renseignements personnels à l’aide d’une technologie. Cette politique doit être publiée sur votre site Web ou diffusée par tout autre moyen permettant aux personnes concernées d’en prendre connaissance. Elle leur permet d’être informées des renseignements que vous recueillez sur elles. Par exemple, lorsque vous recueillez des renseignements personnels au moyen de votre site Web ou d’une application mobile, les personnes concernées doivent avoir accès à votre politique de confidentialité.
Cette politique doit respecter le Règlement sur les politiques de confidentialité des organismes publics recueilllant des renseignements personnels par un moyen technologique (PDF, 293 Ko).
Qu’est-ce qu’une politique de confidentialité?
Une politique de confidentialité est une politique dans laquelle on explique les pratiques d’un organisme public pour protéger les renseignements personnels recueillis au moyen de cette technologie. Son objectif est d’informer les personnes concernées des renseignements qui sont ainsi recueillis et de la façon dont votre organisation les utilisera, les conservera et les protégera.
Que doit contenir une politique de confidentialité?
Une politique de confidentialité doit être adaptée au contexte dans lequel elle s’inscrit. Dans le cas d'un organisme public, son contenu minimal est prévu dans un règlement du gouvernement (PDF, 293 Ko). Notez que ce contenu correspond en bonne partie aux informations que l'organisme doit fournir aux personnes concernées lors d'une collecte auprès d'elles.
Dans tous les cas, la politique doit donc inclure au moins les informations suivantes :
- Le nom de l'organisme public qui recueille les renseignements personnels et, dans le cas où ils sont recueillis par un tiers, le nom de ce tiers;
- Une description des renseignements recueillis;
- Les fins auxquelles les renseignements sont recueillis;
- Les catégories de personnes qui, au sein de l'organisme, ont accès aux renseignements;
- Les moyens par lesquels les renseignements sont recueillis;
- Si applicable, une description des mesures qui peuvent être prises pour refuser la collecte des renseignements personnels et les conséquences possibles de ce refus;
- Si applicable, une mention relative aux moyens technologiques disponibles pour que la personne concernée par les renseignements puisse les consulter ou les rectifier;
- Une mention des droits d’accès et de rectification prévus par la Loi;
- Le nom du responsable de la protection des renseignements personnels de l’organisme et les coordonnées permettant de communiquer avec lui;
- Si applicable, le nom des tiers ou des catégories de tiers à qui il est nécessaire de communiquer des renseignements pour atteindre les fins poursuivies, en précisant ces renseignements ou les catégories de renseignements et ces fins;
- Si applicable, une mention quant à la possibilité que les renseignements personnels soient communiqués à l’extérieur du Québec;
- Une brève description des mesures prises pour assurer la confidentialité et la sécurité des renseignements personnels;
- Une mention du droit de la personne concernée par les renseignements personnels de se prévaloir du processus de traitement des plaintes relatives à la protection des renseignements personnels prévu dans les règles de gouvernance de l’organisme public à l’égard des renseignements personnels;
- Les coordonnées de la personne, de l’organisme concerné ou d’une unité administrative de ce dernier à qui toute question relative à la politique de confidentialité peut être soumise;
- La date de son entrée en vigueur et la date de sa plus récente mise à jour, s'il y a lieu.
La politique de confidentialité doit permettre aux personnes concernées de comprendre l’utilisation et la circulation de leurs renseignements. Elles doivent pouvoir comprendre vos pratiques liées à cette collecte réalisée à l’aide d’un moyen technologique. Par conséquent, cette politique doit être rédigée en termes simples et clairs.
Une politique de confidentialité peut-elle être modifiée?
L'organisme public peut modifier sa politique de confidentialité, au besoin. Pour ce faire, il doit publier un avis de modification qui indique :
- La date de sa publication;
- L'objet général des modifications apportées, qui doivent être précisées dans une section dédiée à la politique sur le site Web de l'organisme;
- La date d'entrée en vigueur des modifications.
Cet avis doit normalement être publié au moins 15 jours avant l'entrée en vigueur des modifications. Un organisme peut toutefois déterminer qu'un délai plus court est nécessaire. Dans ce cas, il doit aussi préciser dans l'avis :
- Les motifs pour lesquels la politique doit être modifiée en moins de 15 jours.
Quelles sont les obligations liées à la conception et à la diffusion de la politique de confidentialité?
Tant pour la politique de confidentialité que pour des modifications significatives, un organisme public doit consulter son comité sur l'accès à l'information et la protection des renseignements personnels.
Afin de faire connaître sa politique de confidentialité, l'organisme doit :
- La publier dans une section dédiée à cette politique sur son site Web, accompagnée de tout avis de modification;
- Publier la version antérieure de la politique et l'avis de modification correspondant dans cette section;
- L'organisme doit s'assurer que cette version antérieure ne soit pas confondue avec la version en vigueur;
- Porter la politique et tout avis de modification à l'attention des personnes concernées lors de la collecte de renseignements par un moyen technologique.