Un « renseignement personnel » est tout renseignement qui concerne une personne physique et permet directement ou indirectement de l’identifier⁴.

Un renseignement personnel peut se retrouver sur différents supports et sous différentes formes, à savoir : écrite, graphique, sonore, visuelle, informatisée, ou autre.

Ces renseignements peuvent également être de différentes natures, soit :

• Identitaire – à titre d’exemple : nom, adresse, numéro de téléphone, etc.
• Académique (formation) – à titre d’exemple : programme de formation (RBQ), résultats, diplôme, attestation de réussite, etc.
• Financière – à titre d’exemple : carte de crédit, compte de banque, etc.
• Fiscale – à titre d’exemple : numéro d’assurance sociale, etc.

Renseignements publics

Sachez que les renseignements qui concernent une personne physique exerçant une fonction au sein d’une entreprise comme le nom, le titre et la fonction, de même que l’adresse, l’adresse de courrier électronique et le numéro de téléphone du lieu de travail⁵ sont des renseignements publics⁶ et donc, ne sont pas considérés comme des Renseignements personnels.

Renseignement personnel sensible

Un renseignement personnel est considéré comme sensible s’il est de nature médicale, biométrique ou autrement intime. 

Voir ci-après des exemples de renseignements personnels sensibles :

• Renseignements concernant le groupe ethnique;
• Renseignements concernant les croyances philosophiques ou religieuses;
• Renseignements concernant la santé ou l’orientation sexuelle;
• Renseignements financiers;
• Renseignements biométriques, à savoir des renseignements portant sur les caractéristiques biologiques ou comportementales d’une personne. Ils sont généralement destinés à déterminer son identité (ex. : empreintes digitales, forme du visage, empreinte de l’iris, empreinte de la voix, démarche, signature, renseignements génétiques);
• Identifiants uniques, à savoir une information qui permet de distinguer un individu dans un ensemble (ex. : un numéro de client ou d’employé).

Renseignement personnel dépersonnalisé et anonymisé

Un renseignement est « dépersonnalisé » « lorsque ce renseignement ne permet plus d’identifier directement la personne concernée »⁷.

Un renseignement personnel est « anonymisé » « lorsqu’il est, en tout temps, raisonnable de prévoir dans les circonstances qu’il ne permet plus, de façon irréversible, d’identifier directement ou indirectement cette personne »⁸.

⁴ Loi sur le secteur privé, préc., note 1, art. 2.
⁵ Id., art. 1 al. 5.
⁶ Qu’est-ce qu’un renseignement personnel? | Commission d’accès à l’information du Québec 
⁷ Loi sur le secteur privé, préc., note 1, art. 12 al. 4 par. 1.
⁸ Id., art. 23 al. 2. Pour davantage d’information concernant la différence entre un renseignement personnel dépersonnalisé et un renseignement personnel anonymisé, nous vous invitons à visiter la page suivante de la Commission d’accès à l’information du Québec (ci-après « Commission ») : Distinguer anonymisation et dépersonnalisation | Commission d’accès à l’information du Québec (gouv.qc.ca).

• Avoir un intérêt légitime et sérieux pour recueillir les renseignements personnels et déterminer les fins pour lesquelles ceux-ci sont recueillis avant la collecte⁹.

• Recueillir les renseignements personnels auprès de la personne concernée, à moins que celle-ci ne consente à la cueillette auprès de tiers ou que la loi l’autorise.

• Recueillir uniquement les renseignements personnels nécessaires aux fins déterminées avant la collecte de ceux-ci¹⁰.
• Informer la personne concernée notamment des éléments suivants lors de la collecte de ses renseignements personnels (et sur demande, le cas échéant)¹¹ :

1. 1. Des fins auxquelles ces renseignements sont recueillis;
   2. Des moyens par lesquels les renseignements sont recueillis;
   3. Des droits d’accès et de rectification prévus par la loi et de son droit de retirer son consentement à la communication ou à l’utilisation des renseignements recueillis;
   4. De son droit de retirer son consentement à la communication ou à l’utilisation des renseignements recueillis¹².

• Sur demande, la personne concernée doit également notamment être informée des éléments suivants :

1. 1. Des catégories de personnes qui ont accès à ces renseignements au sein de l’entreprise;
   2. De la durée de conservation de ces renseignements;
   3. Des coordonnées du responsable de la protection des renseignements personnels¹³.

• Utiliser les renseignements personnels aux seules fins pour lesquelles ils ont été recueillis, à moins du consentement de la personne concernée, et ce, sauf certaines exceptions¹⁴.
• Obtenir le consentement de la personne concernée si vous recueillez ses renseignements personnels auprès d’un tiers, si vous utilisez ses renseignements à d’autres fins que celles pour lesquelles ils ont été recueillis ou si vous les communiquez à un tiers (sauf certaines exceptions prévues par la loi).
  • Il faut que le consentement soit manifeste, libre, éclairé et donné à des fins spécifiques. Il doit également être demandé à chacune de ces fins, en termes simples et clairs¹⁵.
  • Sachez que ce consentement ne vaut que pour la durée nécessaire à la réalisation des fins auxquelles il a été demandé¹⁶.
  • De plus, s’il s’agit d’un renseignement sensible, ce consentement doit être manifesté de façon expresse¹⁷. Afin de connaître la définition de « renseignement sensible », nous vous invitons à consulter la section Qu’est-ce qu’un renseignement personnel ?
  • Un modèle de formulaire de consentement à la collecte, à l’utilisation, à la communication et à la conservation de renseignements personnels se trouve sur l’Espace ACQ et est disponible aux membres via le lien suivant : Documents | Espace ACQ.

⁹ Id., art. 4.
¹⁰ Id., art. 5.
¹¹ Id., art. 8 al. 1.
¹² Id.
¹³ Id., art. 8 al. 3.
¹⁴ En ce qui concerne les exceptions, un renseignement personnel peut être utilisé à une autre fin sans le consentement de la personne concernée dans les seuls cas suivants :

• Lorsque son utilisation est à des fins compatibles avec celles pour lesquelles il a été recueilli (art. 12 al. 2 par. 1 de la Loi sur le secteur privé). C’est-à-dire qu’il doit y avoir un lien pertinent et direct avec les fins auxquelles le renseignement a été recueilli (art. 12 al. 3 de la Loi sur le secteur privé). La prospection commerciale ou philanthropique n’est pas considérée comme une fin compatible (art. 12 al. 3 de la Loi sur le secteur privé).
• Lorsque son utilisation est manifestement au bénéfice de la personne concernée (art. 12 al. 2 par. 2 de la Loi sur le secteur privé).
• Lorsque son utilisation est nécessaire à des fins de prévention et de détection de la fraude ou d’évaluation et d’amélioration des mesures de protection et de sécurité (art. 12 al. 2 par. 3 de la Loi sur le secteur privé).
• Lorsque son utilisation est nécessaire à des fins de fourniture ou de livraison d’un produit ou de prestation d’un service demandé par la personne concernée (art. 12 al. 2 par. 4 de la Loi sur le secteur privé).
• Lorsque son utilisation est nécessaire à des fins d’étude, de recherche ou de production de statistiques et qu’il est dépersonnalisé (art. 12 al. 2 par. 5 de la Loi sur le secteur privé). Toute personne qui exploite une entreprise et qui utilise des renseignements dépersonnalisés doit prendre les mesures raisonnables afin de limiter les risques que quiconque procède à l’identification d’une personne physique à partir de renseignements dépersonnalisés (art. 12 al. 5 de la Loi sur le secteur privé).

^{15 Loi sur le secteur privé, art. 14 al. 1. 
16 Id., art. 14 al. 3.
17 Id., art. 12 al. 1.}

De façon générale, une entreprise ne peut communiquer à un tiers les renseignements personnels qu’il détient sur autrui à moins que la personne concernée n’y consente ou que la Loi sur le secteur privé ne le prévoie¹⁸. Par ailleurs, le consentement doit être manifesté de façon expresse dès qu’il s’agit d’un renseignement personnel sensible¹⁹.

Certaines situations qui ne requièrent pas le consentement de la personne concernée sont abordées plus bas.

a. La communication sans consentement, lorsque nécessaire aux fins de la conclusion d’une transaction commerciale

La Loi sur le secteur privé prévoit qu’une personne qui exploite une entreprise peut communiquer un renseignement personnel sans le consentement de la personne concernée, lorsque la communication de celui-ci est nécessaire aux fins de la conclusion d’une transaction commerciale²⁰.

Il est important de noter qu’une entente doit être conclue avec l’autre partie à la transaction avant la communication d’un renseignement personnel lors d’une transaction commerciale²¹. Cette entente doit notamment stipuler que la partie à qui va être communiqué le renseignement personnel s’engage :

• « à n’utiliser le renseignement qu’aux seules fins de la conclusion de la transaction commerciale;
• à ne pas communiquer le renseignement sans le consentement de la personne concernée, à moins d’y être autorisée par la présente loi;
• à prendre les mesures nécessaires pour assurer la protection du caractère confidentiel du renseignement;
• à détruire le renseignement si la transaction commerciale n’est pas conclue ou si l’utilisation de celui-ci n’est plus nécessaire aux fins de la conclusion de la transaction commerciale. »²²

Une fois que la transaction commerciale est conclue, la partie ayant reçu un renseignement personnel doit aviser la personne concernée, dans un délai raisonnable, qu’elle détient maintenant un renseignement personnel la concernant en raison de la transaction²³.

b. La communication sans consentement à un organisme qui souhaite utiliser ces renseignements à des fins d’étude, de recherche ou de production de statistiques

Une personne qui exploite une entreprise peut également communiquer des renseignements personnels, sans le consentement des personnes concernées, à une personne ou à un organisme qui souhaite utiliser ces renseignements à des fins d’étude, de recherche ou de production de statistiques²⁴.

Dans ce cas, il faut faire une évaluation des facteurs relatifs à la vie privée (ci-après « ÉFVP »)²⁵. Nous y reviendrons plus en détail à la section Qu’est-ce qu’une évaluation des facteurs relatifs à la vie privée (« ÉFVP ») et dans quelles circonstances devez-vous faire cette évaluation ?

Il faut également que la personne communiquant les renseignements personnels conclue une entente avec la personne ou l’organisme à qui elle les transmet avant la communication de ceux-ci²⁶.

Cette entente doit notamment prévoir que ces renseignements ne peuvent être rendus accessibles qu’aux personnes à qui leur connaissance est nécessaire à l’exercice de leurs fonctions et ayant signé un engagement de confidentialité et que les renseignements ne peuvent être utilisés à d’autres fins que celles pour lesquelles ils ont été recueillis²⁷.  

Cette entente doit être transmise à la Commission d’accès à l’information (« Commission ») et entre en vigueur 30 jours après que cette dernière reçoit l’entente²⁸.

c. La communication des renseignements sans le consentement, lorsque nécessaire à l’exercice d’un mandat ou à l’exécution d’un contrat de service ou d’entreprise

Une personne qui exploite une entreprise peut, sans le consentement de la personne concernée, communiquer un renseignement personnel à toute personne ou tout organisme, et ce, si cette communication est nécessaire à l’exercice d’un mandat ou à l’exécution d’un contrat de service ou d’entreprise qu’elle confie à cette personne ou à cet organisme²⁹.

Il y a certaines conditions que la personne qui exploite une entreprise doit s’assurer de remplir si elle souhaite communiquer un renseignement personnel pour cette fin, à savoir :

• « confier le mandat ou le contrat par écrit »³⁰; et
• Indiquer dans le mandat ou le contrat, les mesures que le mandataire ou l’exécutant du contrat doit prendre « pour assurer la protection du caractère confidentiel du renseignement personnel communiqué, pour que ce renseignement ne soit utilisé que dans l’exercice de son mandat ou l’exécution de son contrat et pour qu’il ne le conserve pas après son expiration », à moins que le mandataire ou l’exécutant du contrat soit un organisme public³¹.

La personne ou l’organisme qui exerce un mandat ou qui exécute un contrat de service ou d’entreprise doit :

• Aviser sans délai le responsable de la protection des renseignements personnels de toute violation ou tentative de violation par toute personne de l’une ou l’autre des obligations relatives à la confidentialité du renseignement communiqué; et
• Permettre au responsable de la protection des renseignements personnels d’effectuer toute vérification relative à cette confidentialité³².

d. La communication sans consentement lorsque permise par la Loi sur le secteur privé

Une personne qui exploite une entreprise peut notamment communiquer un renseignement personnel sans le consentement de la personne aux personnes suivantes :

• à son procureur³³;
• au directeur des poursuites criminelles et pénales si le renseignement est requis aux fins d’une poursuite pour infraction à une loi applicable au Québec³⁴;
• à un organisme public au sens de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (chapitre A‐2.1) qui, par l’entremise d’un représentant, le recueille dans l’exercice de ses attributions ou la mise en œuvre d’un programme dont il a la gestion³⁵;
• à une personne à qui cette communication doit être faite en raison d’une situation d’urgence mettant en danger la vie, la santé ou la sécurité de la personne concernée.»³⁶

18 Loi sur le secteur privé, préc., note 1, art. 13 al. 1.
19 Id., art. 13 al. 2.
20 Id., art. 18.4 al. 1.
21 Id., art. 18.4 al. 2.
22 Id.
23 Id., art. 18.4 al. 3.
24 Id., art. 21 al. 1.
25 Veuillez consulter l’article 21 alinéa 2 de la Loi sur le secteur privé afin d’avoir plus d’information sur l’ÉFVP pour la communication de renseignements sans consentement à un organisme qui souhaite utiliser ceux-ci à des fins d’étude, de recherche ou de production de statistique.
26 Loi sur le secteur privé, préc., note 1, art. 21.0.2.
27 Id. Afin de connaître d’autres stipulations qui doivent être incluses dans le contrat, nous vous invitons à consulter l’article 21.0.2 de la Loi sur le secteur privé.
28 Id., art. 21.0.2 al. 3.
29 Id., art. 18.3 al. 1.
30 Id., art. 18.3 al. 2, par. 1.
31 Id, art. 18.3 al. 2, par. 2.
32 Id.
33 Id., art. 18 al. 1 par. 1.
24 Id., art. 18 al. 1 par. 2.
35 Id., art. 18 al. 1 par. 5.
36 Id., art. 18 al. 1 par. 7.

La personne ayant la plus haute autorité au sein d’une entreprise veille à assurer le respect et la mise en œuvre de la Loi sur le secteur privé et exerce la fonction de responsable de la protection des renseignements personnels (ci-après « RPRP »)³⁷.  Cette personne peut déléguer cette fonction, en tout ou en partie, à toute autre personne qui travaille au sein de l’entreprise ou qui soit externe, sous réserve que cette délégation soit faite par écrit³⁸.

En outre, les coordonnées du RPRP doivent être publiées sur le site Internet de l’entreprise, ou, si elle n’a pas de site, rendues accessibles par tout autre moyen approprié³⁹.

³⁷ Id., art. 3.1 al. 2.
³⁸ Id.
39 Id., art. 3.1 al. 3.

Toute personne qui exploite une entreprise doit établir et mettre en œuvre des politiques et des pratiques encadrant la gouvernance à l’égard des renseignements personnels et la protection de ceux-ci⁴⁰.

Les politiques et les pratiques doivent notamment prévoir ce qui suit :

• L’encadrement applicable à la conservation et à la destruction des renseignements personnels;
• Les rôles et responsabilités des membres de son personnel tout au long du cycle de vie des renseignements personnels (c’est-à-dire lors de la collecte, l’utilisation, la communication, la conservation et la destruction de ceux-ci); et
• Un processus de traitement des plaintes relatives à la protection des renseignements personnels⁴¹.

Les politiques et les pratiques doivent être proportionnées à la nature et à l’importance des activités de l’entreprise et approuvées par le RPRP⁴².

Des informations détaillées au sujet de ces politiques et de ces pratiques doivent être publiées, en termes simples et clairs, sur le site Internet de l’entreprise ou, si elle n’a pas de site, rendues accessibles par tout autre moyen approprié⁴³.

En outre, la personne qui recueille par un moyen technologique des renseignements personnels doit se doter d’une politique de confidentialité rédigée en termes simples et clairs. Cette politique doit être publiée sur le site Internet de l’entreprise, le cas échéant, et diffusée par tout moyen propre à atteindre les personnes concernées⁴⁴. Par ailleurs, la Commission a publié un guide concernant la rédaction d’une politique de confidentialité que nous vous invitons à consulter sur leur site. 

Veuillez noter que des modèles d’une politique sur la protection des renseignements personnels et d’une politique de confidentialité sont accessibles pour les membres via le lien suivant : Documents | Espace ACQ.

⁴⁰ Id., art. 3.2 al. 1.
⁴¹ Id.
⁴² Id.
⁴³ Id., art. 3.2 al. 2.
⁴⁴ Loi sur le secteur privé, article 8.2.

Une ÉFVP est un processus de gestion de risques qui permet d’évaluer les répercussions d’un programme ou d’un service sur la vie privée d’une personne en vue d’assurer la protection des renseignements personnels. Elle peut aussi contribuer à éviter ou à réduire tout effet négatif possible sur la vie privée qui puisse découler d’un programme ou d’un service.

Cette évaluation est nécessaire notamment dans les situations suivantes :

a. Lors d’un projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services

Toute personne qui exploite une entreprise au Québec doit procéder à une ÉFVP de « tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels. »⁴⁴

Aux fins de l’ÉFVP, il faut consulter, dès le début du projet, le RPRP⁴⁵ et s’assurer que ce projet permet qu’un renseignement personnel informatisé recueilli auprès de la personne concernée soit communiqué à cette dernière dans un format technologique structuré et couramment utilisé⁴⁶.

La réalisation d’une ÉFVP en application de la Loi sur le secteur privé doit être proportionnée à la sensibilité des renseignements concernés, leur finalité, leur quantité, leur réparation et leur support⁴⁷.

Le RPRP peut à toute étape de l’ÉFVP, suggérer des mesures de protection des renseignements personnels applicables à un projet, telles que la nomination d’une personne chargée de la mise en œuvre des mesures de protection des renseignements personnels et une description des responsabilités des participants au projet en matière de protection des renseignements personnels⁴⁸.

b. Lors de communication d’un renseignement personnel à l’extérieur du Québec

Une entreprise doit procéder à une ÉFVP avant de communiquer à l’extérieur du Québec un renseignement personnel⁴⁹. Pour ce faire, elle doit notamment tenir compte de « 1^o la sensibilité du renseignement; 2^o la finalité de son utilisation; 3^o les mesures de protection, y compris celles qui sont contractuelles, dont le renseignement bénéficierait; 4^o le régime juridique applicable dans l’État où ce renseignement serait communiqué, notamment les principes de protection des renseignements personnels qui y sont applicables » ⁵⁰.

c. Lors de la communication sans consentement à un organisme qui souhaite utiliser ces renseignements à des fins d’étude, de recherche ou de production de statistiques

Une ÉFVP est nécessaire pour la communication sans consentement à une personne ou à un organisme qui souhaite utiliser ces renseignements à des fins d’étude, de recherche ou de production de statistiques⁵¹.

Cette ÉFVP doit conclure que :

• « l’objectif de l’étude, de la recherche ou de la production de statistiques ne peut être atteint que si les renseignements sont communiqués sous une forme permettant d’identifier les personnes concernées;
• il est déraisonnable d’exiger que la personne ou l’organisme obtienne le consentement des personnes concernées;
• l’objectif de l’étude, de la recherche ou de la production de statistiques l’emporte, eu égard à l’intérêt public, sur l’impact de la communication et de l’utilisation des renseignements sur la vie privée des personnes concernées;
• les renseignements personnels sont utilisés de manière à en assurer la confidentialité;
• seuls les renseignements nécessaires sont communiqués. »⁵²

Pour davantage d’information concernant l’ÉFVP, vous pouvez consulter le guide de la Commission sur le site suivant : Guide d’accompagnement – Réaliser une évaluation des facteurs relatifs à la vie privée (gouv.qc.ca).

⁴⁴ Id., art. 3.3 al. 1.
⁴⁵ Id., art. 3.3 al. 2.
⁴⁶ Id., art. 3.3 al. 3.
⁴⁷ Id., art. 3.3 al. 4.
⁴⁸ Id., art. 3.4.
⁴⁹ Id., art. 17 al. 1.
⁵⁰ Id.
⁵¹ Id., art. 21 al. 2.
⁵² Id.

Un « incident de confidentialité » constitue :

• L’accès non autorisé par la loi à un renseignement personnel;
• L’utilisation non autorisée par la loi d’un renseignement personnel;
• La communication non autorisée par la loi d’un renseignement personnel; et
• La perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement⁵³.

Si vous avez des motifs de croire qu’un incident de confidentialité s’est produit, vous devez :

• Prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé⁵⁴.
• Évaluer le risque qu’un préjudice soit causé à une ou des personne(s) concernée(s).
  • Afin d’évaluer le risque qu’un préjudice soit causé à une personne dont un renseignement personnel est concerné par un incident de confidentialité, une entreprise doit considérer notamment la sensibilité du renseignement concerné, les conséquences appréhendées de son utilisation et la probabilité qu’il soit utilisé à des fins préjudiciables⁵⁵.
  • L’entreprise doit également consulter son RPRP⁵⁶.
• Si l’incident présente un risque qu’un préjudice sérieux soit causé :
  • Aviser la Commission⁵⁷.
  • Aviser toute personne dont un renseignement personnel est concerné par l’incident⁵⁸, sauf exception⁵⁹, à défaut de quoi la Commission peut ordonner à l’entreprise de le faire⁶⁰.
  • L’entreprise peut également aviser toute personne ou tout organisme susceptible de diminuer ce risque, en ne lui communiquant que les renseignements personnels nécessaires à cette fin, et ce, sans le consentement de la personne concernée. Dans ce cas, le RPRP doit enregistrer la communication en question⁶¹.
• Éviter que de nouveaux incidents de même nature ne se produisent⁶².
• Tenir un registre de tous les incidents de confidentialité⁶³.
  • Sachez que ce registre doit être transmis à la Commission sur demande⁶⁴.
  • Les renseignements contenus au registre doivent être tenus à jour et conservés pendant une période minimale de 5 ans après la date ou la période au cours de laquelle l’organisation a pris connaissance de l’incident⁶⁵.

Nous vous invitons à consulter l’aide-mémoire concernant un incident de confidentialité impliquant un renseignement personnel et à vous référer au modèle du Registre relatif aux incidents de confidentialité impliquant un renseignement personnel accessible pour les membres via le lien suivant : Documents | Espace ACQ.

⁵³ Id., art. 3.6.
⁵⁴ Id., art. 3.5 al. 1.
⁵⁵ Id., art. 3.7.
⁵⁶ Id.
⁵⁷ Id., art. 3.5 al. 2. Nous vous invitons à consulter l’article 3 du Règlement sur les incidents de confidentialité (c. A-2.1, r. 3.1) afin d’en apprendre davantage sur le contenu de l’avis à la Commission. Voir aussi : Aviser la Commission et les personnes concernées | Commission d’accès à l’information du Québec (gouv.qc.ca).
⁵⁸ Id.
⁵⁹ Une personne dont un renseignement personnel est concerné par l’incident n’a pas à être avisée tant que cela serait susceptible d’entraver une enquête faite par une personne ou par un organisme qui, en vertu de la loi, est chargée de prévenir, détecter ou réprimer le crime ou les infractions aux lois (art. 3.5. al. 3 de la Loi sur le secteur privé).
⁶⁰ Loi sur le secteur privé, préc., note 1, art. 3.5 al. 2. Nous vous invitons à consulter l’article 4 du Règlement sur les incidents de confidentialité afin d’en apprendre davantage sur le contenu de l’avis à la ou les personnes concernées.
⁶¹ Id., art. 3.5 al. 2.
⁶² Id., art. 3.5 al. 1.
⁶³ Id., art. 3.8 al. 1.
⁶⁴ Id., art. 3.8 al. 2.
⁶⁵ Règlement sur les incidents de confidentialité, c. A-2.1, r. 3.1., art. 8.

Toute personne qui exploite une entreprise et détient un renseignement personnel sur autrui doit, quel que soit le support, à la demande de la personne concernée, lui en confirmer l’existence et lui donner communication de ce renseignement en lui permettant d’en obtenir une copie⁶⁶.

De plus, à partir du 22 septembre 2024, à moins que cela ne soulève des difficultés pratiques sérieuses, un renseignement personnel informatisé recueilli auprès d’une personne concernée lui est, à sa demande, communiqué dans un format technologique structuré et couramment utilisé⁶⁷.

⁶⁶ Loi sur le secteur privé, préc., note 1, art. 27 al. 1 et 2.
⁶⁷ Id., art. 27 al. 3; Loi 25, art. 120.

Tout au long du cycle de vie d’un renseignement personnel, à savoir lors de la collecte, l’utilisation, la communication, la conservation et éventuellement la destruction, vous devez mettre en place des mesures de sécurité afin d’assurer sa protection. Ces mesures doivent être raisonnables compte tenu notamment de la sensibilité, de la quantité, de la répartition, du support et de la finalité de l’utilisation du renseignement personnel⁶⁸.

N’oubliez pas de consulter des experts en matière de technologies de l’information pour bien vous outiller.

⁶⁸ Id., art. 10.

Vous devez conserver un renseignement personnel uniquement pendant la période nécessaire pour accomplir les fins auxquelles ils ont été recueillis, à moins que la loi ne prévoie un délai de conservation plus long.

Nous vous invitons à consulter le tableau conçu par l’ACQ disponible aux membres dans l’Espace ACQ pour des exemples de délais de conservation prévus dans différentes lois.

Lorsque les fins auxquelles un renseignement personnel a été recueilli ou utilisé sont accomplies, il doit être détruit ou bien anonymisé pour l’utiliser à des fins sérieuses et légitimes, sauf s’il y a un délai de conservation prévu dans la Loi sur le secteur privé⁶⁹. Vous pouvez prévoir une procédure de destruction / d’anonymisation à cet effet.  

Si un renseignement personnel est anonymisé au lieu d’être détruit, il faut que l’anonymisation soit faite selon les meilleures pratiques généralement reconnues et selon les critères et modalités déterminés par règlement⁷⁰.

⁶⁹ Id., art. 23 al. 1.
⁷⁰ Id., art. 23 al. 3. La Commission d’accès à l’information du Québec a énoncé toutefois qu’« en l’absence de règlement du gouvernement, il n’est donc pas possible d’anonymiser des renseignements pour les conserver et les utiliser à des fins d’intérêt public ou sérieuses et légitimes » : Destruction et anonymisation | Commission d’accès à l’information du Québec (gouv.qc.ca).

La Loi sur le secteur privé prévoit que la Commission puisse imposer des sanctions administratives pécuniaires en cas de différents manquements prévus par la loi d’un montant maximal de 50 000 $ dans le cas d’une personne physique et, dans les autres cas, 10 millions de dollars ou 2 % du chiffre d’affaires mondial de l’exercice financier précédent si ce dernier montant est plus élevé⁷¹.

Une entreprise peut faire l’objet d’une poursuite pénale pour différentes infractions à la Loi sur le secteur privé qui sont passibles d’une amende de 5 000 $ à 100 000 $ dans le cas d’une personne physique, et dans les autres cas, de 15 000 $ à 25 000 000 $ ou du montant correspondant à 4 % du chiffre d’affaires mondial de l’exercice financier précédent si ce dernier montant est plus élevé⁷². En cas de récidive, les amendes prévues à la Loi sur le secteur privé sont portées au double⁷³.

À titre d’exemple, une entreprise peut s’exposer à des sanctions administratives pécuniaires et/ou à une poursuite pénale dans les cas suivants :

• Si elle manque à ses obligations de recueillir, d’utiliser, de communiquer, de conserver ou de détruire des renseignements personnels conformément à la Loi sur le secteur privé⁷⁴;
• Si elle ne déclare pas un incident de confidentialité à la Commission ou aux personnes concernées lorsqu’elle y est tenue⁷⁵;
• Si elle ne prend pas les mesures raisonnables de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits⁷⁶.

Une entreprise peut également se faire imposer une sanction administrative pénale s’il manque à ses obligations d’informer une personne lors de la collecte de renseignements, notamment aux fins desquelles ceux-ci sont recueillis, des moyens par lesquels les renseignements sont recueillis, des droits d’accès et de rectification prévus par la loi, de son droit de retirer son consentement à la communication ou à l’utilisation des renseignements recueillis⁷⁷.

La Commission a élaboré un cadre général d’application de sanctions administratives pécuniaires disponible via le lien suivant : Sanctions administratives pécuniaires | Commission d’accès à l’information du Québec (gouv.qc.ca).

Enfin, la Loi sur le secteur privé prévoit également un droit aux personnes visées par une atteinte illicite aux droits conférés par ladite loi de poursuivre l’entreprise en défaut en dommages-intérêts et prévoit la condamnation à des dommages-intérêts punitifs d’au moins 1 000 $ lorsque l’atteinte est intentionnelle ou lorsqu’elle découle d’une faute lourde⁷⁸.

71 Id., art. 90.12.
72 Id., art. 91.
73 Id., art. 92.1.
74 Id., art. 90.1 al. 1 par. 2 et 91 par. 1.
75 Id., art. 90.1 par. 3 et art. 91 par. 2.
76 Id., art. 10, 90.1 par. 4 et art. 91 par. 4.
77 Id., art. 90.1 al. 1 par. 1. Afin de connaître d’autres actes pour lesquels une sanction administrative pécuniaire ou une sanction pénale peut être imposée, nous vous invitons à consulter les article 90.1 al. 1 et 91 de la Loi sur le secteur privé.
⁷⁸ Id. art. 93.1.