Aller au contenu

Citoyens

Vos droits

Contrôler l'accès et la circulation de vos renseignements personnels

Les organismes publics et les entreprises ont l'obligation de protéger vos renseignements personnels. L'accès à vos renseignements personnels et le contrôle de leur circulation font partie de vos droits.

C'est ce que prévoient la Loi sur l'accès et la Loi sur le privé.

Ce que vous pouvez faire en tant que citoyen

Accéder à vos renseignements personnels

En principe, toute personne a le droit de savoir qu’un organisme public ou une entreprise détient des renseignements personnels la concernant et d'y avoir accès.

Comment accéder à vos renseignements personnels?

Pour accéder à vos renseignements personnels, vous devez envoyer :

  • Une demande écrite (PDF, 242 Ko) au responsable de la protection des renseignements personnels de l’organisme public.
  • Une demande écrite (PDF, 243 Ko) au responsable de la protection des renseignements personnels au sein de l’entreprise. Il peut s’agir, par exemple, du dirigeant de l’entreprise, du service à la clientèle ou des ressources humaines.
    • Les entreprises sont tenues de diffuser les coordonnées de leur responsable de la protection des renseignements personnels sur leur site Web ou par tout autre moyen permettant au public d'y avoir accès. 

Afin d'exercer votre droit, vous devez vous identifier. Il est à noter qu’une demande d'accès peut aussi être faite par une personne agissant à titre de représentant, d’héritier ou de successible de la personne concernée, de liquidateur de la succession, de bénéficiaire d’une assurance-vie ou d’indemnité de décès ou de titulaire de l’autorité parentale. Dans tous les cas, cette personne devra prouver sa fonction et son identité en conséquence. 

Quels sont les coûts reliés à une demande d’accès?

En principe, l’accès à vos renseignements personnels est gratuit. Cependant, des frais n’excédant pas le coût de la transcription, de la reproduction ou de la transmission peuvent être exigés par l’organisme public ou l’entreprise qui doit préalablement vous en indiquer le montant approximatif. Le montant et les modalités de paiement de ces frais sont prévus dans le Règlement sur les frais

Quels sont les délais pour répondre à une demande d’accès?

Les délais des organismes publics et des entreprises pour répondre à une demande d'un renseignement diffèrent.

  • Pour un organisme public : à la réception de votre demande, le responsable de la protection des renseignements personnels doit vous faire parvenir un avis écrit. Cet avis doit indiquer le délai dont dispose le responsable pour donner suite à votre demande ainsi que les conséquences du défaut de le respecter. L’avis doit également faire mention des recours qui vous sont offerts, le cas échéant. En principe, le responsable de la protection des renseignements personnels dispose d’au plus 20 jours civils pour vous répondre. Toutefois, ce délai peut être prolongé de 10 jours, au besoin et à la condition de vous en aviser par écrit. L’absence de réponse de sa part, à l’expiration de ce délai, équivaut à un refus.

  • Pour une entreprise : le responsable de la protection des renseignements personnels doit donner suite à votre demande dans les 30 jours de la date de sa réception. L’absence de réponse de sa part, à l’expiration de ce délai, équivaut à un refus.

Existe-t-il des restrictions au droit d’accès?

Oui, le droit d’accès à vos renseignements personnels comporte certaines restrictions : il n’est pas absolu. Par exemple, un organisme public ou une entreprise peut refuser de vous donner accès à vos renseignements personnels s’ils peuvent vraisemblablement créer un préjudice grave pour votre santé.

 

Demander vos renseignements dans un format technologique

Vous pouvez demander à un organisme public ou à une entreprise de vous communiquer vos renseignements personnels informatisés, dans un format technologique structuré et couramment utilisé. Ceux-ci doivent cependant avoir été recueillis auprès de vous. Selon les précisions du gouvernement du Québec, un format est dit « structuré et couramment utilisé » lorsque des applications logicielles d’usage courant peuvent facilement reconnaître et extraire les informations qui y sont contenues. C’est ce que prévoient la Loi sur l’accès et la Loi sur le privé. 

À votre demande, cette communication peut aussi être faite, dans ce même format, à toute personne ou à tout organisme autorisé à recueillir vos renseignements. 

Cette modalité du droit d’accès à vos renseignements personnels, aussi appelée droit à la portabilité, vise à :

  • Permettre que vous ayez plus de contrôle sur vos renseignements personnels;
  • Faciliter vos démarches pour obtenir des services auprès d’un autre organisme public ou d’une autre entreprise. 

Conditions d’application du droit à la portabilité

Pour vous prévaloir de votre droit à la portabilité, les renseignements personnels concernés doivent être : 

  • Informatisés
    - Le droit à la portabilité est limité aux renseignements personnels informatisés, c’est-à-dire organisés et structurés à l’aide de l’informatique.

  • Recueillis auprès de vous
    - Ces renseignements personnels informatisés doivent aussi avoir été recueillis directement ou indirectement auprès de vous par un organisme public ou une entreprise. Les renseignements recueillis indirectement sont notamment générés par vos activités, comme l’historique de vos achats, déplacements, habitudes de conduite, etc.   


Sachez que les renseignements créés ou inférés sont exclus du droit à la portabilité, car ils n’ont pas été recueillis directement ou indirectement auprès de vous. Ils sont plutôt générés par l’analyse, l’observation ou obtenus par des algorithmes et des corrélations. Par exemple, le niveau de risque associé à un individu par sa compagnie d’assurance constitue un renseignement personnel créé ou inféré.

De même, les renseignements personnels informatisés qu’un organisme public ou une entreprise obtient par des tiers sont exclus du droit à la portabilité. 

Comment demander accès à vos renseignements personnels informatisés?

La procédure pour vous prévaloir de votre droit à la portabilité est la même que pour toute demande d’accès à vos renseignements personnels.  

Quand vous en faites la demande, l’organisme public ou l’entreprise à qui vous demandez que soient communiqués vos renseignements personnels informatisés doit évaluer la nécessité de les recevoir en suivant la démarche proposée.

Difficultés pratiques sérieuses 

La communication de vos renseignements personnels dans un format technologique structuré et couramment utilisé ne doit pas entrainer de difficultés pratiques sérieuses pour l’organisme public ou l’organisation. 

La Loi sur l’accès et la Loi sur le privé ne définissent pas ce que peuvent être « des difficultés pratiques sérieuses ».  L’interprétation jurisprudentielle de la Commission concernant cette expression réfère à une analyse au cas par cas. À titre d’exemple, la Commission a déjà conclu que les coûts importants engendrés pour donner suite à une demande ou la complexité que nécessite le transfert dû au choix du demandeur quant à la forme peuvent être considérés comme des « difficultés pratiques sérieuses ».

Faire rectifier un renseignement personnel

Vous pouvez demander la rectification d'un renseignement personnel que vous savez détenu par un organisme public ou une entreprise s'il est :

  • Inexact; 
  • Incomplet; 
  • Équivoque. 

Vous pouvez aussi adresser cette demande si la collecte, la communication ou la conservation d'un renseignement personnel n'est pas autorisée par la Loi. 

Afin d'exercer votre droit, vous devez vous identifier. Il est à noter qu’une demande de rectification peut aussi être faite par une personne agissant à titre de représentant, d’héritier ou de successible de la personne concernée, de liquidateur de la succession, de bénéficiaire d’une assurance-vie ou d’indemnité de décès ou de titulaire de l’autorité parentale. Dans tous les cas, cette personne devra prouver sa fonction et son identité en conséquence. 

Comment faire rectifier vos renseignements personnels?

Pour faire rectifier vos renseignements personnels, vous devez adresser :

  • Une demande écrite (PDF, 173 Ko) au responsable de la protection des renseignements personnels de l’organisme public.
  • Une demande écrite (PDF, 202 Ko) au responsable de la protection des renseignements personnels au sein de l’entreprise. Il peut s’agir, par exemple, du dirigeant de l’entreprise, du service à la clientèle ou des ressources humaines.

Quels sont les délais pour répondre à une demande de rectification?

Les délais des organismes publics et des entreprises pour répondre à une demande de rectification d'un renseignement diffèrent.

  • Pour un organisme public : à la date de réception de votre demande, le responsable de la protection des renseignements personnels doit vous faire parvenir un avis écrit. Cet avis doit indiquer le délai dont dispose le responsable pour donner suite à votre demande ainsi que les conséquences du défaut de le respecter. L’avis doit également faire mention des recours qui vous sont offerts, le cas échéant. En principe, le responsable de la protection des renseignements personnels dispose d’au plus 20 jours civils pour vous répondre. Toutefois, ce délai peut être prolongé de 10 jours, au besoin et à la condition de vous en aviser par écrit. 

  • Pour une entreprise : le responsable de la protection des renseignements personnels doit donner suite à votre demande dans les 30 jours de la date de sa réception. L’absence de réponse de sa part, à l’expiration de ce délai, équivaut à un refus.

Accéder aux renseignements personnels d'un proche décédé ou disparu

Dans certains cas, vous pouvez demander à un organisme public ou à une entreprise de vous communiquer un renseignement personnel concernant un conjoint ou un proche parent décédé ou disparu.

Accès pour favoriser le processus de deuil

Vous pouvez demander accès à un renseignement personnel à un organisme public ou à une entreprise si ce renseignement est susceptible de favoriser votre processus de deuil. Cependant, on pourrait vous refuser cet accès si la personne décédée a préalablement consigné son refus par écrit. Votre demande devrait suivre la même procédure que celle pour le droit d'accès à vos propres renseignements; vous devriez y inclure des explications sur la raison pour laquelle ces renseignements pourraient vous aider dans votre processus de deuil.

Accès pour fins de succession ou d'assurances

Par ailleurs, si vous êtes l’héritier ou le successible de la personne décédée, le liquidateur de sa succession ou le bénéficiaire de son assurance-vie ou d'une indemnité de décès, vous pouvez également exercer un droit d'accès ou de rectification à ses renseignements personnels. Dans une telle situation, vous devez prouver votre identité et votre rôle auprès de l'organisation concernée.

Accès des familles aux renseignements d'enfants autochtones disparus ou décédés à la suite d'une admission en établissement

La Loi autorisant la communication de renseignements personnels aux familles d’enfants autochtones disparus ou décédés à la suite d’une admission en établissement vise à soutenir les familles autochtones dans leurs recherches de renseignements auprès d’un établissement, d’un organisme ou d’une congrégation religieuse sur les circonstances ayant entouré la disparition ou le décès d’un enfant admis en établissement avant le 31 décembre 1992.

Sous certaines conditions, le membre d’une famille d’enfant autochtone disparu ou décédé à la suite d’une admission en établissement ou toute personne significative peut demander les renseignements personnels d’un enfant auprès :

  • De nombreux organismes publics déjà visés par la Loi sur l'accès, dont des établissements de santé et de services sociaux ainsi que les ministères, organismes gouvernementaux, municipaux et scolaires;

  • Des congrégations religieuses.

En cas de refus d’un établissement, d’un organisme, ou d’une congrégation religieuse de communiquer des renseignements autorisés par la loi, la personne ayant présenté la demande peut se prévaloir des recours prévus devant la Commission.

Un accompagnement est également prévu pour soutenir les familles dans leurs recherches de renseignements au sujet d’enfants autochtones disparus ou décédés, assuré par la Direction de soutien aux familles du Secrétariat aux relations avec les Premières Nations et les Inuit.

Pour plus de détails, consultez la page Web du Secrétariat aux relations avec les Premières Nations et les Inuit consacrée à la Loi.

Être informé d'une décision automatisée et en demander la révision

Lorsqu'un organisme public ou une entreprise utilise vos renseignements personnels afin de rendre une décision entièrement automatisée à votre sujet, il doit vous en informer au plus tard au moment où il vous communique cette décision.

Dans ce cas, vous pouvez demander à connaître :

  • Les renseignements personnels utilisés pour prendre la décision;

  • Les raisons ainsi que les principaux facteurs et paramètres ayant mené à la décision.

Vous pouvez demander la rectification des renseignements personnels utilisés pour rendre la décision.

De même, l'organisation doit vous donner l'occasion de présenter vos observations à un membre du personnel en mesure de réviser la décision. Vous avez également le droit de demander que la décision soit révisée par une personne. 

Demander qu'un renseignement vous concernant cesse d'être diffusé ou soit désindexé

Quand la diffusion d’un renseignement vous concernant vous cause un préjudice grave, vous pouvez exiger d’une entreprise qu’elle cesse de le diffuser ou qu’elle le désindexe. Ce droit est parfois appelé « droit à l’oubli » ou « droit à l’effacement » parce qu’il vous permet de limiter l’accessibilité publique de vos renseignements. Vous pourriez, par exemple, vouloir tirer un trait sur une erreur du passé qui nuit à vos démarches d’emploi ou faire cesser la diffusion d’une photo publiée sans votre consentement. 

  • La cessation de diffusion concerne les entreprises qui diffusent le renseignement (p. ex. un réseau social qui héberge une photo de vous). Elle a pour effet que le renseignement n’est plus public; 

  • La désindexation concerne les entreprises qui permettent de trouver ce renseignement sur Internet (p. ex. un moteur de recherche qui renvoie à un article de blogue à propos de vous). Elle a pour effet que le renseignement n’est plus repérable si une personne fait une recherche à partir de votre nom.
     

Vous pouvez aussi demander la réindexation : le renseignement serait ainsi moins repérable dans un moteur de recherche. Il pourrait ne plus apparaître dans la première page de résultats, par exemple.

Comme l’exercice de ce droit peut affecter les droits d’autres personnes, la Loi limite les situations où il s’applique. Vous pouvez ainsi l’utiliser dans l’un des cas suivants : 

  • Lorsque la diffusion du renseignement contrevient à la Loi sur le privé ou à une ordonnance judiciaire; 

  • Lorsque la diffusion du renseignement cause un préjudice grave relatif à votre vie privée ou à votre réputation. Dans ce cas :
    • Ce préjudice doit être manifestement plus important que l’intérêt du public de connaître ce renseignement ou que la liberté d’expression de toute personne;
    • La cessation de diffusion, la désindexation ou la réindexation demandée ne doit pas dépasser ce qui est nécessaire pour mettre fin au préjudice. 

Comment faire une demande? 

Pour faire une demande de cessation de diffusion, de désindexation ou de déréférencement d’un renseignement personnel, vous devez écrire au responsable de la protection des renseignements personnels au sein de l’entreprise. Les entreprises sont tenues de diffuser les coordonnées de leur responsable sur leur site Web ou par tout autre moyen permettant au public d'y avoir accès.  

Vous devez justifier de votre identité à titre de personne concernée. Il est à noter qu’une demande sera également prise en compte si elle est faite par une personne agissant à titre de représentant, d’héritier ou de successible de la personne concernée, de liquidateur de la succession, de bénéficiaire d’une assurance-vie ou d’indemnité de décès ou de titulaire de l’autorité parentale. Dans tous les cas, cette personne devra établir sa qualité et son identité. 

Que doit contenir la demande? 

Votre demande devrait être claire et bien justifiée. Vous aurez alors plus de chances de succès. 

Si la diffusion contrevient à la loi ou à une ordonnance judiciaire, vous devriez pouvoir l’expliquer. De même, si vous subissez un préjudice grave, vous devriez expliquer pourquoi et dans quelle mesure. En effet, l’entreprise doit évaluer votre demande en tenant compte des droits et intérêts d’autres personnes. Pour déterminer les informations pertinentes à fournir dans ce cas, gardez en tête que l’entreprise doit considérer les éléments suivants :  

  • Le fait que vous soyez une personnalité publique; 

  • Le fait que le renseignement vous concerne alors que vous étiez mineur au moment des faits; 

  • L’exactitude du renseignement et le fait qu’il soit à jour; 

  • La sensibilité du renseignement

  • Le contexte de la diffusion du renseignement;

  • Le délai entre la diffusion initiale et votre demande; 

  • Le fait que le renseignement concerne une procédure criminelle ou pénale pour laquelle vous avez obtenu un pardon ou une restriction à l’accessibilité des registres des tribunaux judiciaires. 

Si l’entreprise refuse votre demande, vous pouvez déposer un recours auprès de la Commission

Quels sont les délais pour répondre à une demande? 

Le responsable de la protection des renseignements personnels de l’entreprise doit donner suite à votre demande dans les 30 jours de la date de sa réception. L’absence de réponse de sa part, à l’expiration de ce délai, équivaut à un refus.

Vous opposer à l'utilisation de vos renseignements pour la prospection commerciale ou philanthropique

Une entreprise peut utiliser vos renseignements personnels à des fins de prospection commerciale ou philanthropique. Par exemple, elle peut utiliser votre nom, votre numéro de téléphone, votre adresse civique ou votre adresse courriel pour des fins de marketing et de sollicitation.

Vous pouvez exiger que vos renseignements personnels ne soient plus utilisés à ces fins. Pour ce faire, vous devez vous adresser, par écrit ou verbalement, au responsable de la protection des renseignements personnels de l'entreprise. Les entreprises sont tenues de diffuser les coordonnées de leur responsable sur leur site Web ou par tout autre moyen permettant au public d'y avoir accès.  

Obligations des organisations

Les organismes publics et les entreprises doivent limiter la collecte, l'utilisation, la communication et la conservation de vos renseignements personnels. Si vous estimez qu'une organisation n'a pas respecté ses obligations de protection de vos renseignements personnels, vous pouvez porter plainte auprès de la Commission.

Pour en savoir plus sur les obligations des organisations, consultez :

Votre avis nous intéresse

Avez-vous trouvé les informations que vous cherchiez ?
Les informations sur cette page sont-elles claires, faciles à comprendre ?

Évitez d’inscrire des renseignements personnels. Notez que vous ne recevrez pas de réponse.

500 characters left