Un renseignement personnel est un renseignement qui permet d’identifier une personne physique, directement ou indirectement.
Les renseignements personnels sont confidentiels. Leur confidentialité découle du droit à la vie privée, permettant ainsi à toute personne d’exercer un contrôle sur l’utilisation et la circulation de ses renseignements.
Pour une définition plus détaillée d'un renseignement, consultez la page Qu'est-ce qu'un renseignement personnel?
Cycle de vie d'un renseignement personnel
Collecte
La collecte est la première étape du cycle de vie d'un renseignement personnel. C'est le moment pendant lequel le renseignement personnel est :
- Recueilli (formulaire d’abonnement, sondage, outils analytiques Web, etc.);
- Créé (p. ex. no de membre ou de permis de conduire);
- Inféré, c’est-à-dire déduit à partir d’autres renseignements (p. ex. profil de consommateur).
Le fait de voir un renseignement personnel, comme ceux contenus sur une pièce d’identité, constitue une collecte, même s’il n’y a pas de conservation par la suite.
La collecte est réalisée par une entreprise ou un tiers, comme un mandataire ou un prestataire de services.
À cette étape, les obligations suivantes doivent être respectées. Ainsi, l'entreprise doit :
- Déterminer les fins de la collecte. Vous devez avoir un intérêt sérieux et légitime pour recueillir des renseignements personnels et déterminer à quelles fins vous les recueillez, et ce, avant de procéder à leur collecte;
- Limiter la collecte de renseignements personnels. La collecte doit se limiter aux renseignements nécessaires aux fins déterminées. En cas de doute, un renseignement personnel est réputé non nécessaire;
- Recueillir les renseignements personnels par des moyens légaux et légitimes. Sauf exception, la collecte doit se faire directement auprès de la personne concernée;
- Fournir certaines informations à la personne concernée. Lors de la collecte et, par la suite, sur demande, l’entreprise doit informer la personne de certains éléments;
- Obtenir le consentement des personnes concernées avant de collecter leurs renseignements personnels auprès d’un tiers, à moins d’une exception prévue par la Loi.
Une entreprise ne peut refuser d’offrir un bien, un service ou un emploi à une personne qui refuse de fournir un renseignement personnel, sauf exception prévue par la Loi.
Utilisation
L’utilisation est la période pendant laquelle le renseignement personnel est utilisé par les personnes autorisées au sein de l’entreprise.
À cette étape, l’entreprise doit :
- Limiter l’accès aux renseignements personnels aux seules personnes ayant la qualité pour les recevoir au sein de l’entreprise lorsque ces renseignements sont nécessaires à l’exercice de leurs fonctions;
- Limiter l’utilisation des renseignements personnels. À moins d’une exception prévue par la Loi, l’entreprise doit obtenir le consentement de la personne concernée pour utiliser ses renseignements à une autre fin que celles pour lesquelles il a été recueilli ou une fois l’objet du dossier accompli.
Lorsqu’elle rend une décision fondée exclusivement sur un traitement automatisé, par exemple en utilisant l’intelligence artificielle, une entreprise doit aussi fournir certaines informations à la personne concernée.
Communication
La communication est la période pendant laquelle le renseignement personnel est communiqué, par exemple dans un système de prestation électronique de services, par courriel, au service à la clientèle ou par le biais de sites Web.
À cette étape, l’entreprise doit :
Conservation
La conservation est la période durant laquelle une entreprise garde des renseignements personnels, sous quelque forme que ce soit, et ce, peu importe que les renseignements soient activement utilisés ou non.
À cette étape, l’entreprise doit :
- Assurer la qualité des renseignements personnels en veillant à ce que les renseignements personnels qu’elle détient soient à jour et exacts au moment où elle les utilise pour prendre une décision relative à la personne concernée;
- Prendre des mesures de sécurité propres à assurer la sécurité des renseignements personnels.
Destruction
Le cycle de vie du renseignement personnel se termine lors de sa destruction.
À cette étape, l’entreprise doit :
- Détruire les renseignements personnels de manière sécuritaire dès que la finalité pour laquelle ils ont été collectés est accomplie.
Autres obligations : sécurité, accès et rectification
L'entreprise a également les obligations suivantes :
- Mettre en place des mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits. Ces mesures sont raisonnables compte tenu notamment de la sensibilité, de la finalité, de la quantité, de la répartition et du support des renseignements personnels;
- Permettre l’exercice des droits d’accès et de rectification et répondre avec diligence, dans les 30 jours, aux demandes d’accès aux renseignements personnels et de rectification soumises par les personnes concernées. L’absence de réponse dans ce délai équivaut à un refus. Un citoyen peut contester un refus ou une réponse jugée insatisfaisante en exerçant son droit de recours devant la Commission.