Aller au contenu

Ministères et organismes publics

Collecte de renseignements personnels

Démarche d'analyse et d'information à réaliser avant toute collecte

En tant que première étape du cycle de vie du renseignement personnel, la collecte est le moment pendant lequel le renseignement personnel est : 

  • Recueilli (sondage, outils analytiques Web, etc.);

  • Créé (p. ex. un numéro de permis de conduire);

  • Inféré, c’est-à-dire déduit à partir d’autres renseignements (p. ex. un score de risque).

Le fait de voir un renseignement personnel, comme ceux contenus sur une pièce d’identité, constitue une collecte, même s’il n’y a pas de conservation par la suite.

Vos obligations en matière de collecte s'appliquent même si celle-ci est confiée à un tiers, comme un mandataire ou un prestataire de services.

Déterminer les objectifs de la collecte et la limiter aux renseignements nécessaires

Une fois les objectifs de la collecte déterminés, votre organisme doit recueillir seulement les renseignements personnels qui sont nécessaires.

Déterminer les objectifs de la collecte

Pourquoi souhaitez-vous collecter des renseignements personnels?

Au préalable, la détermination des objectifs d'une collecte de renseignements personnels est primordiale pour éventuellement assurer leur bonne gestion. Une fois déterminés, ces objectifs doivent être liés aux attributions de votre organisme ou à la mise en oeuvre d'un programme qu'il administre.

Vos objectifs doivent découler d'un intérêt sérieux, légitime et précis. Il s'agit d'éléments fondateurs pour évaluer ensuite la nécessité de collecter des renseignements personnels. 

     

Recueillir seulement les renseignements nécessaires

La collecte de renseignements personnels représente une atteinte au droit fondamental à la vie privée des citoyens. Vous devez donc recueillir uniquement les renseignements nécessaires à l'atteinte de vos objectifs.

La nécessité : un critère fondamental

L'évaluation de la nécessité de collecter des renseignements personnels doit prédominer en toute circonstance. Elle permet de minimiser l’atteinte à la vie privée des personnes concernées. Elle est réalisée avant la collecte des renseignements personnels par les organismes publics.

L'évaluation de la nécessité de collecter des renseignements prévaut en toute circonstance, et il faut savoir que l'obtention du consentement n'est pas pertinent à ce stade de l'analyse. 

Une fois recueillis, les renseignements doivent être protégés : en limitant les renseignements personnels lors de la collecte, les risques de communication, de divulgation et d’utilisation interdites sont ainsi minimisés.

Évaluation de la nécessité : des conditions à respecter

La nécessité va au-delà de la simple utilité. Pour un organisme public, elle s’évalue par rapport à la finalité de la collecte et à sa proportionnalité. Ainsi, une collecte sera nécessaire si ces conditions sont toutes réunies :

  • L’objectif poursuivi est légitime, important et réel;

  • L’atteinte à la vie privée est proportionnelle à cet objectif, ce qui signifie plus précisément que :
    • La collecte des renseignements est rationnellement liée aux objectifs.
    • L’atteinte au droit à la vie privée est minimisée. Autrement dit, il n’existe pas d’autres moyens d’atteindre les mêmes objectifs d’une façon qui porterait moins atteinte à la vie privée.
    • La collecte, l’utilisation ou la communication du renseignement est nettement plus utile à l’organisme que préjudiciable à la personne concernée.

Si la nécessité n’est pas établie, le droit à la vie privée des personnes doit primer. La collecte ne peut donc pas être effectuée. 

L’analyse de la nécessité d’une collecte est au cœur de plusieurs dossiers examinés par la Commission. Pour en savoir plus, consultez les décisions rendues par sa section de surveillance.

Fardeau de la preuve : qui doit démontrer que le renseignement est nécessaire?

C’est à l’organisme public de démontrer à la personne concernée que le renseignement personnel demandé est nécessaire.

Les citoyens qui jugent qu’un organisme demande des renseignements qui ne sont pas nécessaires peuvent déposer une plainte à la Commission.

Précisions sur la collecte d'identifiants

Les identifiants peuvent servir à s’assurer qu’une personne est bien celle qu’elle prétend être. Cette vérification a pour seul objectif de confirmer l’identité ou la qualité d’une personne. Habituellement, elle ne doit pas conduire à la collecte des renseignements inscrits sur ces documents.

Ils peuvent aussi consulter la fiche sur les pièces d'identité (PDF, 216 Ko).

Informer les personnes concernées

Après la détermination de ses objectifs d'utilisation des renseignements personnels et l'évaluation de la nécessité de les collecter, votre organisme doit être transparent avec les personnes concernées. Vous devez les informer en leur permettant de comprendre précisément ce que vous ferez avec leurs renseignements personnels. 

Informations à fournir lors d'une collecte auprès de la personne concernée

Votre organisme doit faire preuve de transparence à l’égard des personnes auprès de qui sont recueillis des renseignements personnels. La mise en œuvre du principe de transparence est essentielle à la protection de leur vie privée. Pour leur permettre  d'exercer un contrôle sur celle-ci, vous devez leur fournir une information claire et simple concernant l'utilisation et la circulation de leurs renseignements personnels. Bien informés, les citoyens pourront ainsi faire valoir leurs droits en toute connaissance de cause.

La Loi sur l'accès prévoit des informations à fournir par défaut lors de la collecte, et sur demande par la suite, lorsque vous recueillez des renseignements personnels auprès de la personne concernée :

  • Le nom de l'organisme au nom duquel la collecte est faite;

  • Les objectifs pour lesquels les renseignements sont recueillis;

  • Les moyens par lesquels les renseignements sont recueillis (formulaire, captation vidéo, etc.);

  • Le caractère obligatoire ou facultatif de la demande. Une demande est obligatoire lorsqu'elle est directement liée à une attribution de l’organisme et qu’il ne pourrait offrir le service sans recueillir le renseignement personnel;

  • Les conséquences pour la personne concernée (ou pour le tiers) d’un refus de répondre à la demande ou, le cas échéant, d’un retrait de son consentement à la communication ou à l’utilisation des renseignements recueillis suivant une demande facultative;

  • Les droits d’accès et de rectification prévus par la Loi;

  • Le droit de retirer son consentement à la communication ou à l’utilisation des renseignements recueillis.


Cette obligation est la même pour les informations suivantes, si elles s'appliquent dans la situation en question :

  • Le nom du tiers qui recueille les renseignements au nom de votre organisme;
    • Si, par exemple, vous avez mandaté une firme pour effectuer un sondage pour votre organisme, elle doit s’identifier au moment de la collecte;

  • Le nom du tiers ou des catégories de tiers à qui il est nécessaire de communiquer les renseignements pour atteindre les objectifs justifiant la collecte;
    • Si, par exemple, une entreprise vous assiste dans l’évaluation d’un programme et qu’elle doit recevoir certains renseignements, vous devez la nommer. Si le contrat n’est pas encore signé, vous pouvez indiquer une catégorie plus générale;

  • La possibilité que les renseignements soient communiqués à l’extérieur du Québec;
    • Si, par exemple, vous stockez les renseignements chez un fournisseur infonuagique dans une autre province, vous devez le mentionner;

  • La mention du recours à une technologie comprenant des fonctions d'identification, de localisation ou de profilage et des moyens offerts pour activer ces fonctions.

Informations à fournir lors d'une collecte auprès d'un tiers

Si vous recueillez les renseignements personnels auprès d’un tiers, et non directement auprès de la personne concernée, vous devez seulement donner les informations suivantes à ce tiers :

  • Le nom de l'organisme au nom duquel la collecte est faite;

  • Les conséquences d’un refus de répondre à la demande pour le tiers ou, le cas échéant, d’un retrait de son consentement à la communication ou à l’utilisation des renseignements recueillis suivant une demande facultative;

  • Les droits d’accès et de rectification prévus par la Loi.

Informations à fournir sur demande lors d'une collecte auprès de la personne concernée

Vous devez aussi fournir à la personne concernée qui le demande les informations suivantes :

  • Les renseignements personnels qui sont recueillis auprès d’elle;

  • Les catégories de personnes qui ont accès à ces renseignements au sein de l’organisme;

  • La durée de conservation des renseignements personnels;

  • Les coordonnées du responsable de la protection des renseignements personnels.

L'avis de la Commission sur la transparence

La Commission vous invite à faire preuve de la plus grande transparence possible lorsque vous recueillez des renseignements personnels, que la collecte se fasse directement auprès des personnes concernées ou auprès d’un tiers. Même si les personnes concernées n’en font pas la demande, vous pouvez leur communiquer les informations facultatives pertinentes selon la situation.

Peu importe le moyen ou l’outil technologique utilisé pour la collecte, vous gagnez à être proactif en matière de communication avec les citoyens. L’information que vous fournissez doit être claire, compréhensible, accessible et adaptée au support de communication.

Respecter les obligations liées à la collecte par des moyens technologiques

La plupart des organismes publics recueillent des renseignements à l'aide de moyens technologiques : applications diverses, site Web, courriel, etc. Dans ce cas, la Loi prévoit des obligations supplémentaires.

Politique de confidentialité de l'organisme

La publication d’une politique de confidentialité est obligatoire si vous recueillez des renseignements personnels à l’aide d’une technologie. Cette politique doit être publiée sur votre site Web ou diffusée par tout autre moyen permettant aux personnes concernées d’en prendre connaissance. Elle leur permet d’être informées des renseignements que vous recueillez sur elles. Par exemple, lorsque vous recueillez des renseignements personnels au moyen de votre site Web ou d’une application mobile, les personnes concernées doivent avoir accès à votre politique de confidentialité.

Cette politique doit respecter le Règlement sur les politiques de confidentialité des organismes publics recueilllant des renseignements personnels par un moyen technologique (PDF, 293 Ko).

Qu’est-ce qu’une politique de confidentialité?

Une politique de confidentialité est une politique dans laquelle on explique les pratiques d’un organisme public pour protéger les renseignements personnels recueillis au moyen de cette technologie. Son objectif est d’informer les personnes concernées des renseignements qui sont ainsi recueillis et de la façon dont votre organisation les utilisera, les conservera et les protégera.

Que doit contenir une politique de confidentialité?

Une politique de confidentialité doit être adaptée au contexte dans lequel elle s’inscrit. Dans le cas d'un organisme public, son contenu minimal est prévu dans un règlement du gouvernement (PDF, 293 Ko). Notez que ce contenu correspond en bonne partie aux informations que l'organisme doit fournir aux personnes concernées lors d'une collecte auprès d'elles.

Dans tous les cas, la politique doit donc inclure au moins les informations suivantes :

  • Le nom de l'organisme public qui recueille les renseignements personnels et, dans le cas où ils sont recueillis par un tiers, le nom de ce tiers;

  • Une description des renseignements recueillis;

  • Les fins auxquelles les renseignements sont recueillis;

  • Les catégories de personnes qui, au sein de l'organisme, ont accès aux renseignements;

  • Les moyens par lesquels les renseignements sont recueillis;

  • Si applicable, une description des mesures qui peuvent être prises pour refuser la collecte des renseignements personnels et les conséquences possibles de ce refus;

  • Si applicable, une mention relative aux moyens technologiques disponibles pour que la personne concernée par les renseignements puisse les consulter ou les rectifier;

  • Une mention des droits d’accès et de rectification prévus par la Loi;

  • Le nom du responsable de la protection des renseignements personnels de l’organisme et les coordonnées permettant de communiquer avec lui;
  • Si applicable, le nom des tiers ou des catégories de tiers à qui il est nécessaire de communiquer des renseignements pour atteindre les fins poursuivies, en précisant ces renseignements ou les catégories de renseignements et ces fins;

  • Si applicable, une mention quant à la possibilité que les renseignements personnels soient communiqués à l’extérieur du Québec;

  • Une brève description des mesures prises pour assurer la confidentialité et la sécurité des renseignements personnels;

  • Une mention du droit de la personne concernée par les renseignements personnels de se prévaloir du processus de traitement des plaintes relatives à la protection des renseignements personnels prévu dans les règles de gouvernance de l’organisme public à l’égard des renseignements personnels;

  • Les coordonnées de la personne, de l’organisme concerné ou d’une unité administrative de ce dernier à qui toute question relative à la politique de confidentialité peut être soumise;

  • La date de son entrée en vigueur et la date de sa plus récente mise à jour, s'il y a lieu.


La politique de confidentialité doit permettre aux personnes concernées de comprendre l’utilisation et la circulation de leurs renseignements. Elles doivent pouvoir comprendre vos pratiques liées à cette collecte réalisée à l’aide d’un moyen technologique. Par conséquent, cette politique doit être rédigée en termes simples et clairs.

Une politique de confidentialité peut-elle être modifiée?

L'organisme public peut modifier sa politique de confidentialité, au besoin. Pour ce faire, il doit publier un avis de modification qui indique :

  • La date de sa publication;

  • L'objet général des modifications apportées, qui doivent être précisées dans une section dédiée à la politique sur le site Web de l'organisme;

  • La date d'entrée en vigueur des modifications.


Cet avis doit normalement être publié au moins 15 jours avant l'entrée en vigueur des modifications. Un organisme peut toutefois déterminer qu'un délai plus court est nécessaire. Dans ce cas, il doit aussi préciser dans l'avis :

  • Les motifs pour lesquels la politique doit être modifiée en moins de 15 jours.

Quelles sont les obligations liées à la conception et à la diffusion de la politique de confidentialité?

Tant pour la politique de confidentialité que pour des modifications significatives, un organisme public doit consulter son comité sur l'accès à l'information et la protection des renseignements personnels

Afin de faire connaître sa politique de confidentialité, l'organisme doit :

  • La publier dans une section dédiée à cette politique sur son site Web, accompagnée de tout avis de modification;

  • Publier la version antérieure de la politique et l'avis de modification correspondant dans cette section;
    • L'organisme doit s'assurer que cette version antérieure ne soit pas confondue avec la version en vigueur;

  • Porter la politique et tout avis de modification à l'attention des personnes concernées lors de la collecte de renseignements par un moyen technologique.

Paramètres de confidentialité

Les organismes publics qui recueillent des renseignements personnels en offrant des produits ou des services technologiques disposant de paramètres de confidentialité doivent :

  • S’assurer que les paramètres de confidentialité par défaut assurent le plus haut niveau de confidentialité, et ce, sans aucune intervention de la personne concernée.


Les paramètres de confidentialité d’un témoin de connexion ne sont pas visés par cette exigence.

Technologies d'identification, de localisation et de profilage

Vous devrez fournir des informations supplémentaires aux personnes concernées si vous collectez leurs renseignements en utilisant une technologie comprenant des fonctions permettant :

  • D’identifier ces personnes;

  • De les localiser;

  • D’effectuer un profilage à leur sujet. La Loi définit le profilage comme « la collecte et l’utilisation de renseignements personnels afin d’évaluer certaines caractéristiques d’une personne physique, notamment à des fins d’analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de la personne ».


Quand vous avez recours à ces technologies, vous devrez informer les personnes, dès le départ :

  • De votre utilisation d'une telle technologie;

  • Des moyens offerts pour activer les fonctions d’identification, de localisation ou de profilage.

Par conséquent, vous ne pouvez pas activer ces fonctions par défaut. La personne concernée doit pouvoir le faire elle-même, volontairement.

Biométrie

La biométrie constitue une famille de technologies particulières permettant d'identifier les personnes à partir de caractéristiques physiques, comportementales ou biologiques. Elle est encadrée de manière particulière dans la Loi. Pour en savoir plus, consultez la section sur la biométrie.

Décisions automatisées

Si vous recueillez des renseignements personnels dans le but de rendre des décisions entièrement automatisées, vous avez l'obligation de fournir des informations supplémentaires aux personnes concernées et de leur permettre d'exiger une intervention humaine. Pour plus d'informations sur les droits des citoyens, notamment en matière de décisions automatisées, consultez la section sur les droits des citoyens.

Votre avis nous intéresse

Avez-vous trouvé les informations que vous cherchiez ?
Les informations sur cette page sont-elles claires, faciles à comprendre ?

Évitez d’inscrire des renseignements personnels. Notez que vous ne recevrez pas de réponse.

500 characters left