Tout comme une personne ne peut s’approprier unilatéralement le minerai du sol ou les arbres d’une forêt, la collecte et l’utilisation de renseignements personnels font l’objet d’un encadrement juridique contraignant et restreignant.
La plupart des entreprises, dans le cadre de leurs opérations, collectent, conservent et utilisent des renseignements personnels de leurs clients. Constitue généralement un renseignement personnel, tout renseignement qui, à la fois concerne une personne physique et permet de l’identifier (aux fins du présent texte, les « Données sensibles »). En contrepartie, un renseignement personnel concernant une personne physique qui ne permet pas de l’identifier, ne constituerait pas en soi une Donnée sensible. Ainsi, par exemple, demander à une personne d’indiquer son code postal pour permettre de mieux connaître la provenance géographique de sa clientèle ne constituerait pas en elle-même la collecte de Données sensibles. Cependant, effectuer la même demande, en y ajoutant, par exemple, le nom de la personne et son numéro de téléphone constituerait alors la collecte de Données sensibles.
Afin d’éviter tout faux pas en matière de collecte, d’utilisation, de communication et de conservation de Données sensibles, les entreprises sont encouragées à suivre les règles suivantes :
1) Respecter les principes généraux de l’article 37 du Code civil du Québec et la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ P-39.1, à savoir :
- Avoir un intérêt sérieux et légitime de collecter les Données sensibles;
- Ne collecter que les Données sensibles nécessaires;
- Obtenir le consentement lorsque nécessaire; et
- Ne pas porter atteinte à la vie privée ou à la réputation.
2) Mettre en place une politique de confidentialité et la respecter.
3) Indiquer clairement la raison pour laquelle les Données sensibles sont collectées, à savoir, préciser l’intérêt sérieux et légitime de le faire.
4) Limiter l’accès aux Données sensibles aux seules personnes qui ont besoin d’y avoir accès dans le cadre de leurs fonctions dans l’entreprise.
5) Informer et sensibiliser les personnes qui ont accès aux Données sensibles : i) à leurs obligations; ii) aux conséquences collectives advenant le non-respect de leurs obligations; et iii) aux sanctions individuelles auxquelles elles s’exposent.
6) Advenant que pour une raison ou une autre, une partie ou la totalité des Données sensibles soit hébergée dans une juridiction autre que la province de Québec, s’assurer que cette juridiction possède des règles concernant la protection des Données sensibles similaires à celles en place dans la province de Québec.
7) Ne pas communiquer les Données sensibles à un tiers sans avoir obtenu le consentement écrit préalable de la personne visée et, dans ces cas, indiquer à cette dernière qui sera le tiers qui recevra les Données sensibles et quelle utilisation il en fera.
8) Lorsqu’il n’y a plus d’intérêt sérieux et légitime à conserver les Données sensibles ou que celles-ci ne sont plus pertinentes à l’objet pour lequel elles ont été collectées, procéder à destruction de celles-ci.
9) Mettre en place un plan d’action advenant la perte ou le vol des Données sensibles. À cet égard, des protections d’assurance peuvent être envisagées.
|
|
Il est à noter que certains secteurs d’activités, comme le domaine de l’assurance, ont des règles qui leurs sont propres en matière de collecte, conservation et utilisation des Données sensibles.
Pour des questions en matière de gestion des données sensibles, adressez-vous aux membres de notre équipe ici ou encore à l’auteur du présent billet :
Me Jacques Cossette-Lesage, Associé
jacques.cossette-lesage@steinmonast.ca
418 640-4406