Lois et règlements Protection des renseignements personnels

Loi 25 : consentement et exceptions

21 mars 2023
Ajouter un commentaire
par Me Martin Villa et Me Marc-André Beaulieu
Me Martin Villa et Me Marc-André Beaulieu
Écrit par Me Martin Villa et Me Marc-André Beaulieu

À compter du 22 septembre 2023, des règles traitant du consentement entreront en vigueur dans la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, c. P-39.1) considérant les effets de la Loi modernisant les dispositions législatives en matière de protection des renseignements personnels (L.Q., 2021, c. 25, appelée la Loi 25).

Le consentement à la collecte, à l’utilisation ou à la communication d’un renseignement personnel (ex. : prénom, nom, adresse civique) doit être manifeste, libre, éclairé et donné à des fins spécifiques[1]. Autrement dit, le consentement doit être évident, fourni sans contrainte, en toute connaissance de cause et être précis[2]. Il est demandé à chacune de ces fins, en termes simples et clairs. Pour pouvoir donner son accord, la personne concernée doit être bien informée.

Lorsque la demande de consentement est faite par écrit, celle-ci doit être présentée distinctement de toute autre information communiquée à la personne concernée. Cette dernière peut requérir qu’on lui prête assistance afin de l’aider à comprendre la portée du consentement demandé. Le consentement ne vaut que pour la durée nécessaire à la réalisation des fins auxquelles il a été demandé.

Dans le cas d’un renseignement sensible (ex. : une maladie telle la dépression, la prise d’empreintes digitales, la grossesse, l’orientation sexuelle), le consentement doit être manifesté de façon expresse[3].

La Loi 25 prévoit des cas où un renseignement personnel peut être utilisé sans le consentement de la personne concernée :

  • Lorsque son utilisation est à des fins compatibles avec celles pour lesquelles il a été recueilli (ex. : des renseignements personnels d’une personne sont collectés pour les fins d’un contrat relatif à la rénovation d’un immeuble. Ces renseignements sont ensuite utilisés pour permettre à des salariés de se présenter sur le chantier afin d’exécuter des travaux).
  • Lorsque son utilisation est manifestement au bénéfice de la personne concernée (ex. : une institution financière utilise les renseignements personnels d’une personne pour la protéger contre des agissements de fraude à son égard).
  • Lorsque son utilisation est nécessaire à des fins de prévention et de détection de fraude ou d’évaluation et d’amélioration des mesures de protection et de sécurité (ex. : le département informatique d’une entreprise améliore les règles de sécurité pour protéger celle-ci et ses employé.e.s contre une cyberattaque).
  • Lorsque son utilisation est nécessaire à des fins de fourniture ou de livraison d’un produit ou de prestation d’un service demandé par la personne concernée (ex. : une personne (cliente) communique avec un fournisseur afin de se faire livrer des matériaux de construction à son domicile. Le fournisseur n’a pas à obtenir le consentement de cette personne pour lui livrer les matériaux).  
  • Lorsque son utilisation est nécessaire à des fins d’étude, de recherche, ou de production de statistiques et qu’il est dépersonnalisé. Signalons qu’un renseignement dépersonnalisé est un renseignement qui ne permet plus d’identifier directement la personne concernée

Si vous avez des questions concernant la protection des renseignements personnels, nous vous invitons à communiquer avec les Services juridiques de l’APCHQ aux numéros suivants : 438 315-6888 ou 1 800 468-8160.

Pour en connaître davantage au sujet de la protection des renseignements personnels, vous pouvez consulter les articles suivants :

Dois-je procéder à une évaluation des facteurs relatifs à la vie privée?

La protection des renseignements personnels : êtes-vous prêt à faire face à vos obligations?

Quels sont les types de renseignements prévus par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels?

Serez-vous prêt à exercer la fonction de responsable de la protection des renseignements personnels?

Quels sont les critères à respecter avant de collecter un renseignement personnel?

Quelles sont vos obligations lorsqu’un incident de confidentialité présente un risque de préjudice sérieux?

Registre des incidents de confidentialité : quels renseignements doit-il contenir?

Dois-je adopter des politiques et des pratiques en matière de protection des renseignements personnels?

Loi 25 : obligation d’information en matière de renseignements personnels

Quelles sont les conditions pour communiquer un renseignement personnel sans le consentement de la personne concernée dans le cadre d’un mandat ou contrat?

Loi 25 : la politique de confidentialité

[1] Article 14 de la Loi 25.

[2] Le consentement à la communication des renseignements personnels | Commission d’accès à l’information du Québec (gouv.qc.ca).

[3] Articles 12 et 13 de la Loi 25.

Articles suggérés

À propos de l'auteur

Me Martin Villa et Me Marc-André Beaulieu

Me Martin Villa et Me Marc-André Beaulieu

Voir tous les articles de l'auteur

Laissez un commentaire

Restez informé!

Recevez chaque mois, par courriel, les nouveautés du blogue et les dernières actualités de l’industrie.