Lois et règlements Protection des renseignements personnels

Loi 25 : la politique de confidentialité

Il est important de noter que des dispositions entreront en vigueur dans la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, c. P-39.1) en raison des effets de la Loi modernisant les dispositions législatives en matière de protection des renseignements personnels (L.Q., 2021, c. 25, la Loi 25) à compter du 22 septembre 2023.

L’une d’elles impose l’obligation à une personne qui recueille des renseignements personnels par un moyen technologique de publier sur le site internet de l’entreprise une politique de confidentialité. Celle-ci doit être rédigée en termes simples et clairs ainsi que diffusée de manière à atteindre les personnes concernées. De même, un avis doit être publié et diffusé en cas de modification à cette politique[1].

Cette obligation peut, sans aucun doute, s’appliquer à un entrepreneur en construction. Imaginons le cas de figure suivant. Un entrepreneur offre ses services sur son site Web pour réaliser des travaux de construction sur un bâtiment. Il invite les personnes intéressées à lui communiquer en ligne leurs renseignements personnels (prénom, nom de famille, adresse civique, numéro de téléphone, code postal) afin de préparer et leur transmettre une soumission. Dans ce contexte, cet entrepreneur doit avoir une politique de confidentialité.

La Loi 25 ne définit pas précisément ce qu’est une politique de confidentialité et ne traite pas spécifiquement des éléments qui doivent en faire partie. Par contre, on peut la définir comme étant la présentation de pratiques et de mesures prises par une entreprise ou un organisme afin d’assurer la protection des renseignements personnels d’une personne[2]. L’objectif d’une telle politique vise à informer le public de la nature et du sérieux des engagements. De cette façon, une personne peut mieux apprécier la situation pour décider si elle consent ou non à communiquer ses renseignements personnels.

Une politique de confidentialité peut contenir, notamment, les éléments suivants[3]:

  • Le nom et les coordonnées de l’entreprise qui collecte des renseignements personnels.
  • Une brève description des activités de l’entreprise.
  • La nature des renseignements personnels collectés.
  • Les fins auxquelles ces renseignements sont recueillis.
  • Les moyens technologiques (ex. : formulaires, questionnaires, plateformes, applications Web et courriels) par lesquels les renseignements sont collectés.
  • Les droits d’accès et de rectification prévus par la loi.
  • Le droit pour la personne concernée de retirer son consentement à la communication ou à l’utilisation des renseignements recueillis.
  • Le cas échéant, le nom du tiers pour qui la collecte est faite, du nom des tiers ou des catégories de personnes à qui il est nécessaire de communiquer les renseignements et la possibilité que ceux-ci soient communiqués à l’extérieur du Québec.
  • La durée de conservation des renseignements collectés.
  • Les mesures de sécurité prises pour assurer la protection des renseignements.
  • Les coordonnées du responsable de la protection des renseignements personnels en lien avec toute question relative à la politique de confidentialité et toute demande reliée à l’exercice des droits d’une personne concernée.
  • La date d’entrée en vigueur de la politique et, s’il y a lieu, celle de sa plus récente mise à jour.

Enfin, la politique doit être rédigée de manière à faciliter sa compréhension, c’est-à-dire, être à la portée de tous. De plus, celle-ci doit être accessible et repérable sur le site internet de l’entreprise.  


Pour en connaître davantage au sujet de la protection des renseignements personnels, vous pouvez consulter les articles suivants :

Dois-je procéder à une évaluation des facteurs relatifs à la vie privée?

La protection des renseignements personnels : êtes-vous prêt à faire face à vos obligations?

Quels sont les types de renseignements prévus par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels?

Serez-vous prêt à exercer la fonction de responsable de la protection des renseignements personnels?

Quels sont les critères à respecter avant de collecter un renseignement personnel?

Quelles sont vos obligations lorsqu’un incident de confidentialité présente un risque de préjudice sérieux?

Registre des incidents de confidentialité : quels renseignements doit-il contenir?

Dois-je adopter des politiques et des pratiques en matière de protection des renseignements personnels?

Loi 25 : obligation d’information en matière de renseignements personnels

Loi 25 : consentement et exceptions

Quelles sont les conditions pour communiquer un renseignement personnel sans le consentement de la personne concernée dans le cadre d’un mandat ou contrat?

[1] Art. 8.2 de la Loi 25.

[2] Voir : Politique de confidentialité lors d’une collecte de renseignements personnels par un moyen technologique | Gouvernement du Québec (quebec.ca).

[3] Nous référons le lecteur à la note 2 pour avoir une idée des éléments qui doivent faire partie d’une politique de confidentialité ainsi qu’à l’article 8 de la Loi 25.

À propos de l'auteur

Me Martin Villa et Me Marc-André Beaulieu

Laissez un commentaire

Restez informé!

Recevez chaque mois, par courriel, les nouveautés du blogue et les dernières actualités de l’industrie.