Lois et règlements Protection des renseignements personnels

Quels sont les types de renseignements prévus par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels?

1 septembre 2022
Ajouter un commentaire
par Me Niki Galanopoulos
Me Niki Galanopoulos
Écrit par Me Niki Galanopoulos

Pour mieux comprendre la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (ci-après « Loi 25 »), il est pertinent de distinguer les types de renseignements auxquels elle fait référence. 

D’abord, la Loi 25 s’applique aux entreprises et organismes publics en lien avec des enjeux reliés aux renseignements personnels d’une personne. Leur collecte, détention, utilisation, conservation, anonymisation, destruction ainsi que leur communication à un tiers doivent être effectuées en conformité avec la loi.

Un renseignement personnel est défini comme tout renseignement qui concerne une personne physique et qui permet directement ou indirectement de l’identifier. Par exemple, son prénom, son nom de famille, son adresse résidentielle, son adresse courriel, sa date de naissance, son code postal, son âge, son numéro de téléphone, son numéro d’assurance sociale, son numéro de permis de conduire ou son numéro de compte bancaire.

Le renseignement anonymisé, quant à lui,est un renseignement concernant une personne physique qui ne permet plus, de façon irréversible, d’identifier directement ou indirectement une personne. Autrement dit, le fait de retirer ou de supprimer définitivement des renseignements pouvant être qualifiés de directs (ex. : nom de famille, prénom, numéro d’assurance sociale, adresse courriel personnelle) ainsi que ceux pouvant être qualifiés d’indirects (ex. : numéro de téléphone, adresse, code postal) a comme conséquence qu’il ne serait plus possible d’identifier directement ou indirectement une personne. À titre d’exemple, dans un contrat conclu avec une personne physique, il s’agirait de supprimer les renseignements directs et indirects permettant de l’identifier, tout en conservant des renseignements tels que la nature des travaux à réaliser, le prix convenu et la description des matériaux. Selon la Loi, lorsque les fins pour lesquelles un renseignement personnel a été recueilli ou utilisé sont accomplies, la personne qui exploite une entreprise doit le détruire ou l’anonymiser.

Le renseignement dépersonnalisé est un renseignement personnel qui ne permet plus d’identifier directement la personne concernée. Il s’agirait par exemple de supprimer les identifiants qualifiés de directs (nom de famille, prénom, numéro d’assurance sociale). Par contre, le cumul de renseignements personnels qualifiés d’indirects (numéro de téléphone, adresse, code postal) peut permettre d’identifier une personne.

Le renseignement personnel sensible n’est quant à lui pas défini expressément par la Loi 25. Toutefois, la loi donne des indices permettant d’apprécier le concept de renseignement personnel sensible. Il peut s’agir d’un renseignement, qui de par sa nature médicale, biométrique, ou autrement intime, ou en raison de son contexte, de son utilisation ou de sa communication, suscite un haut degré d’attente raisonnable de vie privée. À titre d’exemple, la condition médicale d’une personne telle la dépression, sa voix ou encore ses empreintes digitales. Selon les circonstances et le contexte, les tribunaux auront à déterminer si un renseignement personnel est sensible. De plus, il est pertinent de souligner que le consentement doit être manifesté de façon expresse par la personne concernée lors de la collecte de ce type de renseignement et de sa communication à un tiers.

La conclusion

La distinction entre ces renseignements est essentielle et nécessaire puisqu’elle permet de déterminer l’utilisation qui est permise pour chacun des renseignements prévus par la Loi. Il est donc important d’être en mesure de les distinguer et de savoir dans quel contexte ceux-ci peuvent être utilisés.

Si vous avez des questions concernant la protection des renseignements personnels, nous vous invitons à communiquer avec les Services juridiques de l’APCHQ aux numéros suivants : 438 315-6888 ou 1 800 468-8160. 

Pour en connaître davantage au sujet de la protection des renseignements personnels, vous pouvez consulter les articles suivants :

La protection des renseignements personnels : êtes-vous prêt à faire face à vos obligations?

Serez-vous prêt à exercer la fonction de responsable de la protection des renseignements personnels?

Quels sont les critères à respecter avant de collecter un renseignement personnel?

Quelles sont vos obligations lorsqu’un incident de confidentialité présente un risque de préjudice sérieux?

Registre des incidents de confidentialité : quels renseignements doit-il contenir?

Dois-je adopter des politiques et des pratiques en matière de protection des renseignements personnels?

Dois-je procéder à une évaluation des facteurs relatifs à la vie privée?

Loi 25 : obligation d’information en matière de renseignements personnels

Loi 25 : consentement et exceptions

Articles suggérés

À propos de l'auteur

Me Niki Galanopoulos

Me Niki Galanopoulos

Voir tous les articles de l'auteur

Laissez un commentaire

Restez informé!

Recevez chaque mois, par courriel, les nouveautés du blogue et les dernières actualités de l’industrie.