Cours 5 : La protection des renseignements personnels (PRP) Flashcards
1
Q
Le droit à la vie privée est-il absolu ?
A
Non, il n’est pas absolu et est balisé par des limites.
2
Q
Quels droits doivent être équilibrés avec le droit à la vie privée ?
A
- Droit du public à l’information * Autres droits fondamentaux
3
Q
Dans quelles circonstances la violation du droit à la vie privée peut-elle être considérée comme licite ?
A
- Justification raisonnable * Fin légitime * Consentement de la personne
4
Q
Quel est le champ d’application de la LPRPDE (PIPEDA) ?
A
La LPRPDE s’applique aux organisations du secteur privé qui recueillent, utilisent ou communiquent des renseignements personnels dans le cadre d’activités commerciales au Canada. Elle s’applique également aux renseignements personnels transfrontaliers.
5
Q
Quelles sont les trois principales lois québécoises qui encadrent la protection des renseignements personnels ?
A
- Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (LPRP) (Loi secteur public)
- Loi sur la protection des renseignements personnels dans le secteur privé (Loi secteur privé)
- Loi concernant le cadre juridique des technologies de l’information (LCCJTI)
6
Q
Quelles sont les deux principales lois fédérales qui encadrent la protection des renseignements personnels au Canada ?
A
- Loi sur la protection des renseignements personnels (LPRP) et
- Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), aussi connue sous le nom de PIPEDA.
7
Q
Quels sont les principaux facteurs qui déterminent quelle loi sur la protection des renseignements personnels s’applique au Canada ?
A
- La nature de l’organisme (fédéral, provincial, territorial ou secteur privé).
- Si l’organisme exerce des activités commerciales.
- Si l’organisme est sous réglementation fédérale.
- Le lieu où se situe l’organisme.
- Le type de renseignements personnels traités.
- Si les renseignements traversent des frontières provinciales ou nationales.
8
Q
Pourquoi est-il important de savoir dans quelle province une organisation est établie pour déterminer la loi applicable en matière de protection des renseignements personnels ?
A
Parce que les lois sur la protection des renseignements personnels varient selon les provinces. Si une province a une loi jugée substantiellement similaire à la LPRPDE (PIPEDA), cette loi provinciale s’applique. Sinon, la LPRPDE s’applique.
9
Q
Quelles provinces canadiennes ont des lois sur la protection des renseignements personnels dans le secteur privé jugées substantiellement similaires à la LPRPDE ?
A
- Colombie-Britannique (C.-B.)
- Alberta
- Québec
10
Q
Quelle loi s’applique aux entreprises fédérales en matière de protection des renseignements personnels ?
A
La LPRPDE (PIPEDA) s’applique aux entreprises fédérales.
11
Q
Quelle loi s’applique si une province n’a pas de loi sur la protection des renseignements personnels dans le secteur privé jugée substantiellement similaire à la LPRPDE ?
A
La LPRPDE (PIPEDA) est la seule loi qui s’applique dans ce cas.
12
Q
Comment déterminer si une loi sur la protection des renseignements personnels est applicable à une organisation ?
A
-
Province d’établissement :
- Si l’organisation est établie dans une province avec une loi substantiellement similaire à la LPRPDE (PIPEDA), cette loi provinciale s’applique.
- Si la province n’a pas de loi similaire, la LPRPDE s’applique.
- Si l’organisation opère dans plusieurs provinces, elle peut être assujettie à plusieurs lois.
-
Définition de l’organisation :
- Vérifier si la définition d’une organisation dans la loi correspond à l’organisation en question.
-
Paragraphe d’application :
- Examiner le paragraphe relatif à l’application de la loi pour confirmer si elle s’applique en fonction des activités, du secteur ou du statut juridique de l’organisation.
13
Q
Quel est l’impact de la province d’établissement sur la loi applicable en matière de protection des renseignements personnels ?
A
L’organisation est soumise à la loi provinciale si elle est établie dans une province avec une loi substantiellement similaire à la LPRPDE. Sinon, la LPRPDE s’applique.
14
Q
Vrai ou Faux : Une organisation opérant dans plusieurs provinces est assujettie à une seule loi sur la protection des renseignements personnels.
A
Faux
15
Q
Quelles sont les conditions d’application de la Loi sur la protection des renseignements personnels dans le secteur privé au Québec ?
A
- Province : Québec.
- Loi applicable : Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c P-39.1.
- Organisation : Définie à l’article 1525, alinéa 3 du Code civil du Québec.
- Activité commerciale : Une activité économique organisée consistant dans la production ou la réalisation de biens, leur administration ou leur aliénation, ou dans la prestation de services.
16
Q
Qu’est-ce qu’un renseignement personnel selon la Loi sur la protection des renseignements personnels dans le secteur privé du Québec ?
A
Un renseignement personnel est tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l’identifier.
Source : Article 2 de la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c P-39.1. Modification : Entrée en vigueur le 22 septembre 2023 (1993, c. 17, a. 2).
17
Q
Complétez : Un renseignement personnel permet __________ de l’identifier.
A
directement ou indirectement
Cela signifie que même des informations qui ne sont pas directement liées à l’identité peuvent être considérées comme des renseignements personnels.
18
Q
Qu’est-ce qu’un renseignement personnel selon la LPRPDE (PIPEDA) au Canada ?
A
Un renseignement personnel est tout renseignement concernant un individu identifiable.
Source : Article 1 de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Terme anglais : Personal information.
19
Q
Quelle est la principale loi qui régit la protection des renseignements personnels au Canada ?
A
La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).
Cette loi a été adoptée pour protéger les renseignements personnels dans le secteur privé.
20
Q
Vrai ou faux : La LPRPDE s’applique uniquement aux organismes gouvernementaux.
A
Faux
La LPRPDE s’applique principalement au secteur privé.
21
Q
Quels sont les principes de la LPRPDE ?
A
- Responsabilité
- Identification des fins
- Consentement
- Limitation de la collecte
- Limitation de l’utilisation, de la divulgation et de la conservation
- Exactitude
- Mesures de sécurité
- Transparence
- Accès et correction
Ces principes guident la collecte et l’utilisation des renseignements personnels par les organisations.
22
Q
Quels types de renseignements sont considérés comme des renseignements personnels selon la LPRPDE ?
A
- Nom
- Adresse
- Numéro de téléphone
- Date de naissance
- Informations financières
Cela inclut toute information qui peut identifier un individu.
23
Q
Qu’est-ce qu’un rapport d’accès en vertu de la LPRPDE ?
A
Un rapport d’accès est une demande faite par un individu pour obtenir des renseignements personnels que détient une organisation.
Les individus ont le droit d’accéder à leurs renseignements personnels et de demander des corrections si nécessaire.
24
Q
Les coordonnées d’affaires d’une personne sont-elles toujours considérées comme des renseignements personnels ?
A
Les coordonnées d’affaires (nom, titre, fonction, adresse professionnelle, courriel professionnel, numéro de téléphone professionnel) ne sont pas toujours considérées comme des renseignements personnels lorsqu’elles concernent l’exercice d’une fonction au sein d’une entreprise.
Source : Loi sur la protection des renseignements personnels dans le secteur privé (Québec)
25
Le nom d'un employé agissant comme mandataire de l'entreprise est-il considéré comme un renseignement personnel ?
Le nom d'un employé agissant comme mandataire de l'entreprise n'est pas considéré comme un renseignement personnel (ex. : jurisprudence Lavoie c. Pinkerton du Québec Ltée, [1996] CAI 67).
## Footnote
Cette jurisprudence illustre la distinction entre le rôle professionnel et les renseignements personnels.
26
Un renseignement personnel qui est publiquement disponible est-il toujours considéré comme un renseignement personnel au sens de la LPRPDE (PIPEDA) et de la Loi secteur privé du Québec ?
Oui, un renseignement personnel reste un renseignement personnel même s'il est publiquement disponible.
## Footnote
LPRPDE (PIPEDA) : Tout renseignement concernant un individu identifiable (art. 1). Loi secteur privé (Québec) : Tout renseignement qui concerne directement ou indirectement une personne physique et permet de l’identifier (art. 2).
27
Quelle est la définition d'un renseignement personnel selon la LPRPDE (PIPEDA) ?
Tout renseignement concernant un individu identifiable (art. 1).
## Footnote
Cette définition souligne l'importance de la protection des informations identifiables, même si elles sont accessibles au public.
28
Vrai ou Faux : La disponibilité publique d'un renseignement personnel le retire de la protection des lois sur la vie privée.
Faux.
## Footnote
Les lois continuent de s'appliquer pour protéger ces informations, indépendamment de leur accessibilité.
29
Les renseignements relatifs à un employé ou à un employé potentiel sont-ils considérés comme des renseignements personnels ?
Oui, les renseignements relatifs à un employé ou à un employé potentiel sont généralement considérés comme des renseignements personnels.
## Footnote
Exemples incluent les dossiers d'employés, les tests de pré-embauche, les études de profil de carrière, et les notes évolutives.
30
Quels sont des exemples de renseignements personnels concernant un employé ?
* Dossier d’un employé
* Tests de pré-embauche et entrevues
* Étude de profil de carrière
* Notes évolutives
## Footnote
Ces exemples sont protégés par la loi.
31
Quels types d’informations en ligne sont considérés comme des renseignements personnels ?
* **Informations relatives à la navigation** : Sites visités, « J’aime », données Clickstream, cookies.
* Informations relatives aux courriels : Compte courriel, adresse courriel.
* **Adresses IP et connectivité internet** : Adresse IP, historique de connexion.
* **Appareils connectés** : Ordinateurs, téléphones, tablettes.
* **Noms d’usagers et comptes web** : Identifiants uniques, comptes Google, Facebook.
32
Quels sont des exemples de renseignements personnels sensibles?
Les renseignements personnels sensibles incluent des données telles que :
* Numéro de sécurité sociale
* Informations médicales
* Données biométriques
* Informations financières
* Opinions politiques ou religieuses
* Origine ethnique ou raciale
## Footnote
Les renseignements personnels sensibles sont souvent protégés par des lois sur la vie privée.
33
Complétez la phrase: Les renseignements personnels sensibles peuvent inclure des informations sur l'_______ d'une personne.
origine ethnique
## Footnote
L'origine ethnique est une catégorie de renseignements qui peut être utilisée pour des discriminations.
34
# Loi 25 pour les entreprises
Quels sont les **objectifs de la Loi 25** en matière de protection des renseignements personnels pour les entreprises ?
1. **Réhausser la protection des renseignements personnels** détenus par les entreprises.
2. **Augmenter la confiance des citoyens** envers les entreprises.
3. **Soutenir l’innovation** en tenant compte des nouvelles technologies.
## Footnote
Aucun.
35
# Loi 25 pour les entreprises
Quelles sont les principales obligations des entreprises en **septembre 2022** selon la Loi 25 ?
- **Désigner une personne responsable** de la protection des renseignements personnels.
- **Informer les personnes concernées** en cas d’incident de confidentialité pouvant causer un préjudice sérieux.
## Footnote
Aucun.
36
# Loi 25 pour les entreprises
Quelles sont les principales obligations des entreprises en **septembre 2023** selon la Loi 25 ?
- **Élaborer un cadre de gouvernance** en matière de protection des renseignements personnels.
- **Bonifier les informations transmises** aux citoyens lors de la collecte de leurs renseignements personnels.
- **Détruire ou rendre anonymes** les renseignements personnels dans certaines circonstances.
- **Évaluer les risques** en matière de vie privée lors de certaines utilisations et communications de renseignements personnels.
- **Obtenir le consentement** de la personne pour utiliser ses renseignements personnels à des fins de prospection commerciale.
## Footnote
Aucun.
37
# Loi 25 pour les entreprises
Quelle est la principale obligation des entreprises en **septembre 2024** selon la Loi 25 ?
- **Communiquer**, à la demande de la personne concernée, ses renseignements personnels qu’elle a fournis à une entreprise.
## Footnote
Aucun.
38
# Loi 25 pour les entreprises
Quelles sont les **sanctions** en cas de non-respect de la Loi 25 ?
- La **Commission d’accès à l’information** peut imposer des sanctions importantes :
- **2 % du chiffre d’affaires mondial** ou **10 millions de dollars**.
- La sanction est proportionnelle à la **gravité du manquement** et à la **capacité de payer de l’entreprise**.
## Footnote
Aucun.
39
# Loi 25 pour les entreprises
Comment la Loi 25 sera-t-elle mise en œuvre ?
- **Accompagnement** : La Commission d’accès à l’information diffusera des lignes directrices pour faciliter la compréhension des nouvelles obligations.
- **Entrée en vigueur progressive** :
- La majorité des dispositions seront applicables à partir de **septembre 2023**.
- La Loi entrera en vigueur de façon progressive jusqu’en **septembre 2024**.
## Footnote
Aucun.
40
# Collecte de renseignements personnels sur un tiers
Peut-on recueillir des renseignements personnels sur un tiers ?
**Oui**, mais sous certaines conditions** :
1. **Nécessité** :
- Seuls les **renseignements nécessaires à l’objet du dossier** peuvent être recueillis (art. 37 C.c.Q.).
2. **Moyens licites** :
- Les renseignements doivent être **recueillis par des moyens licites** (art. 5 QC, art. 4.3.3 CAN).
3. **Transparence** :
- Il faut **informer la personne** de l’utilisation qui sera faite des renseignements (art. 8 QC).
- **Conclusion** :
La collecte de renseignements personnels sur un tiers est permise, mais elle doit être **justifiée, légale et transparente**.
41
Qui est responsable de l'application de la Loi sur la protection des renseignements personnels dans le secteur privé ?
La Commission d’accès à l’information du Québec (CAI)
## Footnote
Article 41.1 et 54 de la Loi.
42
À qui s'applique la Loi sur la protection des renseignements personnels dans le secteur privé ?
À toute « entreprise » qui recueille, détient, utilise ou communique des renseignements personnels
## Footnote
Article 1 de la Loi.
43
Quels types d'organismes sont exclus du champ d'application de la Loi sur la protection des renseignements personnels dans le secteur privé ?
Les organismes publics provinciaux du Québec
## Footnote
Régis par la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels.
44
Quels types d'entités sont inclus dans les extensions de la Loi sur la protection des renseignements personnels ?
1. Ordre professionnel
2. Parti politique
3. Député indépendant
4. Candidat indépendant
## Footnote
Selon le Code des professions (chapitre C-26) et la Loi électorale (chapitre E-3.3).
45
Vrai ou Faux : La Loi sur la protection des renseignements personnels s'applique uniquement aux entreprises qui conservent des données personnellement identifiables.
Faux
## Footnote
La Loi s'applique également aux entreprises qui détiennent, utilisent ou communiquent des renseignements personnels.
46
Quel type de support peut contenir des renseignements personnels?
Quelle que soit la nature de son support et quelle que soit la forme sous laquelle ils sont accessibles (écrite, graphique, sonore, visuelle, informatisée ou autre).
## Footnote
Cela inclut différents formats d'information.
47
Les renseignements concernant une fonction au sein d'une entreprise sont-ils considérés comme des renseignements personnels?
Non, ne s’applique pas aux renseignements personnels qui concernent l’exercice par la personne concernée d’une fonction au sein d’une entreprise.
Nom, titre, fonction, adresse, adresse de courrier électronique et numéro de téléphone de son lieu de travail.
## Footnote
Cela inclut le nom, le titre, et la fonction au travail.
48
Quelle loi concerne la gestion des données personnelles dans le secteur privé?
Loi sur la protection des renseignements personnels dans le secteur privé, telle qu’amendée par la loi 25.
## Footnote
Cette loi vise à protéger les renseignements personnels des individus dans le cadre d'activités commerciales.
49
Qu'est-ce qu'un **renseignement personnel** selon la Loi sur la protection des renseignements personnels dans le secteur privé ?
## Footnote
Loi sur la protection des renseignements personnels dans le secteur privé, telle qu’amendée par la loi 25
1. **Définition** :
- Tout renseignement qui concerne une **personne physique** et qui permet, **directement ou indirectement**, de l’identifier (art. 2).
- Peu importe la **nature du support** (écrit, graphique, sonore, visuel, informatisé, etc.).
2. **Champ d'application** :
- **Inclus** :
- Les renseignements concernant les **employés** et les **candidats à un emploi**.
- **Exclus** :
- Les renseignements liés à l’exercice d’une **fonction professionnelle** (ex. : nom, titre, fonction, adresse professionnelle, courriel professionnel, numéro de téléphone professionnel).
50
Qu'est-ce qu'un **renseignement sensible** et quelles sont les obligations liées à leur protection ?
1. **Définition** :
- Un renseignement personnel est considéré comme **« sensible »** lorsqu’il suscite un **haut degré d’attente raisonnable en matière de vie privée** (ex. : renseignements médicaux, biométriques ou autrement intimes) (art. 12).
2. **Mesures de sécurité** :
- Les mesures de sécurité doivent être **raisonnables** compte tenu de la **sensibilité des renseignements** (art. 10).
3. **Consentement** :
- Le consentement à l’utilisation ou à la communication de renseignements sensibles doit être **manifesté de façon expresse** (art. 12 et 13).
4. **Prise en compte de la sensibilité** :
- La sensibilité des renseignements doit être prise en compte dans plusieurs situations, notamment :
- La collecte, l’utilisation et la communication des renseignements (art. 3.3, 3.7).
- La gestion des incidents de confidentialité (art. 17).
- Les évaluations des impacts sur la vie privée (art. 28.1).
- Les obligations de transparence (art. 90.2).
- Les sanctions en cas de non-respect (art. 92.3).
51
Quelle est la différence entre un **consentement exprès** et un **consentement implicite** ?
- **Consentement exprès** :
- La personne pose un **geste actif** ou fait une **déclaration claire** (ex. : cocher une case, répondre affirmativement, signer).
- Aussi appelé **opt-in** en anglais.
- Aucun doute sur la volonté de la personne.
- **Consentement implicite** :
- Le consentement est **déduit** d’une action, d’un silence ou d’une inactivité (ex. : case pré-cochée).
- La personne doit être **informée** que son action ou inaction sera interprétée comme un consentement.
- Aussi appelé **opt-out** en anglais.
52
Quels sont les **critères de validité** du consentement selon la Loi ?
Le consentement doit être :
1. **Manifeste** : Clair et explicite.
2. **Libre** : Donné sans contrainte.
3. **Éclairé** : La personne doit comprendre à quoi elle consent.
4. **Spécifique** : Donné pour des **fins précises** et **demandé pour chaque fin**.
53
Quelles sont les règles pour un **consentement écrit** ?
- La demande de consentement doit être **présentée distinctement** de toute autre information.
- Le consentement ne vaut que pour la **durée nécessaire** à la réalisation des fins pour lesquelles il a été demandé.
- Un consentement non conforme à la Loi est **sans effet**.
54
Quelle est la règle pour le consentement concernant les **renseignements sensibles** ?
- Le consentement à l’utilisation ou à la communication de renseignements sensibles doit être **exprès** (art. 12 et 13).
55
Peut-on **retirer** son consentement à l’utilisation ou à la communication de renseignements personnels ?
- **Oui**, le consentement peut être **retiré** à tout moment (art. 8(4)).
- En cas de **prospection commerciale ou philanthropique**, la personne doit être informée de son droit de retirer son consentement (art. 22).
56
Quels sont les points clés à retenir sur le **consentement** selon la Loi ?
- Le consentement doit être **manifeste, libre, éclairé et spécifique**.
- Pour les renseignements sensibles, il doit être **exprès**.
- Il peut être **retiré** à tout moment.
- En cas de prospection commerciale, la personne doit être informée de son droit de retrait.
57
Dans quels cas l'**utilisation** de renseignements personnels **ne nécessite pas de consentement** ?
1. **Utilisation compatible** : Lorsque l’utilisation est **compatible** avec les fins pour lesquelles les renseignements ont été recueillis.
2. **Bénéfice manifeste** : Lorsque l’utilisation est **manifestement au bénéfice** de la personne concernée.
3. **Prévention de la fraude** : Lorsque l’utilisation est nécessaire pour la **prévention et la détection de la fraude** ou pour l’**évaluation et l’amélioration des mesures de protection et de sécurité**.
4. **Fourniture de produits/services** : Lorsque l’utilisation est nécessaire pour la **fourniture ou la livraison d’un produit** ou la **prestation d’un service** demandé par la personne concernée.
5. **Études et recherches** : Lorsque l’utilisation est nécessaire pour des **études, recherches ou statistiques** et que les renseignements sont **dépersonnalisés**.
58
Dans quels cas la **communication** de renseignements personnels **ne nécessite pas de consentement** ?
1. **Transaction commerciale** : Lorsque les renseignements sont nécessaires pour la **conclusion d’une transaction commerciale** (art. 18.4).
2. **Études et recherches** : Lorsque la communication est faite à des fins d’**étude, de recherche ou de production de statistiques** (art. 21).
59
Quels sont les principaux cas où le **consentement** n'est **pas requis** pour l'utilisation ou la communication de renseignements personnels ?
- **Utilisation sans consentement** :
- Compatibilité avec les fins initiales.
- Bénéfice manifeste pour la personne.
- Prévention de la fraude ou amélioration de la sécurité.
- Fourniture de produits/services demandés.
- Études, recherches ou statistiques (renseignements dépersonnalisés).
- **Communication sans consentement** :
- Conclusion d’une transaction commerciale.
- Études, recherches ou statistiques.
60
Quand réaliser une EFVP ?
1. Communication sans consentement : Avant de communiquer des renseignements personnels sans consentement à des fins d’étude, de recherche ou de production de statistiques (art. 21).
2. Projets technologiques : Pour tout projet d’acquisition, de développement ou de refonte de systèmes d’information ou de prestation électronique de services impliquant des renseignements personnels (art. 3.3).
3. Communication hors Québec : Avant de communiquer un renseignement personnel à l’extérieur du Québec (art. 17).
## Footnote
Ces cas sont spécifiés dans la Loi sur la protection des renseignements personnels dans le secteur privé, telle qu'amendée par la Loi 25.
61
Quels sont les critères à prendre en compte lors d'une EFVP ?
L’EFVP doit être proportionnée à :
1. La sensibilité des renseignements concernés.
2. La finalité de leur utilisation.
3. La quantité des renseignements.
4. Leur répartition (qui y a accès).
5. Leur support (format numérique, papier, etc.).
## Footnote
Ces critères sont essentiels pour évaluer les risques associés à la gestion des renseignements personnels.
62
Existe-t-il un modèle pour réaliser une EFVP ?
Oui, la Commission d’accès à l’information (CAI) propose un modèle générique d’EFVP.
Lien vers le modèle : [Lien vers le modèle d'EFVP](https://www.cai.gouv.qc.ca/documents/CAI_Modele_EFVP.pdf).
## Footnote
Ce modèle aide à structurer l'évaluation et à garantir que tous les aspects sont pris en compte.
63
Quels sont les points clés à retenir sur l'EFVP ?
1. Obligatoire dans trois cas :
- Communication sans consentement pour études/recherches.
- Projets technologiques impliquant des renseignements personnels.
- Communication de renseignements hors Québec.
2. Critères : Sensibilité, finalité, quantité, répartition, support.
3. Modèle : La CAI propose un modèle générique pour faciliter la réalisation de l'EFVP.
## Footnote
Ces points résument les obligations et les lignes directrices pour une bonne pratique en matière de protection de la vie privée.
64
Qui est responsable de la protection des renseignements personnels (RP) dans une entreprise ?
- Toute personne qui exploite une entreprise est responsable de la protection des RP qu’elle détient (art. 3.1).
- La personne ayant la plus haute autorité doit veiller au respect et à la mise en œuvre de la Loi.
- Cette personne peut déléguer cette fonction, en tout ou en partie, à une autre personne par écrit.
## Footnote
La délégation de la responsabilité doit être spécifiée par écrit pour être valide.
65
Comment les coordonnées du responsable de la protection des RP doivent-elles être rendues accessibles ?
- Le titre et les coordonnées du responsable doivent être :
- Publiés sur le site Web de l’entreprise.
- Si l’entreprise n’a pas de site Web, rendus accessibles par tout autre moyen approprié.
## Footnote
Cela garantit que les individus peuvent facilement contacter le responsable pour toute question relative à la protection des renseignements personnels.
66
Quelles sont les principales responsabilités du responsable de la protection des RP ?
1. Approuver les politiques et pratiques de l’entreprise en matière de protection des RP (art. 3.2).
2. Être consulté pour toute Évaluation des facteurs relatifs à la vie privée (EFVP) (art. 3.3).
3. Gérer les demandes d’accès, de rectification ou de suppression des RP (art. 28.1, 30, 32, 34, 35).
## Footnote
Ces responsabilités sont essentielles pour assurer la conformité avec la Loi.
67
Quels sont les points clés à retenir sur le responsable de la protection des RP ?
- Responsable : La personne ayant la plus haute autorité dans l’entreprise.
- Délégation : Possible par écrit à une autre personne.
- Coordonnées : Doivent être publiées sur le site Web ou rendues accessibles.
- Rôles :
- Approuver les politiques et pratiques.
- Être consulté pour les EFVP.
- Gérer les demandes d’accès, de rectification ou de suppression.
## Footnote
Ces points résument les obligations principales du responsable dans le cadre de la loi.
68
Quelle est l'obligation des entreprises en matière de politiques et pratiques de gouvernance ?
Chaque entreprise doit établir et mettre en œuvre des politiques et pratiques encadrant sa gouvernance pour assurer la protection des renseignements personnels (art. 3.2).
69
Quels éléments doivent être inclus dans les politiques et pratiques de gouvernance ?
Les politiques et pratiques doivent fournir un cadre concernant :
* La conservation et la destruction des renseignements personnels.
* Les rôles et responsabilités des membres du personnel tout au long du cycle de vie des renseignements.
* Le processus de traitement des plaintes relatives à la protection des renseignements (art. 3.2).
70
Comment les entreprises doivent-elles rendre accessibles leurs politiques et pratiques de gouvernance ?
Les entreprises doivent publier des informations détaillées sur leurs politiques et pratiques, en termes clairs et simples, sur leur site Internet (art. 3.2).
Si l’entreprise n’a pas de site Web, elle doit rendre cette information accessible par tout autre moyen approprié.
71
Quels sont les points clés à retenir sur les politiques et pratiques de gouvernance ?
Obligation : Établir et mettre en œuvre des politiques et pratiques pour protéger les RP.
Contenu :
* Conservation et destruction des RP.
* Rôles et responsabilités du personnel.
* Processus de traitement des plaintes.
Publication :
* Informations détaillées sur le site Web ou par tout autre moyen approprié.
72
Quelles sont les obligations des organisations en matière de politique de confidentialité ?
1. **Rédaction** :
- Les organisations doivent rédiger une politique de confidentialité en termes simples et clairs.
2. **Diffusion** :
- La politique de confidentialité doit être diffusée sur leur site Internet ou par tout autre moyen propre à atteindre les personnes concernées.
3. **Modifications** :
- Les organisations doivent aviser les personnes concernées de toute modification apportée à la politique de confidentialité.
## Footnote
Cette carte permet de retenir les obligations clés en matière de politique de confidentialité selon la Loi sur la protection des renseignements personnels dans le secteur privé.
73
Vrai ou faux : Les organisations peuvent choisir de ne pas diffuser leur politique de confidentialité.
Faux.
## Footnote
La diffusion de la politique de confidentialité est une obligation légale.
74
Complétez : Les organisations doivent rédiger une politique de confidentialité en termes _______.
[simples et clairs].
## Footnote
Cela facilite la compréhension par les personnes concernées.
75
Quelles méthodes peuvent être utilisées pour diffuser la politique de confidentialité ?
1. Site Internet
2. Autres moyens propres à atteindre les personnes concernées
## Footnote
Cela peut inclure des courriels, des brochures, ou d'autres canaux de communication.
76
Quelles sont les conséquences de ne pas aviser les personnes concernées des modifications de la politique de confidentialité ?
Non-respect des obligations légales.
## Footnote
Cela peut entraîner des sanctions pour l'organisation selon la Loi 25.
77
Qu’est-ce que l’**anonymisation** des renseignements personnels et quand est-elle applicable ?
- **Anonymisation** :
- Depuis **septembre 2023**, les entreprises peuvent **anonymiser** des renseignements personnels au lieu de les détruire.
- L’anonymisation doit être effectuée selon les **meilleures pratiques généralement reconnues** et en respectant les **critères et modalités** déterminés par le **Règlement sur l’anonymisation des renseignements personnels**.
## Footnote
N/A
78
Quelle est la différence entre un renseignement **dépersonnalisé** et un renseignement **anonymisé** ?
- **Dépersonnalisation** :
- Les renseignements sont modifiés pour empêcher l’identification **directe** de la personne, mais ils peuvent encore permettre une identification **indirecte**.
- **Anonymisation** :
- Les renseignements sont modifiés de manière à rendre l’identification de la personne **impossible**, même par des moyens indirects.
## Footnote
N/A
79
Quel est le **Règlement sur l’anonymisation des renseignements personnels** ?
- Le **Règlement sur l’anonymisation des renseignements personnels** (publié le **15 mai 2024**) définit les **critères et modalités** pour l’anonymisation des renseignements personnels.
- Lien vers le règlement : [Règlement sur l’anonymisation](https://www.cai.gouv.qc.ca/documents/CAI_Reglement_Anonymisation.pdf).
## Footnote
N/A
80
Quels sont les points clés à retenir sur l’**anonymisation** des renseignements personnels ?
- **Anonymisation** : Alternative à la destruction des renseignements personnels, disponible depuis septembre 2023.
- **Meilleures pratiques** : Doit être effectuée selon les meilleures pratiques généralement reconnues.
- **Règlement** : Les critères et modalités sont définis par le **Règlement sur l’anonymisation des renseignements personnels**.
- **Différence avec la dépersonnalisation** :
- **Dépersonnalisation** : Identification indirecte possible.
- **Anonymisation** : Identification impossible.
## Footnote
N/A
81
Quelle est la différence entre un renseignement dépersonnalisé et un renseignement anonymisé ?
1. Renseignement dépersonnalisé :
- Un renseignement dépersonnalisé ne permet plus d’identifier directement la personne concernée.
- Cependant, il peut encore permettre une identification indirecte.
- Des mesures raisonnables doivent être prises pour limiter les risques d’identification (art. 12 de la Loi).
2. Renseignement anonymisé :
- Un renseignement anonymisé est irréversiblement modifié pour qu’il ne permette plus d’identifier une personne, directement ou indirectement.
- Selon le Règlement sur l’anonymisation (art. 7), il doit être raisonnable de prévoir que le renseignement ne permet plus l’identification dans les circonstances données.
82
Quelles sont les obligations des organisations en cas d’incident de confidentialité impliquant des renseignements personnels ?
1. Avis à la Commission et aux personnes concernées :
- Les organisations doivent aviser la Commission d’accès à l’information (CAI) et les personnes concernées de tout incident de confidentialité impliquant un renseignement personnel présentant un risque de préjudice sérieux (art. 3.5).
2. Tenue d’un registre :
- Les organisations doivent tenir un registre des incidents de confidentialité.
- Ce registre doit être communiqué à la CAI sur demande.
83
Comment une personne peut-elle faire une **demande d’accès** à ses renseignements personnels ?
- La demande doit être **écrite**, accompagnée d’une **preuve d’identité**, et adressée au **responsable de la protection des renseignements personnels** (art. 30).
- L’entreprise doit répondre **par écrit dans les 30 jours** (aucune prolongation possible) (art. 32).
- L’entreprise a l’obligation de fournir une **assistance** pour faciliter la demande (art. 27, 29, 30).
- **Gratuit** (des frais raisonnables peuvent être exigés dans certaines conditions) (art. 33).
84
Que se passe-t-il en cas de **refus d’accès** aux renseignements personnels ?
- Le responsable de la protection des renseignements personnels doit :
1. **Indiquer les raisons du refus** et les **dispositions de la loi** sur lesquelles il s’appuie.
2. Informer le requérant des **recours disponibles** et du **délai** pour les exercer.
3. **Aider le requérant** à comprendre le refus (art. 34).
85
Quelles sont les **obligations particulières** pour les renseignements personnels informatisés ?
- L’entreprise doit **faciliter l’accès** aux renseignements informatisés et fournir une **copie lisible** (art. 27).
86
Quelle information doit être fournie lors de la collecte de renseignements personnels ?
- L’entreprise doit **informer la personne** de son **droit d’accès** à ses renseignements personnels (art. 8).
87
Quand une personne peut-elle demander la **correction** de ses renseignements personnels ?
- Une personne peut demander la correction si les renseignements sont :
1. **Inexacts**.
2. **Incomplets**.
3. **Équivoques**.
4. **Collectés, communiqués ou conservés sans autorisation légale** (art. 28).
88
Quels sont les points clés à retenir sur les **droits d’accès** et de **correction** ?
- **Accès** :
- Demande écrite avec preuve d’identité.
- Réponse dans les **30 jours**.
- **Gratuit** (frais raisonnables possibles).
- En cas de refus, explication et information sur les recours.
- **Correction** :
- Possible si les renseignements sont inexacts, incomplets, équivoques ou non autorisés.
89
Qu’est-ce que le **droit de deuil** et comment s’applique-t-il ?
- Une organisation peut communiquer un **renseignement personnel** concernant une personne décédée à son **conjoint** ou à un **proche parent** si ce renseignement est susceptible d’aider dans le **processus de deuil**.
- **Exception** : Si la personne décédée a **consigné par écrit** son refus d’accorder ce droit d’accès.
## Footnote
Droit introduit par la Loi 25 pour faciliter le processus de deuil des proches d'une personne décédée.
90
Qu’est-ce que le **droit à la désindexation** (droit à l’effacement ou à l’oubli) ?
- Les personnes peuvent demander aux entreprises de :
* **Cesser de diffuser** leurs renseignements personnels.
* **Désindexer** tout hyperlien rattaché à leur nom donnant accès à des renseignements.
- **Conditions** : Si cette diffusion cause un **préjudice** ou **contrevient à la loi** ou à une **ordonnance judiciaire** (art. 28.1).
## Footnote
Permet aux individus de contrôler la diffusion de leurs informations personnelles en ligne.
91
Qu’est-ce que le **droit à la portabilité** des renseignements personnels ?
- Les organisations doivent, à la demande de la personne concernée :
* **Communiquer** ses renseignements personnels informatisés dans un **format technologique structuré et couramment utilisé**.
* Transmettre ces renseignements à une **personne ou organisme autorisé**, si la personne concernée le demande.
- **Exception** : Si cela soulève des **difficultés pratiques sérieuses** (art. 27).
## Footnote
Permet aux individus de récupérer et de transférer leurs données personnelles facilement.
92
Quelles sont les règles concernant la collecte de renseignements personnels sur les **mineurs** ?
- Les renseignements personnels concernant un **mineur de moins de 14 ans** ne peuvent être recueillis **auprès de celui-ci** sans le **consentement du titulaire de l’autorité parentale** ou du **tuteur**.
- **Exception** : Si la collecte est **manifestement au bénéfice du mineur** (art. 4.1).
## Footnote
Protège les informations personnelles des enfants en conditionnant leur collecte au consentement parental.
93
Quels sont les **nouveaux droits** introduits par la Loi 25 ?
1. **Droit de deuil** :
- Communication des RP d’une personne décédée à ses proches, sauf refus écrit.
2. **Droit à la désindexation** :
- Demande de cessation de diffusion ou de désindexation d’hyperliens.
3. **Droit à la portabilité** :
- Communication des RP dans un format technologique structuré.
4. **Protection des mineurs** :
- Collecte des RP des mineurs de moins de 14 ans soumise au consentement parental, sauf bénéfice manifeste.
## Footnote
Ces droits visent à renforcer la protection des renseignements personnels dans le secteur privé.
94
Quelles sont les obligations liées à la biométrie selon la Loi 25 ?
- Divulguer la création d'une banque de caractéristiques biométriques à la CAI au moins 60 jours avant son entrée en vigueur.
- Signaler les banques biométriques existantes à la CAI.
- Les renseignements biométriques sont désignés comme des renseignements sensibles.
95
Quelles sont les règles concernant les technologies d’identification ou de profilage ?
- Informer la personne concernée du recours à une technologie permettant l’identification, la localisation ou le profilage.
- Informer des moyens offerts pour activer ces fonctions.
- Les technologies ne peuvent pas être activées par défaut.
96
Quelles sont les obligations en cas de décision fondée sur un traitement automatisé ?
- Informer la personne concernée qu’elle fait l’objet d’une décision fondée exclusivement sur un traitement automatisé de ses renseignements personnels.
- Donner à la personne l’occasion de présenter ses observations à un membre du personnel.
97
Qu’est-ce que la confidentialité par défaut ?
- Les produits ou services technologiques doivent avoir des paramètres de confidentialité réglés par défaut au plus haut niveau de confidentialité, sauf pour les témoins de connexion.
98
Quelles sont les sanctions administratives en cas de non-respect de la Loi ?
- La CAI peut imposer des sanctions pécuniaires :
* 50 000 $ pour une personne physique.
* 10 millions de dollars ou 2 % du chiffre d’affaires mondial pour les autres cas.
- Possibilité d’éviter une sanction en prenant un engagement auprès de la CAI.
- Aucune sanction ne peut être imposée si un constat d’infraction a déjà été signifié.
99
Quelles sont les sanctions pénales en cas de non-respect de la Loi ?
- Personne physique : Amende de 5 000 $ à 100 000 $.
- Autres cas : Amende de 15 000 $ à 25 000 000 $ ou 4 % du chiffre d’affaires mondial.
100
Quels sont les points clés à retenir sur les technologies et les sanctions ?
- Biométrie : Divulgation obligatoire à la CAI avant la création de banques biométriques.
- Technologies d’identification/profilage : Activation par défaut interdite.
- Traitement automatisé : Information et droit de présenter des observations.
- Confidentialité par défaut : Paramètres réglés au plus haut niveau.
- Sanctions :
* Administratives : Jusqu’à 10 millions de dollars ou 2 % du chiffre d’affaires.
* Pénales : Jusqu’à 25 millions de dollars ou 4 % du chiffre d’affaires.
