Politique de confidentialité lors d’une collecte de renseignements personnels par un moyen technologique

L’ajout de l’article 63.4, dans la Loi sur l’accès, oblige un organisme public à publier, sur son site Internet et diffuser, par tout moyen propre à atteindre les personnes concernées, une politique de confidentialité rédigée en termes simples et clairs lorsqu’il recueille, par un moyen technologique, des renseignements personnels.

Il doit faire de même pour l’avis dont toute modification à cette politique doit faire l’objet.

Un organisme public peut recueillir des renseignements personnels par un moyen technologique. Cela peut se traduire par une collecte faite à partir, par exemple, d’un site Internet, d’une prestation électronique de services, d’une application ou d’un objet connecté.

Dans une telle situation, l’organisme public doit publier, sur son site Internet, et diffuser, par tout moyen propre à atteindre les personnes concernées, une politique de confidentialité rédigée en termes simples et clairs.

Une politique de confidentialité présente les pratiques en matière de protection des renseignements personnels d’un organisme public lors d’une collecte de renseignements personnels par un moyen technologique. Ce document traite notamment des renseignements personnels collectés, des fins pour lesquelles ceux-ci sont recueillis, des communications qui pourraient être effectuées et, de manière générale, des mesures de protection mises en place. Le cas échéant, il traite également du recours à des témoins de connexion. Cette politique doit être modulée en fonction du contexte dans laquelle elle s’inscrit.

Une politique de confidentialité doit contenir toutes les informations nécessaires pour qu’une personne puisse prendre une décision éclairée quant à ses renseignements personnels et à leur utilisation.

Un règlement du gouvernement peut déterminer le contenu et les modalités des politiques de confidentialité. Dans l’attente de ce règlement, une telle politique devrait préciser les informations suivantes :

• le nom de l’organisme public au nom duquel la collecte de renseignements personnels est faite et, le cas échéant, du tiers qui les collecte en son nom;
• les renseignements ou les catégories de renseignements collectés;
• les fins auxquelles ces renseignements sont recueillis;
• une description des moyens technologiques par lesquels les renseignements sont recueillis;
• une mention relative aux mesures qui permettent à toute personne, le cas échéant, de refuser ou de demander que cesse la collecte de renseignements, ainsi qu’aux conséquences qui pourraient en résulter;
• une mention relative aux droits d’accès et de rectification des renseignements recueillis et le nom de la personne responsable de la protection des renseignements personnels de l’organisme public, ainsi que ses coordonnées où peut être acheminée toute question sur l’exercice de ces droits;
• le nom de tout tiers à qui les renseignements collectés sont communiqués, s’il y a lieu, ainsi que la précision des renseignements transmis et des fins envisagées;
• si besoin est, une mention quant à la possibilité que les renseignements soient communiqués à l’extérieur du Québec, qui précise les lieux de destination;
• une brève description des mesures prises pour assurer la confidentialité et la sécurité des renseignements;
• les coordonnées où acheminer toute question relative à la politique de confidentialité;
• le droit de la personne concernée de faire une plainte auprès de l’organisme public concernant la protection des renseignements personnels;
• la date de l’entrée en vigueur et celle de la plus récente mise à jour, s’il y a lieu.

L’article 63.4 de la Loi sur l’accès prévoit que la politique de confidentialité doit être rédigée en termes simples et clairs. En d’autres mots, le contenu de cette politique doit être adapté aux personnes à qui cette dernière est destinée et ne doit pas être rédigé de manière à ce que seulement des spécialistes soient en mesure de le comprendre. Le contenu se doit d’être rédigé en fonction des connaissances d’une personne raisonnable, dans des termes facilement compréhensibles et précis.

La politique de confidentialité doit être publiée sur le site Internet de l’organisme public. Elle devrait être diffusée dans une section réservée à cette fin, facilement accessible à partir de la page d’accueil du site.

Même si le site Internet de l’organisme public fait partie d’une plateforme qui en regroupe deux ou plusieurs autres, par exemple Québec.ca, il peut être considéré comme tel. De plus, il est possible, lorsqu’applicable, qu’une politique de confidentialité soit commune.

Dans certains cas, la seule publication de la politique de confidentialité sur le site Internet de l’organisme public n’est pas suffisante pour que les personnes concernées soient atteintes. D’autres moyens devront alors être utilisés.

Par exemple, si un organisme public conçoit une application, sa politique de confidentialité doit être accessible dans cette dernière, en plus de se trouver sur le site Internet. S’il offre un produit technologique qui recueille des renseignements personnels, la politique de confidentialité doit également y être affichée, soit sur l’emballage ou dans les instructions.

Il est important que le public soit avisé lorsque des changements sont apportés à la politique de confidentialité, afin qu’il puisse en prendre acte.

Lorsque la politique de confidentialité est modifiée, un avis qui en fait état doit être publié sur le site Internet de l’organisme public et diffusé par tout moyen propre à atteindre les personnes concernées. Il est recommandé à l’organisme de le faire dans un certain délai avant que les modifications n’entrent en vigueur. Cet avis devrait indiquer les éléments suivants :

• la date de sa publication;
• les modifications apportées;
• la date de l’entrée en vigueur des modifications lorsqu’elle est ultérieure à celle de la publication.