Politiques de confidentialité lors d’une collecte de renseignements personnels par un moyen technologique

L’article 63.4 de la Loi sur l’accès oblige un organisme public à publier sur son site Internet et à diffuser, par tout moyen propre à atteindre les personnes concernées, une politique de confidentialité rédigée en termes simples et clairs lorsqu’il recueille, par un moyen technologique, des renseignements personnels. Il doit faire de même pour l’avis dont toute modification à cette politique doit faire l’objet.

Tous les organismes assujettis à la Loi sur l’accès et recueillant des renseignements personnels par un moyen technologique, et ce, peu importe leur taille, sont soumis à cette obligation.

Il est à noter qu’une politique de confidentialité doit également être conforme à l’article 65 de la Loi sur l’accès Cet hyperlien s'ouvrira dans une nouvelle fenêtre..

Collecte par un moyen technologique

Un organisme public peut recueillir des renseignements personnels, y compris des renseignements dépersonnalisés, par un moyen technologique. Cela peut se traduire par une collecte faite à partir d’un site Internet, d’une prestation électronique de services, d’une application, d’un agent conversationnel (assistant virtuel) ou d’un objet connecté.

Au moment de déployer une collecte de renseignements personnels par un moyen technologique, la politique de confidentialité doit être accessible aux personnes concernées.

Exclusions

Une collecte de renseignements personnels effectuée par le biais d’un appel téléphonique ou d’un formulaire électronique n’est pas considérée comme une collecte faite par un moyen technologique. Dans de tels cas, un organisme public doit appliquer notamment l’article 65 de la Loi sur l’accès.

Par ailleurs, l’article 63.4 de la Loi sur l’accès ne s’applique pas à une collecte de renseignements personnels à caractère public (article 55 de la Loi sur l’accès) faite par un moyen technologique.

Il faut cependant s’assurer que tous les renseignements personnels recueillis par un moyen technologique sont à caractère public. Si certains renseignements ne sont pas à caractère public, il sera nécessaire de publier et de diffuser une politique de confidentialité.

Objectifs d’une politique de confidentialité

Une politique de confidentialité présente les pratiques en matière de protection des renseignements personnels d’un organisme public lors d’une collecte de renseignements personnels par un moyen technologique. Le cas échéant, elle traite également du recours à des témoins de connexion. Elle permet notamment à une personne d’être adéquatement informée de ses droits et de la façon dont ses renseignements personnels sont recueillis et utilisés.

Une politique de confidentialité doit être élaborée en fonction du contexte dans laquelle elle s’inscrit.

Une ou plusieurs politiques de confidentialité

Un organisme public n’est pas restreint à élaborer une seule politique de confidentialité. Lorsqu’il y a plusieurs situations différentes de collecte de renseignements personnels par un moyen technologique, il est recommandé de rédiger plus d’une politique de confidentialité. Cette manière de procéder allège le contenu de la politique de confidentialité et, par le fait même, favorise la lecture et la compréhension par les personnes concernées.

Par exemple, il pourrait y avoir une politique de confidentialité spécifique à la collecte de renseignements personnels liée à la navigation sur le site Internet d’un organisme public, une autre pour une prestation électronique de services ou, encore, pour une application mobile, etc.

Si un organisme public décide d’élaborer une seule politique de confidentialité couvrant toutes les situations de collecte de renseignements personnels par un moyen technologique, il doit s’assurer que cette dernière est rédigée en termes simples et clairs. De plus, l’information qui y est contenue doit être structurée de manière à faciliter le repérage, par la personne concernée, des informations applicables à chacune des situations.

Publication sur un site Internet

Une politique de confidentialité doit être publiée sur le site Internet d’un organisme public. Même si le site Internet de l’organisme public fait partie d’une plateforme qui en regroupe deux ou plusieurs autres, par exemple Québec.ca, il peut être considéré comme tel.

De plus, il est possible, lorsqu’applicable, qu’une politique de confidentialité soit commune.

Diffusion par tout moyen propre à atteindre les personnes concernées

Dans certains cas, la seule publication d’une politique de confidentialité sur le site Internet d’un organisme public n’est pas suffisante pour que les personnes concernées soient avisées. D’autres moyens devront alors être utilisés.

Par exemple, si un organisme public conçoit une application, sa politique de confidentialité doit être accessible dans cette dernière, en plus de se trouver sur le site Internet. S’il offre un produit technologique qui recueille des renseignements personnels, une politique de confidentialité doit également y être affichée, soit sur l’emballage ou dans les instructions.

Avis de modification de la politique

Il est important que le public soit avisé lorsque des changements sont apportés à une politique de confidentialité, afin qu’il puisse en prendre acte.

Lorsqu’une politique de confidentialité est modifiée, un avis qui en fait état doit être publié sur le site Internet de l’organisme public et diffusé par tout moyen propre à atteindre les personnes concernées. Cet avis doit être rédigé en termes simples et clairs.

Cependant, sachez qu’un avis de modification n’est pas requis pour des changements mineurs qui ne sont pas susceptibles d’influencer la décision de la personne concernée quant à ses renseignements personnels et à leur utilisation. Par exemple, un avis de modification ne serait pas requis pour des corrections de français, des modifications de forme, un changement dans des coordonnées ou encore du nom de la personne responsable de la protection des renseignements personnels.

Si un organisme public dispose d’une section dédiée à l’accès aux documents et aux renseignements personnels sur son site Internet, la politique de confidentialité pourrait inclure un lien menant au nom de la personne responsable et aux coordonnées permettant de communiquer avec cette dernière afin d’éviter de modifier ces informations dans la politique.

Règlement

Le Règlement sur les politiques de confidentialité des organismes publics recueillant des renseignements personnels par un moyen technologique Cet hyperlien s'ouvrira dans une nouvelle fenêtre. prévoit le contenu et les modalités d’une politique de confidentialité ainsi que de l’avis de modification.

Afin de soutenir les personnes responsables de la protection des renseignements personnels, un document relatif à l’application du Règlement a été conçu, ainsi qu’un outil d’aide à la rédaction et une liste de vérification en vue de se conformer au cadre législatif lié à la publication d’une politique de confidentialité.

Dernière mise à jour : 18 avril 2024

Évaluation de page

L’information sur cette page vous a-t-elle été utile?
Avis général

Des questions ou besoin de renseignements?

Communiquez avec Services Québec