Politiques de confidentialité lors d’une collecte de renseignements personnels par un moyen technologique

L’article 63.4 de la Loi sur l’accès oblige un organisme public à publier sur son site Internet et à diffuser, par tout moyen propre à atteindre les personnes concernées, une politique de confidentialité rédigée en termes simples et clairs lorsqu’il recueille, par un moyen technologique, des renseignements personnels. Il doit faire de même pour l’avis dont toute modification à cette politique doit faire l’objet.

Il est à noter qu’une politique de confidentialité doit également être conforme à l’article 65 de la Loi sur l’accès Cet hyperlien s'ouvrira dans une nouvelle fenêtre..

Collecte par un moyen technologique

Un organisme public peut recueillir des renseignements personnels par un moyen technologique. Cela peut se traduire par une collecte faite à partir d’un site Internet, d’une prestation électronique de services, d’une application, d’un agent conversationnel (assistant virtuel) ou d’un objet connecté.

Une collecte de renseignements personnels effectuée par le biais d’un appel téléphonique ou d’un formulaire électronique n’est pas considérée comme une collecte faite par un moyen technologique. Dans de tels cas, un organisme public doit appliquer notamment l’article 65 Cet hyperlien s'ouvrira dans une nouvelle fenêtre. de la Loi sur l’accès.

Objectifs d’une politique de confidentialité

Une politique de confidentialité présente les pratiques en matière de protection des renseignements personnels d’un organisme public lors d’une collecte de renseignements personnels par un moyen technologique. Le cas échéant, elle traite également du recours à des témoins de connexion. Elle permet notamment à une personne d’être adéquatement informée de ses droits et de la façon dont ses renseignements personnels sont recueillis et utilisés.

Une politique de confidentialité doit être élaborée en fonction du contexte dans laquelle elle s’inscrit.

Une ou plusieurs politiques de confidentialité

Un organisme public n’est pas restreint à élaborer une seule politique de confidentialité. Lorsqu’il y a plusieurs situations différentes de collecte de renseignements personnels par un moyen technologique, il est recommandé de rédiger plus d’une politique de confidentialité. Cette manière de procéder allège le contenu de la politique de confidentialité et, par le fait même, favorise la lecture et la compréhension par les personnes concernées.

Par exemple, il pourrait y avoir une politique de confidentialité spécifique à la collecte de renseignements personnels liée à la navigation sur le site Internet d’un organisme public, une autre pour une prestation électronique de services ou, encore, pour une application mobile, etc.

Si un organisme public décide d’élaborer une seule politique de confidentialité couvrant toutes les situations de collecte de renseignements personnels par un moyen technologique, il doit s’assurer que cette dernière est rédigée en termes simples et clairs. De plus, l’information qui y est contenue doit être structurée de manière à faciliter le repérage, par la personne concernée, des informations applicables à chacune des situations.

Publication sur un site Internet

Une politique de confidentialité doit être publiée sur le site Internet d’un organisme public. Même si le site Internet de l’organisme public fait partie d’une plateforme qui en regroupe deux ou plusieurs autres, par exemple Québec.ca, il peut être considéré comme tel.

De plus, il est possible, lorsqu’applicable, qu’une politique de confidentialité soit commune.

Diffusion par tout moyen propre à atteindre les personnes concernées

Dans certains cas, la seule publication d’une politique de confidentialité sur le site Internet d’un organisme public n’est pas suffisante pour que les personnes concernées soient avisées. D’autres moyens devront alors être utilisés.

Par exemple, si un organisme public conçoit une application, sa politique de confidentialité doit être accessible dans cette dernière, en plus de se trouver sur le site Internet. S’il offre un produit technologique qui recueille des renseignements personnels, une politique de confidentialité doit également y être affichée, soit sur l’emballage ou dans les instructions.

Avis de modification de la politique

Il est important que le public soit avisé lorsque des changements sont apportés à une politique de confidentialité, afin qu’il puisse en prendre acte.

Lorsqu’une politique de confidentialité est modifiée, un avis qui en fait état doit être publié sur le site Internet de l’organisme public et diffusé par tout moyen propre à atteindre les personnes concernées. Cet avis doit être rédigé en termes simples et clairs.

Cependant, sachez qu’un avis de modification n’est pas requis pour des changements mineurs qui ne sont pas susceptibles d’influencer la décision de la personne concernée quant à ses renseignements personnels et à leur utilisation. Par exemple, un avis de modification ne serait pas requis pour des corrections de français, des modifications de forme, un changement dans des coordonnées ou encore du nom de la personne responsable de la protection des renseignements personnels.

Règlement

Le Règlement sur les politiques de confidentialité des organismes publics recueillant des renseignements personnels par un moyen technologique Cet hyperlien s'ouvrira dans une nouvelle fenêtre. prévoit le contenu et les modalités d’une politique de confidentialité ainsi que de l’avis de modification.

Afin de soutenir les personnes responsables de la protection des renseignements personnels, un document relatif à l’application du Règlement a été conçu, ainsi qu’un outil d’aide à la rédaction et une liste de vérification en vue de se conformer au cadre législatif lié à la publication d’une politique de confidentialité.

Dernière mise à jour : 14 décembre 2023

Évaluation de page

L’information sur cette page vous a-t-elle été utile?
Avis général

Des questions ou besoin de renseignements?

Communiquez avec Services Québec