Obligations

Le contenu de cette page est tiré de l’outil de la Commission d’accès à l’information intitulé Guide des obligations des entreprises.

Notez bien que ce résumé ne tient pas compte des spécificité propres à 
chaque organisation.

Obligations en vigueur depuis septembre 2022

  • Tous les détails

    Les entreprises doivent respecter ces obligations entrées en vigueur depuis septembre 2022.

    Désigner une personne responsable de la protection des renseignements personnels et publier son titre et ses coordonnées sur le site Internet de l’organisation ou d’une autre manière si elle n’en a pas.


    En cas d’incident de confidentialité impliquant des renseignements personnels :

    • Prendre les mesures raisonnables pour diminuer les risques qu’un préjudice ne soit causé aux personnes concernées et éviter que de nouveaux incidents de même nature ne se produisent.
    • Aviser la Commission d’accès à l’information du Québec et la personne concernée si l’incident présente un risque de préjudice sérieux.
    • Tenir un registre de tous les incidents dont une copie pourra être transmise à la Commission d’accès à l’information du Québec à sa demande.

    Respecter le nouvel encadrement applicable de la communication de renseignements personnels sans le consentement de la personne concernée à des fins d’études, de recherche ou de productions de statistiques et dans le cadre d’une transaction commerciale.


    Évaluer les facteurs relatifs à la vie privée avant de communiquer des renseignements personnels sans le consentement des personnes concernées à des fins d’étude, de recherche ou de production de statistiques.


    Divulguer préalablement à la Commission d’accès à l’information du Québec la vérification ou la confirmation d’identité faite au moyen de caractéristiques ou de mesures biométriques.

Obligations en vigueur depuis septembre 2023

  • Tous les détails

    Les entreprises devront respecter les obligations entrées en vigueur depuis septembre 2022 et respecter également les obligations suivantes :

    • Avoir établi des politiques et des pratiques encadrant la gouvernance des renseignements personnels et publier de l’information détaillée sur celles-ci en termes simples et clairs sur le site Internet de l’entreprise ou, si elle n’a pas de site, par tout autre moyen approprié;
    • Réaliser une évaluation des facteurs relatifs à la vie privée (ÉFVP) lorsque la Loi l’exige, par exemple avant de communiquer des renseignements personnels à l’extérieur du Québec;
    • Respecter les nouvelles règles entourant le consentement à la collecte, à la communication ou à l’utilisation des renseignements personnels;
    • Détruire les renseignements personnels lorsque la finalité de leur collecte est accomplie, ou les anonymiser pour les utiliser à des fins sérieuses et légitimes, sous réserve des conditions et d’un délai de conservation prévus par une loi;
    • Respecter vos nouvelles obligations d’information et de transparence envers les citoyens;
    • Respecter les nouvelles règles de communication de renseignements personnels sans le consentement de la personne concernée (exercice d’un mandat ou exécution d’un contrat de service ou d’entreprise);
    • Respecter les nouvelles règles de communication des renseignements personnels à l’extérieur du Québec;
    • Respecter les nouvelles règles d’utilisation des renseignements personnels;
    • Prévoir, par défaut, les paramètres assurant le plus haut niveau de confidentialité du produit ou du service technologique offert au public;
    • Respecter les nouvelles règles entourant la collecte de renseignements personnels concernant un mineur;
    • Respecter le droit à la cessation de la diffusion, à la réindexation ou à la désindexation (ou droit à l’oubli);
    • Respecter les nouvelles règles de communication des renseignements personnels facilitant le processus de deuil.

Obligations en vigueur en septembre 2024

  • Tous les détails

    Les entreprises devront respecter les obligations qui sont entrées en vigueur en septembre 2022 et septembre 2023 ainsi que les obligations suivantes :

    • Répondre aux demandes de portabilité des renseignements personnels.