Utilisation des renseignements personnels selon la finalité de collecte
Au sein de l'entreprise, un renseignement personnel ne peut servir qu'aux fins pour lesquelles il a été recueilli, sauf consentement de la personne; ce consentement doit être exprès pour un renseignement sensible. La loi prévoit toutefois cinq exceptions permettant une utilisation à d'autres fins sans consentement : fins compatibles, bénéfice manifeste de la personne, prévention de la fraude et sécurité, fourniture d'un produit ou service demandé, et étude, recherche ou statistiques avec dépersonnalisation. Une fin n'est compatible que s'il existe un lien pertinent et direct avec la collecte initiale, la prospection commerciale ou philanthropique étant exclue. La loi définit aussi les notions de renseignement « dépersonnalisé » et « sensible », et impose de limiter les risques de réidentification.
Distinguer « dépersonnalisé » (n'identifie plus directement) au sens de cet article du concept d'« anonymisé » (art. 23). Le consentement exprès n'est requis que pour les renseignements sensibles; pour les autres, le consentement peut être implicite. Vérifier systématiquement si une exception s'applique avant d'exiger un consentement. Conserver une documentation du lien pertinent et direct pour justifier une « fin compatible ». L'entreprise utilisant des données dépersonnalisées doit prendre des mesures raisonnables contre la réidentification.
Concepts (8)
collecte de renseignements personnels consentement exploitation d'une entreprise personne concernée renseignement dépersonnalisé renseignement personnel renseignement personnel sensible utilisation de renseignements personnels
Articles apparentés (6)
- art. 13 Communication des renseignements personnels et consentement · 2 concepts communs
- art. 15 Consentement à la communication de renseignements personnels obtenus d'un tiers · 2 concepts communs
- art. 4.1 Collecte de renseignements personnels auprès d'un mineur de moins de 14 ans · 2 concepts communs
- art. 6 Cueillette de renseignements personnels auprès de la personne concernée · 2 concepts communs
- art. 8 Obligation d'information lors de la collecte de renseignements personnels · 2 concepts communs
- art. 8.3 Consentement présumé à l'utilisation des renseignements personnels fournis · 2 concepts communs
Texte officiel de l’article
Un renseignement personnel ne peut être utilisé au sein de l’entreprise qu’aux fins pour lesquelles il a été recueilli, à moins du consentement de la personne concernée. Ce consentement doit être manifesté de façon expresse dès qu’il s’agit d’un renseignement personnel sensible.
Un renseignement personnel peut toutefois être utilisé à une autre fin sans le consentement de la personne concernée dans les seuls cas suivants:
1° lorsque son utilisation est à des fins compatibles avec celles pour lesquelles il a été recueilli;
2° lorsque son utilisation est manifestement au bénéfice de la personne concernée;
3° lorsque son utilisation est nécessaire à des fins de prévention et de détection de la fraude ou d’évaluation et d’amélioration des mesures de protection et de sécurité;
4° lorsque son utilisation est nécessaire à des fins de fourniture ou de livraison d’un produit ou de prestation d’un service demandé par la personne concernée;
5° lorsque son utilisation est nécessaire à des fins d’étude, de recherche ou de production de statistiques et qu’il est dépersonnalisé.
Pour qu’une fin soit compatible au sens du paragraphe 1° du deuxième alinéa, il doit y avoir un lien pertinent et direct avec les fins auxquelles le renseignement a été recueilli. Toutefois, ne peut être considérée comme une fin compatible la prospection commerciale ou philanthropique.
Pour l’application de la présente loi, un renseignement personnel est:
1° dépersonnalisé lorsque ce renseignement ne permet plus d’identifier directement la personne concernée;
2° sensible lorsque, de par sa nature notamment médicale, biométrique ou autrement intime, ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d’attente raisonnable en matière de vie privée.
Toute personne qui exploite une entreprise et qui utilise des renseignements dépersonnalisés doit prendre les mesures raisonnables afin de limiter les risques que quiconque procède à l’identification d’une personne physique à partir de renseignements dépersonnalisés.