Communication de renseignements personnels à un mandataire ou sous-traitant
Une entreprise peut communiquer un renseignement personnel sans le consentement de la personne concernée si c'est nécessaire à l'exécution d'un mandat ou d'un contrat de service ou d'entreprise qu'elle confie à un tiers. Elle doit alors conclure le mandat ou le contrat par écrit et y préciser les mesures de protection de la confidentialité, l'usage limité du renseignement à la seule exécution du contrat et l'obligation de ne pas le conserver après l'expiration. Le mandataire ou l'exécutant doit aviser sans délai le responsable de la protection des renseignements personnels de toute violation ou tentative de violation, et permettre les vérifications relatives à la confidentialité. L'obligation d'indiquer les mesures de protection (par. 2°) ne s'applique pas lorsque le tiers est un organisme public ou un membre d'un ordre professionnel.
Cet article du secteur privé (Loi sur la protection des renseignements personnels dans le secteur privé) constitue une exception au consentement pour la sous-traitance. Bien rédiger la clause de protection des renseignements (confidentialité, usage limité, destruction/non-conservation à l'échéance). Noter que l'exception du dernier alinéa ne dispense que du par. 2° (clause de mesures) : l'écrit et les obligations d'avis et de vérification demeurent. Le tiers doit aviser le responsable de la protection des renseignements personnels de l'entreprise mandante.
Concepts (8)
communication de renseignements personnels consentement exploitation d'une entreprise obligation de confidentialité du mandataire personne concernée renseignement personnel responsable de la protection des renseignements personnels sous-traitance de renseignements personnels
Articles apparentés (14)
- art. 3.5 Obligations en cas d'incident de confidentialité · 3 concepts communs
- art. 8 Obligation d'information lors de la collecte de renseignements personnels · 3 concepts communs
- art. 13 Communication des renseignements personnels et consentement · 2 concepts communs
- art. 15 Consentement à la communication de renseignements personnels obtenus d'un tiers · 2 concepts communs
- art. 18 Communication de renseignements personnels sans consentement · 2 concepts communs
- art. 18.1 Communication d'un renseignement personnel pour prévenir un risque grave · 2 concepts communs
- art. 18.2 Communication de renseignements personnels à des fins d'archives et de recherche · 2 concepts communs
- art. 18.4 Communication de renseignements personnels dans le cadre d'une transaction commerciale · 2 concepts communs
- art. 21 Communication de renseignements personnels à des fins d'étude, de recherche ou de statistiques · 2 concepts communs
- art. 21.1 Autorisation de communiquer des renseignements sur des professionnels sans leur consentement · 2 concepts communs
- art. 30 Conditions de la demande d'accès ou de rectification de renseignements personnels · 2 concepts communs
- art. 3.3 Évaluation des facteurs relatifs à la vie privée (ÉFVP) pour les projets de systèmes d'information · 2 concepts communs
- art. 40 Refus de communication protégeant un tiers · 2 concepts communs
- art. 8.3 Consentement présumé à l'utilisation des renseignements personnels fournis · 2 concepts communs
Texte officiel de l’article
Une personne qui exploite une entreprise peut, sans le consentement de la personne concernée, communiquer un renseignement personnel à toute personne ou à tout organisme si cette communication est nécessaire à l’exercice d’un mandat ou à l’exécution d’un contrat de service ou d’entreprise qu’elle confie à cette personne ou à cet organisme.
Dans ce cas, la personne qui exploite une entreprise doit:
1° confier le mandat ou le contrat par écrit;
2° indiquer, dans le mandat ou le contrat, les mesures que le mandataire ou l’exécutant du contrat doit prendre pour assurer la protection du caractère confidentiel du renseignement personnel communiqué, pour que ce renseignement ne soit utilisé que dans l’exercice de son mandat ou l’exécution de son contrat et pour qu’il ne le conserve pas après son expiration. Une personne ou un organisme qui exerce un mandat ou qui exécute un contrat de service ou d’entreprise visé au premier alinéa doit aviser sans délai le responsable de la protection des renseignements personnels de toute violation ou tentative de violation par toute personne de l’une ou l’autre des obligations relatives à la confidentialité du renseignement communiqué et il doit également permettre au responsable de la protection des renseignements personnels d’effectuer toute vérification relative à cette confidentialité.
Le paragraphe 2° du deuxième alinéa ne s’applique pas lorsque le mandataire ou l’exécutant du contrat est un organisme public au sens de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (chapitre A-2.1) ou un membre d’un ordre professionnel.