Protection des données et des renseignements personnels

Règles générales

Toute personne inscrite, certifiée ou autorisée à exercer des activités en vertu des lois administrées par l’Autorité des marchés financiers (l'« Autorité ») recueille, utilise, communique et conserve un nombre important de données dans le cadre de ses activités. Ces données peuvent notamment inclure des renseignements personnels.

Un renseignement personnel est un renseignement qui concerne une personne physique et qui permet de l’identifier (son nom, son adresse, une adresse courriel, etc.). Il peut être accessible sous différentes formes : écrite, graphique, sonore, visuelle, informatisée ou autre.

Au Québec, la Loi sur la protection des renseignements personnels dans le secteur privéCe lien s'ouvrira dans une nouvelle fenêtre vise la protection des renseignements personnels et impose certaines obligations aux entreprises privées à cet égard. Par exemple :

  • Informer, préalablement à la collecte de renseignements personnels, les personnes concernées (citoyens ou clients) des finalités de la collecte, de l’utilisation qui sera faite des renseignements et des personnes qui y auront accès;
  • Prendre les mesures de sécurité propres à assurer la protection des renseignements personnels;
  • Veiller à ce que les personnes à l’extérieur de la province avec qui certains renseignements personnels sont communiqués ou confiés assurent un niveau de protection équivalent à celui qu’elles seraient tenues de respecter au Québec.

Pour obtenir plus d’information concernant ces obligations, il est recommandé de consulter le site Internet de la Commission d’accès à l’information Ce lien s'ouvrira dans une nouvelle fenêtre, qui est chargée de l’application de la Loi sur la protection des renseignements personnels dans le secteur privé.

Cybersécurité

De plus, considérant le rôle important technologies de l’information dans la collecte, l’utilisation, la communication et la conservation des renseignements personnels, les personnes assujetties aux lois administrées par l’Autorité doivent évaluer et mettre en place des mesures adéquates en termes de cybersécurité.

La cybersécurité concerne les mesures mises en œuvre par un assujetti en vue de se protéger du risque de subir une cyberattaque (par exemple, la propagation d’un virus informatique ou le vol de renseignements numériques permettant le vol d’identité).

Obligations découlant des lois administrées par l’Autorité

En plus de respecter les obligations découlant de la Loi sur la protection des renseignements personnels dans le secteur privéCe lien s'ouvrira dans une nouvelle fenêtre, les personnes encadrées par l’Autorité doivent respecter des obligations spécifiques à l’égard de la protection des renseignements personnels et en matière de cybersécurité.

Règles spécifiques

Consultez les pages suivantes pour connaître les règles spécifiques selon les secteurs d'activités :