En réponse à André Lupien.
Hey André, j’adore tes questions et vais continuer de te partager mon interprétation de la loi (qui ne demeure que la mienne).
La loi, à sa base, vise à cadrer la collecte de données effectuée par toute organisation, quelle qu’elle soit, au sujet de qui que ce soit sur la planète. Ainsi, si Collectif WEB collecte des infos sur quelqu’un à Montréal ou quelqu’un à Moscou, cela ne change absolument rien. JE DOIS faire en sorte de réguler la collecte et conservation de données au Collectif WEB.
La CAI stipule le cadre des organisations considérées dans le champ d’application. Et c’est là qu’ils indiquent qu’il n’importe aucunement si l’entreprise un caractère commercial ou non. (Source)
En ce qui a attrait à la localisation de l’individu auquel je collecte une information, la CAI est ambiguë à ce sujet, et en effet, cible surtout « les citoyens » (québecois I guess).
Cependant, n’oublions pas que d’autres lois du même genre viennent s’ajouter dans le monde, dont une multitude aux USA, une qui s’en vient au Canada entier (PIPEDA), la RGPD en Europe et plusieurs autres dans d’autres pays (UK, Australie,…).
Par ailleurs, il n’y a pas grande entreprise qui profile assez les personnes auxquelles il collecte des informations, pour accorder un processus différent aux individus d’un pays et ceux d’un autre. À la place, ils centralisent leurs processus, pour ton individu à qui ils collectent des informations.
Pour tes points, voici mon interprétation :
a- qu’on collecte les informations de 8 enfants adultes ou d’une famille élargie, cela ne change rien, toute information sensible doit être considérée avec la loi 25
b- pour le groupe d’amis dont les membres sont éparpillés autour du monde, je reviendrais sur mon point précédent. Pourquoi séparer le processus pour ceux non au Québec de ceux au Québec. C’est plus d’effort de les diviser que de leur offrir le même traitement à tous. Un traitement qui j’estime est tout à fait légitime, puisqu’on avise clairement et demandons le consentement de chaque individu qui nous donne leurs informations personnelles. Personne ne dirait non à cela, même s’il habitait en Inde.
c- ici tu es plus dans la question de « quelle information serait considérée personnelle ou sensible » ? Personnellement, j’aime mieux prévenir que guérir et aime mieux considérer un nom + num d’appartement comme information personnelle. Il doit cependant y avoir des nuances au niveau juridique que j’ignore. Un avocat/juriste aurait certainement une réponse adéquate à cela.
d- la loi 25 ne s’applique pas aux individus mais aux organisations. Si donc l’individu Y est une entreprise individuelle, oui il y est assujetti.
L’aval des participants peut être inscrit de diverses formes, tant que la personne qui a consenti est identifiable. Ca peut être un papier, un formulaire en ligne ou bien d’autres choses. Pour beaucoup, ils joignent une politique de confidentialité qui stipule tout ce qui serait collecté à tout document à signer/valider (ou un site web sur lequel s’inscrire).
Pour ta dernière question, la loi 25 ne s’applique pas aux individus. Si X veut partager les infos de Y, qu’il s’éclate. Mais les organisations ne peuvent faire cela sans consentement écrit/consigné.
En espérant le tout clair.