65.1. Un renseignement personnel ne peut être utilisé au sein d’un organisme public qu’aux fins pour lesquelles il a été recueilli, à moins du consentement de la personne concernée. Ce consentement doit être manifesté de façon expresse dès qu’il s’agit d’un renseignement personnel sensible.
L’organisme public peut toutefois utiliser un renseignement personnel à une autre fin sans le consentement de la personne concernée dans les seuls cas suivants:1° lorsque son utilisation est à des fins compatibles avec celles pour lesquelles il a été recueilli;
2° lorsque son utilisation est manifestement au bénéfice de la personne concernée;
3° lorsque son utilisation est nécessaire à l’application d’une loi au Québec, que cette utilisation soit ou non prévue expressément par la loi;
4° lorsque son utilisation est nécessaire à des fins d’étude, de recherche ou de production de statistiques et qu’il est dépersonnalisé.
Pour qu’une fin soit compatible au sens du paragraphe 1° du deuxième alinéa, il doit y avoir un lien pertinent et direct avec les fins pour lesquelles le renseignement a été recueilli.
Lorsqu’un renseignement est utilisé dans l’un des cas visés aux paragraphes 1° à 3° du deuxième alinéa, le responsable de la protection des renseignements personnels au sein de l’organisme doit inscrire l’utilisation dans le registre prévu à l’article 67.3.
Pour l’application de la présente loi, un renseignement personnel est dépersonnalisé lorsque ce renseignement ne permet plus d’identifier directement la personne concernée.
Un organisme public qui utilise des renseignements dépersonnalisés doit prendre les mesures raisonnables afin de limiter les risques que quiconque procède à l’identification d’une personne physique à partir de renseignements dépersonnalisés.
2006, c. 22, a. 37; 2021, c. 252021, c. 25, a. 2011.