POLITIQUE PROTECTION DES RENSEIGNEMENTS PERSONNELS
Adopté au conseil d’administration du
25 octobre 2023
RÉDIGÉ PAR : Me Edward Smith, conseiller juridique
AVEC LA COLLABORATION DE : Me Daniel Cooper, conseiller juridique
CORRIGÉ PAR : Angélique Guillot
AVEC LA PARTICIPATION FINANCIÈRE DE :
Nous remercions la Fédération québécoise des coopératives de santé (FQCS) pour son intercoopération.
Pour les lecteurs, il est important de souligner que pour les besoins du présent document, le masculin est utilisé uniquement afin d’alléger le texte.
Table des matières
- Sommaire exécutif
- Introduction
- Objectifs
- Définition d’un renseignement personnel
- Collecte des renseignements personnels
- Protection des renseignements personnels
- Responsable de la politique
- Utilisation des renseignements personnels
- Conservation et destruction des renseignements personnels
- Droit d’accès et de transfert des renseignements personnels
- Demande de rectification des renseignements personnels
- Communication des renseignements personnels à un tiers
- Frais de transcription, reproduction ou transmission de renseignements personnels
- Transmission de documents contenant des renseignements personnels
- Définition d’un incident de confidentialité
- Processus en cas d’incident de confidentialité
- Inapplication de la politique
- Modification de la politique
- Adoption et entrée en vigueur de la présente politique
ANNEXES
Annexe 1 – Formulaire d’autorisation à l’échange de renseignements personnels avec un tiers
Annexe 2 – Formulaire d’engagement à la confidentialité
Annexe 3 – Formulaire d’accès et de rectification de renseignements personnels
Annexe 4 – Contenu de l’avis à la CAI en cas d’incident de confidentialité
Annexe 5 – Contenu de l’avis aux personnes concernées en cas d’incident de confidentialité
Annexe 6 – Contenu du registre des incidents de confidentialité
La protection des renseignements personnels est encadrée par la Loi sur la protection des renseignements personnels dans le secteur privé, la Charte des droits et libertés de la personne et par le Code civil du Québec.
Les renseignements personnels sont ceux qui portent sur une personne physique et permettent de l’identifier. Par exemple : nom, signature, adresse, dossier médical, numéros de téléphone, courriel, image et voix, information financière, numéro d’assurance sociale.
COLLECTE ET UTILISATION DES RENSEIGNEMENTS PERSONNELS
L’organisation recueille des renseignements personnels lorsqu’elle a un intérêt sérieux et légitime de le faire et elle ne conserve que ceux qui sont nécessaires à son bon fonctionnement. Si vous refusez de consentir à la présente politique ou ses annexes, l’organisation pourrait être contrainte de vous empêcher de recourir à ses produits et services.
Autre que pour la prestation des services, les renseignements personnels peuvent aussi être utilisés pour des fins d’étude de marché, distribution d’infolettres d’embauche de personnel. Les renseignements personnels ne seront jamais vendus à des tiers, à moins que l’organisation obtienne un consentement à cet effet.
MESURES DE PROTECTION DES RENSEIGNEMENTS PERSONNELS
Les dossiers physiques contenant des renseignements confidentiels sont gardés sous clé dans un classeur. Les dossiers informatiques contenant des renseignements personnels sont quant à eux protégés par un mot de passe. Ils sont conservés numériquement dans un réseau local hors ligne qui empêche des individus de s’immiscer dans les dossiers de l’organisation. De plus, l’organisation s’est dotée d’un mur pare-feu et d’un logiciel antivirus pour limiter la portée d’attaques malveillantes.
- Bruno Decelle, directeur général est le responsable de la protection des renseignements personnels au sein de l’organisation. Il est possible de le/la rejoindre au 450 771‑0605, poste 104, ou à bruno.decelle@coopauxptitssoins.com .
CONSERVATION ET DESTRUCTION DES RENSEIGNEMENTS PERSONNELS
Lorsque l’objet pour lequel un renseignement personnel a été recueilli est réalisé, l’organisation le détruit, sauf exception. Vous pouvez demander que tout renseignement personnel vous concernant vous soit remis ou détruit. Les documents ou données contenant des renseignements personnels déchiquetés, reformatés, réécrits, démagnétisés ou l’écrasement des informations.
DROIT D’ACCÈS ET DE TRANSFERT DES RENSEIGNEMENTS PERSONNELS
Lorsque vous ou un de vos représentants autorisés en fait la demande écrite ou en remplissant le formulaire à cet effet, l’organisation confirmera qu’elle détient des renseignements personnels vous concernant. L’organisation peut alors, dans les trente (30) jours de la réception de la demande, permettre la consultation ou le transfert du dossier et tout renseignement personnel y étant consigné. Les refus sont motivés par écrit par l’organisation dans ce même délai. Si aucune réponse n’est donnée dans ce délai, ceci équivaut à un refus. Il est alors possible de contester un refus devant la Commission d’accès à l’information (CAI).
Malgré certaines exceptions, l’organisation ne peut refuser de divulguer un renseignement personnel en cas d’urgence à moins qu’il en résulterait un préjudice grave pour votre santé. Les renseignements personnels de nature médicale ou sociale des 14 ans et moins sont uniquement communiqués à leur avocat ou leurs parents et ne peuvent pas nuire aux soins entre l’enfant et le professionnel traitant.
DEMANDE DE RECTIFICATION DES RENSEIGNEMENTS PERSONNELS
Lorsque vous ou un de vos représentants autorisés en fait la demande écrite ou en remplissant le formulaire à cet effet, l’organisation pourra rectifier ou supprimer des renseignements vous concernant, et ce, dans les trente (30) jours de la réception de la demande. Les refus sont motivés par écrit par l’organisation dans ce même délai. Si aucune réponse n’est donnée dans ce délai, ceci équivaut à un refus. Il est alors possible de contester un refus devant la CAI. Si la demande est acceptée, l’organisation fournit une preuve confirmant son exécution. L’organisation ne peut pas être tenue responsable de quelconque manquement dans le cas où une demande de rectification n’est pas effectuée par vous alors qu’elle aurait dû.
COMMUNICATION DES RENSEIGNEMENTS PERSONNELS À UN TIERS
Au moment de recueillir des renseignements personnels, l’organisation vous fera remplir un formulaire. Les tiers qui n’y figurent pas doivent obtenir votre consentement exprès pour accéder à vos renseignements personnels, sauf exception. L’organisation s’assure que la politique est respectée par les tiers.
FRAIS DE TRANSCRIPTION, REPRODUCTION OU TRANSMISSION DE RENSEIGNEMENTS PERSONNELS
L’organisation charge des frais raisonnables pour la transcription, la reproduction ou la transmission de renseignements personnels.
PROCESSUS EN CAS D’INCIDENT DE CONFIDENTIALITÉ
En cas d’incident concernant des renseignements personnels, l’organisation s’assure de suivre la procédure prévue dans la Loi sur la protection des renseignements personnels dans le secteur privé et ses règlements. Les personnes concernées, la CAI et certains tiers, lorsque la situation le permet, seront avisés dès que possible. Lorsque vous décelez un incident, vous devez contacter la personne responsable de la protection des renseignements personnels aux coordonnées affichées ci-haut. Les plaintes/signalements sont traités dans un maximum de trente (30) jours après leur dépôt.
Malgré toutes les mesures mises en place, l’organisation ne peut garantir une sécurité infaillible à tout scénario envisageable.
La présente politique n’est plus applicable si vous quittez notre site internet ou si une loi ou un tribunal fait en sorte de contraindre l’organisation à transmettre des renseignements personnels.
Le droit au respect de la vie privée est garanti par la Charte des droits et libertés de la personne et par le Code civil du Québec. De plus, la protection des renseignements personnels est encadrée par la Loi sur la protection des renseignements personnels dans le secteur privé.
La présente politique établit une procédure de gestion des renseignements personnels par l’organisation afin qu’elle recueille, détienne, conserve, utilise et communique des renseignements personnels sur les membres, les usagers, les bénévoles, le personnel et les administrateurs de l’organisme conformément à la loi.
La personne responsable de la protection des renseignements personnels (ci-après : « personne responsable ») dans l’organisation est chargée de l’application et du respect de la présente politique par les représentants de l’organisation, qu’ils soient des membres du personnel, des bénévoles ou des administrateurs, actuels ou passés.
À cet égard, la personne responsable diffuse la présente politique sur son site Internet et la rend disponible aux membres, aux usagers, au personnel, aux bénévoles ou aux administrateurs pour consultation ou formation. En outre, la personne responsable détermine les directives et les procédés nécessaires à l’application de la présente politique.
La présente politique vise à informer les membres, les usagers, le personnel, les bénévoles et les administrateurs de l’organisation des principes qu’elle applique dans la gestion des renseignements personnels qu’elle détient sur eux.
Par ailleurs, elle énonce les règles de conduite auxquelles l’organisation exige que ses membres, ses usagers, son personnel, ses bénévoles et ses administrateurs obéissent lorsqu’ils ont accès aux renseignements personnels détenus sur autrui par l’organisation.
Pour l’application de la présente politique, l’organisation respecte les principes suivants :
- Recueillir uniquement les renseignements personnels nécessaires à la bonne gestion des opérations;
- Aviser les personnes concernées dès que leurs renseignements personnels sont exigés de l’utilisation et de la communication qui en seront faites;
- Informer les personnes concernées de leurs droits, particulièrement relativement aux plaintes, et obtenir leur consentement, lorsque requis par la loi;
- Assurer la sécurité et la confidentialité des renseignements personnels qu’elle détient sur autrui en encadrant leurs conservation, rectification et destruction tout en s’assurant de prévoir les rôles et les responsabilités des membres de son personnel tout au long de leur cycle de vie.
Dans l’ordre de ces principes, l’organisation procède ponctuellement à l’épuration et à la fusion des dossiers, à la révision de ses formulaires et de ses pratiques, à des mises à jour ainsi qu’à la mise en place d’un emplacement dédié à la conservation et à la consultation des renseignements personnels. L’organisation peut également se soumettre à des inspections de la part d’un évaluateur indépendant permettant de valider la qualité de la protection que fait l’organisation de ses renseignements personnels.
Les renseignements personnels sont ceux qui portent sur une personne physique et permettent de l’identifier. Ces renseignements sont confidentiels et doivent être traités comme tels.
Dans l’organisation, sont notamment considérés comme des renseignements personnels : nom, prénom, signature, adresse résidentielle, dossier médical, prescription de médicaments, numéros de téléphone, adresse courriel, image et voix d’une personne, données biométriques, état de santé, dossier relatif à l’emploi, information bancaire/financière, données informatiques, informations qui concernent sa famille, ses amis et d’autres personnes liées, numéro d’assurance sociale, numéro d’assurance maladie et numéro de permis de conduire ainsi que tout document sur lequel se retrouve ces renseignements ou tout document qui réfère à l’existence d’une personne en particulier.
L’organisation recueille des renseignements personnels lorsqu’elle a un intérêt sérieux et légitime de le faire. Des renseignements personnels peuvent être recueillis par des formulaires intégrés sur son site Internet, par entretien téléphonique, par l’entremise d’un formulaire papier ou par toute interaction entre des personnes physiques et l’organisation et/ou ses parties prenantes.
L’organisation recueille notamment des renseignements personnels pour la gestion des :
- Profils-membres;
- Profils-usagers;
- Profils des membres du personnel et des bénévoles;
- Incidents, dont ceux avec de possibles répercussions sur la responsabilité civile de l’organisation ou toute personne liée à celle-ci;
- Demandes d’information sur les services.
Lorsqu’elle recueille des renseignements personnels, l’organisation ne conserve que ceux qui sont nécessaires à son bon fonctionnement. L’organisation est en mesure de justifier la raison pour laquelle elle requiert chaque renseignement personnel.
L’organisation recueille les renseignements personnels auprès de la personne concernée, à moins que cette dernière consente à ce que l’organisation obtienne ces renseignements auprès d’un tiers. En ce cas, l’organisation soumet à la personne concernée le Formulaire d’autorisation à l’échange de renseignements personnels avec un tiers, à l’Annexe 1.
L’organisation peut toutefois recueillir ces renseignements personnels auprès d’un tiers, sans le consentement de la personne concernée, si la collecte, quoique faite dans son intérêt, ne peut être effectuée auprès d’elle en temps opportun. Elle le peut également pour vérifier l’exactitude de ces renseignements obtenus auprès de la personne concernée ou si la loi l’autorise.
L’information qui est déjà ou qui devient connue par le public (information sur des sites Internet ou des profils sur les médias sociaux) peut également être recueillie par l’organisation sans qu’il soit nécessaire de la transmettre directement. Dans ce cas, l’organisation s’engage néanmoins à la recueillir de manière raisonnable et avec discernement. La collecte d’informations par l’entremise de témoins de navigation (« cookies ») sera clairement expliquée sur son site Internet et il sera possible de refuser ceux qui ne sont pas nécessaires.
Lorsque l’organisation recueille des renseignements personnels auprès d’une personne morale, elle inscrit la source de ces renseignements, à moins qu’il s’agisse d’un dossier d’enquête constitué en vue de prévenir, détecter ou réprimer un crime ou une infraction à la loi.
Avant que l’organisation recueille un renseignement personnel, elle informe la personne concernée :
- Des fins auxquelles ces renseignements sont recueillis (collecte);
- Des moyens par lesquels les renseignements sont recueillis;
- De son droit de retirer son consentement à la communication ou à l’utilisation des renseignements recueillis;
- Du nom du tiers pour qui la collecte est faite;
- Des coordonnées du responsable de protection des renseignements personnels;
- Des catégories de personnes, y compris les tiers, pouvant y avoir accès;
- De l’endroit où ses renseignements personnels seront conservés;
- Des mesures de protection mises en place;
- De ses droits d’accès et de rectification prévus par la loi.
Si la personne concernée refuse de donner les renseignements personnels demandés par l’organisation ou refuse de consentir à l’échange de renseignements personnels avec un tiers, il revient à la personne responsable de décider de transiger ou non avec la personne concernée.
Les dossiers physiques contenant des renseignements confidentiels sont gardés sous clé dans un classeur ou dans un emplacement dédié à cette fin par la personne responsable et auquel l’accès est sécurisé. Les membres du personnel sont prohibés de quitter les lieux de travail avec des renseignements personnels sans l’approbation de l’organisation. Les bureaux de l’organisation sont également sécurisés à l’aide d’un code d’accès connu uniquement par le personnel.
Les dossiers informatiques contenant des renseignements personnels sont quant à eux protégés par un chiffrement ou un mot de passe. Les renseignements personnels sont conservés numériquement dans un réseau local hors ligne qui empêche des individus de s’immiscer dans les dossiers de l’organisation. De plus, l’organisation s’est dotée d’un mur pare-feu et d’un logiciel antivirus pour limiter la portée d’attaques malveillantes.
Les catégories de personnes qui ont accès aux renseignements personnels lorsque l’exercice de leur fonction le requiert sont les suivantes :
- Les membres du conseil d’administration et la Direction générale;
- Le personnel.
L’organisation exige de toute personne occupant un poste dans l’une ou l’autre de ces catégories qu’elle remplisse le Formulaire d’engagement à la confidentialité, à l’Annexe 2. L’organisation s’assure également de prévoir les rôles et les responsabilités des membres de son personnel tout au long du cycle de vie de ces renseignements afin qu’ils comprennent comment mettre en œuvre la politique dans leur quotidien.
- Responsable de la politique
- Bruno Decelle est responsable de la protection des renseignements personnels au sein de l’organisation en conformité avec l’article 3.1 de la Loi sur la protection des renseignements personnels dans le secteur privé. M. Bruno Decelle est directeur général de l’organisation. Il est possible de le rejoindre au 450-771-0605, poste 4, ou à bruno.decelle@coopauxptitssoins.com.
En plus de ses autres fonctions, la personne responsable s’assure également que le personnel de l’organisation comprenne les enjeux en matière de protection des renseignements personnels.
Les renseignements personnels recueillis par l’organisation sont utilisés ou communiqués aux seules fins pour lesquelles ils ont été recueillis à moins que la personne concernée y consente ou que la loi l’exige. Les renseignements personnels sont principalement utilisés afin de faciliter la prestation des services aux membres, clients et usagers. Cependant, ils peuvent aussi être utilisés pour des fins d’étude de marché, distribution d’infolettres (il sera possible de cesser son abonnement en tout temps), d’embauche de personnel ou pour toute raison détaillée lors de la collecte des renseignements personnels.
Les renseignements personnels ne seront jamais vendus à des tiers, à moins que l’organisation obtienne un consentement à cet effet.
L’organisation veille, de plus, à ce que les renseignements personnels qu’elle détient sur autrui soient à jour et exacts au moment où elle les utilise pour prendre une décision relativement à la personne concernée.
Lorsque l’objet pour lequel un renseignement personnel a été recueilli est réalisé, l’organisation le détruit, à moins de circonstances exceptionnelles. Conformément à la loi, les renseignements personnels sont conservés au moins un (1) an après toute décision concernant la personne concernée. Les renseignements personnels faisant l’objet d’une demande d’accès ou de rectification sont conservés jusqu’à l’épuisement des recours prévus par la loi. Par ailleurs, l’organisation conserve un renseignement personnel pour la durée requise par les autorités gouvernementales auprès desquelles elle est redevable.
Sous réserve des autres obligations légales/déontologiques quant à la conservation des dossiers que doivent respecter l’organisation et les personnes qui travaillent pour son compte, la personne concernée peut demander que tout dossier la concernant lui soit remis et que tout renseignement personnel autrement détenu par l’organisation soit détruit. La destruction de renseignements personnels peut également entrainer l’impossibilité pour l’organisation de continuer à offrir des services. Cela va de même advenant le cas où la personne concernée ne consent plus à la présente politique.
L’organisation ne jette au rebut aucun document qui contient un renseignement personnel susceptible d’être reconstitué. À chaque fois que cela est possible, ces pièces sont détruites ou déchiquetées. À défaut, l’organisation recourt, selon le cas, au formatage, à la réécriture, au déchiquetage numérique, à la démagnétisation ou à l’écrasement des informations.
À la demande verbale ou écrite d’une personne concernée ou de celle établissant sa qualité de représentant, héritier, successeur, administrateur de la succession, bénéficiaire d’une assurance-vie ou de titulaire de l’autorité parentale de la personne concernée, l’organisation lui confirme qu’elle détient des renseignements personnels relatifs à la personne concernée.
À la demande écrite d’une personne concernée ou de l’une des personnes désignées au précédent paragraphe, l’organisation lui permet, dans les trente (30) jours de la réception de la demande, de consulter ou de transférer, selon le cas, son dossier ou celui de la personne concernée et lui divulgue tout renseignement personnel y étant consigné. Cependant, l’organisation peut refuser la divulgation d’un renseignement personnel dans les cas suivants :
- Elle ne concerne pas les intérêts et les droits de la personne qui le demande à titre de liquidateur, de bénéficiaire, d’héritier ou de successible au liquidateur de la succession;
- Elle révélerait vraisemblablement un renseignement personnel sur un tiers ou l’existence d’un tel renseignement et que cette divulgation serait susceptible de nuire sérieusement à ce tiers, à moins que ce dernier y consente;
- Elle est interdite par la loi, une enquête en cours ou une ordonnance du tribunal.
En cas de refus, l’organisation le motive par écrit à la personne concernée dans ce même délai de trente (30) jours et l’informe de son droit de contester la décision devant la Commission d’accès à l’information. À défaut de répondre à une demande d’accès dans ce délai, l’organisation est réputée avoir refusé l’accès, auquel cas la personne intéressée peut s’adresser à la Commission d’accès à l’information pour faire valoir ses droits.
Malgré ce qui précède, l’organisation ne peut refuser à une personne concernée de lui divulguer un renseignement personnel la concernant s’il s’agit d’un cas d’urgence mettant en danger la vie, la santé ou la sécurité de la personne concernée.
Toutefois, l’organisation peut refuser momentanément la consultation des renseignements personnels relatifs à la santé qu’elle détient sur la personne concernée dans le cas où il en résulterait un préjudice grave pour sa santé et à la condition de lui offrir de désigner un professionnel du domaine de la santé pour recevoir la communication de tels renseignements et de les communiquer à ce dernier. Ce professionnel détermine alors le moment où la consultation pourra être faite et en avise la personne concernée.
Enfin, à moins que la demande soit présentée par le titulaire de l’autorité parentale, l’organisation refuse la communication à une personne concernée âgée de moins de 14 ans d’un renseignement de nature médicale ou sociale la concernant ou refuse de l’informer de l’existence d’un tel renseignement contenu dans un dossier constitué sur elle, sauf par l’intermédiaire de son avocat dans le cadre d’une procédure judiciaire. Les communications normales entre un professionnel de la santé et des services sociaux et son patient ne s’en trouvent pas restreintes pour autant.
Lorsqu’une demande de consultation ou de rectification de renseignements personnels est faite à un représentant de l’organisation, celui-ci invite le requérant à remplir le Formulaire de demande d’accès ou de rectification de renseignements personnels, à l’Annexe 3, à moins que la demande ait été présentée par écrit. Il achemine ensuite le formulaire complété par le requérant ou sa demande écrite à la personne responsable qui veille à l’analyser et, selon le cas, à déterminer les modalités d’accès, la façon d’apporter les corrections demandées ou à motiver le refus.
À la demande écrite de la personne concernée ou d’une personne désignée au premier paragraphe de la section « Droit d’accès et de transfert des renseignements personnels », l’organisation procède à la rectification de renseignements inexacts, incomplets ou équivoques, selon le cas, à son dossier ou au dossier de la personne concernée, à l’ajout de commentaires ou à la suppression de renseignements périmés, non justifiés par l’objet du dossier ou dont la collecte n’était pas autorisée par la loi, et ce, dans les trente (30) jours de la réception de la demande.
En cas de refus, l’organisation le motive par écrit à la personne concernée dans ce même délai de trente (30) jours et l’informe de son droit de contester la décision devant la Commission d’accès à l’information. À défaut de répondre à une demande de rectification dans ce délai, l’organisation est réputée avoir refusé d’y acquiescer, auquel cas la personne intéressée peut s’adresser à la Commission d’accès à l’information pour faire valoir ses droits.
En acquiesçant à une demande de rectification, l’organisation délivre sans frais au requérant une copie de tout renseignement personnel modifié ou ajouté ou, selon le cas, une attestation du retrait d’un renseignement personnel.
L’organisation notifie sans délai la rectification ou la demande de rectification contestée à toute personne qui a reçu les renseignements dans les six (6) mois précédents et, le cas échéant, à la personne de qui elle les tient.
Il est de la responsabilité des personnes ayant transmis leurs renseignements personnels d’aviser l’organisation de tout changement relativement à ceux-ci. L’organisation ne peut pas être tenue responsable de quelconque manquement dans le cas où une demande de rectification n’est pas effectuée alors qu’elle aurait dû.
Au moment de recueillir des renseignements personnels, l’organisation soumet le Formulaire d’autorisation à l’échange de renseignements personnels avec un tiers, à l’Annexe 1, en enjoignant à la personne concernée de le compléter si elle consent à ce que l’organisation communique à des tiers des renseignements personnels la concernant. L’organisation l’avisera des communications qui seront effectuées suivant ce formulaire.
Lorsqu’un tiers qui n’est pas identifié au Formulaire d’autorisation à l’échange de renseignements personnels avec un tiers, à l’Annexe 1, demande à l’organisation de lui communiquer des renseignements personnels concernant un membre, un usager, un membre du personnel, un bénévole ou un administrateur de l’organisation, l’organisation requiert du tiers qu’il obtienne un consentement écrit de la personne concernée contenant les informations suivantes :
- L’identification de la personne concernée;
- Une description des renseignements personnels à communiquer;
- L’identification du tiers à qui les renseignements peuvent être communiqués;
- La date limite de l’autorisation;
- La signature de la personne concernée ou de son représentant autorisé.
Toutefois, l’organisation peut communiquer des renseignements personnels à un tiers qui n’est pas identifié sur le Formulaire d’autorisation à l’échange de renseignements personnels avec un tiers, à l’Annexe 1, si ce tiers est :
- Le procureur de la personne concernée;
- Le procureur général si le renseignement est requis aux fins d’une poursuite pour infraction à une loi applicable au Québec;
- Une personne chargée en vertu de la loi de prévenir, détecter ou réprimer le crime ou les infractions aux lois, qui le requiert dans l’exercice de ses fonctions, si le renseignement est nécessaire pour la poursuite d’une infraction à une loi applicable au Québec;
- Une personne à qui il est nécessaire de communiquer le renseignement dans le cadre de l’application de la loi ou d’une convention collective et qui le requiert dans l’exercice de ses fonctions;
- Un organisme public qui, par l’entremise d’un représentant, peut en recueillir dans l’exercice de ses attributions ou dans la mise en œuvre d’un programme dont il a la gestion;
- Une personne ou un organisme ayant le pouvoir de contraindre à leur communication et qui les requiert dans l’exercice de ses fonctions (ex. : les tribunaux);
- Une personne à qui cette communication doit être faite en raison d’une situation d’urgence mettant en danger la vie, la santé ou la sécurité de la personne concernée;
- Une personne ou un organisme, conformément aux articles 18.1, 18.2, 18.3 (à compter du 22 septembre 2023 pour cet article) et 18.4 de la Loi sur la protection des renseignements personnels dans le secteur privé;
- Une personne qui est autorisée à utiliser ce renseignement à des fins d’étude, de recherche ou de statistique;
- Une personne qui, en vertu de la loi, peut recouvrer des créances pour autrui et qui le requiert dans l’exercice de ses fonctions;
- Une personne si le renseignement est nécessaire aux fins de recouvrer une créance de l’organisation.
L’organisation doit inscrire au dossier de la personne concernée toute communication faite en vertu des paragraphes f) à k).
Lorsque l’organisation confie à une autre organisation le soin de détenir, utiliser ou communiquer des renseignements personnels pour son compte, elle doit, avant de communiquer ces renseignements personnels, recevoir l’engagement écrit de cette organisation suivant lequel elle respecte la présente politique de protection des renseignements personnels.
Lorsque l’organisation communique des renseignements personnels à l’extérieur du Québec, elle s’assure que ces renseignements ne seront pas utilisés à des fins non pertinentes à l’objet du dossier ni communiqués à des tiers sans le consentement de la personne concernée, sauf aux tiers décrits aux paragraphes a) à j) de cette section. Si l’organisation estime que ces conditions ne seront pas respectées, elle doit refuser la communication.
L’organisation charge des frais raisonnables pour la transcription, la reproduction ou la transmission de renseignements personnels. Ces frais sont établis par la personne responsable et sont sujets à révision périodiquement.
Avant de procéder à la transcription, la reproduction ou la transmission de ces renseignements, l’organisation informe le requérant du montant approximatif exigible.
À l’occasion d’une transmission par courriel, les représentants de l’organisation indiquent, dans l’objet, la nature confidentielle de la transmission et, dans le message, la mention de confidentialité invitant le destinataire à communiquer avec l’expéditeur sans délai en cas de réception par erreur. Les représentants de l’organisation indiquent, dans la signature du courriel, leur nom ainsi que l’adresse et les numéros de téléphone et de télécopieur pour les rejoindre au travail.
À l’occasion d’une transmission par courrier, les représentants de l’organisation indiquent clairement, sur l’emballage, le nom et l’adresse de la personne autorisée à recevoir les documents. Ils joignent à l’envoi une lettre dans laquelle ils précisent la nature confidentielle des renseignements et une mention de confidentialité invitant le destinataire à communiquer avec l’expéditeur sans délai en cas de réception par erreur.
En conformité avec la Loi sur la protection des renseignements personnels dans le secteur privé, un incident de confidentialité peut prendre les formes suivantes :
- L’accès non autorisé par la loi à un renseignement personnel;
- L’utilisation non autorisée par la loi d’un renseignement personnel;
- La communication non autorisée par la loi d’un renseignement personnel;
- La perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.
En cas d’incident concernant des renseignements personnels, l’organisation s’assure de suivre la procédure prévue dans la Loi sur la protection des renseignements personnels dans le secteur privé et ses règlements connexes. Lorsqu’un incident présente un risque de préjudice sérieux, la Commission d’accès à l’information (CAI) ainsi que les personnes concernées par l’incident seront avisées dans la mesure où la situation le permet, et ce, le plus rapidement possible suivant la connaissance de l’incident. Le contenu de ces avis est prévu aux Annexes 4 et 5 respectivement.
Si des tiers doivent être contactés afin de mitiger les dommages pouvant découler de l’incident, la personne responsable de la protection des renseignements personnels s’assurera de communiquer uniquement les renseignements personnels nécessaires à cette fin ainsi que d’enregistrer cette communication. Un registre des incidents sera mis à jour par la personne responsable de la protection des renseignements personnels. Le contenu de ce registre se trouve à l’Annexe 6.
En transmettant des renseignements personnels à l’organisation, il est entendu que les personnes concernées comprennent que l’organisation déploie les meilleures pratiques de travail et mécanismes de protection afin de limiter la possibilité de la survenance d’un quelconque incident, fuite ou mauvaise utilisation des renseignements personnels. Cependant, l’organisation ne peut garantir une sécurité infaillible à tout scénario envisageable.
Lorsqu’une personne concernée remarque qu’un incident concernant ses renseignements personnels aurait pu avoir lieu au sein de l’organisation, elle doit contacter la personne responsable de la protection des renseignements personnels aux coordonnées affichées ci-haut. Les plaintes/signalements sont traités dans un maximum de trente (30) jours après leur dépôt.
Lorsqu’une personne concernée quitte le site Internet de l’organisation pour n’importe quel autre site Internet dont le lien figure sur celui de l’organisation, la présente politique n’est plus applicable. Il faut alors se référer à leur politique, le cas échéant.
Lorsqu’une loi, un règlement ou une ordonnance du tribunal fait en sorte de contraindre l’organisation à transmettre des renseignements personnels, il est entendu que l’organisation ne peut pas garantir le niveau de confidentialité et sécurité institué par la personne ou le gouvernement qui se les voit conférer.
Advenant une fusion ou autre restructuration juridique de l’organisation, cette dernière pourra transmettre tous les renseignements personnels à la nouvelle entité juridique ainsi créée.
Toute modification sera mise à jour sur le site Internet de l’organisation et envoyée à l’adresse courriel des personnes concernées si elles ont été transmises.
La présente politique est adoptée le : 25 octobre 2023
La présente politique entre en vigueur le : 25 octobre 2023
ANNEXES
ANNEXE 1 – FORMULAIRE D’AUTORISATION À L’ÉCHANGE
DE RENSEIGNEMENTS PERSONNELS AVEC UN TIERS
Par la présente, j’autorise _________________________________________________________
Nom de l’organisation
□ À communiquer aux personnes et organisations suivantes :
□ À recueillir auprès des personnes et organisations suivantes :
Les renseignements suivants me concernant :
Cette autorisation est valide
□ pour une période de 3 ans à partir de la date de signature de ce document.
□ jusqu’à un avis contraire de ma part.
Date : __________________
Nom de la personne concernée en lettres moulées Signature de la personne concernée
Date : __________________
Nom du représentant autorisé en lettres moulées Signature du représentant autorisé
ANNEXE 2 – FORMULAIRE D’ENGAGEMENT À LA CONFIDENTIALITÉ
Je, soussigné(e), suis au service de _______________________________________ à titre de
Nom de l’organisation
_______________________________.
Fonction ou occupation
Je déclare avoir pris connaissance de la Politique de protection des renseignements personnels et être informé(e) des directives et procédés d’application en vigueur.
Dans le cadre de mes fonctions, j’agis à titre de représentant de l’organisation pour l’application de la Politique de protection des renseignements personnels et j’assure la confidentialité des renseignements personnels auxquels j’ai accès conformément à cette politique et aux directives et procédés d’application en vigueur.
Je comprends qu’une contravention à cet engagement peut entrainer des sanctions de nature disciplinaire incluant le congédiement et m’expose à des recours civils et pénaux.
À la fin de mon lien d’emploi, je maintiens cet engagement de confidentialité.
Date : __________________
Nom en lettres moulées Signature
ANNEXE 3 – FORMULAIRE D’ACCÈS ET DE RECTIFICATION DE RENSEIGNEMENTS PERSONNELS
À :
Nom de l’organisation
□ Je désire consulter les document(s) suivants me concernant pour la période entre _________________________ et _________________________ :
□ Je désire recevoir copie de ces documents et j’accepte que des frais de transcription, reproduction ou de transmission me seront facturés.
□ Je désire apporter les rectifications et/ou suppressions suivantes aux renseignements personnels inexacts, périmés, impertinents, incomplets, équivoques ou recueillis en contravention de la loi me concernant (veuillez préciser les renseignements à rectifier ou supprimer et les motifs justifiant la rectification. Au besoin, joignez tout document pertinent à l’appui de votre demande).
Commentaires additionnels
Date : __________________
Nom en lettres moulées Signature
ANNEXE 4 – CONTENU DE L’AVIS À LA CAI EN CAS D’INCIDENT DE CONFIDENTIALITÉ
L’avis à la CAI contient :
- Le nom et NEQ de l’organisation
- Le nom de la personne responsable de la protection des renseignements personnels
- Une description des renseignements personnels visés par l’incident (si cette information n’est pas connue, la raison justifiant l’impossibilité de fournir une telle description)
- Une brève description des circonstances de l’incident (et, si elle est connue, sa cause)
- La date ou la période où l’incident a eu lieu (et, si elle est inconnue, une approximation)
- La date ou la période au cours de laquelle l’organisation a pris connaissance de l’incident
- Le nombre de personnes concernées par l’incident et, parmi celles-ci, le nombre de résidents québécois (ou, s’ils ne sont pas connus, une approximation de ces nombres)
- Une description des éléments qui amènent l’organisation à conclure qu’il existe un risque qu’un préjudice sérieux soit causé aux personnes concernées
- Les mesures que l’organisation a prises ou entend prendre afin d’aviser les personnes concernées (y compris la date où les personnes ont été avisées ou le délai d’exécution envisagé)
- Les mesures que l’organisation a prises ou entend prendre à la suite de la survenance de l’incident (y compris la date ou la période où les mesures ont été prises ou le délai d’exécution envisagé)
- Le cas échéant, une mention précisant qu’une personne ou un organisme situé à l’extérieur du Québec exerçant des responsabilités similaires à la CAI a été avisé de l’incident.
L’information transmise dans l’avis doit être mise à jour en cas de changements ultérieurs.
ANNEXE 5 – CONTENU DE L’AVIS AUX PERSONNES CONCERNÉES EN CAS D’INCIDENT DE CONFIDENTIALITÉ
L’avis aux personnes concernées contient :
- Une description des renseignements personnels visés par l’incident (si cette information n’est pas connue, la raison justifiant l’impossibilité de fournir une telle description)
- Une brève description des circonstances de l’incident
- La date ou la période où l’incident a eu lieu (et, si elle est inconnue, une approximation)
- Une brève description des mesures que l’organisation a prises ou entend prendre à la suite de la survenance de l’incident, afin de diminuer les risques qu’un préjudice soit causé
- Les mesures que l’organisation suggère à la personne concernée de prendre afin de diminuer le risque qu’un préjudice lui soit causé ou afin d’atténuer un tel préjudice
- Les coordonnées permettant à la personne concernée de se renseigner davantage relativement à l’incident
L’avis peut être public si :
- Le fait de transmettre l’avis est susceptible de causer un préjudice accru à la personne concernée
- Le fait de transmettre l’avis est susceptible de représenter une difficulté excessive pour l’organisation
- L’organisation n’a pas les coordonnées de la personne concernée
- L’organisation ne se trouve pas dans l’un des trois cas énoncés ci-haut, mais veut informer les personnes concernées rapidement sans pour autant négliger de leur transmettre un avis directement par la suite
ANNEXE 6 – CONTENU DU REGISTRE DES INCIDENTS DE CONFIDENTIALITÉ
- Le numéro d’incident (à titre de référence à l’interne)
- Une description des renseignements personnels visés par l’incident (si cette information n’est pas connue, la raison justifiant l’impossibilité de fournir une telle description)
- Une brève description des circonstances de l’incident
- La date ou la période où l’incident a eu lieu (et, si elle est inconnue, une approximation)
- La date ou la période au cours de laquelle l’organisation a pris connaissance de l’incident
- Le nombre de personnes concernées par l’incident (ou, s’il n’est pas connu, une approximation de ce nombre)
- Une description des éléments qui amènent l’organisation à conclure qu’il existe un risque qu’un préjudice sérieux soit causé aux personnes concernées
- Les dates de transmission des avis à la CAI et aux personnes concernées ainsi qu’une mention indiquant si des avis publics ont été donnés par l’organisation et la raison pour laquelle ils l’ont été, le cas échéant
- Une brève description des mesures prises par l’organisation, à la suite de la survenance de l’incident, afin de diminuer les risques qu’un préjudice soit causé
Les renseignements contenus au registre doivent être tenus à jour et conservés pendant une période minimale de cinq ans après la date ou la période au cours de laquelle l’organisation a pris connaissance de l’incident.