Politique de confidentialité

0

POLITIQUE DE GESTION ET DE PROTECTION DES RENSEIGNEMENTS PERSONNELS

  1. Contexte

Le Centre communautaire Radisson (CCR) est une personne morale à but non lucratif qui traite des renseignements personnels dans le cadre de ses activités de renforcement de la participation citoyenne des adultes en situation de handicap physique dans un contexte de vie communautaire.

La présente politique de gestion et de protection des renseignements personnels (ci-après nommée « politique ») vise à assurer la confidentialité et la protection des renseignements personnels pour toute leur durée de vie et à encadrer la manière dont le CCR les collecte, les utilise, les communique, les conserve, les détruit et traite toute demande relative à ces renseignements. De plus, cette Politique vise à informer toute personne intéressée sur la manière dont le CCR traite leurs renseignements personnels. Elle vise enfin le traitement des renseignements personnels recueillis, et ce, quel que soit le moyen utilisé pour la collecte, la conservation et l’utilisation.

  1. Application et définitions

Cette politique s’applique au CCR; soit son conseil d’administration, ses personnes dirigeantes, son personnel employé et ses bénévoles, le cas échéant. Elle s’applique également au site internet et aux réseaux sociaux administrés par le CCR.

Elle vise tous les types de renseignements personnels : les renseignements de ses personnes employées, de ses personnes administratrices, de ses membres, de ses fournisseurs ou de toutes autres personnes (comme les visiteurs de son site internet).

Pour l’application des présentes, un renseignement personnel est un renseignement qui concerne une personne physique et qui permet, directement ou indirectement, de l’identifier. Il est confidentiel.

Un renseignement personnel sensible est un renseignement qui suscite un haut degré d’attente raisonnable en matière de vie privée : par exemple, les renseignements de santé, les renseignements bancaires, les renseignements biométriques, l’orientation sexuelle, l’origine ethnique, les opinions politiques, les croyances religieuses ou philosophiques.

De manière générale, les coordonnées professionnelles ou les coordonnées d’affaires d’une personne ne constituent pas des renseignements personnels. Parmi ces informations, mentionnons son nom, son titre, sa fonction, ainsi que l’adresse, l’adresse courriel et le numéro de téléphone de son lieu de travail.

De plus, cette Politique ne s’applique pas à un renseignement personnel qui a un caractère public en vertu de la loi.

  1. Collecte, utilisation et communication

Types de renseignements

Dans le cadre de ses activités, le CCR peut collecter différents types de renseignements, et ce, à différentes fins. Les types de renseignements que le CCR collecte, leur utilisation (l’objectif visé) ainsi que les moyens par lesquels les renseignements sont recueillis et conservés dans une liste des renseignements peuvent vous être communiqués sur demande auprès du responsable de la protection des renseignements personnels.

Le CCR applique les principes généraux suivants, relativement à la collecte, à l’utilisation et à la communication des renseignements personnels :

Collecte et consentement

  • Le CCR collecte les renseignements personnels directement auprès de la personne concernée. Le CCR ne collecte des renseignements que s’il y a une raison valable de le faire. De plus, la collecte est limitée aux renseignements nécessaires dont il a besoin pour remplir l’objectif visé.
  • En plus d’obtenir un consentement libre (sans contrainte), éclairé (informé) et explicite (ne peut ni provenir d’un tiers ni être présumé), le CCR doit informer les personnes concernées, au moment de la collecte de leurs renseignements personnels, de tout autre renseignement recueilli, des fins pour lesquelles ils sont collectés, des moyens de conservation et d’utilisation de ces mêmes renseignements, en plus des autres éléments requis par la loi.
  • À moins d’un consentement de la personne concernée, le CCR :
    • Ne peut collecter ses renseignements personnels auprès de tiers;
    • Ne peut communiquer à des tiers ses renseignements personnels;
    • Ne peut utiliser ses renseignements personnels pour tout autre objectif ou toute autre fin préalablement prévue.
  • Cependant, le CCR peut agir sans consentement dans les cas prévus par la loi et dans les conditions prévues par celle-ci.
  • Si le CCR collecte des renseignements personnels auprès de tiers (avec consentement ou selon les exceptions prévues par la loi), la personne concernée peut demander la source des renseignements collectés par le CCR.
  • Cependant, le CCR peut collecter des renseignements personnels auprès de tiers sans le consentement de la personne concernée s’il a un intérêt sérieux et légitime à le faire et
  1. si la cueillette est dans l’intérêt de la personne et qu’il n’est pas possible de le faire auprès d’elle en temps utile, ou
  2. si cette cueillette est nécessaire pour s’assurer que les renseignements sont exacts.

Détention et utilisation

  • Le CCR veille à ce que les renseignements qu’il détient soient conservés dans des lieux de stockage sécurisés.
  • Au moment de leur utilisation, le CCR s’assure que les renseignements personnels sont à jour et exacts.
  • Le CCR ne peut utiliser les renseignements personnels d’une personne que pour les raisons indiquées aux présentes ou pour toutes autres raisons fournies lors de la collecte. Dès l’utilisation des renseignements pour une autre raison ou une autre fin, un nouveau consentement libre, éclairé et expresse doit être obtenu de la personne concernée.
  • Le CCR peut utiliser les renseignements personnels à d’autres fins sans consentement de la personne concernée dans les cas prévus par la loi, notamment :
    • Lorsque cette utilisation est manifestement au bénéfice de cette personne;
    • Lorsque cela est nécessaire pour prévenir ou détecter une fraude;
    • Lorsque cela est nécessaire pour évaluer ou améliorer des mesures de protection et de sécurité.

Accès limité     Le CCR met en place des mesures pour limiter l’accès à un renseignement personnel seulement aux personnes employées et aux personnes au sein de son organisation qui ont la qualité pour en prendre connaissance et pour qui ce renseignement est nécessaire dans l’exercice de leurs fonctions. Le CCR demandera le consentement de la personne avant d’accorder l’accès à toute autre personne.

  1. Conservation et destruction des renseignements personnels

Sauf si une durée minimale de conservation est requise par la loi ou la réglementation applicable, le CCR ne conservera les renseignements personnels que pour la durée nécessaire à la réalisation des fins pour lesquelles ils ont été collectés.

Les renseignements personnels utilisés par le CCR pour prendre une décision relative à une personne doivent être conservés durant une période d’au moins un an suivant la décision en question ou même sept années après la fin de l’année fiscale où la décision a été prise si celle-ci a des incidences fiscales (par exemple, les circonstances d’une fin d’emploi).

À la fin de leur durée de conservation ou lorsque les renseignements personnels ne sont plus nécessaires, le CCR s’assure :

  1. de les détruire, ou
  2. de les anonymiser (c’est-à-dire de veiller à ce que les renseignements ne permettent plus, de façon irréversible, d’identifier la personne et à ce qu’il ne soit plus possible d’établir un lien entre la personne et ces mêmes renseignements personnels) pour les utiliser à des fins sérieuses et légitimes.

La destruction de renseignements par le CCR doit être faite de façon sécuritaire afin d’en assurer la protection.

  1. Responsabilités du CCR

De manière générale, le CCR est responsable de la protection des renseignements personnels qu’il détient.

Le responsable de la protection des renseignements personnels est la direction du CCR. Ses responsabilités sont, de façon générale :

  • D’assurer le respect de la législation applicable concernant la protection des renseignements personnels;
  • D’approuver les politiques et les pratiques encadrant la gouvernance des renseignements personnels;
  • De mettre en œuvre la présente politique et de veiller à ce qu’elle soit connue, comprise et appliquée.

En cas d’absence ou d’impossibilité d’agir de ce responsable, la présidence du CCR assurera les fonctions du responsable de la protection des renseignements personnels.

Le personnel du CCR ayant accès à des renseignements personnels ou étant autrement impliqué dans la gestion de ceux-ci doit en assurer la protection et respecter la présente politique.

Tout au long du cycle de vie des renseignements personnels, les rôles et les responsabilités des personnes employées du CCR peuvent être précisés par toute autre politique.

  1. Sécurité des données

Le CCR s’engage à mettre en place des mesures de sécurité raisonnables pour assurer la protection des renseignements personnels qu’il détient. Les mesures de sécurité en place correspondent, entre autres, à la finalité, à la quantité, à la répartition, au support et à la sensibilité des renseignements.

Concernant l’accès aux renseignements personnels, le CCR met en place des mesures pour imposer des contraintes aux droits d’utilisation de ses systèmes d’information de sorte que leur accès soit limité aux seules les personnes employées et aux personnes au sein de son organisation qui ont la qualité pour en prendre connaissance et pour qui ces mêmes renseignements sont nécessaires dans l’exercice de leurs fonctions.

  1. Droits d’accès, de rectification et de retrait du consentement

Pour faire valoir ses droits d’accès, de rectification ou de retrait du consentement, la personne concernée doit soumettre une demande écrite à cet effet au responsable de la protection des renseignements personnels du CCR, à l’adresse courriel indiquée à la section 10.

Sous réserve de certaines restrictions légales, les personnes concernées peuvent demander l’accès à leurs renseignements personnels détenus par le CCR et en demander leur correction dans le cas où ils sont inexacts, incomplets ou équivoques. Elles peuvent également exiger que cesse la diffusion d’un renseignement personnel qui les concerne ou que soit désindexé tout hyperlien rattaché à leur nom permettant d’accéder à ce renseignement par un moyen technologique, lorsque la diffusion de ce renseignement contrevient à la loi ou à une ordonnance judiciaire. Elles peuvent faire de même ou encore exiger que l’hyperlien permettant d’accéder à ce renseignement soit réindexé lorsque certaines conditions prévues par la loi sont réunies.

La personne responsable de la protection des renseignements personnels du CCR doit répondre par écrit à ces demandes dans les 30 jours de la date de réception de la demande. Tout refus doit être motivé et accompagné de la disposition légale justifiant le refus. Dans ces cas, la réponse doit indiquer les recours en vertu de la loi et le délai pour les exercer. Au besoin, le responsable doit aider le requérant à comprendre le refus.

Sous réserve des restrictions légales et contractuelles applicables, les personnes concernées peuvent retirer leur consentement à la communication ou à l’utilisation des renseignements recueillis.

Elles peuvent également demander au CCR la nature des renseignements personnels recueillis auprès d’elles, les catégories de personnes au CCR qui y ont accès et leur durée de conservation.

  1. Processus de traitement des plaintes

Réception

Toute personne qui souhaite formuler une plainte relative à l’application de la présente politique ou, plus généralement, à la protection de ses renseignements personnels par le CCR doit le faire par écrit en s’adressant à la personne responsable de la protection des renseignements personnels du CCR, à l’adresse courriel indiquée à la section 10.

L’individu indique son nom, ses coordonnées pour le joindre, incluant un numéro de téléphone, ainsi que l’objet et les motifs de sa plainte en donnant suffisamment de détails pour que celle-ci puisse être évaluée par le CCR. Si la plainte formulée n’est pas suffisamment précise, la personne responsable de la protection des renseignements personnels peut requérir toute information additionnelle qu’elle juge nécessaire pour pouvoir évaluer la plainte.

Traitement

Le CCR s’engage à traiter toute plainte reçue de façon confidentielle.

Dans les 30 jours suivant la réception de la plainte ou suivant la réception de tout autre renseignement jugé nécessaire et requis pour la traiter, la personne responsable de la protection des renseignements personnels du CCR évalue cette même plainte et formule une réponse motivée, écrite par courriel et envoyée à la personne plaignante. Cette évaluation vise à déterminer si le traitement des renseignements personnels est conforme à la présente politique, à toute autre politique et pratique en vigueur au sein de l’organisation et à la législation ou réglementation applicables.

Dans le cas où la plainte ne peut être traitée dans ce délai, la personne plaignante doit être informée des motifs justifiant l’extension du délai, de l’état d’avancement du traitement de sa plainte et du délai raisonnable nécessaire pour pouvoir lui fournir une réponse définitive.

Le CCR doit constituer un dossier distinct pour chacune des plaintes qui lui sont adressées. Chaque dossier contient la plainte, l’analyse et la documentation à l’appui de son évaluation, ainsi que la réponse envoyée à la personne à l’origine de la plainte.

Il est également possible de déposer une plainte auprès de la Commission d’accès à l’information du Québec ou à tout autre organisme de surveillance en matière de protection des renseignements personnels responsable de l’application de la loi concernée par l’objet de la plainte.

Toutefois, le CCR invite toute personne intéressée à s’adresser d’abord à la personne responsable de la protection des renseignements personnels et à attendre la fin du processus de traitement par le CCR.

  1. Incident de confidentialité

Un incident de confidentialité correspond à :

  • Tout accès non autorisé par la loi à un renseignement personnel;
  • Toute utilisation ou communication d’un renseignement personnel non autorisées par la loi;
  • La perte d’un renseignement personnel ou toute autre atteinte à sa protection.

Lorsqu’une personne employée, une personne bénévole ou une personne participante constate un incident de confidentialité, elle doit informer avec diligence la direction générale du CCR ou la personne responsable de la protection des renseignements personnels du CCR afin que l’incident soit inscrit au registre. Pour ce faire, la personne complète un formulaire de signalement et l’achemine ensuite à la direction générale ou à la personne responsable.

Doivent être colligés dans le formulaire de signalement :

  • Une description des renseignements personnels touchés par l’incident ou, si cette information est inconnue, les raisons pour lesquelles il est impossible de fournir une telle description;
  • Une brève description des circonstances de l’incident;
  • La date ou la période à laquelle a eu lieu l’incident (ou une approximation si cette information n’est pas connue);
  • La date ou la période à laquelle l’organisation s’est aperçue de l’incident;
  • Le nombre de personnes concernées par l’incident (ou une approximation si cette information n’est pas connue).

La personne responsable de la protection des renseignements personnels détermine les mesures raisonnables pour réduire le risque de préjudice et pour prévenir de nouveaux incidents. Elle doit de plus juger si l’incident présente un « risque sérieux de préjudice ». Les renseignements ainsi que les mesures à prendre afin de diminuer le risque qu’un préjudice sérieux soit causé aux personnes concernées sont versés au registre.

Si l’incident présente un risque sérieux de préjudice, la direction générale ou la personne responsable de la protection des renseignements personnels avise la Commission d’accès à l’information et les personnes concernées de tout incident présentant un risque sérieux de préjudice à l’aide du formulaire approprié.

Le registre conserve les informations sur un incident de confidentialité pour une période de cinq ans.

  1. Approbation

La présente politique est approuvée par la personne responsable de la protection des renseignements personnels du CCR :

Responsable de la protection des renseignements personnels

Emmanuel Barbot

info@centreradisson.com

514 252-1671

Pour toute demande, question ou commentaire lié à la présente politique, communiquez par courriel ou par téléphone avec la personne responsable de la protection des renseignements personnels.

  1. Publication et modifications

La présente politique est publiée sur le site internet du CCR. Elle est également diffusée par tout moyen propre à atteindre les personnes concernées.

Le CCR procède de même pour toutes les modifications à la présente politique, lesquelles font également l’objet d’un avis pour en informer les personnes concernées.

Première version en vigueur le 22 novembre 2023