Politique de Protection des Renseignements Personnels et Confidentiels
Dernière mise à jour : 13 décembre 2024
OBJECTIF
La présente politique a pour objectif d’établir les pratiques de la Corporation Jean-Paul Morin en matière de gouvernance et de protection des renseignements personnels, conformément aux lois applicables, incluant la Loi P36.1 sur la protection des renseignements personnels dans le secteur privé1. Elle s’applique à toute personne employée, bénévole, partenaire, consultante ou autrement en lien avec l’organisme et qui collecte, utilise, communique, conserve, détruit ou reçoit de l’organisme des renseignements personnels dans le cadre de ses fonctions vis-à-vis de l’organisme.
P-39.1 - Loi sur la protection des renseignements personnels dans le secteur privé (gouv.qc.ca)
DÉFINITION
Renseignement personnel
On entend par « renseignement personnel » tout renseignement qui concerne une personne physique et permet de l’identifier. Ceci peut inclure, sans limitation, un nom, une adresse courriel, un numéro de téléphone, un numéro de carte de crédit, un numéro d’assurance sociale, une photographie, etc.
PRINCIPES GÉNÉRAUX
Collecte
L’organisme ne collecte que les renseignements personnels nécessaires à la réalisation de sa mission et de ses activités. Par exemple, il peut s’agir de renseignements collectés dans le cadre d’une inscription à une formation, d’une activité, d’une prestation de services ou encore d’une embauche. L’organisme s’assure d’informer toute personne concernée par une telle collecte des fins auxquelles ses renseignements sont recueillis, des moyens par lesquels les renseignements sont recueillis ainsi que de ses droits quant à ces renseignements.
Utilisation des renseignements personnels
Les renseignements personnels collectés par l’organisme ne sont pas utilisés à d’autres fins que celles pour lesquelles ils ont été collectés, à moins que l’organisme n’ait obtenu le consentement des personnes concernées ou que la loi ne le permette. Par ailleurs, ces renseignements personnels ne sont accessibles qu’aux représentant.e.s de l’organisme qui en ont besoin dans l’exercice de leurs fonctions.
Communication
L’organisme ne communique pas des renseignements personnels sans le consentement de la personne concernée, sous réserve des exceptions prévues par la loi. Le consentement doit être donné expressément lorsque des renseignements personnels sensibles sont en cause.
Tel que prévu par la loi, l’organisme peut transférer les renseignements personnels qu’il collecte à un tout prestataire de services sans le consentement de la personne concernée. Dans un tel cas, l’organisme met en place un contrat écrit qui prévoit les mesures que le cocontractant s’engage à prendre pour garder les renseignements personnels confidentiels, les utiliser dans l’unique but d’exécuter son mandat et les détruire une fois le mandat complété.
Conservation des renseignements personnels
Les renseignements personnels sont conservés par l’organisme pour la durée nécessaire afin d’accomplir les fins pour lesquelles ils ont été recueillis, sous réserve d’un délai de conservation prévu par la loi. L’organisme a mis en place un calendrier de conservation des renseignements personnels.
Destruction des renseignements personnels
Les renseignements personnels sont détruits ou anonymisé un an après lorsque les fins pour lesquelles ils ont été recueillis sont accomplies ou lorsque tout délai de conservation prévu par la loi est échu. Lorsque l’organisme procède à la destruction de documents contenant des renseignements personnels, il s’assure d’utiliser une méthode de destruction adéquate de manière à assurer la confidentialité de ces renseignements.
Consentement
Dans les situations où un consentement est requis, l’organisme doit s’assurer que ce consentement est manifeste, libre, éclairé et être donné à des fins spécifiques. Ce consentement doit être demandé en termes simples et clairs et ne vaut que pour la durée nécessaire à la réalisation des fins auxquelles il a été demandé.
Sécurité
L’organisme a adopté des mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits. Ces mesures tiennent compte, notamment, de leur sensibilité et de la finalité de leur utilisation. L’organisme a recours, entre autres, aux mesures de sécurité suivantes :
-
La protection des lieux physiques de l’organisme
-
La protection des équipements technologiques, notamment par l’utilisation de mots de passe sécurisés, de pare-feu, et de mises à jour courante des mesures de sécurité
-
La restriction d’accès aux seules personnes ayant besoin de consulter les renseignements personnels
-
L’utilisation de serveurs canadiens
-
La sensibilisation et formation du personnel à la protection des renseignements personnels
De plus, l’organisme exige que toute personne employée, bénévole, partenaire, consultante ou autrement en lien avec l’organisme et qui collecte, utilise, communique, conserve, détruit ou reçoit de l’organisme des renseignements personnels dans le cadre de ses fonctions vis-à-vis de l’organisme respecte cette Politique.
Évaluation des facteurs relatifs à la vie privée
L’organisme procède à une évaluation des facteurs relatifs à la vie privée avant tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant des renseignements personnels. L’organisme procède également à une telle évaluation avant de communiquer un renseignement personnel à l’extérieur du Québec, ou de confier à une personne ou à un organisme à l’extérieur du Québec la tâche de recueillir, d’utiliser, de communiquer ou de conserver pour son compte un tel renseignement.
RÔLES ET RESPONSABILITÉS
Direction générale de l’organisme
La Direction générale facilite le développement de politiques et de pratiques encadrant la gouvernance des renseignements personnels. Elle s’assure de la disponibilité des ressources financières, humaines et matérielles nécessaires à leur mise en œuvre. Elle facilite l’exercice des fonctions du ou de la Responsable de la protection des renseignements personnels.
Responsable de la protection des renseignements personnels
La personne désignée comme Responsable de la protection des renseignements personnels assure le respect et la mise en œuvre au sein de l’organisme de la loi et de la règlementation applicables en lien avec les renseignements personnels. Elle approuve les politiques et les pratiques encadrant la gouvernance des renseignements personnels. Aussi, elle répond aux demandes et plaintes relatives aux renseignements personnels. L’organisme la sollicite notamment en cas d’incident de confidentialité ou d’évaluation des facteurs relatifs à la vie privée.
Employé.e.s, bénévoles, consultant.e.s, partenaires
Ces personnes ont la responsabilité de veiller à la protection des renseignements personnels auxquels elles ont accès dans le cadre de leurs fonctions auprès de l’organisme en mettant en œuvre les politiques établies à cet égard par l’organisme, notamment en :
Collectant uniquement les renseignements personnels nécessaires aux activités de l’organisme dont ils ou elles ont la charge;
Informant adéquatement les personnes concernées par toute collecte qu’ils ou elles effectuent;
Utilisant les renseignements personnels uniquement aux fins auxquels ils ont été collectés;
Détruisant les renseignements personnels conformément au calendrier de conservation de l’organisme;
Déclarant tout incident de confidentialité à la Direction générale et à la personne désignée comme Responsable de la protection des renseignements personnels, conformément à la Politique de gestion des incidents de confidentialité;
Participant à toute activité de formation et de sensibilisation en lien avec la protection des renseignements personnels; et
Veillant au respect des mesures de sécurité mises en place par l’organisme.
INCIDENT DE CONFIDENTIALITÉ
On entend par « incident de confidentialité » l’accès, l’utilisation, la communication non-autorisée par la loi ou la perte d’un renseignement personnel, de même que tout autre atteinte à la protection d’un tel renseignement.
Tout incident de confidentialité est géré par l’organisme conformément à sa Politique de gestion des incidents de confidentialité. Cette politique décrit les étapes à suivre dans une telle éventualité ainsi que le rôle de chaque personne intervenante.
L’organisme tient un registre des incidents de confidentialité.
DROITS D'ACCÈS, DE RECTIFICATION ET À LA DÉSINDEXATION
Toute personne peut faire une demande à l’organisme pour exercer son droit d’accès, de rectification ou à la désindexation en lien avec les renseignements personnels détenus par l’organisme à son égard, sous réserve des exceptions prévues par la Loi. Telle demande doit être adressée par écrit à la personne Responsable de la protection des renseignements personnels à l’adresse courriel suivante corporationjpm@gmail.com. Elle doit contenir les indications nécessaires à son traitement ainsi que le nom et les coordonnées de la personne à l’origine de la demande. La personne responsable de la protection des renseignements personnels peut requérir toute information additionnelle qu’elle juge nécessaire pour pouvoir traiter la demande.
La personne responsable de la protection des renseignements personnels évalue les demandes reçues par l’organisme à la lumière du droit applicable et des exceptions législatives. Elle répond par écrit à la demande avec diligence et au plus tard dans les 30 jours de la date de réception de la demande.
TRAITEMENT DES PLAINTES
Dépôt d'une plainte
Toute personne peut formuler une plainte à l’égard de la protection des renseignements personnels détenus par l’organisme. La plainte doit être déposée par écrit à la personne responsable de la protection des renseignements personnels de l’organisme par courriel à l’adresse suivante corporationjpm@gmail.com. Elle doit comporter une description de l’objet et des motifs de la plainte ainsi que le nom et les coordonnées de la personne plaignante. Si la plainte formulée n’est pas suffisamment précise, la personne responsable de la protection des renseignements personnels peut requérir toute information additionnelle qu’elle juge nécessaire pour pouvoir évaluer la plainte.
Traitement
Toute plainte est traitée de manière confidentielle et avec diligence. La personne responsable de la protection des renseignements personnels évalue les plaintes reçues par l’organisme. Dans le cas où une plainte s’avèrerait fondée, l’organisme s’engage à prendre les mesures requises pour corriger la situation dans les meilleurs délais. La personne responsable de la protection des renseignements personnels transmet par écrit ses conclusions à la personne plaignante.
MODIFICATION
Cette politique peut être modifiée de temps à autre pour refléter des changements dans les pratiques de gouvernance et de protection des renseignements personnels de l’organisme. La version la plus récente est publiée sur le site internet de l’organisme. La dernière date de mise à jour est indiquée en haut de la politique.