Politique de Protection des Renseignements Personnels et Confidentiels
Dernière mise à jour : 22 décembre 2025
​
OBJECTIF
Cette politique vise à établir les pratiques de la Corporation Jean-Paul Morin en matière de gouvernance et de protection des renseignements personnels, conformément aux lois en vigueur, notamment la Loi P39.1 sur la protection des renseignements personnels dans le secteur privé. Elle s’applique à toute personne employée, bénévole, partenaire, consultante ou autrement liée à l’organisme, qui collecte, utilise, communique, conserve, détruit ou reçoit de l’organisme des renseignements personnels dans le cadre de ses fonctions.
P-39.1 - Loi sur la protection des renseignements personnels dans le secteur privé (gouv.qc.ca)
DÉFINITION
Renseignement personnel
​
Un « renseignement personnel » désigne tout renseignement concernant une personne physique et permettant de l’identifier. Cela peut inclure, sans s'y limiter, un nom, une adresse courriel, un numéro de téléphone, un numéro de carte de crédit, un numéro d’assurance sociale, une photographie, etc.
​
PRINCIPES GÉNÉRAUX
Collecte
​
L’organisme ne collecte que les renseignements personnels nécessaires à la réalisation de sa mission et de ses activités. Il peut s’agir, par exemple, de renseignements collectés lors d’une inscription à une formation, à une activité, ou à une prestation de services ou encore lors d’une embauche. L’organisme s’assure également d’informer toute personne concernée par une telle collecte des finalités de celle-ci, des moyens utilisés pour la réaliser ainsi que de ses droits quant à ces renseignements.
Utilisation des renseignements personnels
​
Les renseignements personnels collectés par l’organisme ne sont utilisés qu'aux fins pour lesquelles ils ont été recueillis, sauf si l’organisme a obtenu le consentement des personnes concernées ou si la loi ne le permet. Par ailleurs, ces renseignements personnels ne sont accessibles qu’aux représentant.e.s de l’organisme qui en ont besoin pour exercer leurs fonctions.
Communication
​
L’organisme ne communique pas de renseignements personnels sans le consentement de la personne concernée, sauf dans les cas prévus par la loi. Le consentement doit être donné de manière expresse lorsque des renseignements personnels sensibles sont concernés.
Tel que prévu par la loi, l’organisme peut toutefois transférer les renseignements personnels qu’il collecte à un prestataire de services sans le consentement de la personne concernée. Dans un tel cas, l’organisme conclut un contrat écrit avec le prestataire de services, dans lequel ce dernier s’engage à prendre les mesures nécessaires pour garantir la confidentialité des renseignements personnels, à les utiliser exclusivement pour exécuter son mandat et à les détruire une fois le mandat terminé.
Conservation des renseignements personnels
​
Les renseignements personnels sont conservés par l’organisme pendant la durée nécessaire à l'accomplissement des finalités pour lesquelles ils ont été recueillis, sous réserve des délais de conservation prévus par la loi. L’organisme a établi un calendrier de conservation des renseignements personnels.
​
Destruction des renseignements personnels
​
Les renseignements personnels sont détruits ou anonymisés un an après, lorsque les objectifs pour lesquels ils ont été recueillis sont atteints ou lorsque tout délai de conservation prévu par la loi est écoulé. Lorsque l’organisme procède à la destruction de documents contenant des renseignements personnels, il veille à utiliser une méthode adéquate afin d'assurer la confidentialité de ces renseignements.
Consentement
​
Dans les situations où un consentement est requis, l’organisme doit s’assurer que celui-ci est manifeste, libre, éclairé et être donné à des fins spécifiques. Il doit être demandé en termes simples et clairs, et ne vaut que pour la durée nécessaire à la réalisation de la finalité pour laquelle il a été donné.
Sécurité
​
L’organisme a adopté des mesures de sécurité destinées à protéger les renseignements personnels collectés, utilisés, communiqués, conservés ou détruits. Ces mesures tiennent compte de leur sensibilité et de la finalité de leur utilisation. L’organisme a recours, entre autres, aux mesures de sécurité suivantes :
-
la protection des lieux physiques de l’organisme ;
-
la protection des équipements technologiques, notamment par l’utilisation de mots de passe sécurisés, de pare-feu, et de mises à jour régulières des mesures de sécurité ;
-
la restriction d’accès aux seules personnes ayant besoin de consulter les renseignements personnels ;
-
l’utilisation de serveurs sécuritaires ;
-
la sensibilisation et la formation du personnel à la protection des renseignements personnels.
De plus, l’organisme exige que toute personne employée, bénévole, partenaire, consultante ou autrement en lien avec l’organisme et qui, dans le cadre de ses fonctions, collecte, utilise, communique, conserve, détruit ou reçoit des renseignements personnels de la part de l'organisme, respecte cette politique.
Évaluation des facteurs relatifs à la vie privée
​
L’organisme procède à une évaluation des facteurs relatifs à la vie privée avant tout projet d’acquisition, de développement ou de refonte d'un système d’information ou d'une prestation électronique de services impliquant des renseignements personnels. Il procède également à une telle évaluation avant de communiquer un renseignement personnel en dehors du Québec ou de confier à une personne ou à un organisme situé en dehors du Québec la tâche de recueillir, d’utiliser, de communiquer ou de conserver un tel renseignement pour son compte.
​
RÔLES ET RESPONSABILITÉS
Direction générale de l’organisme
​
La direction générale facilite le développement de politiques et de pratiques encadrant la gouvernance des renseignements personnels. Elle veille à ce que les ressources financières, humaines et matérielles nécessaires à leur mise en œuvre soient disponibles. Elle soutient également le ou la responsable de la protection des renseignements personnels dans l'exercice de ses fonctions.
Responsable de la protection des renseignements personnels
​
La personne désignée comme Responsable de la protection des renseignements personnels assure le respect et la mise en œuvre au sein de l’organisme de la loi et de la règlementation applicables en lien avec les renseignements personnels. Elle approuve les politiques et les pratiques encadrant la gouvernance des renseignements personnels. Aussi, elle répond aux demandes et plaintes relatives aux renseignements personnels. L’organisme la sollicite notamment en cas d’incident de confidentialité ou d’évaluation des facteurs relatifs à la vie privée.
​
Employé-e-s, bénévoles, consultant-e-s, partenaires
​
Ces personnes sont responsables de la protection des renseignements personnels auxquels elles ont accès dans le cadre de leurs fonctions au sein de l’organisme, et ce, en mettant en œuvre les politiques établies à cet égard par l'organisme, notamment grâce aux mesures suivantes :
-
collecter uniquement les renseignements personnels nécessaires aux activités de l’organisme dont ils ont la charge ;
-
informer adéquatement les personnes concernées par toute collecte qu’ils effectuent ;
-
utiliser les renseignements personnels uniquement aux fins auxquelles ils ont été collectés ;
-
détruire les renseignements personnels conformément au calendrier de conservation de l’organisme ;
-
déclarer tout incident de confidentialité à la direction générale et à la personne désignée comme responsable de la protection des renseignements personnels, conformément à la politique de gestion des incidents de confidentialité ;
-
participer à toute activité de formation et de sensibilisation en lien avec la protection des renseignements personnels ;
-
veiller au respect des mesures de sécurité mises en place par l’organisme.
​
INCIDENT DE CONFIDENTIALITÉ
On entend par « incident de confidentialité » l’accès, l’utilisation ou la communication non autorisés par la loi d’un renseignement personnel, ainsi que toute autre atteinte à la protection d’un tel renseignement.
Tout incident de confidentialité est géré par l’organisme conformément à sa politique de gestion des incidents de confidentialité. Cette politique décrit les étapes à suivre en cas d'incident, ainsi que le rôle de chaque intervenant.
L’organisme tient un registre des incidents de confidentialité.
​
DROITS D'ACCÈS, DE RECTIFICATION ET À LA DÉSINDEXATION
Toute personne peut demander à l’organisme d'accéder à ses renseignements personnels, de les rectifier ou de les désindexer, sous réserve des exceptions prévues par la loi. Toute demande doit être adressée par écrit à la personne responsable de la protection des renseignements personnels à l’adresse courriel suivante : corporationjpm@gmail.com. Elle doit contenir les informations nécessaires à son traitement, ainsi que le nom et les coordonnées de la personne à l’origine de la demande. La personne responsable de la protection des renseignements personnels peut requérir toute information additionnelle qu’elle juge nécessaire pour pouvoir traiter la demande.
La personne responsable de la protection des renseignements personnels évalue les demandes reçues à la lumière du droit applicable et des exceptions législatives. Elle y répond par écrit dans les meilleurs délais et au plus tard dans les 30 jours suivant la date de réception de la demande.
​
TRAITEMENT DES PLAINTES
Dépôt d'une plainte
​
Toute personne peut déposer une plainte concernant les renseignements personnels détenus par l’organisme. La plainte doit être déposée par écrit auprès de la personne responsable de la protection des renseignements personnels de l’organisme, à l’adresse courriel suivante : corporationjpm@gmail.com. Elle doit comporter une description de l’objet et des motifs de la plainte ainsi que le nom et les coordonnées de la personne plaignante. Si la plainte n’est pas suffisamment précise, la personne responsable peut demander toute information supplémentaire qu’elle juge nécessaire pour évaluer la plainte.
​
Traitement
​
Toute plainte est traitée de manière confidentielle et diligente. La personne responsable de la protection des renseignements personnels évalue les plaintes reçues. Si la plainte s’avère fondée, l’organisme s’engage à prendre les mesures nécessaires pour corriger la situation dans les meilleurs délais. La personne responsable de la protection des renseignements personnels transmet par écrit ses conclusions à la personne plaignante.
MODIFICATION
​
Cette politique peut être modifiée de temps à autre pour refléter les changements apportés aux pratiques de gouvernance et de protection des renseignements personnels de l’organisme. La version la plus récente est publiée sur le site internet de l’organisme. La date de la dernière mise à jour est indiquée en haut de la politique.
​