Politique de confidentialité

Sommaire exécutif

Introduction et objectifs

La protection des renseignements personnels est encadrée par la Loi sur la protection des renseignements personnels dans le secteur privé, la Charte des droits et libertés de la personne et par le Code civil du Québec.

Les renseignements personnels sont ceux qui portent sur une personne physique et permettent de l’identifier. Par exemple : nom, signature, adresse, dossier médical, numéros de téléphone, courriel, image et voix, information financière, numéro d’assurance sociale.

Collecte et utilisation des renseignements personnels

L’organisation recueille des renseignements personnels lorsqu’elle a un intérêt sérieux et légitime de le faire et elle ne conserve que ceux qui sont nécessaires à son bon fonctionnement. Si vous refusez de consentir à la présente politique ou ses annexes, l’organisation pourrait être contrainte de vous empêcher de recourir à ses produits et services.

Autre que pour la prestation des services, les renseignements personnels peuvent aussi être utilisés pour des fins d’étude de marché, distribution d’infolettres d’embauche de personnel. Les renseignements personnels ne seront jamais vendus à des tiers, à moins que l’organisation obtienne un consentement à cet effet.

Mesures de protection des renseignements personnels

Les dossiers physiques contenant des renseignements confidentiels sont gardés sous clé dans un classeur. Les dossiers informatiques contenant des renseignements personnels sont quant à eux protégés par un mot de passe.Les renseignements personnels sont conservés dans un serveur infonuagique pour lequel l’entrée d’un mot de passe sécurisé est requise. L’organisation s’est dotée d’un mur pare-feu et d’un logiciel antivirus pour limiter la portée d’attaques malveillantes.

Responsable de la politique

M. Mathieu Brière est Directeur général et responsable de la protection des renseignements personnels au sein de l’organisation. Il est possible de le rejoindre au 450-966-4446, poste 223, ou à mbriere@coopdesmoulins.ca.

Conservation et destruction des renseignements personnels

Lorsque l’objet pour lequel un renseignement personnel a été recueilli est réalisé, l’organisation le détruit, sauf exception. Vous pouvez demander que tout renseignement personnel vous concernant vous soit remis ou détruit. Les documents ou données contenant des renseignements personnels déchiquetés, reformatés, réécrits, démagnétisés ou l’écrasement des informations.

Droit d’accès et de transfert des renseignements personnels

Lorsque vous ou un de vos représentants autorisés en fait la demande écrite ou en remplissant le formulaire à cet effet, l’organisation confirmera qu’elle détient des renseignements personnels vous concernant. L’organisation peut alors, dans les trente (30) jours de la réception de la demande, permettre la consultation ou le transfert du dossier et tout renseignement personnel y étant consigné. Les refus sont motivés par écrit par l’organisation dans ce même délai. Si aucune réponse n’est donnée dans ce délai, ceci équivaut à un refus. Il est alors possible de contester un refus devant la Commission d’accès à l’information (CAI).

Malgré certaines exceptions, l’organisation ne peut refuser de divulguer un renseignement personnel en cas d'urgence à moins qu’il en résulterait un préjudice grave pour votre santé. Les renseignements personnels de nature médicale ou sociale des 14 ans et moins sont uniquement communiqués à leur avocat ou leurs parents et ne peuvent pas nuire aux soins entre l’enfant et le professionnel traitant.

Demande de rectification des renseignements personnels

Lorsque vous ou un de vos représentants autorisés en fait la demande écrite ou en remplissant le formulaire à cet effet, l’organisation pourra rectifier ou supprimer des renseignements vous concernant, et ce, dans les trente (30) jours de la réception de la demande. Les refus sont motivés par écrit par l’organisation dans ce même délai. Si aucune réponse n’est donnée dans ce délai, ceci équivaut à un refus. Il est alors possible de contester un refus devant la CAI. Si la demande est acceptée, l’organisation fournit une preuve confirmant son exécution. L’organisation ne peut pas être tenue responsable de quelconque manquement dans le cas où une demande de rectification n’est pas effectuée par vous alors qu’elle aurait dû.

Communication des renseignements personnels à un tiers

Au moment de recueillir des renseignements personnels, l’organisation vous fera remplir un formulaire. Les tiers qui n’y figurent pas doivent obtenir votre consentement exprès pour accéder à vos renseignements personnels, sauf exception. L’organisation s’assure que la politique est respectée par les tiers.

Frais de transcription, reproduction ou transmission de renseignements personnels

L’organisation charge des frais raisonnables pour la transcription, la reproduction ou la transmission de renseignements personnels.

Processus en cas d’incident de confidentialité

En cas d’incident concernant des renseignements personnels, l’organisation s’assure de suivre la procédure prévue dans la Loi sur la protection des renseignements personnels dans le secteur privé et ses règlements. Les personnes concernées, la CAI et certains tiers, lorsque la situation le permet, seront avisés dès que possible. Lorsque vous décelez un incident, vous devez contacter la personne responsable de la protection des renseignements personnels aux coordonnées affichées ci-haut. Les plaintes/signalements sont traités dans un maximum de trente (30) jours après leur dépôt.

Malgré toutes les mesures mises en place, l’organisation ne peut garantir une sécurité infaillible à tout scénario envisageable.

Inapplication de la politique

La présente politique n’est plus applicable si vous quittez notre site internet ou si une loi ou un tribunal fait en sorte de contraindre l’organisation à transmettre des renseignements personnels.

Introduction

Le droit au respect de la vie privée est garanti par la Charte des droits et libertés de la personne et par le Code civil du Québec. De plus, la protection des renseignements personnels est encadrée par la Loi sur la protection des renseignements personnels dans le secteur privé.

La présente politique établit une procédure de gestion des renseignements personnels par l’organisation afin qu’elle recueille, détienne, conserve, utilise et communique des renseignements personnels sur les membres, les usagers, les bénévoles, le personnel et les administrateurs de l’organisme conformément à la loi.

La personne responsable de la protection des renseignements personnels (ci-après : « personne responsable ») dans l’organisation est chargée de l’application et du respect de la présente politique par les représentants de l’organisation, qu’ils soient des membres du personnel, des bénévoles ou des administrateurs, actuels ou passés.

À cet égard, la personne responsable diffuse la présente politique et la rend disponible aux membres, aux usagers, au personnel, aux bénévoles ou aux administrateurs pour consultation ou formation. En outre, la personne responsable détermine les directives et les procédés nécessaires à l’application de la présente politique.

Objectifs

La présente politique vise à informer les membres, les usagers, le personnel, les bénévoles et les administrateurs de l’organisation des principes qu’elle applique dans la gestion des renseignements personnels qu’elle détient sur eux.

Par ailleurs, elle énonce les règles de conduite auxquelles l’organisation exige que ses membres, ses usagers, son personnel, ses bénévoles et ses administrateurs obéissent lorsqu’ils ont accès aux renseignements personnels détenus sur autrui par l’organisation.

Pour l’application de la présente politique, l’organisation respecte les principes suivants :

  • Recueillir uniquement les renseignements personnels nécessaires à la bonne gestion des opérations;
  • Aviser les personnes concernées dès que leurs renseignements personnels sont exigés de l’utilisation et de la communication qui en seront faites;
  • Informer les personnes concernées de leurs droits, particulièrement relativement aux plaintes, et obtenir leur consentement, lorsque requis par la loi;
  • Assurer la sécurité et la confidentialité des renseignements personnels qu’elle détient sur autrui en encadrant leurs conservation, rectification et destruction tout en s’assurant de prévoir les rôles et les responsabilités des membres de son personnel tout au long de leur cycle de vie.

Dans l’ordre de ces principes, l’organisation procède ponctuellement à l’épuration et à la fusion des dossiers, à la révision de ses formulaires et de ses pratiques, à des mises à jour ainsi qu’à la mise en place d’un emplacement dédié à la conservation et à la consultation des renseignements personnels. L’organisation peut également se soumettre à des inspections de la part d’un évaluateur indépendant permettant de valider la qualité de la protection que fait l’organisation de ses renseignements personnels.

Définition d’un renseignement personnel

Les renseignements personnels sont ceux qui portent sur une personne physique et permettent de l’identifier. Ces renseignements sont confidentiels et doivent être traités comme tels.

Dans l’organisation, sont notamment considérés comme des renseignements personnels : nom, prénom, signature, adresse résidentielle, dossier médical, prescription de médicaments, numéros de téléphone, adresse courriel, image et voix d’une personne, données biométriques, état de santé, dossier relatif à l’emploi, information bancaire/financière, données informatiques, informations qui concernent sa famille, ses amis et d’autres personnes liées, numéro d’assurance sociale, numéro d’assurance maladie et numéro de permis de conduire ainsi que tout document sur lequel se retrouve ces renseignements ou tout document qui réfère à l’existence d’une personne en particulier.

Collecte des renseignements personnels

L’organisation recueille des renseignements personnels lorsqu’elle a un intérêt sérieux et légitime de le faire. Des renseignements personnels peuvent être recueillis par des formulaires intégrés sur son site Internet, par entretien téléphonique, par l’entremise d’un formulaire papier ou par toute interaction entre des personnes physiques et l’organisation et/ou ses parties prenantes.

L’organisation recueille notamment des renseignements personnels pour la gestion des :

  1. Profils-membres;
  2. Profils-usagers;
  3. Profils des membres du personnel et des bénévoles;
  4. Incidents, dont ceux avec de possibles répercussions sur la responsabilité civile de l’organisation ou toute personne liée à celle-ci;
  5. Demandes d’information sur les services.

Lorsqu’elle recueille des renseignements personnels, l’organisation ne conserve que ceux qui sont nécessaires à son bon fonctionnement. L’organisation est en mesure de justifier la raison pour laquelle elle requiert chaque renseignement personnel.

L’organisation recueille les renseignements personnels auprès de la personne concernée, à moins que cette dernière consente à ce que l’organisation obtienne ces renseignements auprès d’un tiers. En ce cas, l’organisation soumet à la personne concernée le Formulaire d’autorisation à l’échange de renseignements personnels avec un tiers, à l’Annexe 1.

L’organisation peut toutefois recueillir ces renseignements personnels auprès d’un tiers, sans le consentement de la personne concernée, si la collecte, quoique faite dans son intérêt, ne peut être effectuée auprès d’elle en temps opportun. Elle le peut également pour vérifier l’exactitude de ces renseignements obtenus auprès de la personne concernée ou si la loi l’autorise.

L’information qui est déjà ou qui devient connue par le public (information sur des sites Internet ou des profils sur les médias sociaux) peut également être recueillie par l’organisation sans qu’il soit nécessaire de la transmettre directement. Dans ce cas, l’organisation s’engage néanmoins à la recueillir de manière raisonnable et avec discernement. La collecte d’informations par l’entremise de témoins de navigation (« cookies ») sera clairement expliquée sur son site Internet et il sera possible de refuser ceux qui ne sont pas nécessaires.

Lorsque l’organisation recueille des renseignements personnels auprès d’une personne morale, elle inscrit la source de ces renseignements, à moins qu’il s’agisse d’un dossier d’enquête constitué en vue de prévenir, détecter ou réprimer un crime ou une infraction à la loi.

Avant que l’organisation recueille un renseignement personnel, elle informe la personne concernée :

  1. Des fins auxquelles ces renseignements sont recueillis (collecte);
  2. Des moyens par lesquels les renseignements sont recueillis;
  3. De son droit de retirer son consentement à la communication ou à l’utilisation des renseignements recueillis;
  4. Du nom du tiers pour qui la collecte est faite;
  5. Des coordonnées du responsable de protection des renseignements personnels;
  6. Des catégories de personnes, y compris les tiers, pouvant y avoir accès;
  7. De l’endroit où ses renseignements personnels seront conservés;
  8. Des mesures de protection mises en place;
  9. De ses droits d’accès et de rectification prévus par la loi.

Si la personne concernée refuse de donner les renseignements personnels demandés par l’organisation ou refuse de consentir à l’échange de renseignements personnels avec un tiers, il revient à la personne responsable de décider de transiger ou non avec la personne concernée.

Protection des renseignements personnels

Les dossiers physiques contenant des renseignements confidentiels sont gardés sous clé dans un classeur ou dans un emplacement dédié à cette fin par la personne responsable et auquel l’accès est sécurisé. Les membres du personnel sont prohibés de quitter les lieux de travail avec des renseignements personnels sans l’approbation de l’organisation. Les bureaux de l’organisation sont également sécurisés à l’aide d’une carte d’accès ou un mécanisme de serrure.

Les dossiers informatiques contenant des renseignements personnels sont quant à eux protégés par un chiffrement ou un mot de passe.

Les renseignements personnels sont conservés dans un serveur infonuagique pour lequel l’entrée d’un mot de passe sécurisé est requise. L’organisation s’est dotée d’un mur pare-feu et d’un logiciel antivirus pour limiter la portée d’attaques malveillantes.

Les catégories de personnes qui ont accès aux renseignements personnels lorsque l’exercice de leur fonction le requiert sont les suivantes :

  1. Les membres du conseil d’administration et la Direction générale;
  2. Le personnel.

L’organisation exige de toute personne occupant un poste dans l’une ou l’autre de ces catégories qu’elle remplisse le Formulaire d’engagement à la confidentialité, à l’Annexe 2. L’organisation s’assure également de prévoir les rôles et les responsabilités des membres de son personnel tout au long du cycle de vie de ces renseignements afin qu’ils comprennent comment mettre en œuvre la politique dans leur quotidien.

Responsable de la politique

M. Mathieu Brière est responsable de la protection des renseignements personnels au sein de l’organisation en conformité avec l’article 3.1 de la Loi sur la protection des renseignements personnels dans le secteur privé. M. Mathieu Brière est Directeur général de l’organisation. Il est possible de le rejoindre au 450-966-4446, poste 223, ou à mbriere@coopdesmoulins.ca.

En plus de ses autres fonctions, la personne responsable s’assure également que le personnel de l’organisation comprenne les enjeux en matière de protection des renseignements personnels.

Utilisation des renseignements personnels

Les renseignements personnels recueillis par l’organisation sont utilisés ou communiqués aux seules fins pour lesquelles ils ont été recueillis à moins que la personne concernée y consente ou que la loi l’exige. Les renseignements personnels sont principalement utilisés afin de faciliter la prestation des services aux membres, clients et usagers. Cependant, ils peuvent aussi être utilisés pour des fins d’étude de marché, distribution d’infolettres (il sera possible de cesser son abonnement en tout temps), d’embauche de personnel ou pour toute raison détaillée lors de la collecte des renseignements personnels.

Les renseignements personnels ne seront jamais vendus à des tiers, à moins que l’organisation obtienne un consentement à cet effet.

L’organisation veille, de plus, à ce que les renseignements personnels qu'elle détient sur autrui soient à jour et exacts au moment où elle les utilise pour prendre une décision relativement à la personne concernée.

Conservation et destruction des renseignements personnels

Lorsque l’objet pour lequel un renseignement personnel a été recueilli est réalisé, l’organisation le détruit, à moins de circonstances exceptionnelles. Conformément à la loi, les renseignements personnels sont conservés au moins un (1) an après toute décision concernant la personne concernée. Les renseignements personnels faisant l’objet d’une demande d’accès ou de rectification sont conservés jusqu’à l’épuisement des recours prévus par la loi. Par ailleurs, l’organisation conserve un renseignement personnel pour la durée requise par les autorités gouvernementales auprès desquelles elle est redevable.

Sous réserve des autres obligations légales/déontologiques quant à la conservation des dossiers que doivent respecter l’organisation et les personnes qui travaillent pour son compte, la personne concernée peut demander que tout dossier la concernant lui soit remis et que tout renseignement personnel autrement détenu par l’organisation soit détruit. La destruction de renseignements personnels peut également entrainer l’impossibilité pour l’organisation de continuer à offrir des services. Cela va de même advenant le cas où la personne concernée ne consent plus à la présente politique.

L’organisation ne jette au rebut aucun document qui contient un renseignement personnel susceptible d’être reconstitué. À chaque fois que cela est possible, ces pièces sont détruites ou déchiquetées. À défaut, l’organisation recourt, selon le cas, au formatage, à la réécriture, au déchiquetage numérique, à la démagnétisation ou à l’écrasement des informations.

Droit d’accès et de transfert des renseignements personnels

À la demande verbale ou écrite d’une personne concernée ou de celle établissant sa qualité de représentant, héritier, successeur, administrateur de la succession, bénéficiaire d’une assurance-vie ou de titulaire de l’autorité parentale de la personne concernée, l’organisation lui confirme qu’elle détient des renseignements personnels relatifs à la personne concernée.

À la demande écrite d’une personne concernée ou de l’une des personnes désignées au précédent paragraphe, l’organisation lui permet, dans les trente (30) jours de la réception de la demande, de consulter ou de transférer, selon le cas, son dossier ou celui de la personne concernée et lui divulgue tout renseignement personnel y étant consigné. Cependant, l’organisation peut refuser la divulgation d’un renseignement personnel dans les cas suivants :

  1. Elle ne concerne pas les intérêts et les droits de la personne qui le demande à titre de liquidateur, de bénéficiaire, d'héritier ou de successible au liquidateur de la succession;
  2. Elle révélerait vraisemblablement un renseignement personnel sur un tiers ou l'existence d'un tel renseignement et que cette divulgation serait susceptible de nuire sérieusement à ce tiers, à moins que ce dernier y consente;
  3. Elle est interdite par la loi, une enquête en cours ou une ordonnance du tribunal.

En cas de refus, l’organisation le motive par écrit à la personne concernée dans ce même délai de trente (30) jours et l’informe de son droit de contester la décision devant la Commission d’accès à l’information. À défaut de répondre à une demande d’accès dans ce délai, l’organisation est réputée avoir refusé l’accès, auquel cas la personne intéressée peut s’adresser à la Commission d’accès à l’information pour faire valoir ses droits.

Malgré ce qui précède, l’organisation ne peut refuser à une personne concernée de lui divulguer un renseignement personnel la concernant s’il s'agit d'un cas d'urgence mettant en danger la vie, la santé ou la sécurité de la personne concernée.

Toutefois, l’organisation peut refuser momentanément la consultation des renseignements personnels relatifs à la santé qu’elle détient sur la personne concernée dans le cas où il en résulterait un préjudice grave pour sa santé et à la condition de lui offrir de désigner un professionnel du domaine de la santé pour recevoir la communication de tels renseignements et de les communiquer à ce dernier. Ce professionnel détermine alors le moment où la consultation pourra être faite et en avise la personne concernée.

Enfin, à moins que la demande soit présentée par le titulaire de l’autorité parentale, l’organisation refuse la communication à une personne concernée âgée de moins de 14 ans d'un renseignement de nature médicale ou sociale la concernant ou refuse de l’informer de l’existence d’un tel renseignement contenu dans un dossier constitué sur elle, sauf par l'intermédiaire de son avocat dans le cadre d'une procédure judiciaire. Les communications normales entre un professionnel de la santé et des services sociaux et son patient ne s’en trouvent pas restreintes pour autant.

Lorsqu’une demande de consultation ou de rectification de renseignements personnels est faite à un représentant de l’organisation, celui-ci invite le requérant à remplir le Formulaire de demande d’accès ou de rectification de renseignements personnels, à l’Annexe 3, à moins que la demande ait été présentée par écrit. Il achemine ensuite le formulaire complété par le requérant ou sa demande écrite à la personne responsable qui veille à l’analyser et, selon le cas, à déterminer les modalités d’accès, la façon d’apporter les corrections demandées ou à motiver le refus.

Demande de rectification des renseignements personnels

À la demande écrite de la personne concernée ou d’une personne désignée au premier paragraphe de la section « Droit d’accès et de transfert des renseignements personnels », l’organisation procède à la rectification de renseignements inexacts, incomplets ou équivoques, selon le cas, à son dossier ou au dossier de la personne concernée, à l’ajout de commentaires ou à la suppression de renseignements périmés, non justifiés par l'objet du dossier ou dont la collecte n’était pas autorisée par la loi, et ce, dans les trente (30) jours de la réception de la demande.

En cas de refus, l’organisation le motive par écrit à la personne concernée dans ce même délai de trente (30) jours et l’informe de son droit de contester la décision devant la Commission d’accès à l’information. À défaut de répondre à une demande de rectification dans ce délai, l’organisation est réputée avoir refusé d’y acquiescer, auquel cas la personne intéressée peut s’adresser à la Commission d’accès à l’information pour faire valoir ses droits.

En acquiesçant à une demande de rectification, l’organisation délivre sans frais au requérant une copie de tout renseignement personnel modifié ou ajouté ou, selon le cas, une attestation du retrait d’un renseignement personnel.

Il est de la responsabilité des personnes ayant transmis leurs renseignements personnels d’aviser l’organisation de tout changement relativement à ceux-ci. L’organisation ne peut pas être tenue responsable de quelconque manquement dans le cas où une demande de rectification n’est pas effectuée alors qu’elle aurait dû.

Communication des renseignements personnels à un tiers

Au moment de recueillir des renseignements personnels, l’organisation soumet le Formulaire d’autorisation à l’échange de renseignements personnels avec un tiers, à l’Annexe 1, en enjoignant à la personne concernée de le compléter si elle consent à ce que l’organisation communique à des tiers des renseignements personnels la concernant. L’organisation l’avisera des communications qui seront effectuées suivant ce formulaire.

Lorsqu’un tiers qui n’est pas identifié au Formulaire d’autorisation à l’échange de renseignements personnels avec un tiers, à l’Annexe 1, demande à l’organisation de lui communiquer des renseignements personnels concernant un membre, un usager, un membre du personnel, un bénévole ou un administrateur de l’organisation, l’organisation requiert du tiers qu’il obtienne un consentement écrit de la personne concernée contenant les informations suivantes :

  1. L’identification de la personne concernée;
  2. Une description des renseignements personnels à communiquer;
  3. L’identification du tiers à qui les renseignements peuvent être communiqués;
  4. La date limite de l’autorisation;
  5. La signature de la personne concernée ou de son représentant autorisé.

Toutefois, l’organisation peut communiquer des renseignements personnels à un tiers qui n’est pas identifié sur le Formulaire d’autorisation à l’échange de renseignements personnels avec un tiers, à l’Annexe 1, si ce tiers est :

  1. Le procureur de la personne concernée;
  2. Le procureur général si le renseignement est requis aux fins d’une poursuite pour infraction à une loi applicable au Québec;
  3. Une personne chargée en vertu de la loi de prévenir, détecter ou réprimer le crime ou les infractions aux lois, qui le requiert dans l’exercice de ses fonctions, si le renseignement est nécessaire pour la poursuite d’une infraction à une loi applicable au Québec;
  4. Une personne à qui il est nécessaire de communiquer le renseignement dans le cadre de l’application de la loi ou d’une convention collective et qui le requiert dans l’exercice de ses fonctions;
  5. Un organisme public qui, par l’entremise d’un représentant, peut en recueillir dans l’exercice de ses attributions ou dans la mise en œuvre d’un programme dont il a la gestion;
  6. Une personne ou un organisme ayant le pouvoir de contraindre à leur communication et qui les requiert dans l’exercice de ses fonctions (ex. : les tribunaux);
  7. Une personne à qui cette communication doit être faite en raison d’une situation d’urgence mettant en danger la vie, la santé ou la sécurité de la personne concernée;
  8. Une personne ou un organisme, conformément aux articles 18.1, 18.2, 18.3 (à compter du 22 septembre 2023 pour cet article) et 18.4 de la Loi sur la protection des renseignements personnels dans le secteur privé;
  9. Une personne qui est autorisée à utiliser ce renseignement à des fins d’étude, de recherche ou de statistique;
  10. Une personne qui, en vertu de la loi, peut recouvrer des créances pour autrui et qui le requiert dans l’exercice de ses fonctions;
  11. Une personne si le renseignement est nécessaire aux fins de recouvrer une créance de l’organisation.

L’organisation doit inscrire au dossier de la personne concernée toute communication faite en vertu des paragraphes f) à k).

Lorsque l’organisation confie à une autre organisation le soin de détenir, utiliser ou communiquer des renseignements personnels pour son compte, elle doit, avant de communiquer ces renseignements personnels, recevoir l’engagement écrit de cette organisation suivant lequel elle respecte la présente politique de protection des renseignements personnels.

Lorsque l’organisation communique des renseignements personnels à l’extérieur du Québec, elle s’assure que ces renseignements ne seront pas utilisés à des fins non pertinentes à l'objet du dossier ni communiqués à des tiers sans le consentement de la personne concernée, sauf aux tiers décrits aux paragraphes a) à j) de cette section. Si l’organisation estime que ces conditions ne seront pas respectées, elle doit refuser la communication.

Frais de transcription, reproduction ou transmission de renseignements personnels

L’organisation charge des frais raisonnables pour la transcription, la reproduction ou la transmission de renseignements personnels. Ces frais sont établis par la personne responsable et sont sujets à révision périodiquement.

Avant de procéder à la transcription, la reproduction ou la transmission de ces renseignements, l’organisation informe le requérant du montant approximatif exigible.

Transmission de documents contenant des renseignements personnels

À l’occasion d’une transmission par courriel, les représentants de l’organisation indiquent, dans l’objet, la nature confidentielle de la transmission et, dans le message, la mention de confidentialité invitant le destinataire à communiquer avec l’expéditeur sans délai en cas de réception par erreur. Les représentants de l’organisation indiquent, dans la signature du courriel, leur nom ainsi que l’adresse et les numéros de téléphone et de télécopieur pour les rejoindre au travail.

À l’occasion d’une transmission par courrier, les représentants de l’organisation indiquent clairement, sur l’emballage, le nom et l’adresse de la personne autorisée à recevoir les documents. Ils joignent à l’envoi une lettre dans laquelle ils précisent la nature confidentielle des renseignements et une mention de confidentialité invitant le destinataire à communiquer avec l’expéditeur sans délai en cas de réception par erreur.

Définition d’un incident de confidentialité

En conformité avec la Loi sur la protection des renseignements personnels dans le secteur privé, un incident de confidentialité peut prendre les formes suivantes :

  • L’accès non autorisé par la loi à un renseignement personnel;
  • L’utilisation non autorisée par la loi d’un renseignement personnel;
  • La communication non autorisée par la loi d’un renseignement personnel;
  • La perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.

Processus en cas d’incident de confidentialité

En cas d’incident concernant des renseignements personnels, l’organisation s’assure de suivre la procédure prévue dans la Loi sur la protection des renseignements personnels dans le secteur privé et ses règlements connexes. Lorsqu’un incident présente un risque de préjudice sérieux, la Commission d’accès à l’information (CAI) ainsi que les personnes concernées par l’incident seront avisées dans la mesure où la situation le permet, et ce, le plus rapidement possible suivant la connaissance de l’incident. Le contenu de ces avis est prévu aux Annexes 4 et 5 respectivement.

Si des tiers doivent être contactés afin de mitiger les dommages pouvant découler de l’incident, la personne responsable de la protection des renseignements personnels s’assurera de communiquer uniquement les renseignements personnels nécessaires à cette fin ainsi que d’enregistrer cette communication. Un registre des incidents sera mis à jour par la personne responsable de la protection des renseignements personnels. Le contenu de ce registre se trouve à l’Annexe 6.

En transmettant des renseignements personnels à l’organisation, il est entendu que les personnes concernées comprennent que l’organisation déploie les meilleures pratiques de travail et mécanismes de protection afin de limiter la possibilité de la survenance d’un quelconque incident, fuite ou mauvaise utilisation des renseignements personnels. Cependant, l’organisation ne peut garantir une sécurité infaillible à tout scénario envisageable.

Lorsqu’une personne concernée remarque qu’un incident concernant ses renseignements personnels aurait pu avoir lieu au sein de l’organisation, elle doit contacter la personne responsable de la protection des renseignements personnels aux coordonnées affichées ci-haut. Les plaintes/signalements sont traités dans un maximum de trente (30) jours après leur dépôt.

Inapplication de la politique

Lorsqu’une personne concernée quitte le site Internet de l’organisation pour n’importe quel autre site Internet dont le lien figure sur celui de l’organisation, la présente politique n’est plus applicable. Il faut alors se référer à leur politique, le cas échéant.

Lorsqu’une loi, un règlement ou une ordonnance du tribunal fait en sorte de contraindre l’organisation à transmettre des renseignements personnels, il est entendu que l’organisation ne peut pas garantir le niveau de confidentialité et sécurité institué par la personne ou le gouvernement qui se les voit conférer.

Advenant une fusion ou autre restructuration juridique de l’organisation, cette dernière pourra transmettre tous les renseignements personnels à la nouvelle entité juridique ainsi créée.

Modification de la politique

Toute modification sera mise à jour sur le site Internet de l’organisation et envoyée à l’adresse courriel des personnes concernées si elles ont été transmises.

Adoption et entrée en vigueur de la présente politique

La présente politique est adoptée le : 16 octobre 2023

La présente politique entre en vigueur le : 22 septembre 2023