Linkedin-in

Politique de protection des renseignements personnels

PRÉAMBULE

La Loi modernisant des dispositions législatives en matière de renseignements personnels (LQ 2021, c. 25) actualise l’encadrement applicable à la protection des renseignements personnels, dont la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (RLRQ, c. A-2-1) (ci-après « Loi sur l’accès »).C’est en raison de cette obligation législative, mais aussi parce qu’ESPA-Montréal reconnait l’importance de se munir de règles claires en matière de protection des renseignements personnels, que la Politique relative à la protection des renseignements personnels (ci-après la « Politique ») est instituée.

1. DÉFINITIONS

Dans la présente Politique, à moins que le contexte ne s’y oppose, les expressions suivantes signifient :

1.1 Consentement

Autorisation de la personne concernée au fait qu’ESPA-Montréal recueille et utilise ses renseignements personnels. Le consentement ne se présume pas. Il doit être manifeste, libre et éclairé. Il doit être donné à des fins spécifiques, en termes simples et clairs et pour la durée nécessaire à la réalisation des fins auxquelles il a été demandé.

1.2 Incident de confidentialité

Tout accès, utilisation, communication non autorisée par la loi ou par le consentement de la personne concernée d’un renseignement personnel, de même que sa perte ou toute autre forme d’atteinte à sa protection. À titre d’exemple, les situations suivantes constituent des incidents de confidentialité :
  1. Un membre du personnel qui consulte des renseignements personnels non nécessaires à l’exercice de ses fonctions en outrepassant les droits d’accès qui lui ont été consentis;
  2. Un membre du personnel qui utilise des renseignements personnels d’une base de données à laquelle il a accès dans le cadre de ses fonctions dans le but d’usurper l’identité d’une personne;
  3. Une personne qui perd ou se fait voler des documents contenant des renseignements personnels;
  4. Une personne qui s’immisce dans une banque de données contenant des renseignements personnels afin de les altérer ou de les voler;
  5. L’oubli de caviarder des renseignements personnels dans un document;
  6. L’envoi d’un courriel contenant des renseignements personnels en commettant une erreur dans le ou les destinataires;
  7. L’organisation est victime d’une cyberattaque, comme de l’hameçonnage ou un rançongiciel.

1.3 Gestionnaire

Personne-cadre détenant l’autorité au sein d’un service ou d’une direction, qu’elle soit d’ordre pédagogique ou d’ordre administratif.

1.4 Renseignement personnel

Tout pairage d’au moins deux (2) renseignements (tels que : le nom, l’adresse, le numéro de téléphone, l’adresse courriel, le numéro d’assurance sociale, la date de naissance, la photographie, les coordonnées bancaires) qui concerne une personne et permet directement ou indirectement de l’identifier. Cette liste n’est pas limitative.Les renseignements personnels doivent être protégés, peu importe la nature de leur support, et quelle que soit leur forme : écrite, graphique, sonore, visuelle, informatisée ou autre.

1.5 Représentant.e d’ESPA-Montréal

Toute personne qui, dans l’exercice de ses fonctions, collecte au nom d’ESPA-Montréal des renseignements personnels concernant toute personne physique. Est également un.e représentant.e d’ESPA-Montréal, toute personne qui, dans l’exercice de ses fonctions, consulte, utilise, communique, détient ou conserve des renseignements personnels détenus par ESPA-Montréal concernant toute personne physique. Est aussi un.e représentant.ed’ESPA-Montréal la personne physique ou morale qui agit comme sous-traitant, prestataire de service, contractant.e, collaborateur.rice, partenaire ou autre pour ESPA-Montréal et qui a accès à des renseignements personnels.

2. CHAMP D’APPLICATION ET CADRE JURIDIQUE

En tant qu’organisme à but non lucratif, ESPA-Montréal recueille des renseignements personnels, notamment ceux des participant.e.s à ses activités et des membres de son personnel. Il est donc assujetti aux dispositions de la Loi sur l’accès, du Code civil du Québec (RLRQ, c. CCQ-1991) et à la Charte des droits et libertés de la personne (RLRQ, c. C-12). En cas de divergence entre la Loi sur l’accès et la présente politique, la Loi sur l’accès prévaut.Ce cadre de gouvernance s’applique à toute personne qui, dans l’exercice de ses fonctions, collecte, consulte, utilise, communique, détient ou conserve des renseignements personnels détenus par ESPA-Montréal concernant toute personne physique, y compris en télétravail.

3. COLLECTE DES RENSEIGNEMENTS PERSONNELS

Afin de remplir adéquatement sa mission, ESPA-Montréal doit recueillir des renseignements personnels. Cependant, seuls les renseignements personnels nécessaires à l’exercice de ses attributions ou à la mise en œuvre d’une activité dont il a la gestion sont recueillis. ESPA-Montréal peut également recueillir un Renseignement personnel si celui-ci est nécessaire à l’exercice des attributions ou à la mise en œuvre d’un programme de l’organisme public avec lequel il collabore pour la prestation de services ou pour la réalisation d’une mission commune. ESPA-Montréal prend des mesures pour s’assurer que les Renseignements personnels qu’il recueille sont adéquats, pertinents, non excessifs et utilisés à des fins limitées.

4. UTILISATION DES RENSEIGNEMENTS PERSONNELS

ESPA-Montréal utilise des renseignements personnels concernant les participant.e.s à ses activités, les membres de son personnel et d’autres tierces parties afin de s’acquitter de sa mission et de ses fonctions. Il ne doit pas faire usage des renseignements personnels à d’autres fins que celles précisées lors de la collecte, à moins d’avoir obtenu le consentement des personnes concernées ou que la Loi sur l’accès le permette.À cet effet, ESPA-Montréal peut utiliser un renseignement personnel à une autre fin sans le consentement de la personne concernée dans les seuls cas suivants :
  • Lorsque son utilisation est à des fins compatibles avec celles pour lesquelles il a été recueilli, c’est-à-dire lorsqu’il y a un lien pertinent et direct avec les fins pour lesquelles le renseignement a été recueilli;
  • Lorsque son utilisation est manifestement au bénéfice de la personne concernée;
  • Lorsque son utilisation est nécessaire à l’application d’une loi au Québec, que cette utilisation soit ou non prévue expressément par la loi;
  • Lorsque son utilisation est nécessaire à des fins d’étude, de recherche ou de production de statistiques et qu’il est dépersonnalisé, c’est-à-dire lorsque ce renseignement ne permet plus d’identifier directement la personne concernée et qu’il s’agit d’une utilisation interne.
  • Dans les trois premières situations, la communication doit être inscrite dans un registre de communication des renseignements personnels.

5. CONSENTEMENT

Dans les situations qui le requièrent, les représentants d’ESPA-Montréal transmettent un consentement à la cueillette, à l’utilisation ou à la divulgation des renseignements personnels aux personnes concernées. Pour être valable, le consentement doit être manifeste, libre, éclairé, être donné à des fins spécifiques, en termes simples et clairs ainsi que pour la durée nécessaire à la réalisation des fins auxquelles il a été demandé. Lorsque le consentement concerne des renseignements personnels sensibles, il se doit d’être manifesté de façon expresse.Lorsqu’une personne a donné son consentement à la collecte, à l’utilisation et à la communication de ses renseignements personnels, elle peut le retirer à tout moment. Pour retirer son consentement, le cas échéant, elle peut communiquer à info@espamontreal.ca. Dans le cas d’un refus de donner son consentement ou d’un retrait, ESPA-Montréal pourrait ne pas être en mesure de fournir un service à cette personne.

6. COMMUNICATION DES RENSEIGNEMENTS PERSONNELS 

6.1 Communication sans le consentement de la personne concernée

6.1.1 Ne nécessitant pas d’inscription au registre de communication

ESPA-Montréal peut communiquer certains renseignements personnels qu’il détient à un membre de son personnel si celui-ci a la qualité pour le recevoir et lorsque ce renseignement est nécessaire à l’exercice de ses fonctions.

6.1.2 Nécessitant une inscription au registre de communication

Dans tous les cas prévus dans cette section (6.1.2), le représentant d’ESPA-Montréal doit, avant toute communication de renseignements personnels, informer ac.laertnomapseobfsctd-561f32@ofni afin qu’elle puisse être consignée au registre de communication.

6.1.3 À un représentant d’ESPA-Montréal, autre qu’un membre du personnel

ESPA-Montréal peut transférer les renseignements personnels qu’il collecte à des représentants d’ESPA-Montréal, autres que des membres de son personnel, qui le soutiennent. Dans un tel cas, le contrat ou le mandat est toujours écrit. Le contrat ou le mandat stipule que ces représentants sont tenus de garder les renseignements personnels confidentiels, de les utiliser uniquement aux fins pour lesquelles ESPA-Montréal les divulgue et de traiter les renseignements personnels selon les normes énoncées dans la Politique et en respect des lois.

6.1.4 À une personne ou à un organisme en autorité ou en cas d’urgence

ESPA-Montréal peut communiquer un renseignement personnel dans les cas et aux strictes conditions suivantes :
  • À une personne ou à un organisme qui, en vertu de la loi, est chargé de prévenir, détecter ou réprimer le crime ou les infractions aux lois, si le renseignement est nécessaire aux fins d’une poursuite pour infraction à une loi applicable au Québec;
  • À une personne à qui cette communication doit être faite en raison d’une situation d’urgence mettant en danger la vie, la santé ou la sécurité de la personne concernée;
  • Pour prévenir un acte de violence, dont un suicide, lorsqu’il existe un motif raisonnable de croire qu’un risque sérieux de mort ou de blessures graves menace une personne ou un groupe de personnes identifiable et que la nature de la menace inspire un sentiment d’urgence. Les renseignements peuvent alors être communiqués à la ou aux personnes exposées à ce danger, à leur représentant ou à toute personne susceptible de leur porter secours.
  • À toute personne ou organisme si la communication est nécessaire à l’application d’une loi au Québec, que cette communication soit ou non prévue expressément par la loi;
  • À toute personne ou organisme si cette communication est nécessaire à l’application d’une convention collective, d’un décret, d’un arrêté, d’une directive ou d’un règlement qui établissent des conditions de travail.

6.1.5 À des fins d’étude, de recherche ou de production de statistiques

ESPA-Montréal peut communiquer certains renseignements personnels à des fins d’étude, de recherche ou de production de statistiques.

6.2 Communication avec le consentement de la personne concernée

ESPA-Montréal peut communiquer à une personne certains renseignements personnels détenus s’il a valablement obtenu le consentement de la personne concernée.

7. CONSERVATION ET DESTRUCTION DES RENSEIGNEMENTS PERSONNELS

ESPA-Montréal ne conserve les Renseignements personnels qu’il détient que pour le temps nécessaire pour atteindre les fins pour lesquelles il les a collectés, à moins d’autorisation ou d’exigence des lois ou de la réglementation applicable. En règle générale, lorsque les fins pour lesquelles un renseignement personnel a été recueilli ou utilisé sont accomplies, ESPA-Montréal le détruit ou l’anonymise pour l’utiliser à des fins d’intérêt public. Un renseignement concernant une personne physique est anonymisé lorsqu’il est, en tout temps, raisonnable de prévoir dans les circonstances qu’il ne permet plus d’identifier directement ou indirectement cette personne. Il convient de noter que le processus d’anonymisation doit être irréversible. Lorsque ESPA-Montréal procède à la destruction de documents contenant des renseignements personnels, il prend les mesures de protection nécessaires visant à assurer la confidentialité de ceux-ci. La méthode de destruction utilisée est déterminée en fonction de la sensibilité des renseignements, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support.Les renseignements personnels détenus par ESPA-Montréal doivent être traités et stockés au Québec. Dans l’éventualité où un transfert de renseignements personnels à l’extérieur du Québec serait nécessaire dans le cadre de l’exercice des fonctions d’ESPA-Montréal, ce transfert n’aura lieu que s’il est évalué que le renseignement bénéficierait d’une protection adéquate, notamment en considérant la sensibilité du renseignement, la finalité de son utilisation, les mesures de protection dont le renseignement bénéficierait et le régime juridique applicable dans l’État ou la province où ce renseignement serait communiqué.

8. PROTECTION DES RENSEIGNEMENTS PERSONNELS

ESPA-Montréal met en place des mesures de sécurité physiques, organisationnelles, contractuelles et technologiques appropriées et raisonnables afin de protéger les renseignements personnels qu’il détient contre la perte ou le vol, et contre l’accès, la divulgation, la copie, l’utilisation ou la modification non autorisés par la loi. Un renseignement personnel est accessible, sans le consentement de la personne concernée, à toute personne qui a qualité pour le recevoir au sein d’ESPA-Montréal si ce renseignement est nécessaire à l’exercice de ses fonctions. ESPA-Montréal prend des mesures à cet effet.

9. DEMANDE D’ACCÈS OU DE RECTIFICATION À DES RENSEIGNEMENTS PERSONNELS

9.1 Demande d’accès à ses renseignements personnels

Toute personne qui en fait la demande a droit d’avoir accès aux renseignements personnels la concernant détenus par ESPA-Montréal, sous réserve des exceptions prévues par la Loi sur l’accès.La demande doit fournir suffisamment d’indications pour permettre à ESPA-Montréal de la traiter.

9.2 Demande de rectification

Toute personne qui reçoit confirmation de l’existence dans un fichier d’un renseignement personnel la concernant peut, s’il est inexact, incomplet ou équivoque, ou si sa collecte, sa communication ou sa conservation ne sont pas autorisées par la Loi sur l’accès, exiger que le fichier soit rectifié.La demande doit fournir suffisamment d’indications pour permettre à ESPA-Montréal de la traiter.

10. GESTION DES INCIDENTS DE CONFIDENTIALITÉ

10.1 Déclaration

Les membres du personnel d’ESPA-Montréal qui sont parties prenantes ou témoins d’un incident de confidentialité doivent faire une déclaration en écrivant à ac.laertnomapseobfsctd-21f4fb@ofni , et ce, dans les plus brefs délais. Toute autre personne qui souhaite divulguer un incident de confidentialité survenu au sein d’ESPA-Montréal peut le faire en écrivant à ac.laertnomapseobfsctd-9772f3@ofni. La divulgation doit être aussi précise que possible et doit indiquer les éléments suivants, s’ils sont connus :
  1. Les circonstances de l’incident ;
  2. Les renseignements personnels impliqués ;
  3. Les personnes concernées par les renseignements personnels ;
  4. Le problème qui a causé l’incident de confidentialité (erreur, faiblesse d’un logiciel, etc.) ;
  5. Les coordonnées pour pouvoir joindre la personne qui fait la divulgation, afin d’obtenir de l’information complémentaire. Une divulgation peut cependant être faite de façon anonyme si la personne craint de subir des représailles.

10.2 Évaluation de l’incident de confidentialité

Pour évaluer adéquatement l’incident, toute personne susceptible de donner des précisions sur l’incident peut être rencontrée. Afin d’évaluer le risque qu’un préjudice soit causé à une personne dont un renseignement personnel est concerné par un incident de confidentialité, doivent considérés notamment :
  1. La sensibilité du renseignement concerné ;
  2. Les conséquences appréhendées de son utilisation et ;
  3. La probabilité qu’il soit utilisé à des fins préjudiciables.
Lorsqu’il est conclu qu’il existe un risque de préjudice sérieux pour les personnes concernées par l’incident de confidentialité, la Commission d’accès à l’information doit être avisée avec diligence de même que les personnes concernées par l’incident, sauf lorsque cela est susceptible d’entraver une enquête faite par une personne ou par un organisme qui, en vertu de la loi, est chargé de prévenir, de détecter ou de réprimer le crime ou les infractions aux lois.

10.3 Inscription au registre des incidents de confidentialité

Le registre des incidents de confidentialité doit être tenu à jour.

11.PROCESSUS DE TRAITEMENT DES PLAINTES RELATIVES À LA PROTECTION DES RENSEIGNEMENTS PERSONNELS

11.1 Dépôt d’une plainte relative à la protection des Renseignements personnels

Toute personne qui a des motifs de croire qu’ESPA-Montréal a fait défaut de protéger la confidentialité des renseignements personnels qu’il détient peut déposer une plainte pour demander que la situation soit corrigée. Pour ce faire, un courriel doit être envoyé à info@espamontreal.ca.Ce courriel doit indiquer :
  • Le prénom et le nom du plaignant;
  • Son numéro de téléphone;
  • Le contexte de la plainte incluant la ou les dates.

11.2 Traitement de la plainte

Toute plainte relative à la protection des renseignements personnels doit être traitée dans les trente (30) jours de sa réception. Dans le cas où celle-ci s’avère fondée, ESPA-Montréal prend les mesures requises pour corriger la situation dans les meilleurs délais conformément au paragraphe 10.3 de la présente Politique et procède à l’inscription de l’incident au registre.

12. SANCTIONS APPLICABLES EN CAS DE NON-RESPECT DES RÈGLES

Le non-respect des présentes règles pourrait entraîner des mesures ou des sanctions judiciaires, administratives ou disciplinaires. La nature, la gravité et le caractère répétitif des actes reprochés doivent notamment être considérés au moment de déterminer une sanction en conformité avec la législation applicable.

13. DIFFUSION ET RÉVISION

ESPA-Montréal doit s’assurer de la diffusion, de la révision et de la mise à jour de la présente politique

14. ENTRÉE EN VIGUEUR

La présente politique entre en vigueur le jour de son adoption ou révision par le comité de direction.