Politique de confidentialité

POLITIQUE SUR LA GOUVERNANCE EN MATIÈRE DE PROTECTION DES RENSEIGNEMENTS PERSONNELS (PDF)

Voyez aussi la page À propos pour nos autres politiques.

PRÉAMBULE

La Loi sur l’accès aux documents des organismes publics et la protection des renseignements personnels (RLRQ, c. A-2.1) (Loi), telle que modifiée par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (LQ, 2021, c. 25) et les règlements adoptés en vertu de celle- ci, a pour objet d’encadrer l’accès aux documents et la protection des Renseignements personnels détenus par les organismes publics, dont les établissements universitaires. Dans le cadre de la poursuite de sa mission, le Centre de solidarité internationale Corcovado (ci-après CSI Corcovado) doit collecter, utiliser, conserver, communiquer et détruire des Renseignements personnels concernant les membres de la Communauté gravitant autour du CSI Corcovado et de sa librairie. Ces Renseignements personnels sont confidentiels, à l’exception de ceux qui ont un caractère public aux termes de la Loi. Le CSI Corcovado a donc la responsabilité d’en préserver la confidentialité et de se conformer aux obligations qui lui incombent aux termes de la Loi à leur égard, dont notamment obtenir le consentement des personnes qu’ils concernent avant de les communiquer à des tierces personnes. La Politique sur la gouvernance en matière de protection des renseignements personnels (Politique) vise à mettre en place des mesures concrètes à ces fins.

1.       OBJECTIFS

La Politique vise à encadrer la collecte, l’utilisation, la conservation, la communication et la destruction des Renseignements personnels concernant les membres de la Communauté CSI Corcovado et à mettre en place des mesures permettant d’en protéger la confidentialité conformément à la Loi et ses règlements. Elle prévoit également un processus de traitement des plaintes en matière de protection des Renseignements personnels, de même qu’une description sommaire des activités de formation et de sensibilisation des membres de la Communauté du CSI Corcovado.

2.       DÉFINITIONS

Aux fins d’application de la Politique, les expressions définies revêtent le sens qui leur est donné dans le présent article.

Communauté du CSI Corcovado : les membres du personnel, incluant les chargés de projet, les bénévoles de la librairie, les coopérants volontaires et les stagiaires du CSI Corcovado.

Document : une information, produite ou reçue par le personnel des services ou des centres, qui est délimitée, structurée et intelligible sous forme de mots, de sons ou d’images et portée par un support.

Évaluation des facteurs relatifs à la vie privée ou EFVP : la démarche consistant à considérer tous les facteurs qui auront un impact positif ou négatif pour le respect de la vie privée des personnes concernées.

Ces facteurs sont :

  • la conformité du projet en technologie de l’information ou de la communication à la Loi et le respect des principes qui l’appuient;
  • l’identification des risques d’atteinte à la vie privée engendrés par le projet, la collecte ou la communication et l’évaluation de leurs impacts;
  • la mise en place de stratégies pour éviter ces risques ou les réduire efficacement.

Renseignement anonymisé : renseignement concernant une personne physique dont il est, en tout temps, raisonnable de prévoir dans les circonstances qu’il ne permet plus, de façon irréversible, d’identifier directement ou indirectement cette personne. À des fins de clarté, un renseignement anonymisé n’est plus considéré comme un Renseignement personnel.

Renseignement dépersonnalisé : Renseignement personnel qui ne permet plus d’identifier directement la personne concernée.

Renseignement personnel : tout renseignement qui concerne une personne physique et qui permet de l’identifier. Le nom d’une personne physique n’est pas un Renseignement personnel, sauf lorsqu’il est mentionné avec un autre renseignement la concernant ou lorsque sa seule mention révélerait un Renseignement personnel concernant cette personne. Le fait qu’une signature apparaisse au bas d’un Document n’a pas pour effet de rendre personnels les renseignements qui y apparaissent.

Renseignement sensible : tout Renseignement personnel qui, de par sa nature notamment médicale, biométrique ou autrement intime, ou en raison du contexte de son utilisation ou de sa communication, suscite un haut degré d’attente raisonnable en matière de vie privée.

Responsable de l’accès : Personne déléguée à ce titre par le conseil d’administration exerce de manière autonome les fonctions de responsable de l’accès à l’information et de la protection des renseignements personnels aux termes de la Loi.

3.       CHAMP D’APPLICATION

  • Cadre juridique

En matière de protection des Renseignements personnels, le CSI Corcovado doit notamment respecter la Loi, le Code civil du Québec de même que la Charte des droits et libertés de la personne du Québec (RLRQ c. C-12), la Loi concernant le cadre juridique des technologies de l’information (RLRQ c. C-1.1) et toute autre loi applicable.

  • Objet

La Politique s’applique à la Communauté du CSI Corcovado ainsi qu’aux Renseignements personnels de toute personne concernée. En cas de doute quant au traitement de Renseignements personnels, les membres de la Communauté du CSI Corcovado doivent consulter la personne Responsable de l’accès.

4.       RESPONSABLE DE L’APPLICATION

La personne Responsable de l’accès ainsi que le Comité sur l’accès à l’information et la protection des renseignements personnels (Comité AIPRP) s’assurent de l’application de la Politique et de sa révision périodique. À ces fins, le Secrétariat général et le Service des affaires juridiques peuvent les assister. La personne Responsable de l’accès ainsi que le Comité AIPRP prennent toutes les mesures nécessaires afin que la Communauté du CSI Corcovado en connaisse les objectifs et en assure le respect.

5.       COMITÉ SUR L’ACCÈS À L’INFORMATION ET LA PROTECTION DES RENSEIGNEMENTS PERSONNELS

5.1 Rôles et responsabilités

Le Comité AIPRP, relevant de la cogestion, exerce un rôle de leadership et contribue à la promotion d’une culture organisationnelle qui renforce la protection des Renseignements personnels et favorise la transparence. Le Comité AIPRP possède l’influence nécessaire pour assurer la prise en considération des impératifs liés à la protection des Renseignements personnels et à l’accès aux documents. Plus précisément, le Comité AIPRP doit notamment :

  1. approuver les règles de gouvernance à l’égard des Renseignements personnels;
    1. être consulté, dès le début du projet et aux fins de l’évaluation des facteurs relatifs à la vie privée, pour tous les projets d’acquisition, de développement et de refonte d’un système d’information ou d’une prestation électronique de services impliquant des Renseignements personnels. Il peut également suggérer, à toutes les étapes du projet :

− la nomination d’une personne chargée de la mise en œuvre des mesures de protection des Renseignements personnels;

− des mesures de protection des Renseignements personnels dans les Documents relatifs au projet; − une description des responsabilités des participants au projet en matière de protection des Renseignements personnels;

− la tenue d’activités de formation sur la protection des Renseignements personnels pour les participants.

  • soutenir le CSI Corcovado dans l’exercice de ses responsabilités et dans l’exécution de ses obligations;
    • planifier et assurer la réalisation des activités de formation;
    • promouvoir les orientations, les directives et les décisions formulées par la Commission d’accès à l’information;
    • évaluer annuellement le niveau de protection des Renseignements personnels.

5.2 Composition

Le Comité AIPRP est composé des membres suivants :

  1. la personne Responsable de l’accès;
    1. la personne responsable de la sécurité informatique;
    1. une personne représentante le conseil d’administration;
    1. toute autre personne, interne ou externe, dont l’expertise est requise.

6. RÈGLES DE PROTECTION DES RENSEIGNEMENTS PERSONNELS

6.1 Protection des Renseignements personnels

En tout temps, le CSI Corcovado et les membres de la Communauté du CSI Corcovado doivent prendre les mesures de sécurité propres afin d’assurer la protection des Renseignements personnels qu’ils détiennent. Ces derniers doivent agir avec vigilance en s’abstenant de consulter des Renseignements personnels dont il n’est pas nécessaire de le faire dans le cadre de l’exercice de leur fonction. Chaque membre du personnel cadre doit également s’assurer que les Renseignements personnels sous sa garde sont recueillis, utilisés, communiqués et conservés conformément à la présente Politique.

6.2 Caractère confidentiel des Renseignements personnels

À l’exception des cas prévus à l’article 6.3, les Renseignements personnels détenus par le CSI Corcovado sont confidentiels et ils sont soumis aux règles de protection prévues par la Loi. Ils ne sont accessibles qu’aux personnes qu’ils concernent et, au sein du CSI Corcovado, qu’aux seules personnes qui ont la qualité pour les recevoir, lorsque ces Renseignements personnels sont nécessaires à l’exercice de leurs fonctions. Lorsque la personne concernée par un Renseignement personnel a donné son consentement à sa divulgation, un Renseignement personnel cesse d’être confidentiel. Le cas échéant, ce consentement doit être donné expressément, de façon libre et éclairée et être spécifique et limité.

6.3 Caractère public de certains Renseignements personnels

À moins que leur divulgation ne soit de nature à nuire ou à entraver le travail d’un organisme qui, en vertu d’une loi, est chargé de prévenir, détecter ou réprimer le crime, les Renseignements personnels ayant un caractère public aux termes de la Loi, sont :

  1. le nom, le titre, la fonction, la classification, le traitement, l’adresse et le numéro de téléphone du lieu de travail d’une ou un membre du personnel cadre ou de son conseil d’administration;
  • le nom, le titre, la fonction, l’adresse et le numéro de téléphone du lieu de travail et la classification du personnel du CSI Corcovado, y compris l’échelle de traitement rattachée à cette classification (à l’exclusion du traitement);
    • à moins qu’il ne puisse faire l’objet d’une restriction au droit d’accès prévue à la Loi, un renseignement concernant une personne en sa qualité de partie à un contrat de service conclu avec le CSI Corcovado, ainsi que les conditions de ce contrat;
    • à moins qu’il ne puisse faire l’objet d’une restriction au droit d’accès prévue à la Loi, le nom et l’adresse d’une personne qui bénéficie d’un avantage économique conféré par le CSI Corcovado en vertu d’un pouvoir discrétionnaire et tout renseignement sur la nature de cet avantage. Toutefois, le CSI Corcovado peut limiter ou refuser l’accès, en tout ou en partie, à un fichier de renseignements professionnels ou à des Renseignements personnels qui ont un caractère public en vertu de la Loi ou n’en permettre que la consultation sur place si la ou le Responsable de l’accès à des motifs raisonnables de croire que les renseignements seront utilisés à des fins illégitimes.

7. RÈGLES LIÉES AU CONSENTEMENT

Tout consentement doit être manifeste, libre, éclairé, donné à des fins spécifiques et ne vaut que pour la période nécessaire à la réalisation des fins auxquelles il a été demandé. Le consentement lié à des Renseignements sensibles doit être manifesté de manière expresse.

8. RÈGLES LIÉES À LA COLLECTE DES RENSEIGNEMENTS PERSONNELS

Le CSI Corcovado prend les mesures de sécurité propres afin d’assurer la protection des Renseignements personnels collectés (ex. : formulaires, sondages, outils analytiques Web), créés (ex. : identifiant interne) ou inférés (ex. : profil statistique).

8.1 Règles générales

Le CSI Corcovado applique les règles suivantes lorsqu’elle recueille des Renseignements personnels :

  1. quiconque en son nom, ne peut recueillir un Renseignement personnel si cela n’est pas nécessaire à l’exercice de ses attributions ou à la mise en œuvre d’un programme dont elle a la gestion;
    1. limite la collecte des Renseignements personnels au minimum de ce qui est nécessaire pour accomplir les fins spécifiques qui sont déterminées préalablement à cette collecte;
    1. demande le consentement des personnes concernées avant de recueillir leurs Renseignements personnels en appliquant les principes prévus à la présente Politique, à moins que la Loi ou une autre loi applicable ne permette de les recueillir sans un tel consentement;
  • quiconque en son nom recueille des Renseignements personnels, doit, au plus tard au moment de la collecte et, par la suite, sur demande, transmettre aux personnes concernées toute l’information requise par la Loi, à savoir :

− le nom de la personne pour le compte duquel la collecte est faite;

− les fins auxquelles ils sont recueillis;

− les moyens par lesquels ils sont recueillis;

− le caractère obligatoire ou facultatif de la demande;

− les conséquences pour la personne concernée ou, selon le cas, pour une tierce personne, d’un refus de répondre à la demande ou, le cas échéant, d’un retrait de son consentement à leur communication ou à leur utilisation suivant une demande facultative;

− les droits d’accès et de rectification prévus par la Loi.

Le cas échéant, la personne concernée est aussi informée de :

− l’identité de la tierce personne qui recueille les renseignements au nom du CSI CORCOVADO;

− du nom des tierces personnes ou des catégories de tierces personnes à qui il est nécessaire de communiquer les Renseignements personnels;

− de la possibilité que les renseignements soient communiqués à l’extérieur du Québec.

Dans l’éventualité où le CSI Corcovado recueille des Renseignements personnels auprès de la personne concernée en ayant recours à une technologie comprenant des fonctions permettant de l’identifier, de la localiser ou d’effectuer un profilage, il doit, au préalable, l’informer du recours à une telle technologie et des moyens offerts pour activer ou désactiver de telles fonctions.

Le CSI Corcovado s’assure également de déployer les moyens raisonnables pour diminuer les inexactitudes dans les Renseignements personnels recueillis et ne peut recueillir des Renseignements personnels que par l’intermédiaire de moyens licites portés à la connaissance des personnes concernées.

Le CSI Corcovado ne procède pas à la vérification ou la confirmation de l’identité d’une personne au moyen d’un procédé permettant de saisir des caractéristiques ou des mesures biométriques. Ces données ne sont pas nécessaires à son fonctionnement.

8.2 Règles liées aux sondages

Avant de recueillir des Renseignements personnels dans le cadre d’un sondage, le CSI Corcovado doit procéder à une évaluation de la nécessité d’y recourir.

Le CSI Corcovado s’assure également que les tierces personnes agissant pour son compte prennent des mesures de sécurité adéquates.

8.3 Règles liées à la collecte pour le compte d’un partenaire

Malgré l’article 8 a), le CSI Corcovado peut recueillir un Renseignement personnel si cela est nécessaire à l’exercice des attributions ou à la mise en œuvre d’un programme provenant d’un partenaire. Cette collecte doit être précédée d’une EFVP concluante et s’effectuer dans le cadre d’une entente écrite transmise à la Commission d’accès à l’information en conformité avec l’article 64 de la Loi. Une telle collecte est aussi inscrite au registre approprié. Aux fins de la Politique, est concluante une EFVP qui satisfait aux exigences suivantes :

  1. l’objectif visé par la collecte ou la communication évaluée est atteint que si les Renseignements personnels sont recueillis ou communiqués sous une forme ne permettant pas d’identifier les personnes concernées;
    1. il est déraisonnable d’exiger l’obtention du consentement des personnes concernées avant la collecte ou la communication évaluée;
    1. l’objectif pour lequel la communication ou la collecte est requise l’emporte, eu égard à l’intérêt public, sur l’impact de la collecte, de la communication et de l’utilisation du renseignement sur la vie privée des personnes concernées; et
    1. les Renseignements personnels sont utilisés de manière à en assurer la confidentialité.

8.4 Moyens

Le CSI Corcovado recueille des Renseignements personnels par l’intermédiaire des moyens suivants :

− site web : soit automatiquement (cookies), au moyen de divers formulaires ou plateformes électroniques d’inscription, de candidature, de dons ou lors de l’adhésion;

− courriel : de la part des personnes concernées qui contiennent des Renseignements personnels;

− téléphone : lors d’un appel téléphonique avec tout membre de son personnel;

− en personne : lors d’une interaction avec tout membre de la Communauté du CSI Corcovado, incluant lors de l’inscription à divers services de la librairie.

9. RÈGLES LIÉES À L’UTILISATION DES RENSEIGNEMENTS PERSONNELS

L’utilisation inclut les opérations effectuées à l’interne par les membres de la Communauté du CSI Corcovado. Il peut s’agir de l’organisation, la structuration, l’adaptation, la modification, l’extraction ou la consultation de Renseignements personnels ainsi que de tout autre type d’opération sur des Renseignements personnels.

9.1 Règles générales

À l’égard de l’utilisation des Renseignements personnels, le CSI Corcovado applique les règles suivantes :

  1. un Renseignement personnel ne peut être utilisé au sein de le CSI Corcovado qu’aux fins pour lesquelles il a été recueilli, à moins d’obtenir le consentement de la personne concernée;
    1. Le CSI Corcovado peut toutefois utiliser un tel renseignement à une autre fin sans le consentement de la personne concernée dans les seuls cas suivants :

− lorsque son utilisation est compatible avec celle pour laquelle il a été recueilli;

− lorsque son utilisation est manifestement au bénéfice de la personne concernée;

− lorsque son utilisation est nécessaire à l’application d’une loi au Québec, que cette utilisation soit ou non prévue expressément par la Loi.

Lorsqu’un renseignement est utilisé dans l’un des cas visés à l’article 9.1 b), le Responsable de l’accès doit inscrire l’utilisation dans le registre approprié.

Malgré ce qui précède, le CSI Corcovado peut aussi utiliser, sans le consentement de la personne concernée, des Renseignements dépersonnalisés à des fins d’étude, de recherche ou de production de statistiques dès lorsqu’il prend les mesures raisonnables visant à limiter les risques que quiconque ne procède à l’identification des personnes concernées.

9.2 Règles liées au traitement automatisé

Dans l’éventualité où le CSI Corcovado utilise des Renseignements personnels pour rendre une décision fondée exclusivement sur un traitement automatisé de ceux-ci, il doit en informer la personne concernée au plus tard au moment où il l’informe de cette décision. Sur demande, la personne concernée est informée :

  1. des Renseignements personnels utilisés pour rendre la décision;
    1. des raisons ainsi que des principaux facteurs et paramètres ayant mené à la décision; et
    1. de son droit de faire rectifier les Renseignements personnels utilisés pour rendre la décision.

Le CSI Corcovado doit donner à toute personne visée par une décision fondée exclusivement sur un traitement automatisé, l’occasion de présenter ses observations écrites à un membre de son personnel en mesure de réviser la décision.

9.3 Règles liées aux ressources humaines

Le CSI Corcovado s’assure que chaque membre de la Communauté du CSI Corcovado qui utilise des Renseignements personnels est tenu à des obligations de confidentialité et a reçu une formation adéquate. Le CSI Corcovado s’assure que les membres de la Communauté du CSI Corcovado qui utilise des Renseignements personnels ne peuvent avoir accès qu’aux Renseignements personnels nécessaires à l’exercice de leur fonction.

9.4 Catégories générales d’utilisation des Renseignements personnels.

Le CSI Corcovado utilise les Renseignements personnels dans le cadre que lui impose les lois, notamment :

− à titre d’organisme de coopération internationale, le CSI Corcovado utilise les Renseignements personnels concernant ses coopérants volontaires afin d’assurer la sécurité des coopérants, des partenaires et des bénéficiaires des partenaires du Sud. Ces renseignements, notamment la vérification du dossier judiciaire et certains détails médicaux étant nécessaires à la sécurité de tous, le refus de consentir à leur collecte peut amener le CSI Corcovado à refuser l’admission de la personne concernée.

10. RÈGLES LIÉES À LA COMMUNICATION DES RENSEIGNEMENTS PERSONNELS

La communication réfère à toute opération qui consiste à transmettre, transférer ou mettre à la disposition d’une tierce personne des Renseignements personnels, sans égard aux moyens de communication utilisés.

10.1 Règles générales

À l’égard de la communication des Renseignements personnels, le CSI Corcovado applique les règles suivantes :

− la communication de Renseignements personnels peut être effectuée par le CSI Corcovado avec le consentement de la personne concernée ou, sans ce consentement lorsque la Loi l’exige ou le permet;

− toute communication de Renseignements personnels par le CSI Corcovado ne doit contenir que les Renseignements personnels nécessaires à l’atteinte de fins spécifiques et déterminées préalablement à cette communication;

− le CSI Corcovado met en place des moyens raisonnables pour s’assurer que toute personne interne ou externe qui les reçoit respecte des mesures permettant de maintenir la confidentialité, l’intégrité et la disponibilité des Renseignements personnels.

10.2 Règles sur la communication sans le consentement de la Personne concernée

Le CSI Corcovado ne peut communiquer un Renseignement personnel confidentiel à une tierce personne sans le consentement de la personne concernée, sauf dans les circonstances suivantes :

  • à une personne ou un organisme à des fins d’études, de recherche ou de production de statistiques
    • une demande doit être formulée à la personne Responsable de l’accès et une entente doit être conclue avec le CSI Corcovado conformément aux articles 67.2.1 à 67.2.3 de la Loi.
    • à une personne ;
    • autorisée par la Commission d’accès à l’information, à des fins d’étude, de recherche ou de statistiques;
    • à qui il est nécessaire de le faire afin de recueillir des Renseignements personnels déjà colligés par celle-ci, en informant préalablement la Commission d’accès à l’information.
  • à une personne ou un organisme, si la communication des Renseignements personnels est nécessaire pour :
    • l’application d’une loi au Québec, que cette communication soit ou non prévue par ladite loi;
    • prévenir, détecter ou réprimer le crime ou les infractions aux lois;
    • l’application d’une convention collective, d’un décret, d’un arrêté, d’un document normatif établissant les conditions de travail;
    • l’exercice d’un mandat ou l’exécution d’un contrat de service ou d’entreprise confié par le CSI Corcovado. Le cas échéant, le contrat concerné doit être conclu par écrit et son contenu doit être conforme à la Loi.
  • à un organisme public ou à un organisme d’un autre gouvernement, en concluant et soumettant préalablement à la Commission d’accès à l’information une entente écrite conforme à la Loi;
  • dès lors qu’une EFVP menée conformément à l’article 68 de la Loi est concluante, que les autres exigences prévues au même article sont respectées et lorsque cette communication est nécessaire :
    • pour l’exercice de ses attributions par l’organisme receveur;
    • est manifestement au bénéfice de la personne concernée;
    • dans le cadre de la prestation d’un service à rendre à la personne concernée par un organisme public;
    • lorsque des circonstances exceptionnelles le justifient.

le CSI Corcovado doit communiquer certains Renseignements personnels, en temps opportun, dans les circonstances suivantes :

  1. à toute personne susceptible de porter secours à une personne exposée à une situation d’urgence ou à un danger imminent de mort ou de blessures graves pouvant être provoqué par un acte de violence, dont un suicide, s’il existe un motif raisonnable de croire qu’un tel danger la menace et que cela est nécessaire pour le prévenir. Le cas échéant, seuls les Renseignements personnels nécessaires aux fins poursuivies par leur communication doivent être communiqués;
    1. aux autorités policières lorsqu’il existe un motif raisonnable de croire qu’une personne est en possession d’une arme à feu sur les terrains ou dans les locaux appartenant au CSI Corcovado, qu’une arme à feu s’y trouve ou qu’une personne a, sur les terrains ou dans les locaux appartenant au CSI Corcovado, un comportement susceptible de compromettre sa sécurité ou celle d’autrui avec une arme à feu. Le cas échéant, le CSI Corcovado communique aux autorités policières que les Renseignements personnels nécessaires pour faciliter leur intervention.

10.3 Registre de communications de Renseignements personnels

le CSI Corcovado tient un registre de tous les Renseignements personnels communiqués dans les cas prévus par la Loi sans le consentement des personnes concernées. Tout membre de la Communauté du CSI Corcovado qui communique un Renseignement personnel dans de telles circonstances doit en informer la personne Responsable de l’accès et lui spécifier :

  1. la nature ou le type de renseignement communiqué;
    1. la personne ou l’organisme qui reçoit cette communication;
    1. la fin pour laquelle il est communiqué;
    1. l’indication, le cas échéant, qu’il s’agit d’une communication à l’extérieur du Québec; et
    1. la raison justifiant cette communication. Toute personne qui en fait la demande peut accéder au registre tenu par le CSI Corcovado dans les limites et aux conditions prévues par la Loi.

11.   RÈGLES LIÉES À LA CONSERVATION, LA DESTRUCTION ET L’ANONYMISATION DES RENSEIGNEMENTS PERSONNELS

Lorsque les fins pour lesquelles un Renseignement personnel a été recueilli ou utilisé sont accomplies, le CSI Corcovado doit le détruire ou l’anonymiser pour l’utiliser à des fins d’intérêt public, sous réserve de la Loi sur les archives (chapitre A- 21.1) ou du Code des professions (chapitre C- 26). Le CSI Corcovado détient un calendrier déterminant des périodes de conservation par catégorie de Renseignements personnels en conformité avec les lois applicables.

Lorsque le CSI Corcovado souhaite transformer un Renseignement personnel en un Renseignement anonymisé, cela doit être fait selon les meilleures pratiques généralement reconnues et, le cas échéant, selon les critères et modalités déterminés par un règlement du gouvernement.

12.   FORMATION ET SENSIBILISATION

Le CSI Corcovado, en collaboration avec le Comité AIPRP, s’assure d’offrir des activités de formation à son personnel permettant notamment de connaître les principales obligations légales en matière de protection des Renseignements personnels, d’utiliser des techniques d’identification et de gestion des risques, d’appliquer des mesures de sécurité et de réagir adéquatement à un incident de confidentialité.

Le CSI Corcovado s’assure de mener des activités de sensibilisation afin que les membres de la Communauté du CSI Corcovado soient au fait de l’importance de la protection des Renseignements personnels et des méthodes permettant de diminuer les risques quant à leur sécurité. Le site Web du CSI Corcovado contient une page dédiée à la protection des Renseignements personnels.

13.   INCIDENT DE CONFIDENTIALITÉ IMPLIQUANT UN RENSEIGNEMENT PERSONNEL

13.1 Déclaration d’un incident de confidentialité

Le CSI Corcovado a l’obligation de gérer les incidents de confidentialité impliquant un Renseignement personnel qui pourraient survenir. Les membres de la Communauté du CSI Corcovado ont donc l’obligation de déclarer tout incident de confidentialité dont ils ont connaissance à l’adresse : csi@csicorcovado.org.

Un incident de confidentialité se définit comme suit :

  1. l’accès non autorisé par la Loi à un Renseignement personnel;
    1. l’utilisation non autorisée par la Loi d’un Renseignement personnel;
    1. la communication non autorisée par la Loi d’un Renseignement personnel;
    1. la perte d’un Renseignement personnel ou toute autre atteinte à sa protection.

Par ailleurs, l’intention de la personne qui provoque l’incident n’est pas considérée. Qu’il s’agisse d’une erreur, d’une vulnérabilité ou d’un acte intentionnel dont un membre de la Communauté du CSI Corcovado a connaissance, il est primordial de déclarer l’incident.

13.2 Traitement de la déclaration

Lorsque le CSI Corcovado a des motifs de croire qu’un incident de confidentialité impliquant un Renseignement personnel qu’il détient s’est produit, il doit prendre les mesures raisonnables pour diminuer les risques de causer un préjudice et éviter que de nouveaux incidents de même nature ne se produisent.

Ainsi, la personne Responsable de l’accès doit réunir le Comité AIPRP et mettre en œuvre le plan d’action sur le traitement de l’incident de confidentialité. Le Comité AIRPRP doit évaluer s’il en découle un risque de causer un préjudice à une personne dont un Renseignement personnel est concerné par l’incident de confidentialité, les conséquences appréhendées de son utilisation et les probabilités de son utilisation à des fins préjudiciables.

Par la suite, si l’incident de confidentialité présente un risque de causer un préjudice sérieux et si requis par la Loi, le CSI Corcovado doit aviser la Commission d’accès à l’information et les personnes concernées. 13.3 Registre des incidents de confidentialité Conformément au règlement applicable, le CSI Corcovado tient un registre des incidents de confidentialité qui, sur demande de la Commission d’accès à l’information, doit lui être transmis.

14.   EXERCICE DES DROITS ET TRAITEMENT DES PLAINTES

14.1 Droit de la personne concernée par ses Renseignements personnels

À l’égard des Renseignements personnels qui la concernent, toute personne concernée a le droit:

− d’être informée de leur existence au sein d’un fichier de Renseignements personnels;

− d’y accéder et d’en obtenir communication;

− de les faire corriger et compléter;

− d’être informée d’un incident de confidentialité pouvant lui causer un préjudice sérieux.

Si la Loi le permet, la personne concernée peut aussi restreindre ou retirer son consentement à la collecte, l’utilisation ou la communication des Renseignements personnels ou les faire supprimer.

14.2 Rectification

La personne concernée qui reçoit confirmation de l’existence d’un document comprenant un Renseignement personnel la concernant peut, s’il est inexact, incomplet ou équivoque, ou si sa collecte, sa communication ou sa conservation ne sont pas autorisées par la Loi, exiger que le document soit rectifié.

Pour exercer les droits d’accès et de rectification, la personne concernée, doit faire sa demande par écrit et justifier son identité. La demande doit être adressée au Responsable de l’accès par courriel à l’adresse suivante : csi@csicorcovado.org.

Le CSI Corcovado s’assure de répondre à toute demande dans les 20 jours suivant sa réception, sauf lorsque la Loi permet une extension de ce délai. Toute extension du délai devra se faire par avis écrit donné à la personne requérante dans le délai prévu. Le Responsable de l’accès rend sa décision par écrit, en transmet une copie à la personne requérante et doit motiver tout refus d’accéder à une demande en indiquant la disposition de la Loi. Il doit également prêter assistance

à la personne requérante qui le demande pour l’aider à comprendre sa décision et l’informer du recours en révision prévu par la section III du chapitre IV de la Loi et du délai pour l’exercer.

14.3 Plainte

Toute personne visée par un Renseignement personnel collecté, utilisé, communiqué ou conservé par le CSI Corcovado peut déposer une plainte au Responsable d’accès en cas de manquement aux obligations prévues à la Politique. La plainte doit être formulée par écrit et indiquer la nature des faits reprochés, le nom de la ou des personnes en cause, la date à laquelle l’incident s’est produit ainsi que ses attentes quant à l’issue de la plainte.

Cette dernière doit être transmise par courriel à l’adresse suivante : csi@csicorcovado.org. Le Responsable de l’accès accuse réception de la plainte et traite celle-ci dans un délai raisonnable. Il mène une enquête sur les faits allégués ou peut confier le traitement de la plainte à une autre personne, notamment à une ressource externe. Il communique avec diligence une réponse écrite à la personne à l’origine de la plainte, sans toutefois être tenu de lui divulguer le résultat de l’enquête.

15.   MISE À JOUR

La Politique sera mise à jour en septembre 2024 afin de se conformer au 2e volet de l’entrée en vigueur de la loi 25, puis par la suite au besoin ou, au minimum, tous les trois ans.

16.   DISPOSITIONS FINALES

La Politique entre en vigueur au moment de son adoption par le conseil d’administration.

ADOPTION : Conseil d’administration – 8 octobre 2023
MODIFICATION : Conseil d’administration – 19 juin 2024

RESPONSABLE : La personne responsable est Mme Mélanie Hallé, présidente du Conseil d’administration