Préambule

Le projet de loi 64, adopté le 21 septembre 2021 par l’Assemblée nationale, est devenu la Loi 25, loi modernisant des dispositions législatives en matière de protection des renseignements personnels.

Cette Loi 25 vient modifier et ajouter plusieurs droits et obligations au niveau de la protection des données personnelles des citoyen.ne.s afin de mieux refléter la réalité d’aujourd’hui. Plus particulièrement, elle permet une meilleure protection des droits de la personne visée par les renseignements personnels en lui donnant plus de pouvoirs sur le traitement de ses données personnelles et une meilleure compréhension à l’égard des conséquences de ses choix.

Cette politique de gestion des renseignements personnels traduit l’engagement du Parrainage civique de la Vallée-du-Richelieu à mettre en place les meilleures pratiques pour assurer la protection des renseignements personnels.

Les dispositions prévues dans cette politique s’appliquent à tous les membres du personnel et du conseil d’administration du Parrainage civique de la Vallée-du-Richelieu.

Elle vise tous les documents, papiers ou numériques, comportant des renseignements personnels.

Définitions

Renseignements personnels : tout renseignement qui concerne une personne physique et permet directement ou indirectement de l’identifier.

Confidentialité : le fait de limiter ou d’interdire à d’autres personnes l’accès à des informations privées obtenues dans l’exercice de ses fonctions.

1.    Objectif

La Politique a pour objet de préciser le cadre de gestion des renseignements personnels collectés par le PCVR dans le cadre de sa mission et de renforcer leur protection.

La politique vise notamment les objectifs suivants :

• Désigner la.le responsable de la protection des renseignements personnels et définir son rôle et ses responsabilités.

• Définir le cadre de la collecte, la conservation, l’utilisation et la destruction des renseignements personnels.

• Définir un cadre de gestion des incidents de confidentialité.

• Définir le processus de plainte

• Définir un cadre de gestion portant sur l’utilisation ou la communication de renseignements personnels à des fins de production statistique.

2.    Champ d’application

• La politique s’applique à tous.tes les employé.e.s de PCVR ainsi qu’aux membres du conseil d’administration.

• La politique s’applique également à tout membre bénévole ayant signé le code d’éthique.

3.    Responsable

• Par résolution en date du 30 mai 2023, il a été décidé par le conseil d’administration de désigner la personne au poste de direction générale comme responsable de la protection des renseignements personnels.

• La protection des renseignements personnels et la mise en œuvre de la présente politique restent néanmoins une responsabilité partagée par l’ensemble des membres du personnel et du conseil d’administration du PCVR.

4.    Collecte, conservation, utilisation et destruction des renseignements personnels

Le PCVR prend les mesures de sécurité propres à assurer la protection des renseignements personnels qu’il collecte, utilise, communique, conserve ou détruit.

• Collecte des renseignements personnels: le PCVR ne recueille que les renseignements personnels qui sont nécessaires à l’exercice de sa mission. La collecte de ces renseignement personnels doit être validée par la signature d’une fiche de consentement.

• Le PCVR assume la responsabilité de la trajectoire des informations recueillies et s’engage à les traiter par des méthodes qui en protègent la confidentialité.

• Le PCVR s’engage à agir en toute transparence dans la gestion des renseignements personnels en communiquant sa politique, en faisant signer une fiche de consentement lors du recueil des informations et en s’Engageant à aviser toute personne concernée par un incident de confidentialité.

• Conservation des renseignements personnels: le PCVR s’assure que les renseignements personnels qu’il détient sont complets, à jour, et exacts pour servir aux fins pour lesquelles il les recueille ou les utilise. L’accès aux renseignements personnels détenus par le PCVR n’est autorisé, en tout ou en partie, qu’aux membres du personnel et aux membres du conseil d’administration pour qui cela est nécessaire aux fins de l’exercice de leurs fonctions.

• Tenue des dossiers : Seules les informations pertinentes, vraies et nécessaires seront inscrites au dossier. Seuls les faits rapportés par la personne concernée ou observés par la.le professionnel.le seront inscrits. Aucune réflexion, perception ou commentaire personnel ne doit y figurer.

• Mesures de sécurité pour limiter l’accès à l’information :
  • Bureaux
    • Fermer les portes des bureaux en cas d’absence
    • Conserver les dossiers fermés en un lieu sûr.
  • Classeurs
    • Sécuriser les classeurs contenant les dossiers des membres et des employé.e.s ainsi que ceux contenant des renseignements personnels, en dehors des heures de bureau ou en l’absence de leurs responsables.
  • Ordinateurs et autres
    • Verrouiller les écrans d’ordinateur en cas d’absence.
    • Veiller à sécuriser le système informatique.

• Utilisation des renseignements personnels: le PCVR n’utilise les renseignements personnels qu’il détient qu’aux fins pour lesquelles il les a recueillis, sauf dans l’une ou l’autre des situations suivantes :

• Il a préalablement obtenu le consentement par écrit de la personne concernée par le renseignement personnel ;

• L’utilisation est faite à des fins compatibles avec celles pour lesquelles il a été recueilli ;

• L’utilisation est nécessaire à l’application d’une loi au Québec.

• Les membres du personnel du PCVR qui utilisent des renseignements personnels dans le cadre de l’exercice de leurs fonctions doivent :

• Limiter l’utilisation qu’ils en font aux fins de l’exercice de leurs fonctions ;

• S’assurer d’en préserver la confidentialité en toutes circonstances ;

• Informer sans délai leur supérieur.e immédiat.e et/ou la.le responsable de l’accès de toute situation où la confidentialité de renseignements personnels pourrait avoir été compromise;

• Au terme de leur lien d’emploi avec le PCVR, ne conserver aucun renseignement personnel porté à leur connaissance dans le cadre de l’exercice de leurs fonctions et continuer d’en préserver la confidentialité.

• Destruction des renseignements personnels : le PCVR détruit de façon sécuritaire les renseignements personnels lorsque les fins pour lesquelles ils ont été recueillis sont accomplies, sous réserve des lois applicables quant à leur conservation. Ainsi, le PCVR s’engage à :

• Identifier une date de péremption d’informations personnelles qui s’avéreraient inutiles dans le temps ;

• S’assurer que les dossiers fermés sont déchiquetés par un membre de l’équipe de travail ou du conseil d’administration à la fin de la période de conservation.

• Le PCVR respecte le droit à la désindexation des personnes liées de près ou de loin à l’organisme. Toute personne qui en fait la demande peut s’acquérir du droit à l’oubli et voir toutes ses informations personnelles effacées du système informatique ou physique.

5.    Incidents de confidentialité

• Un incident de confidentialité correspond à un accès non autorisé à un renseignement personnel, à son utilisation ou à sa communication, de même que sa perte ou toute autre forme d’atteinte à sa protection.

• Le PCVR, s’il a des motifs de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel qu’il détient, doit prendre les mesures nécessaires pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se reproduisent.

• Le PCVR procède à l’évaluation du préjudice selon la procédure prévue à l’ANNEXE 1.

• Le PCVR doit tenir un registre des incidents de confidentialité et, sur demande de la Commission d’accès à l’information, lui en transmettre une copie.

• Les renseignements contenus au registre des incidents de confidentialité doivent être tenus à jour et conservés pendant une période minimale de sept ans après la date ou la période au cours de laquelle le PCVR a pris connaissance de l’incident.

6.    Processus de plainte

Toute plainte pourra être acheminée à la personne responsable de la protection des renseignements personnels, par courriel ou courrier.

7.    Utilisation de renseignements personnels à des fins statistiques

Le PCVR peut utiliser des renseignements dépersonnalisés à des fins de production statistiques.

8.    Mise à jour

La Politique doit être révisée au minimum tous les 10 ans.

Annexe 1

Procédure d’évaluation du préjudice

1. Évaluer la situation 

Si le PCVR pense qu’un incident de confidentialité impliquant un renseignement personnel en sa possession a eu lieu, il doit :

• Établir les circonstances de l’incident ;
• Identifier le ou les renseignement(s) personnel(s) impliqué(s) ;
• Identifier la ou les personne(s) concernée(s) ;
• Trouver le problème (erreur, etc.).

Tous les éléments de cette liste doivent être identifiés.

2. Diminuer les risques

Le PCVR prendra rapidement les mesures qui s’imposent afin de diminuer les risques qu’un préjudice ne soit causé et pour éviter que d’autres incidents de même nature ne surviennent.

3. Évaluer le préjudice

 Le PCVR doit évaluer si l’incident de confidentialité entraine un risque de préjudice auprès de la personne par le (ou les) renseignement(s) personnel(s) (vol d’identité, atteinte à la vie privée, intimidation, etc.).

4. Inscrire l’incident au registre

Quel que soit le risque de préjudice, il doit être inscrit au registre des incidents de confidentialité.

5. Procédure en cas de préjudice sérieux 

• Aviser la Commission d’accès à l’information
• Aviser la ou les personnes concernée(s) par l’incident