Politique de confidentialité et de protection des renseignements personnels
Le Centre le Beau Voyage inc. (BV) s’engage à protéger la confidentialité des renseignements personnels qu’il recueille dans le cours de ses activités.
La présente politique a pour objectif de présenter les moyens mis en place par le BV pour y parvenir. Elle vise également à faire connaître le processus adopté pour traiter les plaintes relatives à la protection des renseignements personnels et aux incidents de confidentialité.
Adoptée par le conseil d’administration le 19 février 2024
DÉFINITIONS
« PRARP »
Personne responsable de l’accès aux documents et de la protection des RP
« Partenaire »
Toute personne qui collabore avec le BV dans le but d’atteindre des objectifs communs liés à la mission et aux activités du BV. Le partenaire peut être associé ou non à divers instances (publics, OBNL, etc.)
« Projet de collaboration »
Un projet de collaboration se définit comme une initiative impliquant au moins un partenaire et le BV. Cette forme de coopération est essentielle à la réalisation de l’activité et/ou du projet en question. Il convient de souligner que la relation établie va au-delà d’une simple dimension financière. En effet, elle englobe une interconnexion plus vaste, incorporant des aspects stratégiques et opérationnels.
« Employé.e »
Toute personne qui travaille pour le BV moyennant rémunération, incluant la direction, ainsi que toutes les personnes non rémunérées (bénévole, membres du conseil d’administration, stagiaire, etc.)
« Incident de confidentialité »
Tout accès, utilisation ou communication non autorisés par la loi d’un renseignement personnel, de même que la perte d’un renseignement personnel ou toute autre atteinte à sa protection.
« Registre des incidents de confidentialité »
L’ensemble des renseignements consignés sur les incidents et concernant les circonstances de l’incident, le nombre de personnes visées, les dates pertinentes, l’évaluation de la gravité du risque de préjudice et les mesures prises en réaction à l’incident.
« Risque de préjudice sérieux »
Le risque évalué à la suite d’un incident de confidentialité qui pourrait porter un préjudice sérieux aux personnes concernées. Ce risque est analysé par la personne responsable de la protection des renseignements personnels. Pour tout incident de confidentialité, la personne responsable évalue la gravité du risque de préjudice pour les personnes concernées en estimant, notamment, la sensibilité des renseignements concernés, les conséquences appréhendées de leur utilisation et la probabilité qu’ils soient utilisés à des fins préjudiciables.
« Renseignement personnel »
Disposition générale
Tout renseignement communiqué au BV sous quelque support que ce soit (verbal, écrit, audio, vidéo, photographique, informatisé ou autre) qui concerne une personne physique et qui peut permettre, directement ou indirectement, de l’identifier, y compris son nom, son numéro de téléphone, son adresse, son courriel et toute information concernant sa santé. Les renseignements personnels sont confidentiels, sauf dans les cas prévus par la loi. Ils doivent être protégés conformément à la Loi sur l’accès.
NB. Des notes d’intervention (prises pendant et/ou après) de groupe et individuelles ce sont des RP.
Exemple de catégories de renseignements personnels
Renseignements d’identification (Extrait de Quebec.ca)
Adresse, numéro de téléphone, sexe, âge, numéro d’assurance sociale, numéro d’assurance maladie, identifiant numérique, etc.
Renseignements de santé
Dossier médical, diagnostic, consultation d’une professionnelle ou d’un professionnel de la santé, médicament, ordonnance, renseignements sur la cause d’un décès, etc.
Renseignements financiers
Revenu d’une personne, renseignements relatifs à l’impôt, numéro de compte bancaire, biens possédés, numéros de cartes de crédit, etc.
Renseignements relatifs au travail
Dossier disciplinaire, motifs d’absence, dates de vacances, salaire, évaluation du rendement, heures d’entrée et de sortie liées au lieu de travail, etc.
Renseignements scolaires et relatifs à la formation
Inscription à des cours, choix de cours, résultats scolaires, diplômes, curriculum vitæ, etc.
Renseignements relatifs à la situation sociale ou familiale
Documents qui attestent l’état civil, le fait qu’une personne ait ou non des enfants ou qu’elle reçoive des prestations d’aide sociale ou de chômage, etc.
Les renseignements personnels sont confidentiels, sauf dans les cas prévus par la loi. Ils doivent être protégés conformément à la Loi sur l’accès.
1. OBLIGATION DE CONFIDENTIALITÉ
1.1. Les employé.e.e.s
1.1.1. Tous les employé.e.s sont tenus de signer une entente ou un engagement à la confidentialité et à la protection des RP avant d’exercer ses fonctions ou d’exécuter des mandats pour l’organisme. Dans le cas des employé.e.s rémunérés, cet engagement est contenu dans le contrat de travail. Dans le cas des employé.e.s non rémunéré, cet engagement est inclus dans la trousse d’intégration.
1.2. Général
1.2.1. L’obligation de confidentialité s’applique à la durée de la relation avec le BV et survit à la fin de cette relation
2. COLLECTE ET USAGE DES RENSEIGNEMENTS PERSONNELS
2.1. Dispositions générales
2.1.1. Le BV recueille seulement les RP qui sont nécessaires aux fins d’un service ou d’une activité et les utilise à ces seules fins.
2.1.2. Selon la nature particulière de chaque activité, des services proposés, et des objectifs visés, les renseignements personnels recueillis peuvent varier. Une évaluation détaillée doit être effectuée pour chaque activité du Centre. Une liste exhaustive des renseignements personnels requis pour chaque activité doit être élaborée. Cette liste est soumise à l’approbation de la personne responsable des données personnelles au BV.
2.1.3. En l’absence de consentement pour la collecte des RP, les informations seront anonymisées dans la mesure du possible, afin de répondre aux missions du Centre. Si la collecte des RP est indispensable, la participation à l’activité pourrait être refusée. La décision finale relève de la responsabilité de la personne responsable de la protection des données personnelles.
2.2. Pour toute personne participante âgée de 14 ans et plus :
2.2.1. Les RP peuvent seulement être recueillis auprès de la personne concernée.
2.2.2. Des RP sont recueillis auprès de tiers pour certaines activités et services. Les participant.e.s doivent donner leur consentement.
2.2.3. Toute personne participante de 14 ans et plus est informée des renseignements personnels collectés et de la période pendant laquelle ces informations seront conservées
2.3. Pour toute personne participante âgée de moins de 14 ans :
2.3.1. Pour recueillir les renseignements personnels des personnes de moins de 14 ans, le BV doit avoir obtenu au préalable le consentement de l’un de ses parents ou de sa tutrice ou son tuteur légal, à moins que la collecte soit manifestement au bénéfice du jeune (situation d’urgence, etc.)
2.4. Pour tout employé.e
2.4.1. Le BV peut, au besoin, constituer un ou des dossiers contenant des renseignements personnels qui concernent les employé.e.s. La constitution de tels dossiers a pour objet de :
2.4.1.1. Identifier la personne et de maintenir à jour les coordonnées ;
2.4.1.2. Documenter des situations de travail ;
2.4.1.3. Documenter les expériences, les formations et le niveau d’éducation ;
2.4.1.4. Documenter des situations de santé qui peuvent exercer une influence sur la prestation de travail ;
2.4.1.5. Réaliser des tâches administratives requises ou permises par la loi (par ex. permis de travail) ;
2.4.1.6. Rassembler les documents et les informations requis pour accomplir les tâches en lien avec les exigences spécifiques du poste (par ex. permis de conduire pour faire la vérification des antécédents de conduite, attestation d’empêchements judiciaires).
2.4.2. Autres
2.4.2.1. Le BV peut, au besoin, collecter des renseignements personnels qui concernent les membres des instances (conseil d’administration, comités, etc.) et diverses autres personnes (membres, participant.e.s, partenaires, fournisseur).
3. CONSERVATION ET GESTION DES RP
3.1. Le nom de la PRARP et le moyen de la joindre sont indiqués sur le site Internet principal de l’organisme.
3.2. La PRARP s’assure de la tenue d’un registre des incidents de confidentialité.
3.3. La PRARP a le droit d’accéder à l’ensemble des RP détenus par le BV. Les employé.e.s sont autorisé.e.s par la PRARP à accéder aux RP, mais seulement ceux nécessaires à l’exercice de leurs fonctions. La PRARP met en œuvre des dispositifs de protection visant à prévenir tout dommage physique ou accès non autorisé aux RP.
3.4. Les RP doivent être conservés et circuler dans un environnement clôt :
3.4.1. Les RP format papier (s’il y a lieu) :
3.4.1.1. Doivent être conservés dans des classeurs pouvant être verrouillés.
3.4.1.2. Doivent être verrouillés lorsqu’ils ne sont pas en cours d’utilisation.
3.4.1.3. La gestion des clés et les accès sont assurés par la PRARP.
3.4.2. Les RP format électronique :
3.4.2.1. Tout document électronique contenant des RP doit être protégé par des mots de passe.
3.4.2.2. Ces mots de passe sont modifiés chaque année ainsi qu’à chaque fois que les personnes ayant accès aux dossiers concernés sont remplacées.
3.4.2.3. Tout document électronique contenant des RP doit être conservé sur les plateformes et les dispositifs de l’organisme prévus à cet effet(par ex. Office 365, ordinateurs dont le BV est propriétaire, etc.)
3.4.2.4. Le partage des RP doit être effectué avec une extrême prudence et uniquement lorsque nécessaire, en utilisant également les outils decommunication de l’organisme, tels que le courriel professionnel.
3.4.3. Le registre des membres
3.4.3.1. Le registre des membres peut être consulté par les membres SEULEMENT.
3.4.3.2. Les membres doivent soumettre une demande écrite au conseil d’administration afin de consulter le registre. Les motifs du refus ou de l’acceptation de la demande doivent être enregistrés dans le procès- verbal des réunions. Le conseil d’administration établit les modalités de consultation en conformité avec la Loi et les règlements de la corporation.
3.5. Les employé.e.s ayant accès aux RP doivent respecter les mécanismes de protection vigueur. Une entente est signée à cet effet (voir article 1).
3.6. En cas de constatation par toute personne liée à l’organisme d’un incident de confidentialité, elle est tenue d’informer promptement la PRARP. Cette dernière doit consigner l’incident dans le registre, mettre en œuvre des mesures raisonnables pour réduire les risques de préjudice et prévenir la récurrence d’incidents similaires. Le registre conserve les informations sur un incident de confidentialité pour une période minimale de cinq ans à partir de la date ou de la période de prise de connaissance de l’incident par l’organisme.
3.7. La PRARP juge si l’incident présente un risque de préjudice sérieux.
3.8. Si l’incident présente un risque de préjudice sérieux, la PRARP doit aviser avec diligence la Commission d’accès à l’information et toute personne dont un renseignement est concerné par l’incident.
3.9. Le BV doit préférablement faire affaire avec des fournisseurs de services technologiques basés au Québec, et par conséquent soumis à la loi 25. En cas de recours à des fournisseurs situés hors du Québec, il est souhaitable que les données soient stockées au Canada. Dans tous les cas, le BV doit s’assurer que les fournisseurs sélectionnés respectent les normes de sécurité les plus élevées, avec un engagement explicite envers la protection des RP. Les fournisseurs doivent également spécifier les mesures prises pour assurer la sécurité des RP, en soulignant que ces données seront utilisées exclusivement dans le cadre de l’exécution du contrat. Ces informations peuvent être intégrées au contrat conclu avec le BV. Le BV doit voir à ce les fournisseurs de services technologiques prévoient que le BV soit avisé de tout incident de confidentialité mettant en cause des RP collectés.
4. DESTRUCTION DES RENSEIGNEMENTS PERSONNELS
4.1. Les RP sont conservés pendant la période nécessaire à la réalisation des activités pour lesquelles ils ont été collectés. Cependant, ils peuvent être conservés pour une durée différente lorsque des lois l’exigent.
4.2. Ces renseignements personnels sont ensuite détruits de façon sécuritaire.
4.3. Les dossiers concernant les personnes employées sont conservés par le BV pour une durée minimale de sept ans.
5. DIVULGATION DE RENSEIGNEMENTS PERSONNELS À UN TIERS
5.1. Dans le cadre de leurs interactions avec les partenaires ou des fournisseurs, il est essentiel que les employé.e.s veillent à anonymiser les RP, afin d’éviter toute identification directe ou indirecte avec des personnes physiques.
5.2. Lorsqu’il s’agit de projets de collaboration, la possibilité de partager des RP avec des partenaires peut se révéler bénéfique afin d’accomplir la mission et de garantir le succès des activités ou des projets. Toutefois, il est impératif de mener une analyse approfondie sous la responsabilité du PRARP pour déterminer la nécessité de ce partage. Les résultats de cette analyse doivent être orientés de manière à minimiser les risques autant que possible.
5.3. Dans de telles situations, les personnes concernées (si 14 ou plus) (ou leur tuteur/tutrice légal.e si moins de 14 ans) sont tenues de fournir un consentement libre et éclairé. Elles doivent être pleinement informées des RP qui seront partagées ainsi que de la durée de conservation.
5.4. Le partenaire doit s’engager à respecter les dispositions de la Loi 25.
5.5. Les renseignements personnels peuvent être divulgués sans le consentement de la personne concernée si la vie, la santé ou la sécurité de celle-ci est gravement menacée.
5.6. La divulgation doit alors être effectuée de la façon la moins préjudiciable pour la personne concernée.
6. COMMUNICATION DE RENSEIGNEMENTS PERSONNELS À LA PERSONNE CONCERNÉE
6.1. Sous réserve de l’article 6.2, les personnes ont le droit de connaître les RP que le BV a reçus, recueillis et conserve à leur sujet, d’avoir accès à de tels renseignements et de demander que des rectifications soient apportées à ceux-ci.
6.2. Le BV doit restreindre l’accès aux RP lorsque la loi le requiert ou lorsque la divulgation révélerait vraisemblablement des renseignements personnels au sujet d’un tiers.
6.3. Une demande écrite en lien avec l’article 6.1 doit être traitée dans un délai maximal de 30 jours.
6.4. Les personnes de moins de 14 ans ne peuvent exiger d’être informées de l’existence de renseignements de nature médicale ou sociale les concernant ni obtenir communication de ces renseignements, à moins que ce soit dans le cadre d’une procédure judiciaire, par l’intermédiaire de leur avocate ou avocat.
7. MANQUEMENT À L’OBLIGATION DE CONFIDENTIALITÉ
7.1. Une employée ou un employé manque à son obligation de confidentialité lorsque cette personne :
7.1.1. Communique des renseignements personnels à des individus n’étant pas autorisés à y avoir accès ;
7.1.2. Discute de renseignements personnels à l’intérieur ou à l’extérieur du BV alors que des individus n’étant pas autorisés à y avoir accès sont susceptibles de les entendre ;
7.1.3. Enregistre et stocke les RP sur des supports (documents) autres que les supports (documents) officiels du BV et dans des emplacements autres que les lieux de stockage officiels du BV ; Néanmoins, les employé.e.s sont autorisé.e.s à promouvoir et faire de la publicité pour l’organisme en partageant sur des supports personnels des liens vers les publications officielles, les rapports officiels, etc.
7.1.4. Ne pas procéder à l’anonymisation des RP notés dans des documents personnels (cahier de notes, etc.)
7.1.5. Laisse des renseignements personnels sur papier ou support informatique à la vue dans un endroit où des individus n’étant pas autorisés à y avoir accès sont susceptibles de les voir ;
7.1.6. Fait défaut de suivre les dispositions de cette politique.
7.2. Advenant un manquement à l’obligation de confidentialité, des mesures disciplinaires appropriées, pouvant aller jusqu’à la résiliation du contrat de travail ou de toute autre relation avec le BV seront prises à l’égard de la personne, en plus de s’assurer du respect de la procédure sur les incidents de confidentialité prévue à la présente politique
8. RECOURS
8.1. S’il s’avère que des renseignements personnels ont été utilisés de façon contraire à une disposition de cette politique, la personne concernée peut déposer une plainte auprès de la personne responsable de la protection des renseignements personnels du BV. Si la plainte concerne cette personne, elle peut être déposée auprès de la personne à présidence du CA.
8.2. La plainte doit être écrite et contenir le nom de la personne, ses coordonnées et le ou les motifs de sa plainte.
8.3. La personne s’étant vu refuser l’accès ou la rectification des renseignements personnels la concernant peut déposer sa plainte auprès de la Commission d’accès à l’information pour l’examen du désaccord dans les 30 jours du refus du BV d’accéder à sa demande ou de l’expiration du délai pour y répondre.
Adoptée par le Conseil d’administration du Centre le Beau Voyage inc. le 19 février 2024
9. NON-RESPONSABILITÉ
Le site centrelebeauvoyage.org est fourni à titre de service à ses visiteurs. Le Centre le beau voyage se réserve le droit de modifier, d’ajouter ou de supprimer toute information ou tout élément de ce site, à tout moment et pour toute raison. Le Centre le beau voyage fera tout en son possible pour que ce site contienne des informations valables. Par contre, il est impossible de garantir qu’elles sont sans erreurs, à jour, justes ou complètes. Tout élément sur ce site est fourni « tel quel ». Aucune garantie, formelle ou implicite, par rapport au contenu de ce site n’est fournie. En aucune circonstance, Le Centre le beau voyage, ses administrateurs, ses employés, ses agents, ses vendeurs ou ses fournisseurs ne seront responsables, directement ou indirectement, de quelque dommage direct, indirect, consécutif, dissuasif, spécial ou de tout autre dommage : perte de revenus ou de profits; perte ou dommage à la propriété ou revendications de tierce partie survenant ou en relation avec l’usage de ce site Web et son contenu ou de tout autres sites Web accessibles par hyperlien.
10. HYPERLIEN VERS LE SITE D’UNE TIERCE PARTIE
À titre de service aux visiteurs, et à ce titre seulement, centrelebeauvoyage.org peut intégrer à son contenu des hyperliens vers d’autres sites Web. Ces sites n’étant pas sous son contrôle, centrelebeauvoyage.org ne peut être tenu responsable de leur contenu. Le fait d’inclure des hyperliens sur son propre site ne constitue en aucun cas une quelconque adhésion au contenu de ces sites.
11. FICHIERS TÉMOINS (COOKIES)
Les témoins, communément appelés cookies sont des fichiers enregistrés par un serveur web sur votre ordinateur pour vous identifier. Nos témoins ne contiennent pas d’informations confidentielles. Ils comportent un numéro permettant uniquement de vous identifier comme utilisateur, de vous suggérer du contenu susceptible de vous intéresser, de rendre votre visite plus agréable et conviviale, et à des fins statistiques (comme Google Analytics par exemple). La plupart des navigateurs web autorisent automatiquement l’enregistrement des témoins. Pour les refuser, modifier « Vos préférences » dans votre navigateur. Vous pourrez tout de même accéder en grande partie au contenu du site web mais possiblement avec une expérience d’utilisation incomplète.
