POLITIQUE RELATIVE À LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
CONTACT :
Mylène Laurendeau
asscong@sgm.ca
OBJET DE LA POLITIQUE
La présente politique a pour but de fournir à Gestion Providentia (ci-après « GP ») des lignes directrices visant à assurer le respect et la protection de la confidentialité des renseignements personnels détenus, recueillis, utilisés et communiqués par elle. En cela, elle doit se conformer à la Loi 25 ou Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (ci-après « la Loi »). Elle vise également à responsabiliser ses gestionnaires et son personnel en matière d’accès aux documents et de protection des renseignements personnels.
ÉNONCÉ DE PRINCIPE
En tant qu’entreprise responsable, GP se doit de protéger les renseignements personnels qu’elle détient, recueille, utilise ou communique. Est considéré comme renseignement personnel tout renseignement qui concerne une personne physique et qui permet, directement ou indirectement, de l’identifier. Une mauvaise utilisation de ces renseignements pourrait causer préjudice en portant atteinte à la réputation et à la vie privée. En ce sens, GP s’engage à prendre et à appliquer toutes les mesures de sécurité nécessaires pour assurer la protection et la confidentialité des renseignements personnels.
GP s’assure de la collecte, de la protection et de l’utilisation des renseignements personnels. GP s’engage à prendre les mesures requises à l’égard des personnes qui ne respecteraient pas l’application de la politique.
PERSONNE RESPONSABLE DE L’ACCÈS ET DE LA PROTECTION DES RENSEIGNEMENTS
La directrice du service des archives et collections ou sa représentante est responsable de l’accès et de la protection des renseignements personnels détenus par GP. Elle a également le mandat de gérer les demandes de rectification de renseignements personnels, de manière que soient respectés les droits de la personne concernée par un renseignement personnel.
Toutes les demandes d’accès concernant des renseignements personnels devront lui être acheminées par courriel ou par courrier. Elle les traitera dans le délai prescrit de trente (30) jours et, le cas échéant, motivera le refus d’accès en s’appuyant sur les dispositions pertinentes de la Loi.
GESTION DES RENSEIGNEMENTS PERSONNELS
GP conserve divers types de dossiers, chaque dossier ayant sa raison d’être. Aucun renseignement personnel n’est conservé sans motif valable. Les documents sont autant sous forme analogique (papier) que numérique.
Un registre des renseignements personnels a été constitué afin de gérer les renseignements personnels qui se trouvent sur les serveurs informatiques ainsi que dans les bureaux du personnel. Ce registre se veut un outil utile et pratique qui donne un portrait complet du type de renseignements personnels conservés, de leur accès et des moyens pris pour les protéger.
La section Identification du fichier permet d’indiquer le type de documents inclus dans le dossier, les catégories et types de renseignements personnels qui y sont consignés ainsi que les finalités pour lesquelles ils sont conservés.
La section Gestion du fichier précise le(s) type(s) de supports sur lesquels sont consignés ces documents, leur localisation et leur durée de conservation.
La section Accès au fichier spécifie quelles sont les personnes pouvant les consulter, qu’elles travaillent à l’intérieur ou à l’extérieur de GP.
Dans la section Mesures de sécurité sont consignés les types de mesures prises pour protéger les accès aux documents contenant des renseignements personnels, qu’ils soient de types analogiques ou numériques.
Le registre peut être consulté sur le serveur ou en annexe de cette politique.
PROTECTION DES DOSSIERS
Mesure de sécurité
Le service des archives et collections doit veiller à ce que les dossiers détenus par GP, autant en format papier que numérique, soient conservés dans un endroit sécuritaire et qu’un nombre limité de personnes puisse y avoir accès.
Les personnes autorisées à avoir accès aux dossiers contenant des renseignements personnels dans les bureaux administratifs et sur le serveur informatique sont désignées par les différents directeurs de services.
L’accès aux renseignements personnels n’est accordé qu’aux seules personnes autorisées et seulement lorsque les renseignements sont nécessaires à l’exercice de leurs fonctions.
Actions concrètes mises en place- Les dossiers analogiques (en format papier) sont regroupés afin de mieux contrôler la circulation et l’accès.
- Les classeurs sont verrouillés et maintenus dans des locaux sous clé.
- S’il s’agit de dossiers numériques, les accès sont configurés seulement aux personnes autorisées par les directeurs.
COLLECTE DES RENSEIGNEMENTS PERSONNELS
Conformément à la Loi, l’organisation doit explicitement informer la personne (y compris un(e) employé(e) de Gestion Providentia) des fins auxquelles les renseignements le concernant sont recueillis et leur durée de conservation.
CONSULTATION ET COMMUNICATION DES RENSEIGNEMENTS PERSONNELS
Le registre des renseignements personnels explicite, dans la section Accès aux fichiers, les modalités de l’accès pour chaque type de dossier.
À moins que la personne concernée n’y consente ou que la Loi l’exige, les renseignements personnels ne doivent être communiqués qu’aux fins pour lesquelles ils ont été recueillis.
Conformément aux dispositions de la Loi, la personne concernée est autorisée à faire une demande de rectification des renseignements personnels. Elle peut apporter des corrections à ces renseignements si ceux-ci sont inexacts.
La communication des renseignements personnels auprès de « tiers » (personnes externes) doit se faire avec le consentement de la personne concernée, sauf dans les cas suivants :
- L’avocat de l’employeur, un juge, un procureur général
- Un policier faisant enquête sur un crime présumé
- Un médecin dans une situation d’urgence
- Une personne qui, en vertu de la Loi, peut recouvrer des créances pour autrui et qui le requiert dans l’exercice de ses fonctions (huissier, personne ou organisme ayant en sa possession une ordonnance de la cour, etc.)
- Les ministères du Revenu, la Commission d’assurance chômage, la CSST ainsi que tout organisme qui les requièrent dans l’exercice de leurs fonctions. Dans ces cas, il y a lieu d’obtenir, par écrit, les raisons et les dispositions de la Loi justifiant une telle demande.
- Lorsqu’une personne externe désire obtenir des références sur un employé (ou un ancien employé) ou une confirmation relative à celui-ci, il est nécessaire d’exiger de cette personne qu’elle transmette un exemplaire de l’autorisation par courriel. Dans le cas où vous n’avez pas le consentement de l’employé, il est recommandé de confirmer uniquement les informations demandées.
Il est recommandé de juger au cas par cas chacune des demandes d’accès ou de rectification d’un renseignement avant d’y répondre. Il s’avère nécessaire de prendre soigneusement connaissance du contenu du dossier afin de s’assurer que les renseignements contenus sont pertinents et ne portent pas de préjudice moral ou matériel à autrui.
La personne responsable de l’accès et de la protection des renseignements personnels doit tenir un registre des communications de chaque demande d’accès. Y seront consignées les informations suivantes : le nom de la personne qui fait la demande, la compagnie ou l’institution de rattachement, la date de la demande, le type de renseignement demandé et communiqué, le cas échéant, et le nom de la personne qui a donné l’information. Elle devra aussi tenir un registre d’incidents de confidentialité. Y seront consignés plus particulièrement: le type de renseignement concerné, les circonstances de l’événement, la date où l’organisation s’en est rendu compte, le nombre de personnes impliquées, la nature du préjudice ainsi que les mesures prises par l’organisation à la suite de l’incident pour y remédier.
AMENDE PRÉVUE
Pénalités jusqu’à 25 000 000 $ ou 4 % du chiffre d’affaires mondial de l’exercice financier précédent. Responsabilité personnelle pour l’administrateur ou le dirigeant de l’organisation qui tolère une infraction.