La présente Politique de protection des informations confidentielles et des renseignements personnels (« la Politique ») couvre les mesures mises en place pour protéger les informations confidentielles et les renseignements personnels du CIMEQ.
Tous les membres du CIMEQ sont assujettis à la Politique. Une formation annuelle portant sur la conformité à la Politique est prévue et la première a eu lieu le 17 mars 2023.
Une Évaluation des facteurs relatifs à la vie privée (EFVP) concernant les principales activités du Centre a été effectuée et un Rapport d’évaluation des facteurs relatifs à la vie privée a été rédigé. Cette étude permet d’identifier les tâches et les outils du Centre nécessitant une attention plus particulière en matière de protection des renseignements personnels et donc de prévoir les bons mécanismes pour renforcer la sécurité des données.
Les citoyens peuvent transmettre toute plainte relative aux renseignements personnels au responsable de la protection des renseignements personnels dont les coordonnées apparaissent sur le site web corporatif :
Monsieur Guillaume Lachance
Responsable de la protection des renseignements personnels
T : 450.971.7820 x 507
C : glachance@cimeq.qc.ca
La Politique a été élaborée en réponse à la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé (Loi 25).
PRINCIPES DIRECTEURS
La politique atteint ses objectifs avec les deux principes suivants :
1. Prévention des incidents
La priorité de la Politique consiste à protéger les informations et ainsi éviter tout incident de confidentialité.
2. Gestion des incidents
Advenant un incident de confidentialité, la Politique prévoit une procédure pour gérer ce genre de situation.
MÉCANISMES DE PRÉVENTION DES INCIDENTS
Accès restreint à l’information
Les informations sont organisées à l’aide de répertoires informatisés et, dans certains cas, de logiciels sécurisés. L’accès à ces bases de données et logiciels est restreint aux membres du CIMEQ qui sont appelés à travailler directement avec les informations et renseignements personnels concernés en raison de leurs fonctions de travail. Ainsi, chaque membre a des accès à l’information différents des autres membres de l’organisation.
Sensibilisation des parties prenantes
La mise en place de la Politique prévoit une campagne de sensibilisation auprès des membres du CIMEQ par voie de présentation, de note de service, de rappels en réunion générale et d’explications de la politique par courriel et de façon plus directe auprès des membres au quotidien. Cette campagne de sensibilisation visa à mobiliser les équipes de travail à l’importance de protéger la confidentialité et de réagir adéquatement au besoin. Les membres sont invités à s’adresser au responsable de la protection des renseignements personnels. La Politique est disponible sur le site web corporatif. L’attention à la confidentialité fait partie intégrante de la culture d’entreprise.
Cycle de vie des informations confidentielles et des renseignements personnels
1. Collecte
Le CIMEQ collecte strictement les informations et renseignements nécessaires à l’exercice de sa mission, sur la base volontaire uniquement et en toute transparence.
À noter que la collecte d’informations et de renseignements n’inclut aucune technique biométrique. De plus, la cueillette d’information requiert soit de remplir des formulaires et des contrats sur une base volontaire, sinon elle requiert une entrée de données sur la base volontaire et libre sur le site web du Centre. Toute cueillette d’information confidentielle ou de renseignement personnel requiert un consentement préalable.
Lorsque la cueillette est produite de façon automatisée avec une application web, un message de confirmation d’inscription au service web apparaît strictement à l’écran suite à l’inscription.
De plus, l’application web choisie assure sa propre conformité à la loi par l’entremise de sa politique de confidentialité.
Il est à noter que les renseignements personnels concernant un mineur de moins de 14 ans ne sont pas recueillis auprès de celui-ci sans le consentement du titulaire de l’autorité parentale ou du tuteur, sauf lorsque cette collecte sera manifestement au bénéfice de ce mineur. Pour s'en assurer, lors de campagnes de collecte d'informations, le Centre ajoutera une condition d'inscription d'âge minimal fixée à 14 ans. Une étape de vérification à cet égard sera ajoutée à la section ci-dessous « 4. Conservation ».
Enfin, le cas échéant, un message sur le site web informera clairement quel est l’objectif de la cueillette d’information.
2. Utilisation
Le CIMEQ utilise strictement les informations et renseignements aux finalités prévues dans le cadre de ses activités d’affaires.
3. Communication
Le CIMEQ ne communique des informations confidentielles et des renseignements personnels qu’en cas nécessaire et toujours en conformité à la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé (Loi 25). À compter du 22 septembre 2023, il est prévu de communiquer un renseignement personnel concernant une personne décédée à son conjoint ou à l’un de ses proches parents si ce renseignement est susceptible d’aider cette personne dans son processus de deuil, à moins que la personne décédée n’ait consigné par écrit son refus d’accorder ce droit d’accès.
4. Conservation
Le CIMEQ conserve et met à jour ses informations confidentielles et renseignements personnels pendant la stricte durée prévue au calendrier de conservation du Centre. À compter du 22 septembre 2023, il est prévu de permettre aux personnes de demander de cesser de diffuser leurs renseignements personnels ou de désindexer tout hyperlien rattaché à leur nom donnant accès à des renseignements si cette diffusion leur cause préjudice ou contrevient à la loi ou à une ordonnance judiciaire.
De plus, aucune information concernant des mineurs de moins de 14 ans n'est conservée. Pour s'en assurer, les campagnes de collecte d'informations prévoient une condition d'âge minimal de 14 ans et une révision des renseignements recueillis sera mise en place à chaque campagne.
PORTABILITÉ DES DONNÉES
Le CIMEQ a créé un formulaire permettant, en réponse à toute demande à cet effet, de fournir à une personne tout renseignement personnel conservé par le CIMEQ à son sujet, dans un format électronique universel et à l’intérieur des délais requis par la Loi 25.
5. Destruction
Au terme de l’échéance de la durée des informations confidentielles et renseignements personnels prévue au calendrier de conservation du Centre, les informations et renseignements sont détruits.
MÉCANISMES DE GESTION DES INCIDENTS
Le CIMEQ applique systématiquement la Procédure de réponse à un incident de confidentialité (« la Procédure ») en cas d’incident de confidentialité. La Procédure vise à mobiliser le personnel en cas d’incident de confidentialité, plus précisément en identifiant :
• Quelles informations sont considérées confidentielles et quels renseignements sont personnels;
• Quelles situations constituent un incident de confidentialité; et
• Quelles actions doivent être prises lors d’un tel incident.
Un inventaire des informations confidentielles et des renseignements personnels de l’entreprise a été produit en identifiant un degré de sensibilité pour chaque information et fait partie de la Procédure. Cet inventaire étant évolutif, les membres du CIMEQ sont invités à soumettre tout nouveau renseignement personnel ou information confidentielle au responsable des renseignements personnels.
De plus, un responsable de la protection des renseignements personnels a été désigné pour traiter les plaintes des citoyens en la matière.
Tous les membres du CIMEQ sont appelés à suivre les instructions décrites dans la Procédure advenant que des informations confidentielles ou des renseignements personnels soient compromis.
RÔLES ET RESPONSABILITÉS
Directeur général
Le directeur général a délégué le rôle de responsable de la protection des renseignements personnels (« le Responsable ») au coordonnateur marketing, ressources humaines et médias sociaux. Il soutient le Responsable pour l’élaboration, la diffusion, la mise en place, la gestion et la mise à jour de la Politique.
Responsable de la protection des renseignements personnels
Le Responsable élabore, diffuse, met en place, gère et met à jour la Politique. Il veille à l’application de la Politique, promeut son contenu, la met à jour et répond aux questions relatives à la Politique. Il contacte la Commission en cas d’incident de confidentialité.
Membres du CIMEQ
La confidentialité de l’information et des renseignements personnels est l’affaire de tous les membres du CIMEQ, qui sont sensibilisés à l’importance du respect de la confidentialité des informations confidentielles et des renseignements personnels ou toute autre information disponible au CIMEQ qui permettrait d’identifier une personne ou encore qui fragiliserait le Centre et ses clients, membres et partenaires.
MISE EN ŒUVRE
La mise en œuvre de la Politique suit l’échéancier prévu à la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé.