Politique de confidentialité et de gestion
des renseignements personnels

2. Champ d’application

La présente politique s’applique à tous les administrateurs, employés et bénévoles de Projektion 16-35.

3. Définitions

Confidentialité
Prévention du secret des informations et connaissances personnelles fournies par l’individu dans le cadre d’une relation de confiance.

Participants
Les participants sont représentés par toute personne utilisant les services offerts par les employés ou bénévoles de Projektion 16-35.

Bénévoles
Les bénévoles sont représentés par toute personne non rémunérée œuvrant pour Projektion 16-35, incluant les administrateurs.

Employés
Les employés sont représentés par toute personne rémunérée par Projektion 16-35.

Organisme
L’organisme fait référence à Projektion 16-35 et à l’ensemble de ses employés et bénévoles.

Information publique
Une information publique est une information que toute personne a droit de consulter. L’organisme s’engage à donner accès à ce type d’information lorsqu’une demande lui est faite, et ce, dans des délais raisonnables.

Information privée
Une information privée est une information qui n’est pas publique, mais qui ne concerne pas non plus une donnée considérée comme confidentielle au sens de la plupart des lois. La gestion de ce type d’information relève plus de l’éthique que de la légalité. Par exemple, une confidence faite non explicitement confidentielle ou les activités hors travail d’un employé font partie de ce type d’information.

Information confidentielle (aussi appelée renseignement personnel)
Par information confidentielle, on entend tout renseignement nominatif :

• d’identification (signature, date de naissance, numéro d’identification, nom, adresse, etc.)
• de santé (état de santé, date de rendez-vous, etc.)
• financier (numéro de compte, revenu, biens, etc.)
• considéré comme sensible (biométrique, intime ou en raison du contexte d’utilisation ou de communication)

De plus, toute information confiée à titre confidentiel est considérée comme confidentielle.

4. Principes directeurs

Finalité

Le motif pour lequel des informations personnelles sont recueillies doit être sérieux et légitime et être déterminé par l’organisme au moment de la collecte.

Limitation de la collecte

L’organisme ne peut recueillir que les informations nécessaires, voire indispensables.

Limitation de l’utilisation

Les informations personnelles ne doivent pas être utilisées à d’autres fins que celles pour lesquelles elles ont été recueillies. Elles ne peuvent donc être communiquées sans que la personne concernée n’y consente ou que la loi l’exige.

Qualité

Les informations personnelles doivent être aussi exactes, pertinentes et à jour que possible.

Sécurité

Les informations personnelles doivent être protégées au moyen de mesures de sécurité dont le niveau correspond au degré de risque que leur divulgation représente.

Transparence

Un organisme doit fournir aux personnes concernées des renseignements précis sur ses pratiques concernant la gestion des informations personnelles.

Participation individuelle

Un organisme doit informer toute personne qui en fait la demande de l’existence d’informations personnelles la concernant, de l’usage qui en est fait, du fait qu’elles ont ou non été communiquées à d’autres et lui permettre de les consulter et d’y apporter des corrections, si nécessaire.

Responsabilité

Un organisme est responsable des informations personnelles dont il a la gestion et du respect des principes énoncés ci-dessus.

5. Loi sur la protection des renseignements personnels qui encadre la pratique communautaire

La principale loi de référence au niveau de la politique de confidentialité et de gestion de l’information de l’organisme est la Loi 25 (loi modernisant des dispositions législatives en matière de protection des renseignements personnels). En plus de cela, voici des extraits d’autres lois pertinentes complétant les référents de cette politique :

Loi sur la protection des renseignements personnels dans le secteur privé

• Article 10. Toute personne qui exploite une entreprise doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support.
• Article 27. Toute personne qui exploite une entreprise et détient un renseignement personnel sur autrui doit, à la demande de la personne concernée, lui en confirmer l’existence et lui donner communication de ce renseignement en lui permettant d’en obtenir une copie.

Charte des droits et des libertés de la personne

• Article 4. Toute personne a droit à la sauvegarde de sa dignité, de son honneur et de sa réputation.
• Article 5. Toute personne a droit au respect de sa vie privée.

Code civil du Québec

• Article 3. Toute personne est titulaire des droits de la personne, comme le droit à la vie, à l’inviolabilité et à l’intégrité de la personne, au respect de son nom, de sa réputation et de sa vie privée. Ces droits sont incessibles.
• Article 35. Toute personne a droit au respect de sa réputation et de sa vie privée. Nulle atteinte ne peut être portée à la vie privée d’une personne sans que celle-ci ou ses héritiers y consentent ou sans que la loi l’autorise.
• Article 37. Toute personne qui constitue un dossier sur une autre personne doit avoir un intérêt sérieux et légitime de le faire. Elle ne peut recueillir que les renseignements pertinents à l’objet déclaré du dossier et ne peut, sans le consentement de l’intéressé ou l’autorisation de la loi, les communiquer à des tiers ou les utiliser à des fins incompatibles avec celles de sa constitution; elle ne peut non plus, dans la constitution ou l’utilisation d’un dossier, porter atteinte à la vie privée de l’intéressé ni à sa réputation.
• Article 38. Sous réserve des autres dispositions de la loi, toute personne peut, gratuitement, consulter et faire rectifier un dossier qu’une autre personne détient sur elle, soit pour prendre une décision à son égard, soit pour informer un tiers; elle peut aussi le faire reproduire, moyennant des frais raisonnables. Les renseignements contenus dans le dossier doivent être accessibles dans une transcription intelligible.

6. Obligations de l’organisme

L’organisme est tenu de respecter les différentes obligations prévues par la Loi 25 dont :

• Ne recueillir que les renseignements nécessaires;
• Informer la personne concernée lors de l’ouverture du dossier;
• Obtenir des consentements;
• Utiliser les renseignements personnels recueillis uniquement pour les fins convenues avec la personne concernée;
• Assurer la sécurité et la confidentialité;
• Assurer l’exactitude, la qualité et la mise à jour des renseignements recueillis;
• Communiquer les renseignements recueillis seulement avec le consentement de la personne concernée ou dans les quelques situations d’exception prévues par la loi;
• Nomination d’un responsable de la protection des renseignements personnels;
• Signalement d’un incident de confidentialité.

7. Partage des responsabilités

Tous ont l’obligation de respecter la présente politique et la responsabilité d’en faire la promotion pour éviter les manquements aux règles de celle-ci. Plus particulièrement :

La direction

La direction soumet la politique et ses modifications à l’approbation du Conseil d’administration et s’assure de son respect.

Employés et bénévoles

Les employés et bénévoles de Projektion 16-35 collaborent à l’application de la politique. Ils ont avant tout la responsabilité de se sensibiliser aux règles et ainsi de prévenir les manquements.

La personne responsable de la protection des renseignements personnels

Une personne dans l’organisme est identifiée comme étant responsable de recevoir les plaintes des participants, des employés, des bénévoles.

• Approuver les politiques et pratiques et en assurer le respect.
• Participer aux évaluations des facteurs relatifs à la vie privée et assurer une vue d’ensemble de la protection des renseignements personnels.
• Enregistrer toute communication susceptible d’atténuer le préjudice causé par un incident de confidentialité et participer à l’évaluation du préjudice causé par un incident.
• Voir à la formation des employés.

8. Gestion des données

Conservation des données

Les données confidentielles devront être conservées de façon sécuritaire, qu’elles soient sur papier ou support informatique. Uniquement les personnes pertinentes devront pouvoir y avoir accès. Les données qu’il n’est plus pertinent de conserver devront être détruites dans les délais prescrits. L’organisme a l’obligation de se doter de mécanismes pour s’assurer du respect de ces éléments.

Inventaire des personnes avec accès

Un inventaire de toutes les personnes ayant accès à des données confidentielles devra être créé et tenu à jour. On y retrouvera la description des différents accès qu’elles possèdent. En cas de changement quant à la pertinence de posséder un accès à ces données confidentielles, suite à un départ ou à un changement de rôle, des mesures devront être prises afin d’enlever cet accès (changement de mot de passe, remise de clés, etc.).

Environnement de travail

Des mesures doivent être mises en place afin de s’assurer de l’utilisation sécuritaire des données que Projektion 16-35 possède. Dans cette perspective, les méthodes de travail devront limiter les risques à ce niveau. Il est entendu que cela concerne toute information détenue sur un support physique ou informatique, ainsi que tous les environnements de travail, dont les deux bureaux de la Corporation, le télétravail et autres milieux connus.

Accessibilité des données relatives aux participants 

Les participants peuvent avoir accès aux données détenues par l’organisme les concernant, et ce, dans un délai raisonnable. Pour ce faire, ils doivent en faire la demande, auprès de la personne responsable des plaintes, selon la procédure établie à cet effet.

Gestion des incidents

Dans le cadre d’un incident de confidentialité en regard de données détenues par l’organisme, ce dernier devra évaluer si l’incident présente un risque de préjudice sérieux et, selon le cas, aviser la Commission d’accès à l’information du Québec et les personnes dont les renseignements sont concernés, et aviser les personnes susceptibles de prévenir et de diminuer le risque de préjudice sérieux. Il devra également tenir un registre de ces incidents. De plus, l’organisme devra prendre des mesures pour diminuer les risques et éviter de nouveaux incidents.

9. Utilisation interne de l’information

Discussion de cas

Dans le cadre des activités de Projektion 16-35, des employés et/ou des bénévoles peuvent avoir à échanger des informations privées ou confidentielles. L’information ne devra être échangée qu’avec les personnes concernées pertinentes en fonction de leur rôle dans la situation. Si ce n’est pas nécessaire, les informations ne devront pas être nominatives.

Soutien

Un employé peut avoir besoin de communiquer certaines informations privées ou confidentielles dans une perspective de soutien de son propre rôle. L’information ne devra être échangée qu’avec les personnes concernées pertinentes, c’est-à-dire un employé ou la direction pour un bénévole, et la direction ou un employé agissant à titre de superviseur pour un employé.

Statistiques

Les données pourront être utilisées de façon non nominative dans une perspective statistique. Ces dernières ne devront jamais permettre d’identifier un individu.

10. Communication à un tiers

Règle de base

La règle de base est qu’aucune diffusion d’informations privées ou confidentielles ne doit être faite à une tierce personne externe ou non pertinente. Toute discussion d’un cas avec une personne pertinente doit se faire dans un lieu et à un moment qui limite le risque de non-respect de la présente politique.

Consentement à la transmission

Pour toute transmission d’information privée ou confidentielle à un tiers, la personne concernée devra avoir préalablement donné son consentement libre et éclairé, et ce, par écrit dans le cas de données confidentielles.

Autre levée de la confidentialité

Seuls une disposition particulière de la loi, un mandat de la Cour, de l’information concernant un acte criminel réalisé ou potentiel ou encore de l’information qui pourrait mettre en danger la vie de quelqu’un peuvent amener une levée de la confidentialité. Dans un de ces cas, on devra si possible s’adresser à la personne responsable de la protection des renseignements personnels avant la divulgation de l’information.

11. Non-respect de la politique

Toute infraction ou tout manquement direct à la présente politique ou à ses principes peut entraîner des mesures disciplinaires. Se référer au Guide des conditions de travail pour l’application de ces mesures.

12. Mise en application

Le respect de la présente politique est l’affaire de tous et se doit d’être continu dans le temps. Ainsi, différents moyens sont mis en place afin de s’assurer du rappel de cette politique, dont ceux-ci :

Engagement à la confidentialité

Toute personne pouvant avoir accès à de l’information privée ou confidentielle devra signer à son entrée chez Projektion 16-35 un engagement au respect de la présente politique. Au moment de l’adoption de cette politique, des moyens devront être mis en place afin que les employés et bénévoles actuels signent cet engagement.

Formation

Afin de s’assurer que les principales personnes qui auront accès à de l’information confidentielle comprennent la présente politique et son application, une formation obligatoire sera mise en place et incluse à leur plan de formation.

13. Règles spécifiques à certaines activités

Différentes activités de Projektion 16-35 peuvent amener à ajouter des règles spécifiques à la présente politique, toujours dans le respect des lois en vigueur. Les personnes touchées par la présente politique devront se conformer à ces règles spécifiques de la même manière qu’à la politique générale. Les personnes concernées seront informées selon le cas.