Politique Protection renseignements personnels

TABLE DES MATIÈRES

INTRODUCTION

1. PRÉAMBULE

2. DÉFINITIONS

3. CHAMP D’APPLICATION ET CADRE JURIDIQUE

4. COLLECTE DES RENSEIGNEMENTS PERSONNELS

4.1 Renseignements personnels pouvant être collectés

4.2 Informations communiquées lors de la collecte de renseignements personnels

5. UTILISATION DES RENSEIGNEMENTS PERSONNELS

6. CONSENTEMENT

7. COMMUNICATION DES RENSEIGNEMENTS PERSONNELS

7.1 Communication sans le consentement de la personne concernée

7.2 Communication avec le consentement de la personne concernée

8. CONSERVATION ET DESTRUCTION DES RENSEIGNEMENTS PERSONNELS

9. PROTECTION DES RENSEIGNEMENTS PERSONNELS

10. DEMANDE D’ACCÈS, OU DE RECTIFICATION, À DES RENSEIGNEMENTS PERSONNELS

10.1 Demande d’accès à ses renseignements personnels

10.2 Demande de rectification

11. GESTION DES INCIDENTS DE CONFIDENTIALITÉ

11.1 Définition

11.2 Traitement d’un incident de confidentialité

11.3 Registre des incidents de confidentialité

12. PROCESSUS DE TRAITEMENT DES PLAINTES RELATIVES À LA PROTECTION DES RENSEIGNEMENTS PERSONNELS

12.1 Dépôt d’une plainte relative à la protection des renseignements personnels

12.2 Traitement de la plainte

13. VIDÉOSURVEILLANCE

14. PROJETS DE SYSTÈME D’INFORMATION OU DE PRESTATION ÉLECTRONIQUE DE SERVICES IMPLIQUANT DES RENSEIGNEMENTS PERSONNELS

15. RÔLES ET RESPONSABILITÉS

16. ACTIVITÉS DE FORMATION ET DE SENSIBILISATION À LA PROTECTION DES RENSEIGNEMENTS PERSONNELS OFFERTES PAR L’ORGANISME À SON PERSONNEL

17. SANCTIONS APPLICABLES EN CAS DE NON‐RESPECT DE LA PRÉSENTE POLITIQUE

18. DIFFUSION ET MISE À JOUR DE LA POLITIQUE

19. RESPONSABILITÉ DE L’APPLICATION ET RÉVISION DE LA POLITIQUE

20. ENTRÉE EN VIGUEUR

INTRODUCTION

Le 21 septembre 2021, l’Assemblée nationale du Québec adoptait la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels1 (ci‐après la « Loi 25 »). Celle‐ci modifie principalement la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels2 (ci‐après la « Loi sur l’accès ») et la Loi sur la protection des renseignements personnels dans le secteur privé3 (ci‐après la « Loi sur le privé »), lesquelles prévoient l’adoption de règles encadrant la gouvernance à l’égard des renseignements personnels (ci‐après les « Règles »), d’ici le 22 septembre 20234.

Il est à noter que les établissements privés subventionnés sont visés à la fois par la Loi sur l’accès et la Loi sur le privé. En effet, la Loi sur l’accès s’applique aux documents détenus dans l’exercice des fonctions du Séminaire relativement aux services éducatifs subventionnés et à la gestion des ressources qui y sont affectées5. Les renseignements personnels qui ne sont pas liés aux services éducatifs subventionnés ou aux ressources affectées à ceux‐ci sont visés par la Loi sur le privé.

Le présent document vise à guider les gestionnaires des établissements lors de la rédaction des Règles. Il fait, notamment, état du cadre juridique entourant l’élaboration, l’adoption et la mise en application de ces Règles. Celles‐ci peuvent prendre la forme d’une politique, d’une directive ou d’un guide. Pour alléger le texte, nous utiliserons le terme « politique », mais nous vous invitons à faire les modifications nécessaires en fonction du type de document choisi.

Selon la Loi 25, chaque établissement doit avoir un comité sur l’accès à l’information et la protection des renseignements personnels, lequel doit approuver les Règles. Ce comité devait être formé au 22 septembre dernier. Il est composé de la personne responsable de l’accès aux documents, de la personne responsable de la protection des renseignements personnels et de toute autre personne dont l’expertise est requise (notamment : le ou la responsable de la sécurité de l’information et le ou la responsable de la gestion documentaire).

Il est également important que ces Règles soient publiées sur le site Internet de chaque établissement, puisqu’il s’agit d’une exigence de la Loi 25.

1. PRÉAMBULE

La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels6 (ci‐après la « Loi 25 ») actualise l’encadrement applicable à la protection des renseignements personnels, dont la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels7 (ci‐après la « Loi sur l’accès ») et la Loi sur la protection des renseignements personnels dans le secteur privé8 (ci‐après la « Loi sur le privé »).

Le Séminaire est désormais tenu d’adopter et d’assurer l’application d’une politique en lien avec les règles encadrant la gouvernance à l’égard de la protection des renseignements personnels qu’il détient.

2. DÉFINITIONS

Dans la présente politique, à moins que le contexte ne s’y oppose, les expressions suivantes signifient:

Renseignement personnel :
Tout renseignement qui concerne une personne physique et qui permet directement ou indirectement de l’identifier, tel que : le nom, l’adresse, le numéro de téléphone, l’adresse courriel, l’occupation, le numéro d’assurance sociale, la date de naissance, la photographie et les coordonnées bancaires.
Les renseignements personnels doivent être protégés, peu importe la nature de leur support et quelle que soit leur forme : écrite, graphique, sonore, visuelle, informatisée ou autre.

Renseignement personnel sensible :
Un renseignement personnel est sensible lorsque, par sa nature ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d’attente raisonnable en matière de vie privée9. Sont, notamment, considérés comme sensibles les renseignements suivants : des renseignements médicaux, biométriques, génétiques ou financiers, ou, encore, des renseignements sur la vie ou l’orientation sexuelle, les convictions religieuses ou bien l’origine ethnique6.

Consentement :
Le consentement est l’autorisation de la personne titulaire des renseignements personnels à recueillir et utiliser ses renseignements personnels. Le consentement ne se présume pas. Il doit être manifeste, libre, éclairé, être donné à des fins spécifiques, en termes simples et clairs, pour la durée nécessaire à la réalisation des fins auxquelles il a été demandé.

3. CHAMP D’APPLICATION ET CADRE JURIDIQUE

Le Séminaire recueille des renseignements personnels, notamment ceux de la clientèle étudiante et des membres du personnel. Il est donc assujetti aux dispositions de la Loi sur l’accès, de la Loi sur le privé, au Code civil du Québec10 et à la Charte des droits et libertés de la personne11. En cas de divergence entre la Loi sur l’accès ou la Loi sur le privé et la présente politique, ces lois prévalent.

La présente s’applique à toute personne qui, dans l’exercice de ses fonctions, collecte, consulte, utilise, communique, détient ou conserve des renseignements personnels détenus par le Séminaire concernant toute personne physique.

4. COLLECTE DES RENSEIGNEMENTS PERSONNELS

4.1 Renseignements personnels pouvant être collectés

Afin de remplir adéquatement sa mission, le Séminaire doit recueillir plusieurs renseignements personnels.

Celui‐ci recueille uniquement les renseignements personnels nécessaires à l’exercice de ses attributions ou à la mise en œuvre d’un programme dont il a la gestion.

Le Séminaire peut également recueillir un renseignement personnel si celui‐ci est nécessaire à l’exercice des attributions ou à la mise en œuvre d’un programme de l’organisme public avec lequel il collabore pour la prestation de services ou pour la réalisation d’une mission commune. Dans un tel cas, la collecte doit être précédée d’une évaluation des facteurs relatifs à la vie privée et s’effectuer dans le cadre d’une entente écrite transmise à la Commission d’accès à l’information du Québec conformément à la Loi sur l'accès.

Le Séminaire prend des mesures pour s’assurer que les renseignements personnels qu’il recueille sont adéquats, pertinents, non excessifs et utilisés à des fins limitées.

4.2 Informations communiquées lors de la collecte de renseignements personnels

Lorsqu’il recueille des renseignements personnels, le Séminaire s’assure d’informer la personne concernée, au plus tard au moment de la collecte :

  1. Du nom de la personne au nom de qui la collecte est faite;

  2. Des fins auxquelles ces renseignements sont recueillis;

  3. Des moyens par lesquels les renseignements sont recueillis;

  4. Du caractère obligatoire ou facultatif de la demande;

  5. Des conséquences d’un refus de répondre ou de consentir à la demande;

  6. Des droits d’accès et de rectification prévus par la loi;

  7. De la possibilité que les renseignements personnels soient communiqués à l’extérieur du Québec, le cas échéant.

    Sur demande, la personne concernée est également informée des renseignements personnels recueillis auprès d’elle, des catégories de personnes qui y ont accès au sein de l’organisation, de la durée de conservation de ces renseignements ainsi que des coordonnées de la personne responsable de la protection des renseignements personnels.

5. UTILISATION DES RENSEIGNEMENTS PERSONNELS

Le Séminaire utilise des renseignements personnels concernant sa clientèle étudiante, les membres de son personnel et d’autres tierces parties afin de s’acquitter de sa mission et de ses fonctions. Il ne fera pas usage des renseignements personnels à d’autres fins que celles précisées lors de la collecte, à moins que vous y consentiez expressément ou que la Loi sur l’accès ou la Loi sur le privé l’exige.

6. CONSENTEMENT

Dans les situations qui le requièrent, le Séminaire devra transmettre un consentement à la cueillette, à l’utilisation ou à la divulgation des renseignements personnels aux personnes concernées. Pour être valable, le consentement devra être manifeste, libre, éclairé, être donné à des fins spécifiques, en termes simples et clairs ainsi que pour la durée nécessaire à la réalisation des fins auxquelles il a été demandé.

Lorsqu’une personne a donné son consentement à la collecte, à l’utilisation et à la communication de ses renseignements personnels, elle peut le retirer à tout moment. Pour retirer son consentement, le cas échéant, elle peut communiquer avec la personne dont le nom est indiqué dans le formulaire de consentement (par exemple : par courriel, télécopieur, téléphone, etc.).

Veuillez noter que si une personne retire son consentement, il se peut que le Séminaire ne puisse pas fournir un service particulier. Par exemple, le candidat qui refuse de donner son consentement pour la transmission de ses notes du secondaire au Séminaire pourrait ne pas être admis. Le Séminaire expliquera à cette personne l’impact du retrait de son consentement pour l’aider dans sa prise de décision.

7. COMMUNICATION DES RENSEIGNEMENTS PERSONNELS

7.1 Communication sans le consentement de la personne concernée

Le Séminaire peut divulguer certains renseignements personnels détenus pour se conformer à l’ordonnance d’un tribunal, à une loi ou à une procédure judiciaire, y compris pour répondre à toute demande gouvernementale ou réglementaire, conformément aux lois applicables, ou s’il croit que la divulgation est nécessaire ou appropriée pour protéger les droits, la propriété ou la sécurité du Séminaire ou d’autres personnes.

Le Séminaire peut communiquer certains renseignements personnels qu’il détient à un membre du personnel du Séminaire qui a la qualité pour le recevoir et lorsque ce renseignement est nécessaire à l’exercice de ses fonctions.

Le Séminaire peut transférer les renseignements personnels qu’il collecte à des fournisseurs de services et à d’autres tiers qui le soutiennent. Ces tiers sont contractuellement obligés de garder les renseignements personnels confidentiels, de les utiliser uniquement aux fins pour lesquelles le Séminaire les divulgue et de traiter les renseignements personnels selon les normes énoncées dans la politique et en respect des lois.

Le Séminaire peut communiquer certains renseignements personnels à des fins d’étude, de recherche ou de production de statistiques sous réserve des conditions prévues par la Loi sur l’accès dont, notamment, l’évaluation des facteurs relatifs à la vie privée et la transmission de l’entente à la Commission d’accès à l’information trente (30) jours avant son entrée en vigueur12.

Dans certaines situations, la personne responsable de la protection des renseignements personnels doit inscrire la communication dans son registre de communication des renseignements personnels.

7.2 Communication avec le consentement de la personne concernée

Le Séminaire peut communiquer certains renseignements personnels détenus à une personne s’il a obtenu le consentement valable de la personne concernée.

8. CONSERVATION ET DESTRUCTION DES RENSEIGNEMENTS PERSONNELS

Le Séminaire ne conserve les renseignements personnels qu’il détient que pour le temps nécessaire pour atteindre les fins pour lesquelles il les a collectés et conformément à son calendrier de conservation, à moins d’autorisation ou d’exigence des lois ou de la réglementation applicable.

En règle générale, lorsque les fins pour lesquelles un renseignement personnel a été recueilli ou utilisé sont accomplies, le Séminaire doit le détruire ou l’anonymiser pour l’utiliser à des fins d’intérêt public.

Un renseignement concernant une personne physique est anonymisé lorsqu’il est, en tout temps, raisonnable de prévoir dans les circonstances qu’il ne permet plus d’identifier directement ou indirectement cette personne. Il convient de noter que le processus d’anonymisation doit être irréversible.

Cependant, par exception à la règle générale, s’il s’agit de renseignements personnels contenus dans un document visé par le calendrier de conservation du Séminaire, celui‐ci doit respecter les règles qui y sont prévues en matière de conservation et de destruction de ces documents.

Lorsque le Séminaire procède à la destruction de documents contenant des renseignements personnels, il s’assure de prendre les mesures de protection nécessaires visant à assurer la confidentialité de ceux‐ci. La méthode de destruction utilisée doit être déterminée en fonction de la sensibilité des renseignements, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support.

Les renseignements personnels détenus par le Séminaire sont traités et stockés au Québec. Dans l’éventualité où un transfert de renseignements personnels à l’extérieur du Québec serait nécessaire dans le cadre de l’exercice des fonctions du Séminaire, ce transfert n’aura lieu que s’il est évalué que le renseignement bénéficierait d’une protection adéquate, notamment en considérant la sensibilité du renseignement, la finalité de son utilisation, les mesures de protection dont le renseignement bénéficierait et le régime juridique applicable dans l’État ou la province où ce renseignement serait communiqué. Le transfert sera également soumis aux ententes contractuelles appropriées afin d’assurer cette protection adéquate.

9. PROTECTION DES RENSEIGNEMENTS PERSONNELS

Le Séminaire a mis en place des mesures de sécurité physiques, organisationnelles, contractuelles et technologiques appropriées et raisonnables afin de protéger vos renseignements personnels contre la perte ou le vol et contre l’accès, la divulgation, la copie, l’utilisation ou la modification non autorisés par la loi. Le Séminaire a pris des mesures pour faire en sorte que seuls les membres du personnel qui doivent absolument avoir accès à vos renseignements personnels dans le cadre de leurs fonctions soient autorisés à y accéder.

Les personnes qui travaillent pour le Séminaire ou en son nom doivent, notamment :

  • Faire des efforts raisonnables pour minimiser le risque de divulgation non intentionnelle de renseignements personnels;

  • Prendre des précautions particulières pour s’assurer que les renseignements personnels ne sont pas surveillés, entendus, consultés ou perdus lorsqu’elles travaillent dans des locaux autres que les bureaux du Séminaire;

  • Prendre des mesures raisonnables pour protéger les renseignements personnels lorsqu’elles se déplacent d’un endroit à l’autre.

Les sous‐traitants ayant accès aux renseignements personnels dont le Séminaire a la garde ou le contrôle seront informés de la présente politique de protection des renseignements personnels et des autres politiques et processus applicables pour assurer la sécurité et la protection des renseignements personnels. Tous les sous‐traitants devront s’engager par écrit à accepter de se conformer aux politiques, aux processus et aux lois applicables.

10. DEMANDE D’ACCÈS, OU DE RECTIFICATION, À DES RENSEIGNEMENTS PERSONNELS

10.1 Demande d’accès à ses renseignements personnels

Toute personne qui en fait la demande a droit d’accès aux renseignements personnels la concernant détenus par le Séminaire, sous réserve des exceptions prévues par la Loi sur l’accès et par la Loi sur le privé.

Une demande de communication ne peut être considérée que si elle est faite par écrit par une personne physique justifiant de son identité à titre de personne concernée, de représentante ou de représentant, d’héritière ou d’héritier ou de successible de cette dernière, de liquidatrice ou de liquidateur de la succession, de bénéficiaire d’assurance vie ou d’indemnité de décès, de titulaire de l’autorité parentale même si l’enfant mineur est décédé, ou à titre de conjointe ou de conjoint ou de proche parent d’une personne décédée.

Cette demande doit être adressée à la personne responsable de la protection des renseignements personnels du Séminaire, qui peut être jointe à directiongenerale@seminaire‐sherbrooke.qc.ca. La demande doit fournir suffisamment d’indications précises pour permettre au Séminaire de la traiter. Nous vous invitons à utiliser les gabarits disponibles sur le site de la Commission d’accès à l’information.

La personne responsable de la protection des renseignements personnels doit donner à la personne qui lui a fait une demande écrite un avis de la date de la réception de sa demande.

La personne responsable doit répondre au plus tard dans les vingt (20) jours qui suivent la date de la réception d’une demande. Si le traitement de la demande dans le délai prévu précédemment ne lui paraît pas possible sans nuire au déroulement normal des activités du Séminaire, la personne responsable peut, avant l’expiration de ce délai, le prolonger d’une période n’excédant pas dix (10) jours en donnant un avis à cet effet à la personne requérante avant l’expiration du délai de vingt (20) jours.

Si la personne qui fait la demande n’est pas satisfaite de la réponse du Séminaire, elle peut saisir la Commission d’accès à l’information de cette décision afin que celle‐ci soit révisée. Cette demande de révision doit être faite dans les trente (30) jours qui suivent la date de la décision ou de l’expiration du délai prévu à la Loi sur l'accès pour répondre à la demande.

10.2 Demande de rectification

Toute personne qui reçoit confirmation de l’existence dans un fichier d’un renseignement personnel la concernant peut, s’il est inexact, incomplet ou équivoque, ou si sa collecte, sa communication ou sa conservation ne sont pas autorisées par la Loi sur l’accès, exiger que le fichier soit rectifié.

Une demande de rectification ne peut être considérée que si elle est faite par écrit par une personne physique justifiant de son identité à titre de personne concernée, de représentante ou de représentant, d’héritière ou d’héritier ou de successible de cette dernière, de liquidatrice ou de liquidateur de la succession, de bénéficiaire d’assurance vie ou d’indemnité de décès, de titulaire de l’autorité parentale même si l’enfant mineur est décédé ou à titre de conjointe ou de conjoint ou de proche parent d’une personne décédée.

Cette demande doit être adressée à la personne responsable de la protection des renseignements personnels du Séminaire, qui peut être jointe directiongenerale@seminaire‐sherbrooke.qc.ca. La demande doit fournir suffisamment d’indications précises pour permettre au Séminaire de la traiter. Nous vous invitons à utiliser les gabarits disponibles sur le site de la Commission d’accès à l’information.

Le Séminaire doit, lorsqu’il accède à une demande de rectification d’un fichier, délivrer sans frais à la personne qui l’a faite une copie de tout renseignement personnel modifié ou ajouté, ou, selon le cas, une attestation du retrait d’un renseignement personnel.

Lorsque le Séminaire refuse en tout ou en partie d’accéder à une demande de rectification d’un fichier, la personne concernée peut exiger que cette demande soit enregistrée.

La personne responsable doit répondre au plus tard dans les vingt (20) jours qui suivent la date de la réception d’une demande. Si le traitement de la demande dans le délai prévu précédemment ne lui paraît pas possible sans nuire au déroulement normal des activités du Séminaire, la personne responsable peut, avant l’expiration de ce délai, le prolonger d’une période n’excédant pas dix (10) jours en donnant un avis à cet effet à la personne requérante.

Si la personne qui fait la demande n’est pas satisfaite de la décision du Séminaire, elle peut saisir la Commission d’accès à l’information de cette décision afin que celle‐ci soit révisée. Cette demande de révision doit être faite dans les trente (30) jours qui suivent la date de la décision ou de l’expiration du délai prévu à la Loi sur l'accès pour répondre à la demande.

11. GESTION DES INCIDENTS DE CONFIDENTIALITÉ

11.1 Définition

Au sens de la présente politique, constitue un incident de confidentialité :

  1. L’accès non autorisé par la Loi sur l’accès ou par la Loi sur le privé à un renseignement personnel;

  2. L’utilisation non autorisée par la Loi sur l’accès ou par la Loi sur le privé d’un renseignement personnel;

  3. La communication non autorisée par la Loi sur l’accès ou par la Loi sur le privé d’un renseignement personnel;

  4. La perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.

Exemples d’incidents de confidentialité :

  • Un membre du personnel qui consulte des renseignements personnels non nécessaires à l’exercice de ses fonctions en outrepassant les droits d’accès qui lui ont été consentis ou un pirate informatique qui s’infiltre dans un système;

  • Un membre du personnel qui utilise des renseignements personnels d’une base de données à laquelle il a accès dans le cadre de ses fonctions dans le but d’usurper l’identité d’une personne;

  • Une communication faite par erreur à la mauvaise personne par son employeur;

  • Une personne qui perd ou se fait voler des documents contenant des renseignements personnels;

  • Une personne qui s’immisce dans une banque de données contenant des renseignements personnels afin de les altérer;

  • L’oubli de caviarder des renseignements personnels dans un document;

  • L’envoi d’un courriel contenant des renseignements personnels;

  • La communication d’un renseignement personnel contraire aux dispositions de la Loi sur l’accès ou de la Loi sur le privé;

  • Un membre du personnel consulte un renseignement personnel sans autorisation;

  • Un membre du personnel communique des renseignements personnels au mauvais destinataire;

  • L’organisation est victime d’une cyberattaque, comme de l’hameçonnage ou un rançongiciel.

11.2 Traitement d’un incident de confidentialité

Lorsque le Séminaire a des motifs de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel qu’il détient, il doit prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent, ce qui peut inclure la sanction des individus en cause.

Le Séminaire peut également aviser toute personne et/ou tout organisme susceptibles de diminuer ce risque en ne communiquant que les renseignements personnels nécessaires à cette fin sans le consentement de la personne concernée. Dans ce dernier cas, la personne responsable de la protection des renseignements personnels doit enregistrer la communication.

Si l’incident de confidentialité présente un risque qu’un préjudice sérieux soit causé, l’organisme doit, avec diligence, en aviser la Commission. Il doit également aviser toute personne dont un renseignement personnel est concerné par l’incident.

Afin d’évaluer le risque qu’un préjudice soit causé à une personne dont un renseignement personnel est concerné par un incident de confidentialité, le Séminaire doit considérer, notamment :

  1. La sensibilité du renseignement concerné;

  2. Les conséquences appréhendées de son utilisation;

  3. La probabilité qu’il soit utilisé à des fins préjudiciables.

Le Séminaire doit également consulter la personne responsable de la protection des renseignements personnels.

11.3 Registre des incidents de confidentialité13

Le Séminaire doit tenir un registre des incidents de confidentialité. Celui‐ci contient, notamment :

  1. Une description des renseignements personnels visés par l’incident;

  2. Les circonstances de l’incident;

  3. La date où l’incident a eu lieu;

  4. La date où la personne responsable de la protection des renseignements personnels a eu connaissance de l’incident;

  5. Le nombre de personnes visées;

  6. L’évaluation de la gravité du risque de préjudice;

  7. S’il existe un risque de préjudice sérieux pour la personne concernée, les dates de transmission des avis; et

  8. Les mesures prises en réaction à l’incident.

12. PROCESSUS DE TRAITEMENT DES PLAINTES RELATIVES À LA PROTECTION DES RENSEIGNEMENTS PERSONNELS

12.1 Dépôt d’une plainte relative à la protection des renseignements personnels

Toute personne qui a des motifs de croire qu’un incident de confidentialité s’est produit et que le Séminaire a fait défaut de protéger la confidentialité des renseignements personnels qu’il détient peut déposer une plainte pour demander que la situation soit corrigée.

La plainte doit être déposée par écrit et comporter une description de l’incident, la date ou la période où l’incident s’est produit, la nature des renseignements personnels visés par l’incident et le nombre de personnes concernées.

La plainte doit être adressée à la personne responsable de la protection des renseignements personnels.

Dans le cas où la plainte met en cause la conduite de la personne responsable de la protection des renseignements personnels, celle‐ci doit être adressée à la direction des ressources humaines du Séminaire.

12.2 Traitement de la plainte

La personne responsable de la protection des renseignements personnels a la responsabilité de traiter la plainte dans un délai de 30 jours. Dans le cas où celle‐ci s’avère fondée, le Séminaire prend les mesures requises pour corriger la situation dans les meilleurs délais, conformément au paragraphe 11.2 de la présente politique, et procède à l’inscription de l’incident au registre, comme indiqué au paragraphe 11.3.

13. VIDÉOSURVEILLANCE

Le recours à la vidéosurveillance doit s’effectuer conformément à la Politique relative à la vidéosurveillance du Séminaire, en respect des obligations prévues notamment par le Code civil du Québec, par la Charte des droits et libertés de la personne, par la Loi sur l’accès ainsi que par la Loi sur le privé.

14. PROJETS DE SYSTÈME D’INFORMATION OU DE PRESTATION ÉLECTRONIQUE DE SERVICES IMPLIQUANT DES RENSEIGNEMENTS PERSONNELS

Le Séminaire procède à une évaluation des facteurs relatifs à la vie privée pour tout projet d’acquisition, de développement ou de refonte d’un système d’information ou d’une prestation électronique de services qui impliquerait la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels.

En ce qui concerne l’évaluation des facteurs relatifs à la vie privée, le Séminaire consulte, dès le début du projet, son comité sur l’accès à l’information et la protection des renseignements personnels.

15. RÔLES ET RESPONSABILITÉS

Conseil d’administration du Séminaire

  • Approuve la politique.

Recteur‐directeur général

  • Agit à tire de responsable de la protection des renseignements personnels.

  • Assure l’application de la présente politique.

  • Veille au traitement des demandes d’accès à l’information.

  • Assure la protection des renseignements personnels des personnes concernées.

  • Procède à l’évaluation des incidents de confidentialité et des facteurs relatifs à la vie privée.

Comité sur la protection des renseignements personnels

  • Soutien la personne responsable de la protection des renseignements personnels.

  • Assure la formation du personnel.

  • Effectue des recommandations à la personne responsable de la protection des renseignements personnels.

Directions des services

  • Informent les membres de leurs équipes.

  • Valident l’attribution et la portée des accès aux systèmes d’information dont ils sont responsables.

  • Accueillent et transmettent les déclarations d’incidents de confidentialité au comité.

  • Informent le comité avant d’entreprendre un projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels.

Membre du personnel

  • N’accède qu’aux renseignements nécessaires à l’exécution de sa tâche et uniquement dans le cadre de ses fonctions.

  • Ne révèle aucun renseignement personnel dont il aurait pris connaissance dans l’exercice de sa fonction sans y être dûment autorisé.

  • Ne communique aucun renseignement personnel à des tiers.

  • Conserve tous les renseignements personnels nécessaires à sa tâche uniquement dans les espaces fournis par le Séminaire.

  • Assure la protection de ces espaces à l’aide d’un mot de passe si nécessaire.

16. ACTIVITÉS DE FORMATION ET DE SENSIBILISATION À LA PROTECTION DES RENSEIGNEMENTS PERSONNELS OFFERTES PAR L’ORGANISME À SON PERSONNEL

Le Séminaire offrira à tous les membres du personnel une formation annuelle. De plus, le personnel engagé en cours d’année sera rencontré afin qu’il se conforme aux exigences de la politique.

17. SANCTIONS APPLICABLES EN CAS DE NON‐RESPECT DE LA PRÉSENTE POLITIQUE

Le non‐respect de la présente politique pourrait entraîner des mesures administratives et/ou disciplinaires pouvant aller jusqu'au congédiement. La nature, la gravité et le caractère répétitif des actes reprochés doivent être considérés au moment de déterminer une sanction.

Dans le cadre de ses relations contractuelles avec un tiers, le Séminaire pourra mettre fin à tout contrat sans préavis pour non‐respect de la présente politique. Celle‐ci sera présentée à tous les tiers contractants avec le Séminaire, lesquels devront s'engager, par écrit, à s'y conformer.

18. DIFFUSION ET MISE À JOUR DE LA POLITIQUE

La personne responsable de la protection des renseignements personnels, assistée du comité sur l’accès à l’information et la protection des renseignements personnels, s’assure de la diffusion et de la mise à jour de la politique sur le site Internet du Séminaire.

19. RESPONSABILITÉ DE L’APPLICATION ET RÉVISION DE LA POLITIQUE

La personne responsable de la protection des renseignements personnels est responsable de l’application de la politique et de sa révision.

20. ENTRÉE EN VIGUEUR

La présente politique est adoptée par le conseil d’administration et entre en vigueur le jour de son adoption, soit le 17 octobre 2023.

 

1 Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, L.Q. 2021, c. 25

2 Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ, c. A‐2.1

3 Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c. P‐39.1

4 Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, préc. note 1, art. 63.3

5 Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, préc. note 2, art. 6

6 Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, L.Q. 2021, c. 25

7 Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ, c. A‐2.1

8 Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c. P‐39.1

9 Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, préc. note 1, art. 59
   Mineur : Personne âgée de moins de 18 ans.
   Majeur : Personne âgée de 18 ans et plus ou personne âgée de moins de 18 ans émancipée.

10 Code civil du Québec, c. CCQ‐1991

11 Charte des droits et libertés de la personne, RLRQ, c. C‐12

12 Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, L.Q. 2021, c. 25, art. 67.2.1 à 67.2.3

13 Un tableau synthèse et gabarit d’un tel registre est présenté à l’annexe A.