POLITIQUE DE CONFIDENTIALITÉ ET PROTECTION DES DONNÉES
PRÉAMBULE
La
Compagnie est responsable des renseignements personnels qu’elle détient
dans l’exercice de ses fonctions. À ce titre,
la Compagnie prend les mesures de sécurité propres à assurer la protection des renseignements
personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont
raisonnables compte tenu,
notamment, de leur sensibilité, de la finalité
de leur utilisation, de leur quantité, de
leur répartition et de leur support.
Parmi
ces mesures, les présentes règles de gouvernance établissent les principes
directeurs applicables à la Compagnie aux cinq étapes du cycle de vie d’un
renseignement personnel, les rôles et responsabilités des principaux
intervenants, le processus pour exercer les droits d’accès et de rectification
des renseignements personnels ainsi que pour le traitement de plaintes en
matière de protection de ces renseignements. Finalement, les règles de
gouvernance décrivent sommairement des activités de formation et de
sensibilisation des membres du personnel de la Compagnie dans ce domaine. Elles
ont été approuvées par les administrateurs et dirigeants de la Compagnie.
Ces principes directeurs s’inscrivent, pour la Compagnie, dans une approche globale
de la gouvernance des
données détenues par celle-ci, laquelle
inclut la sécurité
de l’information qui vise à protéger la confidentialité, l’intégrité et la
disponibilité de ces données.
Les présentes règles de
gouvernance forment un cadre général visant l’instauration de bonnes pratiques en matière de
protection des renseignements personnels.
1.
OBJECTIF
Les règles de gouvernance à l’égard des renseignements personnels visent à :
-
définir les responsabilités des principaux intervenants de la compagnie et de
ses parties prenantes à l’égard
de la protection des renseignements personnels, et ce, tout au long du
cycle de vie de ces renseignements;
-
permettre aux principaux intervenants de la compagnie et à ses parties prenantes de connaître et de comprendre les
principes directeurs entourant la protection des renseignements personnels dans
le cadre de l’exercice de leurs fonctions.
2.
CHAMP D’APPLICATION
Les
règles de gouvernance s’appliquent à tout renseignement personnel détenu par la
Compagnie dans l’exercice de ses fonctions, que sa conservation soit assurée
par la Compagnie ou par un tiers et quel que soit le support, de sa collecte à
sa destruction.
Elles
s’appliquent à toute personne liée ou ayant pu être liée à la Compagnie et
s’étendent également à toute personne tierce, physique ou morale, ayant accès à
un renseignement personnel détenu par la Compagnie. Toutefois, ces règles ne
s’appliquent pas aux renseignements détenus par un représentant de la Compagnie
à des fins personnelles, même s’ils sont conservés sur une plateforme
technologique de la Compagnie.
3.
CADRE LÉGAL ET NORMATIF
Les règles
de gouvernance sont adoptées en prenant en considération, notamment
:
1)
La Charte des droits
et libertés de la personne, RLRQ, c. C-12;
2)
Le Code civil du Québec, RLRQ c. CCQ-1991;
3)
La Loi concernant le cadre juridique
des technologies de l’information, RLRQ c. C-1.1;
4)
La Loi sur les archives, RLRQ c. A-21.1;
4.
DÉFINITIONS
Aux fins des présentes règles de gouvernance, les mots et expressions ci-dessous ont la signification suivante :
« Partie prenante » : ensemble des personnes physiques et morales avec lesquelles la
Compagnie entretient un lien d’affaires, ce qui comprend notamment les membres
du personnel, les administrateurs, les dirigeants, ainsi que les fournisseurs,
clients, partenaires d’affaires et organismes publics et législatifs.
« Renseignement
anonymisé » : renseignement
concernant une personne physique dont il est, en tout temps, raisonnable de
prévoir dans les circonstances qu’il ne permet plus, de façon irréversible,
d’identifier directement ou indirectement cette personne. Un renseignement
anonymisé n’est plus considéré être un renseignement personnel.
« Renseignement
dépersonnalisé » : renseignement personnel qui ne permet
plus d’identifier directement la personne concernée. La dépersonnalisation d’un
renseignement personnel est réversible, contrairement à l’anonymisation qui est
irréversible.
« Renseignement
personnel » : tout renseignement qui concerne une
personne physique et qui permet, directement ou indirectement, de l’identifier. Le nom d’une
personne, pris isolément, n’est pas un renseignement personnel. Cependant, lorsque ce nom est
associé ou jumelé à un autre renseignement visant cette même personne, il
devient alors un renseignement personnel.
« Renseignement
sensible » : renseignement personnel qui, par sa nature notamment
médicale, biométrique ou autrement
intime, ou en raison du contexte de son utilisation ou de sa communication,
suscite un haut degré d’attente raisonnable en matière de vie privée.
« Tiers » :
toute partie prenante ayant une personnalité juridique distincte de la
Compagnie, incluant les fournisseurs, les sous-traitants, les prestataires de
services ou d’autres partenaires de la Compagnie.
5.
GOUVERNANCE, RÔLES ET RESPONSABILITÉS EN MATIÈRE DE PROTECTION DES RENSEIGNEMENTS PERSONNELS
5.1.
Conseil d’administration
Le conseil d’administration adopte les présentes
règles de gouvernance. Il adopte les directives et procédures en matière de protection des renseignements personnels, notamment
celles visant à compléter les présentes règles.
Le conseil d’administration délègue à la personne de son choix, au sein
de la Compagnie, l’exercice de ses responsabilités et dans l’exécution de ses
obligations en vertu de la loi.
5.2.
Personne responsable de la protection des renseignements personnels
La personne
responsable de la protection des renseignements personnels veille au respect
et à la mise en œuvre des
présentes règles et des obligations de la Compagnie en matière de protection
des renseignements personnels prévues par la loi, de sorte à soutenir le
conseil d’administration dans son obligation générale
d’assurer le respect
et la mise en œuvre
de cette loi. Elle participe
de plus à la prévention et la gestion des incidents
de confidentialité, au traitement des demandes d’accès et de rectification de
renseignements personnels et à la gestion des plaintes concernant la protection
des renseignements
personnels[CF1] .
La
personne responsable de la protection des renseignements personnels conseille
en outre les différentes unités de la Compagnie, par l’entremise des personnes
répondantes de la protection des renseignements personnels d’une unité, au
sujet des problématiques relatives aux renseignements personnels dont elles ont une responsabilité. Par ses interventions, elle contribue à la promotion
d’une culture organisationnelle qui renforce la protection des
renseignements personnels au sein de la Compagnie[CF2] .
5.3.
Personne qui traite des renseignements personnels
Toute
personne au sein de la compagnie qui traite des renseignements personnels
s’assure qu’elle n'a accès
à ceux-ci que lorsque cela est nécessaire dans l’exercice de ses fonctions, et ce, uniquement pour le temps requis pour leur
traitement, après quoi elle voit à leur conservation de façon sécurisée. Elle
participe aux activités de sensibilisation visant à diminuer les risques quant
à la sécurité des renseignements personnels et permettant d’établir et
maintenir une culture de la protection des renseignements personnels au sein de
son unité et de la Compagnie.
6. PRINCIPES DIRECTEURS EN MATIÈRE DE PROTECTION DES RENSEIGNEMENTS
PERSONNELS
Les
présentes règles de gouvernance établissent de plus les principes directeurs
applicables à la Compagnie au cours des cinq étapes du cycle de vie d’un
renseignement personnel, soit :
·
sa collecte, qu’il soit recueilli, créé ou inféré;
·
son utilisation au sein de la Compagnie;
·
sa communication à un tiers;
·
sa conservation, qu’il soit activement utilisé ou non;
·
sa destruction lorsque
ses fins sont accomplies.
Ces principes sont les suivants
:
1.
La Compagnie prend les mesures de sécurité propres à
assurer la protection des renseignements personnels collectés, utilisés,
communiqués, conservés ou détruits et qui sont raisonnables compte tenu,
notamment, de leur sensibilité, de la finalité de leur utilisation, de leur
quantité, de leur répartition et de leur support.
2.
Tout renseignement personnel détenu par la Compagnie
est confidentiel, sauf si celui-ci revêt un caractère public en vertu de la loi
ou que la personne concernée par ce renseignement consent à sa divulgation.
3.
Toute personne qui utilise ou à qui la
Compagnie communique des renseignements personnels doit signaler un incident de confidentialité impliquant un
renseignement personnel détenu par la Compagnie et collaborer à l’analyse de
cet incident. Si l’incident est avéré, la Compagnie s’assure que les mesures raisonnables soient prises pour diminuer les risques qu’un préjudice soit causé
et éviter que de nouveaux incidents de même nature ne se produisent.
4.
Tout consentement requis d’une personne concernée doit être manifeste, libre, éclairé et donné à des fins spécifiques. Le consentement lié à des
renseignements sensibles doit être manifesté de manière expresse. Un
consentement ne vaut que pour la période nécessaire à la réalisation des fins
auxquelles il a été demandé.
5.
La Compagnie collecte, utilise et communique
certains renseignements personnels dans le cadre de ses attributions et en
relation avec sa mission. Le refus de donner ou maintenir un consentement requis
à ces fins peut notamment
entrainer la cessation du traitement d’un dossier,
par exemple en sa relation à un emploi, à une prestation de services ou à l’accès
à des services personnalisés comme les résultats d’évaluations, de sondages et
d’autoévaluations.
6.
La Compagnie collecte un renseignement personnel uniquement
si cela est nécessaire à l’exercice de ses attributions ou à la mise en œuvre
d’un programme dont elle a la gestion ou pour lequel elle collabore avec un autre organisme public;
ces fins sont déterminées préalablement à la collecte.
7.
Un renseignement personnel
ne peut être utilisé au sein de la
Compagnie qu’aux fins pour lesquelles il a été recueilli, à moins du
consentement de la personne concernée ou lorsque la loi le prévoit. Chaque membre du personnel de la
Compagnie n’utilise que les renseignements personnels nécessaires à l’exercice de ses fonctions. De plus, chaque
membre du personnel de la Compagnie qui
utilise des renseignements personnels est tenu à la confidentialité de ceux-ci.
8.
Une communication à des tiers de renseignements personnels peut être effectuée par la
Compagnie avec le consentement de la personne
concernée ou, sans ce consentement, lorsque la loi l’exige
ou le permet. La Compagnie veille à la protection des renseignements personnels
qu’elle communique.
9.
La Compagnie conserve les renseignements personnels
pour la durée déterminée aux règles de son calendrier de conservation en
conformité avec les lois applicables.
10.
Lorsque les fins pour lesquelles un renseignement
personnel a été recueilli ou utilisé sont accomplies, la Compagnie doit le
détruire, ou l’anonymiser pour l’utiliser à des fins d’intérêt public, sous
réserve des règles concernant la gestion des archives de la Compagnie.
7. FORMATION ET SENSIBILISATION
La Compagnie peut offrir périodiquement des activités de formation à son personnel et à des parties prenantes clés, leur permettant de connaître les principales responsabilités en