POLITIQUE DE CONFIDENTIALITÉ ET PROTECTION DES DONNÉES

PRÉAMBULE

La Compagnie est responsable des renseignements personnels qu’elle détient dans l’exercice de ses fonctions. À ce titre, la Compagnie prend les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support.

Parmi ces mesures, les présentes règles de gouvernance établissent les principes directeurs applicables à la Compagnie aux cinq étapes du cycle de vie d’un renseignement personnel, les rôles et responsabilités des principaux intervenants, le processus pour exercer les droits d’accès et de rectification des renseignements personnels ainsi que pour le traitement de plaintes en matière de protection de ces renseignements. Finalement, les règles de gouvernance décrivent sommairement des activités de formation et de sensibilisation des membres du personnel de la Compagnie dans ce domaine. Elles ont été approuvées par les administrateurs et dirigeants de la Compagnie.

Ces principes directeurs s’inscrivent, pour la Compagnie, dans une approche globale de la gouvernance des données détenues par celle-ci, laquelle inclut la sécurité de l’information qui vise à protéger la confidentialité, l’intégrité et la disponibilité de ces données.

Les présentes règles de gouvernance forment un cadre général visant l’instauration de bonnes pratiques en matière de protection des renseignements personnels.

1.      OBJECTIF

Les règles de gouvernance à l’égard des renseignements personnels visent à :

-            définir les responsabilités des principaux intervenants de la compagnie et de ses parties prenantes à l’égard de la protection des renseignements personnels, et ce, tout au long du cycle de vie de ces renseignements;

-            permettre aux principaux intervenants de la compagnie et à ses parties prenantes de connaître et de comprendre les principes directeurs entourant la protection des renseignements personnels dans le cadre de l’exercice de leurs fonctions.

2.      CHAMP D’APPLICATION

Les règles de gouvernance s’appliquent à tout renseignement personnel détenu par la Compagnie dans l’exercice de ses fonctions, que sa conservation soit assurée par la Compagnie ou par un tiers et quel que soit le support, de sa collecte à sa destruction.

Elles s’appliquent à toute personne liée ou ayant pu être liée à la Compagnie et s’étendent également à toute personne tierce, physique ou morale, ayant accès à un renseignement personnel détenu par la Compagnie. Toutefois, ces règles ne s’appliquent pas aux renseignements détenus par un représentant de la Compagnie à des fins personnelles, même s’ils sont conservés sur une plateforme technologique de la Compagnie.

3.      CADRE LÉGAL ET NORMATIF

Les règles de gouvernance sont adoptées en prenant en considération, notamment :

1)      La Charte des droits et libertés de la personne, RLRQ, c. C-12;

2)      Le Code civil du Québec, RLRQ c. CCQ-1991;

3)      La Loi concernant le cadre juridique des technologies de l’information, RLRQ c. C-1.1;

4)      La Loi sur les archives, RLRQ c. A-21.1;

4.      DÉFINITIONS

Aux fins des présentes règles de gouvernance, les mots et expressions ci-dessous ont la signification suivante :

« Partie prenante » : ensemble des personnes physiques et morales avec lesquelles la Compagnie entretient un lien d’affaires, ce qui comprend notamment les membres du personnel, les administrateurs, les dirigeants, ainsi que les fournisseurs, clients, partenaires d’affaires et organismes publics et législatifs.

« Renseignement anonymisé » : renseignement concernant une personne physique dont il est, en tout temps, raisonnable de prévoir dans les circonstances qu’il ne permet plus, de façon irréversible, d’identifier directement ou indirectement cette personne. Un renseignement anonymisé n’est plus considéré être un renseignement personnel.

« Renseignement dépersonnalisé » : renseignement personnel qui ne permet plus d’identifier directement la personne concernée. La dépersonnalisation d’un renseignement personnel est réversible, contrairement à l’anonymisation qui est irréversible.

« Renseignement personnel » : tout renseignement qui concerne une personne physique et qui permet, directement ou indirectement, de l’identifier. Le nom d’une personne, pris isolément, n’est pas un renseignement personnel. Cependant, lorsque ce nom est associé ou jumelé à un autre renseignement visant cette même personne, il devient alors un renseignement personnel.

« Renseignement sensible » : renseignement personnel qui, par sa nature notamment médicale, biométrique ou autrement intime, ou en raison du contexte de son utilisation ou de sa communication, suscite un haut degré d’attente raisonnable en matière de vie privée.

« Tiers » : toute partie prenante ayant une personnalité juridique distincte de la Compagnie, incluant les fournisseurs, les sous-traitants, les prestataires de services ou d’autres partenaires de la Compagnie.

5.      GOUVERNANCE, RÔLES ET RESPONSABILITÉS EN MATIÈRE DE PROTECTION DES RENSEIGNEMENTS PERSONNELS

5.1.          Conseil d’administration

Le conseil d’administration adopte les présentes règles de gouvernance. Il adopte les directives et procédures en matière de protection des renseignements personnels, notamment celles visant à compléter les présentes règles.

Le conseil d’administration délègue à la personne de son choix, au sein de la Compagnie, l’exercice de ses responsabilités et dans l’exécution de ses obligations en vertu de la loi.

5.2.          Personne responsable de la protection des renseignements personnels

La personne responsable de la protection des renseignements personnels veille au respect et à la mise en œuvre des présentes règles et des obligations de la Compagnie en matière de protection des renseignements personnels prévues par la loi, de sorte à soutenir le conseil d’administration dans son obligation générale d’assurer le respect et la mise en œuvre de cette loi. Elle participe de plus à la prévention et la gestion des incidents de confidentialité, au traitement des demandes d’accès et de rectification de renseignements personnels et à la gestion des plaintes concernant la protection des renseignements personnels[CF1] .

La personne responsable de la protection des renseignements personnels conseille en outre les différentes unités de la Compagnie, par l’entremise des personnes répondantes de la protection des renseignements personnels d’une unité, au sujet des problématiques relatives aux renseignements personnels dont elles ont une responsabilité. Par ses interventions, elle contribue à la promotion d’une culture organisationnelle qui renforce la protection des renseignements personnels au sein de la Compagnie[CF2] .

5.3.          Personne qui traite des renseignements personnels

Toute personne au sein de la compagnie qui traite des renseignements personnels s’assure qu’elle n'a accès à ceux-ci que lorsque cela est nécessaire dans l’exercice de ses fonctions, et ce, uniquement pour le temps requis pour leur traitement, après quoi elle voit à leur conservation de façon sécurisée. Elle participe aux activités de sensibilisation visant à diminuer les risques quant à la sécurité des renseignements personnels et permettant d’établir et maintenir une culture de la protection des renseignements personnels au sein de son unité et de la Compagnie.

6.      PRINCIPES DIRECTEURS EN MATIÈRE DE PROTECTION DES RENSEIGNEMENTS PERSONNELS

Les présentes règles de gouvernance établissent de plus les principes directeurs applicables à la Compagnie au cours des cinq étapes du cycle de vie d’un renseignement personnel, soit :

·            sa collecte, qu’il soit recueilli, créé ou inféré;

·            son utilisation au sein de la Compagnie;

·            sa communication à un tiers;

·            sa conservation, qu’il soit activement utilisé ou non;

·            sa destruction lorsque ses fins sont accomplies.

Ces principes sont les suivants :

1.             La Compagnie prend les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support.

2.             Tout renseignement personnel détenu par la Compagnie est confidentiel, sauf si celui-ci revêt un caractère public en vertu de la loi ou que la personne concernée par ce renseignement consent à sa divulgation.

3.             Toute personne qui utilise ou à qui la Compagnie communique des renseignements personnels doit signaler un incident de confidentialité impliquant un renseignement personnel détenu par la Compagnie et collaborer à l’analyse de cet incident. Si l’incident est avéré, la Compagnie s’assure que les mesures raisonnables soient prises pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent.

4.             Tout consentement requis d’une personne concernée doit être manifeste, libre, éclairé et donné à des fins spécifiques. Le consentement lié à des renseignements sensibles doit être manifesté de manière expresse. Un consentement ne vaut que pour la période nécessaire à la réalisation des fins auxquelles il a été demandé.

5.             La Compagnie collecte, utilise et communique certains renseignements personnels dans le cadre de ses attributions et en relation avec sa mission. Le refus de donner ou maintenir un consentement requis à ces fins peut notamment entrainer la cessation du traitement d’un dossier, par exemple en sa relation à un emploi, à une prestation de services ou à l’accès à des services personnalisés comme les résultats d’évaluations, de sondages et d’autoévaluations.

6.             La Compagnie collecte un renseignement personnel uniquement si cela est nécessaire à l’exercice de ses attributions ou à la mise en œuvre d’un programme dont elle a la gestion ou pour lequel elle collabore avec un autre organisme public; ces fins sont déterminées préalablement à la collecte.

7.             Un renseignement personnel ne peut être utilisé au sein de la Compagnie qu’aux fins pour lesquelles il a été recueilli, à moins du consentement de la personne concernée ou lorsque la loi le prévoit. Chaque membre du personnel de la Compagnie n’utilise que les renseignements personnels nécessaires à l’exercice de ses fonctions. De plus, chaque membre du personnel de la Compagnie qui utilise des renseignements personnels est tenu à la confidentialité de ceux-ci.

8.             Une communication à des tiers de renseignements personnels peut être effectuée par la Compagnie avec le consentement de la personne concernée ou, sans ce consentement, lorsque la loi l’exige ou le permet. La Compagnie veille à la protection des renseignements personnels qu’elle communique.

9.             La Compagnie conserve les renseignements personnels pour la durée déterminée aux règles de son calendrier de conservation en conformité avec les lois applicables.

10.          Lorsque les fins pour lesquelles un renseignement personnel a été recueilli ou utilisé sont accomplies, la Compagnie doit le détruire, ou l’anonymiser pour l’utiliser à des fins d’intérêt public, sous réserve des règles concernant la gestion des archives de la Compagnie.

7.      FORMATION ET SENSIBILISATION

La Compagnie peut offrir périodiquement des activités de formation à son personnel et à des parties prenantes clés, leur permettant de connaître les principales responsabilités en