Politique de protection des renseignements personnels

PRÉAMBULE

La présente Politique vise à doter la Corporation du Collège de Bois-de-Boulogne (ci-après la « Corporation ») de règles de gouvernance à l’égard de la protection des renseignements personnels qu’elle détient, conformément à la Loi sur la protection des renseignements personnels dans le secteur privé (ci-après la « Loi sur le privé »).

 

1. Champ d’application

La présente Politique s’adresse à toute personne qui, dans l’exercice de ses fonctions à la Corporation, collecte, consulte, utilise, communique, détient ou conserve des renseignements personnels.

 

2. Définitions

Les termes suivants signifient :

2.1.Renseignement personnel

Tout renseignement qui concerne une personne physique et qui permet directement ou indirectement de l’identifier, tel que : le nom, l’adresse, le numéro de téléphone personnel, l’adresse courriel personnelle, l’occupation, le numéro d’assurance sociale, la date de naissance, la photographie et les coordonnées bancaires.
Les renseignements personnels doivent être protégés, peu importe la nature de leur support et quelle que soit leur forme : écrite, graphique, sonore, visuelle, informatisée ou autre.

2.2.Consentement

Le consentement est l’autorisation de la personne titulaire des renseignements personnels à communiquer ou utiliser ses renseignements personnels. Le consentement ne se présume pas. Il doit être manifeste, libre, éclairé, être donné à des fins spécifiques, en termes simples et clairs, pour la durée nécessaire à la réalisation des fins auxquelles il a été demandé.

2.3. Incident de confidentialité

Au sens de la présente politique, constitue un incident de confidentialité :

  • L’accès non autorisé par la Loi sur le privé à un renseignement personnel;
  • L’utilisation non autorisée par la Loi sur le privé;
  • La communication non autorisée par la Loi sur le privé à un renseignement personnel;
  • La perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.

 

3. Collecte de renseignements personnels

3.1. Renseignements personnels pouvant être collectés

Afin de remplir adéquatement sa mission, la Corporation doit recueillir des renseignements personnels. Elle recueille uniquement les renseignements personnels nécessaires à l’exercice de ses activités.

La Corporation prend des mesures pour s’assurer que les renseignements personnels qu’elle recueille sont adéquats, pertinents, non excessifs et utilisés à des fins limitées.

3.2. Informations communiquées lors de la collecte de renseignements personnels

Lorsqu’elle recueille des renseignements personnels, la Corporation s’assure d’informer la personne concernée, au plus tard au moment de la collecte :

  • Des fins auxquelles ces renseignements sont recueillis;
  • Des moyens par lesquels les renseignements sont recueillis;
  • Des droits d’accès et de rectification prévus par la loi;
  • De son droit de retirer son consentement à la communication ou à l’utilisation des renseignements recueillis;
  • Sur demande, la personne concernée est également informée des renseignements personnels recueillis auprès d’elle, des catégories de personnes qui y ont accès au sein de la Corporation, de la durée de conservation de ces renseignements ainsi que des coordonnées de la personne responsable de la protection des renseignements personnels.

 

4. Utilisation des renseignements personnels

La Corporation s’engage à n’utiliser les renseignements personnels détenus qu’aux fins précisées lors de la collecte, à moins que la personne visée n’y consente expressément ou que la Loi sur le privé l’exige.

 

5. Consentement

Dans les situations qui le requièrent, la Corporation doit transmettre un consentement à l’utilisation ou à la divulgation des renseignements personnels aux personnes concernées. Pour être valable, le consentement doit être manifeste, libre, éclairé, être donné à des fins spécifiques, en termes simples et clairs ainsi que pour la durée nécessaire à la réalisation des fins auxquelles il est demandé.

Lorsqu’une personne donne son consentement à l’utilisation ou à la communication de ses renseignements personnels, elle peut le retirer à tout moment. Pour retirer son consentement, le cas échéant, elle peut communiquer avec la personne dont le nom est indiqué dans le formulaire de consentement. (voir annexe : Formulaire de consentement).

Si une personne retire son consentement, il se peut que la Corporation ne puisse pas fournir un service particulier.

 

6. Communication des renseignements personnels

6.1.Communication sans le consentement de la personne concernée

La Corporation peut divulguer certains renseignements personnels détenus pour se conformer à l’ordonnance d’un tribunal, à une loi ou à une procédure judiciaire, y compris pour répondre à toute demande gouvernementale ou réglementaire, conformément aux lois applicables, ou si elle croit que la divulgation est nécessaire ou appropriée pour protéger les droits, la propriété ou la sécurité de la Corporation ou d’autres personnes.

La Corporation peut transférer les renseignements personnels qu’elle collecte à des fournisseurs de services et à d’autres tiers qui la soutiennent. Ces tiers sont contractuellement obligés de garder les renseignements personnels confidentiels, de les utiliser uniquement aux fins pour lesquelles la Corporation les divulgue et de traiter les renseignements personnels selon les normes énoncées dans la politique et en respect des lois.

La Corporation peut communiquer certains renseignements personnels à des fins d’étude, de recherche ou de production de statistiques sous réserve des conditions prévues par la Loi sur le privé.

Dans certaines situations, la personne responsable de la protection des renseignements personnels doit inscrire la communication.

6.2. Communication avec le consentement de la personne concernée

La Corporation peut communiquer certains renseignements personnels détenus à une personne si elle a obtenu le consentement valable de la personne concernée.

 

7. Conservation et destruction des renseignements personnels

La Corporation ne conserve les renseignements personnels qu’elle détient que pour le temps nécessaire pour atteindre les fins pour lesquelles elle les a collectés, à moins d’autorisation ou d’exigence des lois ou de la réglementation applicable. La Corporation conserve les documents contenant des renseignements personnels pendant cinq (5) ans.

Lorsque les fins pour lesquelles un renseignement personnel a été recueilli ou utilisé sont accomplies, la Corporation doit le détruire.

Lorsque la Corporation procède à la destruction de documents contenant des renseignements personnels, elle s’assure de prendre les mesures de protection nécessaires visant à assurer la confidentialité de ceux-ci.

Les renseignements personnels détenus par la Corporation sont traités et stockés au Québec. Dans l’éventualité où un transfert de renseignements personnels à l’extérieur du Québec serait nécessaire dans le cadre de l’exercice des fonctions de la Corporation, ce transfert n’aura lieu que s’il est évalué que le renseignement bénéficierait d’une protection adéquate, notamment en considérant la sensibilité du renseignement, la finalité de son utilisation, les mesures de protection dont le renseignement bénéficierait et le régime juridique applicable dans l’État ou la province où ce renseignement serait communiqué. Le transfert sera également soumis aux ententes contractuelles appropriées afin d’assurer cette protection adéquate.

 

8. Protection des renseignements personnels

La Corporation a mis en place des mesures de sécurité physiques, organisationnelles, contractuelles et technologiques appropriées et raisonnables afin de protéger les renseignements personnels contre la perte ou le vol, et contre l’accès, la divulgation, la copie, l’utilisation ou la modification non autorisés par la loi. La Corporation a pris des mesures pour faire en sorte que seul le personnel qui doit avoir accès aux renseignements personnels dans le cadre de ses fonctions soit autorisé à y accéder.

Le personnel de la Corporation ou les personnes qui œuvrent en son nom doivent, notamment :

  • Faire des efforts raisonnables pour minimiser le risque de divulgation non intentionnelle de renseignements personnels;
  • Prendre des précautions particulières pour s’assurer que les renseignements personnels ne sont pas surveillés, entendus, consultés ou perdus lorsqu’elles travaillent dans des locaux autres que les bureaux de la Corporation; et
  • Prendre des mesures raisonnables pour protéger les renseignements personnels lorsqu’elles se déplacent d’un endroit à l’autre.

Les sous-traitants ayant accès aux renseignements personnels dont la Corporation a la garde ou le contrôle seront informés de la présente politique de protection des renseignements personnels et des autres politiques et processus applicables pour assurer la sécurité et la protection des renseignements personnels. Tous les sous-traitants devront s’engager par écrit à accepter de se conformer aux politiques, aux processus et aux lois applicables.

 

9. Demande d’accès ou de rectification à des renseignements personnels

9.1. Demande d’accès à ses renseignements personnels

Toute personne qui en fait la demande a droit d’accès aux renseignements personnels la concernant détenus par la Corporation, sous réserve des exceptions prévues par la Loi sur le privé.

Une demande de communication ne peut être considérée que si elle est faite par écrit par une personne physique justifiant de son identité à titre de personne concernée, à titre de représentante ou de représentant, d’héritière ou d’héritier ou de successible de cette dernière, à titre de liquidatrice ou de liquidateur de la succession, à titre de bénéficiaire d’assurance vie ou d’indemnité de décès, à titre de titulaire de l’autorité parentale même si l’enfant mineur est décédé, ou à titre de conjointe ou de conjoint ou de proche parent d’une personne décédée.

Cette demande doit être adressée à Alexandra Petrovic, personne responsable de la protection des renseignements personnels à la Corporation qui peut être jointe à l’adresse courriel suivante : alexandra.petrovic@bdeb.qc.ca.

La demande doit fournir suffisamment d’indications précises pour permettre à la Corporation de la traiter.

La personne responsable de la protection des renseignements personnels doit donner à la personne qui lui a fait une demande écrite un avis de la date de la réception de sa demande.

La personne responsable doit répondre au plus tard dans les trente (30) jours qui suivent la date de la réception d’une demande.

Si la personne qui fait la demande n’est pas satisfaite de la réponse de la Corporation, elle peut saisir la Commission d’accès à l’information de cette décision en faisant une demande d’examen de mésentente relative à l’application d’une disposition législative portant sur l’accès. Cette demande doit être faite dans les trente (30) jours qui suivent la date de la décision ou de l’expiration du délai prévu à la Loi sur le privé pour répondre à la demande.

9.2. Demande de rectification

Toute personne qui reçoit confirmation de l’existence dans un fichier d’un renseignement personnel la concernant peut, s’il est inexact, incomplet ou équivoque, ou si sa collecte, sa communication ou sa conservation ne sont pas autorisées par la Loi sur le privé, exiger que le fichier soit rectifié.

Une demande de rectification ne peut être considérée que si elle est faite par écrit par une personne physique justifiant de son identité à titre de personne concernée, à titre de représentante ou de représentant, d’héritière ou d’héritier ou de successible de cette dernière, à titre de liquidatrice ou de liquidateur de la succession, à titre de bénéficiaire d’assurance vie ou d’indemnité de décès, à titre de titulaire de l’autorité parentale même si l’enfant mineur est décédé ou à titre de conjointe ou de conjoint ou de proche parent d’une personne décédée.

Cette demande doit être adressée à Alexandra Petrovic, personne responsable de la protection des renseignements personnels de la Corporation qui peut être jointe à l’adresse courriel suivante : alexandra.petrovic@bdeb.qc.ca. La demande doit fournir suffisamment d’indications précises pour permettre à la Corporation de la traiter.

La Corporation doit, lorsqu’elle accède à une demande de rectification d’un fichier, délivrer sans frais à la personne qui l’a faite une copie de tout renseignement personnel modifié ou ajouté, ou, selon le cas, une attestation du retrait d’un renseignement personnel.

Lorsque la Corporation refuse en tout ou en partie d’accéder à une demande de rectification d’un fichier, la personne concernée peut exiger que cette demande soit enregistrée.

La personne responsable de la protection des renseignements personnels doit répondre au plus tard dans les trente (30) jours qui suivent la date de la réception d’une demande.

Si la personne qui fait la demande n’est pas satisfaite de la décision de la Corporation, elle peut saisir la Commission d’accès à l’information de cette décision en faisant une demande d’examen de mésentente relative à l’application d’une disposition législative portant sur l’accès. Cette demande doit être faite dans les trente (30) jours qui suivent la date de la décision ou de l’expiration du délai prévu à la Loi sur le privé pour répondre à la demande.

 

10. Gestion des incidents de confidentialité

10.1. Traitement d’un incident de confidentialité

Lorsque la Corporation a des motifs de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel qu’elle détient, elle doit prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent, ce qui peut inclure la sanction des individus en cause.

La Corporation peut également aviser toute personne ou tout organisme susceptibles de diminuer ce risque en ne lui communiquant que les renseignements personnels nécessaires à cette fin sans le consentement de la personne concernée. Dans ce dernier cas, Alexandra Petrovic, personne responsable de la protection des renseignements personnels à la Corporation doit enregistrer la communication au registre des incidents de confidentialité.

Si l’incident de confidentialité présente un risque qu’un préjudice sérieux soit causé, la Corporation doit, avec diligence, en aviser la Commission d’accès à l’information. Il doit également aviser toute personne dont un renseignement personnel est concerné par l’incident.

Afin d’évaluer le risque qu’un préjudice soit causé à une personne dont un renseignement personnel est concerné par un incident de confidentialité, la Corporation doit considérer, notamment :

  • La sensibilité du renseignement concerné;
  • Les conséquences appréhendées de son utilisation; et
  • La probabilité qu’il soit utilisé à des fins préjudiciables.

La Corporation doit également consulter la personne responsable de la protection des renseignements personnels.

10.2. Registre des incidents de confidentialité

La personne responsable de la protection des renseignements personnels tient un registre des incidents de confidentialité.

Celui-ci contient, notamment :

  • Une description des renseignements personnels visés par l’incident;
  • Les circonstances de l’incident;
  • La date où l’incident a eu lieu;
  • La date où la personne responsable de la protection des renseignements personnels a eu connaissance de l’incident;
  • Le nombre de personnes visées;
  • L’évaluation de la gravité du risque de préjudice;
  • S’il existe un risque de préjudice sérieux pour la personne concernée, les dates de transmission des avis; et
  • Les mesures prises en réaction à l’incident.

 

11. Processus de traitement des plaintes relatives à la protection des renseignements personnels

11.1.Dépôt d’une plainte relative à la protection des renseignements personnels

Toute personne qui a des motifs de croire qu’un incident de confidentialité s’est produit et que la Corporation a fait défaut de protéger la confidentialité des renseignements personnels qu’elle détient peut déposer une plainte pour demander que la situation soit corrigée.

La plainte doit être déposée par écrit et comporter une description de l’incident, la date ou la période où l’incident s’est produit, la nature des renseignements personnels visés par l’incident et le nombre de personnes concernées.

La plainte doit être adressée au responsable de la protection des renseignements personnels.

Dans le cas où la plainte met en cause la conduite de la personne responsable de la protection des renseignements personnels, celle-ci doit être adressée à la présidente-directrice générale ou au président-directeur général de la Corporation.

11.2. Traitement de la plainte

La personne responsable de la protection des renseignements personnels ou la présidente-directrice générale ou au président-directeur général, le cas échéant, a la responsabilité de traiter la plainte dans les trente (30) jours qui suivent la date de la réception d’une demande. Dans le cas où celle-ci s’avère fondée, la Corporation prend les mesures requises pour corriger la situation dans les meilleurs délais conformément au paragraphe 11.1 de la présente politique et procède à l’inscription de l’incident au registre, comme indiqué au paragraphe

 

12. Vidéosurveillance

La Corporation ne dispose pas de système de vidéosurveillance. Cependant, le Collège de Bois-de-Boulogne dispose de système de vidéosurveillance. Nous vous invitons à lire l’article 14 de la Directive de protection des renseignements personnels disponible sur le site internet du Collège (directive_prp_20230920_adoptee-2.pdf (bdeb.qc.ca)).

 

13. Projets de système d’information ou de prestation électronique de services impliquant des renseignements personnels

La Corporation procède à une évaluation des facteurs relatifs à la vie privée pour tout projet d’acquisition, de développement ou de refonte d’un système d’information ou d’une prestation électronique de services qui impliquerait la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels.

En ce qui concerne l’évaluation des facteurs relatifs à la vie privée, la Corporation consulte, dès le début du projet, la personne responsable de la protection des renseignements personnels.

 

14. Rôles et responsabilités

Les rôles et les responsabilités des divers intervenants tout au long du cycle de vie du renseignement personnel (de la collecte à la destruction) sont les suivants :

14.1.Direction générale

  • Diffusion de la politique sur les sites Internet de la Corporation.

14.2. Responsable de la protection des renseignements personnels

Dans le cadre de ses responsabilités, elle effectue:

  • La réception de toute plainte relative à la protection des renseignements personnels;
  • Le traitement des demandes d’accès à des renseignements personnels;
  • La gestion des incidents de confidentialité;
  • La mise en œuvre des obligations relatives à la protection des renseignements personnels.

14.3. Le personnel

  • Faire des efforts raisonnables pour minimiser le risque de divulgation non intentionnelle de renseignements personnels;
  • Prendre des précautions particulières pour s’assurer que les renseignements personnels ne sont pas surveillés, entendus, consultés ou perdus lorsqu’elles travaillent dans des locaux autres que les bureaux de la Corporation;
  • Se conformer à la présente politique;
  • Prendre des mesures raisonnables pour protéger les renseignements personnels lorsqu’elles se déplacent d’un endroit à l’autre.

 

15. Activités de formation et de sensibiliation offerte par l’organisme à son personnel

Conformément à la Loi sur le privé, la Corporation offre régulièrement des activités de formation et de sensibilisation en matière de protection des renseignements personnels.

 

16. Sanctions applicables en cas de non-respect

Le non-respect de la présente politique pourrait entraîner des mesures administratives ou disciplinaires pouvant aller jusqu’au congédiement. La nature, la gravité et le caractère répétitif des actes reprochés seront considérés au moment de déterminer une sanction.

Dans le cadre de ses relations contractuelles avec un tiers, la Corporation peut mettre fin à tout contrat sans préavis pour non-respect de la présente politique. Celle-ci sera présentée à tous les tiers contractants avec la Corporation, lesquels devront s’engager, par écrit, à s’y conformer.

 

17. Entrée en vigueur

La présente procédure entre en vigueur au moment de son adoption.