Politique concernant la gouvernance des renseignements personnels
Vivre 100 Fibromes
Adoptée par le Conseil d’administration le 5 janvier 2024
Ratifiée par l’Assemblée générale des membres le 24 juin 2024
L’utilisation du masculin pour désigner des personnes a pour but d’alléger le texte et n’a aucune intention discriminatoire.
Préambule
Conformément à sa mission et à ses valeurs, et en vue d’améliorer ses interventions et services dans la communauté, Vivre 100 Fibromes (ci-après « l’organisme ») a adopté la présente Politique, dont l’objectif est d’établir des pratiques uniformes et rigoureuses au regard du droit de chacun au respect de sa vie privée et des dispositions de la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c P-39.1 (ci-après la « Loi »).
La présente Politique établit notamment des pratiques quant à la collecte, la communication, l’utilisation, la conservation et la destruction des renseignements personnels détenus par l’organisme, de même qu’une procédure en cas de communication ou d’utilisation non autorisée des renseignements personnels, le tout dans le respect des lettres patentes, des règlements généraux, du Code de conduite et des autres politiques de l’organisme.
Définitions
- Une « personne de l’organisme » inclut tout membre (de toute catégorie et incluant les personnes morales), administrateur, officier, employé, bénévole, ainsi que toute autre personne impliquée au sein de l’organisme.
- Un « renseignement personnel » est une donnée concernant une personne physique et permettant de l’identifier, incluant son nom, son adresse, son adresse courriel, ses antécédents médicaux, son numéro d’assurance-maladie, son numéro d’assurance sociale, sa nationalité, son origine ethnique, sa religion, son âge, son état civil, etc.
- Une « personne concernée » est une personne physique sur laquelle portent des renseignements personnels.
- Une « personne autorisée » est une personne physique qui agit à titre de titulaire de l’autorité parentale ou d’autre représentant légal pour la personne concernée.
Lorsque la personne concernée est décédée, une personne autorisée peut inclure une personne physique qui agit à titre d’héritier, de successible, de liquidateur de la succession, de bénéficiaire de l’assurance-vie ou de bénéficiaire de l’indemnité de décès de la personne concernée.
En toutes circonstances, une personne autorisée doit être en mesure de présenter aux personnes de l’organisme les documents qui justifient sa qualité de personne autorisée.
Fonctions du responsable des ressources humaines
- Le Conseil d’administration désigne la personne responsable des ressources humaines (ci-après « le responsable ») afin d’accomplir les fonctions énoncées dans la présente Politique.
Si le responsable n’est pas en mesure d’accomplir ses fonctions ou si le poste de responsable est vacant, le Conseil d’administration pourra temporairement désigner toute autre personne compétente afin d’accomplir les fonctions énoncées dans la présente Politique.
Rien de ce qui précède n’empêche le Conseil d’administration de constituer un comité afin d’accomplir les fonctions énoncées dans la présente Politique, dans la mesure où le responsable préside ce comité.
- Le Conseil d’administration fournit au responsable la formation, les ressources et les outils nécessaires à l’accomplissement de ses fonctions.
- Le site internet de l’organisme indique les coordonnées du responsable, incluant son nom, son titre, son numéro de téléphone et son adresse courriel, et indique expressément que le responsable est la personne-contact en matière de protection des renseignements personnels. Le Conseil d’administration s’assure que ces renseignements soient tenus à jour.
- Le responsable accomplit ses fonctions en conformité avec les lettres patentes, les règlements généraux, le Code de conduite et les politiques de l’organisme.
- Le responsable s’assure que la présente Politique soit portée à l’attention de l’ensemble des personnes de l’organisme.
Il s’assure en outre que la présente Politique soit rendue publique sur le site internet de l’organisme et constamment mise à jour.
- Le responsable s’assure que l’organisme respecte le droit de chacun au respect de sa vie privée et assure la protection des renseignements personnels détenus par l’organisme.
- Le responsable identifie les personnes de l’organisme qui sont appelées à collecter, communiquer, utiliser, conserver ou détruire des renseignements personnels dans l’accomplissement de leurs fonctions et assure un suivi avec elles afin de veiller au respect de la présente Politique.
- Le responsable s’assure que l’ensemble des dossiers contenant des renseignements personnels soient informatisés, centralisés et stockés sur une plate-forme infonuagique.
Il s’assure en outre que les renseignements et les documents consignés aux dossiers soient sauvegardés dans un format technologique structuré et couramment utilisé, de manière à faciliter toute communication de ces renseignements conformément aux dispositions de la loi et de la présente Politique.
- Le responsable s’assure que les dispositifs de sécurité nécessaires soient mis en place afin que seules les personnes de l’organisme dont les fonctions requièrent l’accès à un dossier puissent effectivement accéder à ce dossier.
- Le responsable s’assure de traiter toute plainte en matière de protection des renseignements personnels conformément à la Procédure de traitement des plaintes.
- Le responsable tient un registre des incidents de communication ou d’utilisation non autorisée des renseignements personnels détenus par l’organisme.
- Le responsable est désigné pour représenter l’organisme dans toute communication, procédure ou démarche auprès de la Commission d’accès à l’information du Québec (ci-après la « Commission »).
Il doit en tout temps collaborer de bonne foi avec les employés et les représentants de la Commission.
- Les personnes de l’organisme collaborent avec le responsable dans la mise en œuvre de la présente Politique.
Elles informent sans délai le responsable lorsqu’elles ont des motifs raisonnables de croire que la présente Politique n’a pas été respectée ou si elles ont des doutes quant à leurs obligations en matière de protection des renseignements personnels.
Création et tenue des dossiers
- Les renseignements personnels détenus par l’organisme doivent être classés dans des dossiers, soit un dossier distinct par personne.
Les dossiers sont classés par catégorie (par ex. dossiers des employés, dossiers des membres, dossiers de demande d’informations ou de services, dossiers de plainte, etc.), puis en ordre alphabétique selon le nom de la personne concernée.
- Les personnes de l’organisme respectent le droit d’une personne concernée ou autorisée de ne pas communiquer les renseignements personnels de la personne concernée.
- Lorsqu’une personne concernée ou autorisée communique des renseignements personnels à une personne de l’organisme, et que l’organisme ne détient pas de dossier de la catégorie pertinente pour cette personne concernée, la personne de l’organisme informe immédiatement la personne concernée ou autorisée des éléments suivants :
(a) qu’un dossier sera ouvert au nom de la personne concernée, dans la mesure où la personne concernée ou autorisée y consent, afin d’y consigner les renseignements et les documents nécessaires à l’objet du dossier;
(b) de l’objet du dossier;
(c) des catégories de personnes de l’organisme qui auront accès au dossier (par ex. le responsable et les employés);
(d) du fait que les dossiers sont informatisés et stockés sur une plate-forme infonuagique;
(e) du fait que les renseignements au dossier ne seront pas utilisés à des fins non pertinentes à l’objet du dossier ou communiqués à autrui sans le consentement de la personne concernée ou autorisée;
(f) du droit de la personne concernée ou autorisée d’accéder au dossier; et
(g) du droit de la personne concernée ou autorisée de faire rectifier les renseignements contenus au dossier.
La personne de l’organisme doit obtenir le consentement de la personne concernée ou autorisée afin de créer un dossier au nom de la personne concernée et d’y consigner des renseignements personnels.
- La personne de l’organisme qui a obtenu le consentement de la personne concernée ou autorisée en vertu de l’article 20 ci-devant crée un dossier au nom de la personne concernée, y inscrit l’objet du dossier ainsi que sa date de création, et y consigne les renseignements qui sont nécessaires à son objet.
- Lorsqu’une personne concernée ou autorisée communique des renseignements personnels à une personne de l’organisme et qu’un dossier de même catégorie existe déjà au nom de la personne concernée, la personne de l’organisme y consigne directement les renseignements supplémentaires nécessaires à son objet.
- Sauf consentement écrit et signé par la personne concernée ou autorisée, ou dans les autres cas expressément prévus à l’article 6 de la Loi, les personnes de l’organisme refusent de créer un dossier sur la personne concernée si les renseignements personnels sont communiqués par une personne autre que la personne concernée ou autorisée.
Communication des renseignements personnels
- Les personnes de l’organisme s’assurent que toute communication des renseignements personnels détenus par l’organisme, ou toute utilisation de ces renseignements à des fins non pertinentes à l’objet du dossier, se fasse avec le consentement écrit de la personne concernée ou autorisée, sinon conformément aux exceptions expressément prévues aux articles 18 à 23 de la Loi.
Le formulaire de consentement doit indiquer les fins spécifiques pour lesquelles l’organisme est autorisé à communiquer ou à utiliser les renseignements personnels.
Dans le cas d’une communication de renseignements personnels, le formulaire de consentement doit en outre raisonnablement décrire les personnes destinées à les recevoir.
- Préalablement à toute communication de renseignements personnels, ou à toute utilisation de ces renseignements à des fins non pertinentes à l’objet du dossier, le responsable doit s’assurer que le formulaire de consentement soit signé et conforme, et doit approuver la communication ou l’utilisation des renseignements personnels.
- Dans les cas où la Loi autorise la communication ou l’utilisation de renseignements personnels sans le consentement de la personne concernée ou autorisée, le responsable doit préalablement approuver la communication ou l’utilisation des renseignements personnels, et agir de manière à limiter les impacts négatifs pour la personne concernée.
Pour chaque communication ou utilisation en vertu du paragraphe précédent, le responsable doit rédiger un rapport indiquant la nature des renseignements communiqués ou utilisés, la raison de leur communication ou de leur utilisation, les dispositions législatives pertinentes, les personnes auxquelles les renseignements ont été communiqués, les démarches entreprises afin de limiter les impacts négatifs de la communication ou de l’utilisation, ainsi que tout autre élément pertinent.
Demandes d’accès ou de rectification
- Toute demande d’accès à un dossier ou de rectification des renseignements ou documents contenus dans ce dossier est faite par écrit par une personne qui justifie son identité à titre de personne concernée ou autorisée.
- Le responsable permet à la personne qui dépose une demande d’accès conforme à l’article 27 ci-devant de consulter gratuitement le dossier concerné, et ce, dans un délai n’excédant pas dix (10) jours ouvrables à compter de la date de la demande.
Il lui transmet sur demande une copie physique ou numérique de tout renseignement ou document contenu à son dossier, moyennant les frais applicables (par ex. frais raisonnables de copie, frais postaux, etc.).
- Le responsable effectue les rectifications indiquées dans une demande de rectification, et ce, dans un délai n’excédant pas dix (10) jours ouvrables à compter de la date de la demande.
Il avise la personne ayant déposé la demande des ajouts ou modifications effectués au dossier en lui fournissant une copie de tout renseignement ajouté ou modifié, ou, dans le cas d’un retrait de renseignement, en lui fournissant une attestation de ce retrait.
- Le responsable doit rejeter les demandes qui ne sont pas conformes à l’article 27 ci-devant, ou qui doivent être rejetées selon les cas expressément prévus aux articles 37 à 41 de la Loi.
Elles avisent sans délai la personne ayant déposé la demande du rejet de celle-ci, des motifs du rejet, ainsi que de son droit de déposer une demande d’examen de mésentente à la Commission dans les trente (30) jours du rejet ou de l’expiration du délai prévu aux articles 28 ou 29 ci-devant.
Fermeture, conservation et destruction des dossiers
- Le responsable procède à la fermeture d’un dossier lorsque la personne concernée ou autorisée en fait la demande, lorsque l’objet du dossier est accompli, lorsque le dossier est inactif depuis plus d’un (1) an ou pour tout autre motif sérieux.
Il indique sur le dossier la date et le motif de la fermeture.
- Sous réserve de l’article 33 ci-après, tout dossier doit être conservé pendant au moins sept (7) ans à compter de sa date de fermeture, après quoi le responsable pourra en assurer la destruction.
- Le responsable procède dans les plus brefs délais à la destruction du dossier d’une personne concernée lorsque celle-ci ou une personne autorisée en demande la destruction par écrit.
Obligations en cas de communication ou d’utilisation non autorisée
- Toute personne de l’organisme qui a des motifs raisonnables de croire qu’un incident de communication ou d’utilisation non autorisée des renseignements personnels détenus par l’organisme est survenu en avise immédiatement le responsable.
Cependant, elle en avise plutôt le Conseil d’administration lorsqu’elle a des motifs raisonnables de croire que la communication ou l’utilisation est le fait du responsable lui-même. Le Conseil d’administration se substitue alors au responsable dans l’application des articles suivants, compte tenu des adaptations qui s’imposent.
- Le responsable crée un dossier distinct pour chaque incident et l’inclut au registre des incidents de communication ou d’utilisation non autorisée.
- Le responsable dispose de cinq (5) jours ouvrables pour faire les enquêtes et les vérifications nécessaires relativement à un incident et consigner ses observations au dossier.
- Si, au terme des enquêtes et des vérifications, le responsable est d’avis qu’un incident de communication ou d’utilisation non autorisée est bel et bien survenu, et que la personne concernée risque un préjudice sérieux en raison de cet incident, il en avise sans délai la personne concernée ou autorisée et la Commission par écrit.
Les conclusions du responsable ainsi qu’une copie des avis doivent être consignées au dossier.
- Le responsable prend les mesures raisonnables afin de mitiger le préjudice causé par l’incident et consigne ses démarches au dossier.
- Le responsable collabore avec la Commission, notamment en lui transmettant tout renseignement ou document pertinent, et en assurant la mise en œuvre de toute recommandation, instruction ou décision finale de la Commission à l’égard de l’organisme.