Préambule

Contexte légal

La présente politique s’inscrit dans le cadre de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (2021, chapitre 25), communément appelée « Loi 25 », qui a modifié la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (RLRQ, c. A-2.1) et la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, c. P-39.1).

 

Cette politique vise à assurer la conformité de l’Établissement avec les exigences légales en matière de protection des renseignements personnels, notamment celles qui sont entrées en vigueur le 22 septembre 2022 et le 22 septembre 2023.

 

Engagement de l’Établissement

 

L’École Supérieure Internationale de Montréal s’engage à protéger la vie privée et les renseignements personnels de tous les membres de sa communauté éducative, incluant les étudiants, le personnel enseignant et administratif, ainsi que les partenaires externes.

 

Nous reconnaissons l’importance fondamentale du droit à la vie privée et nous nous engageons à mettre en œuvre les mesures nécessaires pour assurer la confidentialité, l’intégrité et la disponibilité des renseignements personnels que nous collectons, utilisons, conservons et communiquons dans le cadre de nos activités.

 

Portée de la politique

 

La présente politique s’applique à l’ensemble des renseignements personnels détenus par l’Établissement, quel que soit leur format (papier, numérique ou autre) ou leur lieu de conservation. Elle concerne toutes les personnes qui, dans l’exercice de leurs fonctions ou de leurs responsabilités, collectent, utilisent, conservent ou communiquent des renseignements personnels, incluant :

 

– Les membres de la direction

– Le personnel administratif

– Le personnel enseignant

– Les professionnels et techniciens

– Les fournisseurs de services et partenaires externes agissant pour le compte de l’Établissement

– Les étudiants dans le cadre de leurs activités liées à l’Établissement

 

Cette politique s’applique à toutes les activités impliquant le traitement de renseignements personnels, notamment :

 

– L’admission et l’inscription des étudiants

– La gestion des dossiers académiques

– La gestion des ressources humaines

– Les services aux étudiants

– Les activités de recherche

– Les relations avec les partenaires externes

– Les stages et le placement en emploi

– Les activités de communication et de promotion

 

Objectifs de la politique

 

La présente politique vise à :

 

1. Établir un cadre de gouvernance clair en matière de protection des renseignements personnels
2. Définir les rôles et responsabilités des différents intervenants
3. Établir des règles et des procédures concernant la collecte, l’utilisation, la conservation et la communication des renseignements personnels
4. Assurer la transparence des pratiques de l’Établissement en matière de protection des renseignements personnels
5. Permettre aux personnes concernées d’exercer leurs droits d’accès, de rectification et de retrait du consentement
6. Prévenir les incidents de confidentialité et établir des procédures de gestion en cas d’incident
7. Promouvoir une culture organisationnelle respectueuse de la vie privée et de la protection des renseignements personnels

DÉFINITIONS ET TERMES CLÉS

 

Pour l’application de la présente politique, les termes suivants sont définis comme suit :

 

Renseignement personnel : Tout renseignement qui concerne une personne physique et permet de l’identifier, directement ou indirectement. Cela inclut, sans s’y limiter, le nom, l’adresse, le numéro de téléphone, l’adresse courriel, le numéro d’assurance sociale, la date de naissance, les renseignements bancaires, les renseignements médicaux, les résultats scolaires et les évaluations.

 

Renseignement personnel sensible : Renseignement qui, de par sa nature ou en raison du contexte de son utilisation ou de sa communication, suscite un haut degré d’attente raisonnable en matière de vie privée. Cela inclut notamment les renseignements médicaux, biométriques, génétiques, les informations relatives à l’orientation sexuelle, aux opinions politiques, aux convictions religieuses ou à l’appartenance syndicale.

 

Personne concernée : Personne physique à qui se rapportent les renseignements personnels, notamment les étudiants, les membres du personnel et les partenaires externes.

 

Consentement : Manifestation de volonté libre, éclairée, spécifique et donnée à des fins précises, par laquelle la personne concernée accepte que des renseignements personnels la concernant soient recueillis, utilisés, conservés ou communiqués.

 

Responsable de la protection des renseignements personnels : Personne désignée par la plus haute autorité au sein de l’Établissement pour veiller à la protection des renseignements personnels et à l’application de la présente politique.

 

Comité sur l’accès à l’information et la protection des renseignements personnels : Comité constitué au sein de l’Établissement pour soutenir le responsable de la protection des renseignements personnels dans l’exercice de ses responsabilités.

 

Incident de confidentialité : Accès, utilisation, communication non autorisée par la loi d’un renseignement personnel ou perte d’un tel renseignement. Cela inclut notamment :

– L’accès non autorisé à un renseignement personnel

– L’utilisation non autorisée d’un renseignement personnel

– La communication non autorisée d’un renseignement personnel

– La perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement

 

Évaluation des facteurs relatifs à la vie privée (EFVP) : Processus d’analyse visant à évaluer les impacts d’un projet d’acquisition, de développement ou de refonte d’un système d’information ou de prestation électronique de services sur la protection des renseignements personnels.

 

Fins compatibles : Fins qui ont un lien direct et pertinent avec les fins pour lesquelles les renseignements personnels ont été recueillis initialement.

 

Dépersonnalisation: Processus par lequel les renseignements personnels sont modifiés de manière à ce qu’ils ne permettent plus d’identifier directement une personne.

 

Anonymisation: Processus irréversible par lequel les renseignements personnels sont modifiés de manière à ce qu’ils ne permettent plus d’identifier une personne par des moyens raisonnablement prévisibles et dans des circonstances raisonnablement prévisibles.

 

Tiers: Toute personne physique ou morale autre que la personne concernée, l’Établissement ou un membre de son personnel dans l’exercice de ses fonctions.

 

Fournisseur de services: Personne physique ou morale qui fournit des services à l’Établissement et qui, dans le cadre de ces services, peut avoir accès à des renseignements personnels ou doit en recueillir, en utiliser, en conserver ou en communiquer.

 

Registre des incidents de confidentialité: Document dans lequel sont consignés tous les incidents de confidentialité, qu’ils présentent ou non un risque de préjudice sérieux.

 

Préjudice sérieux: Conséquence négative significative qui pourrait résulter d’un incident de confidentialité, notamment en matière de réputation, de situation financière, de vie privée ou de sécurité physique ou psychologique.

 

 

PRINCIPES GÉNÉRAUX DE PROTECTION DES DONNÉES

 

L’Établissement adhère aux principes suivants en matière de protection des renseignements personnels, qui guident l’ensemble de ses pratiques et procédures :

 

Principe de responsabilité

 

L’Établissement est responsable des renseignements personnels qu’il détient, recueille, utilise, conserve ou communique. Il doit désigner une personne responsable de la protection des renseignements personnels et mettre en place des politiques et des pratiques destinées à assurer le respect des principes énoncés dans la présente politique.

 

Principe de finalité

 

Les renseignements personnels ne doivent être recueillis qu’à des fins déterminées, explicites et légitimes, et ne pas être traités ultérieurement d’une manière incompatible avec ces fins. L’Établissement doit déterminer et documenter les fins pour lesquelles les renseignements personnels sont recueillis avant ou au moment de la collecte.

 

Principe de nécessité et de proportionnalité

 

Seuls les renseignements personnels nécessaires aux fins déterminées peuvent être recueillis. L’Établissement doit limiter la collecte, l’utilisation, la communication et la conservation des renseignements personnels à ce qui est nécessaire pour réaliser les fins déterminées.

 

Principe de consentement

 

Le consentement de la personne concernée est requis pour la collecte, l’utilisation et la communication de ses renseignements personnels, sauf dans les cas où la loi prévoit une exception. Ce consentement doit être manifeste, libre, éclairé, donné à des fins spécifiques et pour une durée déterminée.

 

Principe de qualité des données

 

Les renseignements personnels doivent être exacts, complets et tenus à jour, compte tenu des fins pour lesquelles ils sont recueillis et utilisés. L’Établissement doit prendre des mesures raisonnables pour s’assurer que les renseignements personnels qu’il détient sont exacts et à jour.

 

Principe de transparence

 

L’Établissement doit faire preuve de transparence concernant ses politiques et ses pratiques relatives à la gestion des renseignements personnels. Les personnes concernées doivent pouvoir obtenir facilement des renseignements sur ces politiques et pratiques.

 

Principe de limitation de l’utilisation, de la communication et de la conservation

 

Les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles pour lesquelles ils ont été recueillis, à moins que la personne concernée n’y consente ou que la loi ne l’exige ou ne l’autorise. Les renseignements personnels ne doivent être conservés que pendant la durée nécessaire à la réalisation des fins déterminées.

 

Principe de sécurité

 

L’Établissement doit protéger les renseignements personnels au moyen de mesures de sécurité correspondant à leur sensibilité, afin de prévenir leur perte ou leur vol ainsi que tout accès, utilisation ou communication non autorisés.

 

Principe d’accès individuel

 

Toute personne a le droit d’être informée de l’existence de renseignements personnels la concernant, d’y avoir accès et de demander qu’ils soient corrigés s’ils sont inexacts, incomplets ou équivoques, ou si leur collecte, leur communication ou leur conservation ne sont pas autorisées par la loi.

 

Principe de non-discrimination

 

L’Établissement ne peut refuser d’accueillir une demande d’admission, de biens ou de services ni d’employer une personne en raison du refus de cette dernière de lui fournir un renseignement personnel, sauf si la collecte est nécessaire à la conclusion ou à l’exécution du contrat, si elle est autorisée par la loi ou s’il existe des motifs raisonnables de croire qu’une telle demande n’est pas licite.

 

Principe de responsabilité proactive

 

L’Établissement doit adopter une approche proactive en matière de protection des renseignements personnels, en intégrant des mesures de protection dès la conception des systèmes, des programmes et des pratiques, et en évaluant régulièrement l’efficacité de ces mesures.

 

 

GOUVERNANCE ET RESPONSABILITÉS

 

Responsable de la protection des renseignements personnels

Désignation

 

Conformément à la Loi 25, l’Établissement désigne la personne ayant la plus haute autorité au sein de l’Établissement comme responsable de la protection des renseignements personnels. Cette fonction peut être déléguée, par écrit, en tout ou en partie, à un membre du personnel de direction.

 

Les coordonnées du responsable de la protection des renseignements personnels sont communiquées à la Commission d’accès à l’information et rendues publiques sur le site Internet de l’Établissement.

 

Rôles et responsabilités

 

Le responsable de la protection des renseignements personnels a pour fonctions de :

 

1. Veiller à assurer le respect et la mise en œuvre de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels et de la présente politique
2. Approuver les règles de gouvernance à l’égard des renseignements personnels
3. Tenir les registres de communications de renseignements personnels sans le consentement de la personne concernée
4. Tenir le registre des incidents de confidentialité
5. Être consulté lors de l’évaluation des facteurs relatifs à la vie privée pour tout projet d’acquisition, de développement ou de refonte d’un système d’information ou de prestation électronique de services impliquant des renseignements personnels
6. Être avisé en cas d’incident de confidentialité survenu chez un mandataire ou un fournisseur de services
7. Répondre aux demandes de communication ou de rectification de renseignements personnels
8. Fournir des conseils et des orientations en matière de protection des renseignements personnels
9. Superviser la formation et la sensibilisation du personnel en matière de protection des renseignements personnels

 

Comité sur l’accès à l’information et la protection des renseignements personnels

 

Constitution

 

L’Établissement constitue un comité sur l’accès à l’information et la protection des renseignements personnels, conformément aux exigences de la Loi 25 pour les établissements agréés aux fins de subventions.

 

Composition

 

Le comité est composé des personnes suivantes :

– Le responsable de l’accès aux documents

– Le responsable de la protection des renseignements personnels

– Toute autre personne dont l’expertise est requise, incluant, le cas échéant, le responsable de la sécurité de l’information et le responsable de la gestion documentaire

 

Rôles et responsabilités

 

Le comité a pour fonctions de :

 

1. Soutenir l’Établissement dans l’exercice de ses responsabilités et l’exécution de ses obligations en matière de protection des renseignements personnels
2. Approuver les règles de gouvernance à l’égard des renseignements personnels
3. Être consulté lors des évaluations des facteurs relatifs à la vie privée
4. Examiner les incidents de confidentialité et recommander des mesures correctives
5. Examiner et recommander des politiques, des directives et des pratiques en matière de protection des renseignements personnels
6. Veiller à la mise en œuvre d’activités de formation et de sensibilisation

 

Direction de l’Établissement

 

La direction de l’Établissement a la responsabilité de :

 

1. Promouvoir une culture organisationnelle respectueuse de la vie privée et de la protection des renseignements personnels
2. Allouer les ressources nécessaires à la mise en œuvre de la présente politique
3. Veiller à ce que les obligations légales en matière de protection des renseignements personnels soient respectées
4. Approuver les politiques, les directives et les procédures en matière de protection des renseignements personnels
5. S’assurer que les contrats avec les fournisseurs de services incluent des clauses appropriées en matière de protection des renseignements personnels

 

Personnel de l’Établissement

 

Tous les membres du personnel de l’Établissement ont la responsabilité de :

 

1. Prendre connaissance de la présente politique et s’y conformer
2. Participer aux formations obligatoires en matière de protection des renseignements personnels
3. Collecter, utiliser, conserver et communiquer les renseignements personnels conformément à la présente politique et aux procédures en vigueur
4. Signaler immédiatement tout incident de confidentialité réel ou potentiel au responsable de la protection des renseignements personnels
5. Consulter le responsable de la protection des renseignements personnels en cas de doute sur l’application de la présente politique

 

Personnel enseignant

 

En plus des responsabilités générales du personnel, le personnel enseignant a la responsabilité de :

 

1. Assurer la confidentialité des renseignements personnels des étudiants, notamment les résultats scolaires, les évaluations et les informations personnelles partagées dans le cadre de la relation pédagogique
2. Utiliser les renseignements personnels des étudiants uniquement aux fins de l’enseignement, de l’évaluation et du suivi pédagogique
3. Obtenir l’autorisation préalable pour utiliser des renseignements personnels d’étudiants à des fins de recherche
4. Adopter des pratiques pédagogiques respectueuses de la vie privée des étudiants

 

Personnel administratif et de soutien

 

En plus des responsabilités générales du personnel, le personnel administratif et de soutien a la responsabilité de :

 

1. Appliquer les procédures établies pour la collecte, l’utilisation, la conservation et la communication des renseignements personnels
2. Assurer la sécurité physique et numérique des renseignements personnels auxquels ils ont accès
3. Vérifier l’identité des personnes avant de leur communiquer des renseignements personnels

 

Étudiants

 

Les étudiants ont la responsabilité de :

 

1. Prendre connaissance des informations mises à leur disposition concernant la protection des renseignements personnels
2. Respecter la confidentialité des renseignements personnels des autres étudiants et du personnel auxquels ils pourraient avoir accès
3. Signaler tout incident de confidentialité dont ils auraient connaissance

 

Fournisseurs de services et partenaires externes

 

Les fournisseurs de services et partenaires externes qui traitent des renseignements personnels pour le compte de l’Établissement ont la responsabilité de :

 

1. Respecter les clauses contractuelles relatives à la protection des renseignements personnels
2. Mettre en place des mesures de sécurité adéquates pour protéger les renseignements personnels
3. Signaler immédiatement à l’Établissement tout incident de confidentialité
4. Utiliser les renseignements personnels uniquement aux fins prévues au contrat
5. Retourner ou détruire de façon sécuritaire les renseignements personnels à la fin du contrat

 

 

COLLECTE DES RENSEIGNEMENTS PERSONNELS

 

Types de renseignements collectés

 

L’Établissement recueille différents types de renseignements personnels dans le cadre de ses activités, notamment :

 

Pour les étudiants :

– Renseignements d’identification (nom, prénom, date de naissance, etc.)

– Coordonnées (adresse, numéro de téléphone, adresse courriel, etc.)

– Numéro d’assurance sociale (pour fins fiscales uniquement)

– Renseignements académiques (diplômes antérieurs, résultats scolaires, etc.)

– Renseignements financiers (pour la facturation, les bourses, etc.)

– Renseignements médicaux (lorsque nécessaires pour des accommodements)

– Photographie (pour la carte étudiante)

– Enregistrements vidéo (caméras de surveillance, cours en ligne)

 

Pour le personnel :

– Renseignements d’identification

– Coordonnées

– Numéro d’assurance sociale

– Renseignements bancaires (pour la paie)

– Qualifications professionnelles et expérience

– Renseignements médicaux (pour les assurances et la gestion des absences)

– Évaluations de rendement

 

Pour les partenaires externes et fournisseurs :

– Renseignements d’identification des personnes-ressources

– Coordonnées professionnelles

– Renseignements financiers et bancaires

 

Finalités de la collecte

 

L’Établissement recueille des renseignements personnels uniquement pour des finalités déterminées, explicites et légitimes, notamment :

 

1. Gestion des admissions et des inscriptions
2. Administration des programmes d’études
3. Évaluation des apprentissages et suivi pédagogique
4. Gestion des stages et des placements en emploi
5. Gestion des ressources humaines
6. Gestion financière et comptable
7. Prestation de services aux étudiants
8. Sécurité des personnes et des biens
9. Communications institutionnelles
10. Statistiques et recherche institutionnelle
11. Respect des obligations légales et réglementaires

 

Limitation de la collecte

 

L’Établissement limite la collecte des renseignements personnels à ce qui est nécessaire aux finalités déterminées. Les principes suivants s’appliquent :

 

1. Seuls les renseignements nécessaires sont recueillis
2. Les méthodes de collecte sont légales et équitables
3. La collecte est effectuée directement auprès de la personne concernée, sauf exception prévue par la loi
4. Les renseignements sensibles font l’objet de mesures de protection accrues

 

Consentement

 

Principes généraux

 

L’Établissement doit obtenir le consentement de la personne concernée pour recueillir, utiliser ou communiquer ses renseignements personnels, sauf dans les cas où la loi prévoit une exception.

 

Le consentement doit être :

– Manifeste : évident, certain et indiscutable

– Libre : donné sans contrainte ou pression

– Éclairé : basé sur une information claire et compréhensible

– Spécifique : donné pour des finalités précises

– Limité dans le temps : valable pour une durée déterminée

 

Modalités du consentement

 

Le consentement peut être donné par écrit, verbalement ou par tout autre moyen permettant d’en établir la manifestation. Pour les renseignements personnels sensibles, le consentement doit être donné expressément.

 

Lorsque le consentement est demandé par écrit, il doit être présenté distinctement de toute autre information communiquée à la personne concernée.

 

Consentement des mineurs

 

Pour les étudiants de moins de 14 ans, le consentement doit être obtenu du titulaire de l’autorité parentale ou du tuteur.

 

Pour les étudiants de 14 ans et plus, le consentement peut être donné par l’étudiant lui-même, par le titulaire de l’autorité parentale ou par le tuteur.

 

Retrait du consentement

 

La personne concernée peut, en tout temps, retirer son consentement. Ce retrait ne peut toutefois pas être rétroactif et n’affecte pas les renseignements déjà recueillis, utilisés ou communiqués avec consentement.

 

L’Établissement informe la personne concernée des conséquences d’un tel retrait, notamment sur sa capacité à fournir les services demandés.

 

Collecte directe et indirecte

 

Collecte directe

 

L’Établissement privilégie la collecte directe des renseignements personnels auprès de la personne concernée, notamment par le biais de :

– Formulaires d’admission et d’inscription

– Formulaires d’embauche

– Entretiens et rencontres

– Formulaires en ligne

– Sondages et questionnaires

 

Collecte indirecte

 

Dans certains cas, l’Établissement peut recueillir des renseignements personnels auprès de tiers, notamment :

– Établissements d’enseignement antérieurs (avec consentement)

– Employeurs précédents (avec consentement)

– Ministère de l’Éducation et de l’Enseignement supérieur

– Organismes gouvernementaux (dans les cas prévus par la loi)

 

Toute collecte indirecte doit être documentée et justifiée par une des exceptions prévues par la loi ou par le consentement de la personne concernée.

 

Information à la personne concernée

 

Lors de la collecte de renseignements personnels, l’Établissement informe la personne concernée :

1. Des fins auxquelles ces renseignements sont recueillis
2. Des moyens par lesquels les renseignements sont recueillis
3. Des droits d’accès et de rectification
4. De la possibilité de refuser de fournir les renseignements demandés et des conséquences d’un tel refus

 

Cette information est fournie de manière claire, accessible et adaptée au public visé.

 

 

UTILISATION DES RENSEIGNEMENTS PERSONNELS

 

Finalités d’utilisation

 

L’Établissement utilise les renseignements personnels uniquement pour les finalités déterminées au moment de leur collecte ou pour des finalités compatibles avec celles-ci. Les principales finalités d’utilisation sont les suivantes :

 

Pour les étudiants :

1. Gestion administrative : inscription, facturation, délivrance de documents officiels
2. Gestion pédagogique : organisation des cours, évaluation des apprentissages, suivi du cheminement scolaire
3. Services aux étudiants : orientation, aide financière, services adaptés, bibliothèque
4. Stages et placement : recherche de milieux de stage, placement en emploi
5. Communications : transmission d’informations importantes, invitations à des événements
6. Statistiques et recherche institutionnelle : amélioration des programmes et services, reddition de comptes

 

Pour le personnel :

1. Gestion des ressources humaines : embauche, rémunération, avantages sociaux, évaluation
2. Organisation du travail : attribution des tâches, horaires, perfectionnement
3. Communications internes : diffusion d’informations, convocations
4. Accès aux systèmes et locaux : attribution de droits d’accès, sécurité

 

Pour les partenaires externes et fournisseurs :

1. Gestion contractuelle : établissement et suivi des contrats
2. Communications : échanges d’informations, coordination des activités
3. Paiements : traitement des factures et paiements

 

Limitation de l’utilisation

 

L’Établissement s’engage à :

 

1. Utiliser les renseignements personnels uniquement pour les finalités déterminées ou compatibles
2. Limiter l’accès aux renseignements personnels aux seules personnes qui ont besoin d’y avoir accès dans l’exercice de leurs fonctions
3. N’utiliser que les renseignements personnels nécessaires à l’accomplissement des finalités déterminées
4. Cesser d’utiliser les renseignements personnels lorsque les finalités pour lesquelles ils ont été recueillis sont accomplies, sauf consentement de la personne concernée ou autorisation légale

 

Utilisation compatible

 

Une utilisation est considérée comme compatible avec les finalités initiales lorsqu’elle :

 

1. A un lien direct et pertinent avec les finalités initiales
2. Correspond aux attentes raisonnables de la personne concernée
3. N’entraîne pas de risques disproportionnés pour la vie privée de la personne concernée

 

Avant d’utiliser des renseignements personnels pour une finalité compatible, l’Établissement évalue :

– Le lien entre la nouvelle finalité et la finalité initiale

– Le contexte dans lequel les renseignements ont été recueillis

– La nature des renseignements personnels concernés

– Les conséquences possibles de l’utilisation envisagée pour la personne concernée

– L’existence de mesures de protection appropriées

 

Utilisation à des fins de recherche ou statistiques

 

L’Établissement peut utiliser des renseignements personnels à des fins d’étude, de recherche ou de production de statistiques sans le consentement de la personne concernée, à condition que :

 

1. Ces fins ne permettent pas d’identifier la personne concernée
2. Les renseignements soient dépersonnalisés
3. L’utilisation soit nécessaire à ces fins
4. Les renseignements ne soient pas utilisés pour prendre une décision relative à la personne concernée

 

Toute utilisation de renseignements personnels à des fins de recherche doit être préalablement approuvée par le responsable de la protection des renseignements personnels et, le cas échéant, par le comité d’éthique de la recherche.

 

Profilage et prise de décision automatisée

 

L’Établissement n’utilise pas de processus décisionnel automatisé ni de profilage pour prendre des décisions produisant des effets juridiques concernant les personnes ou les affectant de manière significative.

 

Si de tels processus devaient être mis en place à l’avenir, l’Établissement s’engage à :

1. Informer préalablement les personnes concernées
2. Expliquer la logique sous-jacente au traitement automatisé
3. Prévoir une intervention humaine dans le processus décisionnel
4. Permettre à la personne concernée de contester la décision

 

Registre des activités de traitement

 

L’Établissement tient un registre documentant l’ensemble des utilisations de renseignements personnels, précisant pour chaque utilisation :

1. Les catégories de renseignements personnels concernés
2. Les finalités de l’utilisation
3. Les catégories de personnes ayant accès aux renseignements
4. La durée de conservation prévue
5. Les mesures de sécurité appliquées

 

Ce registre est mis à jour régulièrement et peut être consulté par le responsable de la protection des renseignements personnels et le comité sur l’accès à l’information et la protection des renseignements personnels.

 

 

CONSERVATION DES RENSEIGNEMENTS PERSONNELS

 

Durée de conservation

 

L’Établissement conserve les renseignements personnels uniquement pendant la durée nécessaire à la réalisation des finalités pour lesquelles ils ont été recueillis ou pour se conformer aux exigences légales et réglementaires.

 

Principes généraux de conservation

 

1. Les renseignements personnels sont conservés aussi longtemps que nécessaire pour accomplir les finalités déterminées
2. Une fois ces finalités accomplies, les renseignements doivent être détruits ou anonymisés, sauf si leur conservation est requise par la loi
3. Des durées de conservation spécifiques sont établies pour chaque catégorie de renseignements personnels
4. Ces durées sont documentées dans un calendrier de conservation

 

Durées de conservation spécifiques

 

L’Établissement établit des durées de conservation spécifiques pour les principales catégories de renseignements personnels, notamment :

 

Pour les dossiers étudiants :

– Dossier académique permanent (relevés de notes, diplômes) : conservation permanente

– Documents d’admission : 5 ans après la fin des études

– Travaux et examens : 1 an après la fin du cours

– Données financières : 7 ans (exigence fiscale)

– Correspondance administrative : 3 ans

 

Pour les dossiers du personnel :

– Dossier d’employé : 75 ans après la date de naissance ou 6 ans après le décès

– Dossier de paie : 7 ans (exigence fiscale)

– Candidatures non retenues : 1 an

– Dossiers disciplinaires : 5 ans après la fin de l’emploi

 

Pour les fournisseurs et partenaires :

– Contrats : 7 ans après la fin du contrat

– Factures et paiements : 7 ans (exigence fiscale)

– Correspondance : 3 ans

 

Calendrier de conservation

 

L’Établissement élabore et tient à jour un calendrier de conservation qui :

1. Identifie les catégories de renseignements personnels détenus
2. Détermine les durées de conservation applicables
3. Précise le support de conservation (papier, numérique)
4. Indique le sort final des documents (destruction ou conservation permanente)
5. Identifie les personnes responsables de l’application du calendrier

 

Le calendrier de conservation est révisé périodiquement pour tenir compte des changements législatifs et des besoins opérationnels.

 

Sécurité pendant la conservation

 

Mesures de sécurité physiques

 

Pour les renseignements personnels conservés sur support papier, l’Établissement met en place les mesures suivantes :

1. Conservation dans des locaux à accès restreint
2. Utilisation de classeurs verrouillés
3. Contrôle des accès aux zones de conservation
4. Protection contre les risques environnementaux (incendie, dégât d’eau, etc.)

 

Mesures de sécurité techniques

 

Pour les renseignements personnels conservés sur support numérique, l’Établissement met en place les mesures suivantes :

1. Chiffrement des données sensibles
2. Contrôle des accès par authentification
3. Journalisation des accès
4. Sauvegarde régulière des données
5. Protection contre les logiciels malveillants
6. Mises à jour de sécurité des systèmes

 

Destruction sécuritaire

 

Principes de destruction

 

Lorsque les renseignements personnels ont atteint leur durée de conservation ou ne sont plus nécessaires aux finalités pour lesquelles ils ont été recueillis, l’Établissement procède à leur destruction de manière sécuritaire, en respectant les principes suivants :

1. La destruction doit être irréversible
2. La méthode de destruction doit être adaptée au support et à la sensibilité des renseignements
3. La destruction doit être documentée

 

Méthodes de destruction

 

Pour les documents papier :

– Déchiquetage sécurisé

– Incinération

– Recours à un fournisseur spécialisé en destruction de documents

 

Pour les supports numériques :

– Effacement sécurisé des données

– Destruction physique des supports de stockage en fin de vie

– Dépersonnalisation ou anonymisation des données

 

Documentation de la destruction

 

L’Établissement tient un registre des destructions de renseignements personnels, indiquant :

1. La description des renseignements détruits
2. La date de destruction
3. La méthode de destruction utilisée
4. La personne responsable de la destruction
5. Les témoins de la destruction, le cas échéant

 

Conservation par des tiers

 

Lorsque l’Établissement confie la conservation de renseignements personnels à un tiers :

1. Un contrat écrit doit être conclu, précisant les obligations du tiers en matière de protection des renseignements personnels
2. Le tiers doit offrir des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées
3. Le tiers doit s’engager à ne pas utiliser les renseignements à d’autres fins que la conservation
4. Le tiers doit s’engager à détruire les renseignements de façon sécuritaire à la fin du contrat
5. L’Établissement demeure responsable des renseignements confiés au tiers

 

Évaluation périodique des pratiques de conservation

 

L’Établissement procède périodiquement à une évaluation de ses pratiques de conservation afin de :

1. Vérifier le respect des durées de conservation établies
2. Identifier les renseignements qui doivent être détruits
3. Évaluer l’efficacité des mesures de sécurité
4. Mettre à jour le calendrier de conservation si nécessaire

 

Cette évaluation est effectuée au moins une fois par année sous la supervision du responsable de la protection des renseignements personnels.

 

 

COMMUNICATION DES RENSEIGNEMENTS PERSONNELS

 

Communication avec consentement

 

Principes généraux

 

L’Établissement ne communique des renseignements personnels à des tiers qu’avec le consentement de la personne concernée, sauf dans les cas où la loi prévoit une exception.

 

Le consentement à la communication doit être :

– Manifeste

– Libre

– Éclairé

– Donné à des fins spécifiques

– Limité dans le temps

 

Avant de communiquer des renseignements personnels avec consentement, l’Établissement s’assure que :

1. Le consentement est valide et n’a pas été retiré
2. Seuls les renseignements nécessaires aux fins spécifiées sont communiqués
3. Le destinataire s’engage à n’utiliser les renseignements que pour les fins pour lesquelles ils lui sont communiqués
4. Des mesures de sécurité appropriées sont en place pour la transmission des renseignements

 

Demandes de consentement

 

Lorsque l’Établissement demande le consentement d’une personne pour communiquer ses renseignements personnels, il l’informe :

1. Des renseignements spécifiques qui seront communiqués
2. Des personnes ou catégories de personnes qui recevront ces renseignements
3. Des fins pour lesquelles ces renseignements seront utilisés
4. De la durée de validité du consentement
5. Des moyens mis à sa disposition pour retirer son consentement

 

Communication sans consentement

 

L’Établissement peut communiquer des renseignements personnels sans le consentement de la personne concernée uniquement dans les cas prévus par la loi, notamment :

 

1. À une personne ou un organisme qui, en vertu de la loi, est autorisé à exiger la communication de ces renseignements
2. Lorsque la communication est nécessaire à l’application d’une loi au Québec
3. À une personne ou un organisme si cette communication est nécessaire à l’exécution d’un mandat ou d’un contrat de service confié par l’Établissement à cette personne ou cet organisme
4. À toute personne ou organisme lorsque des circonstances exceptionnelles le justifient (risque sérieux de mort ou de blessures graves)
5. À des fins d’étude, de recherche ou de production de statistiques, si les renseignements sont dépersonnalisés
6. Lorsque la communication est manifestement au bénéfice de la personne concernée
7. Dans le cadre d’une entente conclue conformément à la loi

 

Toute communication sans consentement doit être documentée et justifiée par une des exceptions prévues par la loi.

 

Communication à des tiers fournisseurs de services

 

Évaluation préalable

 

Avant de communiquer des renseignements personnels à un fournisseur de services, l’Établissement procède à une évaluation préalable qui tient compte notamment :

1. De la sensibilité des renseignements
2. Des finalités pour lesquelles ces renseignements seront utilisés
3. Des mesures de protection que le fournisseur s’engage à mettre en place
4. Du pays où les renseignements seront détenus

 

Contrat écrit

 

La communication de renseignements personnels à un fournisseur de services doit faire l’objet d’un contrat écrit qui prévoit notamment :

1. Les finalités pour lesquelles les renseignements peuvent être utilisés
2. L’obligation de ne pas utiliser les renseignements à d’autres fins
3. L’obligation de ne pas communiquer les renseignements à des tiers sans autorisation
4. Les mesures de sécurité que le fournisseur s’engage à mettre en place
5. L’obligation d’aviser l’Établissement de tout incident de confidentialité
6. L’obligation de détruire les renseignements à la fin du contrat
7. Les pénalités en cas de manquement aux obligations contractuelles

 

Communication hors Québec

 

Évaluation des facteurs relatifs à la vie privée

 

Avant de communiquer des renseignements personnels à l’extérieur du Québec, l’Établissement procède à une évaluation des facteurs relatifs à la vie privée qui tient compte notamment :

1. De la sensibilité des renseignements
2. De la finalité de la communication
3. Des mesures de protection, y compris contractuelles, qui s’appliqueraient aux renseignements
4. Du régime juridique applicable dans l’État où ces renseignements seraient communiqués, notamment les principes de protection des renseignements personnels qui y sont applicables

 

La communication ne peut avoir lieu que si l’évaluation démontre que les renseignements bénéficieraient d’une protection équivalente à celle prévue par la législation québécoise.

 

Documentation de l’évaluation

 

L’évaluation des facteurs relatifs à la vie privée pour la communication hors Québec doit être documentée et conservée aussi longtemps que les renseignements sont communiqués hors Québec.

 

Registre des communications

 

L’Établissement tient un registre des communications de renseignements personnels effectuées sans le consentement des personnes concernées, indiquant :

1. La date de la communication
2. La nature des renseignements communiqués
3. La personne ou l’organisme qui a reçu la communication
4. La fin pour laquelle les renseignements ont été communiqués
5. Le motif justifiant la communication sans consentement

 

Ce registre est mis à la disposition de la Commission d’accès à l’information sur demande.

 

Vérification de l’identité

 

Avant de communiquer des renseignements personnels, l’Établissement vérifie l’identité de la personne à qui ces renseignements sont communiqués, en utilisant des moyens adaptés à la sensibilité des renseignements et au mode de communication.

 

Mesures de sécurité pour la transmission

 

L’Établissement met en place des mesures de sécurité appropriées pour la transmission des renseignements personnels, notamment :

1. Le chiffrement des données sensibles
2. L’utilisation de canaux de communication sécurisés
3. La vérification de l’intégrité des données transmises
4. La journalisation des transmissions

 

Transparence des pratiques de communication

 

L’Établissement fait preuve de transparence concernant ses pratiques de communication de renseignements personnels en :

1. Informant les personnes concernées des catégories de destinataires de leurs renseignements personnels
2. Publiant sur son site Internet sa politique de confidentialité
3. Répondant aux demandes d’information concernant la communication de renseignements personnels

 

 

MESURES DE SÉCURITÉ

 

Principes généraux

 

L’Établissement met en place des mesures de sécurité appropriées pour assurer la confidentialité, l’intégrité et la disponibilité des renseignements personnels qu’il détient. Ces mesures sont proportionnelles à la sensibilité des renseignements, aux finalités de leur utilisation, à leur quantité, à leur répartition et à leur support.

 

L’Établissement adopte une approche de sécurité à plusieurs niveaux, combinant des mesures administratives, techniques et physiques, et s’appuyant sur les meilleures pratiques en matière de sécurité de l’information.

 

Mesures administratives

 

Politiques et procédures

 

L’Établissement élabore et met en œuvre des politiques et des procédures de sécurité qui :

1. Définissent les rôles et les responsabilités en matière de sécurité
2. Établissent des règles d’accès aux renseignements personnels
3. Prévoient des procédures de gestion des incidents de sécurité
4. Encadrent l’utilisation des technologies de l’information
5. Définissent les exigences de sécurité applicables aux fournisseurs de services

 

Gestion des accès

 

L’Établissement met en place un système de gestion des accès qui :

1. Attribue des droits d’accès selon le principe du moindre privilège
2. Révise périodiquement les droits d’accès
3. Révoque promptement les accès lorsqu’ils ne sont plus nécessaires
4. Exige des authentifications fortes pour les accès aux renseignements sensibles
5. Journalise les accès aux systèmes contenant des renseignements personnels

 

Formation et sensibilisation

 

L’Établissement met en œuvre un programme de formation et de sensibilisation qui :

1. Informe le personnel des politiques et procédures de sécurité
2. Sensibilise aux risques liés à la protection des renseignements personnels
3. Forme aux bonnes pratiques en matière de sécurité
4. Prévoit des formations spécifiques pour les personnes ayant accès à des renseignements sensibles
5. Est mis à jour régulièrement pour tenir compte des nouvelles menaces

 

Gestion des fournisseurs

 

L’Établissement encadre ses relations avec les fournisseurs de services par :

1. Des clauses contractuelles relatives à la sécurité
2. Des évaluations de sécurité préalables
3. Des audits périodiques
4. Des ententes de confidentialité
5. Des procédures de notification en cas d’incident

 

Mesures techniques

 

Sécurité des systèmes

 

L’Établissement met en place des mesures de sécurité technique qui comprennent :

1. Des pare-feu et des systèmes de détection d’intrusion
2. Des logiciels antivirus et anti-maliciels tenus à jour
3. Des correctifs de sécurité appliqués régulièrement
4. Des systèmes d’authentification robustes (mots de passe complexes, authentification à facteurs multiples)
5. Le chiffrement des données sensibles, tant au repos qu’en transit
6. La segmentation des réseaux
7. Des sauvegardes régulières des données

 

Sécurité des applications

 

Pour les applications traitant des renseignements personnels, l’Établissement :

1. Intègre la sécurité dès la conception (security by design)
2. Effectue des tests de sécurité avant la mise en production
3. Procède à des analyses de vulnérabilités régulières
4. Applique le principe de minimisation des données
5. Met en place des mécanismes de journalisation et d’audit

 

Sécurité des appareils

 

L’Établissement sécurise les appareils utilisés pour accéder aux renseignements personnels par :

1. Le chiffrement des disques durs
2. Des politiques de mots de passe robustes
3. Des logiciels de sécurité à jour
4. Des mécanismes de verrouillage automatique
5. Des procédures de gestion des appareils mobiles
6. Des procédures d’effacement sécurisé en fin de vie

 

Mesures physiques

 

Sécurité des locaux

 

L’Établissement protège les locaux où sont conservés des renseignements personnels par :

1. Des contrôles d’accès physiques (cartes d’accès, serrures)
2. Des systèmes de surveillance (caméras, alarmes)
3. Des registres des visiteurs
4. Des zones à accès restreint pour les informations sensibles
5. Des mesures de protection contre les risques environnementaux (incendie, dégât d’eau)

 

Sécurité des documents papier

 

Pour les documents papier contenant des renseignements personnels, l’Établissement :

1. Utilise des classeurs et des armoires verrouillés
2. Applique une politique de bureau propre (clean desk policy)
3. Contrôle l’accès aux imprimantes, photocopieurs et télécopieurs
4. Met en place des procédures de destruction sécuritaire
5. Limite les impressions aux cas nécessaires

 

Sécurité des équipements

 

L’Établissement sécurise les équipements informatiques par :

1. Des mesures de protection physique contre le vol
2. Des procédures de maintenance sécurisée
3. Des contrôles d’accès aux salles de serveurs
4. Des alimentations électriques de secours
5. Des procédures de mise au rebut sécurisée

 

Surveillance et audit

 

Surveillance continue

 

L’Établissement met en place des mécanismes de surveillance continue qui comprennent :

1. La journalisation des activités sur les systèmes contenant des renseignements personnels
2. La surveillance des accès aux zones sécurisées
3. La détection des comportements anormaux ou suspects
4. L’analyse des journaux de sécurité
5. Des alertes en cas d’incident potentiel

 

Audits périodiques

 

L’Établissement procède à des audits périodiques de sécurité qui :

1. Évaluent l’efficacité des mesures de sécurité en place
2. Identifient les vulnérabilités et les risques
3. Vérifient la conformité aux politiques et procédures
4. Recommandent des améliorations
5. Font l’objet d’un suivi rigoureux

 

Gestion des incidents de sécurité

 

L’Établissement met en place une procédure de gestion des incidents de sécurité qui prévoit :

1. La détection rapide des incidents
2. L’évaluation de leur impact
3. L’endiguement pour limiter les dommages
4. La notification aux personnes concernées et aux autorités, si nécessaire
5. La mise en œuvre de mesures correctives
6. La documentation et l’analyse post-incident

 

Amélioration continue

 

L’Établissement s’engage dans une démarche d’amélioration continue de la sécurité par :

1. La veille technologique et réglementaire
2. L’analyse des incidents et des quasi-incidents
3. La mise à jour régulière des politiques et procédures
4. L’adaptation des mesures de sécurité à l’évolution des menaces
5. La participation à des communautés de pratique en sécurité de l’information

 

Évaluation des risques

 

L’Établissement procède périodiquement à une évaluation des risques liés à la protection des renseignements personnels, qui :

1. Identifie les actifs informationnels contenant des renseignements personnels
2. Évalue les menaces et les vulnérabilités
3. Analyse les impacts potentiels d’un incident
4. Détermine le niveau de risque
5. Identifie et priorise les mesures d’atténuation

 

Cette évaluation est mise à jour lors de changements significatifs dans les systèmes d’information ou l’environnement de l’Établissement.

 

 

INCIDENTS DE CONFIDENTIALITÉ

 

Définition d’un incident

 

Un incident de confidentialité désigne l’accès, l’utilisation ou la communication non autorisée par la loi de renseignements personnels, ainsi que la perte de tels renseignements ou toute autre atteinte à leur protection.

 

Les incidents de confidentialité peuvent notamment résulter de :

1. Un accès non autorisé à des renseignements personnels (intrusion, vol)
2. Une perte de renseignements personnels (perte d’un appareil, d’un document)
3. Une communication non autorisée de renseignements personnels (divulgation accidentelle, erreur d’envoi)
4. Une utilisation non autorisée de renseignements personnels (utilisation à des fins non prévues)
5. Une modification ou une altération non autorisée de renseignements personnels

 

Procédure de gestion des incidents

 

Détection et signalement

 

Tout membre du personnel qui constate ou soupçonne un incident de confidentialité doit immédiatement le signaler au responsable de la protection des renseignements personnels.

 

Le signalement doit inclure, dans la mesure du possible :

1. La date et l’heure de la découverte de l’incident
2. La description de l’incident
3. La nature des renseignements personnels concernés
4. Le nombre de personnes touchées
5. Les mesures prises immédiatement pour limiter les dommages

 

Évaluation initiale

 

Dès réception d’un signalement, le responsable de la protection des renseignements personnels procède à une évaluation initiale de l’incident pour :

1. Confirmer s’il s’agit bien d’un incident de confidentialité
2. Déterminer la nature et l’étendue de l’incident
3. Identifier les renseignements personnels concernés et les personnes touchées
4. Évaluer les risques immédiats
5. Déterminer les mesures d’urgence à prendre

 

Endiguement

 

Des mesures d’endiguement sont mises en œuvre sans délai pour :

1. Mettre fin à l’incident si celui-ci est en cours
2. Limiter la portée et les conséquences de l’incident
3. Récupérer les renseignements personnels, si possible
4. Préserver les preuves pour l’enquête
5. Prévenir de nouveaux incidents similaires

 

Évaluation du risque de préjudice

 

Le responsable de la protection des renseignements personnels, en collaboration avec le comité sur l’accès à l’information et la protection des renseignements personnels, évalue si l’incident présente un risque de préjudice sérieux pour les personnes concernées.

 

Cette évaluation tient compte notamment des facteurs suivants :

1. La sensibilité des renseignements concernés
2. Les conséquences appréhendées de leur utilisation
3. La probabilité qu’ils soient utilisés à des fins préjudiciables
4. Le nombre de personnes touchées

 

Un préjudice est considéré comme sérieux s’il peut entraîner notamment :

– Un vol d’identité

– Une fraude financière

– Une atteinte à la réputation

– Une humiliation

– Une atteinte à l’emploi ou aux perspectives professionnelles

– Une discrimination

– Un préjudice physique ou psychologique

 

Notification à la Commission d’accès à l’information

 

Si l’incident présente un risque de préjudice sérieux, le responsable de la protection des renseignements personnels avise la Commission d’accès à l’information dans les meilleurs délais.

 

L’avis à la Commission contient :

1. Une description des circonstances de l’incident
2. La date ou la période où l’incident s’est produit ou, si elle n’est pas connue, la date de sa découverte
3. La nature des renseignements personnels concernés
4. Le nombre de personnes touchées
5. Les mesures prises pour diminuer le risque de préjudice ou pour y remédier
6. Les mesures que l’Établissement propose de prendre pour informer les personnes concernées

 

Notification aux personnes concernées

 

Si l’incident présente un risque de préjudice sérieux, l’Établissement avise les personnes concernées dans les meilleurs délais.

 

L’avis aux personnes concernées contient :

1. Une description des circonstances de l’incident
2. La date ou la période où l’incident s’est produit ou, si elle n’est pas connue, la date de sa découverte
3. La nature des renseignements personnels concernés
4. Les mesures prises par l’Établissement pour diminuer le risque de préjudice
5. Les coordonnées d’une personne que les personnes concernées peuvent contacter pour obtenir plus d’information
6. Des conseils sur les mesures que les personnes concernées peuvent prendre pour réduire le risque de préjudice ou y remédier

 

L’avis est transmis directement aux personnes concernées par tout moyen permettant d’établir la preuve de sa transmission (courriel, lettre, téléphone). Si les circonstances le justifient, l’avis peut être publié par tout moyen permettant de joindre les personnes concernées.

 

Registre des incidents

 

L’Établissement tient un registre des incidents de confidentialité, qu’ils présentent ou non un risque de préjudice sérieux.

 

Ce registre contient pour chaque incident :

1. Une description des circonstances de l’incident
2. La date ou la période où l’incident s’est produit ou, si elle n’est pas connue, la date de sa découverte
3. La nature des renseignements personnels concernés
4. Le nombre de personnes touchées
5. L’évaluation du risque de préjudice
6. Les mesures prises pour diminuer le risque de préjudice ou pour y remédier
7. Le cas échéant, la date de la notification à la Commission d’accès à l’information et aux personnes concernées

 

Le registre est conservé pour une période minimale de cinq ans et peut être transmis à la Commission d’accès à l’information sur demande.

 

Analyse post-incident

 

Après la résolution d’un incident, le responsable de la protection des renseignements personnels, en collaboration avec le comité sur l’accès à l’information et la protection des renseignements personnels, procède à une analyse post-incident pour :

1. Déterminer les causes de l’incident
2. Évaluer la réponse à l’incident
3. Identifier les leçons apprises
4. Recommander des mesures correctives et préventives
5. Mettre à jour les politiques et procédures, si nécessaire

 

Un rapport d’analyse post-incident est préparé et présenté à la direction de l’Établissement.

 

Formation et sensibilisation

 

L’Établissement veille à ce que son personnel soit formé et sensibilisé à :

1. La reconnaissance des incidents de confidentialité
2. La procédure de signalement
3. Les mesures à prendre immédiatement en cas d’incident
4. L’importance de documenter les incidents
5. Les conséquences potentielles des incidents pour les personnes concernées et pour l’Établissement

 

Des exercices de simulation d’incidents peuvent être organisés périodiquement pour tester l’efficacité des procédures et familiariser le personnel avec les actions à entreprendre.

 

 

DROITS DES PERSONNES CONCERNÉES

 

L’Établissement reconnaît et respecte les droits des personnes concernées à l’égard de leurs renseignements personnels, conformément à la législation applicable.

 

Droit d’information

 

Information lors de la collecte

 

Lors de la collecte de renseignements personnels, l’Établissement informe la personne concernée :

1. Des fins auxquelles ces renseignements sont recueillis
2. Des moyens par lesquels les renseignements sont recueillis
3. Des droits d’accès et de rectification prévus par la loi
4. De son droit de retirer son consentement à la collecte, à l’utilisation ou à la communication de ces renseignements

 

Cette information est fournie en termes simples et clairs, de manière à être compréhensible pour la personne concernée.

 

Information sur demande

 

Sur demande, l’Établissement informe la personne concernée :

1. Des renseignements personnels qu’il détient à son sujet
2. Des catégories de personnes qui ont accès à ces renseignements au sein de l’Établissement
3. De la durée de conservation de ces renseignements
4. Des coordonnées du responsable de la protection des renseignements personnels

 

Droit d’accès

 

Principe général

 

Toute personne a le droit d’être informée de l’existence, dans un fichier de renseignements personnels, de renseignements la concernant et d’en recevoir communication.

 

Modalités d’exercice

 

Pour exercer son droit d’accès, la personne concernée doit :

1. Présenter une demande écrite au responsable de la protection des renseignements personnels
2. Fournir les informations nécessaires pour établir son identité
3. Préciser, si possible, la nature des renseignements recherchés et le fichier dans lequel ils pourraient se trouver

 

L’Établissement répond à la demande dans les 30 jours suivant sa réception. Ce délai peut être prolongé de 15 jours si nécessaire, avec avis au demandeur.

 

Forme de l’accès

 

L’accès aux renseignements personnels est gratuit. Toutefois, des frais raisonnables peuvent être exigés pour la transcription, la reproduction ou la transmission des renseignements.

 

Les renseignements sont communiqués dans une forme intelligible et sont accompagnés, si nécessaire, d’explications sur les termes techniques ou les codes utilisés.

 

Restrictions au droit d’accès

 

L’Établissement peut refuser l’accès à certains renseignements dans les cas prévus par la loi, notamment lorsque :

1. La divulgation révélerait des renseignements concernant un tiers qui n’a pas consenti à cette divulgation
2. La divulgation serait susceptible de nuire à une enquête en cours
3. La divulgation révélerait des renseignements protégés par le secret professionnel
4. La divulgation pourrait vraisemblablement porter atteinte à la sécurité d’une personne

 

En cas de refus, l’Établissement informe la personne concernée par écrit des motifs du refus et des recours dont elle dispose.

 

Droit de rectification

 

Principe général

 

Toute personne a le droit de faire corriger, dans un fichier de renseignements personnels, des renseignements la concernant qui sont inexacts, incomplets ou équivoques, ou dont la collecte, la communication ou la conservation ne sont pas autorisées par la loi.

 

Modalités d’exercice

 

Pour exercer son droit de rectification, la personne concernée doit :

1. Présenter une demande écrite au responsable de la protection des renseignements personnels
2. Fournir les informations nécessaires pour établir son identité
3. Préciser les renseignements à rectifier et, si possible, fournir les documents justificatifs

 

L’Établissement répond à la demande dans les 30 jours suivant sa réception. Ce délai peut être prolongé de 15 jours si nécessaire, avec avis au demandeur.

 

Traitement de la demande

 

Si la demande est fondée, l’Établissement :

1. Effectue sans frais la rectification demandée
2. Transmet une copie des renseignements rectifiés à toute personne à qui les renseignements ont été communiqués dans les six mois précédents
3. Informe la personne concernée des mesures prises

 

Si l’Établissement refuse la demande de rectification, il informe la personne concernée par écrit des motifs du refus et des recours dont elle dispose.

 

Droit de retrait du consentement

 

Principe général

 

Une personne peut, en tout temps, retirer son consentement à la collecte, à l’utilisation ou à la communication de ses renseignements personnels.

 

Modalités d’exercice

 

Pour exercer son droit de retrait du consentement, la personne concernée doit :

1. Présenter une demande écrite au responsable de la protection des renseignements personnels
2. Fournir les informations nécessaires pour établir son identité
3. Préciser la portée du retrait de consentement (collecte, utilisation ou communication spécifique)

 

L’Établissement répond à la demande dans les meilleurs délais et informe la personne concernée des conséquences du retrait, notamment sur sa capacité à fournir les services demandés.

 

Limites au retrait du consentement

 

Le retrait du consentement ne peut pas être rétroactif et n’affecte pas les renseignements déjà recueillis, utilisés ou communiqués avec consentement.

 

De plus, le retrait du consentement ne peut pas empêcher la collecte, l’utilisation ou la communication de renseignements personnels requise par la loi ou nécessaire à l’exécution d’un contrat en cours.

 

Droit à la portabilité des données

 

Principe général

 

Dans la mesure prévue par la loi, une personne a le droit de recevoir les renseignements personnels qu’elle a fournis à l’Établissement dans un format technologique structuré et couramment utilisé.

 

Modalités d’exercice

 

Pour exercer son droit à la portabilité des données, la personne concernée doit :

1. Présenter une demande écrite au responsable de la protection des renseignements personnels
2. Fournir les informations nécessaires pour établir son identité
3. Préciser les renseignements visés et le format souhaité

 

L’Établissement répond à la demande dans les 30 jours suivant sa réception, sous réserve des limitations techniques et légales applicables.

 

Droit de recours

 

Recours internes

 

En cas d’insatisfaction concernant le traitement d’une demande d’accès, de rectification ou de retrait du consentement, la personne concernée peut demander une révision de la décision auprès du comité sur l’accès à l’information et la protection des renseignements personnels.

 

Recours externes

 

La personne concernée peut également exercer les recours prévus par la loi, notamment :

1. Déposer une plainte auprès de la Commission d’accès à l’information
2. Demander à la Commission de réviser une décision de l’Établissement concernant l’accès ou la rectification
3. Intenter un recours en dommages-intérêts devant les tribunaux compétents

 

Procédure d’exercice des droits

 

Formulaires et ressources

 

L’Établissement met à la disposition des personnes concernées :

1. Des formulaires pour faciliter l’exercice de leurs droits
2. Des informations sur la procédure à suivre
3. Les coordonnées du responsable de la protection des renseignements personnels
4. Des ressources pour les aider à comprendre leurs droits

 

Ces ressources sont disponibles sur le site Internet de l’Établissement et auprès du bureau du responsable de la protection des renseignements personnels.

 

Assistance

 

Le responsable de la protection des renseignements personnels offre l’assistance nécessaire aux personnes qui souhaitent exercer leurs droits, notamment :

1. En les aidant à formuler leur demande
2. En les informant de la procédure applicable
3. En répondant à leurs questions
4. En les orientant vers les ressources appropriées

 

Délais de traitement

 

L’Établissement s’engage à traiter les demandes relatives aux droits des personnes concernées dans les délais suivants :

1. Demande d’accès : 30 jours (prolongeable de 15 jours si nécessaire)
2. Demande de rectification : 30 jours (prolongeable de 15 jours si nécessaire)
3. Demande de retrait du consentement : dans les meilleurs délais
4. Demande de portabilité des données : 30 jours

 

Registre des demandes

 

L’Établissement tient un registre des demandes d’accès, de rectification et de retrait du consentement, indiquant :

1. La date de réception de la demande
2. La nature de la demande
3. Les mesures prises pour y répondre
4. La date de la réponse
5. La décision rendue

 

Ce registre est confidentiel et n’est accessible qu’aux personnes autorisées.

 

 

ÉVALUATION DES FACTEURS RELATIFS À LA VIE PRIVÉE

 

Définition et objectifs

 

L’évaluation des facteurs relatifs à la vie privée (EFVP) est un processus d’analyse visant à évaluer les impacts d’un projet sur la protection des renseignements personnels et à déterminer les mesures nécessaires pour assurer le respect de la vie privée des personnes concernées.

 

Les objectifs de l’EFVP sont de :

1. Identifier et analyser les risques d’atteinte à la vie privée liés à un projet
2. Évaluer la conformité du projet aux exigences légales et réglementaires
3. Déterminer les mesures à mettre en place pour atténuer les risques identifiés
4. Documenter le processus d’analyse et les décisions prises
5. Démontrer la diligence raisonnable de l’Établissement en matière de protection des renseignements personnels

 

Circonstances nécessitant une évaluation

 

Conformément à la Loi 25, l’Établissement doit procéder à une EFVP dans les circonstances suivantes :

 

1. Acquisition, développement ou refonte de systèmes d’information : Tout projet d’acquisition, de développement ou de refonte d’un système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels.

 

2. Communication de renseignements personnels hors Québec : Avant de communiquer des renseignements personnels à l’extérieur du Québec, pour évaluer si ces renseignements bénéficieraient d’une protection adéquate dans l’État où ils seraient communiqués.

 

3. Communication de renseignements personnels sans consentement : Avant de communiquer des renseignements personnels sans le consentement des personnes concernées, lorsque cette communication est nécessaire à l’application d’une loi au Québec ou à l’extérieur du Québec.

 

4. Utilisation de technologies de surveillance : Avant de mettre en place des technologies de surveillance (caméras, systèmes de géolocalisation, etc.) susceptibles de porter atteinte à la vie privée des personnes.

 

5. Projets de recherche : Pour les projets de recherche impliquant la collecte, l’utilisation ou la communication de renseignements personnels.

 

6. Autres projets à risque élevé : Tout autre projet présentant un risque élevé d’atteinte à la vie privée, notamment en raison de la sensibilité des renseignements concernés, du nombre de personnes touchées ou des technologies utilisées.

 

Responsabilités

 

Responsable de la protection des renseignements personnels

 

Le responsable de la protection des renseignements personnels doit :

1. Être consulté dès le début de tout projet nécessitant une EFVP
2. Fournir des conseils et un soutien méthodologique pour la réalisation de l’EFVP
3. Examiner les résultats de l’EFVP et formuler des recommandations
4. S’assurer que les mesures recommandées sont mises en œuvre
5. Conserver la documentation relative aux EFVP

 

Comité sur l’accès à l’information et la protection des renseignements personnels

 

Le comité doit :

1. Être consulté lors de la réalisation des EFVP
2. Examiner les résultats des EFVP et formuler des avis
3. Recommander des mesures d’atténuation des risques
4. Assurer le suivi de la mise en œuvre des recommandations

 

Responsables de projets

 

Les responsables de projets doivent :

1. Identifier les projets nécessitant une EFVP
2. Consulter le responsable de la protection des renseignements personnels dès la phase de conception du projet
3. Fournir toutes les informations nécessaires à la réalisation de l’EFVP
4. Intégrer les recommandations issues de l’EFVP dans la planification et la mise en œuvre du projet
5. Documenter les mesures prises pour atténuer les risques identifiés

 

Procédure d’évaluation

 

Initiation

 

La procédure d’EFVP est initiée dès la phase de conception d’un projet visé par les circonstances mentionnées ci-dessus. Le responsable du projet remplit un formulaire préliminaire d’évaluation et le soumet au responsable de la protection des renseignements personnels.

 

Analyse préliminaire

 

Le responsable de la protection des renseignements personnels procède à une analyse préliminaire pour déterminer :

1. Si le projet nécessite effectivement une EFVP complète
2. L’ampleur et la profondeur de l’EFVP requise
3. Les ressources nécessaires pour réaliser l’EFVP
4. Le calendrier de réalisation

 

Réalisation de l’EFVP

 

La réalisation de l’EFVP comprend les étapes suivantes :

 

1. Description du projet :

   – Nature et objectifs du projet

   – Renseignements personnels concernés

   – Flux des renseignements personnels

   – Parties prenantes impliquées

   – Technologies utilisées

 

2. Analyse de nécessité et de proportionnalité :

   – Nécessité de la collecte, de l’utilisation ou de la communication des renseignements personnels

   – Proportionnalité par rapport aux objectifs poursuivis

   – Possibilité d’utiliser des renseignements dépersonnalisés ou anonymisés

 

3. Analyse de conformité :

   – Conformité aux principes de protection des renseignements personnels

   – Conformité aux exigences légales et réglementaires

   – Conformité aux politiques et procédures internes

 

4. Identification et évaluation des risques :

   – Identification des risques d’atteinte à la vie privée

   – Évaluation de la probabilité et de l’impact de chaque risque

   – Détermination du niveau de risque global

 

5. Détermination des mesures d’atténuation :

   – Mesures techniques

   – Mesures administratives

   – Mesures contractuelles

   – Mesures de formation et de sensibilisation

 

Consultation

 

Le responsable de la protection des renseignements personnels consulte le comité sur l’accès à l’information et la protection des renseignements personnels et, au besoin, d’autres parties prenantes (experts en sécurité, conseillers juridiques, etc.).

 

Rapport et recommandations

 

Un rapport d’EFVP est préparé, comprenant :

1. La description du projet
2. La méthodologie utilisée
3. Les résultats de l’analyse
4. Les risques identifiés et leur niveau
5. Les mesures d’atténuation recommandées
6. Les conclusions et recommandations finales

 

Approbation

 

Le rapport d’EFVP est soumis à l’approbation de la direction de l’Établissement, qui décide :

1. D’approuver le projet tel quel
2. D’approuver le projet sous réserve de la mise en œuvre des mesures recommandées
3. De demander des modifications au projet
4. De rejeter le projet si les risques sont jugés inacceptables

 

Mise en œuvre et suivi

 

Si le projet est approuvé :

1. Les mesures d’atténuation recommandées sont intégrées au plan de mise en œuvre du projet
2. Un plan de suivi est établi pour vérifier l’efficacité des mesures mises en place
3. Des évaluations périodiques sont prévues pour les projets à long terme ou en cas de modifications significatives

 

Documentation et conservation

 

Toute la documentation relative à l’EFVP est conservée par le responsable de la protection des renseignements personnels, notamment :

1. Le formulaire préliminaire d’évaluation
2. Les documents de travail et analyses
3. Le rapport final d’EFVP
4. Les décisions prises suite à l’EFVP
5. Les documents relatifs à la mise en œuvre des mesures recommandées
6. Les rapports de suivi et d’évaluation périodique

 

Cette documentation est conservée pendant toute la durée du projet et pour une période minimale de cinq ans après sa fin.

 

Révision et mise à jour

 

L’EFVP d’un projet doit être révisée et mise à jour dans les cas suivants :

1. Modification significative du projet
2. Changement dans la nature ou la quantité des renseignements personnels traités
3. Évolution du contexte légal ou réglementaire
4. Identification de nouveaux risques
5. Incident de confidentialité lié au projet

 

La révision de l’EFVP suit la même procédure que l’évaluation initiale.

 

 

FORMATION ET SENSIBILISATION

 

Importance de la formation

 

L’Établissement reconnaît que la protection des renseignements personnels repose en grande partie sur la sensibilisation et la formation de l’ensemble de son personnel. Une culture organisationnelle respectueuse de la vie privée constitue un élément essentiel de la conformité aux exigences légales et de la prévention des incidents de confidentialité.

 

La formation et la sensibilisation visent à :

1. Développer une compréhension commune des principes de protection des renseignements personnels
2. Faire connaître les obligations légales et les politiques internes
3. Promouvoir les bonnes pratiques en matière de traitement des renseignements personnels
4. Prévenir les incidents de confidentialité
5. Favoriser une culture de respect de la vie privée

 

Programme de formation

 

Formation initiale

 

Tout nouveau membre du personnel reçoit, dans le cadre de son intégration, une formation initiale sur la protection des renseignements personnels qui couvre :

1. Les principes fondamentaux de protection des renseignements personnels
2. Le cadre légal applicable (Loi 25 et autres lois pertinentes)
3. La présente politique et les procédures connexes
4. Les responsabilités spécifiques liées à sa fonction
5. Les bonnes pratiques à adopter au quotidien

 

Cette formation est adaptée au niveau de responsabilité et au type d’accès aux renseignements personnels de chaque catégorie de personnel.

 

Formation continue

 

L’Établissement offre un programme de formation continue qui comprend :

1. Des mises à jour annuelles sur les politiques et procédures
2. Des formations spécifiques lors de changements législatifs ou réglementaires
3. Des formations ciblées pour les personnes ayant des responsabilités particulières
4. Des formations de rappel suite à des incidents de confidentialité
5. Des formations sur les nouvelles menaces et les bonnes pratiques émergentes

 

Formations spécialisées

 

Des formations spécialisées sont offertes aux personnes qui :

1. Ont accès à des renseignements personnels sensibles
2. Sont responsables de systèmes d’information contenant des renseignements personnels
3. Participent à des projets nécessitant une évaluation des facteurs relatifs à la vie privée
4. Font partie du comité sur l’accès à l’information et la protection des renseignements personnels
5. Sont appelées à intervenir en cas d’incident de confidentialité

 

Activités de sensibilisation

 

Communications régulières

 

L’Établissement met en œuvre un programme de sensibilisation continue qui comprend :

1. Des bulletins d’information périodiques
2. Des affiches et des aide-mémoire dans les espaces de travail
3. Des messages de rappel sur les systèmes informatiques
4. Des capsules d’information lors des réunions d’équipe
5. Des articles dans les publications internes

 

Événements de sensibilisation

 

L’Établissement organise périodiquement des événements de sensibilisation tels que :

1. Une semaine annuelle de la protection des renseignements personnels
2. Des conférences et des ateliers thématiques
3. Des séances de questions-réponses avec des experts
4. Des exercices de simulation d’incidents
5. Des concours et des activités interactives

 

Contenu des formations

 

Les formations et activités de sensibilisation couvrent notamment les sujets suivants :

 

Principes fondamentaux

1. Définition des renseignements personnels et sensibles
2. Principes de collecte, d’utilisation et de communication
3. Consentement et exceptions au consentement
4. Droits des personnes concernées
5. Obligations de l’Établissement

 

Bonnes pratiques quotidiennes

1. Sécurité physique des documents
2. Sécurité informatique et cybersécurité
3. Communications électroniques sécurisées
4. Gestion des mots de passe
5. Politique de bureau propre

 

Procédures spécifiques

1. Collecte et utilisation des renseignements personnels
2. Conservation et destruction sécuritaire
3. Réponse aux demandes d’accès et de rectification
4. Signalement des incidents de confidentialité
5. Évaluation des facteurs relatifs à la vie privée

 

Études de cas et mises en situation

1. Scénarios inspirés de situations réelles
2. Analyse d’incidents survenus dans d’autres organisations
3. Exercices pratiques de résolution de problèmes
4. Jeux de rôle sur la gestion des demandes d’accès
5. Simulations d’incidents de confidentialité

 

Modalités de formation

 

L’Établissement utilise diverses modalités de formation pour répondre aux besoins et aux préférences d’apprentissage de son personnel :

1. Formations en présentiel
2. Formations en ligne (synchrones et asynchrones)
3. Modules d’autoformation
4. Webinaires et vidéos
5. Documentation et guides de référence

 

Évaluation et suivi

 

Participation obligatoire

 

La participation aux formations sur la protection des renseignements personnels est obligatoire pour l’ensemble du personnel. Un registre des formations suivies est tenu à jour par le service des ressources humaines.

 

Évaluation des connaissances

 

L’Établissement évalue périodiquement les connaissances et la compréhension du personnel en matière de protection des renseignements personnels par :

1. Des tests de connaissances
2. Des évaluations pratiques
3. Des sondages d’auto-évaluation
4. Des observations sur le terrain
5. Des entretiens avec les gestionnaires

 

Évaluation du programme

 

L’efficacité du programme de formation et de sensibilisation est évaluée régulièrement par :

1. L’analyse des résultats des évaluations de connaissances
2. Le suivi des incidents de confidentialité
3. Les commentaires et suggestions du personnel
4. Les observations des gestionnaires
5. Les audits internes

 

Le programme est ajusté en fonction des résultats de ces évaluations pour en améliorer continuellement l’efficacité.

 

Ressources et documentation

 

L’Établissement met à la disposition de son personnel des ressources et de la documentation sur la protection des renseignements personnels, notamment :

1. La présente politique et les procédures connexes
2. Des guides pratiques et des aide-mémoires
3. Des modèles de formulaires et de documents
4. Une foire aux questions
5. Des liens vers des ressources externes pertinentes

 

Ces ressources sont accessibles en tout temps sur l’intranet de l’Établissement et sont régulièrement mises à jour.

 

Responsabilités

 

Responsable de la protection des renseignements personnels

 

Le responsable de la protection des renseignements personnels est chargé de :

1. Superviser l’élaboration du programme de formation et de sensibilisation
2. Approuver le contenu des formations
3. Assurer la mise à jour du matériel de formation
4. Évaluer l’efficacité du programme
5. Recommander des améliorations

 

Service des ressources humaines

 

Le service des ressources humaines est chargé de :

1. Organiser les sessions de formation
2. Tenir à jour le registre des formations suivies
3. Intégrer la formation sur la protection des renseignements personnels dans le processus d’accueil des nouveaux employés
4. Collaborer à l’évaluation du programme
5. Assurer le suivi des formations obligatoires

 

Gestionnaires

 

Les gestionnaires sont chargés de :

1. Encourager leur personnel à participer aux formations
2. S’assurer que leur personnel applique les connaissances acquises
3. Identifier les besoins de formation spécifiques de leur équipe
4. Donner l’exemple en matière de protection des renseignements personnels
5. Fournir une rétroaction sur l’efficacité des formations

 

 

MISE À JOUR ET RÉVISION DE LA POLITIQUE

 

Fréquence de révision

 

La présente politique fait l’objet d’une révision périodique pour assurer sa pertinence et sa conformité avec :

1. Les exigences légales et réglementaires en vigueur
2. Les meilleures pratiques en matière de protection des renseignements personnels
3. L’évolution des technologies et des risques
4. Les changements organisationnels au sein de l’Établissement

 

Une révision complète de la politique est effectuée au moins une fois tous les deux ans. Des révisions partielles peuvent être effectuées plus fréquemment si nécessaire.

 

Responsabilités de la révision

 

Responsable de la protection des renseignements personnels

 

Le responsable de la protection des renseignements personnels est chargé de :

1. Coordonner le processus de révision de la politique
2. Proposer des modifications en fonction des changements législatifs et des meilleures pratiques
3. Consulter les parties prenantes concernées
4. Soumettre les modifications proposées au comité sur l’accès à l’information et la protection des renseignements personnels

 

Comité sur l’accès à l’information et la protection des renseignements personnels

 

Le comité est chargé de :

1. Examiner les modifications proposées
2. Formuler des recommandations
3. Approuver les modifications à la politique
4. Veiller à la cohérence de la politique avec les autres politiques et procédures de l’Établissement

 

Direction de l’Établissement

 

La direction de l’Établissement est chargée de :

1. Approuver la version finale de la politique révisée
2. Allouer les ressources nécessaires à la mise en œuvre des changements
3. Communiquer son engagement envers la politique révisée

 

Procédure de mise à jour

 

Veille et analyse

 

Le responsable de la protection des renseignements personnels assure une veille continue sur :

1. Les modifications législatives et réglementaires
2. Les décisions et avis de la Commission d’accès à l’information
3. Les meilleures pratiques et normes du secteur
4. Les incidents de confidentialité survenus dans l’Établissement ou ailleurs
5. Les commentaires et suggestions du personnel et des personnes concernées

 

Consultation des parties prenantes

 

Lors de la révision de la politique, les parties prenantes suivantes sont consultées :

1. Les membres du comité sur l’accès à l’information et la protection des renseignements personnels
2. Les représentants des différents services de l’Établissement
3. Les experts en sécurité de l’information
4. Les conseillers juridiques
5. Au besoin, des experts externes

 

Approbation et documentation

 

Le processus d’approbation des modifications comprend les étapes suivantes :

1. Présentation des modifications proposées au comité
2. Discussion et ajustements
3. Approbation par le comité
4. Approbation finale par la direction
5. Documentation des modifications dans un registre des versions

 

Communication des changements

 

Lorsque des modifications sont apportées à la politique, l’Établissement :

1. Publie la version mise à jour sur son site Internet et son intranet
2. Informe l’ensemble du personnel des changements importants
3. Organise des sessions d’information si nécessaire
4. Met à jour la documentation et le matériel de formation
5. Informe les partenaires externes concernés

 

Gestion des versions

 

L’Établissement maintient un historique des versions de la politique, indiquant pour chaque version :

1. Le numéro de version
2. La date d’entrée en vigueur
3. Les principales modifications apportées
4. La personne ou l’instance ayant approuvé les modifications
5. La date prévue pour la prochaine révision

 

Les versions antérieures de la politique sont conservées à des fins d’archivage et de référence.

 

SANCTIONS EN CAS DE NON-RESPECT

 

Principes généraux

 

Le respect de la présente politique est obligatoire pour l’ensemble du personnel de l’Établissement ainsi que pour toute personne ayant accès aux renseignements personnels détenus par l’Établissement.

 

Le non-respect de la politique peut entraîner des conséquences graves pour :

1. Les personnes concernées, dont la vie privée peut être compromise
2. L’Établissement, qui peut faire face à des sanctions légales et à une atteinte à sa réputation
3. Les personnes responsables du manquement, qui peuvent faire l’objet de mesures disciplinaires

 

Types de manquements

 

Les manquements à la politique peuvent notamment inclure :

1. La collecte, l’utilisation ou la communication non autorisée de renseignements personnels
2. Le défaut de mettre en œuvre les mesures de sécurité requises
3. La négligence dans la protection des renseignements personnels
4. Le défaut de signaler un incident de confidentialité
5. Le contournement délibéré des procédures établies
6. L’accès non autorisé à des renseignements personnels
7. La destruction non autorisée ou prématurée de renseignements personnels

 

Mesures disciplinaires internes

 

En cas de non-respect de la politique, l’Établissement peut imposer des mesures disciplinaires proportionnelles à la gravité du manquement, pouvant aller jusqu’au congédiement.

 

Les facteurs pris en compte dans la détermination des mesures disciplinaires incluent :

1. La nature et la gravité du manquement
2. L’intention (négligence, imprudence ou acte délibéré)
3. Les conséquences du manquement pour les personnes concernées et l’Établissement
4. Les antécédents de la personne responsable
5. La coopération de la personne dans l’enquête et les mesures correctives

 

Sanctions légales

 

Outre les mesures disciplinaires internes, les manquements à la protection des renseignements personnels peuvent entraîner des sanctions légales, notamment :

1. Des sanctions administratives pécuniaires imposées par la Commission d’accès à l’information
2. Des poursuites civiles pour dommages-intérêts
3. Des poursuites pénales dans les cas graves
4. Des ordonnances de la Commission d’accès à l’information

 

L’Établissement se réserve le droit de réclamer des dommages-intérêts aux personnes dont les actions délibérées ou négligentes ont causé un préjudice à l’Établissement.

 

Signalement des manquements

 

Toute personne qui constate un manquement à la présente politique est encouragée à le signaler au responsable de la protection des renseignements personnels ou à son supérieur hiérarchique.

 

L’Établissement s’engage à :

1. Protéger contre les représailles les personnes qui signalent de bonne foi des manquements
2. Traiter les signalements de manière confidentielle
3. Enquêter de façon diligente sur les manquements signalés
4. Prendre les mesures appropriées pour corriger la situation et prévenir la récurrence

 

COORDONNÉES ET RESSOURCES

 

Responsable de la protection des renseignements personnels

 

Nom : [Nom du responsable] 

Titre : [Titre du responsable] 

Adresse : [Adresse postale] 

Téléphone : [Numéro de téléphone] 

Courriel : [Adresse courriel]

 

Pour toute question concernant la présente politique ou pour exercer vos droits d’accès ou de rectification, veuillez contacter le responsable de la protection des renseignements personnels.

 

Comité sur l’accès à l’information et la protection des renseignements personnels

 

Courriel : [Adresse courriel du comité]

 

Ressources internes

 

Les ressources suivantes sont disponibles sur l’intranet de l’Établissement :

1. Formulaires de consentement
2. Formulaires de demande d’accès et de rectification
3. Procédures détaillées pour la gestion des incidents de confidentialité
4. Guides et aide-mémoire sur la protection des renseignements personnels
5. Calendrier de conservation des documents
6. Matériel de formation et de sensibilisation

 

Ressources externes

 

Commission d’accès à l’information du Québec

Site Web : [https://www.cai.gouv.qc.ca](https://www.cai.gouv.qc.ca) 

Téléphone : 1-888-528-7741 

Courriel : [cai.communications@cai.gouv.qc.ca](mailto:cai.communications@cai.gouv.qc.ca)

 

Ministère de l’Éducation et de l’Enseignement supérieur

Site Web : [https://www.education.gouv.qc.ca](https://www.education.gouv.qc.ca)

 

Protecteur national de l’élève

Site Web : [https://www.quebec.ca/gouvernement/ministeres-organismes/protecteur-national-eleve](https://www.quebec.ca/gouvernement/ministeres-organismes/protecteur-national-eleve)

 

Procédure pour poser des questions ou formuler des plaintes

 

Questions

Pour toute question concernant la protection des renseignements personnels ou l’application de la présente politique, vous pouvez :

1. Contacter le responsable de la protection des renseignements personnels
2. Consulter les ressources disponibles sur l’intranet ou le site Internet de l’Établissement
3. Demander conseil à votre supérieur hiérarchique

 

Plaintes

Pour formuler une plainte concernant le traitement de vos renseignements personnels, vous pouvez :

1. Contacter le responsable de la protection des renseignements personnels
2. Soumettre une plainte écrite à la direction de l’Établissement
3. Déposer une plainte auprès de la Commission d’accès à l’information du Québec

 

L’Établissement s’engage à traiter toute plainte avec diligence et à y répondre dans un délai raisonnable.

 

DISPOSITIONS FINALES

 

Entrée en vigueur

 

La présente politique entre en vigueur le [date d’entrée en vigueur].

 

Abrogation

 

La présente politique abroge et remplace toute politique ou directive antérieure concernant la protection des renseignements personnels.

 

Primauté

 

En cas de conflit entre la présente politique et une autre politique ou procédure de l’Établissement, les dispositions de la présente politique ont préséance en ce qui concerne la protection des renseignements personnels.

 

Interprétation

 

En cas de doute sur l’interprétation de la présente politique, il convient de consulter le responsable de la protection des renseignements personnels.

Contacter le responsable de la protection des renseignement personnels