POLITIQUE DE PROTECTION DES RENSEIGNEMENTS PERSONNELS
Objectif
Considérant l’importance des renseignements personnels, le Centre d’intégration professionnelle de Lanaudière, s’engage à protéger la confidentialité des renseignements personnels qu’il détient selon les obligations découlant de la Loi 25 sur la protection des renseignements personnels dans le secteur privé.
Les renseignements personnels sont les informations d’ordre privé qui concernent une personne physique et qui permettent, directement ou indirectement, de l’identifier. Étant donné la nature des activités de Centre d’intégration professionnelle de Lanaudière, celui-ci détient et manipule des renseignements personnels se rapportant principalement aux personnes suivantes, ici appelées « parties prenantes » : clientes, membres, organismes partenaires, sous-traitants, personnel, bénévoles et autres participants à ses activités.
Le Centre d’intégration professionnelle de Lanaudière veille à la protection des renseignements personnels au sein de ses activités, que celles-ci soient exécutées par les personnes travaillant pour l’organisme ou par les parties prenantes (ex : partenaires et sous-traitants) impliquées dans la collecte, la conservation, la destruction et l’anonymisation des renseignements personnels.
Responsabilités
L’organisme
- Nomme une personne responsable de la protection des renseignements personnels ;
- Évalue l’ensemble de ses activités et les manipulations de renseignements personnels qui en découlent et tient un inventaire des renseignements personnels ;
- Instaure et maintient à jour une politique encadrant la protection des renseignements personnels et élabore les procéduriers ;
- Instaure et maintient à jour un registre des demandes, des incidents et des plaintes ;
- Documente et forme le personnel quant aux obligations relatives à la protection des renseignements personnels ;
- Obtient l’engagement des parties prenantes quant à la protection des renseignements personnels partagés.
Le personnel
Le personnel de l’organisme, qu’il soit salarié, bénévole ou contractuel, est dépositaire de la protection effective des renseignements personnels. Il est informé de ses responsabilités en la matière, tant des obligations générales que celles relatives à la fonction spécifique chaque personne au sein de l’organisme. Ce dernier s’assure que les membres du personnel reçoivent les mises à jour.
Dans l’exercice de ses fonctions et l’accomplissement de ses tâches, le personnel de l’organisme ne manipule que les renseignements personnels nécessaires à ces fins et, cela, dans le respect de la confidentialité qui y est rattachée.
La personne responsable de la protection des renseignements personnels
Le Centre d’intégration professionnelle de Lanaudière assure qu’une personne est en tout temps désignée « personne responsable de la protection des renseignements personnels » et que ses coordonnées sont publiques et accessibles, notamment sur le site Internet.
Cette personne est la première ressource de l’organisme en matière de renseignements personnels : elle veille à leur protection, instaure et optimise des pratiques et mesures, reçoit et évalue les plaintes, suit les publications de la Commission d’accès à l’information (CAI) et offre généralement son assistance au personnel ainsi qu’aux diverses parties prenantes de l’organisme.
Droits des personnes concernées
Les personnes physiques dont l’organisme détient des renseignements personnels les concernant, qu’il s’agisse d’un membre du personnel, d’une cliente ou d’une autre partie prenante, ont les droits suivants, tels qu’attribués et balisés par la loi :
- Le droit de ne pas consentir à la collecte, l’utilisation, la communication ou la conservation d’un renseignement personnel ;
- Le droit de ne pas subir de préjudice injustifié suivant un refus de consentement ;
- Le droit d’accès aux renseignements personnels détenus par l’organisme les concernant ;
- Le droit d’être informé de la source ou provenance d’un renseignement personnel détenu par l’organisme ;
- Le droit de rectification d’un renseignement personnel auprès de l’organisme ;
- Le droit à la cessation de la diffusion d’un renseignement personnel ;
- Les droits relatifs au consentement : pouvoir exercer un consentement libre (sans pression) et éclairé (disposer des informations nécessaires pour prendre une décision).
Si une personne juge avoir été lésée dans ses droits, elle peut faire appel aux recours qui lui sont disponibles (voir la procédure de plainte).
Inventaire des renseignements personnels
Le Centre d’intégration professionnelle de Lanaudière tient à jour un inventaire des renseignements personnels dont il dispose dans le cadre de la réalisation de ses activités et de ses services.
L’inventaire de renseignements personnels contient les informations suivantes :
- Le type de données collectées ;
- Les personnes concernées par les données ;
- Leur degré de sensibilité ;
- Le lieu où ces données sont conservées ;
- L’utilité de ces données pour l’organisation ;
- La façon dont le consentement est obtenu ;
- Les personnes qui ont accès à ces données ;
- Les méthodes et périodes de conservation, de destruction et d’anonymisation des données.
Collecte des renseignements personnels
Le Centre d’intégration professionnelle de Lanaudière ne recueille que les renseignements personnels nécessaires pour la conduite de ses activités et pour la réalisation des fins déterminées. Le critère de nécessité prévaut en toute circonstance et vise à minimiser l’atteinte à la vie privée.
Selon les circonstances, les renseignements personnels peuvent comprendre les renseignements d’identité, les coordonnées personnelles, le contenu des dossiers personnels (clientes et employées), les données de participation aux activités, les renseignements financiers de l’organisme, les renseignements contractuels, etc.
Les renseignements personnels sont recueillis de plusieurs façons, entre autres par l’entremise de divers formulaires imprimés, par la communication en personne, par téléphone, par la poste, par courriel, par divers moyens numériques ou par l’intermédiaire des parties prenantes.
Consentement à la collecte
Le consentement peut être explicite, c’est-à-dire obtenu verbalement, par voie électronique ou par écrit, soit implicite, à savoir déduit de l’action ou de l’inaction d’une partie prenante (par exemple, le fait de fournir un nom et un numéro de téléphone pour obtenir une réponse à une question). Le type de consentement approprié est déterminé en fonction de la sensibilité des renseignements personnels en cause et des fins auxquelles ils sont recueillis. Le consentement peut être fourni directement par la personne ou par son représentant autorisé, par exemple, Services Québec.
Utilisation des renseignements
Les informations collectées le sont notamment pour les finalités et les objectifs suivants, sans toutefois s’y restreindre :
- Rendre un service en lien direct avec la mission de l’organisme ;
- Identifier une personne afin de protéger sa vie privée ;
- Promouvoir les activités de l’organisme auprès du public ;
- Répondre aux demandes des bailleurs de fonds et autres obligations légales.
Après avoir été collectées, les données recueillies peuvent être traitées d’une manière ou d’une pour être analysées, catégorisées ou transformées afin de les rendre plus utiles ou de les préparer pour le stockage ou la diffusion. L’utilisation et le traitement des renseignements personnels sont limités aux seules fins déterminées lors de la collecte et aux seules personnes ayant l’habilitation pour la recevoir.
Le Centre d’intégration professionnelle de Lanaudière ne vend jamais les données personnelles à des tiers et une autorisation écrite avant de transférer de l’information confidentielle à un tiers est exigée.
Conservation des renseignements personnels
Durée
Le Centre d’intégration professionnelle de Lanaudière conserve les informations personnelles aussi longtemps que nécessaire pour fournir ses services et tel que requis par les lois ou les réglementations applicables. Les renseignements personnels peuvent être conservés pour des périodes différentes selon la nature des renseignements et la raison pour laquelle ils sont détenus.
| Renseignements personnels collectés | Durée de conservation |
| Liés à l’obtention d’un service ou la participation à une activité | 7 ans |
| Dossier des employées | 7 ans |
| Concernant les membres de l’organisation | 7 ans |
| Données financières de l’organisme | 7 ans |
| Documents liés à la gouvernance | À vie |
| Liés à la promotion des activités | Selon le média utilisé |
| Autres documents contenant des renseignements personnels | Selon l’usage ou l’entente avec la personne visée |
Lieu
La majorité des renseignements personnels sont conservés dans les bureaux du Centre d’intégration professionnelle de Lanaudière au 547 rue Leclerc à Repentigny, Québec, Canada. Les fournisseurs des principales bases de données utilisées par l’organisme conservent leur contenu au Québec. L’organisme emploie également des services infonuagiques dont les données peuvent être gardées ailleurs au Canada ou aux États-Unis où les lois applicables peuvent différer.
Mesures de protection
Le Centre d’intégration professionnelle de Lanaudière a mis en place des mesures de protection physiques, technologiques et administratives appropriées pour protéger la qualité, la confidentialité et la sécurité des renseignements personnels recueillis contre une destruction accidentelle ou non conforme aux lois, une perte accidentelle, une modification, une divulgation ou un accès non autorisé, un mauvais usage ou toute autre forme illégale de traitement.
Une fois la période de conservation expirée, les renseignements personnels sont détruits selon la méthode appropriée. Seuls les rapports ou statistiques contenant des données dépersonnalisées et anonymisées pourront être conservés pour une période prolongée.
Accès et partage des renseignements personnels
Accès aux renseignements personnels
Toute personne a accès aux renseignements personnels détenus par le Centre d’intégration professionnelle de Lanaudière la concernant. Une demande écrite doit être acheminée (par voie électronique ou postale) à la personne responsable de la protection des renseignements personnels. Suivant sa réception, un accusé de réception est envoyé et la demande est traitée dans les trente (30) jours. L’identité de la personne requérante est vérifiée avant la divulgation des renseignements personnels.
Une demande peut être rejetée si elle est incomplète ou jugée excessive ou si elle implique les renseignements d’une autre personne, si cette dernière n’y consent pas.
L’organisme s’assure que les renseignements personnels qu’il détient sont portables, c’est-à-dire qu’ils peuvent être communiqués à la personne concernée dans un délai raisonnable sous format imprimable ou numérique.
Partage des renseignements personnels
Le Centre d’intégration professionnelle de Lanaudière ne peut partager des renseignements personnels à un tiers sans le consentement de la personne concernée à moins que ces données soient anonymisées et que pour les seules fins mentionnées lors de la prise du consentement. Celui-ci peut être obtenu verbalement, par écrit ou par voie électronique selon le degré de sensibilité de l’information, directement par la personne concernée ou par son représentant autorisé, par exemple, Services Québec.
Les informations partagées se limitent au strict nécessaire pour réaliser une intervention. L’organisme s’assure que les tiers avec lesquels il transige sont des partenaires de confiance.
Rectification, désindexation et suppression de renseignements personnels
La rectification, la désindexation et la suppression couvrent toutes les renseignements personnels publiés sur les plateformes en ligne, y compris le site web, les applications mobiles, les bases de données et tout autre support numérique utilisé par l’organisme. La suppression élimine définitivement les données, tandis que la désindexation limite leur visibilité en ligne.
Toute personne ayant fourni des renseignements personnels à l’organisme peut faire une demande de rectification, de désindexation ou de suppression de ces informations. Une demande écrite doit être acheminée (par voie électronique ou postale) à la personne responsable de la protection des renseignements personnels. Suivant sa réception, un accusé de réception est envoyé et la demande est traitée dans les trente (30) jours. L’identité de la personne requérante est vérifiée avant l’intervention.
La suppression ou la désindexation peut être refusée dans certaines circonstances prévues par la loi.
Procédures de plainte et d’incident
Procédure de plainte
Toute personne concernée par des renseignements personnels détenus par l’organisme peut porter plainte pour manquement à la présente politique en s’adressant à la personne responsable de la protection des renseignements personnels ou encore à la Commission d’accès à l’information (CAI).
Une demande écrite doit être acheminée (par voie électronique ou postale). Suivant sa réception, un accusé de réception est envoyé et la demande est traitée dans les trente (30) jours. Le responsable de la protection des renseignements personnels doit informer la plaignante ou le plaignant des détails de la procédure.
Procédure d’incident
Les incidents possibles en matière de protection des renseignements personnels sont variés et ne sont pas limités à la perte ou au vol de données informatiques. Tout renseignement personnel qui est recueilli, utilisé, communiqué ou conservé au-delà de la raison ou du délai pour lesquels la personne qu’il concerne a consenti constitue un incident de protection des renseignements personnels.
Tout incident avéré ou potentiel doit être rapporté au responsable de la protection des renseignements personnels. Une évaluation de la situation est faite et, s’il y a lieu, des mesures sont rapidement prises pour réduire les possibilités de préjudices ainsi que les risques que l’incident se reproduise.
S’il s’agit d’un incident sérieux ou qu’il y a hésitation ou incertitude à le qualifier ainsi, l’organisme avise la Commission d’accès à l’information (CAI) de l’incident. Qu’il s’agisse d’un incident sérieux ou non, l’organisme avise la personne concernée par le renseignement personnel de l’incident. L’organisme tient un registre des incidents afin de documenter l’historique de l’organisme en matière de protection des renseignements personnels.
En toute situation d’incident, le Centre d’intégration professionnelle de Lanaudière s’engage à collaborer avec la Commission d’accès à l’information (CAI), à suivre les directives indiquées par les différentes autorités impliquées et à continuellement considérer l’intérêt de la personne concernée.
Mise à jour de la politique
Le contenu de cette politique peut être modifié sans préavis pour refléter les changements apportés aux pratiques de l’organisme, à la technologie, aux exigences légales et autres facteurs. Les modifications apportées à cette politique entreront en vigueur immédiatement. Nous encourageons donc les parties prenantes à demeurer informées de la manière dont l’organisme traite les renseignements personnels.
Adoptée le 2 octobre 2024