Politique-cadre sur la protection des renseignements personnels

1. Préambule

Dans le cadre de ses activités et de sa mission, la Corporation de services Mallet (« Corporation ») traite des renseignements personnels, notamment ceux de la clientèle qu’elle dessert, de ses employés, des visiteurs de sa résidence ses établissements et de son site web. La Corporation recueille, par exemple, des renseignements personnels dans le cadre de la gestion de ses ressources humaines. Elle traite également des renseignements de santé recueillis par les congrégations sur le compte de leurs membres respectifs, et ce, dans le cadre de la prestation de soins et de services aux résidentes. 

À ce titre, la Corporation reconnait l’importance de respecter la vie privée et de protéger les renseignements personnels, y compris les renseignements de santé, qu’elle détient.

La protection des renseignements personnels détenus par la Corporation incombe à toute personne qui traite ces renseignements, y compris les fournisseurs de services, partenaires, et consultants qui recueillent des renseignements personnels pour la Corporation.

2. Objet

La présente politique :

• énonce les principes de gouvernance de la Corporation à l’égard des renseignements personnels et des renseignements de santé tout au long de leur cycle de vie ;
• définit les rôles et responsabilités des membres du personnel de la Corporation en matière de protection des renseignements personnels de la Corporation ;
• décrit les catégories de personnes qui peuvent utiliser ces renseignements dans l’exercice de leurs fonctions;
• décrit les mesures de sécurité propres à assurer la protection des renseignements
• encadre l’exercice des droits des personnes concernées ;
• énonce le processus de traitement des incidents de confidentialité;
• prévoit le processus de traitement des plaintes relatives à la protection des renseignements personnels ;
• décrit les activités de formation et de sensibilisation que la Corporation offre à son personnel.

3. Champ d’application

La présente politique s’applique aux renseignements personnels détenus par la Corporation dans le cadre de ses activités. Elle s’applique également à tout membre du personnel de la Corporation et à toute personne qui traite des renseignements personnels pour la Corporation.

La conformité à cette politique est obligatoire et la Corporation s’engage à la respecter. Toute demande de dérogation doit être dûment justifiée et doit être soumise au RPRP et approuvée par le conseil d’administration de la Corporation. La Corporation peut adopter une directive pour déterminer les modalités entourant l’exercice et le traitement des demandes de dérogation.

4. Cadre de référence

Cette politique est le document de référence du programme de conformité en matière de protection des renseignements personnels de la Corporation dont pourront découler des politiques, directives, procédures ou tout autre document couvrant des sujets comme :

• la communication de renseignements personnels à l’extérieur du Québec 
• l’obtention de consentements
• la restriction des accès
• les mesures de sécurité
• les modalités et conditions de communications de renseignements personnels sans consentement
• la conservation, l’archivage et la destruction
• l’exercice des droits des personnes concernées
• la réalisation d’évaluation des facteurs relatifs à la vie privée
• les modalités entourant l’exercice et le traitement des demandes de dérogation
• la gestion des tiers
• le traitement des plaintes

Le programme de conformité de la Corporation repose sur le cadre de référence suivant :

• Politique-cadre : elle énonce les principes directeurs de protection des renseignements personnels de la Corporation et le mécanisme d’approbation des documents qui forment le cadre de référence.
• Directive : elle vise à documenter les orientations, les exigences et les attentes, c’est-à-dire le « quoi faire ».
• Procédure, guide ou processus : ils fournissent une séquence détaillée des étapes ou actions nécessaires à la mise en œuvre des directives, c’est-à-dire le « comment faire ». 

5. Définitions

Aux fins de la présente politique, les termes suivants signifient :

« avis juste à temps » désigne l’avis de transparence donné à un particulier au moment où il lui est demandé de fournir ses renseignements personnels.

« cadre de référence » désigne l’ensemble des documents d’encadrement juridiques adoptés conformément à la présente politique pour mettre en œuvre le programme de protection des renseignements personnels au sein de la Corporation. 

« CAI » désigne la Commission d’accès à l’information du Québec.

« coordonnées professionnelles » désigne les renseignements personnels qui concernent l’exercice d’une fonction au sein d’une entreprise, tel que le nom, le titre et la fonction, de même que l’adresse postale, électronique et le numéro de téléphone du lieu de travail. 

« cycle de vie » désigne l’ensemble des étapes visant le traitement d’un renseignement personnel soit la collecte, l’utilisation, la communication, la conservation et la destruction.

« dépersonnalisé » désigne un renseignement personnel sous une forme ne permettant pas d’identifier directement une personne concernée, par exemple, une donnée chiffrée ou un code d’employé.

« évaluation des facteurs relatifs à la vie privée » ou « ÉFVP » désigne la démarche préventive qui vise à mieux protéger les renseignements personnels et à respecter la vie privée des personnes physiques. Elle consiste à considérer tous les facteurs qui auraient des conséquences positives et négatives sur le respect de la vie privée des personnes concernées. 

« fin primaire » désigne une finalité qui concerne la fourniture d’un service ou d’un produit, à l’accès à l’emploi ou toute autre activité nécessaire à l’accomplissement des activités et de la mission de la Corporation. Elle est annoncée au moment de la collecte.

« fin secondaire » désigne, par inférence, toute finalité facultative qui n’est pas nécessaire à la fourniture d’un service, d’un produit, à l’accès à un emploi ou à l’accomplissement des activités et de la mission de la Corporation.

« incident de confidentialité » désigne toute consultation, utilisation ou communication non autorisée par la loi d’un renseignement personnel, ou toute perte ou autre atteinte à la protection de ce renseignement.

« loi » désigne la Loi sur la protection des renseignements personnels dans le secteur privé, tout règlement qui en découle et toute autre loi ou réglementation qui régit la protection des renseignements personnels qui pourrait s’appliquer aux activités de la Corporation, le tout, tel qu’ils pourront être amendés de temps à autre.

« personne concernée » désigne une personne physique à qui se rapportent les renseignements personnels, notamment une résidente, une résidente-pensionnaire, un visiteur de la résidence de la Corporation ou de son site web, un candidat à un poste au sein de la Corporation, un employé, un étudiant ou un stagiaire de la Corporation.

« employé  » désigne tout membre du personnel de ou un employé de la Corporation, tout professionnel qui y exerce sa profession, y compris un étudiant ou un stagiaire.

« profilage » désigne la collecte et l’utilisation de renseignements personnels afin d’évaluer certaines caractéristiques d’une personne physique, notamment à des fins d’analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de cette personne. 

« renseignement personnel » désigne toute information qui concerne une personne physique et qui permet de l’identifier directement — soit par le recours à cette seule information — ou indirectement —par combinaison avec d’autres informations. « renseignement personnel sensible » désigne tout renseignement personnel qui — de par sa nature, notamment médicale, biométrique ou autrement intime, ou en raison de la manière dont il est utilisé ou communiqué — suscite un haut degré d’attente raisonnable en matière de vie privée. 

« résidence » désigne la Maison généralice des Sœurs de la Charité de Québec, sise au 2655, rue Guillaume-Le Pelletier, à Québec. « Responsable de la protection des renseignements personnels » ou « RPRP » désigne la personne qui, au sein de la Corporation, veille à y assurer le respect et la mise en œuvre de la loi concernant la protection des renseignements personnels.

6. Principes directeurs

La protection des renseignements personnels est assurée tout au long de leur cycle de vie dans le respect des principes suivants, sauf exception prévue par la loi. Par exemple, les coordonnées professionnelles ne sont pas soumises aux principes directeurs.

6.1 Collecte

1. Au moment de la collecte, et par la suite sur demande, la Corporation informe les personnes concernées du contenu obligatoire prévu par loi, y compris les fins primaires auxquelles elle utilise des renseignements personnels. 
2. La Corporation ne recueille que les renseignements personnels nécessaires aux fins déterminées avant la collecte.
3. L’information prévue au paragraphe 6.1.2 est donnée en termes simples et clairs, au moyen d’une politique de confidentialité ou d’un avis « juste à temps ».
4. La personne concernée qui fournit ses renseignements personnels après avoir reçu l’information au paragraphe 6.1.2 est présumée consentir à l’utilisation et à la communication aux fins déclarées, sauf si la loi restreint autrement telle communication.

6.2 Utilisation

La Corporation n’utilise les renseignements personnels qu’aux fins pour lesquelles ces renseignements ont été recueillis. Cependant, la Corporation peut modifier ces fins si la personne concernée y consent préalablement. Lorsqu’elle veut utiliser des renseignements sensibles à des fins secondaires, ce consentement doit être explicite.

6.3 Communication

1. Sous réserve des exceptions prévues par la loi, la Corporation ne peut communiquer des renseignements personnels à des fins secondaires sans le consentement de la personne concernée.
2. Lorsque la Corporation souhaite communiquer des renseignements personnels à un prestataire de services, elle conclut un contrat qui contient les éléments prévus par la loi applicable (voir la Directive sur la gestion des tiers à cet effet).
3. Lorsque les renseignements personnels sont communiqués à l’extérieur du Québec, la Corporation procède à une ÉFVP conformément à l’article 7 des présentes.

6.4 Conservation

1. La Corporation prend toutes les mesures raisonnables afin que les renseignements personnels qu’elle détient soient à jour, exacts et complets pour servir aux fins pour lesquelles ils sont recueillis ou utilisés.
2. La Corporation conserve les renseignements personnels aussi longtemps que nécessaire pour mener ses activités, sous réserve d’obligations de conservation qui pourraient s’appliquer, conformément à son calendrier de conservation ou aux lois applicables en telles matières

6.5 Destruction et anonymisation

Lorsque les finalités pour lesquelles les renseignements personnels recueillis sont atteintes, ces renseignements sont détruits ou, dans certains cas exceptionnels, anonymisés suivant les délais prévus au calendrier de conservation de la Corporation.

7. Évaluation des facteurs relatifs à la vie privée

1. La réalisation d’une ÉFVP sert à démontrer que la Corporation a respecté toutes les obligations en matière de protection des renseignements personnels et que toutes les mesures ont été prises afin de protéger efficacement ces renseignements.
2. La Corporation réalise une ÉFVP notamment dans les situations suivantes :
   • avant d’entreprendre un projet d’acquisition, de développement et de refonte ou de remplacement d’un système d’information ou de prestation électronique de services qui implique des renseignements personnels. 
   • avant de communiquer des renseignements personnels à l’extérieur du Québec.
3. En effectuant une ÉFVP, la Corporation tient compte de la sensibilité des renseignements à être traités, des fins de leur utilisation, de leur quantité, de leur distribution et de leur support, ainsi que de la proportionnalité des mesures proposées pour protéger les renseignements personnels. La Corporation tient également compte des critères déterminés par la loi pour chaque ÉFVP.
4. Toute ÉFVP est prise en charge par le RPRP et réalisée conformément à la procédure prévue au cadre de référence de la Corporation.

8. Droits des personnes concernées

Sous réserve de ce que prévoient les lois applicables en pareilles matières, toute personne concernée dispose notamment des droits suivants :

1. Sous réserve de ce que prévoient les lois applicables en pareilles matières, toute personne concernée dispose notamment des droits suivants :
   • le droit d’accéder aux renseignements personnels détenus par la Corporation et d’en obtenir une copie, que ce soit en format électronique ou non électronique;
     • à moins que cela ne soulève des difficultés pratiques sérieuses, à la demande d’une personne concernée, la Corporation lui communique les renseignements personnels informatisés recueillis auprès d’elle dans un format technologique structuré et couramment utilisé.
   • le droit de faire rectifier tout renseignement personnel incomplet ou inexact détenu par la Corporation;
   • le droit de demander la suppression d’un renseignement dans certaines circonstances, ou de formuler par écrit des commentaires à la Corporation;
   • le droit d’être informée, le cas échéant, que des renseignements personnels sont utilisés pour prendre une décision fondée sur un traitement exclusivement automatisé; 
   • le droit de demander à la Corporation de communiquer les renseignements personnels à un tiers autorisé à les recueillir;
   • le droit de demander à la Corporation de cesser de diffuser un renseignement ou de désindexer tout hyperlien rattaché à son nom  à certaines conditions;
   • le droit de retirer son consentement à l’utilisation et à la communication de renseignements personnels recueillis par la Corporation;
   • le droit, à titre de conjoint ou de proche parent d’une personne décédée, de demander à la Corporation un renseignement personnel qu’elle détient concernant cette personne, si la connaissance de ce renseignement est susceptible de l’aider dans son processus de deuil et que la personne décédée n’a pas consigné par écrit son refus d’accorder ce droit d’accès.
2. Toute demande d’exercice des droits est prise en charge conformément aux directives ou règles de la Corporation.

9. Sécurité des renseignements personnels

1. La Corporation met en place des mesures de sécurité raisonnables afin d’assurer la confidentialité, l’intégrité et la disponibilité des renseignements personnels recueillis, utilisés, communiqués, conservés ou détruits. Ces mesures tiennent notamment en compte du degré de sensibilité des renseignements personnels, de la finalité de leur collecte, de leur quantité, de leur localisation et de leur support.
2. La Corporation limite l’accès aux renseignements personnels aux seuls membres de son personnel qui ont besoin d’y accéder dans l’exercice de leurs fonctions. Les catégories de personnes qui peuvent utiliser ces renseignements sont détaillées dans la Directive sur la restriction des accès.

10. Tenue de registres

La Corporation tient à jour un registre de certaines communications de renseignements personnels. Un tel registre détaille les communications suivantes :

• à une personne ou à un organisme ayant le pouvoir de contraindre la Corporation à lui communiquer des renseignements personnels et qui les requiert dans l’exercice de ses fonctions ; 
• à une personne qui doit les recevoir en raison d’une situation d’urgence mettant en danger la vie, la santé ou la sécurité de la personne concernée, ou à qui la Corporation peut les communiquer en vue de prévenir un acte de violence, dont un suicide, en cas de risque sérieux de mort ou de blessures graves pour une personne ou un groupe de personnes identifiable ; 
• à un service d’archives ou à toute personne, dans ce deuxième cas, si le document est vieux de plus de 100 ans ou si la personne concernée est décédée depuis plus de 30 ans ;
• à une personne ou à un organisme pour les fins d’un mandat ou d’un contrat de services ou d’entreprise ;
• à l’autre partie à une transaction commerciale si la communication est nécessaire aux fins de la conclusion de la transaction ;
• à une personne qui peut les utiliser à des fins d’étude, de recherche ou de statistique ou à une personne que la CAI a autorisée à les utiliser ; 
• à une personne que la loi autorise à recouvrer des créances pour autrui et qui le requiert à cette fin dans l’exercice de ses fonctions ; 
• à une personne si le renseignement est nécessaire aux fins de recouvrer une créance de la Corporation.

11. Incidents de confidentialité

1. Tout incident de confidentialité est pris en charge conformément au cadre de référence de la Corporation. 
2. Conformément à la loi, la Corporation tient à jour un registre des incidents de confidentialité.
3. Si l’incident de confidentialité présente un risque de préjudice sérieux pour les personnes concernées, la Corporation avise celles-ci avec diligence ainsi que la CAI.
4. Le registre est tenu à jour pendant cinq ans après le dernier incident ou la période du dernier incident.

12. Activités de formation et de sensibilisation

1. La Corporation offre des activités de formation et de sensibilisation à son personnel en matière de protection des renseignements personnels. 
2. Le défaut de suivre les activités de formation et de sensibilisation obligatoires contrevient au cadre de référence de la Corporation et la personne concernée s’expose, selon la nature et la gravité de la faute, à des sanctions.

13. Rôles et responsabilités

1. La protection des renseignements personnels que la Corporation détient repose sur l’engagement de tous ceux qui traitent ces renseignements et plus particulièrement des parties prenantes qui suivent :
2. Le conseil d’administration de la Corporation :

• Approuve, sur recommandation du comité exécutif ou tout autre comité le remplaçant, la présente politique [et les autres documents formant le cadre de référence, ainsi que toute modification à celles-ci, sur recommandation des comités en relevant].
• reçoit et analyse le rapport du RPRP, sur recommandation du comité exécutif ou comité d’audit  ou de tout comité en relevant. 
• se tient informé des activités en protection des renseignements personnels de la Corporation et fait les interventions qu’il juge appropriées pour maintenir un niveau de risque acceptable pour la Corporation.

3. Le RPRP :

• veille à assurer le respect et la mise en œuvre de la loi à travers la Corporation;
• est responsable de l’application et la mise en œuvre de la présente politique et des autres documents formant le cadre de référence;
• conçoit le programme de protection des renseignements personnels de la Corporation et effectue toute mise à jour appropriée;
• soutient les équipes de la Corporation dans la mise en œuvre du programme, notamment en agissant à titre de répondant pour toute question qui s’y rattache;
• au besoin, produit un rapport des activités liées au programme de protection des renseignements personnels et le soumet au conseil d’administration; 
• supervise la coordination de la réponse à un incident de confidentialité et la tenue du registre des incidents de confidentialité;
• reçoit les demandes écrites d’exercice de droits des personnes concernées et s’assure d’y répondre conformément au cadre de référence de la Corporation;
• est consulté, dès le début des ÉFVP, et peut suggérer des mesures de protection des renseignements personnels pour atténuer les risques.

4. Toute personne qui traite des renseignements personnels que la Corporation détient :

• agit avec précaution et intègre les principes et lignes de conduite énoncés au cadre de référence à ses activités; 
• lorsqu’elle recueille des renseignements personnels auprès d’un individu, s’assure d’obtenir un consentement valide et de le documenter conformément au cadre de référence;
• n’accède qu’aux renseignements nécessaires à l’exercice de ses fonctions; 
• conserve ses dossiers de manière à ce que seules les personnes autorisées y aient accès; 
• s’abstient de communiquer les renseignements personnels dont elle prend connaissance dans l’exercice de ses fonctions, à moins d’être dûment autorisé à le faire; 
• ne conserve pas, à la fin de son emploi ou de son contrat, les renseignements personnels obtenus ou recueillis dans le cadre de ses fonctions et maintient ses obligations de confidentialité; 
• détruit tout renseignement personnel conformément à la loi applicable en pareilles matières ou au cadre de référence de la Corporation; 
• participe aux activités de sensibilisation et de formation en matière de protection des renseignements personnels qui lui sont destinées;
• détecte les situations qui nécessitent de réaliser une ÉFVP et complètent les documents appropriés du cadre de référence; 
• signale tout manquement, incident de confidentialité ou toute autre situation ou irrégularité qui pourrait compromettre de quelque façon que ce soit la sécurité, l’intégrité ou la confidentialité de renseignements personnels au RPRP.

14. Traitement des plaintes

Toute plainte relative aux pratiques de protection des renseignements personnels de la Corporation ou de sa conformité aux exigences de la loi qui concernent les renseignements personnels est transmise au RPRP, lequel y répond dans un délai de 45 jours.

Corporation de services Mallet
Responsable de la protection des renseignements personnels
2655, rue Guillaume-Le Pelletier
Québec (Québec) G1C 3X7
vieprivee@csmallet.ca

15. Sanctions

La conformité à la présente politique tout autre document formant le cadre de référence est obligatoire pour l’ensemble de la Corporation. Le personnel qui ne s’y conforme pas est sujet à des mesures disciplinaires pouvant aller de l’avis disciplinaire au congédiement ou aux mesures et pénalités contractuelles prévues pour les consultants et fournisseurs, lesquelles peuvent notamment prévoir la résiliation du contrat et la réclamation de dommages-intérêts. De la formation et de la sensibilisation supplémentaire peuvent également être offertes en cas de défaut de respecter la politique.

16. Révision

De manière à suivre l’évolution des lois applicables en matière de protection des renseignements personnels et à améliorer le programme de protection des renseignements personnels de la Corporation, la présente politique pourra être mise à jour au besoin, au plus tard tous les trois ans.

17. Responsabilité

La présente politique relève du RPRP de la Corporation.

18. Approbation et entrée en vigueur

La présente politique entre en vigueur le 23 avril 2024, abroge et remplace toute autre politique ou procédure précédemment émise et portant sur les mêmes objets. La Corporation pourra la modifier ou la remplacer en tout temps et en informera le personnel.