Politique de gouvernance et de gestion des renseignements personnels

La présente Politique de gouvernance et de gestion des renseignements personnels (ci-après la « Politique ») procure l’encadrement du Collège Regina Assumpta (ci-après « Organisation », « Nous ») en matière de protection des renseignements personnels. Cette Politique résume et expose plusieurs de Nos engagements envers les élèves, les parents et tuteurs, clients des installations ouvertes au public et toute autre personne en matière de protection des renseignements personnels. Cette Politique adresse les droits et obligations de Notre Organisation, ainsi que les droits des personnes concernées dont Nous collectons des renseignements personnels (« Personnes concernées »).

Cette Politique s’adresse à tous les membres du personnel de Notre Organisation y compris les stagiaires et Nos sous-traitants (Notre « Personnel »). Elle s’applique à tout renseignement personnel traité et détenu par l’Organisation et s’applique tout au long du cycle de vie de ces derniers, de leur collecte jusqu’à leur destruction ou anonymisation. La présente Politique résume une série de politiques et de procédures visant à assurer la sécurité, l’intégrité et la confidentialité des renseignements personnels créés aux termes de Notre programme de gouvernance de l’information (« Programme de gouvernance »).

Portée et objectifs de la Politique

L’Organisation et son Personnel s’engagent à respecter la vie privée des Personnes concernées conformément aux lois, règlements et normes applicables au Québec en matière de respect de la vie privée et de protection des renseignements personnels (« Lois applicables ») au cours de leur cycle de vie. 

La Politique a pour objectifs :

  • D’énoncer les principes généraux auxquels l’Organisation adhère ainsi que les pratiques qu’elle met en œuvre pour assurer la protection des renseignements personnels et des droits des Personnes concernées durant le cycle de vie desdits renseignements personnels ;
  • D’établir les rôles et les responsabilités des membres de l’Organisation en matière de protection des renseignements personnels ;
  • De décrire le processus de traitement de l’exercice des droits des Personnes concernées à la protection des renseignements personnels notamment, mais sans s’y limiter, leur droit de se plaindre à l’égard de Nos pratiques en matière de protection des renseignements ;
  • De décrire les règles concernant les mesures de protection à prendre pour les renseignements personnels recueillis ou utilisés dans le cadre d’un sondage ;
  • De présenter le cadre de gouvernance de l’Organisation en matière de protection des renseignements personnels.

Nos obligations et responsabilités

Les Lois applicables ainsi que certains engagements par lesquels Notre Organisation est liée Nous oblige à se conformer aux obligations ou principes généraux suivants:

  1. Consentement : Lorsque les Lois applicables le réclament, Nous nous assurons de l’obtention d’un consentement valide auprès de la personne concernée. Pour être valide, un consentement doit être manifeste, libre et éclairé et donné à des fins spécifiques. Ce consentement doit être donné de manière explicite pour les renseignements sensibles et doit être demandé, en toutes circonstances, en termes simples et clairs. Le consentement des mineurs doit être obtenu conformément aux Lois applicables.
  2. Nécessité : Nous ne recueillons que les renseignements personnels nécessaires à l’accomplissement de nos Services (tels que définis dans Notre Politique de confidentialité), de Nos activités ou de toutes autres fins communiquées avant ou pendant la collecte des renseignements personnels.
  3. Confidentialité : Nous protégeons la confidentialité des renseignements personnels que Nous détenons. Nous adoptons les mesures de sécurité raisonnables et nécessaires susceptibles de protéger la confidentialité de vos renseignements personnels, et ce, de leur collecte jusqu’à leur destruction.
  4. Exactitude : Nous nous assurons que les renseignements personnels détenus soient à jour, exacts et complets afin qu’ils puissent convenablement servir aux fins pour lesquelles ils ont été recueillis.
  5. Droits d’accès et de rectification : Toute personne peut demander de consulter, d’obtenir copie ou de rectifier les renseignements personnels que Nous détenons sur elle, dans la mesure prévue par les Lois applicables.
  6. Destruction et limitation de la Conservation : Nous conservons les renseignements personnels seulement le temps nécessaire pour atteindre les fins prévues, conformément aux Lois applicables.
  7. Transparence: Nous devons faire preuve de transparence pendant toute collecte de renseignements personnels, notamment sur la nature des renseignements personnels collectés, les fins de ces renseignements, les droits des Personnes concernées et vous offrir toute autre information requise par les Lois applicables. Nous diffusons sur Notre Site web une Politique de confidentialité qui décrit et encadre notre collecte de renseignement personnel par moyens technologiques.
  8. Limitation de l’utilisation : Nous utilisons les renseignements personnels uniquement pour les finalités pour lesquelles ils ont été collectés. Nous obtiendrons votre consentement valide avant d’utiliser les renseignements personnels à d’autres fins, à moins que les Lois applicables ne le prévoient autrement.
  9. Limitation des accès : Les membres de Notre Personnel ne peuvent accéder aux renseignements personnels que si ceux-ci sont nécessaires dans l’exercice de leurs fonctions.
  10. Rédaction d’évaluations des facteurs relatives à la vie privée : Nous réalisons des évaluations des facteurs relatifs à la vie privée pour les traitements de renseignements personnels qui nécessitent une analyse approfondie et dans les circonstances prévues par les Lois applicables.
  11. Protection lors des communications : Les renseignements personnels collectés sont traités de manière sécuritaire et confidentielle et ne sont communiqués qu’avec le consentement de la Personne concernée, à moins que les Lois applicables n’en prévoient autrement. Avant tout transfert de données hors du Québec, Nous vérifions que les mesures adéquates sont en place en effectuant, entre autres, des évaluations des facteurs relatifs à la vie privée.

Les droits des personnes concernées

Conformément aux Lois applicables, cette politique confère des droits aux Personnes concernées qui partagent leurs renseignements personnels avec Nous, notamment :

  1. Droit d’accès et de rectification : Les Personnes concernées peuvent accéder à leurs renseignements personnels et demander la rectification des inexactitudes.
  2. Droit de retirer son Consentement : Les Personnes concernées peuvent retirer leur consentement en tout temps, sous certaines conditions préalables.
  3. Transfert sous format technologique couramment utilisé:  Les Personnes concernées peuvent demander que les renseignements personnels que Nous détenons soient transférés à une autre organisation dans un format technologique structuré et couramment utilisé.
  4. Cessation de Diffusion et Désindexation : Les Personnes concernées peuvent demander de cesser de diffuser ses renseignements personnels et de désindexer tout lien rattaché à leur nom qui donne accès à ces renseignements en cas de diffusion qui contrevient à la loi ou à une ordonnance judiciaire.
  5. Droit de Plainte : Les Personnes concernées ont le droit de formuler des plaintes concernant la manière dont leurs données personnelles sont traitées par Notre Organisation. Ces plaintes seront traitées conformément à la procédure inscrite ci-dessous.

Processus de traitement des plaintes

Pour être recevable, une plainte doit :

Être formulée par écrit ;

– Être adressée à Notre Responsable de la protection des renseignements personnels à l’adresse courriel rprp@reginaassumpta.qc.ca ou par la poste aux coordonnées suivantes : par la poste aux coordonnées suivantes :   1750 Sauriol Est, Montréal, H2C 1X4

– Être formulée par une personne physique ;

– Être relative à une insatisfaction relative à la gestion ou la protection des renseignements personnels que Nous détenons ;

– Contenir le nom, le prénom et les coordonnées du plaignant(e) (une plainte ne peut pas être anonyme) ;

– Comporter une description de la problématique identifiée (la plainte doit décrire les évènements, circonstances, dates et périodes visées ainsi que les personnes impliquées) ;

– Contenir une description des démarches effectuées auprès de l’Organisation concernant la plainte ;

– Indiquer les résultats recherchés par le dépôt de la plainte, par exemple :

  • Cesser de recueillir les Renseignements personnels non nécessaires ;
  • Détruire les Renseignements personnels concernant le requérant ;
  • Modifier la pratique de l’Organisation ;

– Contenir une description des renseignements personnels faisant l’objet de la plainte ;

– Le cas échéant, joindre toute correspondance échangée avec Nous et toute documentation pertinente concernant la plainte ;

S’il est connu du plaignant, le numéro de dossier ou de participation concerné.

Dans certains cas, l’Organisation ne pourra pas traiter une plainte sans dévoiler l’identité d’un plaignant aux personnes ayant besoin de connaître l’identité du plaignant afin de pouvoir traiter la plainte. Dans ce cas, Notre Responsable de la protection des renseignements personnels ne transmettra que les renseignements nécessaires au traitement du dossier, notamment le nom, le prénom et un résumé de la plainte. Le requérant autorise l’Organisation à communiquer aux personnes impliquées au sein de l’Organisation, les renseignements personnels le concernant fournis au soutien de sa plainte. Ils ne seront communiqués que s’ils sont nécessaires à son traitement.

Nous refuserons également de traiter toute plainte frivole, abusive, manifestement de mauvaise foi ou contenant des propos à caractère haineux ou diffamatoires.

En cas de plainte irrecevable, Notre Responsable de la protection des renseignements personnels communiquera par écrit l’irrecevabilité de la plainte et les raisons sous-tendant son irrecevabilité.

Si la plainte est recevable, Notre Responsable de la protection des renseignements personnels procèdera à une enquête.

Lors de l’enquête, Notre Responsable de la protection des renseignements personnels doit analyser les faits pertinents et conclure, au regard de ces faits, si la plainte est fondée ou non.

Au terme d’un délai de 20 jours suivant la réception de tous les renseignements nécessaires au traitement de la plainte, Notre Responsable de la protection des renseignements personnels communiquent le résultat de son enquête au plaignant.

Si la plainte est fondée, Notre Responsable de la protection des renseignements personnels indiquera dans sa réponse, le cas échéant, toutes interventions réalisées ou toutes mesures correctrices que Nous acceptons d’implémenter pour remédier à la problématique visée par la plainte.

Si la plainte n’est pas fondée, Notre Responsable de la protection des renseignements personnels en indiquera les raisons dans sa réponse au plaignant.

Le Responsable de la protection des renseignements personnels doit ensuite inscrire la plainte et les résultats de son enquête dans Notre registre des plaintes.

Utilisation des renseignements à des fins de sondage

Avant de procéder à un sondage, Nous évaluons :

la nécessité de recourir au sondage ;

l’aspect éthique du sondage au regard, notamment, de la sensibilité des renseignements personnels recueillis et de la finalité de leur utilisation ;

À la suite de l’évaluation, les membres de Notre Personnel responsable du sondage doivent s’assurer de la conformité :

du format et des outils utilisés dans le cadre du sondage ;

des pratiques des sous-traitants pouvant se voir communiquer ou pouvant conserver ou collecter des renseignements personnels dans le cadre du sondage, le cas échéant ;

des mesures choisies qui permettraient de limiter ou d’éliminer les risques à la protection de la vie privée qui pourraient être causés en raison de la collecte, l’utilisation, la communication, la conservation ou la destruction des renseignements personnels collectés lors du sondage.

Le consentement libre, manifeste et éclairé de tous les participants doit être obtenu avant la collecte et l’utilisation de renseignements personnels à des fins de sondages. Le consentement doit également être exprès en cas de collecte, d’utilisation ou de communication de ces renseignements.

 

Gouvernance, rôles et responsabilité en matière de protection des renseignements personnels

La protection des renseignements personnels que l’Organisation détient repose sur l’engagement de tous ceux qui traitent ces renseignements et plus particulièrement le comité d’audit de Notre Conseil d’administration (ci-après le « CA »), Notre Comité sur l’accès à l’information et la protection des renseignements personnels (ci-après le « Comité ») et Notre Responsable de la protection des renseignements personnels.

Le rôle du comité d’audit du CA

Le comité d’audit de Notre CA a le rôle de s’assurer que le Responsable de la protection des renseignements personnels exerce ses fonctions de façon indépendante et impartiale. Il transmet ses recommandations au CA pour approbation, le cas échéant. Il doit également s’assurer que le Responsable de la protection des renseignements personnels dispose des ressources organisationnelles et financières suffisantes pour réaliser son rôle.

Le rôle du Comité

En matière de protection des renseignements personnels, le Comité est responsable, entre autres, d’approuver Nos règles de gouvernance et d’orientation en matière de protection des renseignements personnels. Le Comité soutient l’Organisation dans l’exercice et le respect de Nos obligations imposées par les Lois applicables.

Il doit également assister le Responsable de la protection des renseignements personnels dans le cadre de ses fonctions et traiter toute plainte adressée contre le Responsable de la protection des renseignements personnels si celles-ci concernent ses fonctions en matière de protection des renseignements personnels.

Finalement, le Comité doit être consulté en cas de toute évaluation des facteurs relatifs à la vie privée et approuver toute règles encadrant Notre gouvernance des renseignements personnels.

Le Rôle du Responsable de la protection des renseignements personnels

Notre Responsable de la protection des renseignements personnels est responsable, entre autres, de l’application et de la mise en œuvre des Lois applicables et des règles encadrant la gouvernance de l’Organisation en matière de protection des renseignements personnels. Le Responsable de la protection des renseignements personnels veille également au traitement de toutes plaintes ou requêtes liées aux renseignements personnels. Le Responsable de la protection des renseignements personnels doit également tenir à jour toute documentation requise par les Lois applicables en matière de protection des renseignements personnels et agir en tant que point de contact avec la Commission d’accès à l’information ou de toute autre autorité de contrôle en cas d’enquêtes, de communications ou de questionnements de celles-ci.

Les autres membres du Personnel

L’ensemble de Notre Personnel bénéficie à chaque rentrée scolaire d’une séance d’information portant sur la confidentialité, l’intégrité et la disponibilité des renseignements personnels et par conséquent est sensibilisé aux enjeux relatifs au traitement de la donnée.

Des audits réguliers évaluent Notre Programme de gouvernance de l’information afin d’assurer un maintien de Notre conformité. En cas de compromission de renseignements personnels, de stricts protocoles d’intervention sont en place pour une réaction immédiate et préventive. Nous procédons à un traitement équitable des renseignements personnels, en assurant le respect des principes à toute étape du cycle de vie du renseignement personnel, en permettant l’exercice des droits des Personnes concernées.

Notre implication

Nous avons mis en place des processus pour le traitement des renseignements personnels, incluant l’établissement de systèmes de surveillance pour détecter toute violation potentielle. En outre, Nous désirons maintenir un dialogue ouvert avec toute personne Nous partageant leurs données, les informant de Nos pratiques en matière de protection des renseignements personnels.

Cette Politique adresse les principes généraux applicables en matière de protection des renseignements personnels pour un organisme sans but lucratif. Pour toute question concernant des obligations spécifiques de Notre Organisation, Nous vous invitons à contacter Notre Responsable de la protection des renseignements personnels.

Allant au-delà de la simple conformité légale, cette Politique vise à instaurer et maintenir votre confiance, contribuant ainsi un environnement éducatif sécuritaire. Nous désirons assurer l’intégrité de Nos valeurs. Au collège Regina Assumpta, Nous sommes tous responsables de la protection de vos renseignements personnels.

Découvrez nos5 concentrations