Skip to main content

Objet et portée de la Politique

La Clinique Pelvi-Santé, (l’« Organisation ») », est engagée à respecter la vie privée de chacun conformément aux lois, règlements et normes applicables au Québec en matière de protection des Renseignements personnels. La présente politique de protection des Renseignements personnels (la « Politique ») a pour objectif d’énoncer les principes généraux auxquels l’Organisation adhère ainsi que les pratiques que nous mettons en œuvre lorsque nous recueillons, utilisons, communiquons, conservons, détruisons les Renseignements personnels de nos clients, fournisseurs, partenaires commerciaux, employés et autres personnes concernées, dans le cadre de nos activités. Cette Politique présente également les responsabilités qui incombent aux différents comités et aux cadres de l’Organisation.

La présente Politique s’applique à tous ses employés, comités, fournisseurs de services, partenaires commerciaux et autres contractants qui travaillent pour le compte ou avec l’Organisation ainsi que les personnes visées par l’article 13 des présentes.

 

Documents de référence

Législation pertinente

• Loi sur la protection des renseignements personnels dans le secteur privé, CQLR c P-39.1 (la « Loi sur le secteur privé »);
• Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, SQ 2021, c 25 (la « Loi 25 », sanctionnée le 22 septembre 2021);
• Loi sur les renseignements de santé et de services sociaux et modifiant diverses dispositions législatives, (le « Projet de loi 3 » ou « PL3 »)
• Loi visant à promouvoir l’efficacité et la capacité d’adaptation de l’économie canadienne par la réglementation de certaines pratiques qui découragent l’exercice des activités commerciales par voie électronique et modifiant la Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes, la Loi sur la concurrence, la Loi sur la protection des renseignements personnels et les documents électroniques et la Loi sur les télécommunications, LC 2010, ch. 23;
• Loi concernant le cadre juridique des technologies de l’information, RLRQ c C-1.1;
• Charte des droits et libertés de la personne, RLRQ c C-12;
• Code civil du Québec, RLRQ c CCQ-1991.

(collectivement, les « Lois québécoises sur la protection de la vie privée »)

 

Définitions
Les mots et expressions qui suivent, lorsqu’ils apparaissent avec une première lettre en majuscule dans la Politique, ont le sens qui leur est attribué ci-après, à moins d’une dérogation implicite ou explicite dans le texte :

Activité de traitement ou Traitement : désigne toute opération ou ensemble d’opérations effectuées sur des renseignements personnels ou des ensembles de renseignements personnels, que ce soit ou non par des moyens automatisés, tels que la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la divulgation par transmission, diffusion ou toute autre forme de mise à disposition, l’alignement ou la combinaison, la restriction, l’effacement ou la destruction.

Anonymiser : signifie tout moyen permettant de faire en sorte qu’un renseignement concernant un individu ne permette plus, de façon irréversible, d’identifier directement ou indirectement cette personne, le tout selon les meilleures pratiques généralement reconnues.

Dépersonnalisation : signifie toute méthode, incluant la suppression des noms et identifiants évidents, permettant de faire en sorte qu’un renseignement personnel ne permette plus d’identifier directement la personne concernée.

Évaluation des facteurs relatifs à la vie privée ou ÉFVP : désigne le processus conçu pour décrire les activités de traitement, évaluer la nécessité et la proportionnalité d’un traitement et aider à gérer les risques pour les droits et libertés des personnes physiques résultant du traitement de données à caractère personnel.

Incident de confidentialité : désigne tout accès non autorisé par la loi à un renseignement personnel, à son utilisation ou à sa communication, de même que sa perte ou toute autre forme d’atteinte à sa protection ou à son caractère confidentiel.

Pseudonymisation : signifie une mesure de sécurité réversible qui consiste à remplacer des renseignements facilement attribuables à une personne (par exemple, son nom et son prénom) par des renseignements qui ne permettent qu’une identification indirecte de la personne concernée (par exemple, un alias ou un numéro de référence).

Renseignements personnels : désigne tout renseignement qui concerne une personne physique et permet de l’identifier, c’est-à-dire qui révèle de manière directe ou indirecte ou par référence, quelque chose sur l’identité, les caractéristiques, les activités, l’emplacement ou d’autre informations identifiables (ex. : habiletés, préférences, tendances psychologiques, prédispositions, capacités mentales, caractère et comportement, situation économique culturelle ou sociale) de cette personne, et ce quelle que soit la nature du support et quelle que soit la forme sous laquelle ces renseignements sont accessibles (écrite, graphique, sonore, visuelle, informatisée ou autre) et inclus dans tous les cas, un Renseignement personnel sensible.

À titre d’exemples, sont considérés comme des Renseignements personnels :

• le nom, prénom et pseudonyme d’une personne ;
• l’âge ;
• l’origine ethnique ;
• l’adresse civique ;
• le numéro de téléphone ;
• l’adresse courriel et les messages ;
• l’adresse IP et les données de géolocalisation ;
• le niveau d’éducation ;
• les informations sur la vie personnelle ;
• les renseignements relatifs à un travail et aux antécédents professionnels, incluant les renseignements traduisant l’appréciation du travail par des supérieurs ou collègues de travail ;
• le contenu des recherches effectuées en ligne et les préférences d’utilisateur ;
• les données biométriques ;
• les informations bancaires et financières, incluant les relevés fiscaux, les numéros de carte de crédit et de débit ;
• le dossier médical, le numéro d’assurance maladie et les informations sur l’état de santé (ex. : notes, évaluations cliniques et diagnostics) ;
• les relevés de compte de téléphone cellulaire utilisé ou non pour le travail ;
• le numéro d’assurance sociale (NAS), le numéro de permis de conduire, le numéro de passeport ou d’autres identifiants similaires.

Renseignements personnels sensibles : un renseignement personnel est considéré comme sensible lorsque, par sa nature ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d’attente raisonnable en matière de respect de la vie privée. Il peut s’agir, par exemple, de renseignements médicaux, biométriques, génétiques ou financiers, ou encore de renseignements sur la vie ou l’orientation sexuelle, les convictions religieuses ou philosophiques, l’appartenance syndicale ou bien l’origine ethnique.

Renseignement de la santé : désigne tout renseignement concernant l’état de santé physique ou mentale d’une personne et ses facteurs déterminants. Ceci comprend également les antécédents médicaux ou familiaux de la personne, de même que tout matériel prélevé sur la personne dans le cadre d’une évaluation ou d’un traitement. Sont également considérés les services de santé ou les services sociaux offerts à la personne, notamment leur nature, résultat, lieu(x) où ils ont été offerts ainsi que l’identité des personnes qui les a offertes.

Responsable de la protection des renseignements personnels : désigne l’individu qui veille à assurer le respect et la mise en œuvre des Lois québécoises sur la protection de la vie privée au sein de l’Organisation.

 

Principes généraux

La Loi sur le secteur privé du Québec, la Loi 25 et le PL3, ainsi que certains contrats avec laquelle l’Organisation est liée obligent cette dernière à se conformer aux principes généraux suivants :

Responsabilisation et gouvernance
L’Organisation est responsable de la protection des Renseignements personnels qu’elle détient, utilise, traite, communique, conserve ou détruit. Elle doit notamment :
• désigner une personne chargée d’assurer le respect et la mise en œuvre des Lois québécoises sur la protection de la vie privée, incluant les principes énoncés ci-dessous;
• aviser la Commission d’accès à l’information et le Ministre de la Santé et des Services sociaux (le « Ministre ») du nom et des coordonnées du Responsable de la protection des renseignements personnels;
• établir et mettre en œuvre des politiques et des pratiques encadrant sa gouvernance à l’égard des Renseignements personnels;
• répondre aux demandes d’accès et de rectification qui lui sont transmises;
• publier sur son site Web, sa politique de gouvernance de l’information relatant les politiques et pratiques en vigueurs;
• aviser la Commission d’accès à l’information, le Ministre et les personnes concernées de tout Incident de confidentialité.

Consentement
Avant de recueillir, d’utiliser ou de communiquer des Renseignements personnels, l’Organisation doit obtenir un consentement valable de la personne concernée compte tenu du caractère sensible des Renseignements personnels et des Renseignements de la santé en cause. Ce consentement doit être manifeste, libre, éclairé et être donné à des fins spécifiques. Il doit être demandé pour chacune de ces fins en termes simples et clairs, distinctement de toute autre information communiquée à la personne concernée. En principe, le consentement explicite est la règle tandis que le consentement implicite est l’exception.
Le consentement ne vaut que pour la durée nécessaire à la réalisation des fins pour lesquelles il a été demandé. L’Organisation doit obtenir un consentement supplémentaire de la personne concernée pour utiliser les Renseignements personnels visés à une fin secondaire ou autre.

Équité et légalité
Les Renseignements personnels doivent être traités par des moyens équitables et légaux tout au long de leur cycle de vie.
De plus, l’Organisation doit informer ses employés à l’égard des politiques et des pratiques de gestion des Renseignements personnels qu’elle met en œuvre dans le cadre de ses activités. Ces politiques et pratiques doivent être rédigées en termes simples et clairs et être faciles d’accès.

Transparence
L’Organisation doit informer ses clients et ses employés des politiques et des pratiques de gestion des Renseignements personnels qu’elle met en œuvre dans le cadre de ses activités et opérations. Ces politiques et pratiques doivent être rédigées en termes simples et clairs et être faciles d’accès.
Ainsi, avant de recueillir ou au moment de recueillir des Renseignements personnels, et par la suite sur demande, l’Organisation doit communiquer aux personnes concernées les informations minimales suivantes:
• Le nom de l’organisme pour laquelle le renseignement est recueilli;
• Les fins légitimes auxquelles ces renseignements sont recueillis;
• Les moyens par lesquels les renseignements sont recueillis;
• Les droits d’accès et de rectification prévus par la loi;
• Le droit pour la personne concernée de retirer son consentement à la communication ou à l’utilisation de ses renseignements;
• Le droit pour la personne concernée de restreindre ou refuser l’accès à son renseignement tel que prévu à l’article 4.9 de la présente Politique;
• La durée de conservation du Renseignement de la santé;
• La possibilité que les renseignements soient communiqués à l’extérieur du Québec, le cas échéant.

Les informations mentionnées précédemment doivent être communiquées à la personne concernée seulement une fois au cours d’un même épisode de prestation de soins.

Sur demande de sa part, la personne concernée doit également être informée des éléments suivants :

• Les fins pour lesquelles les Renseignements ont été collectées;
• Les Renseignements personnels recueillis auprès d’elle;
• Les catégories de personnes qui ont accès à ces Renseignements personnels au sein de l’Organisation;
• La durée de conservation de ces renseignements;
• Les coordonnées du Responsable de la protection des renseignements personnels.

Déterminer les fins de la collecte et de l’utilisation
Les Renseignements personnels doivent être recueillis et utilisés à des fins spécifiques, explicites et légitimes, c’est-à-dire directement liées et manifestement nécessaires à la réalisation des Activités de traitement pour lesquelles ils ont été recueillis. Ces fins doivent être établies avant la collecte et l’utilisation des Renseignements personnels et ne doivent pas être traités ultérieurement d’une manière incompatible avec ces fins établies à moins d’obtenir le consentement de la personne concernée. L’Organisation doit faire preuve d’honnêteté et de transparence au sujet des raisons pour lesquelles elles recueillent des Renseignements personnels.

Exactitude et rectification
L’Organisation doit veiller à ce que les Renseignements personnels qu’elle détient soient à jour et exacts au moment où elle les utilise pour prendre une décision relative à la personne concernée. Cette obligation vise à sauvegarder l’intégrité de l’information, tant dans son fond que sa forme, et à s’assurer que la personne concernée ne subit pas un préjudice basé sur un renseignement qui est inexact ou désuet à son égard. Des mesures raisonnables doivent être prises pour que les Renseignements personnels soient effacés ou rectifiés en temps opportun.

Conservation et anonymisation
Les Renseignements personnels ne doivent être conservés que pour la durée nécessaire à la réalisation des fins pour lesquelles ils ont été recueillis. Lorsque ces fins ont été accomplies, l’Organisation doit détruire les Renseignements personnels. L’Organisation peut également Anonymiser les Renseignements personnels, selon les meilleures pratiques généralement reconnues, pour les utiliser à des fins sérieuses et légitimes seulement.
Il est possible que certaines lois spécifient une période de conservation, que l’Organisation sera tenue de respecter.

Sécurité et confidentialité
L’Organisation a l’obligation de mettre en place des mesures de sécurité raisonnables propres à assurer la protection des Renseignements personnels qu’elle détient, utilise, communique, conserve ou détruit, contre la perte, le vol ou tout accès, communication, copie, utilisation, traitement, modification ou destruction non autorisé ou abusif.
Ces mesures de sécurité doivent tenir compte notamment du degré de sensibilité des Renseignements personnels visés, de la finalité de leur utilisation, de leur quantité, de leur répartition, de leur méthode de conservation, de leur support et de leur format ainsi que des risques liés au respect de la vie privée.
Des mesures de sécurité adéquates devraient comprendre plusieurs couches de sécurité qui incluent, sans s’y limiter, des moyens techniques, matériels, organisationnels et administratifs.

Restriction d’accès
L’accès aux Renseignements de la santé peut être restreint par la personne concernée. Cette dernière peut déterminer qu’un intervenant particulier ou qui appartient à une catégorie d’intervenants ne peut avoir accès à un ou plusieurs renseignements qu’elle identifie.
Elle peut également refuser qu’un renseignement la concernant, présent ou à venir, soit accessible à certaines personnes à compter du moment que le Renseignement de la santé est détenu par l’Organisation. Les personnes à qui cet accès peut être restreint sont :
• Son conjoint , son ascendant direct ou son descendant direct s’il s’agit d’un Renseignement relatif à la cause de son décès;
• Un chercheur, si l’accès envisagé est à des fins de sollicitation en vue de sa participation à un projet de recherche;
• Un chercheur qui n’est pas lié à l’Organisation ou à un établissement public ou privé conventionné qui exploite un centre hospitalier.
En tout temps, ce désir de restreindre ou d’interdire l’accès doit être fait de façon expresse, sans ambiguïté et non équivoque.

 

Fins de Traitement légitimes
L’Organisation peut utiliser les Renseignements personnels de ses employés pour des fins légitimes, dont celles qui sont décrites ci-dessous :

Gestion des ressources humaines
Pour permettre à l’Organisation de réaliser ses activités de gestion des ressources humaines, notamment en ce qui concerne le processus du recrutement, l’exécution d’un contrat de travail, la cessation d’emploi, la gestion des performances et la formation des employés, la rémunération et les avantages sociaux, les services aux employés, la santé et à la sécurité au travail, ainsi que toute autre activité visant à la gestion des ressources humaines ou la protection des intérêts des employés.

Autres activités
Pour permettre à l’Organisation de réaliser ses activités et opérations commerciales, telles que la gestion des actifs de l’Organisation, la prestation de services informatiques ou web, la sécurité de l’information, la réalisation d’audits et d’enquêtes internes, le respect des obligations de ses contrats commerciaux, obtenir des conseils juridiques ou commerciaux, la préparation de litiges juridiques, etc.

Conformité avec la loi
Pour permettre à l’Organisation de se conformer à ses obligations légales et à toute autre fin requise par la loi, incluant celle de divulguer des Renseignements personnels des employés aux autorités fiscales compétentes afin de se conformer aux lois fiscales applicables.

 

Intégration de la protection des Renseignements personnels aux activités commerciales

Pour pouvoir se conformer aux principes généraux énoncés ci-dessus, l’Organisation doit intégrer les pratiques décrites ci-dessous dans ses opérations et activités commerciales.

Collecte de Renseignements personnels
Lorsque nous collectons des Renseignements personnels, c’est d’abord directement auprès de la personne concernée que nous les recueillons, après avoir mentionné l’information prévue à l’article 4.5.
Cependant, si des Renseignements personnels sont recueillis auprès de tiers, le Responsable de la protection des renseignements personnels doit s’assurer que la collecte est autorisée par la loi et qu’elle respecte les politiques et pratiques de l’Organisation à ce sujet.
En tout temps, nous limitons la collecte des Renseignements personnels à ce qui est nécessaire pour les fins déterminées qui ont été mentionnées.

Collecte de Renseignements personnels des employés
Lorsque nous recueillons des Renseignements personnels des employés, cette collecte doit se limiter aux Renseignements personnels qui sont strictement nécessaires à la réalisation des fins prévues telles que celles énoncées à l’article 4.5.
Si des Renseignements personnels d’un candidat à un emploi sont recueillis auprès de tiers, nous nous assurons que la collecte est effectuée par des moyens légitimes et légaux dans le respect des lois, des politiques et pratiques de l’Organisation.

Utilisation, conservation et destruction
Les objectifs, les méthodes, la période de conservation et les limites de stockage des Renseignements personnels sont conformes aux informations contenues dans la Politique sur la gestion intégrée des documents.
C’est le RPRP qui procède à une vérification annuelle des Renseignements personnels collectés et traités et construit un Registre des Renseignements personnels décrivant les renseignements utilisés au sein des documents produits par l’Organisation, les fins pour lesquelles ces renseignements ont été produits, les délais de conservation de ces documents et des renseignements qu’ils contiennent ainsi que les droits d’accès relatifs à chacun de ces documents.
Puisque nous devons maintenir l’exactitude, l’intégrité, la confidentialité et la pertinence des Renseignements personnels en fonction de la finalité du Traitement et de plus, ne les conserver que pour le temps dont nous en avons besoin à ces fins, nous avons mis en place des mécanismes de sécurité raisonnables et adéquats pour empêcher le vol, l’utilisation abusive ou frauduleuse des Renseignements personnels et prévenir les Incidents de confidentialité.
C’est pourquoi nous nous assurons également que les Renseignements personnels en notre possession ne sont ni détruits ni modifiés illégalement et nous nous engageons également à ne pas vendre ou fournir les Renseignements personnels à un tiers de manière illégale ou sans en obtenir l’autorisation. Nous effectuons des audits régulièrement pour nous en assurer.

Utilisation, conservation et destruction des Renseignements personnels des employés
Pour la presque totalité des Renseignements personnels des employés – y compris les dossiers relatifs à la paie et aux avantages sociaux, les dossiers personnels officiels et officieux, les enregistrements de navigation sur Internet, le courrier électronique et les pistes d’audit – les règles fondamentales suivantes doivent être respectées afin de maintenir un équilibre entre les droits de l’Organisation et ceux des employés :
• L’Organisation doit traiter les Renseignements personnels des employés qu’aux seules fins pour lesquelles ceux-ci ont été recueillis et ne conserver ces derniers que pour le temps dont elle en a besoin à ces fins, sauf si elle a le consentement de l’employé concerné de les utiliser à d’autres fins ou s’il doit, en vertu des lois applicables, utiliser ou communiquer les Renseignements personnels de l’employé à d’autres fins.
• L’Organisation doit mettre en place des mesures de sécurité raisonnables propres à assurer la protection des Renseignements personnels de ses employés qu’elle détient, utilise, communique, conserve ou détruit, contre la perte, le vol ou tout accès, communication, copie, utilisation, traitement, modification ou destruction non autorisé ou abusif. Des mesures de sécurité adéquates devraient comprendre plusieurs couches de sécurité qui incluent, sans s’y limiter, des moyens techniques, matériels, organisationnels et administratifs permettant d’assurer la gestion des risques, des incidents et la continuité des activités.
• L’Organisation doit s’assurer de ne pas détruire ou modifier illégalement les Renseignements personnels des employés. L’Organisation doit également s’assurer de ne pas accéder, vendre ou fournir les Renseignements personnels des employés à un tiers de manière illégale ou sans autorisation.
Le Responsable de la protection des renseignements personnels de l’Organisation décidera laquelle des mesures suivantes sera la plus adéquate pour minimiser les risques liés à la protection des Renseignements personnels des employés : (i) l’Anonymisation ou (ii) la Pseudonymisation.

Divulgation à des tiers
Avant de transférer des Renseignements personnels à un fournisseur de services ou un partenaire commercial, le Responsable de la protection des renseignements personnels doit, à chaque fois, conclure un contrat écrit avec ce tiers, comme l’Entente relative à la sécurité de l’information concernant le Traitement des Renseignements personnels par un fournisseur de services, lequel doit prévoir au minimum :
• Une description des mesures prises par le fournisseur de services pour assurer la protection du caractère confidentiel des Renseignements personnels communiqués (ex. une description des mesures de sécurité);
• Une obligation pour le fournisseur de services de n’utiliser les Renseignements personnels qu’aux fins de la prestation des services et de ne pas conserver ces renseignements après l’expiration du contrat;
• Une obligation pour le fournisseur de services d’informer sans délai le Responsable de la protection des renseignements personnels de toute violation ou tentative de violation d’une obligation relative à la confidentialité des renseignements et de permettre au responsable de la protection des Renseignements personnels d’effectuer toute vérification relative aux exigences de confidentialité.

À cette fin, le « Questionnaire de conformité à l’attention des sous-traitants » doit être utilisé. Une fois le formulaire rempli et retourné à l’attention du Responsable de la protection des renseignements personnels, ce dernier analyse avec le Comité de gestion intégrée des documents et de sécurité de l’information. Sur la base de cette analyse, le Comité de gestion intégrée des documents et de sécurité de l’information et le Responsable de la protection des renseignements personnels doivent entreprendre des discussions avec le fournisseur de services afin qu’il implante au sein de son entreprise une politique de gouvernance qui respectera la politique de gouvernance en place au sein de l’Organisation et le tiers devra s’engager à conclure une Entente relative à la sécurité de l’information.

Divulgation dans le cadre d’une transaction commerciale
Si la divulgation de Renseignements personnels est nécessaire dans le cadre d’une transaction commerciale, le Responsable de la protection des renseignements personnels doit, à chaque fois, conclure une entente écrite avec les parties à la transaction qui prévoit notamment que la partie recevant communication des Renseignements personnels s’engage à :
• n’utiliser ces renseignements qu’aux seules fins de la conclusion de la transaction;
• ne pas communiquer ces renseignements sans avoir obtenu le consentement des individus concernés;
• prendre les mesures nécessaires pour assurer la protection du caractère confidentiel de ces Renseignements personnels;
• détruire ces Renseignements personnels si la transaction n’est pas conclue ou si leur utilisation n’est plus nécessaire aux fins de sa conclusion.
À cette fin, le ou les cocontractants doivent conclure avec l’Organisation un Engagement de confidentialité.

Transfert à l’extérieur du Québec
Le Responsable de la protection des renseignements personnels doit effectuer une Évaluation des facteurs relatifs à la vie privée (« ÉFVP ») avant de communiquer des Renseignements personnels à l’extérieur du Québec afin de déterminer si les Renseignements personnels bénéficieront d’une protection adéquate et suffisante au regard notamment des principes de protection des renseignements personnels généralement reconnus. Cette ÉFVP doit tenir compte de:
• la sensibilité du renseignement;
• la finalité de son utilisation;
• les mesures de protection dont il bénéficierait;
• le régime juridique applicable de la juridiction (exemple: pays, province, État) visée par la communication, notamment eu égard à son degré d’équivalence par rapport aux principes prévalant au Québec en matière de protection des Renseignements personnels.

Droit d’accès et rectification
En tout temps, toute personne bénéficie d’un accès gratuit (ou à un prix modique pour obtenir des reproductions) à ses Renseignements personnels. Elle peut également faire corriger ou mettre à jour les renseignements inexacts, sous réserve des exceptions prévues par la loi. Ces demandes sont traitées dans un délai de 30 jours et sont inscrites au Registre des demandes d’accès et de rectifications. Si une demande d’accès est refusée, le RPRP y répond par écrit et explique les raisons de ce refus.
Toute demande d’accès ou de rectification à un Renseignement personnel ou un Renseignement de la santé doit obligatoirement être fait par écrit et soumis au Responsable de la protection des renseignements personnels de l’Organisation.
Toutefois, lorsqu’en vertu de l’avis d’un professionnel de la santé ou des services sociaux, il est jugé que l’accès aux Renseignements de la santé pourrait causer un préjudice grave pour la santé de la personne concernée, ce droit peut lui être refusé momentanément. L’Organisation a alors l’obligation de documenter les motifs justifiant cette décision et avec mention du moment où le droit pourra être exercé de nouveau par la personne concernée.
Lorsqu’elle répond à une demande d’accès, l’Organisation doit d’abord s’assurer de vérifier l’identité de la personne qui fait la demande avant de lui transmettre ou de lui communiquer des Renseignements personnels.

Droit à la portabilité
Une personne peut demander que les Renseignements personnels recueillis à son sujet soient communiqués ou transférés à une autre organisation qu’elle désigne dans un format technologique et couramment utilisé. Ceci exclut les renseignements créés ou inférés par l’Organisation à partir de l’analyse des Renseignements personnels de la personne concernée. L’Organisation n’est pas tenue de détruire les Renseignements personnels qu’elle détient après avoir traité une demande de portabilité.

Droit à la désindexation (Droit à l’oubli)
Toute personne peut, sous réserve de certaines conditions, nous demander de cesser de diffuser des Renseignements personnels la concernant ou de désindexer tout hyperlien rattaché à son nom qui donne accès à ces Renseignements personnels si cette diffusion lui cause un préjudice ou contrevient à la loi ou à une ordonnance judiciaire. Si ces Renseignements sont ainsi utilisés par un mandataire, nous verrons à lui demander de procéder à cesser de diffuser ou de procéder à la désindexation.

 

Lignes directrices pour un Traitement équitable

Les Renseignements personnels ne doivent être recueillis, utilisés, communiqués, conservés ou détruits que lorsque le Responsable de la protection des renseignements personnels l’autorise explicitement.

Consentement des mineurs de moins de 14 ans
Lorsque la collecte de Renseignements personnels concerne un enfant de moins de 14 ans, le Responsable de la protection des renseignements personnels doit s’assurer que le consentement de l’autorité parentale ou du tuteur du mineur a été obtenu avant la collecte, le Formulaire de consentement parental peut être utilisé notamment.
Un mineur de moins de 14 ans ne peut être informé de l’existence d’un Renseignement de la santé le concernant ni d’y avoir accès, sauf par l’intermédiaire de son avocat dans le cadre d’une procédure judiciaire. Toutefois, le titulaire de l’autorité parentale ou le tuteur peut être informé de tout Renseignement de la santé concernant le mineur, sauf exception permise par la loi, et a le droit de rectifier ce renseignement, le cas échéant.
Dans le cas d’un mineur de 14 ans et plus, le titulaire de l’autorité parentale ou le tuteur a le droit d’être informé de l’existence d’un Renseignement de la santé concernant ce mineur et de le rectifier, le cas échéant, seulement si l’Organisation a préalablement consulté le mineur en question et qu’elle détermine qu’il ne découlerait vraisemblablement pas de préjudice pour sa santé ou sa sécurité.

Les majeurs inaptes
Une personne peut être informée de l’existence d’un Renseignement de la santé contenu dans les rapports d’évaluation médicale et psychosociale du majeur inapte et d’y avoir accès sous les conditions suivantes :
• Elle doit attester sous serment qu’elle entend demander l’ouverture ou la révision d’une tutelle, l’homologation d’un mandat de protection ou la représentation temporaire du majeur inapte;
• Une évaluation doit conclure à l’inaptitude de la personne concernée de prendre soin d’elle-même et à administrer ses biens ou à accomplir un acte déterminé.

 

Organisation et gouvernance

La responsabilité de garantir la protection et le Traitement adéquat des Renseignements personnels incombe à l’Organisation et à toute personne qui travaille avec ou pour le compte de l’Organisation et qui a accès aux Renseignements personnels de l’Organisation.

Les principales responsabilités en matière de gouvernance et de gestion des Renseignements personnels relèvent des rôles organisationnels suivants :

Le Responsable de la protection des Renseignements personnels est responsable des tâches suivantes, tel que défini dans le document intitulé « Description du poste de Responsable de la protection des renseignements personnels » :

o Gérer et mettre en œuvre la politique de gouvernance de l’information;
o Développer et promouvoir les politiques et les pratiques de l’Organisation en matière de protection des Renseignements personnels;
o Surveiller et analyser les lois sur la vie privée applicables ainsi que les changements qui sont envisagés ou apportés par le législateur;
o Élaborer et maintenir à jour les exigences de conformité que l’Organisation doit respecter et aider celle-ci à atteindre ses objectifs en matière de protection des Renseignements personnels.

Le Comité de gestion intégrée des documents et de sécurité de l’information est responsable des tâches suivantes :
Gestion de la protection des renseignements personnels
• Prendre des décisions et approuver les stratégies générales de l’Organisation en matière de protection des Renseignements personnels.
• Approuver toute déclaration publique touchant à la protection des Renseignements personnels jointe à des communications telles que des courriels, des lettres et des avis publics.
• Répondre à toute demande de renseignements sur la protection des Renseignements personnels provenant de journalistes ou d’organes de presse.

Gestion des risques et sécurité
• S’assurer que tous les systèmes, services et équipements informatiques utilisés par l’Organisation pour le stockage des données et des Renseignements personnels répondent à des normes de sécurité acceptables.
• Effectuer des évaluations, des analyses et des mises à jour régulières pour s’assurer que le matériel, les technologies et les logiciels de sécurité fonctionnent correctement.
• S’assurer que l’Organisation se réserve le droit d’auditer les fournisseurs de services et d’autres tierces parties.
• Déterminer et surveiller les droits d’accès aux documents et autres données de l’Organisation.
• Sensibiliser les fournisseurs de services et autres tiers qui travaillent avec ou pour le compte de l’Organisation à la protection des Renseignements personnels.
• Offrir aux employés de la formation continue sur les Incidents de confidentialité et les techniques de cyberattaque afin de les tenir à jour et d’éviter que les mesures de contrôle informatiques ne deviennent inutiles.

Gestion documentaire
• Participer à l’élaboration de la documentation et à l’implantation des politiques et procédures développées dans le cadre de la politique de gouvernance de l’information et notamment la Politique sur la gestion intégrée des documents et de sécurité de l’information.
• Recevoir, enregistrer, classer et voir à la destruction des documents et des Renseignements personnels compris dans ceux-ci à la fin de leur délai de rétention.
• Participer à la mise à jour des outils de classification, du calendrier de conservation et de tout autre outil similaire.
• Offrir aux employés ayant un accès aux systèmes essentiels de l’Organisation une formation de base sur les bonnes pratiques en matière de gestion documentaire et des Renseignements personnels.
• S’assurer que les Renseignements personnels des employés soient traités à des fins légitimes et nécessaires par l’employeur.
• Gérer les transferts de Renseignements personnels aux fournisseurs de services et autres tiers qui travaillent avec ou pour le compte de l’Organisation.
• Transmettre aux fournisseurs de services et autres tiers qui travaillent avec ou pour le compte de l’Organisation la documentation pertinente en matière de protection des Renseignements personnels.

 

Signalement d’incidents de confidentialité et réponse aux plaintes

Toute personne physique dont les renseignements personnels sont concernés par un Incident de confidentialité réel ou appréhendé peut formuler une plainte au Responsable de la protection des renseignements personnels, laquelle sera traitée conformément à la Procédure de réponse et de notification en cas de plainte et/ou d’incidents de confidentialité.

Toute personne qui constate un Incident de confidentialité réel ou appréhendé visant les Renseignements d’une ou de plusieurs tierces personnes concernées doit, dans les meilleurs délais, effectuer un signalement au Responsable de la protection des renseignements personnels conformément à la Procédure de réponse et de notification en cas d’incident de confidentialité.

L’Organisation doit aviser la Commission d’accès à l’information, le Ministre et les personnes concernées de tout Incident de confidentialité qui présente un risque de préjudice sérieux compte tenu de la sensibilité des renseignements concernés, des conséquences appréhendées de leur utilisation et la probabilité qu’ils soient utilisés à des fins préjudiciables.

 

Audit

Le Responsable de la protection des Renseignements personnels est chargé d’auditer la manière dont l’Organisation met en œuvre la présente Politique.

 

Sanctions

Toute personne qui enfreint cette Politique fera l’objet d’une sanction disciplinaire et pourra également être soumise à des poursuites civiles ou pénales si sa conduite enfreint les lois ou les règlements applicables.

 

Conflits

La présente Politique vise à se conformer aux lois et règlements et aux ententes d’affaires qui s’appliquent à l’Organisation dans le cadre de ses opérations et activités commerciales. En cas de conflit entre la présente Politique et les lois et règlements applicables, ces derniers prévaudront.

 

Autres membres du personnel
L’Organisation doit également respecter et mettre en application la présente Politique lorsqu’elle exerce une Activité de traitement des Renseignements personnels des autres membres de son personnel, ce qui comprend notamment: (i) les personnes qui postulent auprès de l’Organisation ou qui prenne part au processus de recrutement de l’Organisation (ii) les anciens employés de l’Organisation ainsi que (iii) les personnes non-employés qui travaillent dans les bureaux de l’Organisation, dont les travailleurs autonomes, consultants, bénévoles et stagiaires.

 

Informations pertinentes
Responsable de la protection des renseignements personnels de l’Organisation, Tanya Gutierrez : t.gutierrez@pelvisante.com