Politique de confidentialité
1. Contexte
La protection des renseignements personnels et la gestion des incidents de confidentialité sont des enjeux de société que nous considérons sérieusement. C’est pourquoi l’APE se conforme avec diligence aux exigences de la loi 25 et adhère donc aux définitions en lien avec celle-ci. Le terme « incident de confidentialité » se définit comme tout accès, utilisation ou communication non autorisés par la loi d’un renseignement personnel, de même qu’à la perte d’un renseignement personnel ou à toute autre atteinte à sa protection.
De plus, le terme « renseignement personnel » se définit donc comme tout renseignement, pris seul ou en combinaison avec d’autres renseignements disponibles, concernant un individu et qui permet de l’identifier, tel que des renseignements sur sa situation financière, son mode de vie ou sa santé. Toutefois, le nom d’un individu, de même que ses coordonnées professionnelles, soit son titre, adresse, numéro de téléphone et adresse électronique professionnelle ne sont pas des renseignements personnels.
Les renseignements personnels doivent être protégés peu importe la nature de leur support et quelle que soit leur forme : écrite, graphique, audio, visuelle, informatisée ou autre.
2. Notre responsabilité
L’APE est responsable de tous les renseignements personnels qu’elle a en sa possession ou dont elle a la gestion, notamment les renseignements personnels que nous recevons directement, par exemple, de nos client.e.s et de notre personnel.
L’APE adhère aux bonnes pratiques en matière de cybersécurité en conduisant, en concert avec notre partenaire TI (technologie de l’information), un programme holistique et rigoureux en cybersécurité se basant sur le cadre référentiel NIST (National Institute of Standards and Technology). Nous avons donc réalisé une appréciation des risques cyber sur nos actifs TI, et avons développé une stratégie de gestion du risque cyber visant à appliquer une série de mesures d’atténuation pour protéger nos actifs TI, incluant les renseignements personnels. Les risques cyber se définissent comme étant des risques liés à l’usage des technologies numériques pouvant être définis comme un risque opérationnel portant sur la confidentialité, l’intégrité ou la disponibilité des données et des systèmes d’information.
Nous avons également assigné un.e responsable de la protection des renseignements personnels et avons délégué certaines responsabilités en cybersécurité à notre partenaire TI par le biais d’une offre de services gérés en cybersécurité. L’exécution de notre programme en cybersécurité, réalisée en partenariat avec notre firme TI, assure une protection de la vie privée et des renseignements personnels pour le compte de l’APE. Nous avons également publié sur notre site Internet et informé notre personnel de l’existence de notre Politique de confidentialité et de notre Cadre de règles et procédures de la gestion des renseignements personnels, ainsi que du rôle que chacun.e doit jouer pour assurer la protection des renseignements personnels de nos clients et des membres de notre équipe.
Si vous avez des questions en ce qui concerne nos pratiques en cette matière, n’hésitez pas à communiquer avec M. Alain Raymond, responsable de la protection des renseignements personnels, à l’adresse araymond@ape.qc.ca ou au 418-628-6389 poste 230.
3. Les fins de la collecte des renseignements personnels
L’APE recueille, utilise et communique des renseignements personnels concernant les membres de son équipe, afin de se conformer aux lois, aux règlements et aux normes professionnelles; de leur procurer des avantages; d’administrer des outils de gestion du rendement; d’administrer, de gérer, de surveiller et de faire respecter les programmes et les politiques de l’APE et ses relations avec ses employé.e.s; et, de façon générale, d’établir et de gérer les liens d’emploi ou d’association ou d’y mettre fin.
L’APE est également susceptible de recueillir, d’utiliser et de communiquer des renseignements personnels concernant les personnes qui sollicitent un emploi chez nous.
Il se peut que des renseignements personnels soient recueillis sans que les personnes concernées en soient avisées ou sans qu’elles donnent leur consentement, dans la mesure permise par la loi.
4. Le consentement
L’APE s’assure d’obtenir le consentement des personnes concernées avant de recueillir, d’utiliser ou de communiquer les renseignements personnels, sauf dans les cas autorisés ou requis par la loi.
5. Limites de la collecte
L’APE recueille, par des moyens légitimes et légaux, seulement les renseignements personnels qu’il peut raisonnablement juger nécessaires pour pouvoir rencontrer ses obligations légales, offrir ses services et exercer ses activités.
6. Limites de l’utilisation et la communication
L’APE utilise et communique les renseignements personnels aux seules fins pour lesquelles il a obtenu votre consentement ou conformément à ce que permet ou exige la loi. Si l’APE requiert le besoin d’utiliser ou de communiquer des renseignements personnels concernant une personne à des fins qui n’auraient pas été́ signalées précédemment, l’APE demandera au préalable le consentement de la personne concernée, à moins que la loi exige ou permette d’utiliser ou de communiquer les renseignements personnels sans obtenir le consentement de la personne.
L’APE conserve les renseignements personnels aussi longtemps que nécessaire à la réalisation des fins déterminées sauf dans les cas autorisés ou requis par la loi. Tous les dossiers des ressources humaines et les autres dossiers qui contiennent des renseignements personnels concernant les employé.e.s de l’APE sont détruits lorsque ces renseignements ne peuvent plus être raisonnablement considérés comme nécessaires à des fins légales, réglementaires ou administratives. Le Cadre de règles et procédures de la gestion des renseignements personnels vient clarifier le cycle de vie de l’utilisation des renseignements personnels.
7. Exactitude
Dans le but de s’assurer que les renseignements personnels recueillis soient pertinents aux fins auxquelles ceux-ci sont utilisés, l’APE effectue des efforts considérables pour maintenir l’intégrité des renseignements personnels de particuliers et d’en faire une mise à jour régulière.
Les personnes concernées par les renseignements personnels recueillis doivent communiquer par écrit au responsable de la protection des renseignements personnels pour faire une demande de rectification.
8. Mesures de sécurité
L’APE s’engage à protéger les renseignements personnels et adhère aux bonnes pratiques en matière de cybersécurité en conduisant un programme holistique et rigoureux se basant sur le cadre référentiel NIST. Une appréciation des risques cyber sur nos actifs TI a été complétée et est révisée régulièrement, et une stratégie de gestion du risque cyber a été développée visant à définir et appliquer une série de mesures d’atténuation de risque pour protéger nos actifs TI incluant nos renseignements personnels.
9. Transparence
L’APE pourra mettre à la disposition des personnes intéressées sur demande de l’information sur sa Politique de confidentialité et sur son Cadre de règles et procédures de la gestion des renseignements personnels. L’APE s’engage également à répondre à toute demande d’information soumise par écrit au responsable de la protection des renseignements personnels touchant les questions en lien avec ses politiques et pratiques de gestion des renseignements personnels.
10. Accès
Les personnes concernées ont le droit d’examiner les renseignements personnels que l’APE a en sa possession et d’en obtenir une copie. À cette fin, ils doivent communiquer avec le responsable de la protection des renseignements personnels.
Le droit d’accéder aux renseignements personnels est assujetti à certaines restrictions légales et l’APE prend les mesures raisonnables pour vérifier la pertinence de la demande et l’identité d’un individu avant de lui donner cet accès.
Dans la plupart des cas, les demandeur.euse.s recevront une réponse dans les 30 jours. Si une personne a quelque inquiétude en matière d’accès, nous l’encourageons à communiquer avec M. Alain Raymond, le responsable de la protection des renseignements personnels, à l’adresse araymond@ape.qc.ca ou au 418-628-6389 poste 230.
11. Plaintes
Nous savons qu’il est important d’assurer la protection de la vie privée et des renseignements personnels des personnes concernées. Si vous avez des questions ou des préoccupations quant au respect de votre vie privée et de vos renseignements personnels, et quant au rôle que nous jouons à cette fin, veuillez communiquer avec M. Alain Raymond, responsable de la protection des renseignements personnels, à l’adresse araymond@ape.qc.ca ou au 418-628-6389 poste 230.
L’APE a mis en place une procédure relative à la réception et au traitement des plaintes concernant la présente politique et ses pratiques de traitement des renseignements personnels. Un individu sur qui l’APE possède des renseignements personnels peut se plaindre du non-respect de la présente politique. Toute plainte concernant la protection des renseignements personnels doit être acheminée au responsable de la protection des renseignements personnels à l’adresse figurant ci-dessus. Dans la plupart des cas, les demandeur.euse.s recevront une réponse dans les 30 jours.
Si un individu n’est pas satisfait de la réponse de l’APE à une plainte ou des politiques et pratiques de l’APE en matière de traitement des renseignements personnels, il peut déposer une plainte auprès de la Commission d’accès à l’information du Québec sur le site Web du Commissaire au www.cai.gouv.qc.ca.
12. Autres documents relatifs à la loi 25
Plusieurs autres documents ont été créés conformément aux nouvelles exigences de la loi 25. Les documents suivants ont été rédigés en collaboration avec l’équipe de cybersécurité de notre fournisseur TI :
- Plan d’intervention en cas d’incident de confidentialité
- Ce document est disponible sur demande à tout employé.e ou partie concernée.
- Cadre de règles et procédures de la gestion des renseignements personnels.
- Davantage de détails sur ce document peuvent être obtenus sur demande en s’adressant au responsable de la protection des renseignements personnels.
- Un plan de formation, incluant des capsules vidéo qui abordent l’ensemble des éléments de la loi 25, ainsi qu’une formation en présentiel à tou.te.s les employé.e.s.
13. Mise à jour de la politique
La présente politique doit être revue tous les trois ans. Elle devra également être mise à jour lors de tout changement substantiel apporté à la législation ou aux exigences réglementaires.
Version 1 : septembre 2023