Protection des renseignements personnels Protection des renseignements personnels

 

 

Politique de protection des renseignements personnels

 

1. Objectifs

La présente politique vise à informer les membres, les usagers, le personnel et les administrateurs de l’organisation des principes qu’elle applique dans la gestion des renseignements personnels qu’elle détient sur eux.

Par ailleurs, elle énonce les règles de conduite auxquelles l’organisation exige que ses membres, ses usagers, son personnel et ses administrateurs obéissent lorsqu’ils ont accès aux renseignements personnels détenus sur autrui par l’organisation.

Pour l’application de la présente politique, l’organisation respecte les principes suivants :

  • Recueillir uniquement les renseignements personnels nécessaires à la bonne gestion des opérations;
  • Aviser les personnes concernées dès que leurs renseignements personnels sont exigés de l’utilisation et de la communication qui en seront faites;
  • Informer les personnes concernées de leurs droits, particulièrement relativement aux plaintes, et obtenir leur consentement, lorsque requis par la loi;
  • Assurer la sécurité et la confidentialité des renseignements personnels qu’elle détient sur autrui en encadrant leurs conservation, rectification et destruction tout en s’assurant de prévoir les rôles et les responsabilités des membres de son personnel tout au long de leur cycle de vie.

 

2. Définition d’un renseignement personnel

Les renseignements personnels sont ceux qui portent sur une personne physique et permettent de l’identifier. Ces renseignements sont confidentiels et doivent être traités comme tels.

Dans l’organisation, sont notamment considérés comme des renseignements personnels : nom, prénom, signature, adresse résidentielle, dossier médical, prescription de médicaments, numéros de téléphone, adresse courriel, image et voix d’une personne, données biométriques, état de santé, dossier relatif à l’emploi, information bancaire/financière, données informatiques, informations qui concernent sa famille, ses amis et d’autres personnes liées, numéro d’assurance sociale, numéro d’assurance maladie et numéro de permis de conduire ainsi que tout document sur lequel se retrouve ces renseignements ou tout document qui réfère à l’existence d’une personne en particulier.

Les renseignements personnels qui concernent l’exercice par la personne concernée d’une fonction au sein d’une entreprise (tel que son nom, son titre et sa fonction, de même que l’adresse, l’adresse de courrier électronique et le numéro de téléphone de son lieu de travail) ne sont pas soumis à l’application de la présente politique.

 

3. Collecte des renseignements personnels

L’organisation recueille des renseignements personnels lorsqu’elle a un intérêt sérieux et légitime de le faire. Des renseignements personnels peuvent être recueillis par des formulaires intégrés sur son site Internet, par son système de gestion des ressources humaines, par ses systèmes de gestion intégrés, des formulaires par entretien téléphonique, par l’entremise d’un formulaire papier ou par toute interaction entre des personnes physiques et l’organisation et/ou ses parties prenantes.

L’organisation recueille notamment des renseignements personnels pour la gestion des :

  1. Information sur les coopératives membres de la Fédération et ses filiales;
  2. Profils-membres et non-membres de clients des coopératives;
  3. Profils-usagers;
  4. Profils des membres du personnel, des usagers et des administrateurs;
  5. Incidents, dont ceux avec de possibles répercussions sur la responsabilité civile de l’organisation ou toute personne liée à celle-ci;
  6. Demandes d’information sur les services.

Lorsqu’elle recueille des renseignements personnels, l’organisation ne conserve que ceux qui sont nécessaires à son bon fonctionnement. L’organisation est en mesure de justifier la raison pour laquelle elle requiert chaque renseignement personnel. 

La collecte d’informations par l’entremise de témoins de navigation (« cookies ») sera clairement expliquée sur son site Internet et il sera possible de refuser ceux qui ne sont pas nécessaires.

 

4. Protection des renseignements personnels

Les dossiers informatiques contenant des renseignements personnels des ressources humaines sont quant à eux protégés dans un logiciel spécialisé pour lequel l’entrée d’un mot de passe sécurisé est requise. Il est strictement refusé de copier, d’imprimer ou photographier des renseignements personnels des ressources humaines.

Les dossiers informatiques contenant des renseignements personnels des clients membres ou le personnel des coopératives sont quant à eux protégés par une double authentification ou un mot de passe.

Les renseignements personnels sont conservés dans un serveur infonuagique pour lequel l’entrée d’un mot de passe sécurisé est requise. Une connexion VPN est également nécessaire pour accéder à certains renseignements. L’organisation s’est dotée d’un mur pare-feu et d’un logiciel antivirus pour limiter la portée d’attaques malveillantes.

Les dossiers informatiques contenant des renseignements personnels sont quant à eux protégés par un chiffrement ou un mot de passe.

 

5. Responsable de la politique

M. Gaëtan Larose, CPA est responsable de la protection des renseignements personnels au sein de l’organisation en conformité avec l’article 3.1 de la Loi sur la protection des renseignements personnels dans le secteur privé. M. Gaëtan Larose est le directeur de la stratégie numérique de l’organisation. Il est possible de le contacter à protection-info@coopsco.com.  

 

6. Utilisation des renseignements personnels

Les renseignements personnels recueillis par l’organisation sont utilisés ou communiqués aux seules fins pour lesquelles ils ont été recueillis à moins que la personne concernée y consente ou que la loi l’exige. Les renseignements personnels sont principalement utilisés afin de faciliter la prestation des services aux membres, clients et usagers. Cependant, ils peuvent aussi être utilisés pour des fins d’étude de marché, distribution d’infolettres (il sera possible de cesser son abonnement en tout temps), d’embauche de personnel ou pour toute raison détaillée lors de la collecte des renseignements personnels. 

Les renseignements personnels ne seront jamais vendus à des tiers, à moins que l’organisation obtienne un consentement à cet effet.

L’organisation veille, de plus, à ce que les renseignements personnels qu'elle détient sur autrui soient à jour et exacts au moment où elle les utilise pour prendre une décision relativement à la personne concernée.

 

7. Conservation et destruction des renseignements personnels

Lorsque l’objet pour lequel un renseignement personnel a été recueilli est réalisé, l’organisation le détruit, à moins de circonstances exceptionnelles. Conformément à la loi, les renseignements personnels sont conservés au moins un (1) an après toute décision concernant la personne concernée. Les renseignements personnels relatifs aux employés sont conservés au moins trois (3) ans après la fin d’emploi. Les renseignements personnels faisant l’objet d’une demande d’accès ou de rectification sont conservés jusqu’à l’épuisement des recours prévus par la loi. Par ailleurs, l’organisation conserve un renseignement personnel pour la durée requise par les autorités gouvernementales auprès desquelles elle est redevable.

Sous réserve des autres obligations légales/déontologiques quant à la conservation des dossiers que doivent respecter l’organisation et les personnes qui travaillent pour son compte, la personne concernée peut demander que tout dossier la concernant lui soit remis et que tout renseignement personnel autrement détenu par l’organisation soit détruit. La destruction de renseignements personnels peut également entrainer l’impossibilité pour l’organisation de continuer à offrir des biens ou services. Cela va de même advenant le cas où la personne concernée ne consent plus à la présente politique.

 

8. Droit d’accès et de transfert des renseignements personnels

À la demande écrite d’une personne concernée ou de l’une des personnes désignées au précédent paragraphe, l’organisation lui permet, dans les trente (30) jours de la réception de la demande, de consulter ou de transférer, selon le cas, son dossier ou celui de la personne concernée et lui divulgue tout renseignement personnel y étant consigné. Cependant, l’organisation peut refuser la divulgation d’un renseignement personnel dans les cas suivants :

  1. Elle ne concerne pas les intérêts et les droits de la personne qui le demande à titre de liquidateur, de bénéficiaire, d'héritier ou de successible au liquidateur de la succession;
  2. Elle révélerait vraisemblablement un renseignement personnel sur un tiers ou l'existence d'un tel renseignement et que cette divulgation serait susceptible de nuire sérieusement à ce tiers, à moins que ce dernier y consente;
  3. Elle est interdite par la loi, une enquête en cours ou une ordonnance du tribunal.

En cas de refus, l’organisation le motive par écrit à la personne concernée dans ce même délai de trente (30) jours et l’informe de son droit de contester la décision devant la Commission d’accès à l’information. À défaut de répondre à une demande d’accès dans ce délai, l’organisation est réputée avoir refusé l’accès, auquel cas la personne intéressée peut s’adresser à la Commission d’accès à l’information pour faire valoir ses droits.

Pour faire une demande de consultation ou de rectification de renseignements il faut remplir le Formulaire de demande d’accès ou de rectification de renseignements personnels. La demande sera analysée par la personne responsable et selon le cas, il déterminera les modalités d’accès, la façon d’apporter les corrections demandées ou à motiver le refus.

 

9. Demande de rectification des renseignements personnels

À la demande écrite de la personne concernée ou d’une personne désignée au premier paragraphe de la section « Droit d’accès et de transfert des renseignements personnels », l’organisation procède à la rectification de renseignements inexacts, incomplets ou équivoques, selon le cas, à son dossier ou au dossier de la personne concernée, à l’ajout de commentaires ou à la suppression de renseignements périmés, non justifiés par l'objet du dossier ou dont la collecte n’était pas autorisée par la loi, et ce, dans les trente (30) jours de la réception de la demande.

En cas de refus, l’organisation le motive par écrit à la personne concernée dans ce même délai de trente (30) jours et l’informe de son droit de contester la décision devant la Commission d’accès à l’information. À défaut de répondre à une demande de rectification dans ce délai, l’organisation est réputée avoir refusé d’y acquiescer, auquel cas la personne intéressée peut s’adresser à la Commission d’accès à l’information pour faire valoir ses droits.

En acquiesçant à une demande de rectification, l’organisation délivre sans frais au requérant une copie de tout renseignement personnel modifié ou ajouté ou, selon le cas, une attestation du retrait d’un renseignement personnel.

L’organisation notifie sans délai la rectification ou la demande de rectification contestée à toute personne qui a reçu les renseignements dans les six (6) mois précédents et, le cas échéant, à la personne de qui elle les tient.

Il est de la responsabilité des personnes ayant transmis leurs renseignements personnels d’aviser l’organisation de tout changement relativement à ceux-ci. L’organisation ne peut pas être tenue responsable de quelconque manquement dans le cas où une demande de rectification n’est pas effectuée alors qu’elle aurait dû.

 

10. Frais de transcription, reproduction ou transmission des renseignements personnels

L’organisation charge des frais raisonnables pour la transcription, la reproduction ou la transmission de renseignements personnels. Ces frais sont établis par la personne responsable et sont sujets à révision périodiquement.

Avant de procéder à la transcription, la reproduction ou la transmission de ces renseignements, l’organisation informe le requérant du montant approximatif exigible.

 

11. Définition d’un incident de confidentialité

En conformité avec la Loi sur la protection des renseignements personnels dans le secteur privé, un incident de confidentialité peut prendre les formes suivantes 

  • L’accès non autorisé par la loi à un renseignement personnel;
  • L’utilisation non autorisée par la loi d’un renseignement personnel;
  • La communication non autorisée par la loi d’un renseignement personnel;
  • La perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.

 

12. Processus en cas d’incident de confidentialité

En cas d’incident concernant des renseignements personnels, l’organisation s’assure de suivre la procédure prévue dans la Loi sur la protection des renseignements personnels dans le secteur privé et ses règlements connexes. Lorsqu’un incident présente un risque de préjudice sérieux, la Commission d’accès à l’information (CAI) ainsi que les personnes concernées par l’incident seront avisées dans la mesure où la situation le permet, et ce, le plus rapidement possible suivant la connaissance de l’incident.

Si des tiers doivent être contactés afin de mitiger les dommages pouvant découler de l’incident, la personne responsable de la protection des renseignements personnels s’assurera de communiquer uniquement les renseignements personnels nécessaires à cette fin ainsi que d’enregistrer cette communication. Un registre des incidents sera mis à jour par la personne responsable de la protection des renseignements personnels.

En transmettant des renseignements personnels à l’organisation, il est entendu que les personnes concernées comprennent que l’organisation déploie les meilleures pratiques de travail et mécanismes de protection afin de limiter la possibilité de la survenance d’un quelconque incident, fuite ou mauvaise utilisation des renseignements personnels. Cependant, l’organisation ne peut garantir une sécurité infaillible à tout scénario envisageable.

Lorsqu’une personne concernée remarque qu’un incident concernant ses renseignements personnels aurait pu avoir lieu au sein de l’organisation, elle doit contacter la personne responsable de la protection des renseignements personnels aux coordonnées affichées ci-haut. Les plaintes/signalements sont traités dans un maximum de trente (30) jours après leur dépôt.

 

13. Inapplication de la politique

Lorsqu’une personne concernée quitte le site Internet de l’organisation pour n’importe quel autre site Internet dont le lien figure sur celui de l’organisation, la présente politique n’est plus applicable. Il faut alors se référer à leur politique, le cas échéant.

Lorsqu’une loi, un règlement ou une ordonnance du tribunal fait en sorte de contraindre l’organisation à transmettre des renseignements personnels, il est entendu que l’organisation ne peut pas garantir le niveau de confidentialité et sécurité institué par la personne ou le gouvernement qui se les voit conférer.

Advenant une fusion ou autre restructuration juridique de l’organisation, cette dernière pourra transmettre tous les renseignements personnels à la nouvelle entité juridique ainsi créée.

 

Dernière mise à jour : 10 avril 2024