La présente politique s’applique à la gestion des renseignements privés que le Collège Jacques-Prévert (ci-après le Collège) détient, a détenu ou détiendra, et ce, peu importe la durée. Elle concerne tous les employés, clients ou partenaires du Collège ainsi que toutes les installations dont le Collège est propriétaire, exploitante et/ou gestionnaire.
1. Date d’entrée en vigueur
1.1. La présente politique entrera en vigueur le 21 septembre 2023.
1.2. La présente politique est rédigée conformément à la Loi sur la protection des renseignements personnels dans le secteur privé, et tient compte des nouveaux articles ajoutés, et de ceux dont l’entrée en vigueur est prévue au cours de l’année 2023.
2. Objectifs et résultats escomptés
2.1. L’objectif est que les employés, clients ainsi que tous les partenaires soient informés que :
- Le Collège s’engage à protéger et à respecter leur vie privée en ce qui concerne leurs renseignements personnels ;
- Le Collège leur permet d’accéder aux renseignements personnels les concernant, sur demande écrite ;
- Le Collège est responsable et transparent en ce qui concerne la protection et la gestion des renseignements personnels.
2.2. Les résultats escomptés sont les suivants :
- Mettre en place les procédures et les outils appropriés pour assurer l’application de la Loi sur la protection des renseignements personnels dans le secteur privé 11;
Une évaluation est systématiquement réalisée pour tous les documents collectant des renseignements personnels. - Fournir des réponses complètes, précises et dans un laps de temps opportun aux demandes de renseignements personnels ou de correction des renseignements personnels ;
Tous les renseignements personnels sont colligés dans un outil Excel. - Assurer que les employés comprennent leurs obligations en vertu de la Loi sur la protection des renseignements personnels dans le secteur privé ;
- Réaliser une évaluation des facteurs de risques afin d’assurer une mesure de rendement et une identification des problèmes de conformité, afin qu’ils soient dûment cernés, traités et inscrits au registre des incidents.
3. Exigences
3.1. La direction et les représentants du Collège assument les responsabilités suivantes :
- Les pouvoirs qui peuvent être délégués le seront en vertu de l’article 3.122 de la Loi sur la protection des renseignements personnels dans le secteur privé ;
- Les pouvoirs peuvent être délégués aux postes désignés par la direction générale.
3.2. Le ou les délégués comprennent qu’ils sont responsables :
- Des décisions qu’ils prennent, et que ces décisions engagent la responsabilité du Collège ;
- Les employés et les consultants peuvent exécuter certaines tâches pour appuyer les délégués à l’exécution de leurs responsabilités ;
- La nomination de délégués peut être modifiée lorsque jugé opportun.
3.3. Lorsque le délégué est désigné :
- Il est nécessaire de transmettre le formulaire de la Commission d’accès à l’information afin de déterminer officiellement le responsable ;
- De plus, ce formulaire doit être transmis dès qu’il y a un changement de responsable afin de tenir les registres à jour.
4. Responsabilités du Collège
4.1. Le Collège et ses délégués veillent à l’application des responsabilités suivantes :
- Faire usage de pratiques sécuritaires et transparentes en ce qui concerne la protection des renseignements personnels (RP) ;
Inventorier les RP ;
Déterminer les raisons qui justifient la collecte de RP ;
Cartographier et mettre en place un plan de conservation des données ;
Identifier les RP qui sont susceptibles de sortir du Québec. - Faire connaître les politiques, les procédures et leurs responsabilités légales selon les termes de la Loi sur la protection des renseignements personnels dans le secteur privé ;
Former/sensibiliser le personnel. - Faire connaître les politiques de gouvernance publiquement, par exemple sur le site internet du Collège;
- Tenir un registre des incidents et y consigner toutes les démarches qui servent à corriger la situation et faire le suivi fait aux autorités concernées;
- Conserver le registre des incidents pour un minimum de 5 ans puisque le législateur n’a pas prévu de délai de conservation;
- Aviser la CAI d’un incident présentant un risque sérieux et préjudiciable en vertu de l’article 103 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels.
(Un formulaire produit par la CAI est mis à la disposition afin de procéder à la divulgation d’incidents.)
4.2. Le comité veille à ce que les responsabilités suivantes soient appliquées :
- Approuver les règles de gouvernance d’un organisme public à l’égard des RP;
- Être consulté, dès le début du projet et aux fins de l’évaluation des facteurs relatifs à la vie privée, pour tous les projets d’acquisition, de développement et de refonte d’un système d’information ou d’une prestation électronique de services impliquant des RP. Le comité peut également suggérer, à toutes les étapes du projet :
La nomination d’une personne chargée de la mise en oeuvre des mesures de protection des RP ;
Des mesures de protection des RP dans les documents relatifs au projet, comme un cahier des charges ou un contrat ;
Une description des responsabilités des participants au projet en matière de protection des renseignements personnels ;
La tenue d’activités de formation sur la protection des RP pour les participants.
5. Évaluation des facteurs relatifs à la vie privée
5.1. Le Collège ou ses délégués doivent procéder à la réalisation de l’évaluation des facteurs relatifs à la vie privée (ÉFVP) et le tenir à jour ;
5.2. Les évaluations doivent être proportionnelles à la sensibilité des renseignements concernés.
5.3. La durée de conservation des ÉFVP n’étant pas précisée par la loi, le Collège conservera ces évaluations pour un minimum 5 ans à partir de la fin de l’utilisation du document sur lequel figure l’information.
6. Directives en cas d’incident de divulgation
6.1. Plan d’action
Il est nécessaire de mettre en place un plan visant à répondre aux atteintes à la vie privée qui ont une incidence sur les renseignements personnels appelés « incident de divulgation ».
Le Collège a mis en place la « Directive lors d’incident de divulgation qui présente un risque de préjudice sérieux ».
6.2. Suivi de la directive lors d’incident de divulgation. Un suivi du plan doit être réalisé afin d’assurer une pratique exemplaire. Ainsi, lorsque nécessaire, des outils sont mis à la disposition de l’équipe afin d’effectuer le suivi soit :
- Rapport initial d’incident
- Formulaire d’avis d’incident de confidentialité
- Grille d’évaluation lors d’incident de divulgation (enquête)
7. Fichier de renseignements personnels
7.1. Le fichier de renseignements personnels est un outil de travail comprenant l’ÉFVP, le registre des incidents, le cycle de vie des documents et autres informations permettant l’application de la Loi 25.
7.2. Inscrire au fichier de renseignements personnels les données ou procédures nouvellement recueillis ou modifiés (ÉFVP) ;
7.3. Mettre à jour le répertoire des descriptions de fichiers de renseignements personnels, pour tous les fichiers de renseignements personnels, qu’ils soient nouveaux ou modifiés.
8. Contrats, accords et ententes
Toute entité tierce ou sous contrat (entente) avec le Collège assure une protection de la vie privée appropriée.
8.1. Partage de services
Les délégués veillent à ce que les exigences de la Loi sur les renseignements personnels soient respectées. Une copie du nouvel accord sur le partage de services ou de sous-traitances, et de tout changement important à l’entente de partage de services est conservée.
9. Obligation de prêter assistance
9.1. Protection de l’identité du demandeur
Le Collège ou ses délégués s’assurent de protéger les renseignements d’une personne afin qu’ils ne soient utilisés ou divulgués qu’aux fins autorisées par la Loi, et seulement lorsqu’essentiel.
9.2. Réponses précises, complètes et en temps utile
Le Collège ou ses délégués s’assurent que tous les efforts raisonnables sont offerts pour prêter assistance aux personnes victimes d’incidents, et offrir une réponse rapide et complète lors d’une demande de suivi d’incident.
10. Rôles du Collège
Cette section sert à déterminer le rôle essentiel en relation avec la présente politique. En soi, cette section ne confère aucun pouvoir.
10.1. Le Collège ou ses délégués doivent :
- Assurer la conformité de la présente politique et outils à l’appui au sein du Collège ;
- Enquêter lors de problèmes d’application de la présente politique et prendre les mesures correctives appropriées pour y remédier ;
- Assurer la transmission des résultats des enquêtes au plaignant ;
- Identifier les formulaires et/ou plateformes à utiliser et en établir la sécurité ;
- Prévoir la révision de la présente politique, des directives, procédures, normes, formulaires et plateformes désignés régulièrement ;
- Revoir et analyser les rapports d’atteinte la vie privée.
11. Demandes de renseignements
Toutes les demandes d’accès à l’information doivent être présentées par écrit au Collège ou à ses représentants.
Les employés peuvent adresser leur demande d’accès à l’information, par écrit, à un membre de la direction.