Politique de gestion et de protection des renseignements personnels

Accueil > Politique de gestion et de protection des renseignements personnels

Adoptée en conformité avec la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, LQ 2021, chapitre 25.

Le Comité Chômage de Montréal respecte le droit à la vie privée de chaque individu et s’engage à protéger la confidentialité des renseignements confidentiels recueillis auprès de tout·e participant·e ou employé·e. Cette politique confirme l’adhésion du Comité à ces principes, et assure que les renseignements confidentiels recueillis ne sont accessibles qu’aux employés du Comité, et ce seulement dans l’exercice de leurs fonctions.

1. Contexte

Le Comité Chômage de Montréal (ci-après « le Comité ») est une personne morale à but non lucratif qui traite des renseignements personnels dans le cadre de ses activités de défense de droits.

La présente politique de gestion et de protection des renseignements personnels (ci-après nommée « Politique ») vise à assurer la confidentialité et la protection des renseignements personnels pour toute leur durée de vie et à encadrer la manière dont le Comité les collecte, les utilise, les communique, les conserve, les détruit et traite toute demande relativement à ces renseignements.

La Politique vise à informer toute personne intéressée sur la manière dont le Comité traite leurs renseignements personnels.

2. Application et définitions

Cette politique s’applique au Comité, soit son conseil d’administration, ses dirigeants, ses employés et ses bénévoles, le cas échéant. Elle s’applique également à l’égard du site internet et des réseaux sociaux gérés par le Comité.

Elle vise tous les types de renseignements personnels, que ce soient les renseignements de ses employés, ses administrateurs, ses membres, ses fournisseurs ou toute autre personne de qui elle est appelée à obtenir des renseignements personnels.

Pour l’application des présentes, un renseignement personnel est un renseignement qui concerne une personne physique et qui permet, directement ou indirectement, de l’identifier. Il est confidentiel.

Un renseignement personnel sensible est un renseignement envers lequel il y a un haut degré d’attente raisonnable en matière de vie privée. Ceux-ci comprennent entres autres les renseignements de santé, renseignements bancaires, renseignements biométriques, orientation sexuelle, origine ethnique, opinions politiques, et croyances religieuses.

De manière générale, les coordonnées professionnelles ou d’affaires d’une personne ne constituent pas des renseignements personnels (son nom, son titre, sa fonction, ainsi que l’adresse, l’adresse courriel et le numéro de téléphone/ de télécopieur de son lieu de travail.)

De plus, cette Politique ne s’applique pas à un renseignement personnel qui a un caractère public en vertu de la Loi sur la protection des renseignements personnels dans le secteur privé (ci-après « la Loi »).

3. Collecte, utilisation et communication

3.1 Types de renseignements :

Dans le cadre de ses activités, le Comité peut collecter différents types de renseignements, et ce, à différentes fins. Les types de renseignement que le Comité pourrait collecter, leur utilisation (ou l’objectif visé} ainsi que les moyens par lesquels les renseignements sont recueillis et conservés sont indiqués à l’Annexe 1 de la présente. Le Comité applique les principes généraux suivants, relativement à la collecte, l’utilisation et la communication de renseignements personnels :

3.2 Collecte et consentement :

Le Comité collecte les renseignements personnels directement auprès de la personne concernée. Le Comité ne collecte des renseignements que s’il y a une raison valable de le faire. De plus, la collecte sera limitée au renseignement nécessaire dont il a besoin pour atteindre l’objectif visé.

En plus d’obtenir un consentement libre, éclairé et explicite de la personne concernée le Comité doit informer celle-ci au moment de la collecte de ses renseignements personnels :

  • De tout autre renseignement recueilli ;
  • Des fins pour lesquelles ils sont collectés ;
  • Des moyens de conservation et leur utilisation, en plus des autres informations à fournir tel que requis par la loi.

À moins d’un consentement de la personne concernée, le Comité :

  • Ne peut collecter ses renseignements personnels auprès de tiers;
  • Ne peut communiquer à des tiers ses renseignements personnels;
  • Ne peut utiliser ses renseignements personnels pour tout autre objectif ou toute autre fin préalablement prévue.

Cependant, le Comité peut agir sans consentement dans les cas prévus par la loi et seulement dans les conditions prévues par celle-ci.

Si le Comité collecte des renseignements personnels auprès de tiers (avec le consentement de la personne concernée ou en respect des exceptions prévues par la Loi}, la personne concernée peut demander la source des renseignements collectés par le Comité.

Cependant, le Comité peut collecter des renseignements personnels auprès de tiers, sans le consentement de la personne concernée, si elle a un intérêt sérieux et légitime à le faire et :

  • Si la cueillette est dans l’intérêt de la personne et qu’il n’est pas possible de le faire auprès d’elle dans les délais requis, ou;
  • Si cette cueillette est nécessaire pour s’assurer que les renseignements fournis par la personne sont exacts.

3.3 Détention et utilisation :

Le Comité veille à ce que les renseignements qu’il détient soient conservés dans des lieux de stockage sécurisés.

Au moment de leur utilisation, le Comité s’assure que les renseignements personnels sont à jour et exacts.

Le Comité ne peut utiliser les renseignements personnels d’une personne que pour les raisons indiquées aux présentes ou pour toutes autres raisons fournies lors de la collecte.

Dès qu’il devient nécessaire pour le Comité d’utiliser les renseignements pour une autre raison ou une autre fin que celle prévue dans le consentement initial, un nouveau consentement libre, éclairé et expresse doit être obtenu de la personne concernée.

Le Comité peut utiliser les renseignements personnels à d’autres fins sans consentement de la personne concernée dans les cas prévus par la Loi, dont :

  • Lorsque cette utilisation est manifestement au bénéfice de cette personne ;
  • Lorsque cela est nécessaire pour prévenir ou détecter une fraude ;
  • Lorsque cela est nécessaire pour évaluer ou améliorer des mesures de protection et de sécurité.

3.4 Accès limité :

Le Comité a mis en place des mesures pour limiter l’accès à un renseignement personnel aux seuls membres du conseil d’administration, aux dirigeants, aux employés et aux bénévoles pour qui ce renseignement est nécessaire dans l’exercice de leurs fonctions.

Le Comité demandera le consentement de la personne avant d’accorder l’accès à toute autre personne.

4. Conservation et destruction des renseignements personnels

Sauf si une durée minimale de conservation plus importante est requise par la loi ou la réglementation applicable, le Comité conservera les renseignements personnels pour une durée
de cinq ans.

À la fin de la durée de conservation, le Comité s’assurera :

  • de les détruire; ou
  • de les anonymiser (c’est-à-dire qu’ils ne permettent plus, et ce de façon irréversible, d’identifier la personne et qu’il n’est plus possible d’établir un lien entre la personne et les renseignements personnels) pour les utiliser à des fins sérieuses et légitimes.

La destruction de renseignements par le Comité doit être faite de façon sécuritaire, afin d’assurer la protection de ces renseignements.

5. Responsabilités du Comité

De manière générale, le Comité est responsable de la protection des renseignements personnels qu’elle détient.

Le responsable de la protection des renseignements personnels est le coordonnateur du Comité. Ses responsabilités seront, de façon générale :

  • De veiller à assurer le respect de la législation applicable concernant la protection des renseignements personnels;
  • D’approuver les politiques et pratiques encadrant la gouvernance des renseignements personnels;
  • Mettre en œuvre la présente politique et veiller à ce qu’elle soit connue, comprise et appliquée;
  • En cas d’absence ou d’impossibilité d’agir de ce responsable, le président du conseil d’administration du Comité assurera les fonctions du responsable de la protection des renseignements personnels.

Les membres du personnel du Comité ayant accès à des renseignements personnels ou étant autrement impliqués dans la gestion de ceux-ci doivent en assurer leur protection et respecter la présente politique.

6. Sécurité des données

Le Comité s’engage à mettre en place des mesures de sécurité raisonnables pour assurer la protection des renseignements personnels qu’elle détient. Les mesures de sécurité en place correspondent, entre autres, à la finalité, à la quantité, à la répartition, au support et à la sensibilité des renseignements.

Concernant l’accès limité aux renseignements personnels, le Comité doit mettre en place des mesures nécessaires pour imposer des contraintes aux droits d’utilisation de ses systèmes d’information afin que seuls les employés qui doivent y avoir accès soient autorisés à y accéder.

7. Droits d’accès, de rectification et de retrait du consentement

Pour faire valoir ses droits d’accès, de rectification ou de retrait du consentement, la personne concernée doit soumettre une demande écrite à cet effet au responsable de la protection des renseignements personnels du Comité, à l’adresse courriel indiquée à la section suivante.

Sous réserve de certaines restrictions légales, les personnes concernées peuvent demander l’accès à leurs renseignements personnels détenus par le Comité Chômage de Montréal et en demander leur correction dans le cas où ils sont inexacts, incomplets ou équivoques.

Elles peuvent également exiger la cessation de la diffusion d’un renseignement personnel qui les concerne ou que soit désindexé tout hyperlien rattaché à leur nom permettant d’accéder à ce renseignement par un moyen technologique, lorsque la diffusion de ce renseignement contrevient à la loi ou à une ordonnance judiciaire. Elles peuvent faire de même, ou encore exiger que l’hyperlien permettant d’accéder à ce renseignement soit réindexé, lorsque certaines conditions prévues par la loi sont réunies.

Le responsable de la protection des renseignements personnels du Comité doit répondre par écrit à ces demandes dans les 30 jours de la date de réception de la demande. Tout refus de se conformer à la demande émise par la personne concernée doit être motivé et accompagné de la disposition légale justifiant le refus.

Un tel refus doit indiquer les recours en vertu de la loi et le délai pour les exercer. Le responsable doit aider le requérant à comprendre le refus au besoin.

Sous réserve des restrictions légales et contractuelles applicables, les personnes concernées peuvent retirer leur consentement à la communication ou à l’utilisation des renseignements recueillis.

Elles peuvent également demander au Comité la nature des renseignements personnels recueillis auprès d’elle, les catégories de personnes au Comité qui y ont accès et leur durée de conservation.

8. Processus de traitement des plaintes

8.1 Réception :

Toute personne qui souhaite formuler une plainte relative à l’application de la présente politique ou, plus généralement, à la protection de ses renseignements personnels par le Comité, doit le faire par écrit en s’adressant au responsable de la protection des renseignements personnels du Comité, à l’adresse courriel indiquée à la section suivante.

La personne devra indiquer son nom, ses coordonnées, ainsi que l’objet et les motifs de sa plainte, en donnant suffisamment de détails pour que celle-ci puisse être évaluée par le Comité. Si la plainte formulée n’est pas suffisamment précise, le responsable de la protection des renseignements personnels peut requérir toute information additionnelle qu’il juge nécessaire pour pouvoir l’évaluer.

8.2 : Traitement

Le Comité s’engage à traiter toute plainte reçue de façon confidentielle.

Dans les 30 jours suivant la réception de la plainte ou suivant la réception de tous les renseignements additionnels jugés nécessaires et requis par le responsable de la protection des renseignements personnels du Comité pour pouvoir la traiter, ce dernier doit l’évaluer et formuler une réponse motivée. Celle-ci doit être acheminée par courriel.

Cette évaluation visera à déterminer si le traitement des renseignements personnels par le Comité est conforme à la présente politique, à toute autre politique et pratique en place au sein de l’organisation et à la législation ou réglementation applicable.

Dans le cas où la plainte ne peut être traitée dans ce délai, le plaignant doit être informé des motifs justifiant l’extension de délai, de l’état d’avancement du traitement de sa plainte et du délai raisonnable nécessaire pour pouvoir lui fournir une réponse définitive.

Le Comité doit constituer un dossier distinct pour chacune des plaintes qui lui sont adressée. Chaque dossier contient la plainte, l’analyse et la documentation à l’appui de son évaluation, ainsi que la réponse envoyée à la personne à l’origine de la plainte.

Il est également possible de déposer une plainte auprès de la Commission d’accès à l’information du Québec ou à tout autre organisme responsable de l’application de la loi concernée par l’objet de la plainte.

9. INCIDENT DE CONFIDENTIALITÉ

Un incident de confidentialité correspond à tout accès, utilisation ou communication non autorisés d’un renseignement personnel qui enfreint la Loi, de même qu’à la perte d’un renseignement personnel ou à toute autre atteinte à sa protection.

Lorsqu’un administrateur, un membre du personnel, un bénévole ou une personne participante constate un incident de confidentialité, il doit informer avec diligence la personne responsable de la protection des renseignements confidentiels afin qu’il soit inscrit au Registre des incidents.

La personne qui signale l’incident doit, pour ce faire, compléter un formulaire de signalement et l’acheminer ensuite à la direction ou la coordination ou à la personne responsable.

Le registre doit conserver les informations sur un incident de confidentialité pour une période de cinq ans.

Doivent être colligés dans le formulaire de signalement :

  • Une description des renseignements personnels touchés par l’incident ou, si cette information est inconnue, les raisons pour lesquelles il est impossible de fournir une telle description ;
  • Une brève description des circonstances de l’incident ;
  • La date ou la période à laquelle a eu lieu l’incident (ou une approximation si cette information n’est pas connue);
  • La date ou la période à laquelle l’organisation s’est aperçue de l’incident;
  • Le nombre de personnes concernées par l’incident (ou une approximation si cette information n’est pas connue).

La personne responsable identifie les mesures raisonnables qui seront mises-en-place pour réduire le risque de préjudice et pour prévenir de nouveaux incidents. Elle doit de plus juger si l’incident présente un risque sérieux de préjudice.

Les renseignements ainsi que les mesures à prendre afin de diminuer le risque qu’un préjudice sérieux (tel que défini par la Loi) soit causé aux personnes concernées sont versés au Registre.

Si l’incident présente un risque sérieux de préjudice, la direction générale ou la personne responsable avise la Commission d’accès à l’information et les personnes concernées de tout incident présentant un risque sérieux de préjudice à l’aide du formulaire approprié.

10. Approbation

La présente politique est approuvée par le responsable de la protection des renseignements
personnels du CRADI :

Responsable de la protection des renseignements personnels :
Pierre Céré
ccm@comitechomage.qc.ca
(514) 933-5915

Pour toute demande, question ou commentaire dans le cadre de la présente politique, veuillez
communiquer avec le responsable par courriel ou téléphone.

Version PDF