Programme d'information et de préparation à la retraite PIPR logo

COLLÈGE

D’ENSEIGNEMENT GÉNÉRAL ET PROFESSIONNEL MARIE-VICTORIN

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

    Zone de Texte: POLITIQUE NUMÉRO 53
PORTANT SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS

 

 

 

 

 

 

 

 

 

 

 

Adoptée le 26 septembre 2023 CA-23-268-2306

 

TABLE DES MATIÈRES

ARTICLE 1                            CONTEXTE ET OBJECTIFS..................................................................................... 3

ARTICLE 2                            PRINCIPES.......................................................................................................... 3

ARTICLE 3                            DÉFINITIONS...................................................................................................... 3

ARTICLE 4                            CHAMP D’APPLICATION….................................................................................. 4

ARTICLE 5                            COLLECTE DES RENSEIGNEMENTS PERSONNELS................................................... 4

ARTICLE 6                            UTILISATION DES RENSEIGNEMENTS PERSONNELS.............................................. 5

ARTICLE 7                            CONSENTEMENT................................................................................................ 5

ARTICLE 8                            COMMUNICATION DES RENSEIGNEMENTS PERSONNELS..................................... 5

ARTICLE 9                            CONSERVATION ET DESTRUCTION DES RENSEIGNEMENTS PERSONNELS …………….6

ARTICLE 10                         PROTECTION DES RENSEIGNEMENTS PERSONNELS.............................................. 6

ARTICLE 11                         DEMANDE D’ACCÈS OU DE RECTIFICATION À DES RENSEIGNEMENTS

 PERSONNELS..................................................................................................... 7

ARTICLE 12                         GESTION DES INCIDENTS DE CONFIDENTIALITÉ.................................................... 8

ARTICLE 13                         PROCESSUS DE TRAITEMENT DES PLAINTES RELATIVES À LA PROTECTION DES RENSEIGNEMENTS PERSONNELS...................................................................... 10

ARTICLE 14                         VIDÉOSURVEILLANCE….................................................................................... 10

ARTICLE 15                         PROJETS DE SYSTÈME D’INFORMATION OU DE PRESTATION ÉLECTRONIQUE DE SERVICES IMPLIQUANT DES RENSEIGNEMENTS PERSONNELS............................ 10

ARTICLE 16                         RÔLES ET RESPONSABILITÉS............................................................................. 11

ARTICLE 17                         ACTIVITÉS DE FORMATION ET DE SENSIBILISATION À LA PROTECTION DES RENSEIGNEMENTS PERSONNELS.................................................................... 12

ARTICLE 18                         SANCTIONS APPLICABLES EN CAS DE NON-RESPECT DE LA PRÉSENTE

POLITIQUE...................................................................................................... 12

ARTICLE 19                        RESPONSABILITÉ DE L’APPLICATION ET RÉVISION DE LA POLITIQUE

.................................................................................................................... 13

ARTICLE 20                         ADOPTION DE LA POLITIQUE ET ANNEXES......................................................... 13

 

ARTICLE 1            CONTEXTE ET OBJECTIFS

 

Le 21 septembre 2021, l’Assemblée nationale du Québec adoptait la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels 1 (ci-après la « Loi 25 »). Celle-ci modifie principalement la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels 2 (ci-après la « Loi sur l’accès »), laquelle prévoit l’adoption de règles encadrant la gouvernance à l’égard des renseignements personnels (ci-après les « Règles »).

 

La Loi 25 actualise l’encadrement applicable à la protection des renseignements personnels, dont la Loi sur l’accès. Le Cégep est désormais tenu d’adopter et d’assurer l’application d’une politique en lien avec les règles encadrant la gouvernance à l’égard de la protection des renseignements personnels qu’il détient.

Selon la Loi 25, chaque cégep doit avoir un comité sur l’accès à l’information et la protection des renseignements personnels, lequel doit approuver les Règles. Il est composé des personnes responsables de l’accès aux documents et de la protection des renseignements personnels et de toute autre personne dont l’expertise est requise dont notamment le ou la responsable de la sécurité de l’information et le ou la responsable de la gestion documentaire. Il est également important que ces Règles soient publiées sur le site Internet de chaque cégep, puisqu’il s’agit d’une exigence de la Loi 25.

 

 

ARTICLE 2            PRINCIPES

 

La Loi sur l’accès consacre deux grands principes : l’accès aux documents des organismes publics et la protection des renseignements personnels. Ainsi, le Cégep doit concilier l’obligation de transparence qui est imposée par la Loi sur l’accès, qui suppose que les documents détenus par un organisme public sont publics, avec l’obligation de préserver la confidentialité des renseignements personnels.

 

Le Cégep a l’obligation de prendre les moyens nécessaires afin d’assurer la confidentialité de tous les renseignements personnels qu’il détient. Cela signifie que tout membre du personnel du Cégep ne peut communiquer un renseignement personnel à une tierce personne sans avoir obtenu au préalable le consentement de la personne concernée, sauf s’il s’agit d’un cas d’exception permettant la communication sans consentement.

 

 

ARTICLE 3             DÉFINITIONS

 

Dans la présente politique, à moins que le contexte ne s’y oppose, les expressions suivantes signifient :

 

  Renseignement personnel : Tout renseignement qui concerne une personne physique et qui permet directement ou indirectement de l’identifier, tel que : le nom, l’adresse, le numéro de téléphone, l’adresse courriel, l’occupation, le numéro d’assurance sociale, la date de naissance, la photographie et les coordonnées bancaires. Les renseignements personnels doivent être protégés, peu importe la nature de leur support, et quelle que soit leur forme : écrite, graphique, sonore, visuelle, informatisée ou autre.

  Renseignement personnel sensible : Un renseignement personnel est sensible lorsque, par sa nature ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d’attente raisonnable en matière de vie privée. Sont, notamment, considérés comme sensibles les renseignements suivants : des renseignements médicaux, biométriques, génétiques ou financiers, ou, encore, des renseignements sur la vie ou l’orientation sexuelle, les convictions religieuses ou bien l’origine ethnique.

 

   Consentement : Le consentement est l’autorisation de la personne titulaire des renseignements personnels à recueillir et utiliser ses renseignements personnels. Le consentement ne se présume pas. Il doit être manifeste, libre, éclairé, être donné à des fins spécifiques, en termes simples et clairs, pour la durée nécessaire à la réalisation des fins auxquelles il a été demandé.

     Personne mineure : âgée de moins de 18 ans.

·      Personne majeure : âgée de 18 ans et plus ou personne âgée de moins de 18 ans émancipée.

 

ARTICLE 4             CHAMP D’APPLICATION

En tant qu’organisme public, le Cégep recueille des renseignements personnels, notamment ceux de la population étudiante et des membres du personnel. Il est donc assujetti aux dispositions de la Loi sur l’accès, au Code civil du Québec et à la Charte des droits et libertés de la personne. En cas de divergence entre la Loi sur l’accès et la présente politique, la Loi sur l’accès prévaut.

 

La présente s’applique à toute personne qui, dans l’exercice de ses fonctions, collecte, consulte, utilise, communique, détient ou conserve des renseignements personnels détenus par le Cégep concernant toute personne physique.

 

ARTICLE 5             COLLECTE DES RENSEIGNEMENTS PERSONNELS

 

5.1.  Renseignements personnels pouvant être collectés

 

Afin de remplir adéquatement sa mission, le Cégep doit recueillir plusieurs renseignements personnels. Celui- ci recueille uniquement les renseignements personnels nécessaires à l’exercice de ses attributions ou à la mise en œuvre d’un programme dont il a la gestion.

 

Le Cégep peut également recueillir un renseignement personnel si celui-ci est nécessaire à l’exercice des attributions ou à la mise en œuvre d’un programme de l’organisme public avec lequel il collabore pour la prestation de services ou pour la réalisation d’une mission commune. Dans un tel cas, la collecte doit être précédée d’une évaluation des facteurs relatifs à la vie privée et s’effectuer dans le cadre d’une entente écrite transmise à la Commission d’accès à l’information du Québec conformément à la Loi sur l'accès.

Le Cégep prend des mesures pour s’assurer que les renseignements personnels qu’il recueille sont adéquats,

pertinents, non excessifs et utilisés à des fins limitées.

 

5.2.  Informations communiquées lors de la collecte de renseignements personnels

Lorsqu’il recueille des renseignements personnels, le Cégep s’assure d’informer la personne concernée, au

plus tard au moment de la collecte :

 

1.  Du nom de l’organisme public au nom de qui la collecte est faite;

2.  Des fins auxquelles ces renseignements sont recueillis;

3.  Des moyens par lesquels les renseignements sont recueillis;

4.  Du caractère obligatoire ou facultatif de la demande;

5.  Des conséquences d’un refus de répondre ou de consentir à la demande;

6.  Des droits d’accès et de rectification prévus par la loi;

7.  De la possibilité que les renseignements personnels soient communiqués à l’extérieur du Québec, le

cas échéant.

 

Sur demande, la personne concernée est également informée des renseignements personnels recueillis auprès d’elle, des catégories de personnes qui y ont accès au sein de l’organisme public, de la durée de conservation de ces renseignements ainsi que des coordonnées de la personne responsable de la protection des renseignements personnels.

 

 

6.  UTILISATION DES RENSEIGNEMENTS PERSONNELS

 

Le Cégep utilise des renseignements personnels concernant sa communauté étudiante, les membres de son personnel et d’autres tierces parties afin de s’acquitter de sa mission et de ses fonctions. Il ne fera pas usage des renseignements personnels à d’autres fins que celles précisées lors de la collecte, à moins que la personne concernée y consente expressément ou que la Loi sur l’accès l’exige.

 

7.  CONSENTEMENT

 

Dans les situations qui le requièrent, le Cégep doit transmettre un consentement à la cueillette, à l’utilisation ou à la divulgation des renseignements personnels aux personnes concernées. Pour être valable, le consentement devra être manifeste, libre, éclairé, être donné à des fins spécifiques, en termes simples et clairs ainsi que pour la durée nécessaire à la réalisation des fins auxquelles il a été demandé.

Lorsqu’une personne a donné son consentement à la collecte, à l’utilisation et à la communication de ses renseignements personnels, elle peut le retirer à tout moment. Pour retirer son consentement, le cas échéant, elle peut communiquer avec la personne dont le nom est indiqué dans le formulaire de consentement (par exemple : par courriel, télécopieur, téléphone, etc.).

 

Veuillez noter que si une personne retire son consentement, il se peut que le Cégep ne puisse pas fournir un service particulier. Par exemple, le candidat ou la candidate qui refuse de donner son consentement pour la transmission de ses notes du secondaire au Cégep pourrait ne pas être admis ou admise. Le Cégep expliquera à cette personne l’impact du retrait de son consentement pour l’aider dans sa prise de décision.

 

 

8.  COMMUNICATION DES RENSEIGNEMENTS PERSONNELS

 

8.1.  Communication sans le consentement de la personne concernée

 

Le Cégep peut divulguer certains renseignements personnels détenus pour se conformer à l’ordonnance d’un tribunal, à une loi ou à une procédure judiciaire, y compris pour répondre à toute demande gouvernementale ou réglementaire, conformément aux lois applicables, ou s’il croit que la divulgation est nécessaire ou appropriée pour protéger les droits, la propriété ou la sécurité du Cégep ou d’autres personnes. Le Cégep peut communiquer certains renseignements personnels qu’il détient à un ou une membre du personnel du Cégep qui a la qualité pour le recevoir et lorsque ce renseignement est nécessaire à l’exercice de ses fonctions.

 

Le Cégep peut transférer les renseignements personnels qu’il collecte à une personne ou un établissement qui fournit des services et à d’autres tierces parties qui le soutiennent. Ces tierces parties sont contractuellement obligées de garder les renseignements personnels confidentiels, de les utiliser uniquement aux fins pour lesquelles le Cégep les divulgue et de traiter les renseignements personnels selon les normes énoncées dans la politique et en respect des lois.

 

Le Cégep peut communiquer certains renseignements personnels à des fins d’étude, de recherche ou de production de statistiques sous réserve des conditions prévues par la Loi sur l’accès dont, notamment, l’évaluation des facteurs relatifs à la vie privée et la transmission de l’entente à la Commission d’accès à l’information trente (30) jours avant son entrée en vigueur.

 

Dans certaines situations, la personne responsable de la protection des renseignements personnels doit inscrire la communication dans son registre de communication des renseignements personnels. Ce registre doit contenir les informations suivantes :

1.  La nature ou le type de renseignement communiqué;

2.  La personne ou l’organisme qui reçoit cette communication;

3.  La fin pour laquelle ce renseignement est communiqué et l’indication, le cas échéant, qu’il s’agit d’une

communication visée à l’article 70.1 de la Loi sur l’accès à l’information;

4.  La raison justifiant cette communication.

 

8.2.  Communication avec le consentement de la personne concernée

 

Le Cégep peut communiquer certains renseignements personnels détenus à une personne s’il a obtenu le

consentement valable de la personne concernée.

 

9.  CONSERVATION ET DESTRUCTION DES RENSEIGNEMENTS PERSONNELS

 

Le Cégep ne conserve les renseignements personnels qu’il détient que pour le temps nécessaire pour atteindre les fins pour lesquelles il les a collectés et conformément à son calendrier de conservation, à moins d’autorisation ou d’exigence des lois ou de la réglementation applicable.

 

En règle générale, lorsque les fins pour lesquelles un renseignement personnel a été recueilli ou utilisé sont

accomplies, le Cégep doit le détruire ou l’anonymiser pour l’utiliser à des fins d’intérêt public.

 

Un renseignement concernant une personne physique est anonymisé lorsqu’il est, en tout temps, raisonnable de prévoir dans les circonstances qu’il ne permet plus d’identifier directement ou indirectement cette personne. Il convient de noter que le processus d’anonymisation doit être irréversible.

Cependant, par exception à la règle générale, s’il s’agit de renseignements personnels contenus dans un document visé par le calendrier de conservation du Cégep, celui-ci doit respecter les règles qui y sont prévues en matière de conservation et de destruction de ces documents.

 

Lorsque le Cégep procède à la destruction de documents contenant des renseignements personnels, il s’assure de prendre les mesures de protection nécessaires visant à assurer la confidentialité de ceux-ci. La méthode de destruction utilisée doit être déterminée en fonction de la sensibilité des renseignements, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support.

Les renseignements personnels détenus par le Cégep sont traités et stockés au Québec. Dans l’éventualité où un transfert de renseignements personnels à l’extérieur du Québec serait nécessaire dans le cadre de l’exercice des fonctions du Cégep, ce transfert n’aura lieu que s’il est évalué que le renseignement bénéficierait d’une protection adéquate, notamment en considérant la sensibilité du renseignement, la finalité de son utilisation, les mesures de protection dont le renseignement bénéficierait et le régime juridique applicable dans l’État ou la province où ce renseignement serait communiqué. Le transfert sera également soumis aux ententes contractuelles appropriées afin d’assurer cette protection adéquate.

 

10.  PROTECTION DES RENSEIGNEMENTS PERSONNELS

 

Le Cégep met en place des mesures de sécurité physiques, organisationnelles, contractuelles et technologiques appropriées et raisonnables afin de protéger les renseignements personnels contre la perte ou le vol, et contre l’accès, la divulgation, la copie, l’utilisation ou la modification non autorisés par la loi.

Le Cégep prend des mesures pour faire en sorte que seuls les membres du personnel qui doivent absolument avoir accès aux renseignements personnels dans le cadre de leurs fonctions soient autorisés à y accéder.

 

Les membres du personnel doivent, notamment :

    Fournir des efforts raisonnables pour minimiser le risque de divulgation non intentionnelle de renseignements personnels;

  Prendre des précautions particulières pour s’assurer que les renseignements personnels ne sont pas surveillés, entendus, consultés ou perdus lorsqu’elles travaillent dans des locaux autres que les bureaux du Cégep; et

    Prendre des mesures raisonnables pour protéger les renseignements personnels lorsqu’elles se déplacent d’un endroit à l’autre.

 

Les personnes sous-traitantes, les partenaires et les personnes fournissant des services ayant accès aux renseignements personnels dont le Cégep a la garde ou le contrôle seront informées de la présente Politique de protection des renseignements personnels et des autres politiques et processus applicables pour assurer la sécurité et la protection des renseignements personnels. Les intervenants et intervenantes externes devront s’engager par écrit à accepter de se conformer aux politiques, aux processus et aux lois applicables.

 

11.  DEMANDE D’ACCÈS OU DE RECTIFICATION À DES RENSEIGNEMENTS PERSONNELS

 

11.1.  Demande d’accès à des renseignements personnels

 

Toute personne qui en fait la demande a le droit d’accès aux renseignements personnels la concernant

détenus par le Cégep, sous réserve des exceptions prévues par la Loi sur l’accès.

 

Une demande de communication ne peut être considérée que si elle est faite par écrit par une personne physique justifiant de son identité à titre de personne concernée, à titre de représentante ou de représentant, d’héritière ou d’héritier ou de successible de cette dernière, à titre de liquidatrice ou de liquidateur de la succession, à titre de bénéficiaire d’assurance vie ou d’indemnité de décès, à titre de titulaire de l’autorité parentale même si l’enfant mineur est décédé, ou à titre de conjointe ou de conjoint ou de proche parent d’une personne décédée.

 

Cette demande doit être adressée à la personne agissant à titre de secrétaire général.e au Cégep et qui est responsable de la protection des renseignements personnels du Cégep. La demande doit fournir suffisamment d’indications précises pour permettre au Cégep de la traiter.

 

La personne responsable de la protection des renseignements personnels doit donner à la personne qui lui a fait une demande écrite un avis de la date de la réception de sa demande.

 

La personne responsable doit répondre au plus tard dans les vingt (20) jours qui suivent la date de la réception d’une demande. Si le traitement de la demande dans le délai prévu précédemment ne lui paraît pas possible sans nuire au déroulement normal des activités du Cégep, la personne responsable peut, avant l’expiration de ce délai, le prolonger d’une période n’excédant pas dix (10) jours en donnant un avis à cet effet à la personne requérante avant l’expiration du délai de vingt (20) jours.

 

Si la personne qui fait la demande n’est pas satisfaite de la réponse du Cégep, elle peut saisir la Commission d’accès à l’information de cette décision afin que celle-ci soit révisée. Cette demande de révision doit être faite dans les trente (30) jours qui suivent la date de la décision ou de l’expiration du délai prévu à la Loi sur l'accès pour répondre à la demande.

 

 

11.2.  Demande de rectification

 

Toute personne qui reçoit une confirmation de l’existence dans un fichier d’un renseignement personnel la concernant peut, s’il est inexact, incomplet ou équivoque, ou si sa collecte, sa communication ou sa conservation ne sont pas autorisées par la Loi sur l’accès, exiger que le fichier soit rectifié.

Une demande de rectification ne peut être considérée que si elle est faite par écrit par une personne physique justifiant de son identité à titre de personne concernée, à titre de représentante ou de représentant, d’héritière ou d’héritier ou de successible de cette dernière, à titre de liquidatrice ou de liquidateur de la succession, à titre de bénéficiaire d’assurance vie ou d’indemnité de décès, à titre de titulaire de l’autorité parentale même si l’enfant mineur est décédé ou à titre de conjointe ou de conjoint ou de proche parent d’une personne décédée.

 

Cette demande doit être adressée à la personne agissant à titre de secrétaire générale au Cégep et qui est responsable de la protection des renseignements personnels du Cégep. La demande doit fournir suffisamment d’indications précises pour permettre au Cégep de la traiter.

Le Cégep doit, lorsqu’il accède à une demande de rectification d’un fichier, délivrer sans frais à la personne qui l’a faite une copie de tout renseignement personnel modifié ou ajouté, ou, selon le cas, une attestation du retrait d’un renseignement personnel.

 

Lorsque le Cégep refuse en tout ou en partie d’accéder à une demande de rectification d’un fichier, la

personne concernée peut exiger que cette demande soit enregistrée.

La personne responsable doit répondre au plus tard dans les vingt (20) jours qui suivent la date de la réception d’une demande. Si le traitement de la demande dans le délai prévu précédemment ne lui paraît pas possible sans nuire au déroulement normal des activités du Cégep, la personne responsable peut, avant l’expiration de ce délai, le prolonger d’une période n’excédant pas dix (10) jours en donnant un avis à cet effet à la personne requérante.

 

Si la personne qui fait la demande n’est pas satisfaite de la décision du Cégep, elle peut saisir la Commission d’accès à l’information de cette décision afin que celle-ci soit révisée. Cette demande de révision doit être faite dans les trente (30) jours qui suivent la date de la décision ou de l’expiration du délai prévu à la Loi sur l'accès pour répondre à la demande.

 

 

12.  GESTION DES INCIDENTS DE CONFIDENTIALITÉ

 

12.1.  Définition

 

Au sens de la présente politique, constitue un incident de confidentialité :

 

1.  L’accès non autorisé par la Loi sur l’accès à un renseignement personnel;

2.  L’utilisation non autorisée par la Loi sur l’accès d’un renseignement personnel;

3.  La communication non autorisée par la Loi sur l’accès d’un renseignement personnel;

4. La perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.

 

Exemples concrets d’incidents de confidentialité, notamment :

   Un ou une membre du personnel qui consulte des renseignements personnels non nécessaires à l’exercice de ses fonctions en outrepassant les droits d’accès qui lui ont été consentis ou un pirate informatique qui s’infiltre dans un système;

  Un ou une membre du personnel qui utilise des renseignements personnels d’une base de données à laquelle il ou elle a accès dans le cadre de ses fonctions dans le but d’usurper l’identité d’une personne;

  Une communication faite par erreur à la mauvaise personne par son employeur;

  Une personne qui perd ou se fait voler des documents contenant des renseignements personnels;

  Une personne qui s’immisce dans une banque de données contenant des renseignements personnels afin de les altérer;

  L’oubli de caviarder des renseignements personnels dans un document;

  L’envoi d’un courriel contenant des renseignements personnels;

  La communication d’un renseignement personnel contraire aux dispositions de la Loi sur l’accès;

  Un ou une membre du personnel consulte un renseignement personnel sans autorisation;

   Un ou une membre du personnel communique des renseignements personnels au mauvais ou à la mauvaise destinataire;

  L’organisation est victime d’une cyberattaque, comme de l’hameçonnage ou un rançongiciel.

 

12.2.  Traitement d’un incident de confidentialité

Lorsque le Cégep a des motifs de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel qu’il détient, il doit prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent, ce qui peut inclure la sanction des personnes en cause.

 

Le Cégep peut également aviser toute personne et/ou tout organisme susceptibles de diminuer ce risque en ne lui communiquant que les renseignements personnels nécessaires à cette fin sans le consentement de la personne concernée. Dans ce dernier cas, la personne responsable de la protection des renseignements personnels doit enregistrer la communication.

Si l’incident de confidentialité présente un risque qu’un préjudice sérieux soit causé, l’organisme doit, avec diligence, en aviser la Commission. Il doit également aviser toute personne dont un renseignement personnel est concerné par l’incident.

 

Afin d’évaluer le risque qu’un préjudice soit causé à une personne dont un renseignement personnel est

concerné par un incident de confidentialité, le Cégep doit considérer, notamment :

1.  La sensibilité du renseignement concerné;

2.  Les conséquences appréhendées de son utilisation; et

3.  La probabilité qu’il soit utilisé à des fins préjudiciables.

 

Le Cégep doit également consulter la personne responsable de la protection des renseignements personnels.

 

12.3.  Registre des incidents de confidentialité

 

Un organisme public doit tenir un registre des incidents de confidentialité. Celui-ci contient, notamment :

1.  Une description des renseignements personnels visés par l’incident;

2.  Les circonstances de l’incident;

 

3.  La date l’incident a eu lieu;

4.  La date la personne responsable de la protection des renseignements personnels a eu connaissance

de l’incident;

5.  Le nombre de personnes visées;

6.  L’évaluation de la gravité du risque de préjudice;

7.  S’il existe un risque de préjudice sérieux pour la personne concernée, les dates de transmission des avis; et

8.  Les mesures prises en réaction à l’incident.

 

13.   PROCESSUS DE TRAITEMENT DES PLAINTES RELATIVES À LA PROTECTION DES RENSEIGNEMENTS PERSONNELS

 

13.1.  Dépôt d’une plainte relative à la protection des renseignements personnels

 

Toute personne qui a des motifs de croire qu’un incident de confidentialité s’est produit et que le Cégep a fait défaut de protéger la confidentialité des renseignements personnels qu’il détient peut déposer une plainte pour demander que la situation soit corrigée.

 

La plainte doit être déposée par écrit et comporter une description de l’incident, la date ou la période où l’incident s’est produit, la nature des renseignements personnels visés par l’incident et le nombre de personnes concernées.

La plainte doit être adressée à la personne responsable de la protection des renseignements personnels.

 

Dans le cas où la plainte met en cause la conduite de la personne responsable de la protection des renseignements personnels, celle-ci doit être adressée à la direction générale du Cégep.

 

13.2.  Traitement de la plainte

La personne responsable de la protection des renseignements personnels ou la direction générale du Cégep, le cas échéant, a la responsabilité de traiter la plainte au plus tard dans les vingt (20) jours qui suivent la date de la réception de ladite plainte.

 

Dans le cas celle-ci s’avère fondée, le Cégep prend les mesures requises pour corriger la situation dans les meilleurs délais conformément au paragraphe 11.2 de la présente politique et procède à l’inscription de l’incident au registre, comme indiqué au paragraphe 12.3.

 

14.  VIDÉOSURVEILLANCE

 

Le recours à la vidéosurveillance doit s’effectuer conformément à la Politique institutionnelle sur la vidéosurveillance du Cégep (politique numéro 50), en respect des obligations prévues notamment par le Code civil du Québec, par la Charte des droits et libertés de la personne ainsi que par la Loi sur l’accès.

 

15.  PROJETS DE SYSTÈME D’INFORMATION OU DE PRESTATION ÉLECTRONIQUE DE SERVICES IMPLIQUANT

DES RENSEIGNEMENTS PERSONNELS

 

Le Cégep procède à une évaluation des facteurs relatifs à la vie privée pour tout projet d’acquisition, de développement ou de refonte d’un système d’information ou d’une prestation électronique de services qui impliquerait la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels.

 

En ce qui concerne l’évaluation des facteurs relatifs à la vie privée, le Cégep consulte, dès le début du projet,

son comité sur l’accès à l’information et la protection des renseignements personnels.

 

16.  RÔLES ET RESPONSABILITÉS

 

16.1    Rôle et responsabilités des intervenants et intervenantes du Cégep

 

-          Membres du personnel: Les membres du personnel ayant accès à des renseignements personnels doivent obligatoirement signer un engagement de confidentialité et respecter la présente politique ainsi que les lois en vigueur lors de l’utilisation des renseignements personnels.

-          Responsable de la protection des renseignements personnels : La personne agissant à ce titre est la secrétaire générale du Cégep et elle doit s’assurer que l’application de la Loi sur l’accès soit conforme et de mettre à jour la politique, le cas échéant. De plus, elle doit tenir le registre d’incidents de confidentialité et déclarer tout incident de confidentialité à la Commission sur l’accès à l’information.

 

-          Direction des technologies de l’information : Cette direction est responsable de la mise en place d’outils technologiques permettant d’assurer la conformité aux obligations en matière de protection des renseignements personnels.

 

-          Direction des ressources humaines et du secrétariat général : Cette direction est responsable de la réception de toute plainte liée à la protection des renseignements personnels dont le personnel est impliqué.

-          Comité sur l’accès à l’information et la protection des renseignements personnels : Le Comité est responsable de la rédaction et de la mise à jour de la présente politique, et doit être informé du traitement des plaintes et des incidents de confidentialité.

 

-          Direction générale : La direction générale s’assure du respect de la politique et des lois en matière

de protection des renseignements personnels.

-          Registrariat : le Service de l’organisation et du cheminement scolaires est responsable de la réception de toute plainte liée à la protection des renseignements personnels dont un ou une membre de la communauté étudiante est impliqué.

 

-          Responsable de la gestion documentaire : La personne occupant l’emploi de coordination aux services des ressources didactiques et documentaires agit à ce titre, et elle doit :

-   conserver uniquement les renseignements personnels pour le temps prescrit par le calendrier de conservation du Cégep, à moins d’autorisation ou d’exigence des lois ou de la réglementation applicable.

-   S'assurer de détruire de façon sécuritaire un renseignement personnel lorsque les fins pour lesquelles il a été recueilli ou utilisé sont accomplies.

 

-   Octroyer des accès aux membres du personnel pour qui les renseignements personnels sont nécessaires à l'exercice de leurs fonctions. Cela comprend les accès aux renseignements personnels contenus dans le dépôt d'archives et dans le système de gestion intégré des documents.

 

-          Responsable de la sécurité de l’information : Le ou la responsable veille à s’assurer que les mécanismes et les outils en place respectent les obligations en matière de sécurité de l’information et de protection des renseignements personnels.

 

16.2  Responsable de la mise en application et de la gestion des plaintes

Le Cégep désigne deux personnes-ressources qui servent de point de contact central pour la réception de toute plainte relativement à la protection des renseignements personnels :

-          Membres de la communauté étudiante: La personne titulaire du poste de coordination au Service de

l’organisation et du cheminement scolaires

-          Membres du personnel : La personne titulaire du poste de direction des ressources humaines et du secrétariat général

 

Le formulaire de plainte est disponible en ligne sur la plateforme Omnivox du Cégep et dès qu’il est rempli et soumis, il est acheminé directement à l’une des deux personnes-ressources concernées.

17.    ACTIVITÉS DE FORMATION ET DE SENSIBILISATION À LA PROTECTION DES RENSEIGNEMENTS

PERSONNELS OFFERTES PAR L’ORGANISME À SON PERSONNEL

 

La Loi sur l’accès oblige les cégeps à élaborer un plan annuel d’activités de formation et de sensibilisation qui seront offertes aux membres de son personnel en matière de protection des renseignements personnels.

 

Les modalités de ces activités sont déterminées annuellement par le comité de la protection des renseignements personnels du Cégep via un calendrier de formation et de sensibilisation et sont diffusées à toute la communauté.

18.  SANCTIONS APPLICABLES EN CAS DE NON-RESPECT DE LA PRÉSENTE POLITIQUE

 

Le non-respect de la présente politique pourrait entraîner des mesures administratives et/ou disciplinaires pouvant aller jusqu'au congédiement pour le personnel ou jusqu’à l’expulsion pour une personne étudiante. La nature, la gravité et le caractère répétitif des actes reprochés doivent être considérés au moment de déterminer une sanction.

 

Dans le cadre de ses relations contractuelles avec une tierce personne, le Cégep pourra mettre fin à tout contrat sans préavis pour non-respect de la présente politique. Celle-ci sera présentée à toutes les personnes contractantes avec le Cégep, lesquelles devront s'engager, par écrit, à s'y conformer.

19.  RESPONSABILITÉ DE L’APPLICATION ET RÉVISION DE LA POLITIQUE

 

La personne agissant à titre de secrétaire générale du Cégep est responsable de la protection des

renseignements personnels et de l’application de la politique et de sa révision.

 

Cette dernière est assistée du comité sur la protection des renseignements personnels pour l’application de

la politique et s’assure de la diffusion et de la mise à jour de celle-ci.

 

20.  ADOPTION DE LA POLITIQUE ET ANNEXES

 

20.1           Adoption

 

La présente politique est proposée par le comité sur la protection des renseignements personnels et entre en vigueur le jour de son adoption par le Conseil d’administration du Cégep.

 

20.2           Annexes

 

Annexe I :           Formulaire de consentement relatif à la communication des renseignements personnels pour les membres de la communauté étudiante disponible de façon électronique via la plateforme Omnivox

Annexe II :  Formulaire de consentement relatif à la communication des renseignements personnels pour les membres du personnel

Annexe III :   Registre d’incidents de confidentialité

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

***Cette politique a été rédigée en s’inspirant du Guide de rédaction des règles de gouvernance en matière de protection des renseignements personnels produit par la Direction des affaires juridiques de la Fédération des cégeps.