1 mars 2024
Préambule
Le GRT Nouvel Habitat (GRT) est une entreprise à but non lucratif assujetti la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, sanctionnée le 22 septembre 2021, qui apporte des changements majeurs aux dispositions de la Loi sur la protection des renseignements personnels dans le secteur privé (la Loi) .
Le GRT doit s’assurer du respect du nouvel encadrement applicable.
Le GRT a l’obligation de respecter un cadre législatif pour assurer la confidentialité des renseignements personnels des personnes qui utilisent ses services et ses employés.
1. Fondement
1.1. Le GRT reconnaît l’importance de la protection de la vie privée, de la sécurité et de la protection des renseignements personnels ou confidentiels qu’il recueille et conserve. Il s’engage ainsi à respecter les dispositions, les valeurs et les principes fondamentaux établis par les législations applicables.
1.2. Le GRT s’assure de mettre en œuvre les mesures nécessaires pour garantir le respect de la confidentialité des renseignements personnels ou confidentiels qui lui sont communiqués dans le cours de ses activités.
2. Objectifs
2.1. La Politique a pour objet de préciser la gouvernance à l’égard des renseignements personnels collectés et conservés par le GRT dans le cadre de ses opérations et de renforcer la protection de la vie privée des personnes visées par ceux-ci, de favoriser la transparence et de moderniser l’encadrement applicable à la protection des renseignements.
2.2. La Politique vise notamment les objectifs suivants :
2.2.1. Désigner le responsable de la protection des renseignements personnels et définir son rôle et ses responsabilités.
2.2.2. Définir les rôles et responsabilités de chacun des membres de l’organisation.
2.2.3. Définir un cadre de gestion des incidents de confidentialité.
2.2.4. Définir le processus de traitement des plaintes.
3. Définitions
3.1. Renseignement personnel : Tout renseignement qui concerne une personne physique, qui permet directement ou indirectement de l’identifier, quelle que soit la nature de son support et quelle que soit la forme sous laquelle il est accessible. Ces renseignements peuvent être notamment l’adresse personnelle, le numéro de téléphone personnel ou des renseignements concernant l’état de santé d’une personne physique.
3.2. Renseignement confidentiel : Tout renseignement de nature tactique ou stratégique pour le GRT, ou tout renseignement habituellement traité de façon confidentielle par ces derniers.
3.3. Administrateur : Les membres du conseil d’administration (CA) du GRT.
3.4. Incident de confidentialité : Un incident de confidentialité correspond à un accès non autorisé par la Loi à un renseignement personnel, à son utilisation ou à sa communication, de même que sa perte ou toute autre forme d’atteinte à sa protection.
4. Champ d’application
4.1. La Politique s’applique à tous les employés du GRT ainsi qu’à ses administrateurs dans le cadre de l’exercice de leurs fonctions. La Politique peut également s’appliquer après la fin de l’emploi/mandat lorsque cela est prévu expressément ou lorsque le contexte s’y prête.
4.2. La Politique s’applique également à toute personne liée au GRT par un contrat de service ou d’approvisionnement.
5. Rôles et responsabilités
5.1. Le CA veille à assurer le respect et la mise en œuvre de la Loi. Il nomme le Responsable de l’accès et de la protection des renseignements personnels et adopte la présente politique.
5.2. Le Responsable de l’accès et de la protection des renseignements personnel veille à la conformité du GRT aux obligations en matière de protection des renseignements personnels.
5.3. Le Directeur général du GRT (DG) met en œuvre les politiques et pratiques encadrant la gouvernance à l’égard des renseignements personnels et propres à assurer la protection de ces renseignements.
5.4. Le DG assure le respect de la Politique par les employés.
5.5. Le DG tient un registre des incidents de confidentialité.
5.6. Le DG communique les informations concernant les incidents et les plaintes au CA.
5.7. Les employés sont tenus de respecter la Politique.
5.8. Les employés sont tenus de collaborer dans la recherche de documents et d’informations faisant l’objet de toute demande d’accès.
5.9. Les employés sont tenus de veiller à la protection des renseignements personnels et confidentiels.
6. Règles et procédures applicables
6.1. Principes généraux
6.1.1. Le GRT s’engage à maintenir et mettre en œuvre un ensemble de mesures technologiques, organisationnelles, humaines, physiques, juridiques et éthiques afin d’assurer la sécurité des renseignements personnels ou confidentiels qu’il détient, notamment en s’assurant des éléments suivants:
• La disponibilité des renseignements de façon qu’ils soient accessibles, au moment convenu et de la manière requise, par les personnes autorisées à habitat avoir accès;
• L’intégrité des renseignements, de manière que ceux-ci ne soient pas détruits ou altérés, de quelque façon, sans autorisation et en respect du calendrier de conservation du GRT et que le support de ces renseignements leur procure la stabilité et la pérennité voulues;
• La confidentialité des renseignements personnels ou confidentiels, en limitant leur divulgation aux seules personnes autorisées à en prendre connaissance;
• L’identification et l’authentification, de façon à confirmer, lorsque requis, l’identité d’une personne ou l’identification d’un document ou d’un dispositif;
• L’irrévocabilité, afin d’assurer qu’une action, un échange ou un document est clairement attribué à l’entité qui l’a généré;
• La conformité aux exigences légales, règlementaires ou d’affaires auxquelles le GRT est assujettie.
6.2. Collecte des renseignements personnels
6.2.1. Les renseignements personnels doivent être recueillis pour un motif sérieux et légitime en lien avec les activités du GRT.
6.2.2. La collecte de renseignements personnels par le GRT doit s’effectuer en toute transparence, avec le consentement libre et éclairé de la personne concernée et en indiquant clairement les fins pour lesquelles ces renseignements sont recueillis (Annexe A). Si la personne auprès de laquelle des renseignements personnels sont recueillis est mineure, le consentement doit être donné par son parent ou son tuteur.
6.2.3. Le GRT doit obtenir un nouveau consentement pour utiliser les renseignements personnels à des fins qui ne sont pas compatibles avec celles pour lesquelles ils ont été recueillis.
6.2.4. Tous les renseignements personnels collectés, quel que soit leur support, sont conservés dans un environnement sécurisé.
Ces renseignements sont accessibles uniquement aux employés ou mandataires du GRT qui en ont nécessairement besoin pour l’exercice de leurs fonctions et ces derniers sont tenus de respecter le caractère confidentiel de ces renseignements.
6.2.5. Le GRT requière le consentement de la personne concernée avant de communiquer à un tiers un renseignement personnel lui appartenant, à moins que les lois applicables en autorisent la communication sans ce consentement.
Avant toute communication de renseignement personnels à un tiers le GRT doit demander une copie de la politique sur la protection des renseignements personnels de celui-ci.
6.2.6. Les renseignements personnels sont conservés pour la période nécessaire à la réalisation des fins prévues par leur collecte et, par la suite, sont détruits de façon sécuritaire dans les délais prévus au calendrier de conservation du GRT.
6.3. Limite à la collecte de renseignements personnels
6.3.1. En respect des lois applicables, le GRT s’engage à recueillir uniquement les renseignements personnels nécessaires pour l’exercice de ses fonctions de gestion et de développement de projets ou de celles d’une organisation avec laquelle il collabore pour la prestation de services ou pour la réalisation d’une mission commune, notamment les coopératives d’habitation clients.
6.4. Mode de collecte
6.4.1. La collecte de renseignements personnels peut s’effectuer notamment par l’entremise de formulaires, de différents moyens technologiques, d’entretiens téléphoniques, de sondages d’opinion ou de questionnaires.
6.4.2. Toute personne qui recueille, au nom du GRT, des renseignements personnels auprès de la personne concernée ou d’un tiers doit s’identifier et fournir les informations suivantes :
• Le nom du GRT;
• Les fins pour lesquelles ces renseignements sont recueillis;
• Les catégories de personnes qui auront accès à ces renseignements;
• L’endroit où sera détenu son dossier;
• Le caractère obligatoire ou facultatif de la demande;
• Les conséquences pour la personne concernée ou, selon le cas, pour le tiers, d'un Refus de répondre à la demande;
• Les droits d'accès, de rectification et de retrait du consentement.
6.4.3. Tous les renseignements personnels collectés, quel que soit leur support, sont conservés dans un environnement sécurisé. Ces renseignements sont accessibles uniquement aux employés ou mandataires du GRT qui en ont nécessairement besoin pour l’exercice de leurs fonctions et ces derniers sont tenus de respecter le caractère confidentiel de ces renseignements.
6.4.4. Le GRT doit veiller à ce que les renseignements personnels qu’il conserve soient à jour, exacts et complets dans le but de servir aux fins pour lesquelles ils ont été recueillis.
6.5. Finalités de la collecte
6.5.1. Lorsque le GRT collecte et conserve des renseignements personnels, son objectif est d’offrir un service personnalisé et sécuritaire à ses utilisateurs, dans le respect des lois applicables et des règles de sécurité.
6.5.2. Le GRT utilisera les renseignements personnels seulement aux fins pour lesquelles ils ont été recueillis, soit pour les services de développement de projets et de gestion financière et immobilière.
6.6. Droits d’accès, de rectification ou de retrait
6.6.1. Toute personne qui en fait la demande a droit d’accès aux renseignements personnels qui la concernent et qui sont détenus par le GRT, à moins d’exceptions prévues aux lois applicables.
6.6.2. Une personne peut demander que ses renseignements personnels soient corrigés, détruits ou qu’ils ne soient plus utilisés pour les fins pour lesquelles ils ont été recueillis.
6.6.3. En conformité avec les lois applicables, le GRT s’engage à respecter toute demande de rectification, de retrait ou de destruction, à moins d’obligations légales à l’effet contraire.
6.6.4. Les renseignements personnels sont conservés pour la période nécessaire à la réalisation des fins prévues par leur collecte et, par la suite, sont détruits dans les délais prévus au calendrier de conservation du GRT.
6.6.5. Toute personne qui désire déposer une plainte concernant la collecte, la conservation, l’utilisation, la communication, la destruction ou les droits d’accès ou de rectification à ses renseignements personnels par le GRT doit adresser celle-ci par écrit au responsable de l’accès aux documents et de la protection des renseignements personnels du GRT.
6.7. Sécurité des renseignements
6.7.1. Afin d’assurer la protection des renseignements personnels, ceux-ci doivent être :
• Enregistré directement sur le réseau informatique;
• Imprimé qu’en cas de nécessité;
• Communiqué par envoi sécurisé.
6.7.2. Tout document papier contenant des renseignements personnels doit être classé sous clé.
6.7.3. Le GRT utilise les technologies de l’information pour supporter ses processus d’affaires afin d’offrir une meilleure prestation de services.
6.7.4. Le GRT met en place des mesures de sécurité et de gestion des accès adéquates pour assurer la confidentialité, l’intégrité et la disponibilité des renseignements qu’il détient en fonction de la sensibilité de ces renseignements, des risques auxquels ils sont exposés et des obligations auxquelles le GRT est soumis.
6.8. Responsabilité de l’utilisateur des services
6.8.1. Toute personne qui achemine des renseignements au GRT est responsable de l’exactitude de ceux-ci ainsi que du maintien de la confidentialité de ses renseignements. Le GRT ne peut être tenu responsable d’un usage non autorisé par cet utilisateur.
6.8.2. Toute personne qui achemine des renseignements au GRT doit également s’assurer que le système ou l’équipement avec lequel il transmet ou reçoit de l’information du GRT est suffisamment sécuritaire et faire preuve de vigilance. Le GRT ne peut être tenue responsable d’un accès non autorisé à des renseignements découlant d’une négligence ou des vulnérabilités présentes sur l’équipement ou le système d’un utilisateur.
6.8.3. Dans l’éventualité où la confidentialité de ses renseignements venait à être compromise ou son identité usurpée, l’utilisateur est tenu d’en aviser le GRT le plus rapidement possible.
6.9. Lien vers d’autres sites Internet
6.9.1. Le site Internet du GRT propose des hyperliens vers d’autres sites Internet. Les renseignements échangés sur ces sites ne sont pas assujettis à la présente politique, mais à celle du site externe. Le GRT n’est pas responsable du contenu de ces sites et ne peut être tenue responsable des dommages, de quelque nature qu’ils soient, découlant de la navigation ou de l’utilisation de ces sites.
7. Incidents de confidentialité
7.1. Un incident de confidentialité correspond à un accès non autorisé par la loi à un renseignement personnel, à son utilisation ou à sa communication, de même que sa perte ou toute autre forme d’atteinte à sa protection.
7.2. Si le GRT a des motifs de croire qu’un incident de confidentialité impliquant un renseignement personnel qu’il détient s’est produit, il doit prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent.
7.3. Le GRT procède à l’évaluation du préjudice.
7.4. Le GRT doit tenir un registre des incidents de confidentialité (Annexe B) et, sur demande de la Commission d’accès à l’information, lui en transmettre une copie.
7.5. Les renseignements contenus au registre des incidents de confidentialité doivent être tenus à jour et conservés pendant une période minimale de cinq (5) ans après la date ou la période au cours de laquelle le GRT a pris connaissance de l’incident.
8. Utilisation ou communication de renseignements personnels à des fins d’étude, de recherche ou de production de statistiques
8.1. Le GRT peut utiliser des renseignements dépersonnalisés à des fins d’étude, de recherche ou de production de statistiques dans le but :
8.1.1. D’évaluer la performance ou de mesurer la qualité de ses services dans une perspective d’amélioration continue;
8.1.2. De servir l’intérêt public, par exemple en menant une recherche sur un sujet précis en lien avec sa mission afin d’élaborer un nouveau programme ou service. L’étude, la recherche ou la production de statistiques doit porter sur la mission ou les programmes d’un organisme public.
8.2. Le GRT, lorsqu’il utilise des renseignements dépersonnalisés, prend des mesures raisonnables afin de limiter les risques que quiconque puisse identifier une personne.
8.3. La personne ou l’organisme qui souhaite utiliser des renseignements personnels à des fins d’étude, de recherche ou de production de statistiques doit :
8.3.1. Faire sa demande par écrit;
8.3.2. Joindre à sa demande une présentation détaillée des activités d’étude, de recherche ou de production de statistique;
8.3.3. Exposer les motifs pouvant soutenir que les critères mentionnés à l’article 6.3 sont remplis;
8.3.4. Mentionner toutes les personnes et tous les organismes à qui il fait une demande similaire aux fins de la même étude, recherche ou production de statistiques;
8.3.5. Le cas échéant, décrire les différentes technologies qui seront utilisées pour effectuer le traitement des renseignements;
8.3.6. Le cas échéant, transmettre la décision documentée d’un comité d’éthique de la recherche relative à cette étude, recherche ou production de statistiques.
8.4. Le GRT, lorsqu’il communique des renseignements personnels conformément à l’article 6.2, doit préalablement conclure une entente avec la personne ou l’organisme à qui il les transmet.
8.5. Le GRT doit inscrire dans un registre toute communication de renseignements personnels visée par cette entente.
9. Mise à jour
9.1. Le directeur général du GRT est responsable de soumettre au CA la mise à jour de la Politique.
9.2. La Politique doit être révisée au minimum lors de changements significatifs, notamment en septembre 2024 et par la suite au mois de septembre de chaque année.
9.3. La Politique entre en vigueur le 20 février 2024.