Login

LPCR a rédigé cette politique sur la confidentialité afin de s’assurer de la gestion ainsi que de la protection des renseignements personnels/informations confidentielles à l’interne de l’organisme LPCR. Cette politique élabore donc la primordialité de s’assurer de la confidentialité des renseignements et informations disponibles à l’interne de LPCR en ce qui a trait aux informations liées aux activités de l’organisme, à la clientèle, les membres du Conseil d’Administration, les membres du personnel, les membres individuels ainsi que pour les stagiaires et bénévoles ou autres.

Cette politique s’applique sur la base relationnelle entre toutes personnes sujettes à coopérer et/ ou travailler avec l’organisme LPCR telles que les employés, gestionnaires, directions, administrateurs, donateurs, bénévoles/stagiaires, clientèle, partenaires externes ainsi qu’à toutes les autres personnes susceptibles d’être présentes dans les différents locaux de LPCR.

 

Cette politique est mise en place afin que LPCR puisse s’assurer des objectifs suivants :

  • Assurer le respect de la vie privée des personnes et la sécurité des renseignements personnels détenus par LPCR.
  • Se donner des balises concernant le partage des informations tant à l’interne qu’à l’externe des locaux de l’organisme.
  • Assurer la mise en place de cette politique afin du respect des données inscrites dans ce document et pouvoir par conséquent avoir un suivi décisionnel juridique sur toutes enfreintes concernant cette politique.

 

Définitions

  • Discrétion :
    • L’aptitude à garder secrètes les confidences et les informations privées obtenues en dehors du cadre de travail afin de préserver le respect, l’amitié et la confiance.
  • Confidentialité :
    • Le fait de limiter ou d’interdire à d’autres personnes l’accès à des informations privées ou des renseignements personnels obtenus dans l’exercice de ses fonctions.
  • Renseignements personnels :
    • Désigne tout renseignement qui concerne un individu et qui pourrait permettre de l’identifier. Par exemple, cela inclut notamment le nom, la date de naissance, l’adresse résidentielle et l’adresse courrielle, les renseignements sur la santé, le numéro d’assurance social ou la carte d’assurance maladie des enfants, des parents, des employés, des stagiaires ou de toute autre personne.
  • Renseignements personnels sensibles :
    • Désigne tout renseignement qui, de par sa nature, suscite un haut degré d’attente raisonnable en matière de vie privée. Certaines catégories de renseignements personnels seront généralement considérées comme sensibles, notamment les renseignements sur la santé, les finances, les origines ethniques et raciales, les opinions politiques, la vie sexuelle ou l’orientation sexuelle et les croyances religieuses ou philosophiques, ainsi que les renseignements génétiques et biométriques.
  • Informations confidentielles :
    • Désigne toute information qui n’est pas un renseignement personnel ou un renseignement personnel sensible et qui n’est pas connu publiquement.

 

Engagements de LPCR

LPCR s’engage à :

  • Assurer la sécurité et la confidentialité des renseignements obtenus au sein des fonctions internes en ce qui a trait aux dossiers des employés, familles et partenaires.
  • Mettre en place des mécanismes afin de protéger les informations confidentielles.
  • Assurer le traitement confidentiel des plaintes.
  • Recueillir seulement les informations nécessaires ou utiles selon les opérations de LPCR ou les normes exigées par le Ministère et/ou de la Municipalité.
  • Appliquer la politique de confidentialité dans le respect des valeurs de LPCR.
  • Agir avec diligence et transparence lors de l’application de cette politique afin de concorder avec l’obligation des lois en vigueur.

 

Responsable de la protection des renseignements personnels

LPCR désigne la Direction Générale à titre de personne responsable d’assurer le respect et la mise en œuvre des lois sur la protection des renseignements personnels applicables (« responsable de la PRP»). La personne responsable de la PRP a les responsabilités suivantes et peut être assistée par la Direction des Ressources Humaines dans ses tâches :

  • Sensibilisation
    • S’assurer que les employés et consultants sont conscients de leurs devoirs, rôles et responsabilités lorsqu’ils traitent des renseignements personnels pour ou au nom de LPCR. Cela peut inclure la formation à la protection de la vie privée afin de favoriser une culture respectueuse de la vie privée au sein de LPCR et veiller à ce que les employés se conforment à la présente politique.
  • Gestion des droits individuels et des plaintes
    • Gestion des droits individuels et des demandes connexes ainsi que des plaintes concernant le traitement ou la protection des renseignements personnels par LPCR.
  • Atteinte aux mesures de sécurité
    • Dans le contexte d’un incident de sécurité affectant des renseignements personnels, participer à l’évaluation du préjudice potentiel aux personnes affectées.

 

Normes sur la collecte et l’utilisation de renseignements personnels

Politiques. LPCR a publié une Politique sur la protection des renseignements personnels disponible sur son site web https://lepetitchaperonrouge.ca/ qui décrit comment l’organisation traite les renseignements personnels de clients (incluant les enfants), d’intervenant externe ou pour toute personne postulant pour un emploi.

Avant ou au moment de recueillir les renseignements personnels, LPCR doit fournir un avis aux individus pour les informer de la nature, des fins et des conséquences de la collecte et de tout traitement ultérieur des renseignements personnels. LPCR peut fournir une copie ou un lien vers la politique applicable à titre d’avis précédant la collecte des renseignements personnels, à condition que les renseignements soient suffisamment portés à l’attention des personnes au moment de la collecte. Dans certaines circonstances, LPCR doit fournir un avis ad hoc pour obtenir un consentement valide ou traiter autrement certains types d’activités ou d’opérations, comme pour la publication de photos de parents et d’enfants.

Collecte des renseignements personnels. LPCR doit généralement obtenir un consentement explicite ou implicite, selon le contexte et recueillir des renseignements personnels directement auprès des individus (ou auprès des parents, gardiens ou tuteurs des enfants). LPCR recueille uniquement des renseignements personnels lorsque nécessaire aux fins suivantes :

  • Gérer les activités commerciales de LPCR (inscription, ouverture de dossier, communications, etc.)
  • Fournir des services
  • Établir, administrer et résilier des relations d’emploi
  • Respecter ses obligations légales et contractuelles applicables
  • Toute autre fin raisonnable avec le consentement valide de l’individu ou tel qu’autrement permis ou requis par la loi.

Toutefois, dans certaines circonstances limitées et permises par la loi, LPCR peut, sans obtenir le consentement des individus, recueillir des renseignements personnels auprès d’autres sources que ceux-ci et/ou utiliser des renseignements personnels à d’autres fins que celles mentionnées ci-dessus, notamment :

  • Lorsque la collecte ou l’utilisation est manifestement au bénéfice de la personne concernée et que le consentement ne peut pas être obtenu en temps utile ;
  • Lorsqu’il est raisonnable de s’attendre à ce que la collecte à la connaissance et avec le consentement de la personne concernée puisse compromettre la disponibilité ou l’exactitude des renseignements personnels, et que la collecte est raisonnable aux fins d’une enquête sur la violation d’un accord ou la contravention à une loi applicable ; et
  • Lorsque la loi l’exige ou le permet.

 

Utilisation et communication de renseignements personnels. LPCR peut utiliser ou communiquer des renseignements personnels, sans obtenir le consentement des personnes concernées, dans les situations suivantes et conformément aux normes sur l’échange d’information, tenue de dossier et mesures de sécurité ci-bas :

  • Lorsqu’ils sont partagés à un fournisseur de services, en conformité avec la section 9. Fournisseurs
    de services;
  • Pour obtenir un avis juridique auprès des avocats de LPCR ;
  • Pour recouvrer une créance due à LPCR ;
  • Conformément à des exigences légales ;
  • Pour répondre à une situation d’urgence (danger à la vie, santé ou sécurité d’une personne), à condition que LPCR informe dès que possible la personne visée lorsque la loi l’exige ;
  • Pour enquêter sur la violation d’un accord ou une infraction à une loi applicable si l’utilisation ou le consentement au su ou avec le consentement de l’individu compromet l’enquête ;
  • Pour détecter ou supprimer une fraude ou prévenir une fraude susceptible d’être commise, s’il est raisonnable de s’attendre à ce que la communication effectuée au su ou avec le consentement de l’individu compromette la capacité de prévenir la fraude, de la détecter ou d’y mettre fin ;
  • Lorsque la loi l’exige ou le permet.

Il est important de communiquer avec le responsable de la PRP si l’une des situations ci-haut se produit avant toute utilisation, communication ou transmission des renseignements personnels.

 

Normes de discrétion

LPCR priorise avec l’élaboration de cette politique que toute personne au sein de l’organisme se responsabilise à une communication discrète et respectueuse en s’assurant des mesures établies sur la confidentialité afin que les échanges reliés ou non à l’exercice de ses fonctions soient dans les barèmes adéquats. De ce fait, cette personne se doit de :

  • Respecter la vie privée des personnes.
  • Ne pas divulguer aucune information confidentielle ou renseignement personnel obtenu au sein de l’organisme.
  • Savoir garder les informations sensibles des personnes qui se confient.
  • Agir selon les valeurs de l’organisme

 

Fournisseurs de services

LPCR peut retenir les services d’un fournisseur de services, d’un contractant ou d’un consultant tiers (collectivement, le « fournisseur de services ») pour recueillir, utiliser, conserver, détruire ou communiquer ou autrement traiter des renseignement personnels et confidentiels pour le compte de LPCR. LPCR utilise différents moyens, notamment contractuels, pour assurer que les renseignements partagés bénéficient d’un niveau de protection adéquat. Tout fournisseur de services retenu par LPCR doit se conformer aux obligations légales et contractuelles, notamment :

  • Conformité aux lois sur la protection des renseignements personnels
    • Le fournisseur de services doit s’engager à respecter les lois applicables, incluant les Lois sur la protection des renseignements personnels applicables ;
  • Limitation de l’utilisation
    • Le fournisseur de services doit traiter les renseignements personnels et confidentiels uniquement selon les instructions de LPCR et uniquement dans le but de fournir les services demandés ;
  • Transferts à des tiers
    • Il doit être interdit au fournisseur de services de transférer des renseignements personnels ou confidentiels à un tiers sans l’autorisation préalable de LPCR ; et s’il est autorisé à le faire, le fournisseur de services doit s’assurer que le tiers est lié par un accord écrit qui assure aux renseignements personnels un niveau de protection équivalent à celui accordé par l’accord entre LPCR et le fournisseur de services ;
  • Droits individuels
    • Si le fournisseur de services reçoit une demande d’accès ou de rectification ou toute autre demande similaire concernant des renseignements personnels traités pour le compte de LPCR, le fournisseur de services doit transmettre la demande à LPCR et coopérer avec l’entreprise pour répondre à cette demande ;
  • Sécurité de l’information
    • Le fournisseur de services doit protéger les renseignements personnels et confidentiels à l’aide de mesures de protection physiques, techniques et organisationnelles adéquates, adaptées au volume et à la sensibilité des renseignements ;
  • Atteinte aux mesures de sécurité
    • Le fournisseur de services doit informer immédiatement et sans délai LPCR de toute perte raisonnablement suspectée ou réelle de renseignements personnels ou confidentiels, de tout accès, utilisation ou communication non autorisés, ou de toute autre violation ou tentative de violation, par toute personne, de toute obligation concernant la confidentialité des renseignements communiqués ;
  • Examen et vérification de la sécurité
    • Le fournisseur de services doit permettre à LPCR d’effectuer toute vérification relative aux exigences de confidentialité et de sécurité des renseignements personnels et confidentiels ;
  • Conservation et destruction sécurisée
    • Le fournisseur de services doit retourner ou détruire de façon sécuritaire tous les renseignements personnels traités pour le compte de la LPCR à la fin du contrat de service ou à la demande de LPCR ;
  • Transferts transfrontaliers
    • À la demande de LPCR, le fournisseur de services doit traiter les renseignements personnels uniquement au Canada, sauf autorisation écrite contraire de LPCR.

 

Sécurité de l’information – Normes sur l’échange d’information, tenue de dossier et mesures de sécurité

LPCR met en place des mesures de sécurité appropriées pour protéger la confidentialité, l’intégrité et la disponibilité des renseignements personnels et confidentiels qu’elle détient. Les mesures de sécurité doivent protéger contre l’utilisation et l’accès non autorisés des renseignements personnels et confidentiels, ainsi que contre les pertes accidentelles ou altérations à ces renseignements. Les employés de LPCR doivent se conformer en tout temps aux mesures de sécurité listées ci-bas et à la Politique sur les appareils électroniques et les usages.

  • Incident de confidentialité. Les employés de LPCR doivent rester vigilants quant aux atteintes au mesures de sécurité impliquant des renseignements personnels et doivent immédiatement signaler toute atteinte réelle ou suspectée au responsable des PRP afin que LPCR puisse enquêter rapidement et prendre les mesures appropriées. Une atteinte inclut notamment :
    • Accident : des renseignements personnels sont communiqués au mauvais destinataire par accident. Ex. (i) un courriel ou une lettre contenant des renseignements sur un client est envoyé à la mauvaise adresse en raison d’une erreur mécanique ou humaine ; (ii) des renseignements personnels sont rendus publics sur le site Web de LPCR à la suite d’un problème technique ;
    • Perte : des renseignements personnels disparaissent. Ex. l’ordinateur portable, l’appareil mobile ou le porte-documents d’un employé contenant des renseignements personnels est perdu.
    • Accès, utilisation ou communication non autorisés : les renseignements personnels sont consultés, utilisés ou communiqués par une personne non autorisée, ou d’une manière non autorisée, ou dans un but non autorisé, y compris en violation de l’une des politiques de LPCR ou de la loi applicable. Ex. (i) l’ordinateur portable, l’appareil mobile ou le porte-documents d’un employé de LPCR contenant des renseignements personnels est volé ; (ii) un employé de LPCR accède aux renseignements personnels d’un autre employé ou d’un client dans un but non autorisé (par exemple, curiosité personnelle) ; ou (iii) les systèmes informatiques de LPCR qui hébergent les renseignements personnels des clients sont piratés ou accédés par des cybercriminels.
  • Échanges d’information à l’externe de Le Petit Chaperon Rouge. Il est stipulé que les membres du Conseil d’administration, les Directions/Gestionnaires ainsi que les employés ne sont pas autorisés à discuter de dossiers, de personnes ou de décisions propres à l’organisme LPCR avec des personnes externes ou non concernées, sauf si cela est nécessaire pour l’élaboration d’une intervention reliée à la gestion interne de LPCR. Dans une telle situation, ils doivent :
    • S’assurer de l’identité de la personne qui demande l’information si celle-ci n’est pas connue.
    • Limiter les échanges d’informations au minimum requis.
  • Échanges d’informations au sein de l’organisme Le Petit Chaperon Rouge. Lors des échanges internes, il faut :
    • Limiter les échanges d’informations entre intervenants concernés lors d’une réunion d’équipe ou dans un endroit sécurisé (ex. : bureau à porte fermée).
    • Éviter de discuter des dossiers, des personnes ou des décisions en dehors de ces moments. Si cela est impossible, s’assurer de ne pas identifier la personne concernée et échanger dans un lieu propice à la confidentialité.
    • S’assurer que les conversations téléphoniques traitant d’informations confidentielles ne sont pas entendues par d’autres personnes.
  • Règles à respecter concernant la tenue de dossier. Le personnel de LPCR doit :
    • Inscrire au dossier que des informations vraies, pertinentes et nécessaires.
    • Éviter de noter des commentaires personnels, des réflexions ou perceptions et s’en tenir aux faits rapportés par la personne concernée ou observés par le professionnel lui-même.
    • S’assurer de garder l’information dans un lieu sécuritaire avec un accès limité.
  • Bureaux des Directions et bureau administratif. Le personnel des bureaux de directions et du bureau administratif doit :
    • Fermer les portes des bureaux à l’heure du dîner, en fin de journée ou en cas d’absence. L’accès doit être priorisé que pour les personnes autorisées.
    • S’assurer de fermer sous clef tous documents confidentiels concernant les familles/employés de la communauté LPCR.
    • Il est proscrit d’entrer dans le bureau d’une personne absente sans le consentement de celle-ci.
  • Classeurs/données sur les appareils informatiques. Il est nécessaire de fermer sous clef en tout temps les classeurs contenant les dossiers des membres, des clients et des employés ainsi que ceux contenant des renseignements nominatifs, en dehors des heures de bureau ou en l’absence des personnes responsables.
    • Il est également essentiel que tous appareils informatiques appartenant à l’équipe de Direction/ Gestion/Financière détenant des informations confidentielles soient munis d’un code de sécurité afin de limiter l’accès à ces données.
    • Le mot de passe des appareils informatiques doit dans la mesure du possible être changé régulièrement afin d’assurer une protection optimale, conformément à la Politique sur les appareils électroniques et les usages.
  • Procédures de conservation et de destruction des dossiers confidentiels. Le personnel de LPCR doit:
    • Conserver les dossiers fermés en un lieu sûr dans le respect des normes de LPCR.
    • S’assurer que les dossiers fermés sont déchiquetés par un membre de la Direction à la fin de la période de conservation.
    • Détruire tous autres documents confidentiels de la même manière.
    • Conserver les renseignements personnels sur les clients, employés, partenaires et donateurs confirmés ou potentiels aussi longtemps que l’exige la loi ou les fins pour lesquelles ils ont été recueillis. Lorsqu’il n’y aura plus de besoin, LPCR prendra les mesures raisonnables pour les supprimer.
  • Normes pour les échanges d’informations à l’externe de LPCR pour les membres du Conseil d’administration. Afin de s’assurer de la confidentialité des informations à l’interne de l’organisme LPCR, les membres du Conseil d’administration ne sont pas autorisés à discuter ou échanger des informations concernant un dossier ou décisions propres à LPCR avec des personnes à l’externe de l’organisme ou non concernée. Cette procédure est une responsabilisation des membres au fait d’être en possession d’informations confidentielles ne pouvant être partagées à quiconque n’étant autorisé à obtenir ces données. Les membres du Conseil d’administration se doivent de suivre le code d’éthique en ce qui a trait aux obligations à respecter en tant que personne impliquée administrativement dans l’organisme.
  • Échanges d’informations au sein de l’organisme LPCR lors d’une réunion du Conseil d’administration. Lors des réunions du conseil d’administration, les administrateurs doivent :
    • Limiter les échanges d’informations sur les dossiers, les personnes ou les décisions lors des réunions du Conseil d’administration, du comité exécutif ou tous autres comités reliés au Conseil d’administration. Les noms des personnes concernées dans les situations à faire suivre doivent rester confidentiels.
    • Les discussions confidentielles doivent être partagées dans la mesure du possible lors de ces réunions afin d’éviter le partage d’informations confidentielles dans tous autres lieux non propices.
    • S’assurer que les conversations téléphoniques entre membres du Conseil d’administration et les Dirigeants de l’organisme traitant d’informations confidentielles ne sont pas entendues par d’autres personnes.
    • Les informations partagées lors des réunions du CA et sur les procès-verbaux doivent rester confidentielles et accessibles seulement aux personnes autorisées. Ces documents officiels doivent être conservés dans un dossier sécurisé.
    • Les résolutions adoptées lors des réunions du Conseil d’administration doivent rester confidentielles à l’interne de l’organisme LPCR et dans un endroit adapté à cet effet.
  • Normes pour les bénévoles/stagiaires. Il est préconisé de limiter les échanges d’informations afin d’éviter le partage de renseignements non essentiels à obtenir pour l’exercice des fonctions attitrés à ces personnes. Tous bénévoles/ stagiaires sont également dans l’obligation de suivre les normes de confidentialité/discrétion établies dans cette politique afin de s’assurer du respect des directives indiquées dans ce document.
  • Normes pour les donateurs/partenaires. L’organisme LPCR accorde une importance primordiale à la confiance des donateurs/partenaires décidant de collaborer avec LPCR. Par conséquent, LPCR s’assurera dans la mesure du possible et selon les ententes du partenariat de limiter la collecte et l’utilisation des renseignements personnels de ses donateurs/partenaires afin d’en protéger la confidentialité.
    • Toutes les informations personnelles recueillies par LPCR la Direction Générale sur un donateur/partenaire (qu’il soit confirmé ou potentiel) resteront confidentielles.
    • LPCR n’utilisera aucun renseignement personnel recueilli auprès d’un autre organisme, d’un tiers, d’un individu concerné, etc., pour quelque fin que ce soit, sans que l’individu concerné ne le sache et n’y consente.
    • LPCR ne divulguera aucune information personnelle sur un donateur/partenaire à quiconque à l’externe ni à aucune de ses entités affiliées sans que le donateur/partenaire le sache et y consente, sauf en ce qui a trait aux personnes suivantes :
      • Un vérificateur relié à un audit de LPCR affecté par son vérificateur ou par un vérificateur désigné par le donateur/partenaire.
      • Un organisme ou un individu fournissant des services à LPCR si les renseignements personnels sont raisonnablement nécessaires à la prestation desdits services. Dans ce cas, l’organisme ou l’individu doit agir en conformité avec la présente politique, et utiliser les dits renseignements personnels uniquement pour les fins de la prestation des services à LPCR.
      • Un cabinet d’avocat qui représente LPCR dans un dossier qui touche les renseignements personnels.
      • Quiconque présente une assignation à témoigner, un mandat ou une obligation découlant d’un ordre de la cour.
      • Une institution gouvernementale qui demande ces renseignements, qui présente son autorisation de demande, en lien avec l’administration de toute loi en vigueur.
      • Dans toute autre circonstance où la divulgation est explicitement permise conformément aux lois s’appliquant à la protection des renseignements personnels.

 

Dans la situation ou le donateur/partenaire qui, auparavant, avaient accepté que LPCR transmette certains renseignements personnels à d’autres organismes, décide de ne plus consentir, celui-ci doit informer LPCR par écrit.

Un employé, client ou toutes autres personnes concernées peut demander par écrit d’avoir accès aux renseignements personnels que détient LPCR sur lui. Les Dirigeants de l’organisme LPCR répondront dans un délai raisonnable en lui donnant accès à ces données.

*Il est toutefois possible que LPCR refuse le partage de certains documents/renseignements si les circonstances l’obligent ou lui donnent le droit de refuser cet accès ou lorsque permis ou requis par la loi.

Un employé, client ou toutes autres personnes concernées qui croit qu’un ou plusieurs de ses renseignements personnels sont inexacts ou incomplets, peut demander par écrit à un Dirigeant LPCR de les modifier. LPCR fera les corrections appropriées dans un bref délai. Cependant, s’il est raisonnablement d’avis que la modification est inexacte ou incomplète, le LPCR peut la refuser et inscrira la demande de modification dans ses dossiers.

 

Gestion des demandes gouvernementales et des demandes accès et de rectification de
renseignements personnels

  • Demandes gouvernementales. Si un employé reçoit une demande d’information ou toute autre forme de communication de la part d’un organisme gouvernementale, l’employé doit immédiatement en informer le responsable de la PRP, qui sera chargé de traiter et répondre à la demande.
  • Demandes d’individus. Les individus peuvent, sous réserve de certaines conditions, demander de consulter les renseignements personnels que LPCR détient à leur sujet et demander d’y apporter les corrections appropriées. Si un employé reçoit une demande d’un tiers, l’employé doit en informer le responsable de la PRP, qui sera chargé de traiter et répondre à la demande. Un employé doit s’adresser à la Direction des Ressources Humaines pour accéder à ses renseignements personnels ou les faire rectifier.
  • Demande d’accès relative aux images de vidéo surveillance. Toute demande d’accès relative aux images de vidéosurveillance détenues par LPCR doit être adressée au responsable de la PRP en soumettant une demande écrite. Le responsable de la PRP est responsable du traitement de cette demande.

 

Modalités d’application

  • Le responsable de la PRP est responsable de la mise en œuvre ainsi que de l’application de la politique de confidentialité.
  • Les Administrateurs, les Directions, les employés ainsi les bénévoles/stagiaires doivent remplir, dès l’entrée en vigueur de cette politique, un formulaire d’engagement à respecter celle-ci.

Il est à noter que si un administrateur, un employé, stagiaire, bénévole ou toutes autres personnes concernées divulguent une information confidentielle, LPCR pourrait établir des mesures disciplinaires pouvant résulter au congédiement conformément aux politiques/ règlements établis à l’interne de l’organisme LPCR ou dans certains cas à des mesures juridiques.