Politiques de confidentialité
Services de soutien à la famille Hay Doun, respecte le droit à la vie privée de chaque individu et s’engage à protéger la confidentialité des renseignements personnels recueillis auprès de toute participante, membre ou employée. Sauf exceptions, les renseignements confidentiels sont disponibles seulement aux personnes qui doivent y avoir accès dans l’exercice de leurs fonctions au sein de l’organisme Hay Doun.
GABARIT – Procédures internes Loi 25
Ce gabarit fait partie des ressources offertes par CY-clic, Blue Eden et Dubé Latreille Avocats (DLA). Il peut vous aider à établir les mesures nécessaires pour la conservation, la destruction et l’anonymisation des renseignements personnels conformément aux exigences de la Loi 25.
Avertissement et mise en contexte
La mise en conformité d’une organisation aux nouvelles exigences de la Loi 25 est un processus propre à chaque organisation. Il n’existe pas de modèle unique de mise en conformité.
Ainsi les gabarits offerts dans ces documents ne sont qu’une base, un modèle proposé pour initier votre démarche de conformité. Leur mise en place au sein de votre organisation représente une première étape qui pourrait nécessiter l’intervention d’un avocat. Par ailleurs, afin de tenir compte de l’évolution de la loi et son application, des mises à jour régulières seront nécessaires pour maintenir votre conformité à la Loi 25.
Vu ce qui précède, toute utilisation de l’information contenue dans ces documents doit être faite avec précaution et ceux-ci ne peuvent être interprétés comme constituant un avis juridique ou une opinion de quelque nature que ce soit. À ce titre, CY-clic, Blue Eden et DLA ne seront en aucun cas responsables des dommages directs, indirects, exemplaires, accessoires ou particuliers, prévisibles ou non, à l’égard de réclamation pouvant découler de l’utilisation de l’information qui y est présentée. Il appartient donc à l’organisation qui utiliserait le présent gabarit de l’adapter à ses processus et dispositifs internes et de le faire réviser par des personnes compétentes en fonction de l’évolution de ses pratiques mais aussi de la Loi sur la Protection des Renseignements Personnels dans le Secteur Privé (LPRPSP), de la publication de règlements ou directives y afférents par le gouvernement du Québec ou par la Commission d’’Accès à l’Information chargée de l’application de la Loi 25.
Procédure de conservation, de destruction et d’anonymisation des renseignements personnels
1. Aperçu
Il est important de mettre en place une procédure de conservation, de destruction et d’anonymisation des renseignements personnels pour garantir la protection de la vie privée des individus, se conformer aux lois sur la protection des renseignements personnels, prévenir les incidents de confidentialité impliquant des renseignements personnels et les atteintes à la sécurité, maintenir la confiance des clients et protéger la réputation de l’organisation.
2. Objectif
Le but de cette procédure est de garantir la protection de la vie privée des individus et de se conformer aux obligations légales en matière de protection des renseignements personnels.
3. Portée
La portée de cette procédure devrait couvrir l’ensemble du cycle de vie des renseignements personnels, depuis leur collecte jusqu’à leur destruction. Elle concerne tous les employés et parties prenantes impliquées dans la collecte, le traitement, la conservation, la destruction et l’anonymisation des renseignements personnels conformément aux exigences légales et aux bonnes pratiques en matière de protection de la vie privée.
4. Définitions
Renseignements personnels : toute information permettant d’identifier, directement ou indirectement, une personne physique.
Conservation : stockage sécurisé des renseignements personnels pendant la durée requise.
Destruction : suppression, élimination ou effacement définitif des renseignements personnels.
Anonymisation : processus de modification des renseignements personnels de manière à ne plus permettre en tout temps et de façon irréversible l’identification, directe ou indirecte, des individus concernés.
5. Procédure
5.1 Durée de conservation
5.1.1 Les renseignements personnels ont été catégorisés de la façon suivante:
- renseignements concernant les employés de l’entreprise,
- renseignements concernant les membres du conseil d’administration,
- renseignements concernant les membres de l’organisation,
- renseignements concernant les clients.
5.1.2 La durée de conservation pour chacune de ces catégories a été établit de la façon suivante:
- Employés de l’entreprise : 7 ans après la fin d’emploi.
- Membres du C.A. : 7 ans après la fin du mandat.
- Membres : variable en fonction du type de renseignement personnel.
- Clients : variable en fonction du type de renseignement personnel.
Pour plus de détails, se référer à l’inventaire complet des renseignements personnels détenus.
Attention des délais de conservation spécifiques peuvent s’appliquer.
5.2 Méthodes de stockage sécurisé
5.2.1 Les renseignements personnels se trouvent aux endroits suivants : Dans des tiroirs verrouillés sous clés et des ordinateurs protégés par mots de passe.
5.2.2 Le degré de sensibilité de chacun de ces lieux de stockage a été établi.
5.2.3 Ces lieux de stockage, qu’ils soient papier ou numérique, sont adéquatement sécurisés.
5.2.4 L’accès à ces lieux de stockage a été restreint aux seules personnes autorisées.
5.3 Destruction des renseignements personnels
5.3.1 Pour les renseignements personnels sur papier, ils devront être totalement déchiquetés.
5.3.2 Pour les renseignements personnels numériques, ils devront être totalement supprimés des appareils (ordinateurs, téléphone, tablette, disque dur externe), des serveurs et des outils infonuagiques.
5.3.3 Le calendrier de destruction en fonction de la durée de conservation établie pour chaque catégorie de renseignements personnels devra être fait. Il est impératif de documenter les dates de destruction prévues.
5.3.4 Il faudra s’assurer que la destruction est réalisée de manière à ce que les renseignements personnels ne puissent pas être récupérés ou reconstitués.
5.4 Anonymisation des renseignements personnels
5.4.1 L’anonymisation des renseignements personnels ne devrait se faire que si l’organisation souhaite les conserver et les utiliser à des fins sérieuses et légitimes.
5.4.2 La méthode d’anonymisation des renseignements personnels choisit est la suivante : Déchiquetage des dossiers et fichiers.
5.4.3 Il faudra s’assurer que l’information restante ne permettre plus de façon irréversible l’identification directe ou indirecte des individus concernés et s’assurer d’évaluer régulièrement
le risque de réidentification des données anonymisées en effectuant des tests et des analyses pour garantir leur efficacité.
Attention, à la date de rédaction du présent gabarit, l’anonymisation des renseignements personnels à des fins sérieuses et légitimes n’est pas possible. Un règlement du gouvernement doit être adopté pour déterminer les critères et les modalités.
5.5 Formation et sensibilisation du personnel
5.5.1 Il faudra s’assurer de fournir une formation régulière aux employés sur la procédure de conservation, de destruction et d’anonymisation des renseignements personnels, ainsi que sur les risques liés à la violation de la vie privée.
5.5.2 Cela inclut également la sensibilisation du personnel aux bonnes pratiques de sécurité des données et à l’importance du respect des procédures établies.
Dernière mise à jour : 28 août 2023
Procédure de demande d’accès aux renseignements personnels et de traitement des plaintes
1. Aperçu
Puisqu’une personne peut demander à accéder aux renseignements personnels qu’une organisation détient sur elle, ou pourrait également formuler des plaintes, il est important d’avoir des balises prédéfinies pour répondre à ce type de demande.
2. Objectif
Le but de cette procédure est de garantir la protection de la vie privée des individus et de se conformer aux obligations légales en matière de protection des renseignements personnels.
3. Portée
La portée de cette procédure concerne les acteurs internes responsables du traitement des demandes d’accès et du traitement des plaintes, ainsi que les individus souhaitant accéder à leurs propres renseignements personnels.
4. Procédure de demande d’accès
4.1 Soumission de la demande
4.1.1 L’individu qui souhaite accéder à ses renseignements personnels doit soumettre une demande écrite au responsable de la protection des renseignements personnels de l’organisation. La demande peut être envoyée par courriel ou par courrier postal.
4.1.2 La demande doit clairement indiquer qu’il s’agit d’une demande d’accès aux renseignements personnels, et fournir des informations suffisantes pour identifier l’individu et les renseignements recherchés.
Pour plus de détails, se référer à l’inventaire complet des renseignements personnels détenus.
4.1.3 Ces informations peuvent inclure le nom, l’adresse ainsi que toute autre information pertinente pour identifier de manière fiable l’individu qui effectue la demande.
4.2 Réception de la demande
4.2.1 Une fois la demande reçue, un accusé de réception est envoyé à l’individu pour confirmer que sa demande a été prise en compte.
4.2.2 La demande devra être traitée dans les trente (30) jours suivant sa réception.
4.3 Vérification de l’identité
4.3.1 Avant de traiter la demande, l’identité de l’individu doit être vérifiée de manière raisonnable. Cela peut être fait en demandant des informations supplémentaires ou en vérifiant l’identité de l’individu en personne.
4.3.2 Si l’identité ne peut pas être vérifiée de manière satisfaisante, l’organisation peut refuser de divulguer les renseignements personnels demandés.
4.4 Réponse aux demandes incomplètes ou excessives
4.4.1 Si une demande d’accès aux renseignements personnels est incomplète ou excessive, le responsable de la protection des renseignements personnels communique avec l’individu pour demander des informations supplémentaires ou clarifications.
4.4.2 L’organisation se réserve le droit de refuser une demande si elle est manifestement abusive, excessive ou non justifiée.
4.5 Traitement de la demande
4.5.1 Une fois l’identité vérifiée, le responsable de la protection des renseignements personnels pour traiter les demandes d’accès aux renseignements personnels procède à la collecte des renseignements demandés.
4.5.2 Le responsable consulte les dossiers pertinents pour recueillir les renseignements personnels demandés, en veillant à respecter les restrictions légales éventuelles.
4.6 Examen des renseignements
4.6.1 Avant de communiquer les renseignements personnels à l’individu, le responsable examine attentivement les informations pour s’assurer qu’elles ne contiennent pas de renseignements tiers confidentiels ou susceptibles de porter atteinte à d’autres droits.
4.6.2 Si des renseignements de tiers sont présents, le responsable évalue s’ils peuvent être dissociés ou s’ils doivent être exclus de la divulgation.
4.7 Communication des renseignements
4.7.1 Une fois les vérifications terminées, les renseignements personnels sont communiqués à l’individu dans un délai raisonnable, conformément aux exigences légales en vigueur.
4.7.2 Les renseignements personnels peuvent être communiqués à l’individu par voie électronique, par courrier postal sécurisé ou en personne, selon les préférences de l’individu et les mesures de sécurité appropriées.
4.8 Suivi et documentation
4.8.1 Toutes les étapes du processus de traitement de la demande d’accès aux renseignements personnels doivent être consignées de manière précise et complète.
4.8.2 Les détails de la demande, les actions entreprises, les décisions prises et les dates correspondantes doivent être enregistrés dans un registre de suivi des demandes d’accès.
- Date de réception de la demande ;
- Date de l’accusé de réception ;
- Date de la vérification de l’identité ;
- Méthode de vérification de l’identité ;
- Décision – demande d’accès acceptée ou refusée ;
- Date de la communication des renseignements (si applicable).
4.9 Protection de la confidentialité
4.9.1 Tout le personnel impliqué dans le traitement des demandes d’accès aux renseignements personnels doit respecter la confidentialité et la protection des données.
4.10 Gestion des plaintes et des recours
4.10.1 Si un individu est insatisfait de la réponse à sa demande d’accès aux renseignements personnels, il doit être informé des procédures de réclamation et des recours disponibles devant la Commission d’accès à l’information.
4.10.2 Les plaintes doivent être traitées conformément aux politiques et procédures internes en matière de gestion des plaintes (section suivante).
5. Procédure de traitement des plaintes
5.1 Réception des plaintes
5.1.1 Les plaintes peuvent être déposées par écrit, par téléphone, par courrier électronique ou via tout autre canal de communication officiel. Elles doivent être enregistrées dans un registre centralisé, accessible uniquement au personnel désigné.
5.1.2 Les employés doivent informer immédiatement le service responsable de la réception des plaintes.
5.2 Évaluation préliminaire
5.2.1 Le responsable désigné examine chaque plainte pour évaluer sa pertinence et sa gravité.
5.2.2 Les plaintes frivoles, diffamatoires ou sans fondement évident peuvent être rejetées. Toutefois, une justification doit être fournie au plaignant.
5.3 Enquête et analyse
5.3.1 Le responsable chargé de la plainte mène une enquête approfondie en collectant des preuves, en interrogeant les parties concernées et en recueillant tous les documents pertinents.
5.3.2 Le responsable doit être impartial et avoir l’autorité nécessaire pour résoudre la plainte.
5.3.3 Le responsable doit maintenir la confidentialité des informations liées à la plainte et veiller à ce que toutes les parties impliquées soient traitées équitablement.
5.4 Résolution de la plainte
5.4.1 Le responsable de la plainte propose des solutions appropriées pour résoudre la plainte dans les meilleurs délais.
5.4.2 Les solutions peuvent inclure des mesures correctives, des compensations financières ou toute autre action nécessaire pour résoudre la plainte de manière satisfaisante.
5.5 Communication avec le plaignant
5.5.1 Le responsable de la plainte communique régulièrement avec le plaignant pour le tenir informé de l’avancement de l’enquête et de la résolution de la plainte.
5.5.2 Toutes les communications doivent être professionnelles, empathiques et respectueuses.
5.6 Clôture de la plainte
5.6.1 Une fois la plainte résolue, le responsable de la plainte doit fournir une réponse écrite au plaignant, résumant les mesures prises et les solutions proposées.
5.6.2 Toutes les informations et documents relatifs à la plainte doivent être conservés dans un dossier confidentiel.
Dernière mise à jour : 28 août 2023
Procédure de demande de désindexation et de suppression des renseignements personnels
1. Aperçu
Cette procédure vise à répondre aux craintes et aux préoccupations de confidentialité et de protection des renseignements personnels de nos clients.
2. Objectif
Le but de cette procédure est de fournir un mécanisme structuré pour gérer les demandes de désindexation et de suppression des renseignements personnels émanant de nos clients.
3. Portée
Cette procédure s’applique à notre équipe interne chargée de la gestion des demandes de désindexation et de suppression des renseignements personnels. Elle couvre toutes les informations publiées sur nos plateformes en ligne, y compris notre site web, nos applications mobiles, nos bases de données ou tout autre support numérique utilisé par nos clients.
4. Définitions
Suppression des renseignements personnels : action d’effacer complètement les données, les rendant indisponibles et irrécupérables.
Désindexation des renseignements personnels : retrait des informations des moteurs de recherche, les rendant moins visibles, mais toujours accessibles directement.
La suppression élimine définitivement les données, tandis que la désindexation limite leur visibilité en ligne.
5. Procédure
5.1 Réception des demandes
5.1.1 Les demandes de désindexation et de suppression des renseignements personnels doivent être reçues par l’équipe responsable désignée.
5.1.2 Les clients peuvent soumettre leurs demandes par le biais de canaux spécifiques tels que le formulaire en ligne, l’adresse courriel dédiée ou le numéro de téléphone.
5.2 Vérification de l’identité
5.2.1 Avant de traiter la demande, l’identité de l’individu doit être vérifiée de manière raisonnable.
5.2.2 Cela peut être fait en demandant des informations supplémentaires ou en vérifiant l’identité de l’individu en personne.
5.2.3 Si l’identité ne peut pas être vérifiée de manière satisfaisante, l’organisation peut refuser de donner suite à la demande.
5.3 Évaluation des demandes
5.3.1 L’équipe responsable doit examiner attentivement les demandes et les renseignements personnels concernés pour déterminer leur admissibilité à la désindexation ou à la suppression.
5.3.2 Les demandes doivent être traitées de manière confidentielle et dans le respect des délais prévus.
5.4 Raisons d’un refus
5.4.1 Il existe aussi des raisons parfaitement valables pour lesquelles nous pourrions refuser de supprimer ou de désindexer des renseignements personnels:
- Pour continuer à fournir des biens et des services au client ;
- Pour des raisons d’exigence du droit du travail ;
- Pour des raisons juridiques en cas de litige.
5.5 Désindexation ou suppression des renseignements personnels
5.5.1 L’équipe responsable doit prendre les mesures nécessaires pour désindexer ou supprimer les renseignements personnels conformément aux demandes admissibles.
5.6 Communication du suivi
5.6.1 L’équipe responsable est chargée de communiquer avec les demandeurs tout au long du processus, en fournissant des confirmations d’accusé de réception et des mises à jour régulières sur l’état d’avancement de leur demande.
5.6.2 Les enregistrements doivent inclure les détails des demandes, les mesures prises, les dates et les résultats des actions effectuées.
5.7 Suivi et documentation
5.7.1 Toutes les demandes de désindexation et de suppression des renseignements personnels, ainsi que les actions entreprises pour y répondre, doivent être consignées dans un système de suivi dédié.
5.7.2 Les enregistrements doivent inclure les détails des demandes, les mesures prises, les dates et les résultats des actions effectuées.
Dernière mise à jour : 28 août 2023
6. Coordonnées des personnes-ressources
Rôle | Nom | Téléphone | Adresse de courriel |
Membre du conseil d’administration – Responsable du traitement des incidents et TI | Nairi Mouradian | 514-897-7504 poste 125 | itsupport@haydoun.ca |
Directrice par intérim | Liza Mesrob Shahinian | 514-897-7504 poste 124 | service@haydoun.ca |