Directive relative aux règles de gouvernance en matière de protection des renseignements personnels
Pour consulter le document1. Préambule
La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels a actualisé l’encadrement applicable à la protection des renseignements personnels, dont la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (la Loi sur l’accès). Ces modifications visent à offrir une protection accrue des renseignements personnels et de nouveaux droits pour la citoyenne et le citoyen, et à assurer une gestion des renseignements personnels plus responsable et transparente par les organismes publics.
Le Cégep est désormais tenu d’adopter et d’assurer l’application d’une directive en lien avec les règles encadrant la gouvernance à l’égard de la protection des renseignements personnels qu’il détient. La présente directive définit les principes directeurs pour assurer la protection des renseignements personnels, les processus pour demander l’accès à son dossier personnel, demander une rectification, les mécanismes pour signaler un incident de confidentialité et les rôles et responsabilités des membres de la communauté. Ces principes directeurs guideront la communauté collégiale dans la collecte, l’utilisation, la conservation et la destruction des renseignements personnels détenus par le Cégep afin d’assurer la protection de ces renseignements tout au long de leur cycle de vie.
2. Définition
Dans la présente directive, à moins que le contexte ne s’y oppose, les expressions suivantes signifient :
- Renseignement personnel :
Tout renseignement qui concerne une personne physique et qui permet directement ou indirectement de l’identifier, tel que : le nom, l’adresse, le numéro de téléphone, l’adresse courriel, l’occupation, le numéro d’assurance sociale, la date de naissance, la photographie et les coordonnées bancaires.
Les renseignements personnels doivent être protégés, peu importe la nature de leur support et quelle que soit leur forme : écrite, graphique, sonore, visuelle, informatisée ou autre. - Renseignement personnel sensible :
Un renseignement personnel est sensible lorsque, par sa nature ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d’attente raisonnable en matière de vie privée. Sont, notamment, considérés comme sensibles les renseignements suivants : des renseignements médicaux, biométriques, génétiques ou financiers, ou encore des renseignements sur la vie ou l’orientation sexuelle, les convictions religieuses ou l’origine ethnique. - Consentement :
Le consentement est l’autorisation de la personne titulaire des renseignements personnels à recueillir et utiliser ses renseignements personnels. Le consentement ne se présume pas. Il doit être manifeste, libre, éclairé, être donné à des fins spécifiques, en termes simples et clairs, pour la durée nécessaire à la réalisation des fins auxquelles il a été demandé. - Mineur :
Personne âgée de moins de 18 ans. - Majeur :
Personne âgée de 18 ans et plus ou personne âgée de moins de 18 ans émancipée.
3. Champ d’application et cadre juridique
En tant qu’organisme public, le Cégep recueille des renseignements personnels, notamment ceux de la clientèle étudiante et des membres du personnel. Il est donc assujetti aux dispositions de la Loi sur l’accès, au Code civil du Québec et à la Charte des droits et libertés de la personne. En cas de divergence entre la Loi sur l’accès et la présente directive, la Loi sur l’accès prévaut.
La présente s’applique à toute personne qui, dans l’exercice de ses fonctions, collecte, consulte, utilise, communique, détient ou conserve des renseignements personnels détenus par le Cégep concernant toute personne physique.
4. Collecte des renseignements personnels
4.1 Renseignements personnels pouvant être collectés
Afin de remplir adéquatement sa mission, le Cégep doit recueillir plusieurs renseignements personnels. Celui-ci recueille uniquement les renseignements personnels nécessaires à l’exercice de ses attributions ou à la mise en œuvre d’un programme dont il a la gestion.
Le Cégep peut également recueillir un renseignement personnel si celui-ci est nécessaire à l’exercice des attributions ou à la mise en œuvre d’un programme de l’organisme public avec lequel il collabore pour la prestation de services ou pour la réalisation d’une mission commune. Dans un tel cas, la collecte doit être précédée d’une évaluation des facteurs relatifs à la vie privée et s’effectuer dans le cadre d’une entente écrite transmise à la Commission d’accès à l’information du Québec conformément à la Loi sur l’accès.
Le Cégep prend des mesures pour s’assurer que les renseignements personnels qu’il recueille sont adéquats, pertinents, non excessifs et utilisés à des fins limitées.
4.2 Informations communiquées lors de la collecte de renseignements personnels
Lorsqu’il recueille des renseignements personnels, le Cégep s’assure d’informer la personne concernée, au plus tard au moment de la collecte :
- Du nom de l’organisme public au nom de qui la collecte est faite;
- Des fins auxquelles ces renseignements sont recueillis;
- Des moyens par lesquels les renseignements sont recueillis;
- Du caractère obligatoire ou facultatif de la demande;
- Des conséquences d’un refus de répondre ou de consentir à la demande;
- Des droits d’accès et de rectification prévus par la loi;
- De la possibilité que les renseignements personnels soient communiqués à l’extérieur du Québec, le cas échéant.
Sur demande, la personne concernée est également informée des renseignements personnels recueillis auprès d’elle, des catégories de personnes qui y ont accès au sein de l’organisme public, de la durée de conservation de ces renseignements ainsi que des coordonnées de la personne responsable de la protection des renseignements personnels.
5. Utilisation de renseignements personnels
Le Cégep utilise des renseignements personnels concernant sa population étudiante, les membres de son personnel et d’autres tierces parties afin de s’acquitter de sa mission et de ses fonctions. Il ne fera pas usage des renseignements personnels à d’autres fins que celles précisées lors de la collecte, à moins d’obtenir le consentement exprès de la personne concernée ou que la Loi sur l’accès le permette.
6. Consentement
Dans les situations qui le requièrent, le Cégep devra transmettre un consentement à la cueillette, à l’utilisation ou à la divulgation des renseignements personnels aux personnes concernées. Pour être valable, le consentement devra être manifeste, libre, éclairé, être donné à des fins spécifiques, en termes simples et clairs ainsi que pour la durée nécessaire à la réalisation des fins auxquelles il a été demandé.
Lorsqu’une personne a donné son consentement à la collecte, à l’utilisation et à la communication de ses renseignements personnels, elle peut le retirer à tout moment. Pour retirer son consentement, le cas échéant, elle peut communiquer avec la personne dont le nom est indiqué dans le formulaire de consentement.
Dans le cas d’un refus de consentement ou d’un retrait, si le Cégep n’est pas en mesure de fournir un service particulier, il explique l’impact du refus ou du retrait du consentement à la personne pour l’aider dans sa prise de décision.
Un modèle de formulaire de consentement se trouve à l’annexe A.
7. Communication des renseignements personnels
7.1 Communication sans le consentement de la personne concernée
Le Cégep peut communiquer certains renseignements personnels détenus pour se conformer à l’ordonnance d’un tribunal, à une loi ou à une procédure judiciaire, y compris pour répondre à toute demande gouvernementale ou réglementaire, conformément aux lois applicables, ou s’il croit que la divulgation est nécessaire ou appropriée pour protéger les droits, la propriété ou la sécurité du Cégep ou d’autres personnes.
Le Cégep peut communiquer certains renseignements personnels qu’il détient à un membre du personnel du Cégep qui a la qualité pour le recevoir et lorsque ce renseignement est nécessaire à l’exercice de ses fonctions.
Le Cégep peut communiquer les renseignements personnels qu’il collecte à des consultants externes, des prestataires de services et à d’autres tiers qui le soutiennent. Ces consultants externes, prestataires de services et autres tiers sont contractuellement obligés de garder les renseignements personnels confidentiels, de les utiliser uniquement aux fins pour lesquelles le Cégep les communique et de traiter les renseignements personnels selon les normes énoncées dans la présente directive et en respect des lois.
Le Cégep peut communiquer certains renseignements personnels à des fins d’étude, de recherche ou de production de statistiques sous réserve des conditions prévues par la Loi sur l’accès dont, notamment, l’évaluation des facteurs relatifs à la vie privée et la transmission de l’entente à la Commission d’accès à l’information trente (30) jours avant son entrée en vigueur.
Dans les situations prévues par la Loi sur l’accès, la personne responsable de la protection des renseignements personnels doit inscrire la communication dans le registre de communication des renseignements personnels.
Ce registre doit contenir les informations suivantes :
- La nature ou le type de renseignement communiqué ;
- La personne ou l’organisme qui reçoit cette communication ;
- La fin pour laquelle ce renseignement est communiqué et l’indication, le cas échéant, qu’il s’agit d’une communication visée à l’article 7.01;
- La raison justifiant cette communication.
7.2 Communication avec le consentement de la personne concernée
Le Collège peut communiquer les renseignements personnels qu’il détient ou certains d’entre eux, s’il a obtenu préalablement le consentement valable de la personne concernée.
8. Conservation et destruction des renseignements personnels
Le Cégep ne conserve les renseignements personnels qu’il détient que pour le temps nécessaire pour atteindre les fins pour lesquelles il les a collectés à moins que son calendrier de conservation ou que les exigences de la loi ou de la réglementation applicable prévoient un délai plus long.
En règle générale, lorsque les fins pour lesquelles un renseignement personnel a été recueilli ou utilisé sont accomplies, le Cégep doit le détruire ou l’anonymiser pour l’utiliser à des fins d’intérêt public.
Un renseignement concernant une personne physique est anonymisé lorsqu’il est, en tout temps, raisonnable de prévoir dans les circonstances qu’il ne permet plus d’identifier directement ou indirectement cette personne. Il convient de noter que le processus d’anonymisation doit être irréversible.
Lorsque le Cégep procède à la destruction de documents contenant des renseignements personnels, il s’assure de prendre les mesures de protection nécessaires visant à assurer la confidentialité de ceux-ci. La méthode de destruction utilisée doit être déterminée en fonction de la sensibilité des renseignements, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support.
Les renseignements personnels détenus par le Cégep sont traités et stockés au Québec. Dans l’éventualité où un transfert de renseignements personnels à l’extérieur du Québec serait nécessaire dans le cadre de l’exercice des fonctions du Cégep, ce transfert n’aura lieu que s’il est évalué que le renseignement bénéficierait d’une protection adéquate, notamment en considérant la sensibilité du renseignement, la finalité de son utilisation, les mesures de protection dont le renseignement bénéficierait et le régime juridique applicable dans l’État ou la province où ce renseignement serait communiqué. Le transfert sera également soumis aux ententes contractuelles appropriées afin d’assurer cette protection adéquate.
9. Protection des renseignements personnels
Le Cégep met en place des mesures de sécurité physiques, organisationnelles, contractuelles et technologiques appropriées et raisonnables afin de protéger les renseignements personnels contre l’accès, la communication, la copie, l’utilisation ou la modification non autorisés par la loi ainsi que la perte et le vol. Le Cégep prend des mesures pour faire en sorte que seuls les membres du personnel pour lesquels l’accès aux renseignements personnels dans le cadre de leurs fonctions est nécessaire soient autorisés à y accéder.
Les personnes qui travaillent pour le Cégep ou en son nom doivent, notamment :
- Faire des efforts raisonnables pour minimiser le risque de divulgation non intentionnelle de renseignements personnels;
- Prendre des précautions particulières pour s’assurer que les renseignements personnels ne sont pas surveillés, entendus, consultés ou perdus lorsqu’elles travaillent dans des locaux autres que les bureaux du Cégep; et
- Prendre des mesures raisonnables pour protéger les renseignements personnels lorsqu’elles se déplacent d’un endroit à l’autre.
Les sous-traitants ayant accès aux renseignements personnels dont le Cégep a la garde ou le contrôle seront informés de la présente politique de protection des renseignements personnels et des autres politiques et processus applicables pour assurer la sécurité et la protection des renseignements personnels. Tous les sous-traitants doivent s’engager par écrit à accepter de se conformer aux politiques, aux processus et aux lois applicables.
10. Demande d’accès ou de rectification à des renseignements personnels
10.1 Demande d’accès à ses renseignements personnels
Toute personne qui en fait la demande a droit d’accès aux renseignements personnels la concernant détenus par le Cégep, sous réserve des exceptions prévues par la Loi sur l’accès.
- Demande d’accès par voie informelle auprès du service concerné
La personne qui souhaite obtenir l’accès aux renseignements personnels la concernant en fait la demande auprès du service concerné. Le service répond à la demande d’accès avec diligence en lui permettant de prendre connaissance du renseignement sur place pendant les heures habituelles de travail ou à distance et d’en obtenir une copie. En cas de refus, la personne peut faire une demande formelle. - Demande d’accès par voie formelle auprès de la personne responsable de la protection des renseignements personnels
Une demande d’accès par voie formelle ne peut être considérée que si elle est faite par écrit par une personne physique justifiant de son identité à titre de personne concernée, à titre de représentante ou de représentant, d’héritière ou d’héritier ou de successible de cette dernière, à titre de liquidatrice ou de liquidateur de la succession, à titre de bénéficiaire d’assurance vie ou d’indemnité de décès, à titre de titulaire de l’autorité parentale même si l’enfant mineur est décédé, ou à titre de conjointe ou de conjoint ou de proche parent d’une personne décédée.Cette demande doit être adressée à la personne responsable de la protection des renseignements personnels du Cégep qui peut être jointe à l’adresse courriel suivante : secretariat.general@cegepsl.qc.ca. La demande doit fournir suffisamment d’indications précises pour permettre au Cégep de la traiter.
La personne responsable de la protection des renseignements personnels doit donner à la personne qui lui a fait une demande écrite un avis de la date de la réception de sa demande.
La personne responsable doit répondre au plus tard dans les vingt (20) jours qui suivent la date de la réception d’une demande. Si le traitement de la demande dans le délai prévu précédemment ne lui paraît pas possible sans nuire au déroulement normal des activités du Cégep, la personne responsable peut, avant l’expiration de ce délai, le prolonger d’une période n’excédant pas dix (10) jours en donnant un avis à cet effet à la personne requérante avant l’expiration du délai de vingt (20) jours.
Si la personne qui fait la demande n’est pas satisfaite de la réponse du Cégep, elle peut saisir la Commission d’accès à l’information de cette décision afin que celle-ci soit révisée. Cette demande de révision doit être faite dans les trente (30) jours qui suivent la date de la décision ou de l’expiration du délai prévu à la Loi sur l’accès pour répondre à la demande.
10.2 Demande de rectification
Toute personne qui reçoit confirmation de l’existence dans un fichier d’un renseignement personnel la concernant peut, s’il est inexact, incomplet ou équivoque, ou si sa collecte, sa communication ou sa conservation ne sont pas autorisées par la Loi sur l’accès, exiger que le fichier soit rectifié.
Une demande de rectification ne peut être considérée que si elle est faite par écrit par une personne physique justifiant de son identité à titre de personne concernée, à titre de représentante ou de représentant, d’héritière ou d’héritier ou de successible de cette dernière, à titre de liquidatrice ou de liquidateur de la succession, à titre de bénéficiaire d’assurance vie ou d’indemnité de décès, à titre de titulaire de l’autorité parentale même si l’enfant mineur est décédé ou à titre de conjointe ou de conjoint ou de proche parent d’une personne décédée.
Cette demande doit être adressée à la personne responsable de la protection des renseignements personnels du Cégep qui peut être jointe à l’adresse courriel suivante : secretariat.general@cegepsl.qc.ca. La demande doit fournir suffisamment d’indications précises pour permettre au Cégep de la traiter.
Le Cégep doit, lorsqu’il accède à une demande de rectification d’un fichier, délivrer sans frais à la personne qui l’a faite une copie de tout renseignement personnel modifié ou ajouté, ou, selon le cas, une attestation du retrait d’un renseignement personnel.
Lorsque le Cégep refuse en tout ou en partie d’accéder à une demande de rectification d’un fichier, la personne concernée peut exiger que cette demande soit enregistrée.
La personne responsable doit répondre au plus tard dans les vingt (20) jours qui suivent la date de la réception d’une demande. Si le traitement de la demande dans le délai prévu précédemment ne lui paraît pas possible sans nuire au déroulement normal des activités du Cégep, la personne responsable peut, avant l’expiration de ce délai, le prolonger d’une période n’excédant pas dix (10) jours en donnant un avis à cet effet à la personne requérante.
Si la personne qui fait la demande n’est pas satisfaite de la décision du Cégep, elle peut saisir la Commission d’accès à l’information de cette décision afin que celle-ci soit révisée. Cette demande de révision doit être faite dans les trente (30) jours qui suivent la date de la décision ou de l’expiration du délai prévu à la Loi sur l’accès pour répondre à la demande.
11. Gestion des incidents de confidentialité
11.1 Définition
Au sens de la présente directive, constitue un incident de confidentialité :
- L’accès non autorisé par la Loi sur l’accès à un renseignement personnel;
- L’utilisation non autorisée par la Loi sur l’accès d’un renseignement personnel;
- La communication non autorisée par la Loi sur l’accès d’un renseignement personnel;
- La perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.
Pour fin de clarification, sont considérés comme des incidents de confidentialité les exemples suivants :
- Un membre du personnel qui consulte des renseignements personnels non nécessaires à l’exercice de ses fonctions en outrepassant les droits d’accès qui lui ont été consentis ou un pirate informatique qui s’infiltre dans un système;
- Un membre du personnel qui utilise des renseignements personnels d’une base de données à laquelle il a accès dans le cadre de ses fonctions dans le but d’usurper l’identité d’une personne;
- Une communication faite par erreur à la mauvaise personne par son employeur;
- Une personne qui perd ou se fait voler des documents contenant des renseignements personnels;
- Une personne qui s’immisce dans une banque de données contenant des renseignements personnels afin de les altérer;
- L’oubli de caviarder des renseignements personnels dans un document;
- L’envoi d’un courriel contenant des renseignements personnels;
- La communication d’un renseignement personnel contraire aux dispositions de la Loi sur l’accès;
- Un membre du personnel consulte un renseignement personnel sans autorisation;
- Un membre du personnel communique des renseignements personnels au mauvais destinataire;
- L’organisation est victime d’une cyberattaque, comme de l’hameçonnage ou un rançongiciel.
11.2 Traitement d’un incident de confidentialité
Lorsque le Cégep a des motifs de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel qu’il détient, il doit prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent, ce qui peut inclure la sanction des individus en cause.
Le Cégep avise sans délai la personne responsable de la protection des renseignements personnels.
Le Cégep peut également aviser toute personne ou tout organisme susceptible de diminuer ce risque en ne lui communiquant que les renseignements personnels nécessaires à cette fin sans le consentement de la personne concernée. Dans ce dernier cas, la personne responsable de la protection des renseignements personnels doit consigner la communication.
Si l’incident de confidentialité présente un risque qu’un préjudice sérieux soit causé, l’organisme doit, avec diligence, en aviser toute personne dont un renseignement personnel est concerné par l’incident. Il doit également en aviser la Commission.
Afin d’évaluer le risque qu’un préjudice soit causé à une personne dont un renseignement personnel est concerné par un incident de confidentialité, le Cégep doit considérer, notamment :
- La sensibilité du renseignement concerné;
- Les conséquences appréhendées de son utilisation; et
- La probabilité qu’il soit utilisé à des fins préjudiciables.
Le Cégep doit également consulter la personne responsable de la protection des renseignements personnels.
11.3 Registre des incidents de confidentialité
Le Cégep tient un registre des incidents de confidentialité. Celui-ci contient, notamment :
- Une description des renseignements personnels visés par l’incident;
- Les circonstances de l’incident;
- La date où l’incident a eu lieu;
- La date où la personne responsable de la protection des renseignements personnels a eu connaissance de l’incident;
- Le nombre de personnes visées;
- L’évaluation de la gravité du risque de préjudice;
- S’il existe un risque de préjudice sérieux pour la personne concernée, les dates de transmission des avis; et
- Les mesures prises en réaction à l’incident.
Les renseignements contenus au registre doivent être tenus à jour et conservés pendant une période minimale de cinq ans après la date ou la période au cours de laquelle le Cégep a pris connaissance de l’incident.
12. Processus de traitement des plaintes relatives à la protection des renseignements personnels
12.1 Dépôt d’une plainte relative à la protection des renseignements personnels
Toute personne ayant confié des renseignements personnels au Cégep qui a des motifs de croire qu’un incident de confidentialité s’est produit et que le Cégep a fait défaut de protéger la confidentialité des renseignements personnels qu’il détient peut déposer une plainte pour demander que la situation soit corrigée.
La plainte doit être déposée par écrit et comporter une description de l’incident, la date ou la période où l’incident s’est produit, la nature des renseignements personnels visés par l’incident et le nombre de personnes concernées.
La plainte doit être adressée à la personne responsable de la protection des renseignements personnels à l’adresse courriel suivante : secretariat.general@cegepsl.qc.ca.
Dans le cas où la plainte met en cause la conduite de la personne responsable de la protection des renseignements personnels, celle-ci doit être adressée à la Direction générale du Cégep : dg@cegepsl.qc.ca.
12.2 Traitement de la plainte
La personne responsable de la protection des renseignements personnels ou la Direction générale du Cégep, le cas échéant, a la responsabilité de traiter la plainte dans un délai maximal de 30 jours ouvrables. Dans le cas où celle-ci s’avère fondée, le Cégep prend les mesures requises pour corriger la situation dans les meilleurs délais, conformément au paragraphe 11.02 de la présente directive. Elle procède à l’inscription de l’incident au registre, comme indiqué au paragraphe 11.03.
13. Vidéosurveillance
Le recours à la vidéosurveillance doit s’effectuer conformément à la Directive relative à la vidéosurveillance du Cégep, en respect des obligations prévues notamment par le Code civil du Québec, par la Charte des droits et libertés de la personne ainsi que par la Loi sur l’accès.
14. Projets de système d’information ou de prestation électronique de services impliquant des renseignements personnels
Le Cégep procède à une évaluation des facteurs relatifs à la vie privée pour tout projet d’acquisition, de développement ou de refonte d’un système d’information ou d’une prestation électronique de services qui impliquerait la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels.
En ce qui concerne l’évaluation des facteurs relatifs à la vie privée, le Cégep consulte, dès le début du projet, son comité sur l’accès à l’information et la protection des renseignements personnels.
15. Rôles et responsabilités
15.1 Membres du personnel
Les membres du personnel ont la responsabilité de :
- Respecter la présente directive;
- Participer aux activités de sensibilisation et de formation offertes par le Cégep;
- Communiquer les informations requises au paragraphe 4.02 de la présente directive lors de la collecte de renseignements personnels;
- S’assurer d’avoir la qualité requise ou le consentement avant de collecter ou d’utiliser un renseignement personnel;
- S’assurer lors de la communication d’un renseignement personnel que le destinataire ait la qualité requise pour le recevoir ou qu’un consentement autorise cette communication;
- Faire signer une entente de confidentialité avant de communiquer un renseignement personnel à un consultant externe ou un prestataire de services;
- Faire des efforts raisonnables pour minimiser le risque de communication non intentionnelle de renseignements personnels;
- Prendre les précautions nécessaires pour s’assurer que les renseignements personnels ne soient pas surveillés, entendus, consultés ou perdus lorsqu’ils travaillent dans des locaux autres que les bureaux du Cégep;
- Prendre les précautions nécessaires pour protéger les renseignements personnels lorsqu’ils se déplacent d’un endroit à l’autre;
- Rapporter sans délai un incident de confidentialité à la personne responsable de la protection des renseignements personnels;
- Rapporter sans délai à la personne responsable de la protection des renseignements personnels toute communication à un tiers faite sans le consentement de la personne concernée comme indiqué à l’article 7.02 de la présente Directive;
- Conserver les renseignements personnels que pour le temps nécessaire pour atteindre les fins pour lesquelles ils ont été collectés, à moins que le calendrier de conservation du Cégep ou que la Loi ou la réglementation ou les directives, politiques et règlements du Cégep prescrivent un délai de conservation plus long;
- Collaborer à la recherche de documents et d’informations faisant l’objet de toute demande d’accès;
- Prendre les mesures de protection nécessaires visant à assurer la confidentialité des renseignements personnels lors de leur destruction.
15.2 Gestionnaires
Les gestionnaires ont la responsabilité de :
- Présenter la présente directive à leur personnel et aux consultants externes et prestataires de services avec lesquels ils transigent dans le but qu’ils s’y conforment et afin que les exigences en matière de protection des renseignements personnels soient respectées dans tout processus et tout contrat sous leur responsabilité;
- Veiller à la protection des renseignements personnels sous leur responsabilité et veiller à ce que ceux-ci soient utilisés en conformité avec la présente directive;
- Rapporter à la personne responsable de la protection des renseignements personnels tout incident de confidentialité;
- Collaborer à la mise en œuvre de toute mesure visant à améliorer la protection des renseignements personnels ou à remédier à un incident de confidentialité;
- Faire signer une entente de confidentialité avant de communiquer un renseignement personnel à un consultant externe ou un prestataire de services et faire approuver ledit formulaire au préalable à la personne responsable de la protection des renseignements personnels;
- Informer le comité permanent sur l’accès à l’information et la protection des renseignements personnels de tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, l’hébergement, la conservation ou la destruction de renseignements personnels;
- Favoriser la participation de leur employé sous leur responsabilité aux activités de formation en lien avec la présente directive.
15.3 Secrétariat général
Le Secrétariat général a la responsabilité de :
- Agir à titre de personne responsable de la protection des renseignements personnels;
- Appliquer la présente directive et assurer son suivi et sa révision;
- Soutenir et conseiller les services et départements en matière de protection des renseignements personnels;
- Recevoir les plaintes relatives à la présente directive, déterminer leur recevabilité et, le cas échéant, les transmettre à l’instance concernée, comme le prévoit l’article 12;
- Dénombrer les plaintes et les colliger dans un registre tenu à cette fin;
- Maintenir à jour le registre de communication et le registre des incidents de confidentialité;
- Informer la Commission d’accès à l’information et la ou les personnes concernées de tout incident de confidentialité présentant un risque de préjudice sérieux;
- Traiter les demandes d’accès à l’information;
- Traiter les demandes de rectifications par voie formelle;
- Gérer et animer le comité permanent sur l’accès à l’information et la protection des renseignements personnels;
- Planifier et assurer la réalisation des activités de formation.
15.4 Comité permanent sur l’accès à l’information et la protection des renseignement personnels
15.4.1 Composition :
Les membres du comité de direction;
Le Secrétariat général;
La personne désignée à titre de registraire.
Le comité peut s’adjoindre toute autre personne dont l’expertise est requise.
15.4.2 Mandat :
Le mandat du comité est de :
- Soutenir la personne responsable des renseignements personnels e dans l’exercice de ses responsabilités et dans l’exécution de ses obligations en vertu de la Loi sur l’accès;
- Approuver les règles encadrant la gouvernance du Cégep à l’égard des renseignements personnels et s’assurer qu’elles soient publiées sur son site Internet;
- Participer à la consultation faite dans le cadre de l’évaluation des facteurs relatifs à la vie privée de tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, l’hébergement, la conservation ou la destruction de renseignements personnels;
- Suggérer, dans le cadre de ces évaluations des facteurs de risques, des mesures de protection des renseignements personnels applicables à ce projet, telles que :
a) La nomination d’une personne chargée de la mise en oeuvre des mesures de protection des renseignements personnels;
b) Des mesures de protection des renseignements personnels dans tout document relatif au projet, tel qu’un cahier des charges ou un contrat;
c) Une description des responsabilités des participants au projet en matière de protection des renseignements personnels;
d) La tenue d’activités de formation sur la protection des renseignements personnels pour les participants au projet.
15.5 Direction générale
La Direction générale a la responsabilité de :
- Veiller à faciliter le respect et la mise en œuvre de la présente directive;
- Mettre à la disposition des directions, services et départements les ressources nécessaires à l’atteinte des objectifs de la directive.
16. Activités de formation et sensibilisation à la protection des renseignements personnels offertes par l’organisme à son personnel
Les activités de formation et de sensibilisation offertes aux membres du personnel du Cégep ont pour objet de permettre d’acquérir, de maintenir, de mettre à jour, d’améliorer et d’approfondir les compétences professionnelles et les connaissances en matière de protection des renseignements personnels. Le Cégep peut recommander ou rendre obligatoire certaines activités à l’ensemble ou à une partie du personnel et, à ce titre, exiger le renouvellement périodique d’un engagement de confidentialité.
Les activités peuvent porter sur :
- Les règles de droit générales ou particulières applicables aux renseignements personnels;
- Les pratiques recommandées ou proscrites en matière de protection des renseignements personnels;
- La collecte, l’utilisation, la communication, la conservation ou la destruction des renseignements personnels;
- Les risques en matière de protection des renseignements personnels;
- L’éthique en matière de protection des renseignements personnels ou d’accès à l’information;
- L’assistance aux personnes concernées par des renseignements personnels détenus par le Cégep;
- La présente directive, ses modifications, ou tout autre élément du cadre juridique.
17. Sanctions applicables en cas de non-respect de la présente directive
Le non-respect de la présente directive pourrait entraîner des mesures administratives et/ou disciplinaires pouvant aller jusqu’au congédiement. La nature, la gravité et le caractère répétitif des actes reprochés doivent être considérés au moment de déterminer une sanction. Dans le cas de membres du personnel, l’application des mesures administratives ou disciplinaires doit se faire conformément aux conventions collectives de travail auxquelles le Cégep est parti, aux politiques de gestion de personnel et au Règlement relatif aux règles de vie collégiale.
Des sanctions sont également prévues dans la Loi sur l’accès en cas de manquement.
Dans le cadre de ses relations contractuelles avec un tiers, le Cégep pourra mettre fin à tout contrat sans préavis pour non-respect de la présente directive. Celle-ci sera présentée à tous les tiers contractants avec le Cégep, lesquels devront s’engager, par écrit, à s’y conformer.
18. Diffusion et mise à jour de la politique
La personne responsable de la protection des renseignements personnels, assistée du comité permanent sur l’accès à l’information et la protection des renseignements personnels, s’assure de la diffusion et de la mise à jour de la directive sur le site Web.
19. Responsabilité de l’application et révision de la politique
La personne responsable de la protection des renseignements personnels est responsable de l’application de la directive et de sa révision aux 5 ans.
20. Entrée en vigueur
La présente directive est adoptée par le comité de direction et entre en vigueur le jour de son adoption.