Politique de confidentialité
Introduction
Le Centre de jour Jardin D’Étoiles (JDÉ) a à cœur la protection des renseignements personnels qui lui sont confiés.
La présente politique décrit les pratiques de gestion et de protection des renseignements personnels et des informations confidentielles concernant notamment les membres, les donateurs, le personnel, le conseil d’administration, les bénévoles et les partenaires, ainsi que les données et les informations reliées aux activités de l’organisme.
La politique couvre l’ensemble du cycle de vie des renseignements personnels depuis leur collecte jusqu’à leur destruction, conformément aux exigences légales et aux bonnes pratiques en matière de protection de la vie privée.
Gestion et utilisation
Définitions générales
Confidentialité
La confidentialité est définie par l’Organisation internationale de normalisation comme « le fait de s’assurer que l’information n’est accessible qu’à ceux dont l’accès est autorisé ».
Information confidentielle
Toute information devant être traitée avec discrétion et confidentialité mais ne permettant pas d’identifier explicitement une personne.
Certains outils de travail (ex : notes évolutives, portraits globaux, fiches de mesures d’urgence) offrent un soutien nécessaire à l’intervention auprès des membres et ne sont pas destinés à être transmis, mais pourraient servir à appuyer la rédaction de rapports formels qui eux, deviendraient des renseignements personnels.
Renseignement personnel
Aux fins de cette politique, les renseignements personnels sont ceux qui portent sur une personne physique et qui permettent de l’identifier. Ils sont confidentiels et ne peuvent être communiqués sans le consentement de la personne concernée ou de la personne autorisée.
Les renseignements personnels se distinguent des renseignements professionnels d’une personne dans l’exercice de ses fonctions, qui eux sont des renseignements publics et ne sont pas considérés comme étant confidentiels.
Collecte
Renseignements collectés
Voici une liste non exhaustive des renseignements personnels collectés par le JDÉ et la raison pour laquelle ils sont collectés. Seuls les renseignements pertinents et nécessaires liés à la mission de l’organisme ou obligatoires selon les lois en vigueur sont collectés.
- Coordonnées : nom, numéro de téléphone, adresse postale et courriel afin de communiquer avec un membre, une famille, ressource, un bénévole, ou afin d’émettre un reçu de charité suite à un don.
- Coordonnées bancaires : au besoin pour les remboursements et les dossiers d’employés.
- Les chèques reçus par le JDÉ pour les paiements et les dons contiennent des renseignements personnels.
- Les dons en ligne sont effectués via les plateformes Desjardins et/ou Zeffy, qui possèdent leur propre politique sur la collecte et la protection des renseignements.
- Date de naissance : pour souligner les anniversaires ou pour le Registraire des entreprises du Québec.
- Renseignements médicaux, d’autonomie fonctionnelle et de comportements particuliers : ils sont essentiels pour la sécurité des membres et des employés lors des activités.
- Réseau : pour coordonner les services entre les différents professionnels du filet de soutien qui entoure un membre (ex : curateur, travailleur social, éducateur spécialisé, organisme, etc.).
- Antécédents judiciaires : pour assurer une mesure de sécurité supplémentaire auprès des membres, qui sont des adultes vulnérables.
Méthodes de collecte
Avec consentement
Les renseignements personnels sont collectés avec un consentement manifeste, libre, éclairé et donné à des fins spécifiques, à moins que la loi applicable ne prévoie une dérogation à ce principe.
Manifeste
Le consentement doit être clairement transmis.
Libre
Le consentement doit être donné sans contraintes.
Éclairé
La personne doit être suffisamment informée pour comprendre la portée de son consentement.
Donné à des fins spécifiques
Pour la durée nécessaire à la réalisation des fins pour lesquelles le consentement a été demandé initialement.
La forme du consentement peut varier selon les circonstances et le type de renseignement collecté. Il est idéalement explicite (verbal ou écrit), mais peut également être implicite (raisonnablement déduit par une action ou une inaction). En cas de refus de communiquer des renseignements personnels à l’organisme, il est possible que cela entrave la prestation de service demandée.
Auprès de la personne concernée
À l’exception des membres, les renseignements personnels sont collectés directement auprès de la personne concernée, par exemple par téléphone, par courriel ou par le formulaire de contact sur le site Web.
Auprès de la personne autorisée
En ce qui concerne les membres, les renseignements personnels sont collectés auprès de la personne autorisée (famille, ressource, travailleur social, éducateur spécialisé, etc.), principalement par le biais d’un appel téléphonique, par courriel ou par la fiche d’inscription. Ils sont ensuite complétés et maintenus à jour par téléphone ou lors de rencontres. Les fiches d’inscription sont retournées, en format papier ou numérique, auprès de la personne autorisée pour une mise à jour complète.
Utilisation
Confidentialité et discrétion
Toute personne qui possède des renseignements personnels ou confidentiels au sein du JDÉ est tenue de respecter la confidentialité de ces renseignements. Ces derniers ne sont partagés que lorsque cela est nécessaire et pertinent, et ce avec discrétion et respect envers la personne concernée.
En ce sens, toute personne doit:
- respecter la vie privée des gens;
- savoir garder les informations sensibles venant des personnes qui se confient à elle;
- ne pas divulguer les renseignements personnels ou les informations confidentielles obtenues au sein du JDÉ.
Partage
Dans l’exercice de leurs fonctions, les personnes impliquées au sein ou auprès du JDÉ peuvent avoir besoin d’accéder à des renseignements personnels ou confidentiels, mais cet accès doit être nécessaire et justifié.
À l’interne
- Coordonnées : elles sont accessibles à l’équipe de travail afin de communiquer avec les personnes concernées et autorisées.
- Coordonnées bancaires : seuls les employés ou les contractuels ayant des tâches de comptabilité ont accès à ces renseignements afin de s’acquitter adéquatement de leurs tâches.
- Dates de naissance : elles sont accessibles à l’équipe de travail pour souligner les anniversaires.
- Renseignements médicaux, d’autonomie fonctionnelle et de comportements particuliers : les renseignements contenus dans les fiches d’inscriptions sont accessibles à tous les intervenants ayant à interagir avec les membres afin d’assurer la sécurité de tous. Certains renseignements essentiels pour la sécurité pourraient également être communiqués aux bénévoles ou à une tierce personne ayant à interagir avec les membres afin d’assurer leur sécurité.
- Réseau : ces renseignements sont accessibles à l’équipe de travail pour coordonner les services entre les différents professionnels du filet de soutien qui entoure un membre.
- Antécédents judiciaires : seule la coordination a accès aux antécédents judiciaires.
À l’externe
Les renseignements personnels ne sont divulgués hors du JDÉ qu’avec un consentement et pour une intervention dans le cadre de la mission. Si une telle situation se présente, seuls les renseignements pertinents et nécessaires à cette intervention seront divulgués, sauf indication contraire dans la loi en vigueur.
Voici une liste non-exhaustive des professionnels à qui pourraient être divulgués les renseignements personnels collectés par le JDÉ : musicothérapeute, zoothérapeute, chauffeur de transport adapté, intervenant/travailleur social au dossier, paramédics et curateur public.
Ces partenaires, tout comme les partenaires dont les hyperliens se trouvent sur le site Internet du JDÉ, possèdent leur propre politique sur la protection des renseignements personnels – pour plus d’informations communiquer directement avec eux. Le JDÉ s’engage à ne pas vendre ou commercialiser les renseignements personnels collectés.
Mesures de sécurité
Le JDÉ protège les renseignements personnels qui lui sont confiés contre la perte, le vol, l’accès ou l’utilisation non autorisée. Les moyens utilisés sont de nature administrative, technique et physique.
Voici une liste non exhaustive des mesures de sécurité prises par le JDÉ.
- S’assurer que les échanges d’informations soient faits dans un lieu propice à la confidentialité, par exemple dans le bureau avec la porte fermée.
- Les portes des bureaux sont verrouillées hors des heures d’ouverture, ou fermées hors de la présence d’un employé.
- Les lieux de stockage, qu’ils soient papier ou numérique, sont adéquatement sécurisés.
- Les dossiers papiers sont conservés dans des classeurs verrouillés.
- Les données numériques sont hébergées sur des serveurs sécurisés situés dans des centres de données professionnels.
- Les employés sont formés régulièrement aux bonnes pratiques de sécurité des données et à l’importance des procédures établies.
- La liste des renseignements personnels collectés est à jour et le degré de sensibilité de chacun a été établi.
Conservation et destruction
Les renseignements personnels collectés sont conservés dans des environnements sécurisés, que ce soit sous forme papier ou numérique, et conservés uniquement pour le temps correspondant aux fins pour lesquelles ils ont été collectés, conformément aux exigences légales et aux meilleures pratiques en matière de protection des données. Les renseignements désuets ou inactifs sont détruits.
- Conservation : stockage sécurisé des renseignements personnels pendant la durée requise.
- Suppression : action d’effacer complètement les données, les rendant indisponibles et irrécupérables.
- Désindexation : retrait des informations des moteurs de recherche, les rendant moins visibles, mais toujours accessibles indirectement.
Durée de conservation
- Renseignements concernant les employés : 7 ans après la fin de l’emploi
- Renseignements concernant les membres du conseil d’administration : 7 ans après la fin du mandat.
- Donateurs : 7 ans après le don.
- Renseignements concernant les participants : 2 ans après la fin de service.
Destruction
Si aucune demande particulière n’est adressée au JDÉ, la procédure de destruction des renseignements personnels est la suivante : un calendrier de destruction est établi en fonction de la durée de conservation de chaque catégorie de renseignements personnels, et la destruction est réalisée de manière à ce que les renseignements personnels ne puissent pas être récupérés ou reconstitués.
- Les renseignements personnels sur papier sont déchiquetés.
- Les renseignements personnels numériques sont supprimés définitivement, c’est-à-dire de manière à ce qu’ils ne puissent pas être récupérés ou reconstitués, des appareils (ordinateurs, téléphones, tablettes, disques dur externes), des serveurs et des outils infonuagiques.
Dans le cas contraire et dans le but de détruire des renseignements personnels hors du calendrier de destruction, il faut suivre la procédure de demande d’accès ci-dessous et indiquer la raison pour laquelle une suppression ou une désindexation est demandée.
Demande d’accès
Soumission d’une demande d’accès
Pour accéder à des renseignements personnels, la personne concernée ou la personne autorisée doit soumettre une demande écrite au responsable de la protection des renseignements personnels de l’organisme identifié à la fin de la présente politique.
La demande peut être envoyée par courriel ou par courrier postal, et elle doit contenir des informations suffisantes pour valider l’identité de la personne qui fait la demande ainsi que les renseignements recherchés.
Les renseignements possibles à obtenir sont les suivants:
- les renseignements personnels ou confidentiels qui sont recueillis auprès de la personne concernée ou de la personne autorisée et officiellement consignée à son dossier;
- les catégories de personnes qui ont accès à ces renseignements personnels au sein de l’organisme;
- la durée de conservation des renseignements personnels.
Le JDÉ est responsable d’assurer la portabilité des renseignements personnels qui seront transmis, c’est-à-dire de les transmettre dans un format technologique ou imprimé structuré et couramment utilisé, par exemple des photocopies ou des documents numérisés.
Traitement de la demande
Par mesure de sécurité, l’organisme devra vérifier l’identité de la personne qui fait la demande de manière raisonnable avant d’accéder à la demande, qui sera traitée dans les trente (30) jours suivant sa réception.
Avant de communiquer les renseignements personnels, le responsable examine les informations pour s’assurer qu’elles ne contiennent pas de renseignements tiers confidentiels ou susceptibles de porter atteinte à d’autres droits.
Une fois les vérifications terminées, les renseignements seront communiqués dans un délai raisonnable par voie électronique, par courrier postal sécurisé ou en personne.
Si une demande d’accès est incomplète ou excessive, le responsable de la protection des renseignements personnels communiquera avec la personne concernée ou la personne autorisée pour des informations supplémentaires ou des clarifications. Les demandes abusives, excessives, non justifiées ou soumises à des restrictions juridiques seront refusées.
Toutes les étapes du processus de traitement de la demande d’accès doivent être consignées de manière précise et complète.
Traitement des plaintes
Si la personne qui fait la demande est insatisfaite de la réponse à la demande d’accès, elle peut contacter de nouveau le responsable de la protection des renseignements personnels.
Une plainte peut être envoyée par courriel ou par courrier postal, et elle doit contenir des informations suffisantes pour identifier le plaignant ainsi que le motif de la plainte.
Les plaintes frivoles, diffamatoires ou sans fondement évident seront rejetées.
Le responsable de la protection des renseignements personnels mène une enquête approfondie en collectant des preuves, en interrogeant les parties concernées et en recueillant tous les documents pertinents, tout en maintenant la confidentialité des informations liées à la plainte.
Des solutions appropriées sont ensuite présentées dans les meilleurs délais, telles des mesures coercitives, des compensations financières ou toute autre action nécessaire pour résoudre la plainte de manière satisfaisante.
Une fois la plainte résolue, le responsable de la protection des renseignements personnels fournit une réponse écrite au plaignant, résumant les mesures prises et les solutions proposées.
Toutes les étapes du processus de traitement de la plainte doivent être consignées de manière précise et complète.
Si l’insatisfaction persiste suite à ces démarches, le plaignant peut contacter directement la Commission d’accès à l’information.
Gestion des incidents de sécurité
Le JDÉ est responsable de la conservation d’un registre formel ainsi que de la mise en œuvre des procédures et obligations suivantes en cas d’incident portant atteinte à la confidentialité des renseignements personnels.
Traitement de l’incident
Le responsable de la protection des renseignements personnels prend connaissance de l’incident de confidentialité et détermine le niveau de risque de préjudice (sensibilité des renseignements concernés, conséquences appréhendées de leur utilisation, probabilité qu’ils soient utilisés à des fins préjudiciables).
| Niveaux | Description | Exemples |
|---|---|---|
| Critique | Ces incidents vont causer une dégradation des services vitaux de l’organisation. Ils sont immanquables. | Attaque qui rend le site Web de l’organisme inopérable, compte courriel des employés inaccessibles, etc. |
| Sérieux | Ces incidents peuvent causer un préjudice sérieux aux personnes directement concernées. | Atteinte à la réputation, atteinte au dossier de crédit, perte financière ou perte d’emploi, vol d’identité, etc. |
| Significatif | Attaque des services de l’organisme qui ne sont pas essentiels aux opérations. | Changement de mot de passe suspect de comptes d’utilisateurs, changements dans les systèmes de documentation non autorisés, etc. |
| Mineur | Attaque de services mineurs de l’organisme comme le réseau sans-fil qui occasionne de légers désagréments. | Attaque infructueuse du réseau sans-fil de l’organisme, tentative de connexions sur le compte de plusieurs utilisateurs, etc. |
| Négligeable | Il n’est pas nécessaire d’inclure ces incidents dans le registre. Ce sont des événements très mineurs. | Perte de connexion à l’imprimante, courriels d’hameçonnage infructueux envoyés à certains employés, pourriels, etc. |
Si l’analyse détermine qu’il s’agit d’un risque critique ou sérieux, le responsable de la protection des renseignements personnels avise la Commission de l’accès à l’information et les personnes concernées par l’incident.
Si l’analyse détermine qu’il s’agit d’un risque significatif, mineur ou négligeable, le responsable de la protection des renseignements personnels entame des travaux pour réduire les risques et éviter qu’un incident de même nature se produise de nouveau.
En cas de doute ou d’incertitude, la Commission d’accès à l’information sera contactée pour obtenir des directives spécifiques à la situation.
Modification et acceptation
Conditions de modification
La présente politique de confidentialité peut être consultée à tout moment sur le site www.jardinetoiles.ca
Le JDÉ peut la modifier afin de garantir sa conformité avec le droit en vigueur. Par conséquent, consulter régulièrement cette politique de confidentialité afin de prendre connaissance d’éventuelles mises à jour.
Contactez-nous
En navigant sur le site, une personne atteste avoir lu et compris la présente politique de confidentialité et en accepte les conditions.
Pour toutes questions sur cette politique de confidentialité, contacter le JDÉ :
- Par courriel: info@jardinetoiles.ca
- Par téléphone: 450-834-3070 # 1027
Pour soumettre une demande d’accès ou une plainte, contacter Mme Sophie Lebeau, responsable des renseignements personnels :
- Par courriel: info@jardinetoiles.ca
- Par courrier postal : 3931 Lakeshore Drive, Rawdon, Qc, J0K 1S0
