Ajuste la taille de ton texte

POLITIQUE DE CONFIDENTIALITÉ

La Table des organismes communautaires montréalais de lutte contre le sida (TOMS) respecte le droit à la vie privée de chaque individu et s’engage à protéger la confidentialité des renseignements confidentiels recueillis auprès de tout·e Participant·e ou Employé·e. En règle générale, les renseignements confidentiels sont disponibles seulement aux personnes qui doivent y avoir accès dans l’exercice de leurs fonctions au sein de la TOMS.


DÉFINITIONS 

« Employé·e » 

Toute personne qui travaille pour la TOMS moyennant rémunération, incluant la coordination ou la  direction, ainsi que toutes personnes non rémunérées (bénévole, stagiaire). 

« Événement » 

Tout événement que la TOMS gère ou organise. 

« Formulaire de signalement » 

Le formulaire mis à la disposition de tout·e Employé·e ou Participant·e afin d’informer la personne  responsable des renseignements personnels. 

« Incident de confidentialité » 

Tout accès non autorisé par la loi à un renseignement personnel, à son utilisation ou à sa  communication, de même que sa perte ou toute autre forme d’atteinte à sa protection. 

« Participant·e » 

Tout individu qui fournit des renseignements confidentiels à la TOMS en lien avec la réalisation  d’un Évènement, la création d’une Publication, la participation à une activité ou avec l’obtention  d’un Service. 

« Publication » 

Toute publication produite par la TOMS ou à laquelle la TOMS contribue, sous quelque forme que  ce soit (verbal, écrit, audio, vidéo, informatisé ou autre). 

« Registre des incidents de confidentialité » 

L’ensemble des renseignements consignés sur des incidents déclarés et concernant les  circonstances de l’incident, le nombre de personnes visées, l’évaluation de la gravité du risque de  préjudice et les mesures prises en réaction à l’incident. Les dates pertinentes y figurent aussi :  survenance de l’incident, détection par l’organisation, transmission des avis (s’il y a lieu), etc. 

« Risque sérieux de préjudices » 

Le risque évalué à la suite d’un incident de confidentialité qui pourrait porter préjudice aux  personnes concernées. Ce risque est analysé par la personne responsable des renseignements  personnels. Pour tout incident de confidentialité, la personne responsable évalue la gravité du  risque de préjudice pour les personnes concernées en estimant « la sensibilité des renseignements  concernés », « les conséquences appréhendées de leur utilisation » et « la probabilité qu’ils soient  utilisés à des fins préjudiciables »

« Renseignement confidentiel » 

Tout renseignement fourni ou communiqué à la TOMS sous quelque support que ce soit (verbal,  écrit, audio, vidéo, informatisé ou autre) qui concerne un·e Participant·e ou un.e Employé·e et qui  peut être utilisé pour l’identifier, y compris : son nom, son numéro de téléphone, son adresse, son  courriel, le fait qu’il ou elle ait été ou soit un·e Participant·e ou un·e Participant·e potentiel·le, son genre, son orientation sexuelle et toute information concernant sa santé. Pour plus de certitude : 

  • les renseignements qui ne permettent pas d’identifier un individu dans le cadre d’un témoignage  nesont pas des renseignements confidentiels ; 
  • les données statistiques ne sont pas des renseignements confidentiels puisqu’elles ne  permettent pas d’identifier un individu ; 
  • les photographies ou enregistrements qui ne permettent pas d’identifier un individu ne constituent pas un renseignement confidentiel relatif à cet individu. 

« Service ou activité» 

Tout service que la TOMS rend à un individu à la demande de celui-ci, ou toute activité à laquelle il  participe. 


PHOTOGRAPHIES ET ENREGISTREMENTS 

2.1 Tout individu a le choix d’être photographié ou non, ou d’être enregistré (audio/vidéo) ou non. 

2.2 Les photographies ou enregistrements qui permettent d’identifier un individu comme Employ·é de la  TOMS ne constituent pas un renseignement confidentiel relatif à cet individu. 

OBLIGATION DE CONFIDENTIALITÉ 

3.1 Les Employé·es sont tenu·es de signer la présente entente de confidentialité (Annexe A) avant d’exercer  leurs fonctions ou d’exécuter leurs mandats auprès de la TOMS. 

3.2 L’obligation de confidentialité s’applique à la durée de la relation d’un·e Employé·e avec la TOMS et  survit à la fin de cette relation. 

COLLECTE ET USAGE DES RENSEIGNEMENTS CONFIDENTIELS 

4.1 La TOMS peut, au besoin, constituer un ou des dossiers contenant des renseignements confidentiels  concernant les Employé·es. La constitution de tels dossiers a pour objet de : 

  • maintenir les coordonnées à jour ; 
  • documenter des situations de travail ou de bénévolat ; 
  • permettre, dans le cas des Employé·es rémunéré·es, la réalisation des tâches administratives  requises ou permises par la loi (impôt sur le revenu, assurances collectives, etc.). 

4.2 La TOMS peut, au besoin, constituer un ou des dossiers contenant des renseignements confidentiels  concernant les Participant·es. La constitution de tels dossiers a pour objet de permettre à la TOMS de  réaliser un Événement, une Publication, de réaliser une activité ou de fournir un Service. 

4.3 La TOMS peut seulement recueillir les renseignements confidentiels qui sont nécessaires aux fins du  dossier et peut utiliser les renseignements confidentiels seulement à ces fins. 

4.4 Les renseignements confidentiels peuvent seulement être recueillis auprès de la personne concernée, à  moins que celle-ci consente à ce que la cueillette soit réalisée auprès d’autrui ou que la loi l’autorise.

GESTION DES RENSEIGNEMENTS CONFIDENTIELS 

5.1 La direction ou la coordination, comme personne exerçant la plus haute autorité dans l’organisation, est  la personne responsable d’assurer la protection des renseignements personnels. La direction ou la  coordination peut déléguer cette responsabilité en la constatant par écrit. Sur le principal site web de la  TOMS doit être indiqué, sous le titre de la direction ou la coordination ou de la personne responsable, «  personne responsable de la protection des renseignements personnels » ainsi que le moyen de la  joindre. 

La direction ou la coordination ou la personne responsable s’assure de la tenue d’un Registre des  incidents de confidentialité. 

5.2 Sous réserve de l’article 5.3, la direction ou la coordination est autorisée à accéder à tout  renseignement confidentiel que détient la TOMS. Les autres Employé·es sont autorisé·es à accéder aux  renseignements confidentiels dans la mesure où cet accès est nécessaire à la réalisation d’une tâche  dans l’exercice de leurs fonctions. 

5.3 Pour l’application des lois, un incident de confidentialité correspond à tout accès, utilisation ou  communication non autorisé·es par la loi d’un renseignement personnel, de même qu’à la perte d’un  renseignement personnel ou à toute autre atteinte à sa protection. 

5.4 Lorsqu’un·e Employé·e ou un·e Participant·e constate un incident de confidentialité, il ou elle doit  informer avec diligence la direction générale ou la personne responsable de la protection des renseignements confidentiels afin qu’il soit inscrit au Registre. L’employé·e ou le ou la Participant·e doit,  pour ce faire, compléter un formulaire de signalement et l’acheminer ensuite à la direction ou la  coordination ou à la personne responsable. 

Le registre doit conserver les informations sur un incident de confidentialité pour une période de  cinq ans. 

Doit être colligé dans le formulaire de signalement : 

  • Une description des renseignements personnels touchés par l’incident ou, si cette information est  inconnue, les raisons pour lesquelles il est impossible de fournir une telle description ;
  • Une brève description des circonstances de l’incident ;
  • La date ou la période à laquelle a eu lieu l’incident (ou une approximation si cette information n’est  pas connue) ; 
  • La date ou la période à laquelle l’organisation s’est aperçue de l’incident ; 
  • Le nombre de personnes concernées par l’incident (ou une approximation si cette information n’est  pas connue). 

5.5 La direction ou la coordination ou la personne responsable juge si l’incident présente un « risque  sérieux de préjudice ». Les renseignements ainsi que les mesures à prendre afin de diminuer le risque  qu’un préjudice sérieux soit causé aux personnes concernées sont versé·es au Registre. 

Si l’incident présente un risque sérieux de préjudice, la direction générale ou la personne responsable  avise la Commission d’accès à l’information et les personnes concernées de tout incident présentant un  risque sérieux de préjudice à l’aide du formulaire approprié.

CONSERVATION DES RENSEIGNEMENTS CONFIDENTIELS 

6.1 Les Employé·es ayant accès aux dossiers en vertu de l’article 5 s’obligent à : 

  • S’assurer que les renseignements confidentiels soient gardés à l’abri de tout dommage physique ou accès non autorisé ; 
  • S’assurer que tous les documents électroniques comportant des renseignements confidentiels,  incluant ceux copiés sur un appareil de stockage portatif, soient cryptés et protégés par des mots de  passe. Ces mots de passe doivent être modifiés deux fois par année, ainsi qu’à chaque fois que les  personnes ayant accès aux dossiers concernés sont remplacées ; 
  • Garder les renseignements confidentiels en format papier dans des classeurs pouvant être  verrouillés et s’assurer que les classeurs soient verrouillés à la fin de chaque journée de travail. Les  clés des classeurs doivent être gardées dans des endroits sûrs. 

6.2 Lorsqu’un·e Employé·e peut également, à certains égards, être qualifié·e de Participant·e, les  renseignements confidentiels concernant chaque titre seront conservés séparément. 

6.3 Les dossiers constitués en vertu de cette politique sont la propriété de [insérez le nom de l’organisme. 

DESTRUCTION DES RENSEIGNEMENTS CONFIDENTIELS 

7.1 Sous réserve de l’article 7.2, les renseignements confidentiels ne sont conservés que tant et aussi  longtemps que l’objet pour lequel ils ont été recueillis n’a pas été accompli, à moins que l’individu  concerné ait consenti à ce qu’il en soit autrement. Ces renseignements confidentiels sont ensuite détruits  de façon à ce que les données y figurant ne puissent plus être reconstituées. 

7.2 Les dossiers concernant les Employé·es sont conservés par la TOMS. 

7.3 Pour plus de certitude, les renseignements confidentiels concernant un individu ayant offert un  témoignage, tels que son nom et ses coordonnées, sont détruits une fois le témoignage publié ou  diffusé, à moins que l’individu ait préalablement consenti à ce que les renseignements confidentiels le  concernant soient conservés pour permettre à la TOMS de le recontacter dans le futur. Pour plus de  certitude, chaque utilisation du témoignage d’une personne doit être approuvée par celle-ci. 

DIVULGATION DE RENSEIGNEMENTS CONFIDENTIELS À UN TIERS 

8.1 Autre que dans les situations où la loi le requiert et sous réserve des autres dispositions du présent  article 8, les renseignements confidentiels ne peuvent être divulgués à un tiers qu’après l’obtention du  consentement écrit, manifeste, libre et éclairé de la personne concernée. Un tel consentement ne peut  être donné que pour une fin spécifique et pour la durée nécessaire à la réalisation de cette dernière. 

8.2 Les renseignements confidentiels peuvent être divulgués sans le consentement de la personne  concernée si la vie, la santé ou la sécurité de celle-ci est gravement menacée. La divulgation doit alors  être effectuée de la façon la moins préjudiciable pour la personne concernée.

8.3 Tel que permis par la loi, la TOMS peut divulguer des renseignements confidentiels nécessaires à sa  défense ou celle de ses Employé·es contre toute réclamation ou poursuite intentée contre la la TOMS ou ses Employé·es, par ou de la part d’un·e Participant·e, d’un·e Employé·e, ou de l’une de ses  personnes héritières, exécutrices testamentaires, ayants droit ou cessionnaires, y compris toute  réclamation émanant de l’assureur d’un·e Participant·e ou d’un·e Employé·e. 

COMMUNICATION DE RENSEIGNEMENTS CONFIDENTIELS À LA  PERSONNE CONCERNÉE 

9.1 Sous réserve de l’article 9.2, les Participant·es et Employé·es ont le droit de connaître les  renseignements confidentiels que la TOMS a reçus, recueillis et conserve à leur sujet, d’avoir accès à  de tels renseignements et de demander que des rectifications soient apportées à ceux-ci. 

9.2 la TOMS doit restreindre l’accès aux renseignements confidentiels lorsque la loi le requiert ou lorsque la  divulgation révélerait vraisemblablement des renseignements confidentiels au sujet d’un tiers.

9.3 Une demande d’un·e Participant·e ou d’un·e Employé·e en lien avec l’article 9.1 doit être traitée dans un  délai maximal de 30 jours. 

MANQUEMENT À L’OBLIGATION DE CONFIDENTIALITÉ 

10.1 Un·e Employé·e manque à son obligation de confidentialité lorsque cette personne : 

  • communique des renseignements confidentiels à des individus n’étant pas autorisés à y avoir accès ; 
  • discute de renseignements confidentiels à l’intérieur ou à l’extérieur de la TOMS alors que des  individus n’étant pas autorisés à y avoir accès sont susceptibles de les entendre ;
  • laisse des renseignements confidentiels sur papier ou support informatique à la vue dans un endroit où des individus n’étant pas autorisés à y avoir accès sont susceptibles de les voir ;
  • fait défaut de suivre les dispositions de cette politique. 

10.2 Advenant un manquement à l’obligation de confidentialité, des mesures disciplinaires appropriées,  pouvant aller jusqu’à la résiliation du contrat de travail ou de toute autre relation avec la TOMS, seront  prises à l’égard de la partie contrevenante et des mesures correctives seront adoptées au besoin afin  de prévenir qu’un tel scénario ne se reproduise. 

RECOURS 

11.1 S’il s’avère que les renseignements confidentiels d’une personne ont été utilisés de façon contraire à une  disposition de cette politique, cette personne peut déposer une plainte auprès de la direction générale de  la TOMS, ou auprès du comité exécutif ou du conseil d’administration de la TOMS si la plainte concerne  le ou la directeur·trice général·e. 

11.2 Comme prévu par la loi, la personne s’étant vu refuser l’accès ou la rectification des renseignements  confidentiels la concernant peut déposer sa plainte auprès de la Commission d’accès à l’information  pour l’examen du désaccord dans les 30 jours du refus de la TOMS d’accéder à sa demande ou de  l’expiration du délai pour y répondre.


Annexe A : DÉCLARATION RELATIVE À LA CONFIDENTIALITÉ 

Je, soussigné·e, déclare avoir lu la Politique de confidentialité de la TOMS et m’engage à en  respecter les termes. Je reconnais et accepte que mon obligation de confidentialité survit à la fin de  mon emploi, stage ou bénévolat auprès de la TOMS. 

Signé à [inscrivez le lieu] 

le : [inscrivez la date] 

Nom en lettres moulées :  

Signature :


Annexe B : INCIDENT DE CONFIDENTIALITÉ : PLAN DE RÉPONSE

Démarches à effectuer 

Lorsqu’un·e Employé·e ou Participant·e constate un incident de confidentialité, il ou elle  communique avec la direction ou la coordination ou la personne responsable par le biais  d’un formulaire de signalement prévu à cette fin. 

La direction, la coordination ou la personne responsable identifie les mesures raisonnables pour réduire  le risque de préjudice et pour prévenir de nouveaux incidents. 

La direction ou la coordination ou la personne responsable évalue si l’incident présente un risque de  préjudice sérieux, selon la définition présentée à l’annexe D. 

Dans le cas où l’incident présente un risque de préjudice sérieux, la direction ou la coordination, ou  la personne responsable, prévient sans délai la Commission d’accès à l’information (CAI) via le  formulaire prévu à cette fin et toute personne dont les renseignements personnels sont affectés. 

La direction ou la coordination ou la personne responsable tient un registre de tous les incidents. 

La direction ou la coordination ou la personne responsable répond à la demande de la CAI d’avoir  une copie du registre, le cas échéant.


Annexe C : INCIDENT DE CONFIDENTIALITÉ : CONTENU DE LA COMMUNICATION  AUX PERSONNES CONCERNÉES 

Quand 

Tel qu’indiqué à l’article 5.5 de la présente politique, un organisme doit aviser « avec diligence »  toutes les personnes dont les renseignements personnels ont été touchés par un incident de  confidentialité. Cet avis doit être envoyé directement aux personnes concernées. Toutefois, le Règlement sur les incidents de confidentialité prévoit des situations où la communication peut  se faire exceptionnellement par le biais d’un avis public, dont lorsque le fait de transmettre l’avis  est susceptible de représenter une difficulté excessive pour l’organisme ou d’accroître le préjudice  causé aux personnes concernées.. 

Contenu 

Comme c’est le cas pour l’avis écrit à la CAI, l’avis écrit aux personnes concernées doit contenir les  éléments suivants : 

  • Une description des renseignements personnels touchés par l’incident ou, si cette information  est inconnue, les raisons pour lesquelles il est impossible de fournir une telle description ;
  • Une brève description des circonstances de l’incident ; 
  • La date ou la période à laquelle a eu lieu l’incident (ou une approximation si cette information  n’est pas connue) ; 
  • Une brève description des mesures que l’organisme a prises ou entend prendre suivant l’incident dans le but de réduire les risques de préjudice ; 
  • Les mesures que l’organisme suggère à la personne concernée de prendre dans le but  de réduire/atténuer les risques de préjudice ; 
  • Les coordonnées de la personne auprès de laquelle la personne concernée peut obtenir de  plus amples renseignements à propos de l’incident.

Annexe D : INCIDENT DE CONFIDENTIALITÉ : QUESTIONNAIRE D’ÉVALUATION DU « RISQUE SÉRIEUX DE PRÉJUDICE GRAVE » 

Évaluer si l’incident présente un risque de préjudice sérieux1 

Pour tout incident de confidentialité, l’organisation doit évaluer la gravité du risque de préjudice pour les personnes concernées. Pour ce faire, elle doit considérer, notamment : 

  1. Quelle est la sensibilité des renseignements concernés ? 
  2. Quelles sont les conséquences appréhendées de leur utilisation ? 
  3. Quelle est la probabilité qu’ils soient utilisés à des fins préjudiciables ? 

1. Renseignements sensibles 

  • Documents financiers ; 
  • Dossiers médicaux ; 
  • Les renseignements personnels que l’on communique de manière courante ne sont généralement pas considérés comme sensibles (nom, adresse) ; 
    • Sauf si le contexte en fait des renseignements sensibles : nom, adresses associé·es à des  périodiques spécialisés ou à des activités qui les identifient. 

2. Préjudice grave 

  • Humiliation ; 
  • Dommage à la réputation ou aux relations ; 
  • Perte de possibilité d’emploi ou d’occasion d’affaires ou d’activités professionnelles ; 
  • Perte financière ; 
  • Vol d’identité ; 
  • Effet négatif sur le dossier de crédit ; 
  • Dommage aux biens ou leur perte ; 

3. Pour déterminer la probabilité d’un mauvais usage 

  • Qu’est-il arrivé et quels sont les risques qu’une personne subisse un préjudice en raison  de l’atteinte ? 
  • Qui a eu accès aux renseignements personnels ou aurait pu y avoir accès ? 
  • Combien de temps les renseignements personnels ont-ils été exposés ? 
  • A-t-on constaté un mauvais usage des renseignements ? 
  • L’intention malveillante a-t-elle été démontrée (vol, piratage) ? 
  • Les renseignements ont-ils été exposés à des entités ou à des personnes susceptibles de les utiliser pour causer un préjudice ou qui représentent un risque pour la réputation de la ou des  personnes touchées ? 

Si l’analyse fait ressortir un risque de préjudice sérieux, l’organisation doit aviser la Commission et les  personnes concernées de l’incident. Dans le cas contraire, elle doit tout de même poursuivre ses travaux  pour réduire les risques et éviter qu’un incident de même nature se produise à nouveau.


1 Le questionnaire respecte le Règlement sur les incidents de confidentialité

Note : le Commissariat à la protection de la vie privée du Canada a produit une vidéo d’aide à l’évaluation :  https://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/protection-des-renseignements-personnels-pour-les entreprises/mesures-de-securite-et-atteintes/atteintes-a-la-vie-privee/comment-reagir-a-une-atteinte-a-la-vie-privee-dans votre-entreprise/atteinte_101/atteinte_risques/