Politique de gouvernance
en matière de protection des renseignements personnels
1. Objectifs
1.1. Cette politique de gouvernance en matière de protection des renseignements personnels décrit la manière dont Espace Inspira Inc. (collectivement : « INSPIRA », « nous », « nos » ou « notre ») veille à ce que vos renseignements personnels soient gérés et protégés correctement.
1.2. Chez INSPIRA, la protection de vos renseignements personnels est notre priorité. Afin de répondre à vos attentes, nous prenons les mesures nécessaires pour protéger les renseignements personnels, gérer correctement les données et assurer la responsabilité de nos employés à l’égard de la protection des renseignements personnels.
1.3. La protection des renseignements personnels signifie la protection et la gestion efficaces des renseignements personnels par la détermination, l’évaluation, la surveillance et l’atténuation des risques pour la protection des renseignements personnels dans les services et les activités de INSPIRA qui comportent la collecte, la conservation, l’utilisation, la divulgation et la destruction de renseignements personnels.
1.4. La politique de gouvernance en matière de protection des renseignements personnels (ci-après appelé le « Cadre de gouvernance » ou le « Cadre ») a pour objet d’articuler notre vision, notre objectif et notre engagement à l’égard de la protection des renseignements personnels, y compris le traitement et la protection des renseignements personnels, afin que la vie privée de nos clients soit respectée. Le Cadre est conçu comme document de référence pour les visiteurs de notre site Web et nos clients (collectivement : les « Clients », « vous », « vos » ou « vôtre »).
1.5. Le présent Cadre de gouvernance ne s’applique pas à un renseignement personnel qui a un caractère public en vertu de la loi.
2. Définitions
2.1. Nous définissons certains termes comme suit :
-
Anonymisation : Un renseignement concernant une personne est anonymisé lorsqu’il est raisonnable de conclure qu’il ne permet plus d’identifier directement ou indirectement cette personne.
-
Désindexation des renseignements personnels : Le retrait des informations pour les rendre moins visibles, mais toujours accessibles directement.
-
Gouvernance de la protection des renseignements personnels : il s’agit de l’ensemble des activités de INSPIRA pour recueillir, utiliser et divulguer des renseignements personnels en conformité avec la loi et les directives réglementaires; protéger les renseignements personnels et gérer les risques liés au traitement de ces renseignements.
-
Incident de confidentialité : Constitue un incident de confidentialité :
a) L’accès non autorisé à un renseignement personnel;
b) L’utilisation non autorisée d’un renseignement personnel;
c) La communication non autorisée d’un renseignement personnel;
d) La perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.
-
Renseignements personnels (cette définition est précisée dans la Loi sur la protection des renseignements personnels): il s’agit des renseignements, quels que soient leur forme et leur support, concernant un individu identifiable, notamment :
a) les renseignements relatifs à sa race, à son origine nationale ou ethnique, à sa couleur, à sa religion, à son âge ou à sa situation de famille;
b) les renseignements relatifs à son éducation, à son dossier médical, à son casier judiciaire, à ses antécédents professionnels ou à des opérations financières auxquelles il a participé;
c) tout numéro ou symbole, ou toute autre indication identificatrice, qui lui est propre;
d) son adresse, ses empreintes digitales ou son groupe sanguin;
e) ses opinions ou ses idées personnelles, à l’exclusion de celles qui portent sur un autre individu ou sur une proposition de subvention, de récompense ou de prix à octroyer à un autre individu par une institution fédérale, ou subdivision de celle-ci visée par règlement;
f) toute correspondance de nature, implicitement ou explicitement, privée ou confidentielle envoyée par lui à une institution fédérale, ainsi que les réponses de l’institution dans la mesure où elles révèlent le contenu de la correspondance de l’expéditeur;
g) les idées ou opinions d’autrui sur lui;
h) les idées ou opinions d’un autre individu qui portent sur une proposition de subvention, de récompense ou de prix à lui octroyer par une institution, ou subdivision de celle-ci, visée à l’alinéa e), à l’exclusion du nom de cet autre individu si ce nom est mentionné avec les idées ou opinions;
i) son nom lorsque celui-ci est mentionné avec d’autres renseignements personnels le concernant ou lorsque la seule divulgation du nom révélerait des renseignements à son sujet;
-
Tiers : Toute personne physique ou morale externe à INSPIRA, qui ne fait pas partie de notre organisation ou des membres de notre personnel. Le tiers peut inclure les fournisseurs, les distributeurs, les sous-traitants, les autres contractants, les partenaires, les consultants, les autres organismes externes, etc.
3. Coordonnées de la personne responsable de la protection des renseignements personnels
3.1. La personne responsable de la protection des renseignements personnels est Jennifer Guay, vice-présidente. Elle peut être contactée par courriel au : contact@espaceinspira.ca.
3.2. Cette personne est notamment responsable de :
3.2.1. Recevoir et traiter les demandes d’accès et de rectification en respect de la protection des renseignements personnels et de la confidentialité;
3.2.2. Traiter les incidents de confidentialité;
3.2.3. Recevoir les plaintes qui mettent en cause la protection des renseignements personnels et les traiter;
3.2.4. Tenir à jour le registre des incidents de confidentialités;
3.2.5. Tenir à jour la liste de classement des documents de manière à en permettre le repérage et l’inventaire des fichiers de renseignements personnels.
3.3. Il est possible de communiquer avec la personne responsable de la protection des renseignements personnels pour toute question en lien avec l’application du présent Cadre de gouvernance en matière de protection des renseignements personnels.
4. Collecte de renseignements confidentiels
4.1. INSPIRA collecte des renseignements personnels notamment auprès des clients, des visiteurs de son site Web, des sous-traitants et de son personnel.
4.2. De façon générale, INSPIRA collecte les renseignements personnels directement auprès de la personne concernée et avec son consentement, sauf si une exception est prévue par la loi.
4.3. Le consentement peut être obtenu de façon implicite dans certaines situations, par exemple, lorsque la personne décide de fournir volontairement ses renseignements personnels dans le cadre volontaire des activités de INSPIRA, tels que lors d’une embauche ou lors de l’ouverture du dossier du client.
4.4. Dans tous les cas, nous ne collectons des renseignements personnels que si nous avons une raison valable de le faire. De plus, la collecte ne sera limitée qu’aux renseignements nécessaires dont nous avons besoin pour remplir l’objectif visé.
4.5. À moins d’une exception prévue par la loi, nous demanderons le consentement de la personne concernée avant de collecter des renseignements personnels qui la concernent auprès d’un tiers.
4.6. Considérant que nous pouvons également collecter des renseignements personnels par un moyen technologique, nous nous sommes dotés d’une Politique de confidentialité disponible ICI.
5. Principes directeurs de la protection des renseignements personnels
5.1. Nos principes directeurs en matière de protection des renseignements personnels sont les suivants :
5.1.1. Nous valorisons et respectons les données des Clients en notre possession et nous permettons à nos Clients de bien comprendre comment elles sont utilisées et à quelles fins.
5.1.2. Nous appuyons nos employés afin qu’ils comprennent leurs responsabilités en matière de traitement des données et nous répondons aux demandes de nos Clients en temps opportun et utile pour offrir une expérience transparente et efficace.
5.1.3. Nous plaçons nos Clients au cœur de tous les changements et améliorations en adoptant des pratiques innovantes et en intégrant les principes de protection des renseignements personnels dans tout ce que nous accomplissons.
5.1.4. Nous collaborons avec les employés et nous assurons une gestion efficace et sécurisée des données des Clients dans toutes nos opérations pour établir et maintenir la confiance des Clients.
5.1.5. Nous prenons des décisions sur la façon dont les données des Clients sont traitées en conformité avec les obligations législatives, les pratiques exemplaires de confidentialité et fondées sur des normes éthiques.
5.1.6. Nous prenons des mesures proactives et non réactives, des mesures préventives et non correctives.
5.1.7. Nous veillons à ce que les renseignements personnels soient systématiquement protégés dans les systèmes informatiques ou dans le cadre des pratiques internes, afin que les Clients n’aient à poser aucun geste.
5.1.8. Les mesures de protection des renseignements personnels ne doivent pas être intégrées après coup, mais plutôt constituer des éléments pleinement intégrés du système.
5.1.9. Assurer la sécurité du cycle de vie des données en conservant de façon sécurisée les données, puis les détruire quand elles ne sont plus utiles.
6. Gestion des incidents de confidentialité
6.1. Lorsque INSPIRA a des motifs de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel que nous détenons, nous prenons les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent, ce qui peut inclure la sanction des individus en cause.
6.2. Quand l’incident présente le risque qu’un préjudice sérieux soit causé aux personnes dont les renseignements sont concernés, INSPIRA avise par écrit :
(1) La Commission d’accès à l’information via le formulaire d’avis prescrit;
(2) La ou les personnes concernées. L’avis doit permettre de la renseigner adéquatement sur la portée et les conséquences de l’incident. Cet avis doit contenir :
a) Une description des renseignements personnels visés par l’incident. Si cette information n’est pas connue, l’organisation doit communiquer la raison justifiant l’impossibilité de fournir cette description.
b) Une brève description des circonstances de l’incident;
c) La date ou la période où l’incident a eu lieu, ou une approximation de cette période si elle n’est pas connue;
d) Une brève description des mesures prises ou envisagées pour diminuer les risques qu’un préjudice soit causé à la suite de l’incident;
e) Les mesures proposées à la personne concernée afin de diminuer le risque qu’un préjudice lui soit causé ou d’atténuer celui-ci;
f) Les coordonnées d’une personne ou d’un service avec qui la personne concernée peut communiquer pour obtenir davantage d’informations au sujet de l’incident.
6.3. INSPIRA tient un registre des incidents de confidentialité, dont le contenu est déterminé par la loi. Les renseignements contenus au registre des incidents de confidentialité sont tenus à jour et conservés pendant une période minimale de cinq (5) ans après la date ou la période au cours de laquelle INSPIRA a pris connaissance de l’incident.
7. Conservation des renseignements personnels
7.1. INSPIRA conserve les renseignements personnels qu’il détient pour le temps nécessaire pour atteindre les fins pour lesquelles il les a collectés et conformément à son calendrier de conservation, à moins d’une durée prescrite par la loi ou la réglementation applicable.
7.2. INSPIRA s’assure de la qualité des renseignements personnels qu’il détient. En ce sens, les renseignements personnels conservés sont à jour, exacts et complets pour servir aux fins pour lesquelles ils ont été recueillis ou utilisés.
7.3. La mise à jour constante des renseignements personnels n’est pas nécessaire, sauf si cela est justifié par les fins pour lesquelles ce renseignement est recueilli. Cependant, si les renseignements doivent servir à une prise de décision, ils doivent être à jour au moment de celle-ci.
7.4. Selon la nature des renseignements personnels, ceux-ci peuvent être conservés dans nos divers systèmes informatiques ou de nos fournisseurs de services.
7.5. INSPIRA met en place des mesures de sécurité afin que les renseignements personnels demeurent strictement confidentiels et soient protégés contre la perte ou le vol et contre tout accès, communication, copie, utilisation ou modification non autorisée.
8. Demande d’accès à ses renseignements personnels
8.1. Toute personne qui en fait la demande a un droit d’accès aux renseignements personnels la concernant détenus par INSPIRA, sous réserve des exceptions prévues par la loi.
8.2. Une demande de communication ne peut être considérée que si elle est faite par écrit par une personne physique justifiant de son identité à titre de personne concernée ou à titre de personne représentante autorisée.
8.3. Cette demande doit être adressée à la personne responsable de la protection des renseignements personnels qui est indiquée dans notre politique de confidentialité. La demande doit fournir suffisamment d’indications précises pour lui permettre de la traiter. Lorsque la demande n’est pas suffisamment précise ou lorsqu’une personne le requiert, le responsable doit prêter assistance pour identifier les renseignements recherchés.
8.4. Le responsable de la protection des renseignements personnels doit répondre par écrit à la demande d’accès avec diligence et au plus tard dans les trente (30) jours de la réception de la demande. À défaut de répondre dans les trente (30) jours de la réception de la demande, la personne est réputée avoir refusé d’y acquiescer.
8.5. L’accès aux renseignements personnels est gratuit. Toutefois, des frais raisonnables peuvent être exigés du requérant pour la transcription, la reproduction ou la transmission de ces renseignements. Si nous entendons exiger des frais en vertu de la loi et de la présente clause, nous informerons le requérant du montant approximatif exigible, avant de procéder à la transcription, la reproduction ou la transmission de ces renseignements.
8.6. Le responsable de la protection des renseignements personnels doit motiver tout refus d’acquiescer à une demande et indiquer la disposition de la loi sur laquelle ce refus s’appuie, les recours qui s’offrent au requérant en vertu de la présente loi et le délai dans lequel ils peuvent être exercés. Il doit également prêter assistance au requérant qui le demande pour l’aider à comprendre le refus.
8.7. Nous devons refuser de donner communication à une personne d’un renseignement personnel la concernant lorsque sa divulgation révélerait vraisemblablement un renseignement personnel sur un tiers ou l’existence d’un personnel sur un tiers ou l’existence d’un tel renseignement et que cette divulgation serait susceptible de nuire sérieusement à ce tiers, à moins que ce dernier ne consente à sa communication ou qu’il ne s’agisse d’un cas d’urgence mettant en danger la vie, la santé ou la sécurité de la personne concernée.
8.8. Nous pouvons communiquer au conjoint ou à un proche parent d’une personne décédée un renseignement personnel que nous détenons concernant cette personne, si la connaissance de ce renseignement est susceptible d’aider le requérant dans son processus de deuil et que la personne décédée n’a pas consigné par écrit son refus d’accorder ce droit d’accès.
8.9. Sous réserve de la clause précédente, nous devons refuser de donner communication d’un renseignement personnel au liquidateur de la succession, au bénéficiaire d’une assurance-vie ou d’une indemnité de décès, à l’héritier ou au successible de la personne concernée par ce renseignement, à moins que cette communication ne mette en cause les intérêts et les droits de la personne qui le demande à titre de liquidateur, de bénéficiaire, d’héritier ou de successible.
8.10. Toute personne intéressée peut soumettre à la Commission d’accès à l’information une demande d’examen de mésentente relative à l’application d’une disposition portant sur l’accès d’un renseignement personnel.
8.11. Nous pouvons demander à la Commission d’accès à l’information de nous autoriser à ne pas tenir compte de demandes manifestement abusives par leur nombre, leur caractère répétitif ou systématique ou de demandes qui, de l’avis de la Commission, ne sont pas conformes à l’objet de la loi. Nous pouvons aussi demander à la Commission de circonscrire la demande du requérant ou de prolonger le délai dans lequel nous devons répondre.
9. Demande de rectification
9.1. Toute personne qui reçoit confirmation de l’existence d’un renseignement personnel la concernant peut, s’il est inexact, incomplet ou ambigu, ou si sa collecte, sa communication ou sa conservation ne sont pas autorisées par la loi, exiger que le renseignement soit rectifié.
9.2. Une personne physique qui justifie de son identité à titre de personne concernée ou à titre de personne représentante autorisée peut formuler, par écrit, une demande de rectification auprès de la personne responsable de la protection des renseignements personnels en fournissant suffisamment d’indications précises pour lui permettre de la traiter.
9.3. Lorsqu’il accorde une demande de rectification, INSPIRA délivre sans frais à la personne qui l’a faite une copie de tout renseignement personnel modifié ou ajouté, ou, selon le cas, une attestation du retrait d’un renseignement personnel.
9.4. Toute personne intéressée peut soumettre à la Commission d’accès à l’information une demande d’examen de mésentente relative à l’application d’une disposition portant sur la rectification d’un renseignement personnel.
10. Destruction des renseignements personnels
10.1. En règle générale, lorsque les fins pour lesquelles un renseignement personnel a été recueilli ou utilisé sont accomplies, nous détruisons de manière irréversible ou l’anonymisons pour l’utiliser à d’autres fins.
10.2. La destruction des documents d’origine contenant des renseignements personnels ou confidentiels est faite de façon sécuritaire. Lorsque nous procédons à la destruction de documents contenant des renseignements personnels, nous nous assurons de prendre les mesures de protection nécessaires visant à assurer la confidentialité de ceux-ci. INSPIRA détermine la méthode de destruction utilisée en fonction de la sensibilité des renseignements, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support.
10.3. Dans l’éventualité où INSPIRA désire détruire les documents originaux à la suite de leur numérisation, il respecte les conditions suivantes : (1) l’information contenue dans les documents numérisés n’a pas été altérée et elle a été maintenue dans son intégralité; (2) La numérisation ainsi que le support pour conserver les documents numérisés doit assurer la stabilité et la pérennité des documents. INSPIRA choisit un support ou une technologie sur lequel il conserve ses documents qui lui permet de respecter ces conditions.
11. Désindexation des renseignements personnels
11.1. Le but de cette procédure est de fournir un mécanisme structuré pour gérer les demandes de désindexation des renseignements personnels afin de limiter leur visibilité.
11.2. Cette procédure couvre toutes les informations publiées sur nos plateformes en ligne, y compris notre site Web, nos applications mobiles, nos bases de données ou tout autre support numérique utilisé par INSPIRA.
Procédure
11.3. Toute personne peut soumettre sa demande de désindexation par le biais de canaux spécifiques tels que le formulaire en ligne disponible sur le site Web de INSPIRA, l’adresse courriel dédiée ou le numéro de téléphone.
11.4. Avant de traiter la demande, l'identité de l'individu sera vérifiée de manière raisonnable. Cette vérification peut être faite notamment, mais non limitativement, en demandant des informations supplémentaires ou en vérifiant l'identité de l'individu par la transmission de pièces d’identité. Si l'identité du demandant ne peut pas être vérifiée de manière satisfaisante, INSPIRA peut refuser de donner suite à la demande de désindexation.
11.5. INSPIRA examinera attentivement les demandes et les renseignements personnels concernés pour déterminer leur admissibilité à la désindexation.
11.6. Il existe aussi des raisons parfaitement valables pour lesquelles INSPIRA pourrait refuser de désindexer des renseignements personnels, par exemple :
-
Pour continuer à fournir des biens et des services à cette personne;
-
Pour des raisons d’exigence législative ou réglementaire;
-
Pour des raisons juridiques en cas de litige.
11.7. INSPIRA prendra les mesures nécessaires pour désindexer les renseignements personnels conformément aux demandes de désindexation jugées admissibles.
11.8. Tout retard ou problème rencontré lors du traitement des demandes sera communiqué au demandeur.
11.9. Toutes les demandes de désindexation des renseignements personnels, ainsi que les actions entreprises pour y répondre, seront consignées dans un système de suivi dédié. Ce système indiquera les détails des demandes de désindexation, les dates des demandes, les décisions prises, les mesures mises en place et les résultats.
12. Entrée en vigueur et révision
12.1. Le présent Cadre de gouvernance est approuvé par la personne responsable de la protection des renseignements personnels.
12.2. Il est complémentaire à notre Politique de confidentialité. Le Cadre entre en vigueur à la date de son approbation. Il demeure en application tant et aussi longtemps qu’il n’est pas abrogé, modifié ou remplacé par un autre Cadre de gouvernance.
12.3. Le présent Cadre de gouvernance peut être mis à jour périodiquement en fonction des changements survenus dans nos pratiques et nos mesures en matière de protection des renseignements personnels. Il est de votre responsabilité de consulter périodiquement notre Cadre de gouvernance afin de vous tenir informé de nos pratiques à jour.
12.4. Le Cadre de gouvernance révisé sera affiché sur notre site Web et les modifications prendront effet dès leur publication sur notre site Web.