Gouvernance des renseignements personnels
Le C3i accorde une grande importance à la protection des renseignements personnels. À cet égard, le C3i a élaboré une politique de gouvernance afin d’encadrer sa gouvernance en matière de vie privée.
Le C3i a aussi mis en place diverses mesures en soutien de sa politique et de son application conformément aux lois applicables. C’est ainsi que C3i a notamment :
- Validé et confirmé les rôles et responsabilités de son responsable de la protection des renseignements personnels (le responsable);
- Entrepris la révision et la documentation des mesures et règles internes en matière de protection des Renseignements personnels; et
- Mis en place des mesures d’assistance.
À la politique s’ajoutent aussi plusieurs autres procédures et outils élaborés par le C3i, notamment :
- sa Politique en matière de gestion des incidents de confidentialité;
- sa Politique de conservation des documents contenant des renseignements personnels;
- son Registre des incidents de confidentialité;
- son Modèle d’évaluation des facteurs relatifs à la vie privée dans le contexte de la communication de renseignements personnels à l’extérieur du Québec;
- son Modèle d’évaluation des facteurs relatifs à la vie privée dans le contexte de la communication de renseignements personnels à des fins d’étude, de recherche ou de production de statistiques;
- son Modèle d’évaluation des facteurs relatifs à la vie privée dans le cadre de projets technologiques impliquant des renseignements personnels;
- ses Modèles de clauses contractuelles si les services d’un tiers sont retenus; et
- ses Modèles de clauses contractuelles en cas de transferts hors Québec.
Tous ces documents forment le cadre de gouvernance de le C3i en matière de protection des renseignements personnels. Ils précisent notamment :
- les règles relatives à la collecte et aux autres traitements de renseignements personnels des employés et de toute autre personne lorsqu’applicable;
- les considérations particulières applicables aux renseignements personnels recueillis par les partenaires commerciaux de le C3i auxquels le C3i peut avoir accès dans le cadre des services fournis à ceux-ci;
- les mesures de sécurité mises en place afin d’assurer la confidentialité, l’intégrité et la disponibilité des renseignements personnels tout au long de leur cycle de vie;
- les rôles et responsabilités de diverses personnes, dont celle ayant la plus haute autorité, du responsable, des employés et des sous-traitants;
- la gestion des accès aux renseignements personnels;
- le processus de traitement des plaintes;
- certaines règles pouvant trouver application dans des contextes spécifiques, notamment en cas :
- de communication ou de traitements de renseignements personnels à l’extérieur du Québec;
- de demandes d’accès à des renseignements à des fins d’étude, de recherche ou de production de statistiques; et
- de projets technologiques impliquant des renseignements personnels;
- certaines règles qui trouveront application si certains types d’initiatives en venaient à être mis en place, dont :
- le recours à une technologie d’identification, de localisation ou de profilage; ou
- la prise de décision fondée sur le traitement automatisé de renseignements personnels
- les processus applicables aux demandes d’accès, de rectification et autres; et
- le processus de mise à jour des documents.
Un résumé du contenu du cadre de gouvernance est disponible en annexe. Ce cadre de gouvernance est aussi complété par les lois en vigueur. Des précisions additionnelles peuvent être obtenues en communiquant avec : Responsable de la protection des renseignements personnels
Centre C3i inc.
5151, boulevard de L’Assomption, Montréal (Québec) HIT 4A9
Courriel : XXX / Téléphone : XXX
Le cadre de gouvernance contient certains renseignements sensibles, notamment quant aux mesures de sécurité déployées.L’accès et la communication aux documents formant le cadre de gouvernance, ou aux informations contenues à celui-ci, peuvent être restreintes.
Résumé du cadre de gouvernance
-
CHAMP D’APPLICATION
Le cadre de gouvernance vise les individus, les activités, les renseignements et les ressources suivants :
- Individus: Tous les employés du C3i (dont son responsable), les sous-traitants et les fournisseurs de services avec lesquels le C3i peut faire.
- Activités : Tout traitement de renseignements personnels du C3i dans le cadre de sa mission, de ses activités ou de ses attributions, et ce, même si la détention physique des renseignements personnels n’est pas assurée par le C3i. Les renseignements personnels recueillis à propos de patients et de participants par les partenaires commerciaux sont sujets aux procédures élaborées par ces derniers; le Cadre de gouvernance peut toutefois prévoir des clarifications quant au rôle de C3i (en tant que fournisseur de services).
- Ressources: Tous les systèmes d’information, sans égard à leur support ou à leur format, qu’ils soient conservés à l’interne ou à l’externe, tels que les systèmes en infonuagique.
- Renseignements : Tout renseignement personnel, peu importe le format et l’endroit de conservation (à l’interne ou à l’externe). La notion de « renseignement personnel » est interprétée largement, de manière à inclure ceux concernant les employés du C3i, et toute autre personne, lorsqu’applicable. Toutefois, et conformément aux lois applicables, certains renseignements ne se qualifieront pas à titre de « renseignements personnels ».
-
PRINCIPES DIRECTEURS
Dans le cadre de sa mission et de ses activités, le C3i est appelé à détenir et/ou à traiter divers types de renseignements personnels. À cet effet, le C3i insiste sur l’importance que tout traitement ait lieu selon les principes directeurs suivants
- la collecte de renseignements personnels doit être nécessaire, et requise ou permise par la loi (et, lorsqu’applicable, par tout contrat);
- tout renseignement personnel est considéré, par défaut, comme confidentiel et est traité de cette façon;
- aucun renseignement personnel ne peut faire l’objet de traitements à moins que les consentements requis n’aient été obtenus ou que ces traitements soient permis ou requis par la loi;
- la protection des renseignements personnels doit être assurée entre autres par la mise en place et le respect de mesures de sécurité adéquates;
- les renseignements personnels ne peuvent être conservés que pour la période requise pour les fins pour lesquelles ils ont été colligés (sujets aux exceptions légales et contractuelles applicables); et
- toute demande (d’accès, de rectification et autres) et tout incident de confidentialité doivent être immédiatement rapportés au responsable applicable.
-
RENSEIGNEMENTS PERSONNELS DONT LES PARTENAIRES COMMERCIAUX ONT LA DÉTENTION JURIDIQUE
Dans le cadre des services rendus aux partenaires commerciaux, le C3i est appelé à traiter des renseignements personnels, incluant des renseignements personnels sensibles, selon le cas, de patients ou de participants, lesquels ont été transmis par le partenaire commercial pour les fins des Services. Quoique le C3i puisse avoir accès à tels renseignements, en aucun cas le C3i n’aura leur détention juridique. Le cadre de gouvernance prévoit des règles générales applicables aux traitements de telles informations par le C3i. Le C3i ne fournira pas à des tiers des renseignements personnels qu’il détient au sujet de patient ou de participant sans le consentement du partenaire commercial, à moins que cela ne soit autrement requis ou permis par la loi.
-
RENSEIGNEMENTS PERSONNELS CONCERNANT LES EMPLOYÉS
Le C3i procède à la collecte et aux traitements de renseignements personnels requis concernant ses employés dans la mesure où cela est : (i) requis pour gérer sa relation d’emploi avec ses employés; (ii) permis par la loi; ou (iii) nécessaire pour se conformer aux exigences légales et contractuelles applicables. Ces collectes et traitements sont limités à ces fins. Ces renseignements requis sont colligés et autrement traités avec le consentement des employés, à moins que la loi ne permette ou ne requiert telle collecte ou tels autres traitements sans le consentement auquel cas le consentement des employés ne sera pas requis
Les renseignements facultatifs sont aussi colligés si les employés y consentent.
Le C3i ne fournira pas à des tiers des renseignements personnels concernant ses employés sans leur consentement, à moins d’une exception prévue par la loi ou portée à l’attention des employés concernés.
-
RENSEIGNEMENTS PERSONNELS CONCERNANT TOUTE AUTRE PERSONNE
Le C3i peut être appelé à colliger et à traiter des renseignements personnels des membres du public qui communiquent avec lui. Ces collectes et traitements auront lieu sur la base de leur consentement (p.ex. : une personne communique avec le C3i pour postuler sur une offre d’emploi). Le C3i ne fournira pas à des tiers des renseignements personnels qu’il détient au sujet d’une personne sans son consentement, à moins d’une exception prévue par la loi ou portée à l’attention des personnes concernées
-
CONSENTEMENTS
Le cadre de gouvernance du C3i insiste sur l’importance qu’un consentement valide existe en lien avec la collecte ou tout autre traitement de renseignements personnels. Ce consentement peut être implicite ou explicite. Le C3i déploie des efforts raisonnables pour s’assurer que les consentements explicites soient manifestes, libres, éclairés, donnés à des fins spécifiques, demandés pour chaque fin en termes simples et clairs, présentés distinctement des autres informations communiquées et, pour les renseignements sensibles, formulés de manière expresse. Le cadre de gouvernance rappelle toutefois que la loi reconnaît certaines situations où un consentement ne sera pas sollicité ou n’aura pas à être sollicité. Il est prêté assistance à toute personne qui le requiert afin de l’aider à comprendre la portée du consentement demandé.
Chaque partenaire commercial est responsable d’obtenir un consentement dans le cadre de sa collecte des renseignements personnels des participants. En aucun cas le C3i ne sera impliqué dans le processus d’obtention de consentement auprès d’un patient ou d’un participant
-
CONSERVATION, DESTRUCTION ET ANONYMISATION
Le C3i procédera à la destruction ou à l’anonymisation, le cas échéant, des renseignements personnels qu’il détient lorsque les fins auxquelles ceux-ci ont été recueillis ou utilisés sont accomplies (sous réserve d’un délai de conservation prévu par la loi); le C3i a notamment mis en place des calendriers de conservation pour l’assister à ce niveau
Le C3i n’est pas responsable des pratiques de conservation, de destruction et d’anonymisation des renseignements personnels des partenaires commerciaux. Suivant la résiliation d’un contrat de services avec tout partenaire commercial, le C3i détruira les renseignements ainsi conservés après la période de temps prescrite par les lois applicables ou, en l’absence de telle période, par les politiques et procédures du C3i
-
COMMUNICATION DE RENSEIGNEMENTS PERSONNELS À L’EXTÉRIEUR DU QUÉBEC
Le C3i procédera à une évaluation des facteurs relatifs à la vie privée avant de communiquer un renseignement personnel à l’extérieur du Québec afin d’en assurer la confidentialité et la sécurité. Aux fins de cette évaluation, le responsable de la protection des renseignements personnels sera consulté dès le début du projet
-
COMMUNICATION DE RENSEIGNEMENTS PERSONNELS À DES FINS D’ÉTUDE, DE RECHERCHE OU DE PRODUCTION DE STATISTIQUES
Conformément à la loi, le C3i pourrait communiquer des renseignements personnels sans le consentement des personnes concernées à une personne ou à un organisme qui souhaite utiliser ces renseignements à des fins d’étude, de recherche ou de production de statistiques. Une évaluation des facteurs relatifs à la vie privée devra toutefois être réalisée et, si celle-ci permet de conclure que des renseignements peuvent être communiqués, alors une entente sera conclue avec le demandeur. Les formalités imposées par la loi devront aussi être respectées. Si une demande vise des renseignements personnels détenus par un partenaire commercial auxquels le C3i a accès, le C3i utilisera les efforts raisonnablement requis pour relayer celle-ci à au partenaire commercial concerné
-
PROJET TECHNOLOGIQUE IMPLIQUANT DES RENSEIGNEMENTS PERSONNELS
Le C3i procédera à une évaluation des facteurs relatifs à la vie privée de tout projet d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services impliquant des renseignements personnels selon le processus prescrit par la loi
Aux fins de cette évaluation, le responsable de la protection des renseignements personnels sera consulté dès le début du proje
-
RECOURS À UNE TECHNOLOGIE D’IDENTIFICATION, DE LOCALISATION OU DE PROFILAGE
De temps à autre, le C3i pourrait avoir recours à une technologie comprenant des fonctions permettant d’identifier une personne, de la localiser ou d’effectuer un profilage de celle-ci. Dans tous les cas et conformément à la loi, cette personne sera informée au préalable : (i) du recours à une telle technologie; et (ii) des moyens offerts pour activer les fonctions permettant d’identifier, de localiser ou d’effectuer un profilage.
-
PRISE DE DÉCISION FONDÉE SUR LE TRAITEMENT AUTOMATISÉ DE RENSEIGNEMENTS PERSONNELS
Le C3i n’utilise pas et n’envisage pas utiliser des renseignements personnels afin que soit rendue une décision fondée exclusivement sur un traitement automatisé de ceux-ci. Advenant que la mise en place d’une telle pratique soit considérée, alors le C3i veillera à informer la personne concernée de ce fait, au plus tard au moment que la décision du C3i lui est communiquée, conformément aux lois applicables
-
SITE INTERNET
Une politique de confidentialité, incluant un avis relatif à l’utilisation de témoins, sont inclus au site Internet du C3i afin de diffuser des précisions quant à ses pratiques. Le C3i veillera à mettre à jour cette politique et cet avis lorsque cela sera requis, notamment si le gouvernement en détermine le contenu et les modalités, et s’assurera que ces documents soient rédigés en termes simples et clairs
-
MESURES DE SÉCURITÉ
Le C3i met en place diverses mesures de sécurité propres à assurer la protection des renseignements personnels qu’il détient et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support. Ces mesures incluent des mesures : (i) internes; (ii) à l’égard des sous-traitants; et (iii) en matière de gestion des incidents de confidentialité
-
DEMANDE D’ACCÈS, DE RECTIFICATION ET AUTRES
Les demandes d’accès, de rectification et autres sont traitées par le C3i conformément à la loi.
Le responsable prête assistance aux demandeurs si ceux-ci le requièrent. L’assistance offerte inclut les éléments suivants :- Lorsque la demande n’est pas suffisamment précise ou que le demandeur le requiert, le responsable prête assistance au demandeur pour identifier les renseignements personnels recherchés.
- Sujet aux lois applicables et suivant une demande formulée à cet effet, le responsable :
- confirmera l’existence de renseignements personnels détenus et qui concerne le demandeur et, lorsqu’applicable, lui en donnera communication (ou lui permettront d’en obtenir une copie); et
- corrigera les renseignements personnels le concernant qui seraient inexacts, incomplets ou équivoques.
- Dans l’éventualité d’un refus de donner suite à une demande d’accès, de rectification ou autre, les motifs de ce refus seront communiqués au demandeur conformément à la loi. Le responsable prêtera alors assistance au demandeur qui le demande pour l’aider à comprendre ce refus.
Le responsable veillera à :
- offrir une aide raisonnable tout au long du processus de traitement d’une demande;
- fournir des renseignements au sujet de la loi, notamment en ce qui concerne le traitement d’une demande et le droit de porter plainte auprès de la Commission d’accès à l’information;
- communiquer avec le demandeur si des précisions sont requises au sujet d’une demande, telle communication ayant lieu dès que raisonnablement possible;
- déployer les efforts raisonnablement requis pour trouver les documents demandés;
- s’assurer que les exceptions invoquées (en lien avec un refus de communiquer tout ou partie de documents) soient précises et limitées (à tels documents);
- fournir des réponses qui, au meilleur de sa connaissance, sont exactes et complètes;
- communiquer promptement l’information demandée dans le cadre du processus d’accès; et
- s’il y a lieu, fournir les documents sur le support demandé ou, selon le cas, fournir un endroit approprié pour examiner les documents visés par la demande.
L’assistance offerte n’oblige toutefois pas le responsable à fournir plusieurs fois les mêmes explications à un demandeur. De même, une fois que les informations nécessaires pour aider un demandeur à comprendre la décision ont été données, le responsable peut choisir de cesser de lui fournir des explications
Toute demande d’accès d’un participant et/ou d’un patient aux dossiers le concernant doit être exclusivement adressée au partenaire commercial approprié (ou le professionnel de la santé concerné), et non au C3i. Cette demande d’accès doit être formulée conformément aux lois régissant l’accès à ce type de dossiers. Les demandes d’accès seront exclusivement traitées par les partenaires commerciaux concernés. Si une demande vise des renseignements personnels détenus par un partenaire commercial auxquels le C3i a accès, le C3i utilisera les efforts raisonnablement requis pour relayer celle-ci à au partenaire commercial concerné