Adopté le 16 avril 2025
N.B. Afin de faciliter la lecture de cette présente politique, nous avons employé le masculin comme genre neutre pour désigner aussi bien les femmes que les hommes.
Préambule
Dans l’exercice de gestion, le Carrefour Emploi des Collines (CJE-CEC) doit recueillir, traiter et communiquer des renseignements jugés personnels. Dans ce cadre, le CJE-CEC désire mettre en place, en respect de la Loi sur la protection des renseignements personnels dans le secteur privé, chapitre P-39.1, les processus, les méthodes, les règlements, les politiques pour assurer que le recueil, le traitement, la communication, la protection et la destruction des renseignements personnels soient conformes à la législation en vigueur dans ce domaine, et ultimement, assurer l’absence de tout incident de confidentialité et dans le cas contraire avoir en place les processus nécessaires pour minimiser ou éliminer les préjudices sérieux.
Objectifs de la politique
La présente politique a pour objectifs :
- de respecter la Loi sur la protection des renseignements personnels dans le secteur privé, c. P-39.1;
- de comprendre ce qu’est un renseignement personnel;
- de protéger les renseignements personnels détenus, acquis, traités, transmis et détruits dans le cadre de notre mission en mettant en place une politique et des pratiques adéquates;
- de réagir avec efficacité et démontrer notre diligence;
- de définir clairement les responsabilités et les obligations de toutes les personnes ayant accès à ce type d’informations dans l’organisme;
- d’établir les actions à entreprendre dans le cas d’un risque d’incident de confidentialité avec ou sans préjudice sérieux;
- d’établir les règles de conservation des renseignements personnels;
- d’établir les modes de destructions sécuritaires de renseignements personnels.
Portée
La présente politique s’applique à l’ensemble du personnel du CJE-CEC, ainsi qu’aux administrateurs du conseil d’administration, notamment dans :
- les lieux de travail;
- tout autre endroit où les personnes doivent se trouver dans le cadre de leur emploi (p. ex.,réunion, formation, déplacement, activité sociale organisée par l’employeur);
- les communications par tout moyen technologique ou autres.
Cadre juridique
La présente politique repose sur les lois suivantes :
- la Loi sur la protection des renseignements personnels dans le secteur privé, c. P-39.1;
- Loi concernant le cadre juridique des technologies de l’information, art. 44 et 45;
- Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, art. 122, 123, 134.2;
- ainsi qu’aux autres lois, règlements et normes qui y sont associés.
Définitions
Anonymiser :
Processus irréversible par lequel les renseignements personnels sont traités de manière à rendre impossible l’identification directe ou indirecte de la personne concernée.
Dépersonnalisation :
Processus qui consiste à rendre un renseignement incapable d’identifier directement la personne concernée.
Incident de confidentialité :
Correspond à tout accès, utilisation ou communication d’un renseignement personnel non autorisé par la Loi, de même qu’à la perte d’un renseignement personnel ou à toute autre atteinte à sa protection.
Liste nominative :
Noms, numéros de téléphone, adresses géographiques de personnes physiques ou d’adresses technologiques où une personne physique peut recevoir de la communication d’un document ou d’un renseignement technologique.
Personne concernée :
Personne physique qui est concernée par des renseignements personnels qui permettent, directement ou indirectement, de l’identifier.
Préjudice sérieux :
Un préjudice du fait de la sensibilité des renseignements personnels, des conséquences de leur utilisation et de la probabilité qu’ils soient utilisés, lequel peut être préjudiciable envers la personne concernée.
Renseignement personnel :
Tout renseignement qui concerne une personne physique et qui permet, directement ou indirectement, de l’identifier, p. ex., motif d’absence, feuille de temps, diplôme, CV, dossier disciplinaire, situation sociale ou familiale, information nominale (y compris l’adresse courriel), etc. Les coordonnées d’affaires ne sont pas considérées comme un renseignement personnel au sens de la Loi.
Renseignement personnel sensible :
Lorsqu’il suscite un haut degré d’attentes raisonnables en matière de vie privée, en raison de sa nature ou du contexte de son utilisation, p. ex., médical, biométrique (caractéristiques morphologiques, comportementales, biologiques), intime (santé, orientation sexuelle, groupe ethnique, état des finances, croyances philosophiques ou religieuses).
Personne responsable de la protection des renseignements personnels
Ce responsable est la personne physique de qui relèvent les responsabilités de l’application et du respect de la Loi. La direction générale est désignée responsable par défaut à moins que le conseil d’administration ne délègue, par résolution, cette responsabilité à une autre personne.
Le formulaire de Désignation et engagement de la personne responsable de la protection des renseignements personnels est disponible dans l’Annexe 1.
Rôle et responsabilités de la personne responsable de la protection des renseignements personnels tout au long du cycle de vie des renseignements personnels
La personne responsable de la protection des renseignements personnels est la direction générale du CJE-CEC. Elle doit :
- produire et mettre en place une politique et des pratiques qui encadrent la gouvernance des renseignements personnels;
- faire l’inventaire des renseignements personnels détenus afin d’en connaître la nature et évaluer leur sensibilité;
- savoir qui peut avoir accès à ces renseignements personnels, s’assurer que les accès sont exigés dans le cadre de leurs fonctions;
- sensibiliser et former le personnel et les administrateurs;
- appliquer ou faire appliquer les politiques et pratiques en matière de renseignements personnels;
- détenir, traiter et communiquer les renseignements personnels selon les règles édictées par la Loi;
- mettre en place des mesures pour prévenir ou limiter les conséquences d’un incident de confidentialité impliquant un renseignement personnel;
- assurer la gestion des incidents de confidentialité et tenir un registre de ces derniers.
Rôle et responsabilités des personnes ayant accès à ce type d’information
Toutes les personnes ayant accès à ce type d’information, peu importe leur statut, ont la responsabilité de protéger et d’utiliser à bon escient les renseignements personnels accessibles dans le cadre du travail tout au long du cycle de vie des renseignements personnels. Les administrateurs ont la même responsabilité dans le cadre de l’accès aux documents relatifs à la personne morale.
En aucun temps, l’employé ou l’administrateur ne recueillera, ne consultera, ne transmettra ou ne détruira des renseignements personnels sans avoir au préalable reçu la permission du responsable de la protection des renseignements personnels ou en cas d’absence, de son remplaçant (Annexe 1).
La collecte de renseignements personnels doit se faire en respectant les 3 éléments suivants:
- obtenir le consentement de la personne concernée;
- être en mesure de démontrer la nécessité de la cueillette de renseignements;
- procéder uniquement par cueillette directe auprès de la personne concernée.
Le non-respect de ces obligations pourrait engager un processus disciplinaire pouvant se traduire par un congédiement pour un employé et une destitution pour un administrateur.
Sécurité des renseignements personnels recueillis par la technologie de l’information
Technologie de l’information
Le CJE-CEC utilise les technologies de l’information pour supporter ses opérations. Les renseignements personnels recueillis servent à offrir des services conformes aux attentes des personnes concernées et à la déclaration des services du CJE-CEC. Tous les renseignements personnels qui sont collectés sont conservés dans un environnement sécurisé en respectant les obligations imposées par la Loi.
Personnes concernées
Toutes les personnes concernées ont l’obligation de suivre les indications prévues dans la présente politique et d’agir en tout temps pour préserver la sécurité des renseignements personnels recueillis par la technologie de l’information, détenus et traités par le CJE-CEC. Comme prévu à la politique, le CJE-CEC met en place des mesures de sécurité et de gestion adéquate, utiles et nécessaires, selon le niveau de sensibilité des renseignements personnels recueillis et traités par la technologie de l’information.
Accès aux renseignements personnels recueillis par la technologie de l’information
L’accès aux renseignements personnels obtenus par la technologie de l’information sera limité aux seules personnes ayant la qualité pour les recevoir au sein du CJE-CEC lorsque ces renseignements sont nécessaires à l’exercice de leurs fonctions.
Identification, localisation et profilage
Dans le cas où le CJE-CEC aurait eu recours à une technologie comprenant des fonctions permettant d’identifier, de localiser ou de profiler, il est entendu que la personne concernée sera informée au préalable :
- du recours à une telle technologie;
- des moyens offerts pour activer les fonctions permettant d’identifier, de localiser ou d’effectuer un profilage.
Utilisation des renseignements personnels
Les renseignements personnels ne peuvent être utilisés que pour la raison pour laquelle ils ont été collectés. Dans le cas où les renseignements personnels seraient utilisés à une autre fin, l’autorisation de la personne concernée devra être donnée avant l’utilisation des renseignements personnels.
Comme il est prévu à la Loi, la collecte des renseignements personnels donne l’autorisation à la personne concernée d’utiliser les renseignements collectés. Spécifiquement, les limites de l’utilisation des renseignements personnels sont les suivantes :
- limiter l’accès aux renseignements personnels aux seules personnes ayant la qualité pour les recevoir au sein de l’organisation lorsque ces renseignements sont nécessaires à l’exercice de leurs fonctions;
- limiter l’utilisation des renseignements personnels. À moins d’une exception prévue par la Loi, le consentement doit être obtenu de la personne concernée pour utiliser ses renseignements une fois l’objet du dossier accompli.
Sécurité lors de l’utilisation
Pendant l’utilisation des renseignements personnels, la personne qui en fait usage doit obligatoirement en assurer la protection. La personne doit, sans s’y restreindre :
- ne pas donner accès aux renseignements personnels à une personne qui n’y est pas autorisée;
- dans le cas où la personne qui utilise les renseignements personnels quitte temporairement son espace de travail, les renseignements personnels doivent être disposés de manière à ne pas être à la vue des passants :
- les renseignements personnels doivent être rangés dans un endroit barré;
- l’écran de l’ordinateur doit être verrouillé;
- lors de discussions traitant de renseignements personnels, celles-ci doivent se faire dans un lieu privé où la discussion ne peut être entendue par les personnes qui n’ont pas l’autorisation d’y avoir accès.
Communication de renseignements personnels
Avant toute communication, qu’elle soit verbale ou écrite et par tous les moyens (téléphone, courriel, texto, lettre, rapport, site Internet, etc.), le consentement de la personne concernée est nécessaire sauf dans les cas prévus à la Loi.
Spécifiquement, les obligations suivantes doivent être respectées :
- obtenir le consentement des personnes concernées pour communiquer leurs renseignements à un tiers (p. ex., assureur ou prestataire de services), à moins d’une exception prévue par la Loi;
- respecter la règle du consentement à la communication;
- respecter les obligations prévues par la Loi lorsque la personne communique des renseignements personnels sans le consentement de la personne concernée;
- respecter les obligations particulières applicables à la communication de renseignements personnels à l’extérieur du Québec.
L’autorisation de collecter et d’utiliser les renseignements personnels ne permet pas la communication à un tiers des renseignements en question.
La personne concernée devra remplir et signer le Formulaire pour le consentement à la communication de renseignements personnels.
Il est possible que les renseignements personnels détenus par CJE-CEC soient communiqués à l’extérieur du Québec, comme ailleurs au Canada ou à l’extérieur du pays. Par exemple, lorsque le CJE-CEC a recours à des fournisseurs de services infonuagiques dont le ou les serveurs se situent hors Québec ou lorsque le CJE-CEC fait affaire avec des sous-traitants ou des partenaires situés en dehors de la province.
Traitement des plaintes relatives à la protection des renseignements personnels
Pour faire valoir ses droits d’accès, de rectification ou de retrait du consentement, la personne concernée doit soumettre une demande écrite à cet effet au responsable de la protection des renseignements personnels du CJE-CEC à l’adresse courriel indiquée en Annexe 1.
Sous réserve des restrictions légales applicables, les personnes concernées peuvent retirer leur consentement à la communication ou à l’utilisation des renseignements recueillis. Il est cependant possible que nous ne puissions pas vous offrir tous nos services sans les renseignements personnels nécessaires.
Traitement des plaintes
Le traitement adéquat, uniforme et diligent des plaintes est une priorité au CJE-CEC. Toute personne insatisfaite du processus de collecte, d’utilisation, de communication ou de destruction de renseignements personnels peut déposer une plainte à la personne responsable de la protection des renseignements personnels.
Processus de traitement d’une plainte
Dans le cas où une plainte est déposée, la personne responsable de la protection des renseignements personnels doit suivre les étapes prévues à la Procédure de traitement d’une plainte (Annexe 3). Elle bénéficie de 30 jours pour le faire. Les étapes suivantes devront être suivies :
a) Réception de la plainte;
b) Analyse de la recevabilité;
c) Si la plainte est non recevable : lettre à la personne plaignante et arrêt du processus;
d) Si la plainte est recevable : lettre à la personne plaignante et enquête;
e) Enquête;
f) Résultat de l’enquête;
g) Avis écrit à la personne plaignante sur le résultat de l’enquête;
h) Mise en place des solutions.
La personne responsable prendra toutes les actions pour protéger au maximum les renseignements personnels détenus, traités et communiqués.
Mesures de sécurité
La personne responsable de la protection des renseignements personnels devra mettre en place des mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits pendant le processus de traitement des plaintes.
Ces mesures sont raisonnables compte tenu notamment de la sensibilité, de la finalité, de la quantité, de la répartition et du support des renseignements personnels.
Conservation des renseignements personnels
La responsable de la protection des renseignements personnels verra à la conservation des renseignements personnels. La conservation consiste en la période pendant laquelle sont conservés les renseignements personnels, sous quelque forme que ce soit, et ce, peu importe que les renseignements soient activement utilisés ou non.
Règles de conservation
Il s’agit spécifiquement :
- d’assurer la mise à jour et l’exactitude des renseignements personnels détenus au moment où ils sont utilisés pour une décision relative à la personne concernée;
- de mettre en place et respecter les mesures nécessaires pour assurer la sécurité des renseignements personnels;
- de conserver les renseignements personnels jusqu’à l’atteinte de la finalité pour laquelle ils ont été collectés ou selon les modalités déterminées par une loi;
- de conserver les renseignements personnels dans un endroit sécuritaire et prévu à cette fin;
- de permettre l’utilisation des renseignements personnels lorsque la finalité pour laquelle ils ont été collectés est accomplie, qu’avec le consentement de la personne concernée, sous réserve du délai prévu par la Loi ou par un calendrier de conservation établi par règlement du gouvernement.
Fin de la durée de conservation
À la fin de la durée de conservation des renseignements personnels, soit à l’arrivée de la finalité pour laquelle ils ont été collectés, le CJE-CEC s’assurera de :
- les détruire de manière sécuritaire et comme prévu à la présente politique;
ou
- les anonymiser (c’est-à-dire qu’ils ne permettent plus d’identifier la personne concernée ni d’établir un lien entre la personne concernée et les renseignements personnels), et ce de manière irréversible dans le but de les utiliser à des fins sérieuses et légitimes.
Temps de conservation
Le temps de conservation est la durée nécessaire à la réalisation des fins pour lesquelles il a été demandé ou celui prévu dans le document Temps de conservation des renseignements personnels.
Règles de destruction des renseignements personnels
Moment de la destruction
La personne responsable de la protection des renseignements personnels doit s’assurer que la destruction des renseignements personnels se fasse de manière sécuritaire. De plus, si le CJE-CEC désire garder les renseignements personnels, la personne responsable de la protection des renseignements personnels devra en assurer l’anonymisation et l’utilisation à des fins sérieuses et légitimes.
Méthodes de destruction
Une méthode de destruction est un processus qui permet de détruire de manière permanente et irréversible des renseignements personnels. Il peut s’agir de déchiqueter, formater, réécrire, destruction physique, broyage, démagnétisation, écrasement d’information. Les pratiques sont prévues au document Méthode de destruction de renseignements personnels.
Méthodes d’anonymisation
Une méthode d’anonymisation est un processus irréversible par lequel les renseignements personnels sont traités de manière à rendre impossible l’identification directe ou indirecte de la personne concernée.
Adoption et mise en application de la politique
La présente politique encadrant la gouvernance des renseignements personnels a été adoptée par voie de résolution par le conseil d’administration du CJE-CEC à sa séance régulière du 16 avril 2025. Elle entre en vigueur à cette date.
La personne responsable de la protection des renseignements personnels a la responsabilité d’interpréter et d’appliquer la politique. Pour le bon fonctionnement administratif du CJE-CEC et dans la mesure du maintien et du respect des politiques fixées par le conseil d’administration, la présente politique pourra être révisée ou modifiée dans le cadre de l’intégration de nouvelles mesures fixées par le conseil d’administration du CJE-CEC ou par toute instance gouvernementale, afin d’y apporter les changements et précisions qui paraîtront nécessaires après sa mise en application.
Toutes les personnes ont l’obligation de signaler à la direction générale, personne responsable de la protection des renseignements personnels, ou au conseil d’administration, selon le cas, tout manquement à la politique du CJE-CEC.
Madame Véronique St-Onge : Présidente
Madame Yaolin Lacroix : Secrétaire-trésorière
Annexe 1 — désignation et engagement de la personne responsable de la protection des renseignements personnels
En vertu de l’article 3.1 de la Loi sur la protection des renseignements personnels dans le secteur privé, toute personne qui exploite une entreprise est responsable de la protection des renseignements personnels qu’elle détient. Au sein du Carrefour Emploi des Collines (CJE-CEC), la direction générale veille à assurer le respect et la mise en œuvre de la présente Loi.
Elle exerce la fonction de responsable de la protection des renseignements personnels; elle peut déléguer cette fonction par écrit, en tout ou en partie, à toute personne. Ses coordonnées sont publiées sur notre site Internet : http://www.toncec.ca/
Nom de la personne responsable : Lyne Besner
Titre de la personne responsable : Directrice générale
Coordonnées : dg@toncec.ca | 819 457-4480
En cas d’absence de la personne responsable de la protection des renseignements personnels, veuillez communiquer avec :
Nom de la personne remplaçante : Véronique St-Onge
Titre de la personne remplaçante : Présidente
Coordonnées : soutien@legrenierdescollines.com
Par la présente, je déclare mon engagement à respecter et à faire respecter la présente politique et d’en assumer les responsabilités afférentes.
Lyne Besner : Direction générale
Madame Véronique St-Onge : Présidente du conseil d’administration
Annexe 2 — inventaire non exaustif des renseignements personnels collectés et leurs usages
| Relation avec le CEC | Type de renseignement personnel | Fin de collecte / Utilisation | Manière de recueillir les renseignements (moyens) |
| L’une ou l’autre de ces informations, lorsqu’elles sont nécessaires | Utilisés pour : | Peuvent être recueillis : | |
| Employés | – Nom, prénom – NAS – Adresse postale – Date de naissance – Courriel – Contact d’urgence – Évaluation annuelle – Numéro de REER – Coordonnées bancaires – Billet médical – Antécédents judiciaires – CV – Permis d’études ou de travail valide | – Administrer nos affaires et exécuter nos services ; – La gestion des communications avec l’employé ; – Assurer le fonctionnement du système de paie ; – Assurer la transmission d’informations financières et fiscales ; – Tout autre fin secondaire compatible ; – Répondre à nos obligations légales et règlementaires ; | – Par des moyens technologiques – En main propre – Par courriel |
| Bénévoles/Conseil d’administration | – Nom, prénom – Adresse postale – Courriel – Téléphone – Date de naissance – Pièce identité avec photo | Registraire | – Par courriel – En main propre – Par téléphone |
| Clientèle | – Nom, Prénom – Adresse postale (non collectée pour les moins de 18 ans) – Téléphone – Date de naissance – Courriel – NAS (non collecté pour les moins de 18 ans) – CV | – Livrer les services demandés par la clientèle ; – La gestion des communications avec le client ; – Tout autre fin secondaire compatible ; – Répondre à nos obligations légales et règlementaires ; | – Par des moyens technologiques – En main propre |
Annexe 3 — procédure de traitement d’une plainte
| Étapes | Délai | Interventions |
| [1] Réception de la plainte | Tout le processus d’enquête doit être terminé dans les 30 jours du dépôt de la plainte | Envoi d’un accusé de réception de la plainte |
| [2] Analyse de recevabilitéL’analyse de recevabilité consiste à déterminer si, dans la mesure où toutes ou une partie des allégations de la plainte s’avéraient exactes, c’est-à-dire démontrées par preuve prépondérante, que cela pourrait constituer un manque en rapport à la gouvernance des renseignements personnels. | L’objet de la plainte est en rapport avec les renseignements personnels.La plainte vise une pratique prévue dans la politique de gouvernance.L’analyse démontre que les faits reprochés pourraient constituer un manque en rapport avec la politique de gouvernance. | |
| [2.1] Si la plainte est non recevable | Envoi d’une lettre indiquant que la plainte n’est pas recevable | |
| [2.2] Si la plainte est recevable, enquête | Envoi d’une lettre indiquant le début de l’enquête | |
| [3] Enquête | Rédaction du rapport d’enquête | |
| [4] Résultat de l’enquête | Rédaction du rapport d’enquête | |
| [5] Avis écrit à la personne plaignante sur le résultat de l’enquête | Lettre indiquant le résultat de l’enquête et les modifications, selon le cas, qui seront mises en place | |
| [6] Mise en place des solutions | Mise en place de modifications |
