Politique de gouvernance des technologies de l’information et de la protection des renseignements personnels
1. Préambule
La présente politique vise à baliser l’utilisation par le CPS Les Passerelles des technologies de l’information et des renseignements personnels qui lui sont confiés, en conformité avec la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (loi 25).
Nous pouvons vous fournir de l’information complémentaire relativement au traitement de vos renseignements personnels, dans certains cas, au moment de recueillir vos renseignements personnels. Nous pouvons également obtenir votre consentement spécifique dans certains cas relativement à la collecte, l’utilisation, la communication et la conservation de vos renseignements personnels.
2. Objectifs de la politique
Par le biais de cette politique, le centre de pédiatrie sociale les Passerelles souhaite :
i. Protéger les renseignements personnels qui lui sont confiés;
ii. Optimiser l’utilisation sécuritaire des technologies de l’information dont elle fait usage;
iii. Respecter ses obligations légales, notamment face à la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels.
Cette politique est applicable aux Renseignements personnels recueillis, détenus, conservés, communiqués, utilisés ou détruits par le CPS Les Passerelles.
3. Responsable de la protection des renseignements personnels
La directrice générale du CPS Les Passerelles est responsable de de la protection des renseignements personnels de l’organisme. À tout moment, le conseil d’administration peut désigner un autre responsable par voie de résolution.
Le titre et les coordonnées du responsable de la protection des renseignements personnels doivent être publiés sur le site Internet du CPS Les Passerelles.
4. Incidents de confidentialité
En cas d’incident de confidentialité impliquant un renseignement personnel, le CPS Les Passerelles a le devoir de:
i. Prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé aux personnes concernées et éviter que de nouveaux incidents de même nature ne se produisent;
ii. Aviser la Commission et la personne concernée si l’incident présente un risque de préjudice sérieux;
iii. Tenir un registre des incidents (Annexe A) dont une copie devra être transmise à la Commission à sa demande.
5. Inventaire des renseignements personnels
Le CPS Les Passerelles tient à jour un inventaire des renseignements personnels (Annexe B) qu’il collecte ou conserve et y inscrit son évaluation du degré de sensibilité.
Est un renseignement personnel, tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l’identifier.
6. Collecte et utilisation des renseignements personnels
Le CPS Les Passerelles limite la collecte de renseignements exclusivement à ceux qui sont nécessaires dans l’exercice courant de ses opérations.
Le CPS Les Passerelles informe toute personne dont il recueille les renseignements personnels de l’utilisation qu’il compte en faire et lui en demande l’autorisation via un formulaire au moyen duquel la collecte de renseignements est effectuée. Le CPS informe la personne concernée et obtient son consentement pour toute collecte, utilisation ou communication de renseignements personnels la concernant, sous réserve de certaines exceptions prévues par la Loi. Le consentement peut aussi être donné par un représentant autorisé.
Le consentement doit être manifeste, libre, éclairé, donné à des fins spécifiques et ne doit pas être obtenu par un subterfuge
Chaque personne qui en fait la demande peut recevoir la liste des renseignements personnels que le CPS Les Passerelles détient sur elle dans un délai de 30 jours après en avoir fait la demande écrite.
Nous pouvons également recueillir des informations relatives aux visites du site web par le biais de cookies. Ces données peuvent être utilisées pour analyser les tendances, gérer le site web, analyser l’activité des utilisateurs et/ou collecter des informations démographiques sur les visiteurs de notre site web. Les cookies ne peuvent vous identifier que par un numéro ; les informations concernant votre nom, votre adresse ou toute autre information susceptible de vous identifier ne peuvent être collectées.
7. Fin pour laquelle s’effectue la collecte de vos renseignements personnels
• Pour vous fournir nos services;
• Pour gérer notre relation avec vous et la prestation de notre service à la clientèle;
• Pour vous identifier dans notre système;
• Pour répondre aux questions que vous envoyez par l’intermédiaire du Site Internet, par courriel ou par téléphone;
• Pour vous contacter à des fins de collecte de fonds;
• Pour faciliter et traiter votre inscription à certains ateliers, événements et services;
• Pour remettre des reçus aux fins de l’impôt, le cas échéant;
• Pour faire le suivi des communications avec vous;
• Toute autre fin permise ou exigée par la loi :
• Pour percevoir le paiement de vos dons en ligne. Nous utilisons la plateforme Zeffy pour le faire. Politique de confidentialité (zeffy.com)
8. Transmission des renseignements personnels
Toute transmission de renseignements personnels doit d’abord faire l’objet d’une autorisation écrite de la personne concernée, à moins d’en avoir obtenu l’autorisation au moment de la collecte de renseignements (point 8.).
9. Conservation des renseignements personnels
Le CPS Les Passerelles conserve les renseignements personnels dont il dispose sur des plateformes technologiques sécurisées répondant à des standards de sécurité élevés, soit principalement :
i. Office 365
ii. Base de données Myle (DMÉ)
L’accès à ces plateformes doit être protégé par mot de passe.
La base de données MYLE est administrée par la compagnie MEDFAR laquelle est certifiée par plusieurs ministères, dont le MSSS. C’est MEDFAR qui administre le DMÉ MYLE pour la Fondation Dr Julien. À ce titre, la compagnie s’est engagée auprès de la Fondation, à se conformer à la législation applicable au Québec et au Canada, notamment celle liée à la protection des données personnelles.
MEDFAR s’engage notamment à :
• ce que tous les sites utilisés pour les services d’hébergement soient situés dans la province du Québec ;
• héberger les données dans au moins deux sites d’hébergement éloignés géographiquement l’un de l’autre, sur le territoire Canadien, afin d’assurer la sécurité et la redondance des données ;
• ce que les sites d’hébergement soient sécurisés selon les normes reconnues de l’industrie concernant l’hébergement des données du domaine de la santé au Québec, notamment selon les normes des Services de santé et services sociaux du Québec et les critères du Réseau de télécommunication socio-sanitaire du Québec (RTSS), notamment quant à sa sécurité et sa performance ;
• à élaborer, mettre en place, exploiter et gérer un mécanisme, pouvant inclure des processus et des technologies, destinés à détecter et à surveiller les accès non autorisés au système, ainsi que l’utilisation et la communication non autorisée des actifs informationnels.
Par ailleurs, la Fondation a un accès très restreint aux données des enfants via DMÉ MYLE, et à des fins limitées. Elle se conforme à la législation applicable en matière de protection des données personnelles et met en place les mesures nécessaires en termes de sécurité des accès et des infrastructures internes.
10. Liens vers d’autres sites Internet
Notre site Internet peut contenir certains liens vers d’autres sites ou ressources Internet, notamment ceux qui appartiennent à nos commanditaires, partenaires ou collaborateurs. Quand vous cliquez sur l’un de ces liens, vous entrez en contact avec un autre site Web ou une autre ressource Internet qui peuvent recueillir des renseignements à votre sujet de façon volontaire ou par l’intermédiaire de témoins ou autres technologies. Nous ne sommes pas responsables des pratiques de protection de la vie privée ou du contenu de tout site dont le propriétaire-exploitant est une tierce partie. Ces autres sites pouvant recueillir et traiter les renseignements recueillis différemment, nous vous encourageons à passer en revue et lire attentivement la politique sur la protection des renseignements personnels de chaque site que vous visitez.
11. Détails concernant l’utilisation de votre carte de crédit sur notre site Internet
Si vous faites un paiement par carte de crédit par l’intermédiaire de la plateforme ZEFFY de notre site Internet, nous demandons les renseignements qui sont raisonnablement nécessaires pour compléter le traitement de la transaction. Les renseignements que vous fournissez pour un paiement unique, tels que les numéros de cartes de crédit et leurs codes de sécurité, le nom qui figure sur ces cartes de crédit et les dates d’expiration, sont transmis directement de vous à la société de traitement des cartes de crédit.
Politique de confidentialité (zeffy.com)
12. Matériel
Les employé.es du CPS Les Passerelles sont tenus d’utiliser les ordinateurs du CPS pour toute opération impliquant l’utilisation de renseignements personnels détenus par le CPS. L’accès à ces ordinateurs doit être protégé au moyen d’un mot de passe.
Le CPS Les Passerelles assure la sécurité de ses équipements informatiques au moyen :
i. D’un logiciel antivirus EPDR;
Chaque employé du CPS est tenu d’effectuer une analyse antivirus mensuelle complète de chaque ordinateur dont il a la responsabilité.
13. Confidentialité
Chaque employé.e du CPS Les Passerelles est tenu de signer un engagement de confidentialité (Annexe C) à l’embauche.
14. Politique de traitement des plaintes
Toute plainte reçue en lien avec la présente politique sera traitée en conformité avec la Politique de traitement des plaintes du CPS Les Passerelles.
15. Transparence
La présente politique doit être publiée sur le site Internet du CPS Les Passerelles.
16. Révision
La présente politique doit être adoptée par le conseil d’administration et révisée sur un cycle de cinq (5) ans.
Votre consentement aux dispositions de la présente politique sur la protection des renseignements personnels
Lorsque vous utilisez nos Services et que vous nous fournissez vos renseignements personnels, vous consentez à ce que le CPS Les Passerelles puisse recueillir vos renseignements personnels et vous consentez sciemment à la collecte, à l’utilisation, à la divulgation et au transfert de vos renseignements personnels conformément à la présente politique sur la protection des renseignements personnels. Si vous n’acceptez pas la présente politique sur la protection des renseignements personnels, veuillez ne pas utiliser les services ou de ne fournir aucun renseignement personnel. Si vous ne comprenez pas la nature, l’objet et les conséquences de la collecte, l’utilisation et la divulgation de vos renseignements personnels du CPS Les Passerelles nous vous prions de ne pas utiliser les services, de ne fournir aucun renseignement personnel et de communiquer avec nous selon les coordonnées précisées ci-dessous afin que nous puissions répondre à vos questions ou préoccupations.
Sous réserve des exigences légales et contractuelles, vous pouvez refuser ou retirer votre consentement à certaines des fins identifiées dans la présente politique sur la protection des renseignements personnels en tout temps, en communiquant avec nous selon les coordonnées précisées ci-dessous. Si vous refusez ou retirez votre consentement, vous reconnaissez que le CPS Les Passerelles peut ne pas être en mesure de vous fournir ou de continuer à vous fournir certains services ou renseignements qui pourraient vous être utiles.
Pour nous joindre
Si vous avez des questions, des commentaires ou des préoccupations quelconques concernant cette politique sur la protection des renseignements personnels, ou si vous choisissez l’une ou l’autre des options suivantes :
• Consulter les renseignements personnels que vous nous avez fournis pour en vérifier l’exactitude, en faire la mise à jour ou les supprimer de nos dossiers;
• Demander que nous cessions d’envoyer des communications électroniques ou tout autre contact avec vous;
• Signaler toute violation de la présente politique sur la protection des renseignements personnels.
Veuillez communiquer avec la responsable de la protection des renseignements personnels comme suit :
CPS Les Passerelles, A/S Valérie Poulin, 129-A, 1re avenue St-Martin G0M1B0
Adresse courriel : direction@cpslespasserelles.com
Téléphone : 418-230-2820
Entrée en vigueur
Cette politique de gouvernance des technologies de l’information et sur la protection des renseignements personnels entre en vigueur le 2 novembre 2023.