Politique sur la protection des renseignements personnels au sein de Pavillon des arts et de la culture de Coaticook
-
Objectif
1.1. La présente Politique sur la protection des renseignements personnels encadre le traitement des renseignements personnels au sein du Pavillon des arts et de la culture de Coaticook (ci-après : l’« Entreprise ») et favorise les bonnes pratiques en la matière.
1.2. L’Entreprise reconnaît l’importance de la protection des renseignements personnels et se préoccupe de la façon dont elle traite ces renseignements. Elle s’engage donc à ne recueillir, utiliser, communiquer et conserver que les renseignements personnels nécessaires à l’exercice de ses activités et dans le cadre de ses affaires.
2. Champ d’application
2.1. La présente politique vise tous les renseignements personnels détenus par l’Entreprise dans le cadre de ses activités au sens de la Loi sur la protection des renseignements personnels dans le secteur privé[1] ainsi que des autres lois et règlements applicables en matière de protection des renseignements personnels (collectivement désignés, la « Loi »), notamment ceux relatifs à l’identité, à la santé, à la situation sociale ou familiale, à l’emploi, aux renseignements de nature financière, à la formation ou à l’éducation des individus concernés (ci-après : un « Renseignement personnel »).
2.2. Sans limiter la généralité de ce qui précède, la présente politique vise tant les Renseignements personnels qui concernent les membres du personnel de l’Entreprise que ceux relatifs à sa clientèle, ses fournisseurs et partenaires.
2.3. La personne responsable de l’application de la présente politique est le responsable de la protection des renseignements personnels :
Direction générale du Pavillon des arts et de la culture de Coaticook
direction@pavillondesarts.qc.ca
(ci-après : le « Responsable de la protection des renseignements personnels »)
3. Mesures de sécurité
3.1. Les Renseignements personnels détenus par l’Entreprise sont conservés dans des endroits sécurisés, selon les pratiques généralement reconnues, et l’accès à ces Renseignements personnels est limité aux seuls membres du personnel de l’Entreprise qui le requièrent aux fins de l’exercice de leurs fonctions.
3.2. Les membres du personnel de l’Entreprise sont également conscients de l’importance d’assurer la sécurité et la confidentialité de tous les Renseignements personnels qu’elle détient et suivent des procédures qui protègent la confidentialité des Renseignements personnels et favorisent les meilleures pratiques en la matière.
3.3. L’Entreprise veille à la protection des renseignements personnels dès leur collecte et implante des mesures de sécurité ayant pour objectif de les protéger contre un usage non conforme à la législation en vigueur, à éviter les pertes accidentelles, les modifications, divulgations ou accès non autorisés, un mauvais usage ou toute forme illégale d’utilisation.
4. Collecte de Renseignements personnels
4.1. Dans le cours normal de ses activités, et dans le cadre de ses affaires, l’Entreprise doit recueillir des Renseignements personnels.
4.2. L’Entreprise ne recueille que les Renseignements personnels nécessaires à ces fins.
4.3. Sauf lorsqu’autrement consenti, l’Entreprise collecte des Renseignements personnels de l’un ou l’autre des moyens suivants :
4.3.1. Auprès de la personne concernée
4.3.2. Lors de ses interactions avec la personne concernée, incluant notamment via son site Web
4.3.3. Auprès titulaire de l’autorité parentale ou du tuteur.
4.4. Il est possible que l’Entreprise recueille des Renseignements personnels en ayant recours à une technologie comprenant des fonctions permettant de l’identifier, de la localiser ou d’effectuer un profilage.
4.5. Dans cette optique, l’Entreprise s’assure d’informer la personne concernée:
4.5.1. Du recours à une telle technologie;
4.5.2. Des moyens offerts pour activer les fonctions permettant d’identifier, de localiser ou d’effectuer un profilage.
4.6. Aux fins du paragraphe 4.4 des présentes, le profilage s’entend de la collecte et de l’utilisation de Renseignements personnels afin d’évaluer certaines caractéristiques d’une personne, notamment à des fins d’analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de cette personne.
5. Utilisation de Renseignements personnels
5.1. Par le biais de la présente politique, l’Entreprise veille à ce que les personnes concernées par les Renseignements personnels comprennent les fins pour lesquelles leurs renseignements personnels sont collectés.
5.2. Avec le consentement de la personne concernée ou, le cas échéant, en application de la Loi, l’Entreprise utilise les Renseignements personnels aux fins suivantes :
5.2.1. Auprès de la clientèle :
5.2.1.1. Procurer des services de divertissement au client;
5.2.1.2. Identifier et assurer la prestation continuelle de services de qualité.
5.2.1.3. Assurer et faciliter la communication avec le client;
5.2.1.4. Communiquer avec d’autres fournisseurs ou organismes, le cas échéant, pour la prestation des services;
5.2.1.5. Assurer et favoriser le suivi de la facturation et du recouvrement;
5.2.1.6. Respecter toutes les autres exigences obligatoires prescrites par une autorité gouvernementale;
5.2.1.7. Exercer des activités administratives et de gestion, notamment la planification de l’affectation des ressources, la production de rapports ou des évaluations;
5.2.1.8. À des fins de développement (y compris du point de vue de la sécurité);
5.2.1.9. À toutes autres fins pouvant être précisées avant ou au moment de la collecte des Renseignements personnels;
5.2.1.10. À toutes autres fins exigées ou permises par la Loi;
5.2.1.11. À des fins compatibles à celles qui précèdent.
5.2.2. Auprès de ses employés, fournisseurs et partenaires :
5.2.2.1. À des fins de recrutement (traitement des demandes d’emploi et évaluation du profil d’un candidat en vue de son embauche au sein de l’Entreprise);
5.2.2.2. Assurer et faciliter la communication avec l’employé, le fournisseur ou le partenaire;
5.2.2.3. Assurer et favoriser le suivi de la rémunération, de la facturation et du recouvrement;
5.2.2.4. Exercer des activités administratives, disciplinaires et de gestion;
5.2.2.5. À des fins de marketing et de développement des affaires;
5.2.2.6. Communiquer avec d’autres fournisseurs ou organismes, le cas échéant, pour la prestation des services;
5.2.2.7. Respecter toutes les autres exigences obligatoires prescrites par une autorité gouvernementale;
5.2.2.8. À des fins de développement (y compris du point de vue de la sécurité);
5.2.2.9. À toutes autres fins pouvant être précisées avant ou au moment de la collecte des Renseignements personnels;
5.2.2.10. À toutes autres fins exigées ou permises par la Loi;
5.2.2.11. À des fins compatibles à celles qui précèdent.
6. Communication de Renseignements personnels
6.1. Aux fins exigées ou permises par la Loi, l’Entreprise peut fournir des Renseignements personnels à ses fournisseurs de services ainsi qu’à ses partenaires.
6.2. L’Entreprise peut également partager des Renseignements personnels avec certains tiers, notamment les suivants :
6.2.1. Des tiers fournisseurs de service;
6.2.2. Les autorités gouvernementales et des organismes d’application de la loi lorsque les lois applicables l’exigent.
6.3. Dans cette optique, l’Entreprise s’engage à limiter les Renseignements personnels qu’elle fournit aux tiers aux seuls renseignements qui sont raisonnablement nécessaires pour leur permettre de s’acquitter de leurs fonctions.
6.4. Il est possible que les Renseignements personnels soient communiqués à l’extérieur du Québec.
6.5. Avant de communiquer à l’extérieur du Québec un Renseignement personnel, l’Entreprise s’assure que les Renseignements personnels bénéficieront d’une protection adéquate en procédant à une évaluation des facteurs relatifs à la vie privée, en tenant compte des éléments suivants :
6.5.1. La sensibilité du renseignement;
6.5.2. La finalité de son utilisation;
6.5.3. Les mesures de protection, y compris celles qui sont contractuelles, dont le renseignement bénéficierait;
6.5.4. Le régime juridique applicable dans l’État où ce renseignement serait communiqué, notamment les principes de protection des renseignements personnels qui y sont applicables.
6.6. Les contrats que l’Entreprise conclut avec ses fournisseurs de services exigent d’eux qu’ils préservent la confidentialité des Renseignements personnels et prévoient, notamment, l’obligation des tiers à respecter le cadre juridique applicable à l’Entreprise en matière de protection des renseignements personnels et de la vie privée.
6.7. Un consentement sera demandé aux personnes concernées par les Renseignements personnels si l’Entreprise doit communiquer à des tiers des Renseignements personnels qui ne sont pas en lien avec ses opérations courantes et ses activités ou qui sont incompatibles avec les fins pour lesquelles ils ont été recueillis.
6.8. La personne concernée peut retirer son consentement à la communication ou à l’utilisation de Renseignements personnels recueillis par l’Entreprise.
7. Conservation et destruction de Renseignements personnels
7.1. L’Entreprise ne conserve les Renseignements personnels que pour la durée nécessaire aux fins prévues dans la présente politique et/ou pour se conformer à ses obligations légales et réglementaires.
7.2. À cet égard, l’Entreprise se dote d’un calendrier de conservation des Renseignements personnels conforme à ses obligations.
7.3. À l’expiration du délai de conservation des Renseignements personnels, l’Entreprise assure la destruction physique et technologique ou l’anonymisation de ceux-ci, selon les meilleures pratiques en la matière.
8. Rectification ou accès aux Renseignements personnels
8.1. L’Entreprise s’efforce d’assurer l’exactitude des Renseignements personnels et d’en assurer la mise à jour.
8.2. Advenant des changements concernant les Renseignements personnels de ses employés, clients, fournisseurs et partenaires, l’Entreprise escompte en être avisée sans délai.
8.3. À la demande de la personne concernée, l’Entreprise confirme, le cas échéant, l’existence d’un dossier sur celle-ci.
8.4. La personne concernée, ou son représentant, le cas échéant, peut adresser une demande d’accès ou de rectification à l’Entreprise. Cette demande ne sera considérée par l’Entreprise que si elle est faite par écrit par une personne justifiant de son identité.
8.5. Le Responsable de la protection des renseignements personnels au sein de l’Entreprise s’assure de répondre par écrit à la demande d’accès ou de rectification, au plus tard dans les 30 jours de la date de réception de la demande.
8.6. Le cas échéant, la personne concernée qui souhaite obtenir une transcription, reproduction ou transmission des Renseignements personnels contenus à son dossier sera préalablement avisée des frais y afférents.
9. Incident de confidentialité impliquant des Renseignements personnels
9.1. Advenant un incident de confidentialité ou en cas de doute sur la survenance d’un tel incident, l’Entreprise s’assure de respecter une série d’étapes prévues à son Plan de gestion des incidents de confidentialité impliquant des renseignements personnels, afin de prendre les moyens pour protéger les Renseignements personnels impliqués, mitiger les risques de préjudice et d’en limiter les conséquences.
9.2. Constitue un incident de confidentialité :
9.2.1. L’accès non autorisé par la Loi à un Renseignement personnel;
9.2.2. L’utilisation non autorisée par la Loi à un Renseignement personnel;
9.2.3. La communication non autorisée par la Loi à un Renseignement personnel;
9.2.4. La perte d’un Renseignement personnel ou toute autre atteinte à la protection d’un Renseignement personnel.
- Un incident de confidentialité peut résulter d’une atteinte dont la source est à l’interne (c’est-à-dire, provenant d’un employé de l’Entreprise) ou à l’externe (c’est-à-dire, provenant d’une entité ou personne distincte de l’Entreprise).
10. Évaluation des facteurs liés à la vie privée
10.1. Advenant la conception, le développement ou l’exploitation d’un projet ou d’une initiative impliquant des Renseignements personnels ou risquant d’avoir une incidence sur le respect de la vie privée des personnes, l’Entreprise procèdera, conformément aux exigences de la Loi, à l’évaluation des facteurs liés à la vie privée (ci-après : l’« EFVP »).
10.2. À titre d’exemples, les projets suivants nécessitent que l’Entreprise procède à une EFVP:
10.2.1. Développer un nouveau système d’information ou une technique de personnalisation d’un produit ou d’un service;
10.2.2. Chercher une nouvelle clientèle, explorer de nouveaux marchés;
10.2.3. Faire appel à un système d’algorithme ou d’intelligence artificielle;
10.2.4. Installer un système de vidéosurveillance;
10.2.5. Comparer différentes versions de bases de données ou de fichiers;
10.2.6. Acquérir ou fusionner des organisations;
10.2.7. Utiliser des empreintes digitales, la géolocalisation, un système de reconnaissance faciale, des objets connectés, etc.
10.3. L’EFVP vise à mieux protéger les renseignements personnels et à mieux respecter la vie privée des personnes physiques.
10.4. Lorsque requise, l’Entreprise s’assure de procéder à l’EFVP selon les documents élaborés à l’interne et les processus de l’Entreprise.
11. Interrogations et préoccupations liées à la confidentialité
11.1. Toutes questions ou préoccupations concernant la façon dont l’Entreprise traite les renseignements personnels au cours de leur cycle de vie au sein de l’entreprise peut être adressée au Responsable de la protection des renseignements personnels au sein de l’Entreprise.
12. Plaintes liées à la confidentialité
12.1. Pour formuler une plainte quant au non-respect des procédures de traitement des Renseignements personnels, une personne peut s’adresser au Responsable de la protection des Renseignements personnels.
12.2. Dans ce contexte, l’Entreprise s’assure de respecter une série d’étapes prévues à sa Procédure de traitement des plaintes, afin de traiter la plainte de façon équitable.
13. Mise à jour de la présente politique
13.1. L’Entreprise révise, à l’occasion, ses politiques et procédures. Ainsi, l’Entreprise peut modifier, sans préavis, sa Politique sur la protection des renseignements personnels.
[1] RLRQ c. P-39.1