FONDATION PAUL GÉRIN LAJOIE

PREAMBULE 

Cette politique de gouvernance et de conservation des renseignements personnels découle de l’application de la Loi 25 sur la modernisation des dispositions législatives en matière de protection des renseignements personnels et vise à encadrer les règles internes de la Fondation Paul Gérin-Lajoie en matière de protection des renseignements personnels, ainsi que les droits dont les personnes concernées par la récolte de renseignements personnels de la part de la Fondation disposent.

La présente politique s’applique à l’ensemble de la Fondation Paul Gérin-Lajoie, ici appelée « la Fondation ». Elle décrit les normes de collecte, d’utilisation, de communication, de conservation et de destruction des renseignements personnels afin d’assurer la protection de ceux-ci. Elle détermine également le processus d’incident de confidentialité et de traitement des plaintes relatives à la protection des renseignements personnels. 

RENSEIGNEMENTS PERSONNELS

Dans le cadre de ses activités, la Fondation peut recueillir et traiter différents types de renseignements personnels. Les renseignements personnels recueillis sont uniquement ceux nécessaires à l’exercice de ses attributions ou la mise en œuvre d’un projet dont elle a la gestion. 

Les renseignements récoltés peuvent être (liste non exhaustive) : 

• Les renseignements d’identité, tels que le nom, prénom, la date de naissance, etc.
• Les coordonnées de contact, adresse postale, courriel, téléphone, etc.
• Le numéros d’identifications, le numéro d’assurance sociale, carte d’identité, permis de conduire, le visa de travail ou de citoyenneté, les antécédents judiciaires, 
• Les éléments permettant de gérer les séjours internationaux des coopérants volontaires ou des personnes employées ou bénévoles, tels que le numéro de passeport, visas, état vaccinal, état de santé, couverture d’assurance, etc. 
• Les renseignements personnels liés à l’inscription d’un enfant à la dictée P.G.L., ainsi que les coordonnées des parents ou des personnes ayant l’autorité parentale et de la personne enseignante pour les contacter, 
• Les éléments permettant de gérer les l’organisation de repas tels que les allergies ou les restrictions alimentaires, etc.
• Les renseignements permettant d’administrer les dons reçus, d’émettre des reçus fiscaux, et de remercier les contributions des personnes donatrices, tel que les renseignements bancaires, les données de cartes de débit et crédit, etc.
• Les éléments liés au recrutements tels que la scolarité, formations, les diplômes, les expériences précédentes et précédents employeurs, etc. 
• Tout autre renseignement personnel nécessaire aux activités de la Fondation ou demandés par les organisations partenaires ou bailleurs de fonds. 

 

Cycle de vie d’un renseignement personnel :

Evaluation des facteurs relatifs à la vie privée (ÉFVP)

La Fondation doit procéder à une évaluation des facteurs relatifs à la vie privée (ÉFVP) pour tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant des renseignements personnels. 

L’évaluation des facteurs relatifs à la vie privée réalisée devra être proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support.

UTILISATION DES RENSEIGNEMENTS PERSONNELS

La Fondation prend les mesures nécessaires pour s’assurer de respecter les paramètres suivants :

• S’assurer que les renseignements personnels recueillis sont adéquats, pertinents, non excessifs et utilisés à des fins limitées, 
• D’informer la personne concernée, au moment de la collecte des fins auxquelles les renseignements sont recueillis,
• Utiliser les renseignements personnels dans l’objectifs pour lesquels ils ont été recueillis et obtenir un nouveau consentement pour les utiliser à d’autres fins,
• Du caractère obligatoire ou facultatif de la demande, 
• Limiter l’accès des renseignements personnels récoltés aux seules personnes participantes à leur traitement, leur analyse ou leur utilisation, nécessaires à l’exercice de leurs fonctions,
• Mettre en place des mesures de sécurité visant à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits,
• Des droits d’accès et de rectification prévus par la loi, 
• De la possibilité que les renseignements personnels soient communiqués à l’extérieur du Québec ou à des tiers (pour permettre leur traitement uniquement), le cas échéant. 

 

CONSENTEMENT ET COLLECTE DES RENSEIGNEMENTS PERSONNELS

Lors de la récolte de votre consentement, la Fondation documentera les fins pour lesquelles les renseignements personnels sont récoltés.

Plusieurs moyens permettront de récolter le consentement d’une personne à la récolte de ses renseignements personnels : 

• Un formulaire de consentement (Annexe 1) dans le cadre d’une récolte de renseignements personnels, les informations liées à votre consentement seront présentées de manière à être distinct des autres paragraphes du document, en langage clair et simple, et facilement accessible,
• Une case à cocher permettant d’accepter expressément la récolte et l’utilisation des données personnelles, 
• De façons plus exceptionnelles, lorsque le moyen écrit ne peut être utilisé, de façon orale le cas échéant, 

Dans certaines circonstances particulières, la Fondation peut recueillir, utiliser ou divulguer des renseignements personnels sans que la personne concernée n’ai pu en être informée ou qu’elle n’ait donné son consentement préalable, notamment pour des raisons règlementaires, légales, juridiques, médicales, lié à la sécurité, ou lorsque cette utilisation est manifestement au bénéfice d’une personne, pour prévenir ou détecter une fraude ou pour tout autre motif sérieux.

Le consentement peut être retiré à tout moment en communiquant avec la personne responsable des renseignements personnels (voir ci-après). 

PROTECTION DES RENSEIGNEMENTS PERSONNELS

La Fondation met en place les mesures de sécurité appropriées et raisonnables afin de protéger les renseignements personnels contre la perte, le vol, la divulgation, la copie ou l’utilisation de ceux-ci. 

Seuls les membres du personnel, et les organisations sont impliqués dans le traitement des renseignements personnels tels que les organismes prestataires externes, personnes consultantes, partenaires, bailleurs de fonds, etc. 

Les personnes ayant accès à des renseignements personnels au sein de la Fondation s’engagent à : 

• Faire les efforts pour éviter tout risque de divulgation non intentionnelle de renseignements personnels, 
• Prendre les précautions particulières pour s’assurer que les renseignements personnels ne soient pas consultés, perdus ou volés, par des personnes n’en ayant pas l’autorisation, 

Les tiers ayant accès aux renseignements personnels sont soumis à une entente de confidentialité et sont informés de la politique de gouvernance et de conservation des renseignements personnels et liés par une entente de confidentialité. 

La sécurité informatique d’accès à l’information est assurée au sein de la Fondation et assure la mise la mise en place des mesures de protection des renseignements personnels et applique les mesures de protection appropriées à toute menace ou à tout incident de sécurité de l’information. Les serveurs informatiques sont hébergés au siège social de la Fondation, situé à Québec, dans un lieu physique verrouillé avec accès contrôlé. 

La personne responsable des renseignements personnels

La personne assumant ce rôle a la délégation de pouvoir de la part de la Direction Générale, cette personne est notamment responsable de : 

• Recevoir et traiter les demandes d’accès et de rectification en respect de la protection des renseignements personnels et de la confidentialité, 
• Recevoir les incidents de confidentialité et les traiter en lien avec la Commission d’accès à l’information, 
• Recevoir les plaintes mettant en cause la protection des renseignements personnels, et les traiter en lien avec la Commission d’accès à l’information, 
• Tenir à jour l’inventaire des renseignements personnels recueillis et le registre des incidents de confidentialités

Il est possible de joindre la personne Responsable des renseignements personnels par les moyens suivants : 

Par courrier : Fondation Paul Gérin-Lajoie – personne Responsable des renseignements personnels
465, rue Saint-Jean, bureau 900, Montréal QC H2Y 2R6
Par courriel : responsablerp@fondationpgl.ca
Par téléphone : +514 288 3888 

CONSERVATION ET DESTRUCTION DES DONNEES 

La Fondation conserve les renseignements personnels qu’elle détient pour le temps nécessaire aux fins pour lesquels ils ont été récoltés conformément à son calendrier de conservation, sauf autorisation ou exigence particulière d’un projet ou de la règlementation applicable. 

Certains documents et informations doivent être conservés pendant une durée prescrite lié aux projets menés, dans le cadre des règlementations données notamment par les bailleurs de fonds. 

La Fondation met en œuvre les mesures techniques et organisationnelles appropriées pour s’assurer que seules les données personnelles nécessaires soient conservées et de détruire, de manière sécuritaire, ou d’anonymiser le cas échéant, dès que la finalité pour laquelle elles ont été collectées est accomplie, sous réserve du délai de conservation des données prévues par la loi ou les règlements fiscales. 

Lorsque la Fondation procède à la destruction de données ou de documents contenant des renseignements personnels, elle s’assure de prendre les mesures de protection nécessaires visant à assurer la confidentialité de ceux-ci, en fonction du type de document et des méthodes de conservation : 

Documents papiers et dossiers physiques 

Selon la nature des documents, des renseignements personnels peuvent être conservés dans les bureaux de la Fondation. Avant de détruire un document, la personne qui s’en charge doit au préalable prendre les mesures requises pour que tout renseignement personnel au dossier soit détruit définitivement, notamment par déchiqueteuse et/ou incinération. 

Documents informatiques

Les renseignements personnels contenus dans des documents informatiques sont stockés sur le serveur informatique de la Fondation, et/ou sur un serveur cloud. Un archivage et destruction de documents informatiques est fait régulièrement selon les délais de conservation prévus.  

Médias numériques (carte de mémoire, cartes SD, clé USB, CD, disques durs, etc.)

Pour la destruction d’informations personnelles sur des médias numériques, il est nécessaire d’effectuer un formatage du médias permettant une réécriture et réutilisation ultérieure du média lorsque cela est possible, ou destruction physique du matériel le cas échéant. 

TIERS PRESTATAIRE

Lorsqu’un traitement de données personnelles est effectué pour le compte de la Fondation par un tiers prestataire, celui-ci peut être localisé dans une province extérieure au Québec, ou un pays autre que le Canada. la Fondation fera uniquement appel à des tiers prestataires qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, de manière à ce que le traitement soit conforme aux exigences légales et réglementaires applicables et assure ainsi la protection des données personnelles. 

Le traitement par un tiers prestataire sera régi par un contrat qui lie le tiers prestataire à l’égard de la Fondation et qui définit l’objet, la durée, la nature et les fins du Traitement, le type de Données personnelles et les catégories de personnes ainsi que les obligations et droits de la Fondation. Tous les fournisseurs de la Fondation signent et acceptent un engagement de non-divulgation concernant toutes des données personnelle, et s’engagent à ne pas communiquer à des tiers, directement ou indirectement, les informations protégées de la Fondation, y compris les données personnelles.

Un tiers prestataire n’engagera pas un autre tiers prestataire sans l’autorisation écrite préalable, spécifique ou générale, de la Fondation, si tel est le cas, les mêmes obligations en matière de protection des données que celles fixées dans le contrat entre la Fondation et le tiers prestataire seront imposées à cet autre prestataire au moyen d’un contrat. La Fondation peut transférer des données personnelles à des tiers prestataires tels que des prestataires de services de traitement de paiement. 

DROIT D’ACCES, DE RECTIFICATION ET A LA DESINDEXATION 

La loi sur les renseignements personnels permet un droit de regard, à la rectification, ou de destruction des données qu’une organisation aurait récolté à son égard.  En conformité avec la règlementation, toute personne peut faire une demande pour avoir un droit d’accès ou de rectification aux renseignements personnels détenus à son égard par la Fondation, sous réserve des exceptions prévues par la Loi.

Cette demande doit être adressée à la personne responsable des renseignements personnels par écrit, avec justification d’identité à titre de personne concernée ou à titre de personne représentante autorisée ou de la part d’un organisme autorisé à recueillir le renseignement ou à une organisation gouvernementale. La demande doit fournir suffisamment d’indications précises pour qu’elle puisse être traitée. 

La personne responsable des renseignements personnels doit répondre à la demande dans les 30 jours de la date de réception. Il est possible de prolonger le délai de réponse pour une période n’excédant pas les quinze jours donnant information à la personne requérante. 

La Fondation prendra les mesures raisonnables et nécessaires pour réindexer ou désindexer les renseignements personnels des moteurs de recherche ou d’autres plateformes de recherche en ligne, conformément à la loi.

INCIDENT DE CONFIDENTIALITE ET TRAITEMENT DES PLAINTES

Lorsque la Fondation a les raisons de croire qu’un incident de confidentialité correspondant à un accès non autorisé par la loi à un renseignement personnel, à son utilisation ou à sa communication, de même que sa perte ou toute autre forme d’atteinte à sa protection, elle prend les mesures raisonnables pour stopper les risques qu’un préjudice soit causé et éviter que de nouveaux incidents se produisent. 

Lorsqu’un incident de confidentialité se produit, la Fondation procède à : 

• Une identification de l’origine de l’incident de confidentialité, de la date de survenance et sa durée, des personnes concernées par l’incident, du type de données personnelles visées, etc.
• Inscrit l’évènement au registre des incidents de confidentialité interne et l’évènement est suivi par la personne responsable des renseignements personnels de la Fondation, 
• Avise par écrit la ou les personnes concernées indiquant l’origine et les mesures de corrections faites, 
• Une évaluation du préjudice tenant compte de la sensibilité des renseignements personnels concernés, de l’utilisation malveillante possible et des conséquences appréhendées de l’utilisation et de la probabilité qu’ils soient utilisés à des fins préjudiciables,
• Lorsque l’incident présente un préjudice sérieux, eu égard à l’évaluation du préjudice effectué, la Fondation avise par écrit la Commission d’accès à l’information via le formulaire prescrit par celle-ci,

Les renseignements contenus dans le registre des incidents de confidentialité sont tenus à jour et conservés pendant une période minimale de cinq ans après la date de l’incident. 

Toute personne concernée par l’application de la présente politique peut porter plainte concernant l’application de celle-ci ou concernant la protection de ses renseignements personnels par la Fondation. 

Réception de la plainte 

La personne devra indiquer son nom, ses coordonnées pour la joindre, avec un numéro de téléphone, ainsi que l’objet et les motifs de sa plainte, incluant la description de l’incident, la date ou la période à laquelle l’incident s’est produit, la nature des renseignements personnels visés par l’incident et le nombre de personnes concernées, en donnant suffisamment de détails pour que la requête puisse être évaluée par la Fondation. 

Si la plainte formulée n’est pas suffisamment précise, la personne responsable de la protection des renseignements personnels peut requérir toute information additionnelle qu’elle juge nécessaire pour pouvoir évaluer la plainte.

La plainte devra être formulée à responsablerp@fondationpgl.ca.

Traitement de la plainte

La Fondation s’engage à traiter toute plainte reçue de façon confidentielle. La plainte est traitée dans un délai raisonnable. la personne responsable des renseignements personnels doit évaluer la plainte et formuler une réponse motivée écrite à la personne plaignante.

Cette évaluation visera à déterminer si le traitement des renseignements personnels par la Fondation est conforme à la présente politique et pratique en place au sein de l’organisation et à la législation ou réglementation applicable.

Dans le cas où la plainte s’avère fondée, la Fondation prendra les mesures requises pour corriger la situation dans les meilleurs délais et procèdera à l’inscription au registre des incidents de confidentialité. La réponse finale à la personne requérante indiquera les mesures de redressement qui seront appliquées. 

Dossier de plainte

La Fondation doit constituer un dossier distinct pour chacune des plaintes qui lui sont adressées en vertu de la présente procédure de traitement de plainte. Chaque dossier contient la plainte, l’analyse et la documentation

ENTREE EN VIGUEUR ET REVISION

La présente politique de gouvernance et de conservation des renseignements personnels pourra être révisée, afin de maintenir la conformité avec la loi et de tenir compte de tout changement à notre processus de collecte de données. 

La version la plus récente est publiée sur le site internet.

Dernière mise à jour de la présente politique : le 20 septembre 2023

ANNEXE 1 – MODELE DE FORMULAIRE DE CONSENTEMENT

Les paragraphes liées à la récolte du consentement sont présentés de manière à être distincts des autres paragraphes du document principal, en langage clair et simple, et facilement accessible.

Conformément aux conditions prévues par la Loi sur la protection des renseignements personnels, la Fondation requiert mon consentement pour le traitement de vos données personnelles pour les utilisations suivantes (indiquer ici les différentes utilisations des données personnelles) :

– [indiquer ici les différentes utilisations des données personnelles]

☐ J’accepte que mon adresse courriel soit inscrite à [indiquer ici les différentes inscriptions à des listes de diffusion]

La Fondation PGL s’engage à utiliser vos données personnelles uniquement qu’aux fins pour lesquelles elles ont été recueillies, et met en place des mesures spécifiques afin d’en assurer la protection. 

Pour connaitre les modalités d’utilisation et d’accès à vos renseignements personnels, consultez notre politique de gouvernance et de conservation des données personnelles sur notre site internet ou contactez la personne Responsable des renseignements personnels à l’adresse courriel suivante : responsablerp@fondationpgl.ca.

Signature et nom

Date

 

Télécharger le PDF