DÉFINITIONS
« Employé »
Toute personne qui travaille pour Envol Charlevoix moyennant rémunération, incluant la direction, ainsi que toutes personnes non rémunérées (bénévole, stagiaire).
« Événement »
Tout événement qu’Envol Charlevoix gère ou organise.
« Formulaire de signalement »
Le formulaire mis à la disposition de tout employé ou membre afin d’informer la personne responsable des renseignements personnels.
« Incident de confidentialité »
Tout accès non autorisé par la loi à un renseignement personnel, à son utilisation ou à sa communication, de même que sa perte ou toute autre forme d’atteinte à sa protection.
« Membre »
Tout individu qui fournit des renseignements confidentiels à Envol Charlevoix en lien avec la réalisation d’un évènement, la création d’une publication, la participation à une activité ou avec l’obtention d’un service.
« Publication »
Toute publication produite par Envol Charlevoix ou à laquelle Envol Charlevoix contribue, sous quelque forme que ce soit (verbal, écrit, audio, vidéo, informatisé ou autre).
« Registre des incidents de confidentialité »
L’ensemble des renseignements consignés sur des incidents déclarés et concernant les circonstances de l’incident, le nombre de personnes visées, l’évaluation de la gravité du risque de préjudice et les mesures prises en réaction à l’incident. Les dates pertinentes y figurent aussi : survenance de l’incident, détection par l’organisation, transmission des avis (s’il y a lieu), etc.
« Risque sérieux de préjudices »
Le risque évalué à la suite d’un incident de confidentialité qui pourrait porter préjudice aux personnes concernées. Ce risque est analysé par la personne responsable des renseignements personnels. Pour tout incident de confidentialité, la personne responsable évalue la gravité du risque de préjudice pour les personnes concernées en estimant « la sensibilité des renseignements concernés », « les conséquences appréhendées de leur utilisation » et « la probabilité qu’ils soient utilisés à des fins préjudiciables ».
« Renseignement confidentiel »
Tout renseignement fourni ou communiqué à Envol Charlevoix sous quelque support que ce soit (verbal, écrit, audio, vidéo, informatisé ou autre) qui concerne un membre, un bénévole ou un employé et qui peut être utilisé pour l’identifier, y compris : son nom, son numéro de téléphone, son adresse, son courriel, le fait qu’il ou elle ait été ou soit un membre, un bénévole ou un membre ou bénévole potentiel, son genre, son orientation sexuelle et toute information concernant sa santé. Pour plus de certitude :
• les renseignements qui ne permettent pas d’identifier un individu dans le cadre d’un témoignage ne sont pas des renseignements confidentiels ; • les données statistiques ne sont pas des renseignements confidentiels puisqu’elles ne permettent pas d’identifier un individu ;
• les photographies ou enregistrements qui ne permettent pas d’identifier un individu ne constituent pas un renseignement confidentiel relatif à cet individu.
« Service ou activité »
Tout service qu’Envol Charlevoix rend à un individu à la demande de celui-ci, ou toute activité à laquelle il participe.
PHOTOGRAPHIES ET ENREGISTREMENTS
2.1
Tout individu a le choix d’être photographié ou non, ou d’être enregistré (audio/vidéo) ou non.
2.2
Les photographies ou enregistrements qui permettent d’identifier un individu comme employé d’Envol Charlevoix ne constituent pas un renseignement confidentiel relatif à cet individu.
OBLIGATION DE CONFIDENTIALITÉ
3.1
Les employés sont tenus de signer la présente entente de confidentialité (Annexe A) avant d’exercer leurs fonctions ou d’exécuter leurs mandats auprès d’Envol Charlevoix.
3.2
L’obligation de confidentialité s’applique à la durée de la relation d’un employé avec Envol Charlevoix et survit à la fin de cette relation.
COLLECTE ET USAGE DES RENSEIGNEMENTS CONFIDENTIELS
4.1
Envol Charlevoix peut, au besoin, constituer un ou des dossiers contenant des renseignements confidentiels concernant les employés. La constitution de tels dossiers a pour objet de :
• maintenir les coordonnées à jour ;
• documenter des situations de travail ou de bénévolat ;
• permettre, dans le cas des employés rémunérés, la réalisation des tâches administratives requises ou permises par la loi (impôt sur le revenu, assurances collectives, etc.).
4.2
Nous recueillons des renseignements personnels auprès des membres actifs et bienfaiteurs (adresse, courriel, téléphone, date de naissance, sexe, tuteur, diagnostics, aides techniques, occupation, état civil, niveau de scolarité, nom des intervenants du CIUSSS), dans le but de les rejoindre, de les contacter concernant les activités et les services, de leur acheminer des documents (journaux d’information, infolettre (si abonné), des cartes d’anniversaire, des invitations à des évènements spéciaux, des convocations à l’assemblée générale annuelle ou à toute autre assemblée générale spéciale, pour le renouvellement de l’adhésion à la date d’échéance, d’assurer la santé, la sécurité, celle de leurs pairs et afin que l’organisme possède toutes les données et statistiques pour rédiger les demandes de financement auprès des bailleurs de fonds.
4.3
Les renseignements personnels que nous collectons sur internet sont conservés dans un environnement sécurisé. Les personnes travaillant pour nous sont tenues de respecter la confidentialité des informations.
Pour assurer la sécurité des renseignements personnels sur notre site internet, nous avons recours aux mesures suivantes :
• Protocole SSL (Secure Sockets Layer)
• Certificat Let’s Encrypt utilisant le chiffrement suivant : PKCS #1 SHA-256 avec chiffrement RSA
• Sauvegarde informatique
• Identifiant / mot de passe
• Pare-feu (Firewalls)
Nous nous engageons à maintenir un haut degré de confidentialité en intégrant les dernières innovations technologiques permettant d’assurer la confidentialité. Toutefois, comme aucun mécanisme n’offre une sécurité maximale, une part de risque est toujours présente lorsque l’on utilise Internet pour transmettre des renseignements personnels.
4.4
Envol Charlevoix peut, au besoin, constituer un ou des dossiers contenant des renseignements confidentiels concernant les membres ou les bénévoles. La constitution de tels dossiers a pour objet de permettre à Envol Charlevoix de réaliser un événement, une publication, de réaliser une activité ou de fournir un service.
4.5
Envol Charlevoix peut seulement recueillir les renseignements confidentiels qui sont nécessaires aux fins du dossier et peut utiliser les renseignements confidentiels seulement à ces fins.
4.6
Les renseignements confidentiels peuvent seulement être recueillis auprès de la personne concernée, à moins que celle-ci consente à ce que la cueillette soit réalisée auprès d’autrui ou que la loi l’autorise.
GESTION DES RENSEIGNEMENTS CONFIDENTIELS
5.1
La direction comme personne exerçant la plus haute autorité dans l’organisation, est la personne responsable d’assurer la protection des renseignements personnels. La direction peut déléguer cette responsabilité en la constatant par écrit. Sur le principal site internet d’Envol Charlevoix doit être indiqué, sous le titre de la direction ou de la personne responsable, « personne responsable de la protection des renseignements personnels » ainsi que le moyen de la joindre. La direction ou la personne responsable s’assure de la tenue d’un Registre des incidents de confidentialité.
5.2
Sous réserve de l’article 5.3, la direction est autorisée à accéder à tout renseignement confidentiel que détient Envol Charlevoix. Les autres employés sont autorisés à accéder aux renseignements confidentiels dans la mesure où cet accès est nécessaire à la réalisation d’une tâche dans l’exercice de leurs fonctions.
5.3
Pour l’application des lois, un incident de confidentialité correspond à tout accès, utilisation ou communication non autorisée par la loi d’un renseignement personnel, de même qu’à la perte d’un renseignement personnel ou à toute autre atteinte à sa protection.
5.4
Lorsqu’un employé ou un membre constate un incident de confidentialité, il ou elle doit informer avec diligence la direction générale ou la personne responsable de la protection des
renseignements confidentiels afin qu’il soit inscrit au Registre. L’employé ou le membre ou le bénévole doit, pour ce faire, compléter un formulaire de signalement et l’acheminer ensuite à la direction ou à la personne responsable.
Le registre doit conserver les informations sur un incident de confidentialité pour une période de cinq ans.
Doit être colligé dans le formulaire de signalement :
• Une description des renseignements personnels touchés par l’incident ou, si cette information est inconnue, les raisons pour lesquelles il est impossible de fournir une telle description ;
• Une brève description des circonstances de l’incident ;
• La date ou la période à laquelle a eu lieu l’incident (ou une approximation si cette information n’est pas connue) ;
• La date ou la période à laquelle l’organisation s’est aperçue de l’incident ;
• Le nombre de personnes concernées par l’incident (ou une approximation si cette information n’est pas connue).
5.5
La direction ou la personne responsable juge si l’incident présente un « risque sérieux de préjudice ». Les renseignements ainsi que les mesures à prendre afin de diminuer le risque qu’un préjudice sérieux soit causé aux personnes concernées sont versés au Registre.
Si l’incident présente un risque sérieux de préjudice, la direction générale ou la personne responsable avise la Commission d’accès à l’information et les personnes concernées de tout incident présentant un risque sérieux de préjudice à l’aide du formulaire approprié.
CONSERVATION DES RENSEIGNEMENTS CONFIDENTIELS
6.1
Les employés ayant accès aux dossiers en vertu de l’article 5 s’obligent à :
• S’assurer que les renseignements confidentiels soient gardés à l’abri de tout dommage physique ou
accès non autorisé ;
• S’assurer que tous les documents électroniques comportant des renseignements confidentiels, incluant ceux copiés sur un appareil de stockage portatif, soient cryptés et protégés par des mots de passe. Ces mots de passe doivent être modifiés à chaque fois que les personnes ayant accès aux dossiers concernés sont remplacées ;
• Garder les renseignements confidentiels en format papier dans des classeurs pouvant être verrouillés et s’assurer que les classeurs soient verrouillés à la fin de chaque journée de travail. Les clés des classeurs doivent être gardées dans des endroits sûrs.
6.2
Les dossiers constitués en vertu de cette politique sont la propriété d’Envol Charlevoix.
DESTRUCTION DES RENSEIGNEMENTS CONFIDENTIELS
7.1
Sous réserve de l’article 7.2, les renseignements confidentiels ne sont conservés que tant et aussi longtemps que l’objet pour lequel ils ont été recueillis n’a pas été accompli, à moins que l’individu concerné ait consenti à ce qu’il en soit autrement. Ces renseignements confidentiels sont ensuite détruits de façon à ce que les données y figurant ne puissent plus être reconstituées.
7.2
Les dossiers concernant les employés sont conservés par Envol Charlevoix.
DIVULGATION DE RENSEIGNEMENTS CONFIDENTIELS À UN TIERS
8.1
Autre que dans les situations où la loi le requiert et sous réserve des autres dispositions du présent article 8, les renseignements confidentiels ne peuvent être divulgués à un tiers qu’après l’obtention du consentement écrit, manifeste, libre et éclairé de la personne concernée. Un tel consentement ne peut être donné que pour une fin spécifique et pour la durée nécessaire à la réalisation de cette dernière.
8.2
Les renseignements confidentiels peuvent être divulgués sans le consentement de la personne concernée si la vie, la santé ou la sécurité de celle-ci est gravement menacée. La divulgation doit alors être effectuée de la façon la moins préjudiciable pour la personne concernée.
8.3
Tel que permis par la loi, Envol Charlevoix peut divulguer des renseignements confidentiels nécessaires à sa défense ou celle de ses employés contre toute réclamation ou poursuite intentée contre Envol Charlevoix ou ses employés, par ou de la part d’un membre, d’un bénévole d’un employé, ou de l’une de ses personnes héritières, exécutrices testamentaires, ayants droit ou cessionnaires, y compris toute réclamation émanant de l’assureur d’un membre, d’un bénévole ou d’un employé.
COMMUNICATION DE RENSEIGNEMENTS CONFIDENTIELS À LA PERSONNE CONCERNÉE
9.1
Sous réserve de l’article 9.2, les membres, bénévoles et employés ont le droit de connaître les renseignements confidentiels qu’Envol Charlevoix a reçus, recueillis et conserve à leur sujet, d’avoir accès à de tels renseignements et de demander que des rectifications soient apportées à ceux-ci.
9.2
Envol Charlevoix doit restreindre l’accès aux renseignements confidentiels lorsque la loi le requiert ou lorsque la divulgation révélerait vraisemblablement des renseignements confidentiels au sujet d’un tiers.
9.3
Une demande d’un membre, d’un bénévole ou d’un employé en lien avec l’article 9.1 doit être traitée dans un délai maximal de 30 jours.
MANQUEMENT À L’OBLIGATION DE CONFIDENTIALITÉ
10.1
Un employé manque à son obligation de confidentialité lorsque cette personne :
• communique des renseignements confidentiels à des individus n’étant pas autorisés à y avoir
accès ;
• discute de renseignements confidentiels à l’intérieur ou à l’extérieur d’Envol Charlevoix alors que des individus n’étant pas autorisés à y avoir accès sont susceptibles de les entendre ;
• laisse des renseignements confidentiels sur papier ou support informatique à la vue dans un endroit
où des individus n’étant pas autorisés à y avoir accès sont susceptibles de les voir ;
• fait défaut de suivre les dispositions de cette politique.
10.2
Advenant un manquement à l’obligation de confidentialité, des mesures disciplinaires appropriées, pouvant aller jusqu’à la résiliation du contrat de travail ou de toute autre relation avec Envol Charlevoix, seront prises à l’égard de la partie contrevenante et des mesures correctives seront adoptées au besoin afin de prévenir qu’un tel scénario ne se reproduise.
RECOURS
11.1
S’il s’avère que les renseignements confidentiels d’une personne ont été utilisés de façon contraire à une disposition de cette politique, cette personne peut déposer une plainte auprès de la direction générale d’Envol Charlevoix, ou auprès du conseil d’administration d’Envol Charlevoix si la plainte concerne le ou la directeur·trice général·e.
11.2
Comme prévu par la loi, la personne s’étant vu refuser l’accès ou la rectification des renseignements confidentiels la concernant peut déposer sa plainte auprès de la Commission d’accès à l’information pour l’examen du désaccord dans les 30 jours du refus d’Envol Charlevoix d’accéder à sa demande ou de l’expiration du délai pour y répondre.
MODIFICATIONS À NOTRE POLITIQUE DE CONFIDENTIALITÉ
Envol Charlevoix se réserve le droit de modifier cette politique de confidentialité à tout moment pour refléter les changements dans nos pratiques ou dans la législation. Les modifications seront communiquées clairement sur notre site internet.
RESPONSABLE DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
Pour toute question ou préoccupation relative à notre politique de confidentialité ou à la gestion de vos renseignements personnels, veuillez contacter notre responsable de la protection des renseignements personnels :
Sylvie Breton, directrice générale
sylvie.breton@envolcharlevoix.com
(418) 665-0015