Gouvernance des renseignements personnels
Mise en contexte
L’Ordre des ingénieurs du Québec est responsable des renseignements personnels qu’il détient. Par conséquent, l’Ordre prend les mesures nécessaires pour assurer que sa gestion des renseignements personnels soit conforme à ses valeurs organisationnelles, à la loi et aux attentes légitimes de ses parties prenantes.
À cette fin, les présentes règles visent notamment à assurer la protection des renseignements personnels détenus par l’Ordre, et ce, tout au long de leur cycle de vie : de leur collecte à leur destruction.
Un renseignement est qualifié de personnel lorsqu’il permet d’identifier une personne, y compris indirectement.
Rôles et responsabilités
Responsable de l’accès aux documents et de la protection des renseignements personnels
La personne ayant la plus haute autorité au sein de l’Ordre veille à assurer le respect et la mise en œuvre de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (ci-après « Loi sur l’accès »).
Selon le Code des professions, les fonctions de responsable d’accès aux documents et celle de responsable de la protection des renseignements personnels sont attribuées à la Présidente, qui a délégué ses deux fonctions au Secrétaire de l’Ordre.
Le Syndic exerce ces fonctions à l’égard des documents et renseignements qu’il détient.
Fonctions principales :
- Assurer le traitement des demandes d’accès aux documents et aux renseignements personnels, ainsi que le traitement des demandes de rectification;
- Assurer la protection des renseignements personnels tout au long de leur cycle de vie, soit de leur collecte jusqu’à leur destruction;
- Tenir les registres relatifs à la communication et l’utilisation des renseignements personnels;
- Participer à la gestion d’un incident de confidentialité;
- Assurer la supervision des évaluations des facteurs relatifs à la vie privée (ci-après « ÉFVP »);
- Établir et mettre en œuvre le processus de traitement des plaintes relatives à la protection des renseignements personnels;
- Offrir des séances de formation et de sensibilisation au personnel se rapportant à ses obligations en matière de protection des renseignements personnels.
Comité sur l’accès à l’information et la protection des renseignements personnels (« CAIPRP »)
Le CAIPRP relève de la Direction générale et a comme fonction de soutenir l’Ordre dans l’exercice de ses responsabilités et obligations relatives à la Loi sur l’accès.
Fonctions principales :
- Approuver les règles de gouvernance à l’égard des renseignements personnels;
- Formuler des recommandations concernant les mesures de protection à prendre à l’égard des renseignements personnels;
- Formuler des recommandations sur les mesures particulières à respecter quant aux sondages impliquant la collection et l’utilisation de renseignements personnels;
- Assurer la réalisation des activités de formation des membres du personnel;
- Approuver le processus de plaintes relatives à la protection des renseignements personnels;
- Jouer un rôle consultatif et suggérer des mesures de protection aux fins de l’évaluation des facteurs relatifs à la vie privée (« ÉFVP »), pour tous les projets d’acquisition, de développement et de refonte d’un système d’information ou d’une prestation électronique de services impliquant des renseignements personnels;
- Approuver les règles relatives à la gestion des incidents de confidentialité;
- Approuver les règles en matière de sondage.
Responsable de la sécurité de l’information
La sécurité de l’information relève du directeur des Technologies de l’information.
Fonctions principales :
- Assurer l’application des règles de l’Ordre concernant la sécurité de l’information;
- Proposer des orientations stratégiques en matière de sécurité de l’information et assurer le suivi des activités et des interventions prioritaires qui en découlent;
- S’assurer de la mise en place de mesures adéquates pour protéger l’information eu égard aux besoins de l’Ordre.
Responsable de la gestion documentaire
La gestion documentaire relève du Secrétariat de l’Ordre.
Fonctions principales :
- Assurer une gestion efficace des documents et de l’information;
- Répondre aux exigences d’accessibilité, de conservation et de destruction des documents;
- Protéger les documents, les renseignements personnels, ainsi que les informations confidentielles.
Gestion des renseignements personnels
Collecte des renseignements personnels
L’Ordre doit recueillir différents renseignements personnels pour des fins qui sont nécessaires à la réalisation de sa mission de protection du public et pour l’accomplissement de ses autres services. Certains de ces renseignements ont un caractère public.
Les renseignements personnels sont recueillis principalement :
- dans le cadre du contrôle de l’exercice de la profession ;
- lors d’une communication avec l’Ordre ;
- à l’occasion d’un sondage ou de l’inscription à une communication numérique ;
- en lien avec l’exercice d’un emploi ou d’une fonction à l’Ordre
- en lien avec l’obtention ou la fourniture d’un service.
Les renseignements personnels sont recueillis par des moyens technologiques, tels les portails Web, le courriel et les formulaires électroniques ainsi que par téléphone ou en personne.
Utilisation des renseignements personnels
Les renseignements personnels sont utilisés aux fins pour lesquelles ils ont été collectés, notamment:
- le contrôle de l’exercice de la profession, notamment assurer le respect de la Loi sur les ingénieurs, du Code des professions, du Code de déontologie et des règlements d’application ;
- le traitement d’une candidature à un emploi ou une fonction au sein de l’Ordre ;
- la prestation d’un service, y compris la fourniture d’une information ;
- la communication de contenus pertinents à l’exercice de la profession.
Communication des renseignements personnels
Les renseignements personnels recueillis par l’Ordre ne sont communiqués à des tiers que dans les cas suivants :
- le renseignement personnel a un caractère public ;
- la personne concernée consent expressément à cette communication ;
- la communication est prévue par la loi;
- la communication est nécessaire dans le cadre du contrôle de la profession.
Consentement
Les renseignements recueillis par l’Ordre peuvent être utilisés à d’autres fins que celles pour lesquelles ils ont été collectés ou peuvent être communiqués à des tiers avec le consentement de la personne concernée. Celle-ci peut retirer son consentement en tout temps en avisant l’Ordre.
Conservation des renseignements personnels
Les renseignements personnels sont conservés pour le temps nécessaire à leur utilisation ou pour plus longtemps selon le calendrier de conservation ou le délai prévu par la loi.
Destruction des renseignements personnels
De façon générale, les renseignements personnels sont détruits lorsque les fins pour lesquelles ils ont été recueillis sont accomplies. Lorsque des renseignements personnels sont contenus dans un document visé par le calendrier de conservation, ceux-ci sont détruits conformément à ce calendrier. Les renseignements personnels recueillis dans le cadre du contrôle de l’exercice de la profession seront détruits conformément au calendrier de conservation ou selon la législation applicable.
Règles particulières
Évaluation des facteurs relatifs à la vie privée (« ÉFVP »)
Une ÉFVP est effectuée au début de tout projet concernant l’acquisition, le développement ou la refonte d’un système d’information ou d’une prestation électronique de services impliquant des renseignements personnels.
De plus, une ÉFVP est requise lorsque l’Ordre veut communiquer, à l’extérieur du Québec, des renseignements personnels ou qu’il souhaite confier à une personne ou à un organisme à l’extérieur du Québec la tâche de recueillir, d’utiliser, communiquer ou de conserver pour son compte de tels renseignements.
Sondages
Certains sondages effectués par l’Ordre sont précédés d’une évaluation portant sur sa nécessité et ses aspects éthiques, notamment en regard de la nature du sondage, des personnes visées, de la sensibilité des renseignements recueillis et de la finalité de leur utilisation.
Vidéosurveillance
Tout recours à la vidéosurveillance doit faire l’objet d’une évaluation par une personne désignée par le Comité sur l’accès à l’information et la protection des renseignements personnels. Cette évaluation porte notamment sur la nécessité de recourir à la vidéosurveillance, des mesures de protection des renseignements personnels à mettre en place et du respect du droit à la vie privée.
Mesures de protection
L’Ordre prend des mesures pour limiter les risques associés à la confidentialité et à l’intégrité des renseignements personnels qu’il détient. Ces mesures incluent les suivantes :
- Restriction à l’accès : un renseignement personnel n’est accessible qu’aux seules personnes dont les fonctions le requièrent. Tout document en format papier contenant des renseignements personnels est conservé dans un endroit sécurisé. L’accès aux locaux de l’Ordre est contrôlé.
- Formation du personnel et de la présidence : le personnel et la présidence doivent réussir les formations en cybersécurité dispensées par un fournisseur reconnu choisi par l’Ordre. Ils doivent également suivre une formation sur la législation en matière de protection des renseignements personnels. De plus, ils ont accès à des documents explicatifs.
- Obligations déontologiques : le personnel ainsi que les membres du Conseil d’administration et des comités sont assujettis à des obligations en matière de préservation de la confidentialité des renseignements personnels et doivent s’engager annuellement à les respecter.
- Outils technologiques : tout appareil technologique est protégé par un mot de passe. Le réseau internet est protégé par un pare-feu et un système de double identification.
- Fournisseurs : tout contrat avec un fournisseur impliquant l’accès ou la communication de renseignements personnels et d’informations confidentielles de l’Ordre comprend des obligations en matière de confidentialité, de remise et de destruction des renseignements personnels ainsi qu’en matière de dénonciation des risques liés à la confidentialité.
Activités de formation et de sensibilisation
L’Ordre dispense à son personnel des activités de formation et de sensibilisation notamment en matière d’accès aux documents, de protection des renseignements personnels, et de cybersécurité. De plus, l’Ordre a mis en place un canal de communication afin de traiter les questions en lien avec ces exigences.
L’Ordre encourage également les personnes jouant un rôle clé en matière d’accès et de protection des renseignements personnels à participer à des formations spécifiques pour accroître leurs connaissances en la matière.
Gestion des incidents de confidentialité
Tout incident de confidentialité, qu’il soit avéré ou soupçonné, est porté immédiatement à l’attention du responsable de la protection des renseignements personnels.
Lorsque l’Ordre a des motifs de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel qu’il détient, il prend les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent, ce qui peut inclure la sanction des individus en cause.
Si l’incident de confidentialité présente un risque qu’un préjudice sérieux soit causé, l’Ordre, avec diligence, en avise la Commission d’accès à l’information. Il avise également toute personne dont un renseignement personnel est concerné par l’incident.
L’Ordre tient un registre des incidents de confidentialité, dont le contenu est déterminé par la Loi sur l’accès
Processus de plainte
Toute personne qui a des motifs sérieux de croire à la survenance d’un incident de confidentialité peut transmettre une plainte au responsable approprié de la protection des renseignements personnels ou, lorsque la plainte met en cause la conduite de ce dernier, la Présidence de l’Ordre.
- Secrétariat : [email protected]
- Syndic : [email protected]
- Présidence : [email protected]
La plainte doit être écrite, comprendre les noms et les coordonnées du plaignant et exposer sommairement le problème (ex. : la date et nature de l’incident, la nature du renseignement personnel concerné, le nombre de personnes concernées).
Une plainte vexatoire, loufoque ou manifestement non fondée ne sera pas traitée.
Schéma du traitement d’une plainte
Droits des personnes concernées
La personne concernée par un renseignement personnel détenu par l’Ordre dispose de droits d’accès et de rectification.
Ceux-ci ne sont cependant pas absolus et peuvent être restreints par la loi.
Droit d’accès
Les membres et les CPI peuvent accéder à plusieurs renseignements personnels les concernant qui sont détenus par l’Ordre par l’entremise de leur portail sécurisé. Ils peuvent également mettre à jour ces renseignements.
Toute personne peut demander l’accès aux renseignements personnels la concernant qui sont détenus par l’Ordre en faisant une demande auprès du responsable de la protection des renseignements personnels à l’adresse : [email protected]
Droit de rectification
Toute personne peut demander la correction d’un renseignement personnel la concernant s’il est inexact, incomplet ou équivoque, ou si sa collecte, sa communication ou sa conservation ne sont pas autorisées par la loi. Cette demande doit être faite auprès du responsable de la protection des renseignements personnels à l’adresse : [email protected]
Entrée en vigueur : 12 septembre 2023
Dernière mise à jour : 22 septembre 2023