Politique de confidentialité

POLITIQUE CONCERNANT LA PROTECTION DES RENSEIGNEMENTS PERSONNELS


SONIA RIVARD NOTAIRE
Le droit au respect de sa vie privée est un principe reconnu pour tous. Dans bien des
situations, des personnes fournissent leurs renseignements personnels afin d’obtenir
certains services ou produits et ce, auprès de beaucoup d’organisations et même auprès
d’organismes publics.
Il est donc important, et même primordial, de bien protéger ces renseignements personnels
afin d’éviter des désagréments considérables et surtout inutiles aux individus.
Au Québec, les dispositions de la Loi sur la protection des renseignements personnels dans
le secteur privé, RLRQ, c. P-39.1 ont traité l’aspect de la protection des renseignements
personnels appartenant à toute personne. Mais une modification a été apportée à ladite loi
par la nouvelle Loi modernisant des dispositions législatives en matière de protection des
renseignements personnels, communément appelée la Loi 25, qui a été adoptée le 21
septembre 2021 et sanctionnée le 22 septembre 2021 (ces deux lois précitées, ainsi que
toute loi pouvant les remplacer de temps à autre, étant ci-après collectivement appelées la
« Législation québécoise »).
Dans le cadre de ses activités, l’Organisation reconnaît qu’elle recueille et détient les
renseignements personnels d’autrui. Et par conséquent, elle est tenue de se conformer à la
Législation québécoise.

Le but de cette politique – les mesures
Cette politique de l’Organisation vise à informer son personnel des mesures décrites aux
présentes qui sont en lien avec la Législation québécoise et qui sont appropriées pour
protéger les renseignements personnels :
1. Les mesures requises pour se conformer à la Législation québécoise
2. Les mesures pour son système informatique
3. Les mesures pour l’inventaire des renseignements personnels
4. Les mesures pour son personnel
5. Les mesures pour son site web
6. Les mesures pour la voûte matérielle
Cette politique de l’Organisation traite de ces mesures mentionnées ci-dessus de manière
ci-après décrite et ce, pour le bénéfice des membres de son personnel auxquels cette
politique s’adresse notamment :
→ Les mesures déjà mises en oeuvre par l’Organisation
→ Les mesures que l’Organisation verra à mettre en oeuvre dans les meilleurs délais
Sessions pour informer le personnel de l’Organisation
L’Organisation prévoit donner aux membres de son personnel qui traitent ou travaillent
avec des renseignements personnels dans le cadre de leurs fonctions, des sessions de
formation et/ou d’information concernant les renseignements personnels et leur protection
ainsi que la confidentialité requise pour de tels renseignements.
Le personnel de l’Organisation devra en tout temps respecter cette politique afin de
protéger au mieux les renseignements personnels de ses clients. De plus, tous les membres
de son personnel devront se conformer aux mesures mises en oeuvre par l’Organisation de
temps à autre en lien avec la présente politique.
L’Organisation verra à remettre une copie de cette politique à chacun des membres de son
personnel, tant actuels que futurs, peu importe que ceux-ci soient des employés ou des
pigistes, y compris les membres de son personnel agissant à titre de dirigeants de
l’Organisation.
L’Organisation pourra modifier, à sa discrétion et de temps en temps, cette politique et
dans un tel cas, elle en avisera tous les membres de son personnel en leur remettant ou leur
donnant accès à la politique ainsi modifiée.
Interprétation
Il est entendu qu’aux fins de cette politique, l’expression « Organisation » sera utilisée
pour désigner un bureau de professionnels.
En effet, toute personne physique ou morale qui possède, exploite ou constitue un bureau
de professionnels assujettis au Code des professions et offrant des services à la population
constitue une « entreprise » au sens de la Législation québécoise et par conséquent, doit
se conformer à ses dispositions.
L’expression « clients » désignera à la fois les clients et les utilisateurs d’une Organisation.
PARTIE 1
LA LÉGISLATION QUÉBÉCOISE ET SES IMPLICATIONS POUR
L’ORGANISATION
Principe général concernant la vie privée
Chacun a droit au respect de sa vie privée, incluant ses renseignements personnels, sauf
son consentement en cas d’atteinte à sa vie privée.
But de la Législation québécoise
La Législation québécoise vise à assurer la protection et la confidentialité des
renseignements personnels et de la vie privée des personnes physiques faisant affaire avec
ce qu’on appelle une « entreprise » qui est assujettie à la Législation québécoise.
Exploiter une « entreprise » au sens de la Législation québécoise
Toute entreprise qui recueille, détient, communique et/ou utilise des renseignements
personnels dans le cadre de ses activités, que ces dernières soient commerciales ou non, est
assujettie à la Législation québécoise car elle exploite alors une « entreprise » au sens de
la Législation québécoise et par conséquent, elle doit en respecter les dispositions.
Deux grands principes établis par la Législation québécoise
La Législation québécoise a mis de l’avant les deux principes suivants : 1) une entreprise
ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées pour
leur collecte et ne peut utiliser ces renseignements qu’aux fins pour lesquelles ils ont été
recueillis, sauf s’il y a consentement de la personne concernée; et 2) personne ne peut
communiquer à un tiers les renseignements personnels qu’il détient sur autrui, à moins que
la personne concernée n’y consente ou que la Législation québécoise ne le prévoit ou ne
l’exige.
Ce qui constitue un renseignement personnel – Exemples
C’est la définition d’un renseignement personnel, telle qu’elle est établie par la Législation
québécoise, qui détermine si les informations recueillies et détenues par une entreprise
constituent ou non ce qu’on appelle un « renseignement personnel » au sens de la
Législation québécoise. En effet, si une entreprise ne recueille aucun renseignement
personnel auprès de ses clients, elle n’est pas alors tenue de respecter les dispositions de la
Législation québécoise.
Selon la Législation québécoise, tout renseignement qui concerne une personne physique
et qui permet d’identifier celle-ci, est considéré comme étant un renseignement personnel
peu importe la nature du support et la forme sous laquelle ce renseignement est rendu
accessible, soit écrite, graphique, sonore, visuelle, informatisée ou autre.
Un renseignement personnel, c’est donc toute information reliée ou concernant une
personne physique en particulier qui permet de l’identifier ou qui peut être utilisée pour
l’identifier d’une manière spécifique, que ce soit en utilisant cette information seulement
ou encore, cette information couplée avec d’autres renseignements détenus par une
entreprise, y compris les informations fournies à l’entreprise par les clients eux-mêmes;
c’est pourquoi on parle parfois de renseignements personnellement identifiables.
Ne sont pas considérés comme constituant des renseignements personnels toutes les
informations ou renseignements devenus ou rendus anonymes ou dépersonnalisés ou qui
ont été agrégés de manière à ne pouvoir identifier spécifiquement et de quelque manière
que ce soit une personne physique.
Par exemple, si une entreprise offre aux personnes accédant à son site web de s’abonner à
ses infolettres, alors cette entreprise recueille et détient des renseignements personnels sur
les personnes demandant cet abonnement, soit leurs nom, adresse civique, numéro de
téléphone, adresse courriel, âge, etc. et ce, même s’il ne s’agit pas d’un site web
transactionnel.
Par contre, le fait pour une personne de se connecter au site web d’une entreprise implique
que cette dernière a accès à l’adresse IP de cette personne mais cet accès seul ne permet
pas d’identifier cette personne en particulier, dans le sens que ce seul accès à l’adresse IP
n’est pas considéré comme constituant une collecte de renseignements personnels.
En quoi consiste un renseignement personnel « sensible »?
Un renseignement personnel est considéré comme sensible lorsque de « par sa nature ou
en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré
d’attente raisonnable en matière de vie privée ». Cependant, il semble bien que cette notion
ainsi présentée soit très subjective puisque la sensibilité d’un renseignement personnel
dépend alors du contexte de son utilisation ou de sa communication.
Malgré cela, on peut constater que certaines catégories de renseignements personnels sont
généralement considérées comme sensibles en raison des risques particuliers pour les
personnes qui sont associés à la collecte, à l’utilisation ou à la communication de ces
catégories de renseignements. En effet, certaines catégories de renseignements personnels
sont souvent considérées comme sensibles et par conséquent, doivent faire l’objet d’une
meilleure protection avec des mesures de sécurité adéquates et plus élevées.
Il s’agit notamment de renseignements portant sur la santé, les finances ou les revenus, la
réputation des personnes, les origines ethniques et raciales, les opinions politiques, la vie
sexuelle ou l’orientation sexuelle et les croyances religieuses ou philosophiques, ainsi que
les données génétiques et biométriques.
Dans le cadre d’une évaluation pour savoir si des renseignements personnels sont
considérés comme sensibles ou non, cela variera en fonction des faits de chaque cas. En
fait, tout renseignement personnel peut devenir sensible selon le contexte s’appliquant à
celui-ci.
Par exemple, des renseignements bien anodins lorsqu’ils sont pris isolément, comme le
nom et une adresse de courriel, peuvent devenir sensibles lorsqu’ils sont associés à des
services qui peuvent révéler les activités et les préférences personnelles des utilisateurs,
c’est-à-dire si ces renseignements sont utilisés dans un autre contexte. Ainsi, le nom et
l’adresse des abonnés d’une revue d’information ne sont généralement pas considérés
comme des renseignements sensibles mais cependant, le nom et l’adresse des abonnés de
certains périodiques spécialisés pourraient l’être.
Également, si des renseignements personnels sont combinés, ils pourraient possiblement
être utilisés par des personnes malveillantes aux fins d’usurper les identités des personnes
concernées, ce qui exige alors des mesures de sécurité plus élevées.
Par exemple, si la collecte, l’utilisation ou la communication non autorisée de
renseignements personnels sensibles, comme le fait qu’une personne soit atteinte d’une
infection transmissible sexuellement, pourrait entraîner une stigmatisation sociale, des
problèmes émotifs et une atteinte à la réputation à long terme pour les personnes
concernées, les renseignements doivent alors être protégés par des mesures de sécurité
rigoureuses et élevées.
Organisations et renseignements personnels
Il est reconnu que les bureaux de professionnels recueillent, détiennent et parfois
communiquent des renseignements personnels appartenant à leurs clients, dans le but
notamment de leur rendre les services que ceux-ci ont demandé.
La Législation québécoise s’applique aux renseignements personnels détenus par tout
bureau de professionnels dont certains membres ou tous les membres font partie d’un ordre
professionnel ou d’une association professionnelle, si cela est prévu par le Code des
professions (RLRQ c. 26).
On pourrait vouloir prétendre que les professionnels, qui sont déjà soumis à leur code de
déontologie ou au Code des professions, se trouveraient ainsi exemptés des dispositions de
la Législation québécoise mais il ne pourra jamais en être de même concernant les autres
membres du personnel des bureaux de professionnels puisque ceux-ci ne sont pas soumis
à un code de déontologie ou au Code des professions.
C’est donc dire qu’un bureau de professionnels est visé par les dispositions de la
Législation québécoise, et non pas seulement les professionnels exerçant dans ce bureau.
Différentes obligations de l’Organisation selon la Législation québécoise – Exceptions
Responsabilité pour la protection des renseignements
L’Organisation a la responsabilité de protéger les renseignements personnels de ses clients
qu’elle recueille et détient. La plus haute autorité de l’Organisation doit assumer la fonction
de responsable de la protection de ces renseignements personnels (ci-après appelé le
« Responsable ») ou déléguer par écrit cette fonction à une autre personne au sein de
l’Organisation. Le titre et les coordonnées de ce Responsable doivent être accessibles aux
clients de l’Organisation.
Politiques et pratiques pour encadrer la gouvernance des renseignements personnels
L’Organisation doit déterminer et implanter des politiques et des pratiques approuvées par
le Responsable qui auront pour but d’encadrer sa gouvernance à l’égard des
renseignements personnels de ses clients et qui permettront d’en assurer la protection et la
confidentialité; de plus, l’Organisation doit rendre accessible l’information au sujet des
politiques implantées. Ces politiques de l’Organisation doivent notamment prévoir
l’encadrement s’appliquant à la conservation et à la destruction des renseignements
personnels de ses clients, les rôles et les responsabilités des membres de son personnel tout
au long du cycle de vie de ces renseignements et un processus pour traiter les plaintes en
relation avec la protection des renseignements de ses clients.
Obligations en lien avec la collecte de renseignements personnels
L’Organisation doit déterminer les fins pour lesquelles elle veut recueillir des
renseignements personnels et ce, avant même de procéder à leur collecte, et elle doit aussi
recueillir seulement les renseignements nécessaires aux fins ainsi déterminées.
Obligation d’information des personnes concernées
L’Organisation doit informer toute personne concernée par la collecte de ses
renseignements, au moment de la collecte et par la suite, sur demande, des éléments
suivants : 1) les fins pour lesquelles ses renseignements sont recueillis; 2) les moyens par
lesquels ceux-ci sont recueillis; 3) ses droits d’accès et de rectification concernant ses
renseignements; et 4) son droit de retirer son consentement à la communication ou à
l’utilisation de ses renseignements recueillis.
Toute personne concernée a le droit d’être informée du nom du tiers pour qui la collecte de
ses renseignements est faite, si tel est le cas, ainsi que du nom des tiers ou des catégories
de tiers à qui il est nécessaire de communiquer ses renseignements personnels, si
applicable.
Obligation de divulguer tout incident de confidentialité – Tenue d’un registre
Advenant qu’un incident de confidentialité se produise et qu’il implique un renseignement
personnel que l’Organisation détient, celle-ci doit prendre les mesures raisonnables pour
diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de
même nature ne se produisent. Dans le but d’évaluer qu’un incident de confidentialité
survenu présente un tel risque, l’Organisation doit considérer la sensibilité de tel
renseignement, les conséquences possibles suite à son utilisation et la probabilité qu’il soit
utilisé à des fins préjudiciables ou malfaisantes.
L’Organisation doit tenir un registre des incidents de confidentialité et en transmettre sur
demande une copie à la Commission d’accès à l’information du Québec (la
« Commission »); ce registre doit être conservé pendant une période minimale de cinq ans
suivant tout incident dont l’Organisation a pris connaissance. L’Organisation doit
divulguer tout incident par un avis écrit envoyé à la Commission et à toute personne
concernée. Un règlement a précisé le contenu de ces avis et du registre des incidents à tenir.
Exceptions pour une utilisation à une autre fin, sans le consentement de la personne
concernée
La Législation québécoise prévoit qu’un renseignement personnel ne peut être utilisé
qu’aux fins pour lesquelles il a été recueilli, sauf en obtenant le consentement de la
personne concernée, mais elle prévoit aussi deux exceptions à ce principe.
Ces deux exceptions s’appliquent à toutes les organisations visées par la Législation
québécoise pour leur permettre une utilisation autre des renseignements recueillis sans
obtenir un consentement préalable, dans l’un ou l’autre des cas suivants : 1) si l’utilisation
des renseignements est nécessaire aux fins de fournir la prestation d’un service demandé
par la personne concernée; et 2) si l’utilisation des renseignements est manifestement au
bénéfice de la personne concernée.
Exceptions pour la communication d’un renseignement, sans le consentement de la
personne concernée
La Législation québécoise prévoit qu’un renseignement personnel ne peut être
communiqué à autrui, sauf en obtenant le consentement de la personne concernée, mais
elle prévoit aussi deux exceptions à ce principe.
Les organisations visées par la Législation québécoise peuvent communiquer des
renseignements personnels qu’elles ont recueillis, à toute personne ou à tout organisme si
cette communication est nécessaire à l’exercice d’un mandat ou à l’exécution d’un contrat
de service ou d’entreprise qu’elles confient à cette personne ou à cet organisme. Toutefois,
deux conditions doivent alors s’appliquer : 1) le mandat ou le contrat doit être mis par écrit;
et 2) parmi les dispositions de tel mandat ou contrat, il faut prévoir les mesures que le
mandataire ou l’exécutant du contrat doit prendre pour assurer la protection du caractère
confidentiel de ces renseignements.
Les organisations visées par la Législation québécoise peuvent aussi communiquer un
renseignement personnel s’il est nécessaire aux fins de la conclusion d’une transaction
commerciale. Le récipiendaire de tel renseignement doit alors convenir de l’utiliser
uniquement aux fins de la conclusion de cette transaction et de ne pas le communiquer sans
avoir obtenu un consentement au préalable ou seulement si la Législation québécoise le
prévoit ou l’exige.
Impact de la Législation québécoise sur le personnel
Selon la Législation québécoise, un renseignement personnel n’est accessible, sans obtenir
le consentement de la personne concernée, aux membres du personnel d’une organisation
visée par la Législation québécoise qui ont qualité pour connaître tel renseignement qu’à
la seule condition que ce renseignement soit nécessaire à l’exercice de leurs fonctions. La
Législation québécoise restreint ainsi l’utilisation des renseignements personnels.
PARTIE 2
ÉLÉMENTS DE LA LÉGISLATION QUÉBÉCOISE S’APPLIQUANT À
L’ORGANISATION
Il est entendu que l’Organisation recueille, détient et conserve les renseignements
personnels de ses clients, des renseignements considérés généralement comme sensibles;
elle peut aussi communiquer parfois ces renseignements afin de fournir les produits et/ou
services demandés.
L’Organisation ne peut recueillir que les renseignements nécessaires à l’exécution de ses
travaux ou ses services pour ses clients et de plus, elle ne peut les utiliser qu’aux fins pour
lesquelles ils ont été recueillis, sous réserve de toute exception pouvant s’appliquer.
L’Organisation détient des dossiers numériques mais possède aussi une voûte matérielle
où se retrouvent des dossiers de ses clients.
L’Organisation doit désigner un Responsable qui doit voir à la protection des
renseignements recueillis auprès de ses clients et rendre accessibles le titre et les
coordonnées du Responsable.
L’Organisation doit établir et implanter des politiques et des pratiques approuvées par le
Responsable afin d’encadrer sa gouvernance à l’égard des renseignements personnels de
ses clients et rendre accessibles ces politiques à ses clients.
L’Organisation doit informer, lors de la collecte de renseignements, toute personne
concernée des éléments suivants: 1) les fins pour lesquelles ses renseignements sont
recueillis; 2) les moyens par lesquels ceux-ci sont recueillis; 3) ses droits d’accès et de
rectification concernant ses renseignements; et 4) son droit de retirer son consentement à
la communication ou à l’utilisation de ses renseignements.
En prévision de la possibilité qu’un incident de confidentialité se produise, l’Organisation
doit prévoir les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé
suite à un tel incident et tenir un registre des incidents de confidentialité.
L’Organisation bénéficie d’une exception pour une utilisation autre des renseignements
personnels recueillis sans obtenir le consentement des personnes concernées, à la condition
que telle utilisation soit nécessaire pour fournir la prestation d’un service au client ou à la
condition que telle utilisation soit au bénéfice du client.
L’Organisation peut communiquer les renseignements personnels de ses clients à toute
personne ou organisme si cela est nécessaire à : 1) l’exercice d’un mandat ou à l’exécution
d’un contrat de service ou d’entreprise qu’elle leur confie, pourvu que l’Organisation
respecte deux conditions : le mandat ou le contrat confié est mis par écrit et il prévoit les
mesures que le mandataire ou l’exécutant du contrat doit prendre pour assurer la protection
du caractère confidentiel des renseignements transmis; et 2) la conclusion d’une transaction
commerciale.
L’Organisation ne pourra, sans obtenir le consentement des personnes concernées, rendre
accessibles des renseignements personnels aux membres de son personnel ayant qualité
pour les connaître qu’à la seule condition que ces renseignements soient nécessaires à
l’exercice de leurs fonctions.
PARTIE 3
MESURES DE L’ORGANISATION POUR SE CONFORMER À LA
LÉGISLATION QUÉBÉCOISE
→ Mesures déjà mises en oeuvre
L’Organisation a déjà mis en oeuvre l’une ou l’autre des mesures mentionnées ci-dessous
pour se conformer aux dispositions de la Législation québécoise et ce, aux fins d’assurer
la protection et la confidentialité des renseignements personnels de ses clients. Certaines
mesures peuvent être d’ordre général et d’autres d’ordre spécifique.
Désigner le plus haute autorité de l’Organisation comme étant le Responsable ou encore,
déléguer par écrit cette fonction à une autre personne au sein de l’Organisation et rendre
accessibles à ses clients le nom, le titre et les coordonnées du Responsable et en faire la
publication auprès de ses clients ou sur le site web de l’Organisation, le cas échéant.
Divulguer tout incident de confidentialité à la personne concernée et la Commission
d’accès à l’information par l’envoi d’un avis écrit.
Advenant un incident de confidentialité, mettre en place des mesures pour diminuer les
risques qu’un préjudice soit causé.
Déterminer les fins pour lesquelles l’Organisation peut recueillir des renseignements
auprès de ses clients.
Déterminer le délai de conservation des renseignements personnels des clients de
l’Organisation et lorsque nécessaire, établir un calendrier de conservation pour mieux
les gérer.
Établir des protocoles de communication sécuritaires standardisés et des mesures de
sécurité notamment un processus de chiffrement ou d’encryptage s’appliquant lors de
la transmission à des tiers de renseignements personnels appartenant à des clients de
l’Organisation, le cas échéant.
Déterminer les renseignements à recueillir qui sont nécessaires à l’exécution de ses
travaux ou ses services pour ses clients et utilisés qu’aux seules fins pour lesquelles ils
ont été recueillis et établir des mesures de contrôle à cet effet.
Faire signer à toute personne recevant des renseignements personnels des clients de
l’Organisation une entente de confidentialité s’appliquant aux renseignements transmis
et prévoyant les mesures à prendre pour en protéger la confidentialité.
→ Mesures à mettre en oeuvre
L’Organisation verra à mettre en oeuvre dans les meilleurs délais l’une ou l’autre des
mesures mentionnées ci-dessous pour se conformer aux dispositions de la Législation
québécoise et ce, aux fins d’assurer la protection et la confidentialité des renseignements
personnels de ses clients. Certaines mesures peuvent être d’ordre général et d’autres
d’ordre spécifique.
Déterminer les principaux éléments et voir à la préparation et la rédaction des politiques
et des pratiques en lien avec la protection des renseignements personnels de ses clients
qui doivent être approuvées par le Responsable, en vue de leur mise en oeuvre au sein
de l’Organisation. Rendre ces politiques et pratiques accessibles auprès de ses clients.
Préparer un résumé de ces politiques et pratiques pour ses clients afin de leur remettre
en personne ou leur envoyer par courriel ou le publier sur le site web de l’Organisation,
le cas échéant. Ces politiques et pratiques servent notamment d’encadrement pour la
conservation et la destruction des renseignements de ses clients, pour les rôles et les
responsabilités des membres de son personnel tout au long du cycle de vie de ces
renseignements et pour un processus visant le traitement des plaintes en relation avec la
protection des renseignements de ses clients.
Déterminer les différents points à soumettre verbalement à chaque client de
l’Organisation lors de la collecte de ses renseignements, pour l’informer des éléments
suivants : 1) les fins pour lesquelles ses renseignements sont recueillis; 2) les moyens
par lesquels ceux-ci sont recueillis; 3) ses droits d’accès et de rectification concernant
ses renseignements; et 4) son droit de retirer son consentement à la communication ou
à l’utilisation de ses renseignements.
Voir à la préparation et la rédaction de modèles pour les ententes requises aux fins de
bénéficier de certaines exemptions prévues par la Législation québécoise concernant
l’obtention préalable du consentement d’une personne concernée.
Tenir un registre des incidents de confidentialité pour prendre en compte les cas où de
tels incidents pourraient se produire, selon le contenu de ce registre établi par règlement
et par la suite, tenir ce registre à jour. Advenant l’avènement de tout tel incident,
l’Organisation doit en aviser par écrit la Commission d’accès à l’information du Québec
et toute personne concernée, selon le contenu de ces avis établi par règlement.
Déterminer la transmission des renseignements personnels des clients de l’Organisation
auprès de quels types de sociétés ou d’entreprises (fournisseurs, sous-contractants, etc.)
et à quels endroits à l’extérieur du Québec.
Déterminer toute situation nécessitant une utilisation autre par l’Organisation des
renseignements recueillis auprès de ses clients, sans obtenir le consentement des
personnes concernées.
Déterminer toute situation nécessitant la communication des renseignements personnels
de ses clients à toute personne ou organisme ainsi que les conditions applicables à telle
communication et voir à faire signer une entente à ces personnes ou organismes.
Communiquer à des tiers, sans le consentement préalable du client, des renseignements
recueillis si cela est nécessaire à l’exécution d’un mandat ou d’un contrat de service ou
d’entreprise si tel mandat ou contrat est par écrit et prévoit les mesures à prendre pour
en protéger la confidentialité.
Communiquer, sans le consentement préalable du client, des renseignements recueillis
si cela est nécessaire pour conclure une transaction commerciale, le récipiendaire des
renseignements devant convenir de les utiliser que pour cette transaction et de ne pas
les communiquer à son tour sans un consentement préalable.
PARTIE 4
MESURES DE L’ORGANISATION POUR SON SYSTÈME INFORMATIQUE
Il est reconnu qu’un système informatique performant et efficace assure beaucoup mieux
la protection de la confidentialité des renseignements personnels des clients de toute
organisation visée par la Législation québécoise.
→ Mesures déjà mises en oeuvre
L’Organisation ou son ou ses fournisseurs informatiques ont déjà mis en oeuvre l’une ou
l’autre des mesures mentionnées ci-dessous pour se doter d’un système informatique
performant et bien gérer les renseignements personnels y contenus ainsi que son personnel
y ayant accès.
Gérer les accès des membres de son personnel à son système informatique, en utilisant
des mesures simples mais efficaces pour assurer cette gestion.
S’assurer qu’il y a des mesures de sécurité requises pour accéder à son système
informatique, notamment des mots de passe, et mettre en place un mécanisme pour
déterminer les accès sécurisés à son système informatique.
Déterminer les niveaux de sécurité requis pour chacun des membres de son personnel
ayant accès à son système informatique.
Déterminer le mode de fonctionnement des mots de passe utilisés par les membres de
son personnel accédant à son système informatique et voir à ce que ces membres le
respectent en établissant des mesures de contrôle.
Établir un accès sélectif aux données sur son système informatique pour les membres
de son personnel qui ont été autorisés uniquement.
Établir des restrictions pour que seulement son personnel autorisé puisse accéder à
certains de ses équipements informatiques identifiés au préalable.
Établir les tâches et responsabilités des membres de son personnel s’occupant, au niveau
de son système informatique, de la protection des renseignements personnels de ses
clients et ce, tout au long du cycle de vie de ces renseignements.
Établir les mesures de protection devant s’appliquer à son système informatique en lien
avec les renseignements personnels de ses clients recueillis et conservés.
Nommer une personne chargée de la mise en oeuvre pour son système informatique des
mesures de protection des renseignements personnels de ses clients.
Établir une liste exhaustive (inventaire) des renseignements personnels de ses clients
recueillis et détenus.
Déterminer les membres de son personnel responsables de l’inventaire des
renseignements personnels de ses clients.
Utiliser et mettre à jour des anti-virus et des anti-logiciels espions sur son système
informatique.
Utiliser un procédé de chiffrement sécuritaire des données, c’est-à-dire encrypter les
renseignements personnels de ses clients.
Utiliser des équipements « coupe-feu » sur son système informatique pour éviter toute
intrusion non contrôlée provenant de l’Internet.
Utiliser des mécanismes de fin de session automatique pour désactiver au besoin toute
connexion inactive avec l’Internet pendant un certain temps.
Demander à son personnel autorisé à accéder aux renseignements personnels de ses
clients de vider la mémoire cache de leur fureteur afin d’éviter que les informations sur
toute session précédente tombent sous des regards indiscrets.
Posséder des mécanismes offrant une protection des données, notamment contre l’accès
non autorisé aux renseignements personnels.
Établir une méthodologie pour déterminer les dossiers actifs et les dossiers inactifs de
l’Organisation et mettre en place un mécanisme pour distinguer les dossiers selon l’un
de ces deux types.
→ Mesure à mettre en oeuvre
L’Organisation ou son ou ses fournisseurs informatiques verront à mettre en oeuvre dans
les meilleurs délais l’une ou l’autre des mesures mentionnées ci-dessous pour être en
mesure de se doter d’un système informatique performant et de bien gérer les
renseignements personnels y contenus ainsi que son personnel y ayant accès.
Tenir des activités de formation traitant de la protection des renseignements personnels
de ses clients pour les membres de son personnel s’occupant, au niveau de son système
informatique, de la protection de ces renseignements.
PARTIE 5
ÉTABLIR UNE LISTE (INVENTAIRE) DES RENSEIGNEMENTS
PERSONNELS RECUEILLIS PAR L’ORGANISATION
Il est important pour l’Organisation de comprendre et gérer au mieux le flux des
renseignements personnels qu’elle recueille auprès de ses clients et ce, pour en assurer la
protection de manière efficace, facile et rapide.
Pour ce faire, il est important pour l’Organisation d’établir une liste exhaustive (inventaire)
des renseignements personnels qu’elle recueille et détient, ce qui lui permet de s’assurer
qu’aucun de ces renseignements n’entre ou ne sort de son système sans être recensé;
l’Organisation pourra alors démontrer facilement qu’elle a adopté une culture du respect
de la vie privée, incluant la protection des renseignements personnels. Une telle liste peut
aussi lui devenir très utile lors des évaluations des facteurs relatifs à la vie privée que
l’Organisation peut être appelée à faire.
En effet, si l’Organisation ne comprend pas le flux des renseignements qu’elle recueille, il
devient difficile de savoir que ses activités sont conformes aux dispositions de la
Législation québécoise.
Pour bâtir cette liste exhaustive, l’Organisation doit tout d’abord choisir l’approche à
adopter et le format à privilégier.
Processus pour établir la liste exhaustive des renseignements personnels recueillis
L’Organisation doit déterminer la source principale à partir de laquelle les renseignements
personnels sont recueillis et en faire une liste exhaustive (inventaire) tout en établissant si
ces renseignements sont de nature sensible ou non; elle doit aussi déterminer à quel endroit
ces renseignements sont conservés. L’Organisation doit ensuite associer les
renseignements contenus dans cette liste exhaustive aux consentements qu’elle a obtenus
aux fins d’en faire la collecte, l’utilisation et la transmission; par la suite, elle doit aussi
établir les objectifs poursuivis en vue d’en faire la collecte, l’utilisation et la transmission.
Ce processus implique également ce qui suit pour l’Organisation : 1) déterminer le délai
de conservation de ces renseignements et si possible, établir un calendrier de conservation
pour en assurer une meilleure gestion; 2) choisir les mesures de sécurité permettant de
protéger adéquatement ces renseignements, en fonction notamment de leur niveau de
sensibilité; et 3) établir à qui ou à quels endroits ces renseignements sont transmis, en tenant
compte des endroits géographiques concernés et tout en mettant en place des protocoles
applicables lors de leur transmission auprès de tiers afin de mieux les protéger.
L’Organisation doit également déterminer les membres de son personnel responsables
d’établir cette liste exhaustive, les moyens automatisés à utiliser pour l’établir et déterminer
une stratégie de mise à jour de celle-ci.
Mesures de l’Organisation pour une liste exhaustive des renseignements personnels
→ Mesures déjà mises en oeuvre
L’Organisation ou son ou ses fournisseurs informatiques ont déjà mis en oeuvre l’une ou
l’autre des mesures mentionnées ci-dessous concernant la liste exhaustive des
renseignements personnels qu’elle recueille et détient.
Déterminer les membres de son personnel responsables d’établir la liste exhaustive des
renseignements personnels et de la tenir à jour.
Choisir le format pour établir cette liste exhaustive.
Établir la liste exhaustive (inventaire) de tous les renseignements personnels et données
recueillis et les associer aux consentements déjà obtenus, le cas échéant.
Déterminer où conserver les renseignements répertoriés.
Établir le délai de conservation des renseignements répertoriés et le cas échéant, prévoir
un calendrier de conservation.
Déterminer les mesures de sécurité appropriées pour la protection des renseignements
répertoriés.
Confirmer les emplacements où se fait la transmission des renseignements répertoriés.
Déterminer à quels endroits géographiques se fait la communication des renseignements
répertoriés.
Déterminer des protocoles pour protéger les renseignements personnels lors de leur
transmission auprès de tiers.
Identifier, parmi la liste exhaustive des renseignements, les renseignements sensibles de
ses clients et ceux contenus dans son système informatique.
Déterminer les seuls membres de son personnel pouvant accéder aux renseignements
sensibles des clients et à ceux contenus dans le système informatique.
→ Mesure à mettre en oeuvre
L’Organisation verra à mettre en oeuvre dans les meilleurs délais l’une ou l’autre des
mesures mentionnées ci-dessous concernant la liste exhaustive des renseignements
personnels qu’elle recueille et détient.
Établir les mesures de sécurité s’appliquant spécifiquement aux renseignements
sensibles de ses clients afin de les protéger adéquatement.
PARTIE 6
MESURES DE L’ORGANISATION POUR SON PERSONNEL
→ Mesures déjà mises en oeuvre
L’Organisation a déjà mis en oeuvre l’une ou l’autre des mesures mentionnées ci-dessous
pour bien gérer son personnel ayant notamment accès aux renseignements personnels de
ses clients.
Faire des enquêtes ou des vérifications de pré-emploi avant l’embauche de tout membre
de son personnel.
Déterminer les membres de son personnel ayant qualité pour connaître les
renseignements personnels de ses clients, en faisant abstraction des renseignements
sensibles.
Faire signer des ententes de confidentialité à tous les membres de son personnel ayant
accès, régulièrement ou non, aux renseignements personnels de ses clients.
Mettre en place un mécanisme pour gérer les autorisations de son personnel accédant
aux renseignements personnels de ses clients.
Déterminer et appliquer des mesures de contrôle s’appliquant à son personnel qui est
autorisé à accéder aux renseignements personnels de ses clients.
Déterminer les membres de son personnel en charge de la conservation et de la
destruction des renseignements personnels de ses clients.
Rendre accessibles, sans obtenir le consentement des personnes concernées, les
renseignements personnels de ses clients aux membres de son personnel ayant qualité
pour les connaître seulement si ces renseignements sont nécessaires à l’exercice de leurs
fonctions et établir des mesures de contrôle pour un tel accès.
PARTIE 7
MESURES DE L’ORGANISATION POUR SON SITE WEB
→ Mesures déjà mises en oeuvre
L’Organisation ou son ou ses fournisseurs informatiques ont déjà mis en oeuvre l’une ou
l’autre des mesures mentionnées ci-dessous pour bien gérer son site web.
Sécuriser les pages de son site web pour assurer la protection des renseignements
transmis sur son site web par ses clients.
Utiliser des certificats de chiffrement de données (encryptage) pour assurer la
codification de tous les renseignements personnels inscrits sur son site web.
PARTIE 8
MESURES DE L’ORGANISATION QUI EST OBLIGÉE D’AVOIR UNE VOÛTE
MATÉRIELLE
→ Mesures déjà mises en oeuvre
L’Organisation a déjà mis en oeuvre l’une ou l’autre des mesures mentionnées ci-dessous
concernant la voûte matérielle qu’elle possède.
Assurer le verrouillage adéquat de la voûte matérielle.
Déterminer les membres de son personnel ayant accès à la voûte matérielle et leur
accorder des codes de sécurité pour y accéder.
Déterminer un membre de son personnel ayant la responsabilité de la voûte matérielle.
Déterminer les mesures pour assurer la protection des renseignements personnels de ses
clients se trouvant dans la voûte matérielle.
Établir les protocoles nécessaires pour accéder à la voûte matérielle et les maintenir à
jour.
Déterminer les mesures de sécurité et de contrôle applicables pour assurer la
confidentialité des données se trouvant dans la voûte matérielle et voir à leur mise en
oeuvre et leur maintien à jour.
❧❧❧❧❧❧❧❧❧
Approuvé par l’Organisation.
Sonia Rivard, notaire
1387, chemin des Anglais
Terrebonne (Québec) J6X 4G3
Téléphone: 450-824-1475
Télécopieur: 450-824-7324
Site web : http://soniarivardnotaire.com/