Aller au contenu
Accueil » Politique de confidentialité

Politique de confidentialité

1. Introduction

Le droit au respect de la vie privée est garanti par la Charte des droits et libertés de la personne et
par le Code civil du Québec. De plus, la protection des renseignements personnels est encadrée par
la Loi sur la protection des renseignements personnels dans le secteur privé.
La présente politique établit une procédure de gestion des renseignements personnels par
l’organisation afin qu’elle recueille, détienne, conserve, utilise et communique des renseignements
personnels sur les membres, les usagers, les bénévoles, le personnel et les administrateurs de
l’organisme conformément à la loi.

La personne responsable de la protection des renseignements personnels (ci-après : « personne
responsable ») dans l’organisation est chargée de l’application et du respect de la présente politique
par les représentants de l’organisation, qu’ils soient des membres du personnel, des bénévoles ou
des administrateurs, actuels ou passés.

À cet égard, la personne responsable diffuse la présente politique sur son site Internet et la rend
disponible aux membres, aux usagers, au personnel, aux bénévoles ou aux administrateurs pour
consultation ou formation. En outre, la personne responsable détermine les directives et les
procédés nécessaires à l’application de la présente politique.

2. Objectifs

La présente politique vise à informer les membres, les usagers, le personnel, les bénévoles et les
administrateurs de l’organisation des principes qu’elle applique dans la gestion des renseignements
personnels qu’elle détient sur eux.
Par ailleurs, elle énonce les règles de conduite auxquelles l’organisation exige que ses membres,
ses usagers, son personnel, ses bénévoles et ses administrateurs obéissent lorsqu’ils ont accès aux
renseignements personnels détenus sur autrui par l’organisation.
Pour l’application de la présente politique, l’organisation respecte les principes suivants :

• Recueillir uniquement les renseignements personnels nécessaires à la bonne gestion des
opérations;
• Aviser les personnes concernées dès que leurs renseignements personnels sont exigés de
l’utilisation et de la communication qui en seront faites;
• Informer les personnes concernées de leurs droits, particulièrement relativement aux plaintes, et
obtenir leur consentement, lorsque requis par la loi;
• Assurer la sécurité et la confidentialité des renseignements personnels qu’elle détient sur autrui
en encadrant leurs conservation, rectification et destruction tout en s’assurant de prévoir les
rôles et les responsabilités des membres de son personnel tout au long de leur cycle de vie.

Dans l’ordre de ces principes, l’organisation procède ponctuellement à l’épuration et à la fusion des
dossiers, à la révision de ses formulaires et de ses pratiques, à des mises à jour ainsi qu’à la mise
en place d’un emplacement dédié à la conservation et à la consultation des renseignements
personnels. L’organisation peut également se soumettre à des inspections de la part d’un évaluateur
indépendant permettant de valider la qualité de la protection que fait l’organisation de ses
renseignements personnels.

3. Définition d’un renseignement personnel

Les renseignements personnels sont ceux qui portent sur une personne physique et permettent de
l’identifier. Ces renseignements sont confidentiels et doivent être traités comme tels.

Dans l’organisation, sont notamment considérés comme des renseignements personnels : nom,
prénom, signature, adresse résidentielle, dossier médical, prescription de médicaments, numéros de
téléphone, adresse courriel, image et voix d’une personne, données biométriques, état de santé,
dossier relatif à l’emploi, information bancaire/financière, données informatiques, informations qui
concernent sa famille, ses amis et d’autres personnes liées, numéro d’assurance sociale, numéro
d’assurance maladie et numéro de permis de conduire ainsi que tout document sur lequel se
retrouve ces renseignements ou tout document qui réfère à l’existence d’une personne en
particulier.

4. Collecte des renseignements personnels

L’organisation recueille des renseignements personnels lorsqu’elle a un intérêt sérieux et légitime de
le faire. Des renseignements personnels peuvent être recueillis par des formulaires intégrés sur son
site Internet, par entretien téléphonique, par l’entremise d’un formulaire papier ou par toute
interaction entre des personnes physiques et l’organisation et/ou ses parties prenantes.

L’organisation recueille notamment des renseignements personnels pour la gestion des :
a) Profils-membres;
b) Profils-usagers;
c) Profils des membres du personnel et des bénévoles;
d) Incidents, dont ceux avec de possibles répercussions sur la responsabilité civile de
l’organisation ou toute personne liée à celle-ci;
e) Demandes d’information sur les services.

Lorsqu’elle recueille des renseignements personnels, l’organisation ne conserve que ceux qui sont
nécessaires à son bon fonctionnement. L’organisation est en mesure de justifier la raison pour
laquelle elle requiert chaque renseignement personnel.

L’organisation recueille les renseignements personnels auprès de la personne concernée, à moins
que cette dernière consente à ce que l’organisation obtienne ces renseignements auprès d’un tiers.
En ce cas, l’organisation soumet à la personne concernée le Formulaire d’autorisation à l’échange
de renseignements personnels avec un tiers, à l’Annexe 1.

L’organisation peut toutefois recueillir ces renseignements personnels auprès d’un tiers, sans le
consentement de la personne concernée, si la collecte, quoique faite dans son intérêt, ne peut être
effectuée auprès d’elle en temps opportun. Elle le peut également pour vérifier l’exactitude de ces
renseignements obtenus auprès de la personne concernée ou si la loi l’autorise.

L’information qui est déjà ou qui devient connue par le public (information sur des sites Internet ou
des profils sur les médias sociaux) peut également être recueillie par l’organisation sans qu’il soit
nécessaire de la transmettre directement. Dans ce cas, l’organisation s’engage néanmoins à la
recueillir de manière raisonnable et avec discernement. La collecte d’informations par l’entremise de
témoins de navigation (« cookies ») sera clairement expliquée sur son site Internet et il sera possible
de refuser ceux qui ne sont pas nécessaires.

Lorsque l’organisation recueille des renseignements personnels auprès d’une personne morale, elle
inscrit la source de ces renseignements, à moins qu’il s’agisse d’un dossier d’enquête constitué en
vue de prévenir, détecter ou réprimer un crime ou une infraction à la loi.

Avant que l’organisation recueille un renseignement personnel, elle informe la personne concernée :
a) Des fins auxquelles ces renseignements sont recueillis (collecte);
f) Des moyens par lesquels les renseignements sont recueillis;
g) De son droit de retirer son consentement à la communication ou à l’utilisation des
renseignements recueillis;
h) Du nom du tiers pour qui la collecte est faite;
i) Des coordonnées du responsable de protection des renseignements personnels;
j) Des catégories de personnes, y compris les tiers, pouvant y avoir accès;
k) De l’endroit où ses renseignements personnels seront conservés;
l) Des mesures de protection mises en place;
m) De ses droits d’accès et de rectification prévus par la loi.

Si la personne concernée refuse de donner les renseignements personnels demandés par
l’organisation ou refuse de consentir à l’échange de renseignements personnels avec un tiers, il
revient à la personne responsable de décider de transiger ou non avec la personne concernée.

5. Protection des renseignements personnels

Les dossiers physiques contenant des renseignements confidentiels sont gardés sous clé dans un
classeur ou dans un emplacement dédié à cette fin par la personne responsable et auquel l’accès
est sécurisé. Les membres du personnel sont prohibés de quitter les lieux de travail avec des
renseignements personnels sans l’approbation de l’organisation. Les bureaux de l’organisation sont
également sécurisés à l’aide d’un code d’accès connu uniquement par le personnel ou un
mécanisme de serrure.

Les dossiers informatiques contenant des renseignements personnels sont quant à eux protégés
par un chiffrement ou un mot de passe. Les renseignements personnels sont conservés
numériquement dans un réseau local hors ligne qui empêche des individus de s’immiscer dans les
dossiers de l’organisation.

Les renseignements personnels sont conservés dans un serveur infonuagique pour lequel l’entrée
d’un mot de passe sécurisé est requise. Une connexion VPN est également nécessaire pour
accéder à certains renseignements. L’organisation s’est dotée d’un mur pare-feu et d’un logiciel
antivirus pour limiter la portée d’attaques malveillantes.

Les catégories de personnes qui ont accès aux renseignements personnels lorsque l’exercice de
leur fonction le requiert sont les suivantes :
a) Les membres du conseil d’administration;
n) Le personnel

L’organisation exige de toute personne occupant un poste dans l’une ou l’autre de ces catégories
qu’elle remplisse le Formulaire d’engagement à la confidentialité, à l’Annexe 2. L’organisation
s’assure également de prévoir les rôles et les responsabilités des membres de son personnel tout
au long du cycle de vie de ces renseignements afin qu’ils comprennent comment mettre en œuvre la
politique dans leur quotidien.

6. Responsable de la politique

Madame Marguerite Harvey est responsable de la protection des renseignements personnels au
sein de l’organisation en conformité avec l’article 3.1 de la Loi sur la protection des renseignements
personnels dans le secteur privé. Madame Harvey est présidente du conseil d’administration de
l’organisation. Il est possible de la rejoindre au 418 438-2115, à cabloiac2115@gmail.com

En plus de ses autres fonctions, la personne responsable s’assure également que le personnel de
l’organisation comprenne les enjeux en matière de protection des renseignements personnels.

7. Utilisation des renseignements
personnels

Les renseignements personnels recueillis par l’organisation sont utilisés ou communiqués aux
seules fins pour lesquelles ils ont été recueillis à moins que la personne concernée y consente ou
que la loi l’exige. Les renseignements personnels sont principalement utilisés afin de faciliter la
prestation des services aux membres, clients et usagers. Cependant, ils peuvent aussi être utilisés
pour des fins d’étude de marché, distribution d’infolettres (il sera possible de cesser son
abonnement en tout temps), d’embauche de personnel ou pour toute raison détaillée lors de la
collecte des renseignements personnels.

Les renseignements personnels ne seront jamais vendus à des tiers, à moins que l’organisation
obtienne un consentement à cet effet.

L’organisation veille, de plus, à ce que les renseignements personnels qu’elle détient sur autrui
soient à jour et exacts au moment où elle les utilise pour prendre une décision relativement à la
personne concernée.

8. Conservation et destruction des renseignements personnels

Lorsque l’objet pour lequel un renseignement personnel a été recueilli est réalisé, l’organisation le
détruit, à moins de circonstances exceptionnelles. Conformément à la loi, les renseignements
personnels sont conservés au moins un (1) an après toute décision concernant la personne
concernée. Les renseignements personnels faisant l’objet d’une demande d’accès ou de rectification
sont conservés jusqu’à l’épuisement des recours prévus par la loi. Par ailleurs,
l’organisation conserve un renseignement personnel pour la durée requise par les autorités
gouvernementales auprès desquelles elle est redevable.

Sous réserve des autres obligations légales/déontologiques quant à la conservation des dossiers
que doivent respecter l’organisation et les personnes qui travaillent pour son compte, la personne
concernée peut demander que tout dossier la concernant lui soit remis et que tout renseignement
personnel autrement détenu par l’organisation soit détruit. La destruction de renseignements
personnels peut également entrainer l’impossibilité pour l’organisation de continuer à offrir des biens
et services. Cela va de même advenant le cas où la personne concernée ne consent plus à la
présente politique.

L’organisation ne jette au rebut aucun document qui contient un renseignement personnel
susceptible d’être reconstitué. À chaque fois que cela est possible, ces pièces sont détruites ou
déchiquetées. À défaut, l’organisation recourt, selon le cas, au formatage, à la réécriture, au
déchiquetage numérique, à la démagnétisation ou à l’écrasement des informations.

9. Droit d’accès et de transfert des renseignements
personnels

À la demande verbale ou écrite d’une personne concernée ou de celle établissant sa qualité de
représentant, héritier, successeur, administrateur de la succession, bénéficiaire d’une assurance-vie
ou de titulaire de l’autorité parentale de la personne concernée, l’organisation lui confirme qu’elle
détient des renseignements personnels relatifs à la personne concernée.

À la demande écrite d’une personne concernée ou de l’une des personnes désignées au précédent
paragraphe, l’organisation lui permet, dans les trente (30) jours de la réception de la demande, de
consulter ou de transférer, selon le cas, son dossier ou celui de la personne concernée et lui
divulgue tout renseignement personnel y étant consigné. Cependant, l’organisation peut refuser la
divulgation d’un renseignement personnel dans les cas suivants :
a) Elle ne concerne pas les intérêts et les droits de la personne qui le demande à titre de
liquidateur, de bénéficiaire, d’héritier ou de successible au liquidateur de la succession;
o) Elle révélerait vraisemblablement un renseignement personnel sur un tiers ou l’existence d’un
tel renseignement et que cette divulgation serait susceptible de nuire sérieusement à ce tiers, à
moins que ce dernier y consente;
p) Elle est interdite par la loi, une enquête en cours ou une ordonnance du tribunal.
En cas de refus, l’organisation le motive par écrit à la personne concernée dans ce même délai de
trente (30) jours et l’informe de son droit de contester la décision devant la Commission d’accès à
l’information. À défaut de répondre à une demande d’accès dans ce délai, l’organisation est réputée
avoir refusé l’accès, auquel cas la personne intéressée peut s’adresser à la Commission d’accès à
l’information pour faire valoir ses droits.

Malgré ce qui précède, l’organisation ne peut refuser à une personne concernée de lui divulguer un
renseignement personnel la concernant s’il s’agit d’un cas d’urgence mettant en danger la vie, la
santé ou la sécurité de la personne concernée.

Toutefois, l’organisation peut refuser momentanément la consultation des renseignements
personnels relatifs à la santé qu’elle détient sur la personne concernée dans le cas où il en
résulterait un préjudice grave pour sa santé et à la condition de lui offrir de désigner un
professionnel du domaine de la santé pour recevoir la communication de tels renseignements et de
les communiquer à ce dernier. Ce professionnel détermine alors le moment où la consultation
pourra être faite et en avise la personne concernée.

Lorsqu’une demande de consultation ou de rectification de renseignements personnels est faite à un
représentant de l’organisation, celui-ci invite le requérant à remplir le Formulaire de demande
d’accès ou de rectification de renseignements personnels, à l’Annexe 3, à moins que la demande ait
été présentée par écrit. Il achemine ensuite le formulaire complété par le requérant ou sa demande
écrite à la personne responsable qui veille à l’analyser et, selon le cas, à déterminer les modalités
d’accès, la façon d’apporter les corrections demandées ou à motiver le refus.

10. Demande de rectification des renseignements personnels

À la demande écrite de la personne concernée ou d’une personne désignée au premier paragraphe
de la section « Droit d’accès et de transfert des renseignements personnels »,
l’organisation procède à la rectification de renseignements inexacts, incomplets ou équivoques,
selon le cas, à son dossier ou au dossier de la personne concernée, à l’ajout de commentaires ou à
la suppression de renseignements périmés, non justifiés par l’objet du dossier ou dont la collecte
n’était pas autorisée par la loi, et ce, dans les trente (30) jours de la réception de la demande.

En cas de refus, l’organisation le motive par écrit à la personne concernée dans ce même délai de
trente (30) jours et l’informe de son droit de contester la décision devant la Commission d’accès à
l’information. À défaut de répondre à une demande de rectification dans ce délai, l’organisation est
réputée avoir refusé d’y acquiescer, auquel cas la personne intéressée peut s’adresser à la
Commission d’accès à l’information pour faire valoir ses droits.

En acquiesçant à une demande de rectification, l’organisation délivre sans frais au requérant une
copie de tout renseignement personnel modifié ou ajouté ou, selon le cas, une attestation du retrait
d’un renseignement personnel.

Il est de la responsabilité des personnes ayant transmis leurs renseignements personnels d’aviser
l’organisation de tout changement relativement à ceux-ci. L’organisation ne peut pas être tenue
responsable de quelconque manquement dans le cas où une demande de rectification n’est pas
effectuée alors qu’elle aurait dû.

11. Communication des renseignements personnels à
un tiers

Au moment de recueillir des renseignements personnels, l’organisation soumet le Formulaire
d’autorisation à l’échange de renseignements personnels avec un tiers, à l’Annexe 1, en enjoignant
à la personne concernée de le compléter si elle consent à ce que l’organisation communique à des
tiers des renseignements personnels la concernant. L’organisation l’avisera des communications qui
seront effectuées suivant ce formulaire.

Lorsqu’un tiers qui n’est pas identifié au Formulaire d’autorisation à l’échange de renseignements
personnels avec un tiers, à l’Annexe 1, demande à l’organisation de lui communiquer des
renseignements personnels concernant un membre, un usager, un membre du personnel, un
bénévole ou un administrateur de l’organisation, l’organisation requiert du tiers qu’il obtienne un
consentement écrit de la personne concernée contenant les informations suivantes :
a) L’identification de la personne concernée;
q) Une description des renseignements personnels à communiquer;
r) L’identification du tiers à qui les renseignements peuvent être communiqués;
s) La date limite de l’autorisation;
t) La signature de la personne concernée ou de son représentant autorisé.
Toutefois, l’organisation peut communiquer des renseignements personnels à un tiers qui n’est pas
identifié sur le Formulaire d’autorisation à l’échange de renseignements personnels avec un tiers, à
l’Annexe 1, si ce tiers est :
b) Le procureur de la personne concernée;
u) Le procureur général si le renseignement est requis aux fins d’une poursuite pour infraction à
une loi applicable au Québec;
v) Une personne chargée en vertu de la loi de prévenir, détecter ou réprimer le crime ou les
infractions aux lois, qui le requiert dans l’exercice de ses fonctions, si le renseignement est
nécessaire pour la poursuite d’une infraction à une loi applicable au Québec;
w) Une personne à qui il est nécessaire de communiquer le renseignement dans le cadre de
l’application de la loi ou d’une convention collective et qui le requiert dans l’exercice de ses
fonctions;
x) Un organisme public qui, par l’entremise d’un représentant, peut en recueillir dans l’exercice de
ses attributions ou dans la mise en œuvre d’un programme dont il a la gestion;

Politique de protection des renseignements personnels
Coopérative câblodistribution de l’Ile-aux-Coudres Page 16
y) Une personne ou un organisme ayant le pouvoir de contraindre à leur communication et qui les
requiert dans l’exercice de ses fonctions (ex. : les tribunaux);
z) Une personne à qui cette communication doit être faite en raison d’une situation d’urgence
mettant en danger la vie, la santé ou la sécurité de la personne concernée;
aa) Une personne ou un organisme, conformément aux articles 18.1, 18.2, 18.3 (à compter du
22 septembre 2023 pour cet article) et 18.4 de la Loi sur la protection des renseignements
personnels dans le secteur privé;
bb) Une personne qui est autorisée à utiliser ce renseignement à des fins d’étude, de recherche ou
de statistique;
cc) Une personne qui, en vertu de la loi, peut recouvrer des créances pour autrui et qui le requiert
dans l’exercice de ses fonctions;
dd) Une personne si le renseignement est nécessaire aux fins de recouvrer une créance de
l’organisation.

L’organisation doit inscrire au dossier de la personne concernée toute communication faite en vertu
des paragraphes f) à k).

Lorsque l’organisation confie à une autre organisation le soin de détenir, utiliser ou communiquer
des renseignements personnels pour son compte, elle doit, avant de communiquer ces
renseignements personnels, recevoir l’engagement écrit de cette organisation suivant lequel elle
respecte la présente politique de protection des renseignements personnels.
Lorsque l’organisation communique des renseignements personnels à l’extérieur du Québec, elle
s’assure que ces renseignements ne seront pas utilisés à des fins non pertinentes à l’objet du
dossier ni communiqués à des tiers sans le consentement de la personne concernée, sauf aux tiers
décrits aux paragraphes a) à j) de cette section. Si l’organisation estime que ces conditions ne
seront pas respectées, elle doit refuser la communication.

12. Frais de transcription, reproduction ou transmission de renseignements personnels

L’organisation charge des frais raisonnables pour la transcription, la reproduction ou la transmission
de renseignements personnels. Ces frais sont établis par la personne responsable et sont sujets à
révision périodiquement.

Avant de procéder à la transcription, la reproduction ou la transmission de ces renseignements,
l’organisation informe le requérant du montant approximatif exigible.

13. Transmission de documents contenant des renseignements personnels

À l’occasion d’une transmission par courriel, les représentants de l’organisation indiquent, dans
l’objet, la nature confidentielle de la transmission et, dans le message, la mention de confidentialité
invitant le destinataire à communiquer avec l’expéditeur sans délai en cas de réception par erreur.
Les représentants de l’organisation indiquent, dans la signature du courriel, leur nom ainsi que
l’adresse et les numéros de téléphone et de télécopieur pour les rejoindre au travail.

À l’occasion d’une transmission par courrier, les représentants de l’organisation indiquent
clairement, sur l’emballage, le nom et l’adresse de la personne autorisée à recevoir les documents.
Ils joignent à l’envoi une lettre dans laquelle ils précisent la nature confidentielle des renseignements
et une mention de confidentialité invitant le destinataire à communiquer avec l’expéditeur sans délai
en cas de réception par erreur.

14. Définition d’un incident de confidentialité

En conformité avec la Loi sur la protection des renseignements personnels dans le secteur privé, unincident de confidentialité peut prendre les formes suivantes :

  • L’accès non autorisé par la loi à un renseignement personnel;
  • L’utilisation non autorisée par la loi d’un renseignement personnel;
  • La communication non autorisée par la loi d’un renseignement personnel;
  • La perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.

15. Processus en cas d’incident de confidentialité

En cas d’incident concernant des renseignements personnels, l’organisation s’assure de suivre la
procédure prévue dans la Loi sur la protection des renseignements personnels dans le secteur privé
et ses règlements connexes. Lorsqu’un incident présente un risque de préjudice sérieux, la
Commission d’accès à l’information (CAI) ainsi que les personnes concernées par l’incident seront
avisées dans la mesure où la situation le permet, et ce, le plus rapidement possible suivant la
connaissance de l’incident. Le contenu de ces avis est prévu aux Annexes 4 et 5 respectivement.

Si des tiers doivent être contactés afin de mitiger les dommages pouvant découler de l’incident, la
personne responsable de la protection des renseignements personnels s’assurera de communiquer
uniquement les renseignements personnels nécessaires à cette fin ainsi que d’enregistrer cette
communication. Un registre des incidents sera mis à jour par la personne responsable de la
protection des renseignements personnels. Le contenu de ce registre se trouve à l’Annexe 6.

En transmettant des renseignements personnels à l’organisation, il est entendu que les personnes
concernées comprennent que l’organisation déploie les meilleures pratiques de travail et
mécanismes de protection afin de limiter la possibilité de la survenance d’un quelconque incident,
fuite ou mauvaise utilisation des renseignements personnels. Cependant, l’organisation ne peut
garantir une sécurité infaillible à tout scénario envisageable.

Lorsqu’une personne concernée remarque qu’un incident concernant ses renseignements
personnels aurait pu avoir lieu au sein de l’organisation, elle doit contacter la personne responsable
de la protection des renseignements personnels aux coordonnées affichées ci-haut. Les
plaintes/signalements sont traités dans un maximum de trente (30) jours après leur dépôt.

16. Inapplication de la politique

Lorsqu’une personne concernée quitte le site Internet de l’organisation pour n’importe quel autre site
Internet dont le lien figure sur celui de l’organisation, la présente politique n’est plus applicable. Il
faut alors se référer à leur politique, le cas échéant.

Lorsqu’une loi, un règlement ou une ordonnance du tribunal fait en sorte de contraindre
l’organisation à transmettre des renseignements personnels, il est entendu que l’organisation ne
peut pas garantir le niveau de confidentialité et sécurité institué par la personne ou le gouvernement
qui se les voit conférer.

Advenant une fusion ou autre restructuration juridique de l’organisation, cette dernière pourra
transmettre tous les renseignements personnels à la nouvelle entité juridique ainsi créée.

17. Modification de la politique

Toute modification sera mise à jour sur le site Internet de l’organisation et envoyée à l’adresse
courriel des personnes concernées si elles ont été transmises.

18. Adoption et entrée en vigueur de la présente politique

La présente politique est adoptée le : 25 octobre 2023
La présente politique entre en vigueur le : 25 octobre 2023

Annexes


Annexe 1 – Formulaire d’autorisation à l’échange de renseignements personnels avec un tiers
Annexe 2 – Formulaire d’engagement à la confidentialité
Annexe 3 – Formulaire d’accès et de rectification de renseignements personnels
Annexe 4 – Contenu de l’avis à la CAI en cas d’incident de confidentialité
Annexe 5 – Contenu de l’avis aux personnes concernées en cas d’incident de confidentialité
Annexe 6 – Contenu du registre des incidents de confidentialité

Afin d’obtenir les formulaires cités en annexe, veuillez en faire la demande à la Coopérative de
câblodistribution de L’Ile-aux-Coudres par courriel à cabloiac2115@gmail.com