Politique sur la protection des renseignements personnels du Monastère
- Généralités
Le Monastère s’engage à respecter la vie privée des individus dans la conduite de l’ensemble de ses activités. La nature même des activités du Monastère telles que l’achat de billets, les communications avec les abonné·e·s, les donateur·rice·s, les partenaires, les commanditaires, les collaborateur·rice·s, les employé·e·s et les bénévoles implique la collecte, l’utilisation, la communication et la conservation de plusieurs renseignements personnels sensibles.
La législation en matière d’Accès à l’information et de protection de la vie privée contient des dispositions voulant que les entreprises doivent prendre des mesures pour informer et obtenir un consentement lorsqu’elles collectent des renseignements personnels. De plus, elles doivent ensuite protéger les renseignements recueillis. Non seulement une telle protection est importante pour les individus dont les renseignements personnels sont en jeu, elle l’est également pour les entreprises qui pourraient être tenues responsables ou voir leur réputation ternie suivant l’accès, l’utilisation, la conservation ou la divulgation inadéquats de renseignements personnels.
Outre les exigences en matière de protection, la loi accorde aux individus le droit de demander l’accès à leurs propres renseignements et le droit de demander la correction ou la modification de tout renseignement personnel qu’iels jugent inexact. Enfin, les mesures législatives accordent aux individus le droit de déposer une plainte s’iels croient que Le Monastère ne s’acquitte pas de ses obligations en vertu de la loi.
Une mauvaise utilisation des renseignements personnels peut entraîner de graves conséquences, tant pour Le Monastère que pour les individus impliqué·e·s. De bonnes pratiques en matière de protection de la vie privée sont essentielles à la bonne gouvernance, à la responsabilisation et à la gestion du risque.
1.1 Objectifs
La présente politique vise à définir le cadre et les responsabilités de chacun·e en lien avec ce qui suit :
- Obtention du consentement des individus en ce qui a trait à la collecte, à la conservation, à l’utilisation et à la communication de leurs renseignements personnels;
- Importance de ne pas recueillir plus d’information que nécessaire;
- Utilisation de l’information aux fins prévues;
- Vérification de l’exactitude de l’information et de sa conservation à des fins raisonnables;
- Accès des individus à l’information recueillie à leur sujet;
- Conservation et destruction de l’information; et
- Protection de l’information contre tout accès, utilisation ou divulgation inappropriée.
1.2 Portée
La présente politique s’applique à tout employé, bénévole ou un partenaire à qui Le Monastère communique des renseignements personnels ou qui recueille des renseignements personnels pour Le Monastère
1.3 Définitions
Individus : les personnes à propos desquelles Le Monastère collige, utilise et conserve des informations personnelles pour la bonne marche de ses activités. Les « individus » incluent dans ce contexte les partenaires, les bénévoles, les stagiaires, les donateur·rice·s, les commanditaires, les acheteur·euse·s de billets, les abonné·e·s, les employé·e·s et autres personnes ayant communiqué leurs données.
Renseignements personnels : un renseignement personnel se définit généralement comme de l’information qui permet d’identifier directement ou indirectement un individu. Pour que la législation en matière de respect de la protection de la vie privée s’applique, les renseignements personnels en question doivent se rapporter à un individu, identifier un individu ou permettre d’identifier un individu.
Les exemples de renseignements personnels peuvent inclure :
- Nom
- Date de naissance
- Numéro d’assurance sociale
- Adresse du domicile
- Numéro de téléphone personnel
- Adresse de courriel personnel
- Renseignements médicaux
- Salaire
- Coordonnées bancaires
- Information familiale
CONSENTEMENT EXPLICITE OU TACITE : Lorsque Le Monastère recueille des renseignements personnels auprès d’un individu, elle doit l’informer des fins auxquelles ces renseignements sont recueillis et par quels moyens, des droits d’accès et de rectification et de son droit de retirer son consentement.
Un consentement implicite (ou tacite) est un consentement qui va de soi, sans être formellement exprimé verbalement ou par écrit. Par exemple, si un·e employé·e, un·e bénévole, une personne du public ou un·e donateur·rice remplit un formulaire d’inscription, abonnement, billet ou donation, auquel cas iel peut s’attendre raisonnablement à ce que ces informations soient colligées et utilisées dans le cadre de son implication au sein du Monastère. Dans un tel cas, le particulier remet volontairement ses renseignements personnels.
Un consentement explicite (ou exprès) est parfois exigé, ce qui signifie que Le Monastère doit aviser clairement les individus (verbalement ou par écrit) qu’iels ont l’option d’y consentir ou non et obtenir un acquiescement formel de leur part. La vérification des antécédents judiciaires lors du recrutement d’une personne exige qu’elle y consente en signant un document d’autorisation de même que si on utilise la photo d’un individu dans les publications de Monastère. Des formulaires internes doivent être disponibles à ces effets.
- Principes de référence
Le Monastère recueille de l’information personnelle sur ses employé·e·s, ses donateur·rice·s, ses partenaires, ses commanditaires, ses bénévoles et des participant·e·s aux événements. Cette information est utilisée à des fins de financement, d’éducation et de sensibilisation du public, de prestation des services et des programmes, et pour établir, maintenir et gérer les relations avec ces individus.
2.1 Responsabilité
Les informations colligées sont confiées au Monastère et il est de ce fait responsable des renseignements personnels dont il a la gestion. La Direction générale est désignée responsable de la protection des renseignements personnels, afin de s’assurer du respect des principes énoncés ci-dessous. Elle peut déléguer cette fonction par écrit, en tout ou en partie, à toute personne.
Le Monastère est gardien et responsable des informations qu’il a recueilli, et cette responsabilité s’étend à tous·tes les employé·e·s, partenaires et bénévoles qui y ont accès. Tous·tes les employé·e·s, partenaires et bénévoles sont donc responsables des renseignements personnels qu’iels recueillent, contrôlent ou auxquels iels ont accès dans le cadre de leurs fonctions. Iels ont de plus l’obligation de réserve et de confidentialité, en conformité avec la présente politique et l’esprit de la Loi; tout manquement à ces dernières pourra mener à des mesures disciplinaires ou administratives, pouvant aller jusqu’au congédiement des employé·e·s, à l’expulsion des bénévoles dans les cas graves et à l’annulation de tout partenariat ou entente avec un tiers.
Les questions relatives à la protection de la vie privée sont intégrées aux ententes, aux politiques de gouvernance et aux programmes d’orientation et de formation des employé·e·s, des bénévoles, des donateur·rice·s et des partenaires.
2.2 Déterminations des fins de la collectes de renseignements
Les renseignements personnels sont recueillis auprès et au sujet des individus afin d’assurer l’efficacité des programmes, des activités, de collecte de dons, de recrutement des bénévoles, de gestion et de résiliation des relations avec les bénévoles et les employé·e·s. L’information peut également servir à tenir des statistiques ou à évaluer les stratégies de recrutement et de gestion, mais elle sera anonymisée et ne constituera plus un renseignement personnel.
La gestion adéquate des informations permet d’assurer la disponibilité des renseignements personnels pour la prise de décisions, et de protéger les droits du Monastère et des individus.
Le Monastère ne recueille que les renseignements personnels nécessaires aux fins déterminées, et procède de façon honnête et licite.
2.3 Consentement
Tout individu est informé·e de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y a consenti de manière tacite ou explicite, à moins d’exceptions prévues par la loi. Pour ce faire, Le Monastère :
- Définit clairement quels renseignements sont obligatoires et essentiels à ses processus;
- Décrit comment l’information recueillie sera utilisée dans le cadre de ses activités;
- Se montre transparent quant au moment où les renseignements personnels pourraient être divulgués et précise s’ils seront partagés avec d’autres programmes, de tiers externes;
- Précise si Le Monastère a l’intention de vérifier les renseignements personnels soumis;
- S’assure, dans la mesure du possible, que l’information fournie par les individus est complète, exacte et vraie;
- Mentionne le droit d’accès aux renseignements personnels et de leur rectification prévue par la loi
- Informe du droit de retrait du consentement à la communication ou à l’utilisation des renseignements personnels
- Indique des pénalités administratives ou autres qui peuvent s’appliquer si un individu fournit de faux renseignements;
2.4. Utilisation et communication
Les renseignements personnels ne sont pas utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis, à moins que la personne concernée n’y consente ou que la loi ne l’exige. Le Monastère ne conserve pas les renseignements personnels plus longtemps que nécessaire pour la réalisation des fins déterminées.
Par ailleurs, si Le Monastère a reçu l’autorisation au préalable, les renseignements personnels des employé·e·s, bénévoles, donateur·rice·s, partenaires et des communautés (y compris les photographies et la biographie) peuvent être recueillis, utilisés et divulgués dans le cadre des activités du Monastère, notamment dans des bulletins d’information ou sur des sites Web et médias sociaux.
La divulgation de renseignements personnels est assujettie à la législation applicable au Monastère; toutefois, de façon générale, les renseignements personnels peuvent être divulgués:
- Aux fins pour lesquelles l’information a été recueillie ou pour une utilisation alignée avec un besoin particulier (par ex., détermination ou vérification de l’aptitude d’une personne à travailler pour l’organisme);
- Si un individu a consenti par écrit à la divulgation de ses renseignements personnels (par ex., afin de pouvoir communiquer avec le·la conjoint·e, un·e membre de la famille ou un·e ami·e en cas d’urgence);
- Si une telle divulgation est nécessaire pour se conformer à une loi fédérale ou provinciale.
Quelles que soient les circonstances, Le Monastère ne loue pas, ne vend pas, ni n’échange les renseignements personnels des individus.
2.5 Conservation
Les renseignements personnels, les références, les vérifications judiciaires et les autres renseignements personnels de la sorte sont inclus à des bases de données. Le Monastère conserve les renseignements personnels et financiers pas plus longtemps que nécessaire à la réalisation des fins auxquelles il a été recueilli, et conformément aux dispositions réglementaires pertinentes des gouvernements fédéral et provincial.
2.6. Mesures et sécurité
Les renseignements personnels sont protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.
Le Monastère met en place et assure des mesures de protection adéquates afin que l’accès aux renseignements personnels des dossiers des employé·e·s, donateur·rice·s, bénévoles et autres personnes en lien avec Le Monastère, se limite aux personnes suivantes :
- Personnes autorisées par Le Monastère, qui en ont besoin dans le cadre de leurs fonctions;
- Personnes à qui les individus ont donné leur consentement;
- Personnes autorisées par la loi.
Le Monastère n’épargne aucun effort raisonnable pour des mesures de protection nécessaires contre la perte, l’utilisation malveillante et l’altération des renseignements personnels qui sont de son ressort. Les politiques de sécurité sont révisées périodiquement. Un plan d’urgence est prévu pour réagir rapidement en cas de panne ou d’attaque informatique.
Une évaluation des facteurs relatifs à la vie privée est effectuée avant tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services relatifs aux renseignements personnels.
Dans certaines circonstances restreintes, il peut être nécessaire de partager certains renseignements avec un partenaire de service embauché par Le Monastère ou qui lui est associé. Tous·tes nos fournisseurs ou partenaires de services doivent préserver la confidentialité et la sécurité des renseignements personnels et ne les utiliser qu’en respectant les lois sur la protection des renseignements personnels applicables. Selon les stipulations d’une entente de confidentialité signée par lesdit·e·s fournisseurs de services ou partenaires, il leur est par ailleurs interdit d’utiliser ou de communiquer des renseignements personnels à quelques autres fins que ce soit, à l’exception de celle de fournir des services pour lesquels ils ont été embauchés.
Des réseaux de données sûrs, protégés répondant aux normes de l’industrie, ainsi que par des systèmes de protection par mot de passe, sont utilisés. Les renseignements relatifs aux cartes de crédit sont traités à l’aide de systèmes de cryptage et de standards de sécurité de l’industrie et en respect des lois canadiennes en matière de commerce et ́ d’opérations bancaires. L’utilisation des ordinateurs et du courrier électronique est encadrée conformément aux règlements du Monastère concernant l’utilisation et l’accès aux ordinateurs, à Internet et au courrier électronique.
Le personnel, les employé·e·s des partenaires et fournisseurs ainsi que les membres du conseil d’administration du Monastère font preuve de respect et de dignité en assurant la confidentialité des renseignements des employée·s, bénévoles, des stagiaires, des partenaires et des donateur·rice·s et en ne partageant aucun détail des discussions avec une personne qui n’a pas besoin d’être mise au courant des faits.
2.7. Transparence et accès aux renseignements personnels
Le Monastère fait en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à tout individu.
Tout individu peut s’enquérir, en formulant une demande écrite à la Direction générale, de l’existence de renseignements personnels le ou la concernant, de l’usage qui en est fait et du fait qu’ils ont été communiqués à des tiers. Il lui sera aussi possible de contester l’exactitude et l’intégralité des renseignements et d’y faire apporter les corrections appropriées.
Sous réserve des exigences juridiques et contractuelles, un individu peut, en tout temps, refuser ou retirer un consentement à certains des buts mentionnés en communiquant avec Le Monastère.
2.8 Porter plainte à l’égard du non-respects des principes
Tout individu peut se plaindre du non-respect de la présente politique ou des principes généralement reconnus en lien avec la protection de la vie privée en communiquant avec le responsable de la protection des renseignements personnels afin de les faire respecter au sein du Monastère. Si, à quelque moment que ce soit, un individu désire retirer son nom des listes de distribution ou de sollicitation, il lui suffit de communiquer avec Le Monastère pour en faire la demande.
Si Le Monastère croit qu’un incident de confidentialité concernant les renseignements personnels d’un individu s’est produit :
- Fera enquête et mettra en place les mesures qu’elle juge nécessaires pour limiter un préjudice et éviter que la situation se reproduise.
- Fera une évaluation du risque.
- Avisera la Commission d’accès à l’information si l’incident présente un risque sérieux de préjudice et sauf si interdit par la loi, avisera également l’individu concerné.
- Inscrira dans un registre les incidents de confidentialité.
2.9. Collecte par des moyens technologiques
Une politique de confidentialité spécifique est accessible lorsque Le Monastère recueille des informations personnelles par le biais de son site Internet ou d’une application. Aussi elle s’assure que par défaut les paramètres de confidentialité sont les plus élevés, sauf pour les témoins de connexions (cookies).
Un témoin de connexion est un élément d’information envoyé à un navigateur WEB et conservé sur un ordinateur. L’utilisateur sera informé du recours au témoin et pourra activer ou désactiver certaines fonctions. Les témoins ne contiennent pas de données personnelles et peuvent être effacés en tout temps par les usagers.
- Responsabilités
3.1 Conseil d’administration
Les membres du conseil d’administration ont pour responsabilité :
- D’approuver la présente politique et ses modifications ultérieures;
- D’assurer qu’un suivi adéquat est fait par la personne responsable de la protection des renseignements personnels.
- Faire le suivi de l‘application de la présente politique auprès de la personne responsable de la protection des renseignements personnels.
3.2 Responsable de la protection des renseignements personnels
La personne responsable de la protection des renseignements personnels doit s’assurer :
- Que tout le personnel, les partenaires et leurs personnels, et les bénévoles ont la formation et les connaissances requises à l’application adéquate de la présente politique et aux principes de la Loi;
- Que les mesures et contrôles sont en place pour assurer la collection adéquate et la bonne gestion des informations personnelles;
- Qu’elle a les moyens et les ressources requises pour assurer la bonne application de la présente politique et soulever, le cas échéant les enjeux en lien avec la présente;
- Que soit présenté un sommaire du registre des incidents de confidentialité au Comité de gouvernance et de stratégie du conseil d’administration ou à défaut directement au Conseil d’administration.
- Que soit présenté sur demande au Conseil d’administration, un bilan de l’application de la présente politique et recommander les modifications nécessaires.
Pour poser des questions ou formuler des commentaires à l’égard de la présente Politique sur la protection des renseignements personnels ou à l’égard de renseignements personnels, exercer vos droits, déposer une plainte ou obtenir de l’information sur nos politiques et nos pratiques concernant nos fournisseurs de services à l’extérieur du Québec, communiquez avec notre responsable à la protection des renseignements personnels par courriel à l’adresse:
Rosalie Beauchamp : info@le-monastere.ca
La personne responsable de la protection des renseignements personnels prendra contact avec vous dans les trente (30) jours suivant la réception de votre courriel.
Inspiré de la politique sur la protection des renseignements personnels de la Tohu.
