- Un renseignement personnel se définit comme celui qui porte sur une personne physique et permet de l’identifier directement ou indirectement (le «RENSEIGNEMENT »).
- Ceci vaut autant pour autant pour les informations recueillies à l’externe (clients, bénévoles, etc.) que ceux à l’interne (personnel de votre entreprise).
- Si les informations recueillies concernent un fournisseur ou un client dans le cadre d’une relation B2B (entreprise à entreprise), celles-ci ne sont PAS couvertes par les exigences de la LOI 25.
- Pour assurer une gestion conforme relative à un RENSEIGNEMENT, vous devez :
- Nommer une personne de votre équipe qui sera responsable de la gestion des renseignements personnels et publier son nom et ses coordonnées de travail afin que le public puisse y avoir accès;
- Il est recommandé d’ajouter ces informations sur votre site Internet.
- Évaluer le niveau d’accès à un RENSEIGNEMENT par votre personnel;
- Il est recommandé de créer une liste pour évaluer la pertinence des accès au RENSEIGNEMENT, et ainsi d’en accorder et/ou en retirer.
- Évaluer le niveau de sensibilité et de risques de tout RENSEIGNEMENT;
- Il est recommandé d’établir une grille pour évaluer la pertinence de conservation des informations collectées et du niveau de sécurité à leur accorder.
- Mettre en place une procédure en cas d’incidents de sécurité;
- Il est recommandé de partager cette procédure avec vos collègues;
- Sachez que lors d’incidents, vous devez informer la Commission de l’accès à l’information.
- Mettre en place un registre des incidents de sécurité.
- Sachez que lors d’incidents, ce registre doit être transmis à la Commission de l’accès à l’information.
- Nommer une personne de votre équipe qui sera responsable de la gestion des renseignements personnels et publier son nom et ses coordonnées de travail afin que le public puisse y avoir accès;
- Lorsqu’un RENSEIGNEMENT est recueilli, vous devez :
- Limiter la collecte aux renseignements qui sont nécessaires;
- Obtenir le consentement de la personne concernée :
- Document papier : Faire signer un consentement à la cueillette.
- Site Internet : Ajouter au bas de toutes les pages de votre site une politique de gestion des renseignements personnels et modalités d’utilisation.
- Formulaires Internet : Ajouter un mode de consentement préalable et explicite de l’usager (de type «opt-in ») avant qu’il/elle puisse vous envoyer l’information requise.
- Témoins («cookies ») : ajouter à votre site un mode d’avertissement visible de type « fenêtre contextuelle » (« pop-up ») afin d’informer les usagers de cette collecte et leur fournir des options quant aux informations recueillies.
- Si vous devez conserver le RENSEIGNEMENT en format «papier », il doit être placé sous clé dans un classeur. Dans le cas du format numérique, le RENSEIGNEMENT doit être conservé dans un espace virtuel (nuage / « Cloud ») ou un serveur indépendant sécurisé qui n’est utilisé que par les membres de votre équipe qui doivent accès au RENSEIGNEMENT.
- Si un RENSEIGNEMENT doit être transmis par un moyen électronique, veuillez-vous assurer que le contenant de l’information soit sécurisé. Ceci peut prendre la forme :
- d’une communication via une application sécurisée, soit un système de courriel sécurisé ou une application de type WhatsApp; ou
- d’une protection avec mot de passe du document dans lequel se retrouve le RENSEIGNEMENT.
- Lorsqu’un RENSEIGNEMENT est utilisé ou communiqué :
- L’accès au RENSEIGNEMENT est limité à la personne qui doit y avoir accès pour les fins d’administration ou pour fournir un service à la personne concernée;
- Le consentement de la personne concernée doit être obtenu par écrit avant la communication d’un RENSEIGNEMENT à un tiers. Le tiers doit vous avoir donné un engagement de confidentialité.
- Si vous n’avez plus besoin du RENSEIGNEMENT, vous devez le détruire.
- Toute demande d’accès ou de rectification d’un RENSEIGNEMENT doit être immédiatement communiquée à la personne responsable de la gestion des renseignements personnels de votre organisme.
- Toute plainte, incident ou motif de plainte ou d’incident concernant la gestion des renseignements personnels doit être immédiatement communiqué à la personne responsable de la gestion des renseignements personnels de votre organisme.
- Un incident peut prendre l’une des formes suivantes :
- tout accès, utilisation ou communication non autorisé, la perte d’un RENSEIGNEMENT ou toute autre atteinte à sa protection;
- une consultation de RENSEIGNEMENT non autorisée;
- une communication de RENSEIGNEMENT personnel à un mauvais destinataire; ou
- l’organisation est victime d’une cyberattaque : hameçonnage, rançongiciel, etc.