Politique sur la protection des renseignements personnels

 

1.1 Définitions

 

« Renseignements personnels » s’entend de renseignements sur une personne identifiable (p. ex. nom, date de naissance, adresse résidentielle, adresse courriel, numéro de téléphone, numéro d’assurance sociale, état matrimonial, ethnicité, revenu, renseignements médicaux et sur la santé, scolarité, renseignements sur l’emploi, renseignements bancaires, informations de carte de crédit et coordonnées de personnes à contacter en cas d’urgence).

 

« Coordonnées professionnelles » s’entend de renseignements – dont le nom, le poste ou le titre et le numéro de téléphone, l’adresse, l’adresse courriel et le numéro de télécopieur professionnels – qui ont été recueillis, utilisés ou communiqués dans le but de communiquer ou de faciliter la communication avec une personne en lien avec son emploi, son entreprise ou sa profession. Les coordonnées professionnelles ne sont visées par la présente politique que dans la mesure où l’exigent les lois sur la protection des renseignements personnels applicables hors de la Colombie-Britannique.

 

« Personne » s’entend notamment des clients (c.-à-d. toute personne qui reçoit des services ou des produits de l’ACSM de la Colombie-Britannique), des participants, des clients, des membres, des bénévoles et des donateurs.

 

2.    Collecte de renseignements personnels

 

À moins que l’objectif d’une collecte de renseignements personnels soit évident et que la personne visée se soumette volontairement à celle-ci dans cet objectif, nous indiquerons le but de nos collectes de renseignements personnels, oralement ou par écrit, avant ou pendant la collecte. Sous réserve d’exceptions particulières prévues aux présentes, nous effectuons ces collectes directement auprès des personnes visées.

Nous ne recueillerons que les renseignements personnels nécessaires aux objectifs suivants :

·                   Vérification de l’identité;

·                   Établissement des préférences des clients;

·                   Compréhension des besoins de nos clients;

·                   Inscription d’un client à un programme ou à un service;

·                   Garantie d’une norme élevée de service à nos clients;

·                   Émission de reçus à des fins fiscales;

·                   Contact et remerciement de bénévoles et de supporters;

·                   Évaluation de candidatures et embauche de personnel;

·                   Organisation de la paie des employés;

·                   Sélection de bénévoles;

·                   Planification d’activités de bénévolat;

·                   Prestation de services;

·                   Remise de bourses d’études;

·                   Élection de membres du conseil d’administration;

·                   Présentation aux membres d’informations et de mises à jour sur nos activités, des événements spéciaux et des occasions;

·                   Inscription de personnes à des ateliers et des conférences;

·                   Respect d’exigences réglementaires.

 

3.    Consentement

 

Nous obtiendrons le consentement de chaque personne à la collecte, à l’utilisation et à la communication de ses renseignements personnels (sauf lorsque nous sommes autorisés à nous en passer, comme il est indiqué ci-après).

Dans la mesure du possible, nous recueillerons les renseignements personnels directement des personnes visées. Lorsqu’une collecte nécessite un consentement, nous pouvons recueillir les renseignements personnels d’une personne auprès d’un tiers, si cette personne y consent. Il se peut, par exemple, que nous obtenions du tiers hébergeur du site Web du programme BounceBack des renseignements que vous lui avez communiqués, ou encore que nous recevions de lui des données anonymisées qu’il a générées, afin de mieux pouvoir vous fournir ce programme.

 

Un consentement peut se donner verbalement, par écrit, par voie électronique ou par l’intermédiaire d’un représentant autorisé. Il peut aussi être implicite lorsque le but de la collecte, de l’utilisation ou de la communication de renseignements personnels serait jugé évident et que la personne visée fournit volontairement ses renseignements personnels dans ce but.

Sous réserve de certaines exceptions (p. ex. si les renseignements personnels sont nécessaires à la fourniture d’un service ou d’un produit, ou si le retrait du consentement entraverait l’exécution d’une obligation juridique), une personne peut refuser ou retirer son consentement à ce que l’ACSM de la Colombie-Britannique utilise ses renseignements personnels de façons particulières. Un tel refus ou retrait pourrait toutefois restreindre notre capacité à fournir un service ou un produit; le cas échéant, nous expliquerons la situation à la personne visée pour l’aider à prendre sa décision.

Il se peut que nous recueillions, utilisions ou communiquions les renseignements personnels d’une personne à son insu ou sans son consentement si le droit applicable le permet, et notamment dans les cas suivants (dans la mesure où l’autorise le droit applicable) :

·                   Lorsque la collecte, l’utilisation ou la communication de renseignements personnels est permise ou exigée par la loi;

·                   En cas d’urgence menaçant la vie, la santé ou la sécurité d’une personne;

·                   Lorsqu’une personne raisonnable jugerait que cela est clairement dans l’intérêt de la personne visée et que le consentement de celle-ci ne peut être obtenu en temps utile;

·                   Lorsque les renseignements personnels en question peuvent être obtenus d’une source publique;

·                   Lorsque les renseignements servent à établir si une personne se qualifie pour des honneurs, un prix ou un avantage semblable, par exemple une bourse d’études ou d’entretien;

·                   Lorsque nous voulons consulter un avocat;

·                   Pour recouvrer une créance ou payer une dette;

·                   Pour nous protéger de la fraude;

·                   Pour enquêter sur le manquement anticipé à un contrat ou une contravention à la loi;

·                   Lorsqu’une autre loi ou un autre règlement permet ou exige que des renseignements soient recueillis sans consentement (p. ex. obtention du numéro d’assurance sociale d’un employé afin d’émettre un relevé T-4 conformément à la Loi de l’impôt sur le revenu);

·                   Lorsque les renseignements visés sont nécessaires au recouvrement d’une créance ou au paiement d’une dette par l’ACSM de la Colombie-Britannique;

·                   Lorsque la communication peut s’effectuer sans consentement (p. ex. si elle est consécutive à la citation à comparaître, au mandat ou à l’ordonnance d’un tribunal ou qu’elle est faite aux forces de l’ordre dans le cadre d’une enquête);


·                   Pour communiquer avec le plus proche parent ou l’ami d’une personne blessée, malade ou décédée;

·                   À des fins d’emploi;

·                   À des fins statistiques ou de recherche, dans certaines circonstances;

·                   Lorsque nous recueillons, utilisons ou communiquons des renseignements auprès d’une autre organisation (à qui la personne a déjà donné son consentement) ou en son nom, dans la mesure où nous le faisons dans le but de la collecte originelle de ces renseignements et pour mieux effectuer notre travail pour le compte de cette organisation.

4.    Utilisation et communication de renseignements personnels

 

Nous n’utiliserons et ne communiquerons de renseignements personnels que dans la mesure nécessaire au but indiqué au moment de leur collecte, ou encore à des fins permises par le droit applicable ou à d’autres fins raisonnablement connexes à celles-ci, dont :

 

·                   la réalisation de sondages afin d’améliorer la prestation de nos services;

·                   la transmission directe à nos clients de communications sur des produits et services susceptibles de les intéresser.

Nous n’utiliserons pas ni ne communiquerons de renseignements personnels à toute autre fin sans le consentement requis pour le faire.

Nous ne vendrons pas ni ne louerons de listes de clients ou de renseignements personnels à des tiers, pas plus que nous n’en échangerons avec eux.

 

Lorsque l’ACSM de la Colombie-Britannique fournit des renseignements à des organismes de recherche qui étudient des populations de santé mentale, ceux-ci sont sous forme de données agrégées ne permettant pas d’identifier une personne. Les personnes visées demeurent donc anonymes. Toute communication de renseignements est effectuée conformément au droit applicable.

 

5.    Conservation de renseignements personnels

 

Si nous utilisons les renseignements personnels d’une personne pour prendre une décision qui la touche directement, nous conserverons ces renseignements pendant au moins un an, de sorte à laisser à cette personne la possibilité raisonnable d’y demander accès.

Sous réserve de cette période de conservation d’un an, nous ne conserverons les renseignements personnels qu’assez longtemps pour réaliser les buts indiqués, ou encore nos objectifs juridiques ou commerciaux.

 

6.    Exactitude des renseignements personnels

 

Nous déploierons des efforts raisonnables pour que les renseignements personnels servant à prendre une décision au sujet d’une personne ou qui sont communiqués à une autre organisation soient exacts et complets.

Une personne peut demander que ses renseignements personnels soient corrigés pour qu’ils soient exacts et complets. Cette demande doit être faite par écrit et assez détaillée pour permettre de cerner les renseignements visés et les corrections souhaitées.

S’il est démontré que des renseignements personnels sont inexacts ou incomplets, nous accéderons à la demande de correction et transmettrons les renseignements corrigés à toute entité à qui nous en avions communiqué la version erronée dans la dernière année. Si aucune correction n’est apportée, nous consignerons tout de même la demande de correction de la personne dans son dossier.

 

7.    Sécurité des renseignements personnels

 

Nous avons à cœur de protéger les renseignements personnels contre les accès, les collectes, les utilisations, les communications, les reproductions, les modifications et les éliminations non autorisés et d’autres risques similaires.

 


Les mesures de sécurité suivantes seront mises en œuvre pour garantir la protection adéquate des renseignements personnels.

 

7.1    Mesures de sécurité physiques

·                   Les renseignements personnels seront conservés dans des classeurs verrouillés.

·                   L’accès du personnel aux zones de conservation et aux classeurs sera restreint.

·                   Les fichiers et documents contenant des renseignements personnels ne seront pas laissés sur un bureau sans surveillance (p. ex. la nuit).

·                   Les bureaux où seront conservés des renseignements personnels seront physiquement protégés (p. ex. par des portes verrouillables).

·                   Les fichiers contenant des renseignements personnels ne sortiront pas des locaux de l’ACSM de la Colombie-Britannique (p. ex. les employés n’en apporteront pas chez eux pour travailler dessus).

·                   S’il faut transporter des renseignements personnels (p. ex. dans le cadre d’un déménagement de locaux), un service de messagerie fiable devrait être utilisé.

 

7.2    Mesures de sécurité administratives

·                   Nous formerons tous nos employés pour qu’ils connaissent et comprennent la présente politique de confidentialité, de même que les exigences de protection des renseignements personnels prescrites par le droit applicable.

·                   Tous les employés liront et signeront l’entente de confidentialité de l’ACSM de la Colombie-Britannique relativement aux renseignements personnels.

·                   Les renseignements personnels, en particulier les renseignements sensibles, sont disponibles uniquement aux employés qui en ont besoin.

·                   Nous prévoirons les accès aux systèmes en fonction des rôles à jouer par chacun, de sorte que les employés n’aient accès qu’aux renseignements personnels dont ils ont besoin pour s’acquitter de leurs tâches.

·                   Les employés utiliseront des pages de garde pour transmettre des renseignements personnels par télécopieur, et ils établiront et suivront des procédures pour que seuls les destinataires autorisés reçoivent ces télécopies.

 

7.3    Mesures de sécurité techniques

·                   Les employés utiliseront des économiseurs d’écran assortis de mots de passe afin d’empêcher le personnel non autorisé et les visiteurs de voir des renseignements personnels.

·                   Nous protégerons nos ordinateurs et notre réseau à l’aide de pare-feu, de logiciels de détection des intrusions, de logiciels antivirus et de chiffrement des renseignements personnels.

·                   Les employés utiliseront des mots de passe sûrs et difficiles à deviner conformes aux normes de l’ACSM de la Colombie-Britannique visant les mots de passe de connexion au réseau, de sorte que seuls les employés autorisés auront accès aux dispositifs de stockage informatique ou au réseau. Ces mots de passe devront être changés régulièrement.

·                   Les renseignements personnels stockés sur des dispositifs électroniques mobiles, comme des ordinateurs portables et des clés USB, seront chiffrés.

·                   Tous les dispositifs mobiles (comme les ordinateurs et les téléphones portables) contenant des renseignements personnels doivent se verrouiller automatiquement et être protégés par mot de passe.

·                   Les employés ne devraient pas transmettre de renseignements personnels par courriel. Si des renseignements personnels sont reçus par courriel, le destinataire (l’employé) peut répondre, mais il devrait anonymiser ces renseignements dans la mesure du possible (p. ex. en utilisant les initiales du client plutôt que son nom complet) et éviter de révéler d’autres renseignements personnels. Le destinataire peut aussi aviser l’expéditeur (c.-à-d. le client ou l’autre employé) que le courriel n’est pas un mode de communication sûr.

·                   Nous effacerons convenablement tous les renseignements personnels des disques durs avant de nous défaire de ceux-ci, de les vendre ou de les donner.

·                   Les bases de données sécurisées qui contiennent des renseignements personnels ne sont accessibles que par mot de passe, et l’utilisateur en est automatiquement déconnecté après un certain temps d’inactivité.


<

div class=WordSection4>

·                   Nous détruirons les renseignements personnels en prenant des mesures de sécurité adéquates, comme le déchiquetage des documents et la suppression des renseignements stockés électroniquement.

·                   Nous réviserons et mettrons à jour continuellement nos politiques et nos mesures de sécurité au fil des progrès technologiques afin de garantir en tout temps la sécurité des renseignements personnels.

8.    Accès des personnes à leurs renseignements personnels

 

Une personne a le droit d’accéder à ses renseignements personnels, sous réserve d’exceptions limitées aux termes du droit applicable, dont possiblement :

·                   le secret professionnel de l’avocat;

·                   l’éventualité où la communication révélerait les renseignements personnels d’autrui;

·                   l’existence de préoccupations de santé et de sécurité;

·                   l’éventualité où la communication révélerait des renseignements commerciaux confidentiels;

·                   l’éventualité où la communication révélerait l’identité d’une personne qui a fourni des renseignements sur autrui.

Cette demande d’accès doit être faite par écrit et assez détaillée pour permettre de cerner les renseignements personnels visés. Elle est transmise à l’agent de protection de la vie privée, qui y répond.

Nous indiquerons également aux personnes qui le demandent la façon dont nous utilisons leurs renseignements personnels et à qui ils ont été communiqués le cas échéant.

Nous rendrons les renseignements demandés disponibles dans les 30 jours civils; si nous avons besoin de davantage de temps pour traiter la demande, nous en donnerons avis par écrit.

Si le droit applicable le permet, l’accès à des renseignements personnels pourra être assorti de frais. Dans l’éventualité de tels frais, nous informerons la personne du coût et lui demanderons de confirmer qu’elle souhaite toujours que nous traitions sa demande.

L’employé qui demande accès à ses renseignements personnels n’aura rien à payer.

 

Si une demande est refusée en tout ou en partie, nous en aviserons le demandeur par écrit en motivant ce refus et en indiquant les avenues qui lui sont ouvertes.

 

9.    Entrepreneurs et fournisseurs de services

 

La présente politique s’applique à tous les entrepreneurs et fournisseurs de services qui recueillent, utilisent ou communiquent des renseignements personnels au nom de l’ACSM de la Colombie-Britannique.

 

Il se peut également que nous travaillions avec des tiers pour fournir certains programmes, par exemple le programme BounceBack. Or, ces tiers peuvent recueillir des renseignements personnels directement auprès de la personne visée; le cas échéant, ces collectes tomberont sous le coup des politiques de confidentialité de ces tiers, et non celles de l’ACSM de la Colombie-Britannique. Une personne ne devrait fournir de renseignements personnels que si elle est d’accord avec la politique de confidentialité du tiers qui les recueille.

 

Si nous engageons un tiers à forfait pour travailler pour notre organisation, celui-ci sera assujetti à des conventions juridiquement contraignantes aux termes desquelles il convient d’adhérer strictement à la politique de confidentialité de l’ACSM de la Colombie-Britannique, à la PIPA et à d’autres lois applicables en matière de protection des renseignements personnels. Les contrats conclus avec des fournisseurs de services comporteront une annexe de protection de la vie privée ayant pour effet d’accorder aux renseignements une protection au moins aussi stricte que celle qui est prévue aux présentes.

10.  Rôles et responsabilités

 

La protection des renseignements personnels incombe à tous.

Ainsi, tous les employés, y compris le personnel, la direction et les bénévoles, se doivent de :

·                   respecter la présente politique et les lois applicables sur la protection des renseignements personnels;

·                   participer aux formations sur la protection des renseignements personnels données par l’ACSM de la Colombie-Britannique;

·                   demander des explications au besoin;

·                   signaler les préoccupations, les plaintes et les demandes à l’agent de protection de la vie privée.

 

Les gestionnaires de programme doivent :

·                   veiller au respect de la présente politique et des lois applicables en matière de protection des renseignements personnels au sein de leur programme;

·                   répondre aux demandes d’information des clients relevant de leur programme et, à cette fin, d’obtenir les conseils de l’agent de protection de la vie privée.

 

L’agent de protection de la vie privée doit :

·                   veiller au respect par l’ACSM de la Colombie-Britannique de la présente politique, de la PIPA et des autres lois applicables en matière de protection des renseignements personnels;

·                   répondre aux questions particulières des employés relatives à la communication de renseignements et à la protection des renseignements personnels;

·                   revoir et de mettre à jour la présente politique régulièrement ou au gré de la modification des lois applicables en matière de protection des renseignements personnels;

·                   former tous les employés;

·                   aider les divisions à mettre en œuvre des politiques de confidentialité;

·                   répondre aux plaintes;

·                   correspondre avec le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique, s’il y a lieu.

 

Les administrateurs et le chef de la direction doivent :

·                   donner aux employés le temps et les ressources nécessaires pour participer aux formations;

·                   aider les employés à mettre en œuvre la présente politique au sein de leur programme ou de leur région.

 

11.  Plaintes et demandes d’information

 

À l’ACSM de la Colombie-Britannique, nous jugeons important d’avoir un processus de traitement des plaintes accessible et adapté permettant aux personnes de porter plainte quant au respect, par notre organisation, des lois applicables en matière de protection des renseignements personnels.

Toute personne devrait adresser ses plaintes, ses préoccupations et ses questions à l’égard du respect des lois applicables par l’ACSM de la Colombie-Britannique à l’agent de protection de la vie privée, par écrit. Si ce dernier ne peut donner suite à ses préoccupations, la personne peut également écrire au Commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique.

Coordonnées de l’agent de protection de la vie privée

 

Agent de protection de la vie privée

 

Association canadienne pour la santé mentale, division de la Colombie-Britannique, bureau 905 – 1130 West

Pender Street Vancouver, BC  V6E 4A4 Canada

PrivacyOfficer@cmha.bc.ca

 

Lorsque l’ACSM de la Colombie-Britannique reçoit une plainte ou une demande d’information, les démarches suivantes sont prises :

 

1.       La date de la plainte ou de la demande d’information est consignée, et il en est immédiatement accusé réception par écrit. L’agent de protection de la vie privée est informé de la plainte ou de la demande par l’employé qui l’a reçue.

2.       Au besoin, la personne est contactée afin d’éclaircir la nature de la plainte ou de la demande.

3.       S’il s’agit d’une plainte, l’agent de protection de la vie privée enquête de façon juste et impartiale. La personne est avisée du dénouement de l’enquête clairement et promptement, et elle est informée de toute mesure pertinente prise pour traiter sa plainte. Elle reçoit une réponse dans les 30 jours ouvrables.

 

4.       S’il s’agit d’une demande d’information, le gestionnaire de programme peut répondre, en consultation avec l’agent de protection de la vie privée. La personne qui a présenté la demande reçoit une réponse dans les 30 jours ouvrables.

 

5.       S’il y a lieu, les renseignements personnels inexacts sont corrigés, et les politiques et procédures pourront être modifiées selon le dénouement de la plainte.

 

6.       L’agent de protection de la vie privée consigne la date de la réponse et le dénouement de la plainte ou de la demande.

 

7.       Toutes les plaintes reçues par l’agent de protection de la vie privée sont ajoutées à un rapport annuel préparé par le chef de la direction à l’intention du conseil d’administration de l’ACSM de la Colombie-Britannique.

 

Si nous ne pouvons donner suite à vos préoccupations, vous pouvez aussi communiquer avec le bureau du Commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique.

 

C. P. 9038 Stn. Prov. Govt. Victoria, BC  V8W 9A4

1 800 663-1376

info@oipc.bc.ca www.oipc.bc.ca

 

12.  Liens

 

Lois : Personal Information Protection Act (PIPA)

« A Guide to PIPA for Businesses and Organizations ». (2012) Office of the Information Privacy Commissioner for British Columbia.

Ligne d’assistance en matière de protection des renseignements personnels

L’OCIO a également une ligne d’assistance en matière de protection des renseignements personnels. Il fournit soutien, instructions et formation aux organisations du secteur privé comme au grand public au sujet des exigences de la PIPA.

Tél. : 250 356-1851

Courriel : Privacy.Helpline@gov.bc.ca