Politique de confidentialité sur l’accès au documents et la protection des renseignements personnels

Préambule

La Politique sur l’accès aux documents et la protection des renseignements personnels est adoptée en application de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25), sanctionnée le 22 septembre 2021, modernisant ainsi l’encadrement applicable à la protection des renseignements personnels.

Outilshop est une entreprise québécoise assujetti à la Loi sur l’accès aux documents et sur la protection des renseignements personnels (Loi sur l’accès) et doit s’assurer du respect du nouvel encadrement applicable.

1. Objectifs

La Politique a pour objet de préciser la gouvernance à l’égard des renseignements personnels collectés et conservés par Outilshop dans le cadre de ses opérations et de renforcer la protection de la vie privée des personnes visées par ceux-ci, de favoriser la transparence et de moderniser l’encadrement applicable à la protection des renseignements.

La Politique vise notamment les objectifs suivants :

1.1. Désigner le responsable de la protection des renseignements personnels et définir son rôle et ses responsabilités

1.2. Définir la composition et le mandat du Comité sur l’accès à l’information et la protection des renseignements personnels.

1.3. Définir un cadre de gestion des incidents de confidentialité.

1.4. Définir un cadre de gestion portant sur l’utilisation ou la communication de renseignements personnels à des fins d’étude, de recherche ou de production de statistiques

2. Champ d’application

La Politique s’applique à tous les employés de Outilshop.
La Politique peut également s’appliquer après la fin de l’emploi lorsque cela est prévu expressément ou lorsque le contexte s’y prête.

La Politique s’applique également à toute personne liée à Outilshop par un contrat de service ou d’approvisionnement.

3. Responsabilité de l’application

Le responsable de l’accès et de la protection des renseignements personnels est responsable de l’application de la Politique.

4. Rôles et responsabilités

4.1. Le directeur général ou des opérations de Outilshop veille à assurer le respect et la mise en œuvre de la Loi sur l’accès.

4.2. Le directeur général ou des opérations de Outilshop délègue sa fonction de responsable de l’accès aux documents ainsi que celle de responsable de la protection des renseignements personnels au contrôleur finance de l’organisation.

4.3. Le responsable de la protection des renseignements personnels exerce les fonctions qui lui sont déléguées de manière autonome et indépendante.

4.4. Le responsable de la protection des renseignements personnels veille à la protection des renseignements personnels détenus par Outilshop.

4.5. Le responsable de la protection des renseignements personnels s’assure de la diffusion sur le site Internet de Outilshop des documents et renseignements prévus au Règlement sur la diffusion des documents et la protection des renseignements personnels.

4.6. Un comité sur l’accès à l’information et la protection des renseignements personnels (le Comité sur l’accès) est mis en place afin de renforcer la protection des renseignements personnels et favoriser l’harmonisation des pratiques qui guident les actions et influencent les stratégies.

4.7. Les employés de Outilshop sont tenus de collaborer dans la recherche de documents et d’informations faisant l’objet de toute demande d’accès.

4.8. Les employés de Outilshop sont tenus de veiller à la protection des renseignements personnels et de l’information confidentielle.

5. Comité sur l’accès à l’information

5.1. Composition

5.1.1. Le responsable de l’accès et de la protection des renseignements personnels agit à titre de président du Comité sur l’accès pour son entreprise respective.

5.1.2. Le répondant en matière d’accès et de protection des renseignements personnels agit à titre de secrétaire du Comité sur l’accès, et a, notamment les responsabilités suivantes :

5.2.2.1. Convoquer les séances du Comité sur l’accès pour son entreprise respective;

5.2.2.2. Rédiger le procès-verbal de chaque séance du Comité sur l’accès pour son entreprise respective et d’en fournir une copie aux membres pour examen et adoption.

5.2. Séances

Comité d’accès à l’information

5.3.1. Les séances sont convoquées au moyen d’une invitation aux membres du comité sur l’accès au nom du président du comité sur l’accès.

5.3.2. Les séances ont lieu au moins quatre fois par année.

Comité de coordination

5.3.1. Les séances sont convoquées au moyen d’une invitation aux membres du comité de coordination.

5.3.2. Les séances ont lieu au moins quatre fois par année.

5.3. Mandat du Comité d’accès à l’information

Les responsabilités du Comité sur l’accès comprennent notamment ce qui suit :

5.4.1. Soutenir Outilshop dans l’exercice de ses responsabilités et dans l’exécution de ses obligations;

5.4.2. Définir et approuver les orientations en matière de protection des renseignements personnels

5.4.3. Approuver les règles de gouvernance

5.4.4. Rendre un avis et suggérer des mesures de protection sur tout projet d’acquisition, de développement et de refonte du système d’information, incluant la vidéosurveillance et l’instauration d’une nouvelle technologie;

5.4.5. Planifier et assurer la réalisation des activités de formation;

5.4.6. Promouvoir les orientations, les directives et les décisions formulées par la Commission d’accès à l’information;

5.4.7. Évaluer annuellement le niveau de protection des renseignements personnels.

5.4. Rapport

5.5.1. Le Comité sur l’accès fait un rapport verbal au président de Outilshop des résultats de ses travaux et ce, à la suite de chacune de ses rencontres.

5.5.2. Il soumet également au président de Outilshop lorsque cela s’y prête, un sommaire de l’avancement de ses travaux.

6. Incidents de confidentialité

6.1. Un incident de confidentialité correspond à un accès non autorisé par la loi à un renseignement personnel, à son utilisation ou à sa communication, de même que sa perte ou toute autre forme d’atteinte à sa protection.

6.2. Outilshop, si elle a des motifs de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel qu’elle détient, doit prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent.

6.3. Outilshop procède à l’évaluation du préjudice selon la procédure prévue à l’ANNEXE 1.

6.4. Outilshop doit tenir un registre des incidents de confidentialité (ANNEXE 2) et, sur demande de la Commission d’accès à l’information, lui en transmettre une copie.

6.5. Les renseignements contenus au registre des incidents de confidentialité doivent être tenus à jour et conservés pendant une période minimale de cinq ans après la date ou la période au cours de laquelle Outilshop a pris connaissance de l’incident.

7. Utilisation ou communication de renseignements personnels à des fins d’étude, de recherche ou de production de statistiques

7.1. Outilshop peut utiliser des renseignements dépersonnalisés à des fins d’étude, de recherche ou de production de statistiques dans le but :

7.1.1. D’évaluer la performance ou de mesurer la qualité des produits et des services offerts, dans une perspective d’amélioration continue;

7.1.2. De servir l’intérêt public, par exemple en menant une recherche sur un sujet précis en lien avec sa mission afin d’élaborer un nouveau programme ou service.

L’étude, la recherche ou la production de statistiques doit porter sur la mission ou les programmes d’un organisme public.

7.2. Outilshop, lorsqu’elle utilise des renseignements dépersonnalisés, prend des mesures raisonnables afin de limiter les risques que quiconque puisse identifier une personne.

7.3. Outilshop peut communiquer des renseignements personnels sans le consentement des personnes concernées à une personne ou à un organisme qui souhaite utiliser ces renseignements à des fins d’étude, de recherche ou de production de statistiques.

7.4. Cette communication peut s’effectuer si une évaluation des facteurs relatifs à la vie privée conclut que:

7.4.1. l’objectif de l’étude, de la recherche ou de la production de statistiques ne peut être atteint que si les renseignements sont communiqués sous une forme permettant d’identifier les personnes concernées;

7.4.2. il est déraisonnable d’exiger que la personne ou l’organisme obtienne le consentement des personnes concernées;

7.4.3. l’objectif de l’étude, de la recherche ou de la production de statistiques l’emporte, eu égard à l’intérêt public, sur l’impact de la communication et de l’utilisation des renseignements sur la vie privée des personnes concernées;

7.4.4. les renseignements personnels sont utilisés de manière à en assurer la confidentialité;

7.4.5. seuls les renseignements nécessaires sont communiqués.

7.5. La personne ou l’organisme qui souhaite utiliser des renseignements personnels à des fins d’étude, de recherche ou de production de statistiques doit :

7.5.1. Faire sa demande par écrit;

7.5.2. Joindre à sa demande une présentation détaillée des activités d’étude, de recherche ou de production de statistique;

7.5.3. Exposer les motifs pouvant soutenir que les critères mentionnés à l’article 7.4 sont remplis;

7.5.4. Mentionner toutes les personnes et tous les organismes à qui il fait une demande similaire aux fins de la même étude, recherche ou production de statistiques;

7.5.5. Le cas échéant, décrire les différentes technologies qui seront utilisées pour effectuer le traitement des renseignements;

7.5.6. Le cas échéant, transmettre la décision documentée d’un comité d’éthique de la recherche relative à cette étude, recherche ou production de statistiques.

7.6. Outilshop, lorsqu’elle communique des renseignements personnels conformément à l’article 7.3, doit préalablement conclure avec la personne ou l’organisme à qui elle les transmet une entente selon le modèle prévu à l’ANNEXE 3.

7.7. Outilshop doit inscrire dans un registre toute communication de renseignements personnels visée par cette entente.

8. Mise à jour

8.1. Le Comité sur l’accès est responsable de la mise à jour de la Politique et du respect de la fréquence des révisions.

8.2. La Politique doit être révisée au minimum lors de changements significatifs, notamment en septembre 2023 et septembre 2024.

9. Entrée en vigueur

La Politique entre en vigueur le 22 septembre 2022.

Pour toute information relative a notre politique de confidentialité vous pouvez nous contactez au 418-696-5111 ou par e-mail : vente2@outilshop.ca