Politique de confidentialité et de protection des renseignements personnels

1. Contexte

1.1. Fondements

Dans le but de moderniser la réglementation protégeant les renseignements personnels au Québec, la commission d’accès à l’information propose des dispositions législatives en matière de protection des renseignements personnels, aussi appelée Loi 25. Afin d’assurer la protection des renseignements personnels qui transigent dans l’univers de l’organisation dans le cadre de ses activités, et ce, sous toutes ses formes, la Coopérative de solidarité le Rack à bécik (RAB) vise à se conformer à cette loi.

1.2. Objectifs

Cette politique a pour but d’assurer la protection des renseignements personnels dont le RAB fait usage. En ce sens, elle vise à :

  • Encadrer la façon dont l’entreprise gère les données sensibles, plus précisément comment elle : les collecte, les utilise, les communique, les conserve et les détruit ;
  • Responsabiliser l’ensemble du personnel en matière d’accès et de protection des renseignements personnels ;
  • Informer toute personne intéressée sur la façon dont le RAB traite ses renseignements personnels.

1.3. Champs d’application

Cette politique s’applique au RAB, ce qui inclut notamment ses dirigeants, ses employés, ses consultants, ainsi qu’à toute personne qui, autrement, fournit des services pour le compte du RAB. Elle s’applique également à l’égard du site internet ainsi que des réseaux sociaux gérés par l’entreprise.

Elle vise tous les types de renseignements personnels gérés par le RAB, que ce soient les renseignements de ses clients, ses membres, ses bénévoles, ses collaborateurs, ses employés ou toutes autres personnes.

En nous fournissant des renseignements personnels par le biais de nos formulaires ou en communiquant avec nous, vous acceptez que ceux-ci soient traités conformément à ce qui est indiqué dans la présente Politique, et vous autorisez le RAB à traiter vos renseignements personnels aux fins énoncées ci-dessous.

Si vous ne consentez pas à ce que le RAB, recueille, utilise et/ou communique vos renseignements personnels conformément à la présente Politique, veuillez-vous abstenir de nous les communiquer. Il est cependant possible que nous ne puissions pas vous offrir tous nos services sans les renseignements personnels nécessaires.

Tout autre renseignement personnel que vous nous fournissez sera traité conformément à la présente Politique. Si vous nous fournissez des renseignements personnels au sujet d’autres personnes, vous devez les aviser et obtenir leur consentement.

2. Définitions

Renseignement personnel : est un renseignement qui concerne une personne physique et qui permet, directement ou indirectement, de l’identifier par exemple : nom, adresse, adresse courriel, numéro de téléphone, genre, renseignements bancaires, langue, etc.

Renseignement personnel sensible : est un renseignement envers lequel il y a un haut degré d’attente raisonnable en matière de vie privée, par exemple : renseignements de santé, renseignements bancaires, renseignements biométriques, orientation sexuelle, origine ethnique, opinions politiques, croyances religieuses ou philosophiques, etc.

Certaines dispositions de la Loi ne s’appliquent pas à un renseignement personnel qui a un caractère public, ni aux renseignements personnels qui concernent une personne dans l’exercice de ses fonctions au sein d’une entreprise, tels que son nom, son titre et sa fonction, ainsi que l’adresse, le courriel et le numéro de téléphone de son lieu de travail.

3. Principes directeurs et engagements

3.1. Responsabilités

De manière générale, le RAB est responsable de la protection des renseignements personnels qu’elle détient.

Les membres du personnel (salariés ou bénévoles) du RAB ayant accès à des renseignements personnels ou étant autrement impliqué dans la gestion de ceux-ci doivent en assurer leur protection et respecter la présente politique.

Les rôles et les responsabilités tout au long du cycle de vie des renseignements personnels sont les suivants :

  • Le responsable de la protection des renseignements personnels (RPRP) est garant de la mise en œuvre de la présente politique ;
  • Tous les employés, bénévoles, sous-traitants doivent se conformer à la présente politique.
3.1.1. Sécurité des données

Le RAB s’engage à mettre en place des mesures de sécurité propres à assurer la protection des renseignements personnels qu’elle gère. Les mesures de sécurité en place sont raisonnables compte tenu, notamment, de la finalité, de la quantité, de la répartition, du support et de la sensibilité des renseignements. Ainsi, cela signifie qu’un renseignement personnel sensible devra faire l’objet de mesures de sécurité plus importantes et devra être mieux protégé. Notamment, le RAB doit mettre en place des mesures nécessaires pour imposer des contraintes aux droits d’accès à ses systèmes d’information de manière que seuls les personnes autorisées, qui doivent y avoir accès pour exercer leurs fonctions, soient autorisés à y accéder.

3.2. Énoncé de politique

Dans le but d’assurer la protection des renseignements personnels dont le RAB fait usage, l’organisme s’engage à recueillir uniquement les renseignements personnels nécessaires à la réalisation des fins déterminées.

Sauf si une durée minimale de conservation est requise par la loi ou la réglementation applicable le RAB ne conservera les renseignements personnels que pour la durée nécessaire à la réalisation des fins pour lesquelles ils ont été collectés.

À la fin de la durée de conservation ou lorsque les renseignements personnels ne sont plus nécessaires, le RAB s’assurera :

  1. de les détruire ; ou
  2. de les anonymiser (c’est-à-dire qu’ils ne permettent plus, de façon irréversible, d’identifier directement ou indirectement la personne) pour les utiliser à des fins sérieuses et légitimes.

La destruction de renseignements par le RAB sera faite de façon sécuritaire, afin d’assurer la protection de ces renseignements.

3.3. Directives

3.3.1. Collecte, utilisation et communication

Dans le cadre de ses activités, le RAB peut collecter différents types de renseignements, et ce, à différentes fins. Les types de renseignements que le RAB pourrait collecter, leur utilisation (ou l’objectif visé) ainsi que les moyens par lesquels les renseignements sont recueillis sont indiqués à l’Annexe A de la présente politique.

Le RAB applique également les principes généraux suivants relativement à la collecte, l’utilisation et la communication de renseignements personnels :

Consentement :

  • De façon générale, le RAB collecte les renseignements personnels directement auprès de la personne concernée et avec son consentement, sauf si une exception est prévue par la Loi.
  • Le consentement peut être obtenu de façon implicite dans certaines situations, par exemple, lorsque la personne décide de fournir ses renseignements personnels après avoir été informée par la présente politique des éléments requis par la Loi (fins et moyens de la collecte, droits d’accès et de rectification et droit de retrait du consentement) et consent à l’utilisation et la communication aux fins qui y sont indiquées (voir l’Annexe A pour plus de détails).
  • Le RAB vise également à obtenir le consentement de la personne concernée avant de collecter ses renseignements personnels auprès de tiers, avant de les communiquer à des tiers ou pour toute utilisation secondaire de ceux-ci.
  • Toutefois, le RAB peut agir sans consentement dans certains cas prévus par la Loi et dans les conditions prévues par celle-ci. Les principales situations où le RAB peut agir sans consentement sont indiquées au point « communication ».

Collecte :

  • Dans tous les cas, le RAB ne collecte des renseignements que s’il a une raison valable de le faire. De plus, la collecte ne se limite qu’aux renseignements nécessaires dont il a besoin pour remplir l’objectif visé (Voir l’Annexe A pour plus de détails).

Détention et utilisation :

Le RAB ne peut utiliser les renseignements personnels d’une personne que pour les raisons indiquées aux présentes ou pour toutes autres raisons fournies lors de la collecte. Dès que le RAB veut utiliser ces renseignements pour une autre raison ou une autre fin, un nouveau consentement devra être obtenu de la personne concernée, lequel devra être obtenu de façon expresse s’il s’agit d’un renseignement personnel sensible. Cependant, dans certains cas prévus par la loi, le RAB peut utiliser les renseignements à des fins secondaires sans le consentement de la personne, par exemple :

  • lorsque cette utilisation est manifestement au bénéfice de cette personne ;
  • lorsque cela est nécessaire pour prévenir ou détecter une fraude ;
  • lorsque cela est nécessaire pour évaluer ou améliorer des mesures de protection et de sécurité.

Communication :

  • Généralement, et à moins d’une exception prévue par la Loi, le RAB obtient le consentement de la personne concernée avant de communiquer ses renseignements personnels à un tiers.
  • De plus, lorsque le consentement est nécessaire et lorsqu’il s’agit d’un renseignement personnel sensible, le RAB devra obtenir le consentement explicite de la personne avant de communiquer le renseignement.

Autres moyens technologiques utilisés :

Le RAB recueille des renseignements personnels par l’entremise de moyens technologiques comme des formulaires Web intégrés à un site internet contrôlé par le RAB (formulaire de création de profil ou formulaire de demande de renseignements), des questionnaires accessibles en ligne sur ses plateformes et ses applications, ainsi que d’autres plateformes ou outils de formulaires (Google Forms par exemple).

4. Principes d’intervention

4.1. Révision des droits d’accès et retrait du consentement

Pour faire valoir ses droits d’accès, de rectification ou de retrait du consentement, la personne concernée doit soumettre une demande écrite à cet effet au responsable de la protection des renseignements personnels du RAB à l’adresse courriel indiquée au point 4.2.

Sous réserve des restrictions légales applicables, les personnes concernées peuvent retirer leur consentement à la communication ou à l’utilisation des renseignements recueillis. Il est cependant possible que nous ne puissions pas vous offrir tous nos services sans les renseignements personnels nécessaires.

4.2 Traitement des plaintes

Toute personne qui souhaite formuler une plainte relative à l’application de la présente politique ou, plus généralement, à la protection de ses renseignements personnels par le RAB doit le faire par écrit en s’adressant à la personne responsable de la protection des renseignements personnels, à l’adresse courriel indiquée ci-bas.

4.2.1 Traitement

Le RAB s’engage à traiter toute plainte reçue de façon confidentielle.

La présente politique est approuvée par le conseil d’administration et par le responsable de la protection des renseignements personnels du RAB, dont les coordonnées sont les suivantes :

Responsable de la protection des renseignements personnels
Rez-de-jardin
135, rue Eddy,
Gatineau, Québec
direction@rackabecik.com

Pour toute demande, question ou commentaire dans le cadre de la présente politique, veuillez communiquer avec la personne responsable par courriel.

Mise à jour le 8 mai 2024 : Le RAB se réserve le droit de modifier la présente politique en tout temps et s’engage à soumettre son contenu à une révision annuelle.