Objectifs de la politique
La SOFAD est assujettie à Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ c P-39.1). Cela étant, il est loisible à la SOFAD de s’imposer des règles de gouvernance qui s’inspirent du cadre légal applicable aux organismes publics, et ce, d’autant plus que la SOFAD est entièrement composée d’administrateurs qui proviennent du secteur public. C’est l’orientation retenue pour l’élaboration de la présente politique.
Cette politique répond aux exigences qui s’appliquent à la SOFAD telles qu’énoncées dans :
- La Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement (chapitre G-1.03, a. 20).
- La Loi modernisant des dispositions législatives en matière de protection des renseignements personnel.
Cette politique met en place un cadre de gestion de la sécurité de l’information pour l’ensemble des actifs informatiques de la SOFAD.
De plus, elle encadre la collecte, l’utilisation, la conservation et la destruction des renseignements personnels concernant la communauté de la SOFAD composée, de manière non-exhaustive, de ses utilisateurs, de ses clients, des membres de son personnel, de ses stagiaires et des membres de son conseil d’administration.
Définitions
- Centre opérationnel de cyberdéfense (COCD) : unité administrative du ministère de l’Éducation spécialisée en sécurité, auprès de qui la SOFAD peut demander appui et conseil.
- Cycle de vie de l’information : ensemble des étapes que franchit une information et qui vont de sa création, en passant par son enregistrement, son transfert, sa consultation, son traitement et sa transmission, jusqu’à sa conservation ou sa destruction, en conformité avec le calendrier de conservation.
- Événement de sécurité : toute forme d’atteinte, présente ou appréhendée, telle une cyberattaque ou une menace à la confidentialité, à l’intégrité et à la disponibilité d’une information ou d’une ressource informationnelle.
- Document : une information détenue sur un support matériel, quelle que soit sa forme : écrite, graphique, sonore, visuelle, informatisée ou autre.
- Loi : Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement (chapitre G-1.03) et la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ c P-39.1).
- Membres du personnel : personne salariée au service de la SOFAD, incluant les responsables, les chefs d’équipe, les coordonnateurs et les directeurs.
- Membre du conseil d’administration : personne ayant été élue ou désignée et assumant une fonction du conseil d’administration.
- Renseignement personnel : tout renseignement qui concerne une personne physique et qui permet de l’identifier. Le nom d’une personne n’est pas un renseignement personnel, sauf lorsqu’il est mentionné avec un autre renseignement concernant cette personne. Le fait qu’une signature apparaisse au bas d’un document n’a pas pour effet de rendre personnels les renseignements qui y apparaissent.
Pourquoi nous recueillons des renseignements personnels
La nature des activités de la SOFAD l’amène à utiliser des systèmes informatisés pour la totalité de ses opérations éditoriales, administratives et communicationnelles. La collecte et l’utilisation de vos renseignements personnels visent principalement à ce que nous soyons en mesure de vous offrir les produits et services que vous demandez et qui sont adaptés à vos besoins, notamment pour :
- Communiquer avec vous.
- Traiter votre candidature aux postes que nous affichons.
- Assurer en permanence l’efficacité et la qualité de nos processus d’affaires.
- Offrir des informations et des contenus utiles pour vous et promouvoir nos services et nos programmes.
- Respecter nos obligations légales et réglementaires.
Quels renseignements personnels recueillons-nous?
Nous recueillons uniquement les renseignements personnels qui sont nécessaires aux fins visées, la quantité et le type de renseignements recueillis se limiteront à ce qui est nécessaire aux fins déterminées. Nous recueillons seulement ce dont nous avons besoin.
Par exemple, nous pouvons demander votre nom et vos coordonnées et recueillir votre opinion dans le cadre d’un sondage, pour l’abonnement à une infolettre, pour compléter les transactions d'achat en ligne, entre autres. Nous pouvons aussi recueillir votre adresse IP si vous visitez notre site Web.
Qui peut consulter vos renseignements personnels?
Les renseignements personnels détenus par la SOFAD sont confidentiels et soumis aux règles de protection prévus par la Loi. Ils ne sont accessibles qu’aux personnes qu’ils concernent et, au sein de la SOFAD, qu’aux seules personnes qui ont la qualité pour les recevoir lorsque ces renseignements sont nécessaires à l’exercice de leurs fonctions. Ces employés traiteront les renseignements de façon strictement confidentielle et ne donneront accès à ces renseignements à aucune personne non autorisée. Le niveau d'accès aux renseignements personnels sera accordé aux employés selon le principe du besoin de savoir.
Lorsque la personne concernée par un renseignement personnel a donné son consentement à sa divulgation, un renseignement personnel cesse d’être confidentiel. Le cas échéant, ce consentement doit être donné expressément, de façon libre et éclairée et être spécifique et limité.
La SOFAD met en place des mesures de gestion des ressources externes qui rend obligatoire le respect de mesures de sécurité de l’information. Ces mesures sont incluses dans les ententes de services convenues avec les ressources externes.
Communication des renseignements personnels
La SOFAD ne peut communiquer un renseignement personnel confidentiel à une tierce personne sans le consentement de la personne concernée sauf dans les circonstances suivantes :
- À une personne
- Qui est autorisée par la Commission d’accès à l’information, à des fins d’étude, de recherche ou de statistiques.
- À qui il est nécessaire de le faire afin de recueillir des renseignements personnels déjà colligés par celle-ci, en informant préalablement la Commission d’accès à l’information.
- À toute personne ou organisme si la communication des renseignements personnels est nécessaire pour :
- L’application d’une loi au Québec, que cette communication soit ou non prévue par la loi.
- Prévenir, détecter ou réprimer le crime ou les infractions aux lois.
- L’application d’une convention collective, d’un décret, d’un arrêté, d’une directive ou d’un règlement qui établissent des conditions de travail.
- L’exercice d’un mandat ou à l’exécution d’un contrat de services ou d’entreprise confié par la SOFAD. Le cas échéant, le contrat concerné doit être conclu par écrit et contenu doit être conforme à la Loi.
- À un organisme public ou à un organisme d’un autre gouvernement, en concluant et soumettant préalablement à la Commission d’accès à l’information une entente écrite conforme à la Loi, lorsque cette communication est nécessaire :
- Pour l’exercice de ses attributions par l’organisme receveur.
- Est manifestement au bénéfice de la personne concerné.
- Dans le cadre de la prestation d’un service à la personne concernée par un organisme public.
- Lorsque des circonstances exceptionnelles le justifient.
- La SOFAD doit communiquer certains renseignements personnels en temps opportun dans les circonstances suivantes :
- À toute personne susceptible de porter secours à une personne exposée à une situation d’urgence ou à un danger imminent de mort ou de blessures graves pouvant être provoquée(s) par un acte de violence, dont un suicide, s’il existe un motif raisonnable de croire qu’un tel danger la menace et que cela est nécessaire pour le prévenir. Le cas échéant, seuls les renseignements personnels nécessaires aux fins poursuivies par leur communication doivent être communiqués.
- Aux autorisé policières lorsqu’il existe un motif raisonnable de croire qu’une personne est en possession d’une arme à feu sur les terrains ou dans les locaux de la SOFAD, qu’une personne a un comportement susceptible de compromettre sa sécurité ou celle d’autrui avec une arme à feu. Le cas échéant, la SOFAD communique aux autorités policières que les renseignements personnels nécessaires pour faciliter la tâche des policiers.
Avant de communiquer des renseignements personnels à l’extérieur du Québec, la SOFAD devra réaliser un processus d’évaluation des Facteurs relatifs à la vie privée (EFVP) qui devra prendre en considération le article 17 de la Loi (RLRQ c P-39).
Pour plus de détails, nous vous invitons cordialement à visiter la section de l'Inventaire des fichiers de renseignements personnels.
Comment protégeons-nous vos renseignements personnels?
Soucieux de toujours mériter votre confiance, nous mettons en œuvre les normes de sécurité généralement reconnues dans le domaine pour protéger vos renseignements personnels, et ce, pendant toute la période où nous les avons en notre possession.
La SOFAD :
- Adopte et met en œuvre une politique et un cadre de gestion de la sécurité de l’information, les maintenir à jour et en assurer leur application.
- Met en place les comités et les groupes de travail appropriés de coordination et de concertation en matière de sécurité de l’information.
- Assure la gestion de la sécurité de l’information, déployer les mesures y afférentes et assurer le suivi de leur mise en œuvre.
- Applique les indications d’application formulées par le chef gouvernemental ou par le chef délégué de la sécurité de l’information.
- Élabore et met en œuvre pour les membres du personnel et les cadres un programme formel et continu de formation et de sensibilisation en matière de sécurité de l’information.
- Respecte, lorsqu’elle utilise un service commun, les exigences de sécurité de l’information qui la concernent.
- Rend compte au chef délégué de la sécurité de l’information du respect de ses obligations en matière de sécurité de l’information et répond aux demandes qui lui sont formulées.
Conservation et destruction des renseignements personnels
La SOFAD prend les mesures de sécurité propres à assurer la protection des renseignements personnelles qu’elle collecte, utilise, communique, conserve ou détruit et ce, en fonction, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support.
- Collecte des renseignements personnels
La SOFAD ne recueille que les renseignements personnels qui sont nécessaires à la réalisation de ses mandats.
- Conservation des renseignements personnels
La SOFAD s’assure que les renseignements personnels qu’elle détient sont complets, à jour et exacts pour servir aux fins pour lesquelles elle les recueille où les utilise.
L’accès aux renseignements personnels détenus par la SOFAD n’est autorisé, en tout ou en partie, qu’aux membres du personnel pour qui cela est nécessaire aux fins de l’exercice de leurs fonctions.
- Utilisation des renseignements personnels
- L’utilisation est faite à des fins compatibles avec celles pour lesquelles le renseignement personnel a été recueilli.
- L’utilisation est faite manifestement au bénéfice de la personne concernée.
- L’utilisation est nécessaire à l’application d’une loi au Québec.
Les membres du personnel et les cadres de la SOFAD qui utilisent des renseignements personnels dans le cadre de l’exercice de leurs fonctions doivent :
- Limiter leur utilisation aux fins de l’exercice de leurs fonctions.
- S’assurer d’en préserver la confidentialité en toutes circonstances.
- Informer sans délai leur supérieur immédiat ou la direction générale de toute situation où la confidentialité de renseignements personnels pourrait avoir été compromise.
- Ne conserver, au terme de leur lien d’emploi avec la SOFAD, aucun renseignement personnel porté à leur connaissance dans le cadre de l’exercice de leurs fonctions et continuer d’en préserver la confidentialité.
- Destruction des renseignements personnels La SOFAD détruit de façon sécuritaire les renseignements personnels lorsque les fins pour lesquelles ils ont été recueillis sont accomplis, sous réserve des lois applicables quant à leur conservation.
Accès aux renseignements personnels et correction de ceux-ci
- Accès
Les personnes concernées par les renseignements personnels détenus par la SOFAD ont le droit d’être informées de l’existence de renseignements personnels les concernant et d’en recevoir communication, dans les limites et aux conditions prévues par la Loi.
- Rectification
La personne concernée par un renseignement personnel inexact, incomplet ou équivoque ou dont la collecte, la communication ou la conservation ne sont pas autorisées par la Loi, peut exiger la rectification du fichier, dans les limites et aux conditions prévues par la Loi.
- Transmission d’une demande d’accès ou de rectification
Toute demande en ce sens doit être transmise par courriel à la direction générale.
- Réponse écrite en cas d’un refus
Dans le cas où la SOFAD ne sera pas en mesure d’autoriser l’accès d’un particulier à ses renseignements personnels, la direction générale fournira par écrit les raisons qui motivent ce refus.
Surveillance et évaluation
La SOFAD Met en place un processus de gestion des risques basé sur l’amélioration continue permettant l’identification, l’analyse et le traitement des risques de sécurité de l’information. Sur une base récurrente, une analyse de risques est effectuée pour chaque domaine d’activité visé par la présente Politique afin d’identifier les risques pouvant affecter leur fonctionnement efficace. Ce processus est réalisé par les membres de l’équipe concernés par ces questions avec la collaboration du CISO externe.
Questions ou plaintes
Toute personne peut porter plainte concernant la protection des renseignements personnels détenus par la SOFAD en écrivant à Edgardo Romero, Responsable de la protection des renseignements personnels (RPRP) à l’adresse info@sofad.qc.ca ou par téléphone au 514 529-2800.
La personne responsable de la protection des renseignements personnels doit répondre au plaignant dans les 30 jours de la réception d’une plainte.
Le signalement d’un Incident de confidentialité
Tous les membres du personnel de la SOFAD signalent sans délai à la personne responsable de la protection des renseignements personnels ou, à défaut, à leur gestionnaire tout incident ou suspicion d’incident de confidentialité dont ils ont connaissance.
Tout autre personne signale sans délai tout Incident ou suspicion d’Incident de confidentialité à Service à la clientèle au courriel info@sofad.qc.ca ou au téléphone 514 529-2800. NE RETARDEZ PAS le signalement de cet incident ou de tout autre incident, même si l'incident n'est pas encore confirmé
RAPPEL :
- On entend par « incident de confidentialité ».
- L’accès non autorisé par la loi à un renseignement personnel.
- L’utilisation non autorisée par la loi d’un renseignement personnel.
- La communication non autorisée par la loi d’un renseignement personnel.
- La perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.
Tous les incidents de confidentialité doivent être inscrits dans le registre des incidents de confidentialité, et cela, peu importe leur ampleur ou leur risque de préjudice. Si un incident présente un risque qu’un préjudice sérieux soit causé, l’organisme public doit, avec diligence, aviser la Commission d’accès à l’information. Il doit également aviser toute personne dont un renseignement personnel est concerné par l’incident.
Fichiers témoins (cookies) et mesure d'audience Web
Notre site web utilise des fichiers témoins (cookies) et Google Analytics pour améliorer votre expérience en ligne.
Ces renseignements sont notamment :
- L’adresse IP tronquée de votre ordinateur (votre adresse IP est modifiée, ce qui empêche de vous y relier).
- La région ou la municipalité, déterminée d’après l’adresse IP.
- Le type, la langue, la version et autres données relatives au navigateur (ex. : Chrome, Safari).
- Le domaine du site précédent visité (ex. : google.ca).
Vous avez la possibilité de désactiver les fichiers témoins dans les paramètres de votre navigateur, mais veuillez noter que cela pourrait affecter votre expérience de navigation.
Google Analytics utilise des fichiers témoins pour collecter des informations sur l'utilisation de notre site web, telles que les pages visitées et le temps passé sur chaque page. Ces informations nous aident à comprendre comment les utilisateurs interagissent avec notre site afin d'apporter des améliorations.
Les témoins publicitaires de Google sont aussi utilisés pour recueillir des renseignements démographiques et de l’information sur les centres d’intérêt des internautes. Ces informations ne peuvent être associées à une personne. Google ne mettra jamais en relation les renseignements collectés avec une autre donnée ou tout autre renseignement qu’il conserve.
Pour avoir plus d’informations sur les renseignements recueillis par Google et l’usage qu’il en est fait, consultez sa Politique de confidentialité et conditions d’utilisation.
Si vous le désirez, vous pouvez empêcher Google d’enregistrer les renseignements relatifs à votre navigation en installant, sur votre ordinateur, le module complémentaire de navigateur pour la désactivation de Google Analytics. Sur mobile, vous pouvez utiliser un navigateur privé ou utiliser le mode « incognito ».
Cette politique entre en vigueur le 22 septembre 2023.
Dernière mise à jour : 22 septembre 2023.