CAI – La Commission d’accès à l’information du Québec, organisme administratif chargé de l’application des lois en matière d’accès à l’information et de protection des renseignements personnels.

Incident de confidentialité – L’accès, l’utilisation ou la communication non autorisé·es par la loi d’un renseignement personnel. Il peut aussi s’agir de la perte ou de toute autre atteinte à la protection d’un renseignement personnel.

Loi sur le secteur privé – Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ chapitre P–39.1

Renseignement personnel – Un renseignement personnel est tout renseignement qui concerne une personne physique et permet directement ou indirectement de l’identifier.

Renseignement personnel sensible – Un renseignement personnel est sensible lorsque, par sa nature notamment médicale, biométrique ou autrement intime, ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d’attente raisonnable en matière de vie privée.

Au bas de l’échelle (ci-après « l’Organisme ») peut récolter des renseignements personnels qui sont notamment nécessaires à l’accomplissement de sa mission, soit l’éducation populaire et la défense des droits des travailleuses et travailleurs non syndiqué·es du Québec.

L’Organisme ne recueillera que les renseignements personnels nécessaires aux fins précisées. Tous les renseignements personnels seront recueillis conformément aux lois. De plus, l’Organisme détiendra, protégera et détruira les renseignements personnels conformément aux lois et aux meilleures pratiques. 

Un renseignement personnel ne peut être utilisé qu’aux fins pour lesquelles il a été recueilli. Si le renseignement personnel doit être utilisé à d’autres fins, la personne concernée doit donner son consentement. L’Organisme doit alors expliquer en termes simples et clairs la nouvelle finalité à la personne concernée.

Le consentement n’a pas besoin d’être écrit. Cependant, lorsque la situation le requiert, notamment à cause de la sensibilité des renseignements recueillis, l’Organisme peut utiliser un formulaire de consentement écrit. L’Organisme peut aussi utiliser un formulaire de consentement écrit lorsque la personne concernée le demande.

La personne en charge du service d’information juridique est responsable de la protection des renseignements personnels détenus par l’Organisme. Les coordonnées de cette personne sont publiées sur le site Internet de l’Organisme.

La personne responsable veille à assurer le respect et l’application des lois concernant la protection et la confidentialité des renseignements personnels et de la présente politique. Elle s’occupe notamment de traiter les demandes d’accès aux renseignements personnels, d’assurer l’exactitude des renseignements détenus, de faire rectifier l’information inexacte, de gérer les incidents de confidentialité et de promouvoir les bonnes pratiques en la matière. 

L’Organisme conservera sécuritairement les renseignements personnels collectés, et ce, uniquement pour la durée nécessaire afin de lui permettre de remplir ses obligations. Dans certains cas, la conservation des renseignements personnels pourrait être de plusieurs années. À titre d’exemple, les informations recueillies dans le contexte d’un suivi individuel avec le service d’information juridique doivent être conservées pour des durées suffisamment longues afin d‘assurer la continuité du suivi dans le cas d’une éventuelle audience au Tribunal administratif du travail (TAT).

Sur demande, l’Organisme expliquera à la personne concernée la durée de la conservation des renseignements personnels.

Lorsque la détention d’un renseignement personnel n’a plus de pertinence dans un dossier, l’Organisme détruira sécuritairement l’information. Cependant, l’Organisme peut aussi l’anonymiser, en retirant les mentions permettant d’identifier une personne, s’il souhaite conserver des éléments pour d’autres fins, notamment pour de la formation.

Le cas échéant, chacune des personnes membres du personnel de l’Organisme veilleront à s’assurer que les renseignements personnels sont collectés, conservés, utilisés et détruits selon les meilleures pratiques. Lorsqu’un incident de confidentialité probable, appréhendé ou avéré est porté à la connaissance d’une personne membre du personnel de l’Organisme, celle-ci communiquera avec la personne responsable de la protection des renseignements personnels.

L’Organisme veille à ce qu’un renseignement personnel soit accessible à une personne membre de son personnel uniquement si cet accès est nécessaire à l’exercice de ses fonctions.

L’Organisme tient un registre des incidents de confidentialité conformément à la Loi sur le secteur privé et à ses règlements. Sur demande de la CAI, une copie de ce registre lui est transmis.

Lorsque l’Organisme a des motifs de croire qu’il s’est produit un incident de confidentialité impliquant un ou des renseignements personnels qu’il détient, il doit alors prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature se produisent. Le cas échéant, si l’incident présente un risque de préjudice sérieux, il doit alors aviser la CAI ainsi que la personne concernée conformément à la Loi sur le secteur privé et à ses règlements.

L’évaluation du risque de préjudice se fait en consultation de la personne responsable de la protection des renseignements personnels et prend en compte la sensibilité du ou des renseignements concernés, les conséquences appréhendées de son utilisation et la probabilité qu’il soit utilisé à des fins préjudiciables.

La personne responsable de la protection des renseignements personnels reçoit les plaintes relatives à la protection de ceux-ci. Lorsqu’une telle plainte est déposée, la personne responsable de la protection des renseignements personnels en accuse réception auprès de la personne concernée, prend connaissance de son contenu, enquête sur les circonstances et répond par écrit d’une manière diligente. Le cas échéant, elle peut formuler des recommandations à l’Organisme permettant d’améliorer la protection des renseignements personnels.

La personne responsable de la protection des renseignements personnels s’assure que la présente politique a été diffusée et a été mise en œuvre au sein de l’Organisme. Elle veille aussi à assurer le suivi des changements législatifs et à mettre à jour la politique, au besoin.