Politique de gouvernance et de gestion des renseignements personnels

1. Introduction

La Corporation des maîtres mécaniciens en tuyauterie (ci-après la « CMMTQ ») accorde une grande importance à l’intégrité et à la protection des Renseignements personnels qu’elle traite dans le cadre de ses activités et de ses missions.

Dans le but de mener à bien ces dernières, la CMMTQ s’est engagée à respecter la vie privée des Personnes concernées conformément aux lois, règlements et normes applicables au Québec en matière de respect de la vie privée et de protection des Renseignements personnels au cours de leur cycle de vie. C’est pourquoi la CMMTQ a mis en place un programme de gouvernance qui prévoit notamment l’adoption d’une série de politiques et de procédures visant à assurer l’intégrité, la confidentialité et la sécurité des Renseignements personnels et le respect de la vie privée des Personnes concernées.

Le présent cadre de gouvernance concernant la protection des Renseignements personnels (la « Politique ») a pour objectif :

• D’énoncer les principes généraux auxquels la CMMTQ adhère ainsi que les pratiques qu’elle met en œuvre pour assurer la protection des Renseignements personnels et les droits des Personnes concernées durant le cycle de vie desdits Renseignements personnels;
• D’établir les rôles et les responsabilités de la CMMTQ en matière de protection des Renseignements personnels;
• De mettre en place un processus de traitement des plaintes relatives à la protection des Renseignements personnels;
• De mettre en place des mesures de protection à prendre à l’égard des Renseignements personnels recueillis ou utilisés dans le cadre d’un sondage;
• De décrire les activités de formation et de sensibilisation que la CMMTQ offre à son personnel en matière de protection des Renseignements personnels.

La présente Politique s’applique à tous ses employés, comités, fournisseurs de services, partenaires et autres cocontractants qui traitent des Renseignements personnels dans l’exercice de leurs fonctions pour le compte de la CMMTQ et dans le cadre de leur relation avec la CMMTQ.

2. Documents de référence

2.1. Législation pertinente

• Charte des droits et libertés de la personne, chapitre C-12;
• Code civil du Québec, chapitre CCQ-1991;
• Décret concernant une entente relative au mandat confié à la Corporation des maîtres mécaniciens en tuyauterie du Québec eu égard à l’administration et à l’application de la Loi sur le bâtiment concernant la qualification professionnelle de ses membres et les garanties financières exigibles de ceux-ci, chapitre B-1.1, r. 5 (soit le « Décret de qualification »);
• Loi sur l’accès aux documents des organismes publics et sur la protection des Renseignements personnels, chapitre A-2.1 (soit la « Loi sur l’accès »);
• Loi concernant le cadre juridique des technologies de l’information, chapitre C-1.1;
• Règlement sur l’anonymisation des renseignements personnels, chapitre A-2.1, r. 0.1;
• Règlement sur les incidents de confidentialité, chapitre A-2.1, r. 3.1;
• Règlement sur les politiques de confidentialité des organismes publics recueillant des renseignements personnels par des moyens technologiques, chapitre A-2.1, r. 4.1;
• Règlement sur la diffusion de l’information et sur la protection des renseignements personnels, chapitre A-2.1, r. 2
  
  (Collectivement, les « Lois applicables sur la protection de la vie privée »)

3. Définitions

Les mots et expressions qui suivent sont tirés des Lois applicables sur la protection de la vie privée et ont été uniformisés pour leur application dans la juridiction de la province de Québec. Lorsqu’ils apparaissent avec une première lettre en majuscule dans la Politique, ils ont le sens qui leur est attribué ci-après, à moins d’une dérogation implicite ou explicite dans le texte :

Activité de traitement ou Traitement : toute opération ou ensemble d’opérations effectuées sur des Renseignements personnels ou des ensembles de Renseignements personnels, que ce soit ou non par des moyens automatisés, comme la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation, la modification, l’extraction, la consultation, la communication, l’utilisation, la divulgation par transmission, diffusion ou toute autre forme de mise à disposition, l’alignement ou la combinaison, la restriction, l’effacement ou la destruction.

Anonymiser : tout moyen permettant de faire en sorte qu'un renseignement concernant un individu ne permette plus, de façon irréversible, d'identifier directement ou indirectement cette personne, le tout selon les meilleures pratiques généralement reconnues. Un Renseignement personnel ne peut être anonymisé que s’il répond aux conditions fixées par le Règlement sur l’anonymisation des renseignements personnels.

Évaluation des facteurs relatifs à la vie privée ou EFVP : démarche évaluant la conformité légale d’un projet ou d’un Traitement de Renseignements personnels ainsi que les risques pouvant être créés par le projet ou Traitement de Renseignement personnel à l’égard de la vie privée des Personnes concernées par les Renseignements personnels. L’EFVP présente des recommandations visant à renforcer la conformité légale du projet ainsi qu’à mitiger ou éliminer les risques identifiés lors de l’EFVP.

Fins primaires ou Finalités primaires : les fins essentielles à la fourniture d’un service ou d’un bien ou l’accès à un emploi. Si une Personne concernée refuse de fournir ses Renseignements personnels à l’accomplissement d’une fin primaire, la CMMTQ ne peut pas fournir le service ou le bien ou permettre l’accès à l’emploi.

Fins secondaires ou Finalités secondaires : toutes fins qui ne sont pas primaires.

Incident de confidentialité : tout accès non autorisé par la loi à un Renseignement personnel, toute utilisation non autorisée par la loi d’un Renseignement personnel, toute communication non autorisée par la loi d’un Renseignement personnel, toute perte de Renseignement personnel ou toute autre atteinte à la protection d’un Renseignement personnel.

Obligation de Transparence : obligation prévue par la Loi sur l’accès d’informer la Personne concernée au moment de la collecte de Renseignements personnels :

1. Du nom de la CMMTQ ou au nom de qui la collecte est faite;
2. Des fins auxquelles ces Renseignements personnels sont recueillis;
3. Des moyens par lesquels les Renseignements personnels sont recueillis;
4. Du caractère obligatoire ou facultatif de la demande;
5. Des conséquences pour la Personne concernée ou, selon le cas, pour le tiers, d’un refus de répondre à la demande ou, le cas échéant, d’un retrait de son consentement à la communication ou à l’utilisation des renseignements recueillis suivant une demande facultative;
6. Des droits d’accès et de rectification prévus par la loi;
7. Du droit de retirer son consentement à la communication ou à l’utilisation des renseignements recueillis;
8. Du nom du tiers qui recueille les Renseignements personnels au nom de la CMMTQ, le cas échéant;
9. Du nom des tiers ou des catégories de tiers à qui il est nécessaire de communiquer les Renseignements personnels, le cas échéant;
10. De la possibilité que les Renseignements personnels soient communiqués à l’extérieur du Québec, le cas échéant.

Personne concernée : personne physique qu’un Renseignement personnel permet d’identifier.

Profilage : collecte et utilisation de Renseignements personnels afin d’évaluer certaines caractéristiques d’une personne physique, notamment à des fins d’analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de cette personne.

Renseignements personnels : toutes informations relatives à une personne physique et permettant de l'identifier directement ou indirectement. Constitue un Renseignement personnel tout renseignement qui révèle de manière directe ou indirecte ou par référence, quelque chose sur l’identité, les caractéristiques, les activités, l’emplacement ou d’autres informations identifiables (ex. : habiletés, préférences, tendances psychologiques, prédispositions, capacités mentales, caractère et comportement, situation économique culturelle ou sociale) de cette personne, et ce, quelle que soit la nature du support et quelle que soit la forme sous laquelle ces renseignements sont accessibles (écrite, graphique, sonore, visuelle, informatisée ou autre). Afin d’obtenir davantage d’informations sur ce en quoi consiste un Renseignement personnel, la CMMTQ est avisée de consulter l’information publiée à cet effet sur le site Internet du Gouvernement du Québec : Présentation des concepts-clés liés aux renseignements personnels | Gouvernement du Québec.

Renseignement personnel dépersonnalisé : un Renseignement personnel est « dépersonnalisé » lorsqu’il ne permet plus d’identifier directement la Personne concernée.

Renseignement personnel sensible : un Renseignement personnel est considéré comme sensible lorsque, par sa nature notamment médicale, biométrique ou autrement intime, ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d’attente raisonnable en matière de respect de la vie privée. Il peut s’agir, par exemple, de renseignements médicaux, biométriques, génétiques ou financiers, ou encore de renseignements sur la vie ou l’orientation sexuelle, les convictions religieuses ou philosophiques, l’appartenance syndicale ou bien l’origine ethnique.

Responsable de la protection des renseignements personnels : la personne physique qui veille à assurer le respect et la mise en œuvre de la Loi sur l’accès et autres Lois applicables sur la protection de la vie privée au sein de la CMMTQ.

Transfert à l’extérieur du Québec : Le Transfert de Renseignements personnels à l’extérieur du Québec regroupe la communication de Renseignements personnels à l’extérieur du Québec ainsi que le fait de confier à une personne ou à un organisme à l’extérieur du Québec la tâche de recueillir, d’utiliser, de communiquer ou de conserver pour le compte de la CMMTQ un Renseignement personnel.

4. Principes directeurs

Pour ses activités qui ne relèvent pas du Décret de qualification, la CMMTQ choisit de s’inspirer des meilleures pratiques reconnues afin de favoriser un traitement responsable et respectueux des Renseignements personnels.

Pour ses activités qui relèvent du mandat confié par le gouvernement en vertu du Décret de qualification, la CMMTQ recueille et traite des Renseignements personnels. Pour ces activités, elle est assujettie aux Lois applicables sur la protection de la vie privée et doit, à ce titre, protéger les Renseignements personnels qu’elle détient. Elle s’engage à prendre les mesures propres à assurer la protection de ces Renseignements personnels. Les pratiques décrites ci-après s’appliquent exclusivement aux Renseignements personnels recueillis et utilisés dans le cadre du Décret de qualification :

4.1. Traitement des Renseignements personnels

La CMMTQ assure la protection des Renseignements personnels qu’elle détient directement ou qui sont traités pour son compte par ses fournisseurs de services, ses partenaires et autres contractants tout au long de leur cycle de vie dans le respect des principes suivants, sous réserve des exceptions légales. La CMMTQ veille à ce que les Renseignements personnels soient traités par des moyens équitables et légaux tout au long de leur cycle de vie.

4.1.1. Collecte

La CMMTQ ne peut collecter que les Renseignements personnels qui sont nécessaires à l’exercice de ses attributions ou à la mise en œuvre d’un programme dont elle a la gestion. Pour être considérée comme « nécessaire », la collecte de Renseignements personnels doit :

1. Être faite pour des fins légitimes, fondées sur des préoccupations réelles et justifiables ;
2. Détenir un lien rationnel avec les fins fondant sa collecte ;
3. Représenter l'atteinte à la vie privée la moins sévère pour accomplir les fins pour lesquelles ils sont recueillis ; et
4. Présenter une atteinte à la vie privée proportionnée à l’importance des objectifs poursuivis par la collecte.

La collecte doit se faire auprès de la Personne concernée, sous réserve des exceptions prévues par les Lois applicables sur la protection de la vie privée.

Les Renseignements personnels doivent être recueillis et utilisés à des fins précises, spécifiques et légitimes. Les Renseignements personnels recueillis doivent être directement liés et nécessaires à la réalisation des finalités pour lesquelles ils ont été recueillis. Ces fins doivent être établies avant la collecte et l’utilisation des Renseignements personnels.

La CMMTQ, et quiconque au nom de la CMMTQ, recueille des Renseignements personnels, doit respecter son Obligation de Transparence avant de recueillir des renseignements personnels.

Si des Renseignements personnels sont recueillis auprès de tiers, la CMMTQ s’assure que la collecte est autorisée par la loi et qu’elle respecte ses politiques et ses pratiques à ce sujet.

Si la CMMTQ recueille des Renseignements personnels en ayant recours à une technologie comprenant des fonctions permettant d’identifier, de localiser ou d’effectuer un Profilage de la Personne concernée, la CMMTQ doit, par défaut, prévoir la désactivation de ces fonctions, informer la Personne concernée du recours à cette technologie et lui indiquer les moyens offerts pour activer ces fonctions.

4.1.2. Consentement

Toute fin à laquelle le Renseignement personnel est utilisé et toute communication de Renseignement personnel doivent être consenties par la Personne concernée. Remplir l’Obligation de Transparence au moment de recueillir les Renseignements personnels permet à la CMMTQ d’obtenir un consentement à l’utilisation des Renseignements personnels pour les fins divulguées et, le cas échéant, à la communication aux tiers ou aux catégories de tiers à qui il est nécessaire de communiquer les Renseignements personnels pour l’accomplissement de ces fins.

Pour obtenir un consentement à une Fin secondaire, à une communication de Renseignements personnels ou à une nouvelle utilisation des Renseignements personnels qui n’était pas prévue au moment de la collecte, la CMMTQ doit obtenir un consentement répondant aux Lignes directrices 2023-1 – Consentement : critères de validité de la Commission d’accès à l’information du Québec.

La CMMTQ doit obtenir un consentement valide tant pour les utilisations à des fins secondaires qu’aux communications prévues. Pour ce faire, le consentement doit être donné à des fins spécifiques (il faut définir les fins le plus précisément possible), doit être demandé de façon granulaire (le consentement doit être demandé pour chacune des fins visées) et n’être valable que pour une durée limitée (pour la durée nécessaire à la réalisation des fins visées). La demande de consentement doit être compréhensible, présentée de façon concise en termes simples et clairs, tant pour les informations fournies que pour la question ou l’énoncé d’acceptation ou de refus. Finalement, le consentement devra être manifeste (le consentement doit être évident et clair), libre (le consentement doit impliquer un choix réel ainsi qu’être donné sans contrainte ou pression indue) et éclairé (la Personne concernée doit comprendre ce à quoi elle consent). Le consentement doit être demandé distinctement de toute autre information communiquée à la Personne concernée. S’il concerne des Renseignements personnels sensibles, le consentement doit être manifesté de façon expresse, c’est-à-dire exprimé explicitement par un geste ou une déclaration (orale ou écrite) témoignant de l’acceptation par la Personne concernée. L’expression anglaise opt in désigne également ce type de consentement.

Le consentement du mineur de moins de 14 ans ne peut être donné que par le titulaire de l’autorité parentale ou par le tuteur, à moins que le consentement ne vise la collecte d’un renseignement personnel et que cette collecte est manifestement au bénéfice de ce mineur. Le consentement du mineur de 14 ans et plus peut être donné par le mineur, par le titulaire de l’autorité parentale ou par le tuteur.

L’obtention d’un consentement avant d’utiliser ou de communiquer un Renseignement personnel est nécessaire même si le Renseignement personnel est aisément disponible au public (ex. : le Renseignement personnel apparaît sur une page de médias sociaux utilisés par la Personne concernée).

4.1.3. Utilisation

La CMMTQ ne peut utiliser les Renseignements personnels que pour les fins qui ont été consenties par les Personnes concernées. À ce titre, pour utiliser un Renseignement personnel pour une fin qui n’a pas fait l’objet d’un consentement de la part de la Personne concernée, la CMMTQ doit demander un nouveau consentement avant d’utiliser le Renseignement personnel pour cette nouvelle fin. La Loi sur l’accès prévoit certaines exceptions d’utilisation de Renseignements personnels qui ne requiert pas le consentement parmi lesquels : l’utilisation est manifestement au bénéfice de la Personne concernée, l’utilisation est nécessaire à l’application d’une loi au Québec ou l’utilisation est faite dans le cadre de certaines enquêtes.

Lorsqu’un Renseignement personnel est utilisé sans consentement parce que cela est manifestement au bénéfice de la Personne concernée ou que l’utilisation est nécessaire à l’application d’une loi au Québec, le Responsable de la protection des renseignements personnels doit inscrire l’utilisation dans le Registre prévu à l’article 67.3 de la Loi sur l’accès.

4.1.4. Conservation

Lors de la conservation des Renseignements personnels, la CMMTQ doit veiller à ce que les Renseignements personnels soient à jour, exacts et complets pour servir aux fins pour lesquelles ils ont été recueillis ou utilisés.

La CMMTQ doit également prendre les mesures de sécurité propres à assurer la protection des Renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support. Pour respecter cette obligation, la CMMTQ prévoit diverses politiques et directives imposant à ses employés des tâches et des obligations à respecter.

La CMMTQ a également l’obligation de limiter l’accès aux Renseignements personnels qu’elle traite. Il lui revient donc de s’assurer que les seules personnes pouvant accéder à un Renseignement personnel qu’elle détient sont celles qui ont qualité pour le recevoir lorsque le Renseignement personnel est nécessaire à l’exercice de leurs fonctions.

4.1.5. Communication

Comme pour l’utilisation, la CMMTQ doit obtenir le consentement de la Personne concernée avant de communiquer un Renseignement personnel.

Lorsqu’elle communique des Renseignements personnels à des tiers, la CMMTQ conclut des ententes écrites qui imposent aux tiers de respecter les obligations en matière d’intégrité, de confidentialité, de sécurité et de protection des Renseignements personnels et de respect de la vie privée. En effet, la CMMTQ demeure responsable des Renseignements personnels même lorsque le tiers effectue la conservation de ces Renseignements personnels.

La CMMTQ peut procéder à la communication sans consentement de Renseignements personnels dans des cas spécifiques prévus par la Loi sur l’accès, par exemple :

1. La communication est nécessaire aux fins d’une poursuite pour une infraction à une loi applicable au Québec.
2. Si la communication est nécessaire à l’application d’une loi au Québec, que cette communication soit ou non prévue expressément par la loi.

Ces communications devront être inscrites au Registre en vertu de l’article 67.3 de la Loi sur l’accès.

4.1.6. Anonymisation et dépersonnalisation

Lorsque la CMMTQ anonymise ou dépersonnalise des Renseignements personnels, elle consulte à cet effet la « Politique d’anonymisation et de dépersonnalisation » en vigueur.

4.2. Évaluation des facteurs relatifs à la vie privée (EFVP)

Les EFVP sont réalisées suivant sa Procédure concernant l’évaluation des facteurs relatifs à la vie privée de la CMMTQ.

4.3. Incident de confidentialité

La CMMTQ gère tout Incident de confidentialité conformément à la Politique de gestion et de notification des incidents de confidentialité.

Tout Incident de confidentialité doit être signalé au Responsable de la protection des renseignements personnels.

4.4. Signalement en cas de nouvel usage, de modification ou d’installation de nouveau logiciel, d’application ou de plateforme ou de nouveau système de prestation électronique de service

Tout employé ou agent agissant pour la CMMTQ doit impérativement signaler au Responsable de la protection des renseignements personnels toute intention d’utiliser ou d’installer un nouveau logiciel, application, plateforme ou outil d’intelligence artificielle qui sera appelé à traiter des Renseignements personnels ou un nouveau système de prestation électronique de service.

Une EFVP suivant la Procédure concernant l’évaluation des facteurs relatifs à la vie privée de la CMMTQ devra être réalisée.

4.5. Transferts à l’extérieur du Québec

La CMMTQ, lorsqu’elle effectue des Transferts à l’extérieur du Québec, s’assure d’entreprendre les mesures préalables conformément à sa Procédure concernant l’évaluation des facteurs relatifs à la vie privée.

4.6. Réalisation de sondages

La CMMTQ prend les mesures nécessaires de protection des Renseignements personnels collectés, comme prévu à la Procédure relative à l’utilisation ou à la communication de renseignements personnels à des fins de sondage.

4.7. Transparence

En plus de son Obligation de transparence devant être respectée lors des collectes de Renseignements personnels, la CMMTQ doit informer la Personne concernée, à sa demande, des catégories de personnes qui ont accès à ces renseignements au sein de la CMMTQ, de la durée de conservation de ces renseignements, ainsi que des coordonnées du Responsable de la protection des renseignements personnels. Dans le cas où les Renseignements personnels sont recueillis auprès d’un tiers, celui qui les recueille doit lui communiquer (1) le nom de la CMMTQ effectuant la requête, (2) les conséquences du retrait du consentement et (3) les droits d’accès et rectification.

4.8. Plainte

La CMMTQ traite avec diligence toute plainte en lien avec les demandes d’accès et de rectification ainsi que la protection des Renseignements personnels et la violation du respect de la vie privée qu’elle reçoit de toute Personne concernée conformément à sa Procédure de demande d'accès, de rectification et de traitement des plaintes concernant les Renseignements personnels.

La CMMTQ veille à donner une réponse aux demandes reçues et, en cas de refus, à motiver ladite réponse en indiquant la disposition de la Loi sur l’accès et informer le requérant de ses droits de recours en révision et des délais pour l’exercer. Elle prête assistance au requérant qui le demande pour l’aider à comprendre la décision de refus de la CMMTQ.

4.9. Formation

La CMMTQ met en place diverses activités de formation et de sensibilisation auprès de son personnel concernant la protection des Renseignements personnels au cours de leur cycle de vie. Ces activités prennent différentes formes, telles que des formations sur la protection des Renseignements personnels et la procédure d’Incidents de confidentialité, ainsi que des présentations, politiques, procédures et directives écrites.

5. Droits des personnes concernées

Toute personne dont la CMMTQ collecte, détient et utilise des Renseignements personnels dispose des droits suivants :

• Être informée des Renseignements personnels que la CMMTQ détient à son sujet, de leur utilisation, communication, conservation et de leur destruction, sous réserve des exceptions prévues par la loi;
• Pouvoir accéder aux Renseignements personnels que la CMMTQ détient à son sujet et obtenir une copie de ceux-ci sous des formats accessibles, sous réserve des exceptions prévues par la loi;
• Pouvoir rectifier et mettre à jour les Renseignements personnels que la CMMTQ détient à son sujet lorsqu’ils sont incomplets, inexacts ou périmés;
• Demander que les Renseignements personnels recueillis par la CMMTQ à son sujet soient communiqués ou transférés à une autre organisation qu’elle désigne dans un format technologique et couramment utilisé;
• Pouvoir retirer ou modifier son consentement à ce que la CMMTQ recueille, utilise, communique ou conserve ses Renseignements personnels en tout temps, sous réserve des restrictions légales et contractuelles applicables;
• Être informée d’un Incident de confidentialité concernant ses Renseignements personnels pouvant lui causer un préjudice sérieux;
• Demander de cesser de diffuser ses Renseignements personnels et de désindexer tout lien rattaché à son nom qui donne accès à ces renseignements en cas de diffusion qui contrevient à la loi ou à une ordonnance judiciaire ; et
• Porter plainte relativement au Traitement de ses Renseignements personnels par la CMMTQ.
  
  

6. Signalement en cas de demande d’une Personne concernée

Tout employé ou agent agissant pour la CMMTQ doit impérativement signaler au Responsable de la protection des renseignements personnels de la CMMTQ toute demande ou plainte de la part d’une Personne concernée qui concernent les pratiques de la CMMTQ en matière de protection des Renseignements personnels.

Le Responsable à la protection des renseignements personnels doit, une fois saisi de la demande ou plainte de la Personne concernée, traiter cette demande en considérant la Procédure de demande d'accès, de rectification et de traitement des plaintes concernant les Renseignements personnels.

7. Responsable de la protection des renseignements personnels

Le nom, le titre et les coordonnées du Responsable de la protection des renseignements personnels sont disponibles dans la Politique de confidentialité et de protection des renseignements personnels de la CMMTQ publiée sur son site Internet.

8. Organisation de la gouvernance et des responsabilités

La protection des Renseignements personnels que la CMMTQ détient repose sur l’engagement de tous ceux qui traitent ces renseignements et plus particulièrement :

Le Conseil provincial d’administration
Le Conseil provincial d’administration de la CMMTQ doit s’assurer que des politiques et des pratiques de gouvernance en matière de protection des Renseignements personnels sont mises en place et il désigne le Responsable de la protection des renseignements personnels, soit la personne chargée d’assurer le respect et la mise en œuvre des Lois applicables sur la protection de la vie privée au sein de la CMMTQ et en aviser la Commission d’accès à l’information;

Le directeur général
Le directeur général, sur recommandation du Responsable de la protection des renseignements personnels, le cas échéant :

• Met en œuvre toutes politiques énonçant les règles de gouvernance à l’égard des Renseignements personnels;
  • Détermine le rôle et les responsabilités des membres du personnel tout au long du cycle de vie des Renseignements personnels;
  • Veille à faciliter l’exercice de la fonction de Responsable de la protection des renseignements personnels;
  • Avise la Commission d’accès à l’information en cas de survenance d’un Incident de confidentialité impliquant un Renseignement personnel que la CMMTQ détient, si l’incident présente le risque qu’un préjudice sérieux soit causé à une Personne concernée;
• Élabore et met en œuvre des règles de gouvernance et des politiques de confidentialité, s’il y a lieu;
• Publie sur son site Internet la présente Politique relatant les politiques et pratiques en vigueur.

La personne Responsable de la protection des renseignements personnels
Le Responsable de la protection des renseignements personnels doit traiter les demandes d’accès et de rectification à des Renseignements personnels.

Le Responsable s’assure également de :

• Conserver, le temps requis, tout document ou renseignement ayant fait l’objet d’une demande pour permettre à un requérant d’épuiser ses recours;
• Participer à la gestion d’un Incident de confidentialité;
• Recevoir les informations d’une personne ou d’un organisme qui exerce un mandat ou qui exécute un contrat de service lorsqu’une violation ou une tentative de violation relative à la confidentialité survient, et faire les vérifications nécessaires;
• Mettre en place ou de revoir les mesures et procédures nécessaires pour la mise en conformité des modèles de consentement;
• Collaborer aux évaluations des facteurs relatifs à la vie privée;
• Établir et mettre en œuvre le processus pour traiter les plaintes relatives à la protection des Renseignements personnels;
• Tenir les registres qui relèvent de sa responsabilité et procéder aux inscriptions requises dans les registres;
• Veiller à la protection des Renseignements personnels tout au long du cycle de vie de ceux-ci, soit de la collecte à la destruction ou à l’anonymisation;
• Donner son avis sur toute question relative à la protection des Renseignements personnels; 
• Agir à titre de représentante auprès des organismes publics et de la Commission d’accès à l’information pour toute question relative à la protection des Renseignements personnels;
• Offrir des séances de sensibilisation et de formation aux membres du personnel, y compris au personnel de direction, au sujet des obligations et des pratiques en matière de protection des Renseignements personnels;
• Soutenir les secteurs d’activités responsables de la diffusion des documents et des renseignements requis en vertu du Règlement sur la diffusion de l’information et sur la protection des Renseignements personnels;
• Effectuer les redditions de comptes requises en matière de protection des Renseignements personnels.
  
  

Les gestionnaires
Les gestionnaires sont responsables de la gestion et de la protection des Renseignements personnels détenus par le personnel de leur secteur d’activités. Les gestionnaires :

• S’assurent du respect de la présente politique et des procédures ou directives qui en découlent au sein de leur secteur d’activités;
• Veillent à ce que le personnel sous leur responsabilité utilise des moyens sécuritaires pour recueillir, utiliser, conserver, communiquer ou détruire les Renseignements personnels;
• Collaborent avec le Responsable de la protection des renseignements personnels pour veiller à la conformité de la CMMTQ aux obligations législatives, réglementaires et administratives en matière de protection des Renseignements personnels;
• Prennent les mesures appropriées en cas de manquement à la présente politique ou aux règles de protection des Renseignements personnels par un membre du personnel sous leur responsabilité;
• Sensibilisent le personnel sous leur responsabilité à l’importance de protéger les Renseignements personnels, en collaboration avec le Responsable de la protection des renseignements personnels;
• S’assurent que le personnel sous leur responsabilité participe aux formations relatives à la protection des Renseignements personnels offertes par la CMMTQ.

Le personnel de la CMMTQ
Tout employé, dirigeant, sous-traitant, agent ou tiers collaborateur, incluant toute personne qui, au sein de la CMMTQ, a accès et traite des Renseignements personnels, doit veiller à respecter les principes suivants :

• Prendre connaissance de la présente politique et en respecter l’esprit, les dispositions et les procédures qui en découlent;
• Prendre les mesures nécessaires pour assurer la protection des Renseignements personnels auxquels il a accès;
• N’accéder qu’aux Renseignements personnels nécessaires à l’exercice de ses fonctions;
• Utiliser les Renseignements personnels auxquels il a accès pour les fins prévues lors de leur collecte;
• Informer son gestionnaire et le responsable de la protection des renseignements personnels de tout incident lié à la protection des Renseignements personnels détenus par la CMMTQ;
• Collaborer à toute demande de la part du Responsable de la protection des renseignements personnels;
• Participer aux activités de sensibilisation et de formation à la protection des Renseignements personnels mis à sa disposition par la CMMTQ.

9. Sanctions

Toute personne qui enfreint cette Politique est susceptible de faire l'objet d'une sanction disciplinaire et pourra également être soumise à des poursuites civiles ou pénales si sa conduite enfreint les lois ou les règlements applicables.

10. Adoption, révision et entrée en vigueur

La présente Politique est révisée, au besoin, suivant l’évolution du cadre normatif applicable en matière de protection des Renseignements personnel.

Ce document entre en vigueur à la date de son adoption par le Responsable de la protection des renseignements personnels.