Politique de confidentialité

PRÉAMBULE

La présente politique traite de la gestion et de la protection des informations jugées confidentielles à l’intérieur de l’organisme. Elle traite notamment des renseignements concernant ses partenaires, ses données, des informations liées aux activités de l’organisme et des informations concernant la clientèle, des membres du conseil d’administration, des membres du personnel, des membres individuels et des bénévoles. Elle s’applique aux relations entre toutes personnes : hommes ou femmes, administrateurs, partenaires, membres du personnel, bénévoles et clientèle, partenaires ainsi qu’à toutes autres personnes travaillantes ou étant présentes dans les différents locaux de l’organisme. Elle poursuit les objectifs suivants:
  • Assurer le respect de la vie privée des personnes et la sécurité des renseignements personnels détenus par l’organisme;
  • Se donner des balises concernant les échanges d’informations tant à l’intérieur qu’à l’extérieur des locaux de l’organisme;
  • Protéger la propriété intellectuelle, les procédés internes, les informations sensibles (stratégies de concurrence, prix, salaires, etc.) ou autre chose qu’une personne pourrait tirer avantage à partager ou nuire à notre organisme en le partageant.

POLITIQUE

Engagements de l’organisme

L’organisme s’engage à:
  1. Assurer la sécurité et la confidentialité des informations et des renseignements personnels obtenus.
  2. Mettre en place des mécanismes afin de protéger les informations confidentielles et les renseignements personnels.
  3. Assurer le traitement confidentiel des plaintes tout en s’assurant d’en faire état au conseil d’administration et aux dirigeants afin que les situations soient connues.
  4. Recueillir seulement les données nécessaires ou utiles.
  5. Appliquer la politique de confidentialité dans le respect des valeurs de l’organisme.
  6. Agir avec respect et transparence lors de l’application de cette politique et dans le respect des lois en vigueur.

 

Normes de discrétion

Toute personne doit agir avec discrétion. De ce fait, elle doit:
  • Respecter la vie privée de tous.
  • Ne pas divulguer l’information confidentielle et les renseignements personnels obtenus.
  • Savoir garder les informations sensibles des personnes qui se confient.
  • Agir selon les valeurs de l’organisme.

 

Normes de confidentialité

  • Toute personne qui obtient des informations confidentielles ou des renseignements personnels dans l’exercice de ses fonctions est tenue de respecter la confidentialité de ces informations.
  • Pour les fins des présentes, « information confidentielle » signifie toute information (commerciale, technique, scientifique, financière, juridique, personnelle ou autre) qu’une personne, faisant preuve d’un jugement raisonnable, comprend comme étant confidentielle, incluant notamment toute information en lien avec les activités de l’organisme, ses stratégies et opportunités d’affaires, ses finances, sa propriété intellectuelle, ses fournisseurs, ses clients ou ses employés, à l’exception de l’information qui est connue du public en général ou qui devrait raisonnablement être connue du public.
  • Exception est faite dans certains cas, où il est essentiel que les intervenants puissent échanger certaines informations pour une meilleure intervention. Dans ce cas, les personnes concernées doivent aussi garder la confidentialité des informations échangées.

Échange d’information, tenue de dossier et mesures de sécurité

Échange d’informations à l’extérieur de l’organisme : Le conseil d’administration, la direction et les employés ne doivent pas discuter de dossiers, de personnes ou de décisions propres à l’organisme, avec des personnes extérieures ou non concernées, sauf si cela est nécessaire pour réaliser une intervention. Dans une telle situation, ils doivent:
  • S’assurer de l’identité de la personne qui demande l’information si celle-ci n’est pas connue;
  • Limiter les échanges d’informations au strict minimum.
Échange d’informations au sein de l’organisme:
  • Limiter les échanges d’informations entre intervenants lors de réunion du conseil d’administration, d’équipe ou dans un endroit sécurisé (ex.: bureau à porte fermée);
  • Éviter de discuter des dossiers, des personnes ou des décisions en dehors de ces moments. Si cela est impossible, s’assurer de ne pas identifier la personne concernée et échanger dans un lieu propice à la confidentialité;
  • S’assurer que les conversations téléphoniques traitant d’informations confidentielles ne sont pas entendues par d’autres personnes.
Réunions et procès-verbaux (conseil d’administration, comité, assemblée générale): Les résolutions adoptées en réunion doivent rester confidentielles. Règles à respecter concernant la tenue de dossier :
  • N’inscrire au dossier que des informations vraies, pertinentes et nécessaires; Éviter de noter des commentaires personnels, des réflexions ou perceptions et s’en tenir aux faits rapportés par la personne concernée ou observés par l’intervenant lui-même.

Procédures de conservation et de destruction des dossiers confidentiels:

  • Conserver les dossiers fermés en un lieu sûr dans le respect des normes de l’organisme;
  • S’assurer que les dossiers « physiques » confidentiels fermés sont déchiquetés à la fin de la période de conservation applicable:
    • Gestion financière: 10 ans (incluant registres comptables, opérations bancaires, fiscalité, dépenses, etc.).
    • Gestion de la paie: 10 ans.
    • Griefs et arbitrages: 10 ans.
    • Programmes de formation et de perfectionnement (1 %): 5 ans.
    • Dossiers d’accident de travail: 5 ans.
    • Registres qualité de l’eau (piscines): 5 ans.
    • Registres tours d’eau (arénas): 3 ans.
    • Gestion des ressources humaines: 3 ans (incluant dossiers des employés, horaires de travail, feuilles de temps.

Modalités d’application

La direction est responsable de la mise en oeuvre et de l’application de la politique de confidentialité. Toutes les personnes assujetties à la présente politique doivent remplir, dès l’entrée en vigueur de cette politique, un formulaire d’engagement à respecter celle-ci. En cas de non-respect de la politique de confidentialité, c’est la direction ou le conseil d’administration (dans le cas d’un dirigeant ou d’un administrateur) qui doit intervenir. L’autorité compétente imposera une sanction conforme à la gravité de l’offense à toute personne qui a divulgué une information confidentielle. La sanction peut aller de la réprimande, jusqu’au congédiement.

Exemples de mise en application

Membres du personnel
  • Toutes demandes de coordonnées d’une autre personne (client, employé, etc.) doivent être refusées. Il est toutefois possible de contacter la personne visée afin de lui transmettre les coordonnées de la personne qui tente d’entrer en contact avec cette dernière. Exemple de situations ou vous devez refuser la demande et plutôt transmettre les coordonnées du requérant à la personne visée:
    • Un client mentionne avoir apprécié la qualité du cours du moniteur de son enfant et souhaite obtenir les coordonnées de l’employé afin de se prévaloir de cours privés.
    • Un parent souhaite entrer en contact avec un autre parent afin que leurs enfants puissent jouer ensemble.
    • Un individu alléguant avoir besoin pour des raisons importantes des coordonnées d’un client ou employé (recouvrement de comptes en souffrance, télémarketing, etc.). Dans les cas où l’individu relève d’une autorité compétente (service de police, gouvernement, etc.), veuillez transmettre la demande au gestionnaire pour vérification.
  • Un employé ne peut pas utiliser les coordonnées des clients afin de les contacter, de leur partager des informations ou de les solliciter, et ce, même dans le but de faire la promotion des activités de l’organisme. L’employé doit demander à son gestionnaire qui contactera les clients à l’aide des outils et en respect des politiques en vigueur. Ainsi, un employé ne peut pas remettre à un tiers les coordonnées des clients, en archiver une copie « physique » ou « électronique » à l’extérieur de l’organisme ou utiliser ses dernières.
  • Un employé ne peut pas faire de copie d’informations confidentielles ou de renseignements personnels (photocopie, clé USB, enregistrement sur un ordinateur personnel; ni même sur un ordinateur de bureau [outre pour les besoins de son travail dans ce dernier cas]).
  • L’employé doit remettre les documents de l’organisme qu’il détient:
    • Dès qu’ils ont été utilisés pour les fins auxquelles elles étaient destinées;
    • Suivant la fin de son emploi.
  • Les documents contenants des informations confidentielles ou des renseignements personnels ne doivent pas être laissés sans surveillance ou disposés permettant à autrui de les consulter. Exemple de situations à proscrire:
    • Permettre aux clients de compléter une liste de présences comprenant des informations confidentielles.
    • Afficher la liste des participants à une activité comprenant des informations confidentielles.
  • L’employé doit faire preuve de vigilance même en situation de télétravail. Par exemple il doit s’assurer que:
    • Personne ne puisse être témoin d’une conversation téléphonique.
    • Les informations confidentielles et renseignements personnels ne soient pas accessibles ni à la vue de d’autres individus.
    • Une autre personne utilise le matériel informatique pouvant contenir des informations confidentielles ou des renseignements personnels (par exemple: un individu pourrait consulter des documents sans autorisation ou un enfant pourrait transmettre des documents confidentiels par inadvertance).
Administrateurs et dirigeants
  • Un administrateur ou un dirigeant ne doit pas utiliser les documents de l’organisme à d’autres fins que celles pour lesquelles ils étaient destinés.
  • Un administrateur ou un dirigeant doit remettre les documents de l’organisme qu’il détient suivant la fin de son mandat. Exemples de renseignements personnels
  • L’identité d’une personne
  • Son nom
  • Son âge
  • Son origine ethnique
  • Le contenu de ses recherches effectuées en ligne et ses préférences d’utilisateur
  • Son adresse
  • Numéro de téléphone
  • Son adresse courriel et ses messages
  • Son adresse IP
  • Son niveau d’éducation
  • Les informations sur sa vie personnelle
  • Ses données biométriques
  • Ses dossiers médicaux et les informations sur sa santé (ex.: notes, évaluations cliniques et diagnostics)
  • Ses relevés fiscaux
  • Ses relevés de compte du téléphone cellulaire utilisé pour son travail
  • Son numéro d’assurance sociale (NAS)
  • Autres numéros d’identification qui constituent ou peuvent constituer des renseignements personnels au sens de la loi
Exemples de renseignements généralement pas considérés comme personnels
  • Des renseignements qui ne concernent pas un individu
  • Des renseignements sur une organisation notamment une entreprise
  • Des renseignements anonymisés
  • Les coordonnées d’affaires d’une personne

Droit d’opposition et de retrait

Nous nous engageons à vous offrir un droit d’opposition et de retrait quant à vos renseignements personnels. Le droit d’opposition s’entend comme étant la possiblité offerte aux internautes de refuser que leurs renseignements personnels soient utilisées à certaines fins mentionnées lors de la collecte. Le droit de retrait s’entend comme étant la possiblité offerte aux internautes de demander à ce que leurs renseignements personnels ne figurent plus, par exemple, dans une liste de diffusion.

Droit d’accès

Nous nous engageons à reconnaître un droit d’accès et de rectification aux personnes concernées désireuses de consulter, modifier, voire radier les informations les concernant. L’exercice de ce droit se fera : Responsable de la protection des renseignements personnels : Carine Poulin Gestionnaire cpoulin@sopiar.org