Objectif

·      Afin d’assurer une protection complète des renseignements personnels et confidentiels et de se conformer aux lois en matière de protection de la vie privée, cette politique sera modifiée au fur et à mesure de l’évolution du droit et de la réglementation dans ce domaine.

·      Cette politique regroupe les politiques précédentes suivantes pour des raisons d’efficacité et d’organisation : l’accord de confidentialité, la Politique pour la tenue des dossiers, et la Politique de préservation et de destruction des données. Elle doit être lue conjointement avec la Politique d’intervention en cas d’incident, la Politique sur l’IA et la Politique relative aux technologies TI.

 

Définitions

« vie privée » : un droit protégé par la Charte des droits et libertés de la personne du Québec et le Code civil du Québec. Toute personne a droit à ne pas être observée ni entravée par des tiers.

« renseignement personnel » : tout renseignement permettant d’identifier une personne directement ou indirectement (par exemple, grâce à l’amalgamation de données). Cela inclut le nom, la date de naissance, l’adresse courriel, etc. Les renseignements accessibles au public permettant d’identifier quelqu’un demeurent des renseignements personnels, mais peuvent être recueillis et utilisés sans nécessiter de consentement ou de mesures particulières de confidentialité.

« renseignement sensible » : renseignement personnel de nature intime, comme les données biologiques ou médicales.

« renseignement confidentiel » : tout renseignement personnel ou sensible ainsi que toute information obtenue dans le cadre du travail chez Ometz qui doit demeurer interne à l’organisation. Cela inclut notamment : toutes les listes de clients et de donateurs (et leurs renseignements associés), dossiers, documents, budgets, correspondances, systèmes, programmes, notes, études, manuels, impressions informatiques, données informatiques sur supports portables (clé USB, stockage infonuagique), disques durs, codes sources et exécutables, listes de fournisseurs et prix, stratégies, projets, informations financières, renseignements sur les employés et contractuels, méthodes, procédés, plans d’affaires et secrets commerciaux (‘‘trade secrets’’). Ces renseignements ne peuvent pas être divulgués à l’extérieur de l’organisation.

« dossier » : un document contenant des renseignements personnels ou sensibles, sous format papier ou numérique. Toute personne recueillant un renseignement personnel crée ainsi un dossier.

« renseignement dépersonnalisé » : renseignement transformé de manière à ce qu’il soit impossible d’identifier une personne.

« consentement » : l’autorisation explicite donnée par la personne concernée.

 

Comment Ometz utilise les renseignements personnels et sensibles

Utilisation

Les renseignements personnels et sensibles peuvent être utilisés pour :

• analyser les tendances dans les services aux clients afin d’améliorer la qualité et l’offre de services;
• analyser les préférences des donateurs afin d’améliorer leur soutien;
• évaluer les besoins des clients et déterminer l’admissibilité à certains services;
• contacter les employés et les bénévoles;
• remercier les donateurs et bénévoles et les inviter à poursuivre leur soutien;
• émettre des reçus fiscaux et des chèques de paie;
• gérer des situations d’urgence, notamment médicales;
• protéger les droits légaux d’Ometz et prévenir la responsabilité civile, ce qui peut nécessiter la communication de renseignements personnels ou sensibles.

Imputabilité

• Les ressources humaines n’ont pas besoin du consentement pour recueillir ou utiliser des renseignements personnels à l’interne, lorsque cela est nécessaire à l’exécution d’un rôle.
• Toute nouvelle utilisation de renseignements personnels ou sensibles sera communiquée par le Responsable de la protection des renseignements personnels (RPRP) et intégrée à une version mise à jour de la politique. Le consentement des personnes concernées sera obtenu.

 

Demandes d’accès, de rectification et de suppression

Toute personne a le droit :

• d’accéder à ses renseignements personnels;
• de les rectifier;
• de les effacer;
• d’en restreindre le traitement;
• d’obtenir ses données dans un format structuré et couramment lisible (portabilité);
• de s’opposer à certains traitements.

Les demandes doivent être adressées au Responsable de la protection des renseignements personnels, qui :

1. vérifiera l’identité du demandeur;
2. accusera réception dans un délai d’une semaine;
3. répondra dans un délai de 30 jours et fournira, au minimum, une copie des données au format intelligible et lisible par machine.

Les demandes verbales seront ignorées — elles doivent être faites par écrit. Aucune demande ne sera refusée sauf pour des raisons sérieuses ou si l’accès porte atteinte aux droits d’un tiers. Un refus doit être justifié légalement.

 

Exigences en matière de consentement : protection de la vie privée et de la confidentialité

Ometz ne vend, n’échange ni ne loue aucun renseignement à des tiers.

 

Accès sans consentement

Les employés autorisés peuvent accéder aux renseignements personnels sans consentement, lorsque nécessaire à l’exercice de leurs fonctions. Toute demande doit être adressée au RPRP.
L’accès interne se fait sur la base du « besoin de savoir ».

 

Consentement

• Le ou les objectifs de la collecte doivent être déterminés avant de recueillir les renseignements.
• Le consentement doit être clair, libre, éclairé et spécifique, donné en langage simple.
• Les mineurs de moins de 14 ans ne peuvent pas consentir — les titulaires de l’autorité parentale doivent être consultés.
• Le consentement peut être verbal, mais le consentement écrit est préféré.
• Il demeure valide pour la durée nécessaire à atteindre les objectifs.

Sur demande d’accès, la personne doit être informée :

• des objectifs de la collecte;
• des méthodes de collecte;
• des personnes ayant accès aux données;
• des tiers impliqués;
• de son droit de retirer son consentement;
• des technologies utilisées, si la donnée sert au profilage.

Une personne peut retirer son consentement, accéder à ses données et les rectifier en tout temps.

 

Communication et utilisation des renseignements avec/de tiers

Il est interdit de communiquer des renseignements personnels, sensibles ou confidentiels à des tiers, sauf :

• aux organisations de services sociaux et de santé (ex. : hôpitaux),
• si la personne concernée consent,
• ou s’il est clairement dans l’intérêt de la personne de divulguer l’information et qu’elle est incapable de consentir à temps (ex. : urgence médicale).

Toute communication en situation d’urgence doit être inscrite dans un registre interne.

Il est légal d’obtenir des renseignements personnels d’un tiers sans le consentement de la personne.

Les tiers internes obtenant des renseignements doivent informer la personne de la source (ex. : un employé junior remerciant un donateur doit préciser que les coordonnées proviennent de l’employé senior ayant obtenu le consentement initial).

Communication et utilisation de renseignements à l’extérieur du Québec

Une Analyse d’Impact sur la Vie Privée (AIVP / Privacy Impact Assessment) doit être effectuée, et les bénéfices doivent l’emporter sur les risques. Voir l’annexe.

 

Recherche utilisant des renseignements personnels

Une AIVP doit être effectuée et les avantages doivent surpasser les risques. Voir l’annexe.

 

Gestion des dossiers : création, maintenance, destruction et conservation

Création

Les dossiers doivent être créés en tenant compte de la sécurité.

Maintenance

• Les renseignements personnels ne doivent être conservés que le temps nécessaire pour atteindre l’objectif du consentement.
• Les dossiers contenant des renseignements personnels doivent être conservés de manière sécurisée, accessibles uniquement aux personnes autorisées.
• Les dossiers sans renseignements personnels (accord anonymisé, formulaire anonymisé, procès-verbal, facture anonymisée, plan, note, etc.) seront conservés électroniquement et archivés pendant 7 ans.

Destruction

Lorsque les fins pour lesquelles les données ont été collectées sont atteintes, celles-ci doivent être détruites ou anonymisées (si elles doivent être conservées pour des fins sérieuses et légitimes).
L’anonymisation doit rendre irréversiblement impossible toute identification directe ou indirecte.

 

Confidentialité : protection des renseignements sensibles et personnels

Les mesures de protection doivent être proportionnelles à la sensibilité des données.

Toute information obtenue dans le cadre du travail à Ometz est confidentielle et ne peut être partagée à l’interne ou à l’externe, SAUF si :

• les renseignements sont nécessaires à l’exécution d’un contrat ou d’un service demandé (ex. : programmes cliniques);
• le partage est clairement dans l’intérêt de la personne;
• les renseignements sont nécessaires pour la recherche ou les statistiques et sont dépersonnalisés.

 

 

Politique de la vie privée

Dernière mise à jour: novembre 2025