Déclaration à l’égard de la protection des renseignements personnels
Le Comité de bassin de la rivière Chaudière (ci-après nommé COBARIC) s’engage à protéger tous les renseignement personnels recueillis et utilisés dans le cadre de ses activités, conformément à la Loi sur la protection des renseignements personnels dans le secteur privé (Loi sur le privé).
Cette directive s’applique à toute personne qui collecte, consulte, utilise, communique, détient ou conserve des renseignements personnels détenus par le COBARIC concernant toute personne physique. Elle s’applique également à tout tiers avec lequel le COBARIC partage des renseignements personnels, lesquels devront s’engager, par écrit, à s’y conformer.
Collecte et utilisation des renseignements personnels
Définition de renseignements personnels
Les renseignements personnels sont ceux qui portent sur une personne physique et permettent de l’identifier. Ils sont confidentiels. Sauf exception, ils ne peuvent être communiqués sans le consentement de la personne concernée.
Les lois applicables nous obligent à protéger les renseignements personnels contenus dans tous les types de documents physiques ou numériques, au sens large, que leur forme soit écrite, graphique, sonore, visuelle, informatisée ou autre (une base de données est considérée comme un document).
Un renseignement personnel est considéré comme sensible lorsque de par sa nature notamment médicale, biométrique ou autrement intime ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d’attente raisonnable en matière de vie privée.
Le nom d’une personne physique n’est pas un renseignement personnel en soi, s’il n’est pas associé à un autre renseignement personnel ou s’il ne révèle pas un renseignement personnel sur cette personne
De plus, la signature d’une personne sur un document ne fait pas en sorte que les autres éléments y apparaissant sont nécessairement considérés comme des renseignements personnels. Il faut plutôt analyser le contenu du document signé pour déterminer s’il comporte des renseignements personnels.
Renseignements personnels pouvant être collectés et leur utilisation
Le COBARIC recueille uniquement les renseignements personnels nécessaires à l’exercice de ses attributions ou à la mise en œuvre d’un projet ou mandat dont il a la gestion. Il prend des mesures pour s’assurer que les renseignements personnels qu’il recueille sont adéquats, pertinents, non excessifs et utilisés à des fins limitées.
Le COBARIC a besoin de recueillir certains renseignements personnels pour les raisons suivantes :
- Fournir des produits et services.
- Entretenir des contacts avec les acteurs de l’eau de son territoire.
- Assurer le bon fonctionnement de l’organisme.
Voici le type de renseignements personnels que le COBARIC peut collecter :
- Nom et coordonnées : Prénom et nom de famille, adresse courriel, adresse postale, numéro de téléphone et autres données semblables
- Pour communiquer avec la personne
- Informations bancaires
- Pour effectuer des paiements
- Données de navigation sur le site web (voir la politique de témoins de connexion (cookies))
Informations communiquées lors de la collecte de renseignements personnels
Lorsqu’il recueille des renseignements personnels, le COBARIC s’assure d’informer la personne concernée, au plus tard au moment de la collecte :
- Des fins auxquelles ces renseignements sont recueillis.
- Des moyens par lesquels les renseignements sont recueillis.
- Du caractère obligatoire ou facultatif de la demande.
- Des conséquences d’un refus de répondre ou de consentir à la demande.
- Des droits d’accès et de rectification prévus par la loi.
- De la possibilité que les renseignements personnels soient communiqués à l’extérieur du Québec ou à des tiers, le cas échéant.
Sur demande, la personne concernée est également informée des renseignements personnels recueillis auprès d’elle, des personnes qui y ont accès au sein du COBARIC, de la durée de conservation de ces renseignements ainsi que des coordonnées de la personne responsable de la protection des renseignements personnels.
Consentement
Définition de consentement
Le consentement est l’autorisation de la personne titulaire des renseignements personnels à recueillir et à utiliser ses renseignements personnels. Le consentement ne se présume pas. Il doit être manifeste, libre, éclairé, être donné à des fins spécifiques, en termes simples et clairs, pour la durée nécessaire à la réalisation des fins auxquelles il a été demandé.
Demande de consentement
Dans les situations qui le requièrent, le COBARIC transmet un formulaire de consentement à la cueillette, à l’utilisation ou à la divulgation des renseignements personnels aux personnes concernées.
Sauf exception, un renseignement personnel ne peut être utilisé à une autre fin, à moins que la personne concernée n’y consente.
Un consentement formulé de manière expresse doit être obtenu avant d’utiliser un renseignement personnel sensible à une fin différente de celle prévue lors de la collecte.
Retrait du consentement
Le consentement peut être retiré à tout moment en communiquant par écrit avec la personne dont le nom est indiqué dans le formulaire de consentement. À ce moment, le COBARIC explique à la personne l’impact du retrait de son consentement pour l’aider dans sa prise de décision.
Communication des renseignements personnels
Communication sans le consentement de la personne concernée
Le COBARIC peut divulguer certains renseignements personnels qu’il détient, sans le consentement de la personne concernée, lorsque la situation le requiert par l’application de la Loi sur le privé.
Le COBARIC peut communiquer certains renseignements personnels qu’il détient à un membre du personnel qui a la qualité pour le recevoir et lorsque ce renseignement est nécessaire à l’exercice de ses fonctions.
Le COBARIC peut transférer les renseignements personnels qu’il collecte à des fournisseurs de services et à d’autres tiers qui le soutiennent. Dans ce cas, un contrat liant le COBARIC à ces tiers, ou une formule d’engagement signée par ces derniers, les oblige à garder les renseignements personnels confidentiels, à les utiliser uniquement aux fins pour lesquelles le COBARIC les divulgue et à les traiter selon les normes énoncées dans cette directive et en respect des lois.
Le COBARIC peut communiquer certains renseignements personnels à des fins d’étude, de recherche ou de production de statistiques sous réserve des conditions prévues par la Loi sur le privé.
Dans certaines situations, la personne responsable de la protection des renseignements personnels doit inscrire la communication dans le registre de communication des renseignements personnels.
Une entreprise peut, sans le consentement des personnes concernées, communiquer à un tiers une liste nominative (liste de noms, de numéros de téléphone, d’adresses géographiques de personnes physiques ou d’adresses technologiques où une personne physique peut recevoir communication d’un document ou d’un renseignement technologique) ou un renseignement servant à la constitution d’une telle liste si les conditions suivantes sont réunies :
- Cette communication est prévue dans un contrat comportant une stipulation qui oblige le tiers à n’utiliser ou ne communiquer la liste ou le renseignement qu’à des fins de prospection commerciale ou philanthropique.
- Avant cette communication, lorsqu’il s’agit d’une liste nominative de ses clients, de ses membres ou de ses employés, elle a accordé aux personnes concernées l’occasion valable de refuser que ces renseignements soient utilisés par un tiers à des fins de prospection commerciale ou philanthropique.
- Cette communication ne porte pas atteinte à la vie privée des personnes concernées.
Communication des renseignements personnels facilitant le processus de deuil
À compter du 22 septembre 2023, le COBARIC pourra communiquer un renseignement personnel concernant une personne décédée à son conjoint ou à l’un de ses proches parents si ce renseignement est susceptible d’aider cette personne dans son processus de deuil, à moins que la personne décédée n’ait consigné par écrit son refus d’accorder ce droit d’accès.
Conservation et destruction des renseignements personnels
Des mesures de sécurité sont prises pour assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits. Ces mesures doivent être raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support.
Lorsque les fins pour lesquelles un renseignement personnel a été recueilli ou utilisé sont accomplies, le COBARIC s’engage à les détruire. Cependant, pour des raisons fiscales, plusieurs documents (autant papiers que numériques) sont conservés durant sept ans. Au bout de ces sept années, les documents contenant des renseignements personnels sont détruits.
Protection des renseignements personnels
Le COBARIC met en place des mesures de sécurité appropriées et raisonnables afin de protéger les renseignements personnels contre la perte ou le vol, et contre l’accès, la divulgation, la copie, l’utilisation ou la modification non autorisés par la loi. Seuls les membres du personnel qui doivent absolument avoir accès aux renseignements personnels dans le cadre de leurs fonctions sont autorisés à y accéder.
Les personnes membres du personnel du COBARIC ou qui travaillent en son nom s’engagent, notamment et sans s’y limiter, à :
- Faire des efforts raisonnables pour minimiser le risque de divulgation non intentionnelle de renseignements personnels.
- Prendre des précautions particulières pour s’assurer que les renseignements personnels ne sont pas surveillés, entendus, consultés ou perdus lorsqu’elles travaillent dans des locaux autres que les bureaux du COBARIC.
- Prendre des mesures raisonnables pour protéger les renseignements personnels lorsqu’elles se déplacent d’un endroit à l’autre.
Demande d’accès ou de rectification à des renseignements personnels
Demande d’accès à ses renseignements personnels
Toute personne qui en fait la demande a un droit d’accès aux renseignements personnels la concernant détenus par le COBARIC.
Une demande de communication ne peut être considérée que si elle est faite par écrit par une personne physique justifiant de son identité à titre de personne concernée ou à titre de personne représentante autorisée.
Cette demande doit être adressée à la personne responsable de la protection des renseignements personnels. La demande doit fournir suffisamment d’indications précises pour lui permettre de la traiter.
La personne responsable de la protection des renseignements personnels donne à la personne requérante un avis de la date de la réception de sa demande. Elle y indique qu’elle doit répondre au plus tard dans les trente (30) jours qui suivent la date de la réception d’une demande.
Si la personne qui fait la demande n’est pas satisfaite de la réponse du COBARIC, elle peut saisir la Commission d’accès à l’information du Québec de cette décision afin que celle-ci soit révisée. Cette demande de révision doit être faite dans les trente (30) jours qui suivent la date de la décision ou de l’expiration du délai prévu à la Loi sur le privé pour répondre à la demande.
Demande de rectification
Toute personne qui reçoit confirmation de l’existence, dans un fichier, d’un renseignement personnel la concernant peut, s’il est inexact, incomplet ou ambigu, ou si sa collecte, sa communication ou sa conservation ne sont pas autorisées par la Loi sur le privé, exiger que le fichier soit rectifié.
Une personne physique qui justifie de son identité à titre de personne concernée ou à titre de personne représentante autorisée peut formuler, par écrit, une demande de rectification auprès de la personne responsable de la protection des renseignements personnels en fournissant suffisamment d’indications précises pour lui permettre de la traiter.
Lorsqu’il accorde une demande de rectification, le COBARIC délivre sans frais à la personne qui l’a faite une copie de tout renseignement personnel modifié ou ajouté, ou, selon le cas, une attestation du retrait d’un renseignement personnel.
Si le COBARIC refuse en tout ou en partie d’accéder à une demande de rectification d’un fichier, la personne concernée peut exiger que cette demande soit enregistrée.
La personne responsable de la protection des renseignements personnels s’engage à répondre au plus tard dans les trente (30) jours qui suivent la date de la réception d’une demande.
Si la personne qui fait la demande n’est pas satisfaite de la décision du COBARIC, elle peut saisir la Commission d’accès à l’information du Québec de cette décision afin que celle-ci soit révisée. Cette demande de révision doit être faite dans les trente (30) jours qui suivent la date de la décision ou de l’expiration du délai prévu à la Loi sur le privé pour répondre à la demande.
Personne responsable de la protection des renseignements personnels
Nom : Marie-Ève Théroux
Adresse courriel : geomatique@cobaric.qc.ca
Téléphone : 418-387-0476, poste 2.
En cas d’incident de confidentialité
Définition
Un incident de confidentialité peut concerner, sans s’y limiter, à :
- L’accès non autorisé à un renseignement personnel.
- L’utilisation non autorisée par la loi d’un renseignement personnel.
- La communication non autorisée par la loi d’un renseignement personnel.
- La perte d’un renseignement personnel.
Gestion des incidents de confidentialité
Si le COBARIC a des motifs de croire qu’un incident de confidentialité impliquant un renseignement personnel qu’il détient s’est produit, il s’engage à prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent.
Le COBARIC peut également aviser toute personne et tout organisme susceptible de diminuer ce risque en ne lui communiquant que les renseignements personnels nécessaires à cette fin sans le consentement de la personne concernée. Dans ce cas, la personne responsable de la protection des renseignements personnels enregistre la communication.
Si l’incident de confidentialité présente un risque qu’un préjudice sérieux soit causé, le COBARIC s’engage à en aviser la Commission avec diligence. Il s’engage également à aviser toute personne dont un renseignement personnel est concerné par l’incident.
Le COBARIC tient un registre des incidents de confidentialité, dont le contenu est déterminé par la Loi sur le privé.
Traitement des plaintes
Toute personne qui a des motifs de croire qu’un incident de confidentialité s’est produit et que le COBARIC a fait défaut d’assurer la confidentialité des renseignements personnels qu’il détient peut adresser une plainte écrite auprès de la personne responsable de la protection des renseignements personnels pour demander que la situation soit corrigée.
Droit à la désindexation
À compter du 22 septembre 2023, les personnes peuvent demander au COBARIC de cesser de diffuser leurs renseignements personnels ou de désindexer tout hyperlien rattaché à leur nom donnant accès à des renseignements si cette diffusion leur cause préjudice ou contrevient à la loi ou à une ordonnance judiciaire (droit à l’effacement ou à l’oubli).
Utilisation de l’image, de la vidéosurveillance et de l’enregistrement
Le droit à l’image et le droit à la vie privée s’appliquent à la prise de photos, de vidéo ou d’enregistrement de la voix et à leur diffusion publique.
De façon générale, la captation et l’utilisation de l’image d’une personne peuvent constituer une atteinte à la vie privée de cette personne si cette dernière est reconnaissable sur la photographie ou la vidéo ainsi captée. Les règles varient en fonction du lieu de captation de l’image.
- Dans un lieu privé, l’image d’une personne ne peut être captée ni diffusée sans le consentement de celle-ci.
- Dans un lieu public, l’image d’une personne peut être captée sans le consentement de celle-ci. Toutefois, l’image ne peut être diffusée sans son consentement implicite ou exprès, sauf si l’intérêt du public le justifie.
Pour obtenir le consentement d’une personne à la captation de son image physique afin d’en faire la diffusion, un formulaire de consentement doit être utilisé et adapté.
L’absence de consentement à la captation et à la publication de son image pourrait ne pas être considérée pour les personnes apparaissant accessoirement dans une photographie d’un lieu public, c’est-à-dire que l’individu est identifiable sur la photographie, mais qu’il n’en est pas le sujet principal.
Entrée en vigueur et révision
Cette directive entre en vigueur au moment de son approbation par la direction générale. Elle sera régulièrement évaluée et mise à jour.
Mise à jour : 12 novembre 2023