Loi 25 – Politique de confidentialité
Loi 25 – Politique de confidentialité

Loi 25 – Politique de confidentialité

1. Personnes visées par la politique

Cette politique s’applique au Réseau des Aidants Naturels D’Autray et vise à protéger l’information confidentielle de ses membres. Le respect de leur vie privée est de la plus haute importance pour l’organisme.

2. Objectifs de la politique

La présente politique a pour but de vous exposer :

  • La manière dont sont collectés et traités vos renseignements personnels. Doivent être considérés comme renseignements personnels tous les renseignements susceptibles de vous identifier. Il s’agit notamment de votre prénom et nom, de votre adresse postale, de votre numéro de téléphone, de votre courriel, et parfois de votre âge, de votre localisation ou encore de votre adresse IP, ainsi que toute information collectée lors d’interventions;
  • Quels sont vos droits concernant ces renseignements;
  • Qui est responsable du traitement des renseignements personnels collectés et traités;
  • À qui ces renseignements sont transmis;
  • La politique du site en matière de fichiers témoins (« cookies »).

Cette politique de confidentialité complète les Conditions générales d’utilisation que vous pouvez consulter à l’adresse ci-après : www.aidantsautray.org/politiques

3. Collecte de renseignements personnels

Nous collectons les informations personnelles suivantes :

  • Nom
  • Prénom
  • Adresse postale
  • Adresse électronique (courriel)
  • Numéro de téléphone et/ou cellulaire
  • État de santé général
  • Allergies
  • Photos
  • Date de naissance
  • Dossier d’intervention spécifique à chacun

Dans le cas des personnes proches aidantes s’occupant d’une personne aidée, ces mêmes renseignements sont collectés pour la personne aidée.

Les personnes suivantes ont accès à tous les renseignements personnels recueillis par notre organisme :

Karine RatelleCoordonnatrice
Nancy DemersIntervenante
Yasmeen MeknassiIntervenante
Sean DavidChargé de projet

Tout employé futur disposera de ces mêmes accès, à moins d’avis contraire, même si son nom ne figure pas sur cette liste, à défaut d’une mise à jour immédiate.

Les renseignements personnels collectés sont recueillis par l’entremise des modes de collecte décrits ci-bas, dans les sections « Formulaires et modes de collecte » et suivantes.

4. Formulaires et modes de collecte

Vos renseignements personnels sont collectés par l’entremise des méthodes suivantes :

  • Formulaire d’inscription physique
  • Formulaire d’inscription en ligne
  • Manuellement (téléphone ou par courriel)
  • En personne, lors d’une intervention
  • En personne, lors d’une activité

Nous utilisons les renseignements ainsi collectés pour les finalités suivantes :

  • Dossier du membre
  • Dossier de la personne aidée
  • Inscriptions aux activités
  • Dossier d’intervention et suivi, pour le bien de nos membres
  • Statistiques anonymes
  • Infolettres mensuelles et envois ponctuels
  • Vœux d’anniversaire dans le Journal « Le Lien »

De façon générale, l’information collectée ne sert qu’à améliorer la qualité des services rendus par l’organisme et à mieux répondre aux besoins spécifiques de nos membres.

5. Interactivité

Vos renseignements personnels sont également collectés par le biais de l’interactivité pouvant s’établir entre vous et notre site Web. Ces renseignements sont collectés par les moyens suivants :

  • Correspondance
  • Inscription volontaire

Nous utilisons les renseignements ainsi collectés pour les finalités suivantes :

  • Statistiques anonymes
  • Contact
  • Gestion du site Web

Ainsi que les finalités déjà établies au point 4.

6. Fichiers journaux et témoins

Nous recueillons certaines informations par le biais de fichiers journaux (« log files ») et de fichiers témoins (« cookies »). Ces fichiers nous permettent de traiter des statistiques et des informations sur le trafic, de faciliter la navigation et d’améliorer le service pour votre confort.

  1. Description des fichiers témoins utilisés par le site

Il s’agit principalement des informations suivantes :

  • Adresse IP
  • Système d’exploitation
  • Pages visitées et requêtes
  • Heure et jour de connexion

Le recours a de tels fichiers nous permet d’atteindre les objectifs suivants :

  • Amélioration du service et accueil personnalisé
  • Création de profils personnalisés de membre
  • Suivis d’inscriptions
  • Études statistiques
  • Vérifications de sécurité sur notre site web
  • Opposition à l’utilisation de fichiers témoins par le site

Vous pouvez vous opposer à l’enregistrement de fichiers témoins en configurant votre logiciel de navigation.

Dans le cas où vous décidez de désactiver les fichiers témoins, vous pourrez ensuite poursuivre votre navigation sur le site. Toutefois, tout dysfonctionnement du site provoqué par cette manipulation ne peut être considéré comme étant de notre fait.

7. Partage des renseignements personnels

Nous nous engageons à ne pas vendre à des tiers ou généralement commercialiser les renseignements personnels collectés.

Si vous ne souhaitez pas que vos renseignements personnels soient partagés à des tiers, vous pouvez vous y opposer au moment de la collecte ou à tout moment par la suite, tel que mentionné dans la section « Droit d’opposition et de retrait ».

Dans certains cas, il est possible qu’un employé de l’organisme vous demande de partager certains renseignements personnels avec un organisme partenaire, toujours dans le but de mieux répondre à vos besoins ou de vous venir en aide. Vous serez toujours consulté avant d’entamer ces démarches et vous avez le droit de refuser. Une copie du document de consentement à la collecte et à la divulgation de renseignements personnels, à signer par la personne concernée, figure en annexe.

8. Durée de conservation des renseignements personnels

Le responsable du traitement des renseignements personnels conservera dans ses systèmes informatiques du site et dans des conditions raisonnables de sécurité l’ensemble des renseignements personnels collectés pour une durée de sept ans d’inactivité.

9. Hébergement et stockage des renseignements personnels

Notre site est hébergé par l’entreprise Devicom. Si vous avez une quelconque interrogation concernant la confidentialité chez Devicom ou souhaiter contacter l’un de leurs responsables du traitement des données, veuillez les contacter à l’adresse suivante :

28, rue Racine Est
Chicoutimi (Québec), G7H 1P5
1-888-690-2774 // 418-690-9108

Vos informations personnelles, lesquelles composent votre dossier de membre, sont hébergés sur SharePoint, de Microsoft. Elles sont collectées et accédées par l’entremise d’une application interne nommée Prométhée, basée sur la plateforme Power Apps, toujours de Microsoft.

Un réseau interne, protégé par un accès restreint, un mot de passe, et la nécessité d’une connexion physique, héberge un doublon de chaque fichier. Ce réseau n’est pas accessible à l’extérieur du bureau.

Dans certains cas, ces informations sont exportées vers les logiciels de la suite Office, notamment Word et Excel, afin de produire des envois ponctuels, des tableaux statistiques, ou tout autre besoin connexe. Ces documents ne sont pas partagés, et sont aussi hébergés sur SharePoint et/ou le réseau de l’organisme.

Dans quelques cas, certaines informations limitées peuvent être exportées et partagées aux administrateurs et bénévoles afin de faciliter le contact et d’alléger l’équipe de travail, par exemple pour confirmer l’inscription à un projet, ou effectuer un sondage auprès de certains membres. Ces individus reçoivent une liste préparée par l’équipe avec seulement l’information essentielle pour accomplir une tâche spécifique, tels le nom et le numéro de téléphone.

10. Responsable du traitement des renseignements personnels

a) La personne responsable du traitement des renseignements personnels

La personne responsable du traitement des renseignements personnels est : Sean David. Il peut être contacté de la manière suivante :

  • Par courriel : info@aidantsautray.org
  • Par téléphone : 450 836-0711

La personne responsable du traitement des renseignements personnels est chargée de déterminer les finalités et les moyens mis au service du traitement des renseignements personnels.

b) Obligations de la personne responsable du traitement des renseignements personnels

La personne responsable du traitement des renseignements personnels s’engage à protéger les renseignements personnels collectés, à ne pas les transmettre à des tiers sans que vous n’en ayez été informé(e) et à respecter les finalités pour lesquelles ces renseignements ont été collectés.

De plus, le responsable du traitement des renseignements personnels s’engage à vous aviser en cas de rectification ou de suppression des renseignements personnels, à moins que cela n’entraîne pour lui des formalités, coûts ou démarches disproportionnés.

Dans le cas où l’intégrité, la confidentialité ou la sécurité de vos renseignements personnels est compromise, le responsable du traitement s’engage à vous en informer par tout moyen raisonnable.

11. Droit d’opposition et de retrait

Vous avez le droit de vous opposer au traitement de vos renseignements personnels par le site ou dans l’application Prométhée (« droit d’opposition »). Vous avez également le droit de demander à ce que vos renseignements personnels ne figurent plus, par exemple, dans une liste de diffusion comme l’infolettre mensuelle (« droit de retrait »).

Afin de formuler une opposition au traitement de vos renseignements personnels ou demander le retrait de vos renseignements personnels, vous devez suivre la procédure suivante :

L’utilisateur doit déposer une demande de limitation au traitement de ses renseignements personnels auprès de la personne responsable du traitement des renseignements, Sean David, en envoyant un courriel à l’adresse prévue : info@aidantsautray.org

Dans le cas d’une opposition à l’application Prométhée, un strict minimum d’information sera conservé pour la tenue de votre dossier, notamment l’information de contact, mais aucune information de nature médicale et/ou d’intervention ne sera conservée.

12. Droit d’accès, de rectification et de suppression

Vous pouvez prendre connaissance, mettre à jour, modifier ou demander la suppression des renseignements vous concernant, en respectant la procédure ci-après énoncée :

L’utilisateur doit déposer une demande auprès de la personne responsable du traitement des renseignements personnels en envoyant un courriel spécifiant l’objet de sa demande à l’adresse ci-haut mentionnée.

Nous procédons à la destruction des renseignements personnels de la manière suivante :

Suppression entière du dossier membre dans l’application Prométhée et destruction de tout contenu physique associé au dossier, tel le formulaire d’adhésion. La suppression dans l’application entraîne automatiquement la suppression dans SharePoint. Suppression subséquente de tout fichier associé contenu sur le réseau partagé.

Nous procédons à l’anonymisation des renseignements personnels de la manière suivante :

D’abord, dans les cas nécessitant l’export de renseignements personnels, seul le strict minimum pour accomplir la tâche est exporté. Ensuite, dans le cas d’études statistiques ou autres besoins de recensement, aucune information personnelle permettant l’identification de la personne n’est conservée. Seule des informations inassociables sont conservées, telles le genre, l’âge (pour effectuer des moyennes), et le secteur (sans conserver l’adresse postale).

13. Description des activités de sensibilisation et de formation sur la protection des renseignements personnels

La personne responsable du traitement des renseignements personnels, Sean David, a suivi une formation axée sur l’application de la Loi 25 dans le contexte d’un organisme comme le Réseau des Aidants Naturels D’Autray.

Toute information pertinente a été transmise aux autres employés et à la coordination dans le cadre d’une rencontre d’équipe, lors de laquelle les différentes responsabilités de chacun ont été confirmées.

14. Processus et gestion d’incidents de confidentialité

Les différents événements de confidentialité sont classifiés ainsi :

CATÉGORIEDESCRIPTIONEXEMPLES
CritiqueDégradation des services vitaux de l’organisme. Immanquables.Attaque DDOS qui rend le site Web inopérable, comptes courriels des employés inaccessibles, brèche des serveurs Microsoft, etc.
SignificatifAttaque des services de l’organisme qui ne sont pas essentiels aux opérations.Changement de mot de passe suspect de comptes utilisateurs, changements dans les systèmes de documentation non autorisés, perte d’un appareil ayant accès aux données, etc.
MineurAttaque de services mineurs de l’organisme comme le réseau sans-fil qui occasionne de légers désagréments.Attaque infructueuse du réseau sans-fil de l’organisme, tentative de connexions sur le compte de plusieurs utilisateurs, etc.
NégligeableÉvénements très mineurs, sans incidence. Pas nécessaire de les inclure dans le registre des incidents.Perte de connexion à l’imprimante, courriels d’hameçonnage infructueux, pourriels, etc.

La personne responsable du traitement des renseignements personnels, Sean David, recevra les avis d’incident, et est aussi responsable d’aviser les personnes concernées de tout incident de cybersécurité, et ce dans un délai maximal de trente (30) jours.

L’avis devra contenir les informations suivantes :

  • La nature de la brèche et les informations concernées;
  • Les mesures prises par l’organisme pour adresser la situation;
  • Dans le cas d’une brèche sérieuse, la confirmation de l’avis soumis à la Commission d’accès à l’information;
  • L’information de contact pour obtenir de plus amples détails ou pour demander le retrait ou la suppression de son information personnelle.

Dans le cas d’un manquement prévu à l’article 90.1 de la Loi sur le privé, soit un manquement attribué à une personne employée par l’organisme, la personne responsable du traitement des renseignements personnels, Sean David, doit considérer notamment les critères suivants :

  • La nature du manquement;
  • La gravité objective du manquement;
  • Le caractère répétitif et la durée du manquement;
  • La sensibilité des renseignements personnels concernés par le manquement;
  • Le nombre de personnes concernées par le manquement;
  • Le risque de préjudice sérieux auquel ces personnes sont exposées;
  • Les mesures prises par la personne en défaut pour remédier au manquement ou en atténuer les conséquences;
  • Le degré de collaboration offert à la Commission en vue de remédier au manquement ou d’en atténuer les conséquences;
  • La compensation offerte par la personne en défaut, à titre de dédommagement, à toute personne concernée par le manquement;
  • La capacité de payer de la personne en défaut, compte tenu notamment de son patrimoine, de son chiffre d’affaires ou de ses revenus.

L’organisme se rend responsable des agirs de ses employés quant à la compensation lorsque le manquement est le fruit d’un accident ou des fonctions typiques associés à leurs rôles. Dans les cas graves, telle une fraude délibérée et/ou criminelle, l’organisme se dégage de cette responsabilité, et les lois en vigueur détermineront les conséquences appropriées suite au congédiement de l’employé pris en défaut.

15. Registre des incidents

Un registre des incidents sera colligé par la personne responsable du traitement des renseignements personnels, et devra refléter tout incident survenu au sein de l’organisme, à l’exception des incidents classifiés comme « négligeables ».

Ce registre, un classeur Excel, doit contenir les informations pertinentes à chacun des cas, sans contenir l’information confidentielle affectée. Notamment, il faut y retrouver :

  • Date de l’incident
  • Classification de l’incident
  • Description sommaire de l’incident
  • Description des mesures prises pour corriger l’incident
  • Décompte anonymisé des personnes affectées, au besoin