1.     DISPOSITIONS GÉNÉRALES

1.1. Préambule

L’Université du Québec à Chicoutimi (ci-après l’« Université ») reconnaît l’importance de respecter la vie privée et de protéger les renseignements personnels qu’elle détient. L’Université prend les mesures raisonnables propres à assurer la confidentialité des renseignements personnels qu’elle recueille, conformément à la Loi sur les documents des organismes publics et sur la protection des renseignements personnels, RLRQ., chapitre A-2.1 (ci-après la « Loi sur l’accès »).

Afin de s’acquitter de ses obligations en la matière, l’Université se dote de la présente politique. Celle-ci énonce les principes applicables à la protection des renseignements personnels que l’Université détient, tout au long du cycle de vie de ceux-ci et l’exercice des droits des personnes concernées.

1.2. Objectifs

La présente politique :

• Énonce les principes encadrant la protection des renseignements personnels tout au long de leur cycle de vie et l’exercice des droits des personnes concernées;
• Définit les rôles et responsabilités en matière de protection des renseignements personnels à l’Université;
• Vise à limiter les incidents de confidentialité et le cas échéant, leurs conséquences.

1.3. Champ d’application

La présente politique s’applique à tout renseignement personnel détenu par l’Université dans l’exercice de ses fonctions, que sa conservation soit assurée par l’Université ou par un tiers et quel que soit le support, de sa collecte à sa destruction.

Elle s’applique à toute personne liée ou ayant pu être liée à l’Université en tant que membre de la communauté universitaire et s’étend également à tout tiers de l’Université ayant accès à un renseignement personnel détenu par l’Université.

Elle s’applique également à toute personne à qui l’Université confie des renseignements personnels dans le cadre de l’exécution d’un mandat ou d’un contrat de services.

Toutefois, la présente politique ne s’applique pas aux renseignements détenus par un membre de la communauté universitaire à des fins personnelles, même s’ils sont conservés sur une plateforme technologique de l’Université.

L’Université a également adopté une Politique de confidentialité concernant les renseignements personnels recueillis par moyens technologiques, laquelle s’applique spécialement à la collecte de renseignements personnels par moyens technologiques.

1.4. Références

Textes habilitants :

•  Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ, chapitre A-2.1 (ci-après « la Loi sur l’accès »);
• Règlement relatif aux ressources informationnelles;

Documents adoptés en vertu de la présente politique :

• Procédure d’exercice des droits et de traitement des plaintes relatives à la protection des renseignements personnels;
• Procédure de signalement et de traitement des incidents de confidentialité;
• Directive concernant les évaluations de facteurs relatifs à la vie privée;

Documents connexes ou nécessaires à l’interprétation de la présente politique :

• Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement, RLRQ, chapitre G-1.03;
• Loi sur les archives, RLRQ chapitre A-21.1;
• Politique relative à la sécurité des actifs informationnels;
• Politique relative à la gestion des documents administratifs et des archives;
• Politique de confidentialité concernant les renseignements personnels recueillis par moyens technologiques;
• Règlement sur l’anonymisation des renseignements personnels.

1.5. Responsable de l’application

La personne responsable de l’accès à l’information et de la protection des renseignements personnels (ci-après «la personne responsable AIPRP ») est responsable de l’application de la politique.

1.6. Définitions

• « Collecte » : toute opération par laquelle un renseignement personnel est obtenu, incluant sa création.
• « Utilisation » : acte d’utiliser un renseignement personnel à l’interne de l’Université (par opposition à un tiers, à qui on communique un renseignement personnel).
• « Communication » : transmission de renseignements personnels par laquelle l’Université confère au tiers destinataire un droit de prendre connaissance de son contenu.
• « Conservation » : période durant laquelle un organisme garde des renseignements personnels, sous quelque forme que ce soit, et ce, peu importe que les renseignements soient activement utilisés ou non.
• « Destruction » ou « anonymisation » : Le cycle de vie du renseignement personnel se termine lors de sa destruction. Un renseignement personnel est anonymisé quand : il est, en tout temps, raisonnable de prévoir dans les circonstances qu’il ne permet plus, de façon irréversible, d’identifier directement ou indirectement cette personne, à ces fins, voir le Règlement sur l’anonymisation des renseignements personnels.

• il existe un lien rationnel entre les objectifs et la solution proposée (c’est-à-dire qu’il s’agit d’un moyen efficace d’atteindre l’objectif visé, cette efficacité étant basée sur des données concrètes et probantes),
• l’atteinte à la vie privée est minimale ou il n’y a pas d’autres solutions efficaces moins intrusives,
• les avantages concrets surpassent les conséquences ou les préjudices pour les personnes concernées.

• L’accès non autorisé par la Loi sur l’accès à un renseignement personnel;
• L’utilisation non autorisée par la Loi sur l’accès d’un renseignement personnel;
• La communication non autorisée par la Loi sur l’accès d’un renseignement personnel;
• La perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.

• un membre du personnel consulte des renseignements personnels non nécessaires à l’exercice de ses fonctions;
• un pirate informatique s’infiltre dans un système;
• une personne utilise des renseignements personnels d’une base de données à laquelle elle a accès dans le cadre de ses fonctions dans le but d’usurper l’identité d’une personne;
• une communication est effectuée par erreur à la mauvaise personne;
• une personne perd ou se fait voler des documents physiques ou électroniques contenant des renseignements personnels;
• une personne s’immisce dans une banque de données contenant des renseignements personnels afin de les altérer.

• le nom d’une personne et sa date de naissance;
• matricule étudiant et/ou code permanent;
• numéro d’assurance sociale;
• numéro de carte de crédit;
• numéro d’assurance maladie;
• renseignement de nature médicale ou financière;
• le nom d’une personne et son numéro de téléphone personnel;
• le nom d’une personne et son adresse de domicile;
• le nom d’une personne et ses résultats scolaires.

• orientation sexuelle;
• convictions religieuses ou philosophiques;
• opinions politiques;
• origine ethnique ou raciale;
• taille;
• poids;
• dossiers médicaux;
• groupe sanguin;
• ADN;
• empreintes digitales;
• signature vocale;

2.1 Composition :

Le CAIPRP est composé des membres suivants :

• La personne AIPRP, ou la personne qu’elle désigne ;
• La personne-cheffe de la sécurité de l’information organisationnelle (CSIO) ou la personne qu’elle désigne ;
• La personne responsable de la gestion documentaire et des archives, ou la personne qu’elle désigne ;

Le Comité peut s’adjoindre toute personne dont l’expertise est requise.

2.2 Mandat

Dans le cadre de la présente politique, le mandat du CAIPRP est le suivant :

1. Soutient la personne responsable AIPRP dans l’exercice de ses responsabilités et dans l’exécution de ses obligations;
2. Formule des recommandations quant à l’application de la Loi sur l’accès ainsi que de toutes questions en lien avec la protection des renseignements personnels et l’accès aux documents;
3. Approuve et recommande pour adoption, auprès de l’instance appropriée, les règles de gouvernance en matière de protection des renseignements personnels et d’accès aux documents;
4. Recommande un processus de traitement de plaintes relatives à la protection des renseignements personnels;
5. Détermine les orientations de l’Université en matière de protection des renseignements personnels;
6. Analyse et formule des recommandations à l’égard de la gestion des incidents de confidentialité;
7. Formule des recommandations pour diminuer les risques d’incidents de confidentialité ou en améliorer la prise en charge;
8. Conformément à la Loi sur l’accès et à la Directive concernant les évaluations de facteurs relatifs à la vie privée, doit être impliqué dès le début d’un projet afin d’effectuer les évaluations de facteurs à la vie privée dans le cadre de tout projet d’acquisition, de développement, de refonte d’un système d’information ou de prestation électronique de service impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels et des projets susceptibles de représenter un risque d’incident de confidentialité;
9. Approuve un programme de formation et de sensibilisation en matière de protection des renseignements personnels;
10. Émet des recommandations à l’égard des documents normatifs en matière de protection des renseignements personnels.

3. PRINCIPES ET RESPONSABILITÉS

3.1 Rôles et responsabilités des intervenants

3.1.1 La personne rectrice

• Veille à assurer le respect et la mise en œuvre de la Loi sur l’accès;
• Délègue sa fonction de responsable de l’accès aux documents et de personne responsable de la protection des renseignements personnels à la personne secrétaire générale ;

3.1.2 Le Conseil d’administration

• Adopte les documents normatifs encadrant la gouvernance de l’Université à l’égard de la protection des renseignements personnels de l’Université;
• Veille à faciliter l’exercice des fonctions de la personne responsable AIPRP.

3.1.3 La personne responsable AIPRP

• Est responsable de l’application et de la mise en œuvre de la présente politique;
• Veille au respect des exigences découlant de la Loi sur l’accès et des règles de gouvernance de l’Université en matière de protection des renseignements personnels;
• Avise la Commission d’accès à l’information ainsi que les personnes concernées en cas d’incident de confidentialité présentant pour ces dernières un risque de préjudice sérieux;
• Tient les registres relatifs à la protection des renseignements personnels à jour;
• Exerce ses fonctions de manière autonome en vertu de la Loi sur l’accès.

3.1.4 Le CAIPRP

Le rôle et les responsabilités du CAIPRP sont mentionnés à l’article 2.3 de la présente politique.

3.1.5 La personne gestionnaire

• Veille au respect de la présente politique et des règles de protection des renseignements personnels;
• Collabore à l’élaboration et à la révision des fichiers de renseignements personnels dont elle est responsable;
• Assure une saine gestion des renseignements personnels en sa possession;
• Participe à la catégorisation de l’information relevant de sa responsabilité en matière de disponibilité, d’intégrité, de protection et de confidentialité;
• Veille à ce que les renseignements qu’elle conserve soient à jour;
• S’implique dans l’ensemble des activités relatives à la gestion des risques, notamment des incidents de confidentialité;
• Dirige toute demande d’accès à l’information provenant de tiers vers la personne responsable AIPRP;
• Veille à la mise en place et à l’application des mesures de sécurité de l’information, y compris celles liées au respect des exigences en matière de protection des renseignements personnels.

3.1.6 La personne employée

• La personne employée respecte la présente politique et les règles de protection des renseignements personnels;
• Elle informe sa personne gestionnaire ainsi que la personne responsable AIPRP de toute violation des mesures de protection des renseignements personnels ou de confidentialité dont elle pourrait être témoin;
• Elle participe aux activités de sensibilisation et de formation en matière de protection des renseignements personnels qui lui sont destinées;
• Elle signale tout manquement, incident de confidentialité ou toute autre situation qui présente des risques en matière de protection des renseignements personnels conformément à la Procédure de signalement et de traitement des incidents de confidentialité.

4. PRINCIPES

4.1 Collecte de renseignements personnels et gestion des consentements

L’Université ne recueille que les renseignements personnels nécessaires à la réalisation de sa mission et de ses activités. Avant de recueillir des renseignements personnels, l’Université détermine les finalités de leur traitement. Seuls sont collectés les renseignements personnels strictement nécessaires aux finalités indiquées.

La collecte de renseignements personnels se fait auprès de la personne concernée sur la base d’un consentement manifeste, libre et éclairé, donné à des fins spécifiques. Ce consentement ne vaut que pour la durée nécessaire à la réalisation des fins pour lesquelles il a été collecté.

Préalablement à la collecte, et par la suite sur demande, l’Université informe les personnes concernées notamment des finalités et des modalités de traitement de leurs renseignements personnels et de leurs droits quant à ces renseignements.

4.1.1 Utilisation des renseignements personnels

L’Université utilise les renseignements personnels qu’aux fins pour lesquelles ces renseignements ont été collectés. Cependant, l’Université peut modifier ces finalités si la personne concernée y consent préalablement.

Lorsque la Loi sur l’accès le prévoit expressément ou lorsqu’un traitement est jugé plus à risque pour les personnes concernées, l’utilisation de renseignements personnels fait alors l’objet d’une évaluation des facteurs relatifs à la vie privée afin de mitiger les risques identifiés. La procédure à suivre concernant les EFVP est décrite dans la Directive concernant les évaluations de facteurs relatifs à la vie privée.

4.1.2 Fichier de renseignements personnels

En vertu de la Loi sur l’accès, l’Université doit verser dans un fichier de renseignements personnels tout renseignement personnel qui:

1. est identifié ou se présente de façon à être retrouvé par référence au nom d’une personne ou à un signe ou symbole propre à celle-ci;
2. lui a servi ou est destiné à lui servir pour une décision concernant une personne.

Ces fichiers de renseignements personnels doivent, en vertu de la Loi sur l’accès, constituer un inventaire des fichiers de renseignements personnels que l’Université doit maintenir à jour.

4.1.3 Communication des renseignements personnels avec consentement

L’Université peut communiquer certains renseignements personnels qu’elle détient à un tiers si elle a obtenu le consentement valable de la personne concernée.

Toute personne ayant besoin d’assistance en lien avec la notion de consentement peut contacter la personne responsable AIPRP à l’adresse suivante : sg_protection_rp@uqac.ca

4.1.4 Communication des renseignements personnels sans consentement

L’Université peut divulguer certains renseignements personnels qu’elle détient, sans le consentement de la personne concernée, lorsque la situation le requiert et que la Loi sur l’accès le permet.

L’Université peut communiquer certains renseignements personnels qu’elle détient à un membre du personnel de l’Université qui a la qualité pour les recevoir et lorsque ces renseignements sont nécessaires à l’exercice de ses fonctions.

L’Université peut transférer des renseignements personnels qu’elle collecte à des fournisseurs de services et à d’autres tiers qui la soutiennent, conformément à la Loi sur l’accès. Dans ce cas, une entente liant l’Université à ces tiers, ou une formule d’engagement signée par ces derniers doivent les obliger à garder les renseignements personnels confidentiels, à les utiliser uniquement aux fins pour lesquelles l’Université les divulgue et à traiter les renseignements personnels selon les normes énoncées et en respect des lois applicables.

L’Université peut communiquer certains renseignements personnels à des fins d’étude, de recherche ou de production de statistiques sous réserve des conditions prévues par la Loi sur l’accès.

Dans certaines situations prévues par la Loi sur l’accès, la personne responsable AIPRP doit inscrire la communication dans le registre de communication des renseignements personnels.

4.1.5 Conservation

L’Université prend toutes les mesures raisonnables afin que les renseignements personnels qu’elle détient soient à jour, exacts et complets pour servir aux fins pour lesquelles ils sont recueillis ou utilisés.

L’Université conserve les renseignements personnels aussi longtemps que requis pour mener ses activités, sous réserve des délais prévus au calendrier de conservation.

4.1.6 Destruction et anonymisation

Lorsque sont atteintes les finalités pour lesquelles les renseignements personnels ont été collectés, ces renseignements sont détruits selon les dispositions législatives applicables.

Ils peuvent être anonymisés afin de les utiliser à des fins d’intérêt public, suivant les modalités prévues à la Loi sur l’accès et selon les délais prévus au calendrier de conservation et aux règles de gestion des documents numériques de l’Université.

Pour l’application de la Loi sur l’accès, un renseignement concernant une personne physique est anonymisé lorsqu’il est, en tout temps, raisonnable de prévoir dans les circonstances qu’il ne permet plus, de façon irréversible, d’identifier directement ou indirectement cette personne. Le processus d’anonymisation doit respecter le Règlement sur l’anonymisation des renseignements personnels.

4.2 Mesures pour assurer la protection des renseignements personnels

L’Université met en place des mesures de sécurité raisonnables afin d’assurer la confidentialité, l’intégrité et la disponibilité (DIC) des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits. Ces mesures prennent notamment en compte le degré de sensibilité des renseignements personnels, la finalité de leur collecte, leur quantité, leur localisation.

Par exemple, les mesures suivantes peuvent être prises pour assurer la confidentialité d’un document ou d’un fichier :

• contrôle préventif de l’accès au fichier;
• journaux de vérification des données;
• règles et pratiques de vérifications des logiciels;
• mesures liées aux outils informatiques;
• règles et pratiques de vérification du fichier;
• suppression de dossiers numériques, selon le logiciel utilisé;
• utilisation de classeurs barrés;
• destruction de documents avec certification;
• signature d’une entente de confidentialité.

Il s’agit d’une liste non exhaustive et les mesures prises peuvent varier selon la situation.

L’Université met également en place des mesures de sécurité relatives aux actifs informationnels de l’Université (voir à cet effet la Politique relative à la sécurité des actifs informationnels).

4.3 Utilisation de renseignements dépersonnalisés à des fins d’études, de recherche ou de production de statistique

Conformément à la Loi sur l’accès et aux règlements qui en découlent, l’Université peut utiliser un renseignement personnel sans le consentement de la personne concernée, lorsque son utilisation est nécessaire à des fins d’étude, de recherche ou de production de statistiques et qu’il est dépersonnalisé.

Lorsqu’il s’agit d’un projet de recherche impliquant des êtres humains, la Politique d’éthique de la recherche avec des êtres humains trouve application et le Comité d’éthique de la recherche s’assure que les consentements requis ont été dûment obtenus.

4.4 Mesures liées aux sondages

Avant de recueillir des renseignements personnels dans le cadre d’un sondage, l’Université doit:

• procéder à une évaluation de la nécessité d’y recourir; et
• procéder à une évaluation de l’aspect éthique du sondage par le comité d’éthique de la recherche s’il s’agit d’un sondage lié à un projet de recherche ou à défaut, par la personne responsable AIPRP en tenant compte notamment de la nature du sondage, des personnes visées, de la sensibilité des renseignements personnels recueillis et de la finalité de l’utilisation de ceux-ci.

L’Université s’assure que:

• les tiers agissant pour son compte prennent des mesures de sécurité adéquates à l’égard des renseignements personnels recueillis;
• de la confidentialité des participants au sondage;
• de la participation volontaire au sondage des participants;
• de la confidentialité des participants lors de la diffusion des résultats du sondage est assurée.

4.5 Évaluation des facteurs relatifs à la vie privée

Dans le cadre de ses activités, l’Université est amenée à traiter des renseignements personnels. Certains de ces traitements présentent des risques d’atteinte à la vie privée des personnes concernées. Ils sont, de ce fait, soumis par la Loi sur l’accès à la réalisation d’une évaluation des facteurs relatifs à la vie privée afin d’identifier ces risques et de déterminer les mesures d’atténuation. La Directive concernant les évaluations des facteurs relatifs à la vie privée précise les lignes directrices entourant la réalisation d’une EFVP de même que les rôles et responsabilités des intervenants.

4.6 Incidents de confidentialité

L’Université reconnaît l’importance de protéger les renseignements personnels qu’elle détient. C’est pourquoi elle met en œuvre les moyens technologiques et administratifs nécessaires afin que ceux-ci soient correctement traités tout au long de leur cycle de vie. Malgré les précautions prises, un incident de confidentialité demeure possible. C’est pourquoi l’Université s’est dotée de la Procédure de signalement et de traitement des incidents de confidentialité pour dénoncer et traiter les éventuels incidents de confidentialité et limiter ainsi leurs éventuelles conséquences néfastes pour les personnes concernées.

Lorsque l’Université a des motifs de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel qu’elle détient, elle prend les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent.

4.7 Droits des personnes concernées

Toute personne concernée dont les renseignements personnels sont détenus par l’Université dispose notamment des droits suivants, le tout étant sujet aux conditions de la Loi sur l’accès:

• Le droit d’accès aux renseignements personnels que l’Université détient à son sujet et des copies de ceux-ci, sous un format électronique ou non;
• Le droit de rectification de renseignement personnel incomplet ou inexact que l’Université détient à son sujet;
• Le droit d’être informée, le cas échéant, du fait que les renseignements personnels sont utilisés pour rendre une décision fondée sur un traitement automatisé;
• Le droit à la portabilité permet à la personne concernée de demander que lui soient communiqués ses renseignements personnels informatisés recueillis auprès d’elle dans un format technologique structuré et couramment utilisé. Cette communication pourra aussi être faite à une personne ou à un organisme autorisé à recueillir le renseignement en vertu de la Loi sur l’accès, à la demande de la personne concernée.

Toute demande à cet égard est traitée conformément à la Procédure d’exercice des droits et de traitement des plaintes relatives à la protection des renseignements personnels dans les délais prescrits par la Loi sur l’accès.

4.8 Formation et sensibilisation

L’Université offre périodiquement des activités de formation à son personnel et à des personnes clés de la communauté universitaire, leur permettant de connaître les principales responsabilités en matière de protection des renseignements personnels, notamment les bonnes pratiques selon les étapes du cycle de vie d’un renseignement personnel, les mesures de sécurité propres à ces étapes et la réaction à un incident de confidentialité.

L’Université mène de plus des activités de sensibilisation afin que les membres de la communauté universitaire soient au fait de l’importance de la protection des renseignements personnels et des méthodes visant à diminuer les risques de sécurité de ceux-ci, permettant ainsi d’établir et de maintenir une culture de la protection des renseignements personnels au sein de l’Université.

4.9 Traitement des plaintes

Toute personne concernée par un renseignement personnel recueilli, utilisé, communiqué ou conservé par l’Université peut déposer une plainte auprès de la personne responsable AIPRP en cas de manquement aux mesures de protection de ceux-ci prévues à la présente politique, aux documents normatifs adoptés par l’Université en lien avec la protection des renseignements personnels, et aux dispositions de la Loi sur l’accès. La procédure à suivre pour formuler une plainte est prévue à la Procédure d’exercice des droits et de traitement des plaintes relatives à la protection des renseignements personnels.

5. SANCTIONS APPLICABLES EN CAS DE NON-RESPECT DE LA POLITIQUE

Le non-respect de la présente politique pourrait entraîner des mesures administratives et/ou disciplinaires. La nature, la gravité et le caractère répétitif des actes reprochés doivent être pris en considération au moment de déterminer une sanction.

6. MISE À JOUR

La présente politique doit être mise à jour au besoin ou au minimum, tous les cinq (5) ans. Les mises à jour sont adoptées par le Conseil d’administration, suivant la recommandation du Comité sur l’accès à l’information et la protection des renseignements personnels.

7. DISPOSITIONS FINALES

La présente politique entre en vigueur au moment de son adoption par le Conseil d’administration.

* La présente politique s’inspire d’autres politiques en semblable matière *