LE CABINET M INC. (ci-après appelée « l’Organisation »)
Le droit au respect de sa vie privée est un principe reconnu pour tous. Dans bien des situations, des personnes fournissent leurs renseignements personnels afin d’obtenir certains services ou produits et ce, auprès de beaucoup d’organisations et même auprès d’organismes publics.
Il est donc important, et même primordial, de bien protéger ces renseignements personnels afin d’éviter des désagréments considérables et surtout inutiles aux individus.
Au Québec, les dispositions de la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c. P-39.1 ont traité l’aspect de la protection des renseignements personnels appartenant à toute personne. Mais une modification a été apportée à ladite loi par la nouvelle Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, communément appelée la Loi 25, qui a été adoptée le 21 septembre 2021 et sanctionnée le 22 septembre 2021 (ces deux lois précitées, ainsi que toute loi pouvant les remplacer de temps à autre, étant ci-après collectivement appelées la « Législation québécoise »).
Dans le cadre de ses activités, l’Organisation reconnaît qu’elle recueille et détient les renseignements personnels d’autrui. Et par conséquent, elle est tenue de se conformer à la Législation québécoise.
Cette politique de l’Organisation vise à informer son personnel des mesures décrites aux présentes qui sont en lien avec la Législation québécoise et qui sont appropriées pour protéger les renseignements personnels :
Cette politique de l’Organisation traite de ces mesures mentionnées ci-dessus de manière ci-après décrite et ce, pour le bénéfice des membres de son personnel auxquels cette politique s’adresse notamment :
→ Les mesures déjà mises en oeuvre par l’Organisation
→ Les mesures que l’Organisation verra à mettre en oeuvre dans les meilleurs délais
→ Les mesures que l’Organisation n’entend pas mettre en oeuvre
L’Organisation n’entend pas organiser pour les membres de son personnel qui traitent ou travaillent avec des renseignements personnels dans le cadre de leurs fonctions, des sessions de formation et/ou d’information concernant les renseignements personnels et leur protection ainsi que la confidentialité requise pour de tels renseignements.
Le personnel de l’Organisation devra en tout temps respecter cette politique afin de protéger au mieux les renseignements personnels de ses clients. De plus, tous les membres de son personnel devront se conformer aux mesures mises en oeuvre par l’Organisation de temps à autre en lien avec la présente politique.
L’Organisation verra à remettre une copie de cette politique à chacun des membres de son personnel, tant actuels que futurs, peu importe que ceux-ci soient des employés ou des pigistes, y compris les membres de son personnel agissant à titre de dirigeants de l’Organisation.
L’Organisation pourra modifier, à sa discrétion et de temps en temps, cette politique et dans un tel cas, elle en avisera tous les membres de son personnel en leur remettant ou leur donnant accès à la politique ainsi modifiée.
Il est entendu qu’aux fins de cette politique, l’expression « Organisation » sera utilisée pour désigner un bureau de professionnels.
En effet, toute personne physique ou morale qui possède, exploite ou constitue un bureau de professionnels assujettis au Code des professions et offrant des services à la population constitue une « entreprise » au sens de la Législation québécoise et par conséquent, doit se conformer à ses dispositions.
L’expression « clients » désignera à la fois les clients et les utilisateurs d’une Organisation.
Chacun a droit au respect de sa vie privée, incluant ses renseignements personnels, sauf son consentement en cas d’atteinte à sa vie privée.
La Législation québécoise vise à assurer la protection et la confidentialité des renseignements personnels et de la vie privée des personnes physiques faisant affaire avec ce qu’on appelle une « entreprise » qui est assujettie à la Législation québécoise.
Toute entreprise qui recueille, détient, communique et/ou utilise des renseignements personnels dans le cadre de ses activités, que ces dernières soient commerciales ou non, est assujettie à la Législation québécoise car elle exploite alors une « entreprise » au sens de la Législation québécoise et par conséquent, elle doit en respecter les dispositions.
La Législation québécoise a mis de l’avant les deux principes suivants : 1) une entreprise ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées pour leur collecte et ne peut utiliser ces renseignements qu’aux fins pour lesquelles ils ont été recueillis, sauf s’il y a consentement de la personne concernée; et 2) personne ne peut communiquer à un tiers les renseignements personnels qu’il détient sur autrui, à moins que la personne concernée n’y consente ou que la Législation québécoise ne le prévoit ou ne l’exige.
C’est la définition d’un renseignement personnel, telle qu’elle est établie par la Législation québécoise, qui détermine si les informations recueillies et détenues par une entreprise constituent ou non ce qu’on appelle un « renseignement personnel » au sens de la Législation québécoise. En effet, si une entreprise ne recueille aucun renseignement personnel auprès de ses clients, elle n’est pas alors tenue de respecter les dispositions de la Législation québécoise.
Selon la Législation québécoise, tout renseignement qui concerne une personne physique et qui permet d’identifier celle-ci, est considéré comme étant un renseignement personnel peu importe la nature du support et la forme sous laquelle ce renseignement est rendu accessible, soit écrite, graphique, sonore, visuelle, informatisée ou autre.
Un renseignement personnel, c’est donc toute information reliée ou concernant une personne physique en particulier qui permet de l’identifier ou qui peut être utilisée pour l’identifier d’une manière spécifique, que ce soit en utilisant cette information seulement ou encore, cette information couplée avec d’autres renseignements détenus par une entreprise, y compris les informations fournies à l’entreprise par les clients eux-mêmes; c’est pourquoi on parle parfois de renseignements personnellement identifiables.
Ne sont pas considérés comme constituant des renseignements personnels toutes les informations ou renseignements devenus ou rendus anonymes ou dépersonnalisés ou qui ont été agrégés de manière à ne pouvoir identifier spécifiquement et de quelque manière que ce soit une personne physique.
Par exemple, si une entreprise offre aux personnes accédant à son site web de s’abonner à ses infolettres, alors cette entreprise recueille et détient des renseignements personnels sur les personnes demandant cet abonnement, soit leurs nom, adresse civique, numéro de téléphone, adresse courriel, âge, etc. et ce, même s’il ne s’agit pas d’un site web transactionnel.
Par contre, le fait pour une personne de se connecter au site web d’une entreprise implique que cette dernière a accès à l’adresse IP de cette personne mais cet accès seul ne permet pas d’identifier cette personne en particulier, dans le sens que ce seul accès à l’adresse IP n’est pas considéré comme constituant une collecte de renseignements personnels.
Un renseignement personnel est considéré comme sensible lorsque de « par sa nature ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d’attente raisonnable en matière de vie privée ». Cependant, il semble bien que cette notion ainsi présentée soit très subjective puisque la sensibilité d’un renseignement personnel dépend alors du contexte de son utilisation ou de sa communication.
Malgré cela, on peut constater que certaines catégories de renseignements personnels sont généralement considérées comme sensibles en raison des risques particuliers pour les personnes qui sont associés à la collecte, à l’utilisation ou à la communication de ces catégories de renseignements. En effet, certaines catégories de renseignements personnels sont souvent considérées comme sensibles et par conséquent, doivent faire l’objet d’une meilleure protection avec des mesures de sécurité adéquates et plus élevées.
Il s’agit notamment de renseignements portant sur la santé, les finances ou les revenus, la réputation des personnes, les origines ethniques et raciales, les opinions politiques, la vie sexuelle ou l’orientation sexuelle et les croyances religieuses ou philosophiques, ainsi que les données génétiques et biométriques.
Dans le cadre d’une évaluation pour savoir si des renseignements personnels sont considérés comme sensibles ou non, cela variera en fonction des faits de chaque cas. En fait, tout renseignement personnel peut devenir sensible selon le contexte s’appliquant à celui-ci.
Par exemple, des renseignements bien anodins lorsqu’ils sont pris isolément, comme le nom et une adresse de courriel, peuvent devenir sensibles lorsqu’ils sont associés à des services qui peuvent révéler les activités et les préférences personnelles des utilisateurs, c’est-à-dire si ces renseignements sont utilisés dans un autre contexte. Ainsi, le nom et l’adresse des abonnés d’une revue d’information ne sont généralement pas considérés comme des renseignements sensibles mais cependant, le nom et l’adresse des abonnés de certains périodiques spécialisés pourraient l’être.
Également, si des renseignements personnels sont combinés, ils pourraient possiblement être utilisés par des personnes malveillantes aux fins d’usurper les identités des personnes concernées, ce qui exige alors des mesures de sécurité plus élevées.
Par exemple, si la collecte, l’utilisation ou la communication non autorisée de renseignements personnels sensibles, comme le fait qu’une personne soit atteinte d’une infection transmissible sexuellement, pourrait entraîner une stigmatisation sociale, des problèmes émotifs et une atteinte à la réputation à long terme pour les personnes concernées, les renseignements doivent alors être protégés par des mesures de sécurité rigoureuses et élevées.
Il est reconnu que les bureaux de professionnels recueillent, détiennent et parfois communiquent des renseignements personnels appartenant à leurs clients, dans le but notamment de leur rendre les services que ceux-ci ont demandé.
La Législation québécoise s’applique aux renseignements personnels détenus par tout bureau de professionnels dont certains membres ou tous les membres font partie d’un ordre professionnel ou d’une association professionnelle, si cela est prévu par le Code des professions (RLRQ c. 26).
On pourrait vouloir prétendre que les professionnels, qui sont déjà soumis à leur code de déontologie ou au Code des professions, se trouveraient ainsi exemptés des dispositions de la Législation québécoise mais il ne pourra jamais en être de même concernant les autres membres du personnel des bureaux de professionnels puisque ceux-ci ne sont pas soumis à un code de déontologie ou au Code des professions.
C’est donc dire qu’un bureau de professionnels est visé par les dispositions de la Législation québécoise, et non pas seulement les professionnels exerçant dans ce bureau.
L’Organisation a la responsabilité de protéger les renseignements personnels de ses clients qu’elle recueille et détient. La plus haute autorité de l’Organisation doit assumer la fonction de responsable de la protection de ces renseignements personnels (ci-après appelé le « Responsable ») ou déléguer par écrit cette fonction à une autre personne au sein de l’Organisation. Le titre et les coordonnées de ce Responsable doivent être accessibles aux clients de l’Organisation.
L’Organisation doit déterminer et implanter des politiques et des pratiques approuvées par le Responsable qui auront pour but d’encadrer sa gouvernance à l’égard des renseignements personnels de ses clients et qui permettront d’en assurer la protection et la confidentialité; de plus, l’Organisation doit rendre accessible l’information au sujet des politiques implantées. Ces politiques de l’Organisation doivent notamment prévoir l’encadrement s’appliquant à la conservation et à la destruction des renseignements personnels de ses clients, les rôles et les responsabilités des membres de son personnel tout au long du cycle de vie de ces renseignements et un processus pour traiter les plaintes en relation avec la protection des renseignements de ses clients.
L’Organisation doit déterminer les fins pour lesquelles elle veut recueillir des renseignements personnels et ce, avant même de procéder à leur collecte, et elle doit aussi recueillir seulement les renseignements nécessaires aux fins ainsi déterminées.
L’Organisation doit informer toute personne concernée par la collecte de ses renseignements, au moment de la collecte et par la suite, sur demande, des éléments suivants : 1) les fins pour lesquelles ses renseignements sont recueillis; 2) les moyens par lesquels ceux-ci sont recueillis; 3) ses droits d’accès et de rectification concernant ses renseignements; et 4) son droit de retirer son consentement à la communication ou à l’utilisation de ses renseignements recueillis.
Toute personne concernée a le droit d’être informée du nom du tiers pour qui la collecte de ses renseignements est faite, si tel est le cas, ainsi que du nom des tiers ou des catégories de tiers à qui il est nécessaire de communiquer ses renseignements personnels, si applicable.
Advenant qu’un incident de confidentialité se produise et qu’il implique un renseignement personnel que l’Organisation détient, celle-ci doit prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent. Dans le but d’évaluer qu’un incident de confidentialité survenu présente un tel risque, l’Organisation doit considérer la sensibilité de tel renseignement, les conséquences possibles suite à son utilisation et la probabilité qu’il soit utilisé à des fins préjudiciables ou malfaisantes.
L’Organisation doit tenir un registre des incidents de confidentialité et en transmettre sur demande une copie à la Commission d’accès à l’information du Québec (la « Commission »); ce registre doit être conservé pendant une période minimale de cinq ans suivant tout incident dont l’Organisation a pris connaissance. L’Organisation doit divulguer tout incident par un avis écrit envoyé à la Commission et à toute personne concernée. Un règlement a précisé le contenu de ces avis et du registre des incidents à tenir.
La Législation québécoise prévoit qu’un renseignement personnel ne peut être utilisé qu’aux fins pour lesquelles il a été recueilli, sauf en obtenant le consentement de la personne concernée, mais elle prévoit aussi deux exceptions à ce principe.
Ces deux exceptions s’appliquent à toutes les organisations visées par la Législation québécoise pour leur permettre une utilisation autre des renseignements recueillis sans obtenir un consentement préalable, dans l’un ou l’autre des cas suivants : 1) si l’utilisation des renseignements est nécessaire aux fins de fournir la prestation d’un service demandé par la personne concernée; et 2) si l’utilisation des renseignements est manifestement au bénéfice de la personne concernée.
La Législation québécoise prévoit qu’un renseignement personnel ne peut être communiqué à autrui, sauf en obtenant le consentement de la personne concernée, mais elle prévoit aussi deux exceptions à ce principe.
Les organisations visées par la Législation québécoise peuvent communiquer des renseignements personnels qu’elles ont recueillis, à toute personne ou à tout organisme si cette communication est nécessaire à l’exercice d’un mandat ou à l’exécution d’un contrat de service ou d’entreprise qu’elles confient à cette personne ou à cet organisme. Toutefois, deux conditions doivent alors s’appliquer : 1) le mandat ou le contrat doit être mis par écrit; et 2) parmi les dispositions de tel mandat ou contrat, il faut prévoir les mesures que le mandataire ou l’exécutant du contrat doit prendre pour assurer la protection du caractère confidentiel de ces renseignements.
Les organisations visées par la Législation québécoise peuvent aussi communiquer un renseignement personnel s’il est nécessaire aux fins de la conclusion d’une transaction commerciale. Le récipiendaire de tel renseignement doit alors convenir de l’utiliser uniquement aux fins de la conclusion de cette transaction et de ne pas le communiquer sans avoir obtenu un consentement au préalable ou seulement si la Législation québécoise le prévoit ou l’exige.
Selon la Législation québécoise, un renseignement personnel n’est accessible, sans obtenir le consentement de la personne concernée, aux membres du personnel d’une organisation visée par la Législation québécoise qui ont qualité pour connaître tel renseignement qu’à la seule condition que ce renseignement soit nécessaire à l’exercice de leurs fonctions. La Législation québécoise restreint ainsi l’utilisation des renseignements personnels.
Il est entendu que l’Organisation recueille, détient et conserve les renseignements personnels de ses clients, des renseignements considérés généralement comme sensibles; elle peut aussi communiquer parfois ces renseignements afin de fournir les produits et/ou services demandés.
L’Organisation ne peut recueillir que les renseignements nécessaires à l’exécution de ses travaux ou ses services pour ses clients et de plus, elle ne peut les utiliser qu’aux fins pour lesquelles ils ont été recueillis, sous réserve de toute exception pouvant s’appliquer.
L’Organisation détient des dossiers numériques mais possède aussi une voûte matérielle où se retrouvent des dossiers de ses clients.
L’Organisation doit désigner un Responsable qui doit voir à la protection des renseignements recueillis auprès de ses clients et rendre accessibles le titre et les coordonnées du Responsable.
L’Organisation doit établir et implanter des politiques et des pratiques approuvées par le Responsable afin d’encadrer sa gouvernance à l’égard des renseignements personnels de ses clients et rendre accessibles ces politiques à ses clients.
L’Organisation doit informer, lors de la collecte de renseignements, toute personne concernée des éléments suivants: 1) les fins pour lesquelles ses renseignements sont recueillis; 2) les moyens par lesquels ceux-ci sont recueillis; 3) ses droits d’accès et de rectification concernant ses renseignements; et 4) son droit de retirer son consentement à la communication ou à l’utilisation de ses renseignements.
En prévision de la possibilité qu’un incident de confidentialité se produise, l’Organisation doit prévoir les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé suite à un tel incident et tenir un registre des incidents de confidentialité.
L’Organisation bénéficie d’une exception pour une utilisation autre des renseignements personnels recueillis sans obtenir le consentement des personnes concernées, à la condition que telle utilisation soit nécessaire pour fournir la prestation d’un service au client ou à la condition que telle utilisation soit au bénéfice du client.
L’Organisation peut communiquer les renseignements personnels de ses clients à toute personne ou organisme si cela est nécessaire à : 1) l’exercice d’un mandat ou à l’exécution d’un contrat de service ou d’entreprise qu’elle leur confie, pourvu que l’Organisation respecte deux conditions : le mandat ou le contrat confié est mis par écrit et il prévoit les mesures que le mandataire ou l’exécutant du contrat doit prendre pour assurer la protection du caractère confidentiel des renseignements transmis; et 2) la conclusion d’une transaction commerciale.
L’Organisation ne pourra, sans obtenir le consentement des personnes concernées, rendre accessibles des renseignements personnels aux membres de son personnel ayant qualité pour les connaître qu’à la seule condition que ces renseignements soient nécessaires à l’exercice de leurs fonctions.
L’Organisation a déjà mis en oeuvre l’une ou l’autre des mesures mentionnées ci-dessous pour se conformer aux dispositions de la Législation québécoise et ce, aux fins d’assurer la protection et la confidentialité des renseignements personnels de ses clients. Certaines mesures peuvent être d’ordre général et d’autres d’ordre spécifique.
Il est reconnu qu’un système informatique performant et efficace assure beaucoup mieux la protection de la confidentialité des renseignements personnels des clients de toute organisation visée par la Législation québécoise.
Même si un système informatique performant assure une meilleure protection de la confidentialité des renseignements personnels, l’Organisation ou son ou ses fournisseurs informatiques n’entendent pas mettre en oeuvre l’une ou l’autre des mesures mentionnées ci-dessous.
Il est important pour l’Organisation de comprendre et gérer au mieux le flux des renseignements personnels qu’elle recueille auprès de ses clients et ce, pour en assurer la protection de manière efficace, facile et rapide.
Pour ce faire, il est important pour l’Organisation d’établir une liste exhaustive (inventaire) des renseignements personnels qu’elle recueille et détient, ce qui lui permet de s’assurer qu’aucun de ces renseignements n’entre ou ne sort de son système sans être recensé; l’Organisation pourra alors démontrer facilement qu’elle a adopté une culture du respect de la vie privée, incluant la protection des renseignements personnels. Une telle liste peut aussi lui devenir très utile lors des évaluations des facteurs relatifs à la vie privée que l’Organisation peut être appelée à faire.
En effet, si l’Organisation ne comprend pas le flux des renseignements qu’elle recueille, il devient difficile de savoir que ses activités sont conformes aux dispositions de la Législation québécoise.
Pour bâtir cette liste exhaustive, l’Organisation doit tout d’abord choisir l’approche à adopter et le format à privilégier.
L’Organisation doit déterminer la source principale à partir de laquelle les renseignements personnels sont recueillis et en faire une liste exhaustive (inventaire) tout en établissant si ces renseignements sont de nature sensible ou non; elle doit aussi déterminer à quel endroit ces renseignements sont conservés. L’Organisation doit ensuite associer les renseignements contenus dans cette liste exhaustive aux consentements qu’elle a obtenus aux fins d’en faire la collecte, l’utilisation et la transmission; par la suite, elle doit aussi établir les objectifs poursuivis en vue d’en faire la collecte, l’utilisation et la transmission.
Ce processus implique également ce qui suit pour l’Organisation : 1) déterminer le délai de conservation de ces renseignements et si possible, établir un calendrier de conservation pour en assurer une meilleure gestion; 2) choisir les mesures de sécurité permettant de protéger adéquatement ces renseignements, en fonction notamment de leur niveau de sensibilité; et 3) établir à qui ou à quels endroits ces renseignements sont transmis, en tenant compte des endroits géographiques concernés et tout en mettant en place des protocoles applicables lors de leur transmission auprès de tiers afin de mieux les protéger.
L’Organisation doit également déterminer les membres de son personnel responsables d’établir cette liste exhaustive, les moyens automatisés à utiliser pour l’établir et déterminer une stratégie de mise à jour de celle-ci.
L’Organisation ou son ou ses fournisseurs informatiques ont déjà mis en oeuvre l’une ou l’autre des mesures mentionnées ci-dessous concernant la liste exhaustive des renseignements personnels qu’elle recueille et détient.
L’Organisation verra à mettre en oeuvre dans les meilleurs délais l’une ou l’autre des mesures mentionnées ci-dessous concernant la liste exhaustive des renseignements personnels qu’elle recueille et détient.
L’Organisation verra à mettre en oeuvre dans les meilleurs délais l’une ou l’autre des mesures mentionnées ci-dessous pour être en mesure de bien gérer son personnel ayant notamment accès aux renseignements personnels de ses clients.
L’Organisation ou son ou ses fournisseurs informatiques ont déjà mis en oeuvre l’une ou l’autre des mesures mentionnées ci-dessous pour bien gérer son site web.
Approuvé par l’Organisation en date du 28 septembre 2023.
Sarah-Jeanne Dubé Mercure, responsable pour l’Organisation