Politique de protection des renseignements personnel
PRÉAMBULE
La Politique de gouvernance sur la protection des renseignements personnels (ci-après « la Politique ») est adoptée en application de la Loi sur la protection des renseignements personnels dans le secteur privé, c. P-39.1 (ci-après « Loi sur le privé »).
Le CPE Lacet de Bottine (ci-après « le CPE ») est une personne morale à but non lucratif qui traite des renseignements personnels dans le cadre de ses activités. Il est donc assujetti à la Loi sur le privé.
Dans le cadre de ses activités, le CPE doit collecter, utiliser et conserver des renseignements personnels en vertu de la Loi sur les services de garde éducatifs à l’enfance, du Règlement sur les services de garde éducatifs à l’enfance, du Règlement sur la contribution réduite ainsi que des directives et instructions du ministère de la Famille.
Cette Politique s’applique au CPE, ce qui inclut notamment les membres de son personnel, aux membres du conseil d’administration, aux stagiaires et bénévoles, le cas échéant, ainsi qu’à toute personne qui, autrement, fournit des services pour le compte du CPE.
Elle s’applique pour tous les renseignements personnels collectés, utilisés et conservés par le CPE, et ce, peu importe leur forme. La Politique vise les renseignements personnels contenus dans tous les types de documents physiques ou numériques, au sens large, que leur forme soit écrite, graphique, sonore, visuelle, informatisée ou autre. Un renseignement personnel est défini comme étant tout renseignement qui concerne une personne physique et qui permet, directement ou indirectement, de l’identifier.
Elle s’applique également à l’égard du site internet du CPE, le cas échéant. Les ANNEXES font partie intégrante de la Politique.
1. OBJECTIFS
La présente Politique décrit les normes de collecte, d’utilisation, de communication et de conservation des renseignements personnels afin d’assurer la protection de ces renseignements. Elle explique également les rôles et les responsabilités des membres du personnel du CPE tout au long du cycle de vie de ces renseignements et un processus de traitement des plaintes relatives à la protection de ceux-ci.
2. RENSEIGNEMENTS PERSONNELS
Dans le cadre de ses activités, le CPE peut recueillir et traiter différents types de renseignements personnels, y compris :
- des renseignements d’identité, comme un nom ou un prénom, âge, date de naissance;
- des coordonnées de contact, une adresse, une adresse électronique et un numéro de téléphone;
- des renseignements nécessaires lors de l’inscription d’un enfant au CPE, notamment la fiche d’inscription, l’entente de service, le numéro de sécurité sociale, les coordonnées bancaires pour le débit préautorisé, etc.;
- des renseignements nécessaires à la constitution du dossier des parents qui font une demande d’admissibilité à la contribution réduite tels que la demande de contribution réduite, le certificat, l’acte de naissance ou le document établissant la citoyenneté canadienne du parent et le certificat ou l’acte de naissance de l’enfant, les correspondances avec le parent, etc.;
- des renseignements nécessaires durant la fréquentation d’un enfant, notamment les fiches d’assiduité, les rapports d’incident, les documents en lien avec l’administration de médicaments, les directives d’un parents en lien avec les restrictions alimentaires de son enfant, le cas échéant, etc.;
- des renseignements nécessaires à la constitution du dossier éducatif d’un enfant, notamment le portrait périodique;
- des renseignements relatifs aux membres du personnel, stagiaires ou bénévoles du CPE, notamment les dossiers du personnel, les certificats de formation, les documents relatifs à la vérification des empêchements, etc.; • tout autre renseignement personnel nécessaire dans le cadre de ses activités.
3. COLLECTE
Le CPE collecte des renseignements personnels notamment auprès des parents, des enfants qui fréquentent le CPE et de son personnel.
De façon générale, le CPE collecte les renseignements personnels directement auprès de la personne concernée et avec son consentement, sauf si une exception est prévue par la loi. Le consentement peut être obtenu de façon implicite dans certaines situations, par exemple, lorsque la personne décide de fournir volontairement ses renseignements personnels dans le cadre volontaire des activités du CPE, tels que lors de l’inscription d’un enfant ou lors d’une embauche.
Dans tous les cas, le CPE ne collecte des renseignements personnels que s’il a une raison valable de le faire. De plus, la collecte ne sera limitée qu’aux renseignements nécessaires dont il a besoin pour remplir l’objectif visé.
À moins d’une exception prévue par la loi, le CPE demandera le consentement de la personne concernée avant de collecter des renseignements personnels qui la concernent auprès d’un tiers.
Considérant que le CPE collecte des renseignements personnels par un moyen technologique, il s’est doté d’une politique de confidentialité disponible à l’ANNEXE 1.
4. UTILISATION
Le CPE s’engage à utiliser les renseignements personnels en sa possession uniquement aux fins pour lesquelles ils ont été recueillis et pour lesquels la loi l’autorise à les utiliser. Il peut toutefois les recueillir, les utiliser ou les divulguer sans le consentement de la personne visée lorsque cela est permis ou exigé par la loi.
Dans certaines circonstances particulières, le CPE peut recueillir, utiliser ou divulguer des renseignements personnels sans que la personne concernée soit en informée ou qu’elle n’ait donné son consentement. De telles circonstances sont réunies notamment lorsque, pour des raisons juridiques, médicales ou de sécurité, il est impossible ou peu probable d’obtenir son consentement, lorsque cette utilisation est manifestement au bénéfice de cette personne, lorsque cela est nécessaire pour prévenir ou détecter une fraude ou pour tous autres motifs sérieux.
Le CPE limite l’accès des membres du personnel et du conseil d’administration aux seuls renseignements personnels et connaissances de nature personnelle qui sont nécessaires à l’exercice de leur fonction.
5. COMMUNICATION
En principe, le CPE ne peut communiquer les renseignements personnels qu’il détient sur une personne sans le consentement de celle-ci.
Toutefois, le CPE peut communiquer à un tiers des renseignements personnels sans le consentement de la personne concernée lorsque la communication est due à une exigence réglementaire ou légale ou lorsque la Loi sur le privé ou toute autre loi le permet.
6. CONSERVATION
Conservation
Dans le cadre de ses activités, le CPE doit conserver de nombreux documents comportant des renseignements personnels.
Certains documents doivent être conservés pendant une durée prescrite par soit la Loi sur les services de garde éducatifs à l’enfance, le Règlement sur les services de garde éducatifs à l’enfance, le Règlement sur la contribution réduite ainsi par des directives et instructions du ministère de la Famille.
Qualité des renseignements personnels
Le CPE s’assure de la qualité des renseignements personnels qu’il détient. En ce sens, les renseignements personnels conservés sont à jour, exacts et complets pour servir aux fins pour lesquelles ils ont été recueillis ou utilisés.
La mise à jour constante des renseignements personnels n’est pas nécessaire, sauf si cela est justifié par les fins pour lesquelles ce renseignement est recueilli. Cependant, si les renseignements doivent servir à une prise de décision, ils doivent être à jour au moment de celle-ci.
Documents physiques et numériques
Selon la nature des renseignements personnels, ceux-ci peuvent être conservés aux bureaux du CPE, dans divers systèmes informatiques du CPE ou de ses fournisseurs de services ou dans les installations d’entreposage du CPE ou de ses fournisseurs de services.
Mesures de sécurité
La sécurité et la protection des renseignements personnels sont importantes pour le CPE. Le CPE met en place des mesures de sécurité afin que les renseignements personnels demeurent strictement confidentiels et soient protégés contre la perte ou le vol et contre tout accès, communication, copie, utilisation ou modification non autorisée.
Ces mesures de sécurité comprennent des mesures organisationnelles telles que la restriction des accès à ce qui est nécessaire; la sauvegarde et l’archivage des données au moyen d’un système externe, etc.); et mesures technologiques comme l’utilisation de mots de passe et de pare-feu.
L’accès aux documents d’archive du CPE est réservé au membre de la direction et au personnel administratif responsable de l’archivage. L’entreposage de ces documents est sous clé.
Numérisation des documents
Dans l’éventualité où le CPE désire détruire les documents originaux à la suite de leur numérisation, il respecte les conditions suivantes :
- L’information contenue dans les documents numérisés n’a pas été altérée et elle a été maintenue dans son intégralité ;
- La numérisation ainsi que le support pour conserver les documents numérisés doit assurer la stabilité et la pérennité des documents.
Le CPE choisit un support ou une technologie sur lequel il conserve ses documents qui lui permet de respecter ces conditions.
Lorsque le CPE effectue une numérisation de document, il applique la procédure prévue à l’ANNEXE 2.
7. DESTRUCTION
La destruction des documents d’origine contenant des renseignements personnels ou confidentiels est faite de façon sécuritaire.
Le CPE utilise des techniques de destruction définitive de documents adaptées au niveau de confidentialité du document à détruire.
Il se réfère à l’ANNEXE 3 pour les techniques de destruction définitive de documents.
Lorsque le CPE détient des renseignements personnels n’ayant pas de prescription légale ou règlementaire de conservation, c’est dernier sont détruit dans les 6 mois suivant le départ de l’enfant.
Les renseignements personnels détenu par le CPE ayant un délai de conservation prescrit par une Loi ou un règlement ou pour l’application des conditions d’emploi, ces renseignements sont détruit a la date d’échéance prescrite lors d’une opération annuelle de destruction.
8. ÉVALUATION DES FACTEURS RELATIFS À LA VIE PRIVÉE
Le CPE doit procéder à une évaluation des facteurs relatifs à la vie privée (ÉFVP) pour tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant des renseignements personnels.
L’évaluation des facteurs relatifs à la vie privée réalisée devra être proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support.
Le CPE peut s’aider du guide développé par la Commission d’accès à l’information « Guide d’accompagnement – Réaliser une évaluation des facteurs relatifs à la vie privée » pour réaliser l’évaluation des facteurs relatifs à la vie privée, le cas échant.
9. DEMANDE D’ACCÈS OU DE RECTIFICATION
Toute personne peut faire une demande d’accès ou de rectification concernant les renseignements personnels détenus par le CPE.
La personne concernée doit soumettre une demande écrite à cet effet à la Responsable de la protection des renseignements personnels du CPE.
Sous réserve de certaines restrictions légales, les personnes concernées peuvent demander l’accès à leurs renseignements personnels détenus par le CPE et en demander leur correction dans le cas où ils sont inexacts, incomplets ou équivoques.
La Responsable de la protection des renseignements personnels du CPE doit répondre par écrit à ces demandes dans les 30 jours de la date de réception.
10. INCIDENTS DE CONFIDENTIALITÉ
Les incidents de confidentialité
Un incident de confidentialité correspond à un accès non autorisé par la loi à un renseignement personnel, à son utilisation ou à sa communication, de même que sa perte ou toute autre forme d’atteinte à sa protection.
Le CPE, s’il a des motifs de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel qu’il détient prend les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent.
En cas d’incident de confidentialité, le CPE procède à l’évaluation du préjudice. Cette évaluation tient compte notamment des éléments suivants : la sensibilité des renseignements personnels concernés; les utilisations malveillantes possibles des renseignements et les conséquences appréhendées de l’utilisation des renseignements et la probabilité qu’ils soient utilisés à des fins préjudiciables.
Quand l’incident présente le risque qu’un préjudice sérieux soit causé aux personnes dont les renseignements sont concernés, le CPE avise par écrit :
La Commission d’accès à l’information via le formulaire d’avis prescrit ;
- La ou les personnes concernées. L’avis doit permettre de la renseigner adéquatement sur la portée et les conséquences de l’incident.
o Cet avis doit contenir :
• Une description des renseignements personnels visés par l’incident. Si cette information n’est pas connue, l’organisation doit communiquer la raison justifiant l’impossibilité de fournir cette description.
• Une brève description des circonstances de l’incident;
• La date ou la période où l’incident a eu lieu, ou une approximation de cette période si elle n’est pas connue;
• Une brève description des mesures prises ou envisagées pour diminuer les risques qu’un préjudice soit causé à la suite de l’incident;
• Les mesures proposées à la personne concernée afin de diminuer le risque qu’un préjudice lui soit causé ou d’atténuer celui-ci;
• Les coordonnées d’une personne ou d’un service avec qui la personne concernée peut communiquer pour obtenir davantage d’informations au sujet de l’incident.
Registre des incidents de confidentialité
Le CPE tient un registre des incidents de confidentialité prévu à l’ANNEXE 4.
Le registre collige l’ensemble des incidents de confidentialité impliquant un renseignement personnel :
- ceux ne présentant pas de risque de préjudice sérieux et;
- ceux présentant un risque de préjudice sérieux.
Les renseignements contenus au registre des incidents de confidentialité sont tenus à jour et conservés pendant une période minimale de cinq (5) ans après la date ou la période au cours de laquelle le CPE a pris connaissance de l’incident.
11. PROCESSUS DE TRAITEMENT DES PLAINTES EN LIEN AVEC LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
Toute personne concernée par l’application de la présente Politique peut porter plainte concernant l’application de la présente Politique ou, plus généralement, concernant la protection de ses renseignements personnels par le CPE.
La procédure de traitement de plainte relative à la protection des renseignements personnels est prévue à l’ANNEXE 7.
12. COORDONNÉES DE LA RESPONSABLE DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
La Responsable de la protection des renseignements personnels du CPE peut être contactée par téléphone au 418-387-3470 poste 215 ou par courriel à direction@lacetdebottine.ca
Il est possible de communiquer avec la Responsable de la protection des renseignements personnels du CPE pour toute question en lien avec l’application de la présente Politique en matière de protection des renseignements personnels.
13. ENTRÉE EN VIGUEUR DE LA POLITIQUE
La Politique entre en vigueur le 18 septembre 2022.
La Politique a été approuvée par la Responsable de la protection des renseignements personnels.
S’il modifie la présente Politique, le CPE rend disponible la Politique tel que modifiée.
LES ANNEXES
ANNEXE 1 – POLITIQUE DE CONFIDENTIALITÉ LORS D’UNE COLLECTE DE RENSEIGNEMENTS PERSONNELS PAR UN MOYEN TECHNOLOGIQUE
Le CPE s’engage à assurer la protection et la confidentialité des renseignements personnels que vous fournissez ou que nous recueillons lorsque vous visitez notre site Internet ou interagissez avec nous par moyen technologique. À cet égard, la présente politique de confidentialité (ci-après la « Politique ») vise à vous informer des renseignements personnels collectés, des fins pour lesquelles ceux-ci sont recueillis, des communications qui pourraient être effectuées et, de manière générale, des mesures de protection mises en place. Elle traite également du recours à des témoins de connexion, le cas échéant.
La Politique de confidentialité est adoptée en application de l’article 8.2 de la Loi sur la protection des renseignements personnels dans le secteur privé, c. P-39.1 (ci-après « Loi sur le privé »).
Que sont les cookies?
Les cookies et technologies similaires sont de très petits documents textuels ou morceaux de code qui contiennent souvent un code d’identification unique. Lorsque vous visitez un site Web ou utilisez une application mobile, un ordinateur demande à votre ordinateur ou appareil mobile la permission d’enregistrer ce fichier sur votre ordinateur ou appareil mobile et d’accéder à l’information. Les informations recueillies par le biais des cookies et autres technologies similaires peuvent inclure la date et l’heure de la visite et la façon dont vous utilisez un site Web ou une application mobile en particulier.
Pourquoi utilisons-nous des cookies?
Les cookies vous permettent de rester connecté pendant votre visite sur notre boutique en ligne, tous les articles restent stockés dans votre panier, vous pouvez faire vos achats en toute sécurité et le site web continue à fonctionner correctement. Les cookies nous permettent également de voir comment notre site Web est utilisé et comment nous pouvons l’améliorer. De plus, selon vos préférences, nos propres cookies peuvent être utilisés pour vous présenter des publicités ciblées qui correspondent à vos intérêts personnels.
Quel type de cookies utilisons-nous?
Cookies nécessaires
Ces cookies sont nécessaires au bon fonctionnement du site. Certaines des actions suivantes peuvent être effectuées en utilisant ces cookies. – Stocker des articles dans un panier d’achat en ligne- Enregistrer vos préférences en matière de cookies pour ce site web Enregistrer les préférences linguistiques- Se connecter à notre portail. Nous devons vérifier si vous êtes connecté.
Cookies de performance
Ces cookies sont utilisés pour recueillir des informations statistiques sur l’utilisation de notre site Web, également appelés cookies analytiques. Nous utilisons ces données pour la performance et l’optimisation du site Web.
Cookies fonctionnels
Ces cookies permettent plus de fonctionnalités pour les visiteurs de notre site Web. Ces cookies peuvent être mis en place par nos fournisseurs de services externes ou par notre propre site Web. Les fonctionnalités suivantes peuvent ou non être activées lorsque vous acceptez cette catégorie. – Services de clavardage en direct- Regarder des vidéos en ligne-
Boutons de partage de médias sociaux- Connectez-vous à notre site Web avec les médias sociaux.
Publicité / cookies de suivi
Ces cookies sont mis en place par des partenaires publicitaires externes et sont utilisés pour le profilage et le suivi des données sur plusieurs sites Web. Si vous acceptez ces cookies, nous pouvons afficher nos publicités sur d’autres sites Web en fonction de votre profil d’utilisateur et de vos préférences. Ces cookies enregistrent également des données sur le nombre de visiteurs qui ont vu ou cliqué sur nos publicités afin d’optimiser vos campagnes publicitaires.
Comment puis-je désactiver ou supprimer les cookies?
Vous pouvez choisir de ne pas accepter tous les cookies sauf ceux qui sont nécessaires. Dans les paramètres du navigateur, vous pouvez modifier les paramètres pour vous assurer que les cookies seront bloqués. La plupart des navigateurs vous expliquent comment le faire dans la fonction d’aide. Cependant, si vous bloquez les cookies, il est possible que vous ne puissiez pas profiter de toutes les fonctionnalités techniques de notre site Web et cela peut avoir un impact négatif sur votre expérience utilisateur.
Consentement à l’utilisation de cookies.
Pour le bon fonctionnement de notre site Web, nous utilisons cookies. Afin d’obtenir votre consentement valide pour l’utilisation et le stockage de cookies dans le navigateur que vous utilisez pour accéder à notre site Web et pour documenter correctement ceci, nous utilisons une plateforme de gestion des consentements : CookieFirst.
Cette technologie est fournie par Digital Data Solutions BV, Plantage Middenlaan 42a, 1018 DH, Amsterdam, Pays-Bas. Site web : https://cookiefirst.com désigné sous le nom de CookieFirst.
Lorsque vous accédez à notre site web, une connexion est établie avec le serveur de CookieFirst pour nous donner la possibilité d’obtenir un consentement valide de votre part pour l’utilisation de certains cookies. CookieFirst stocke ensuite un cookie dans votre navigateur afin de pouvoir activer uniquement les cookies auxquels vous avez consenti et de le documenter correctement. Les données traitées sont stockées jusqu’à l’expiration de la période de stockage prédéfinie ou jusqu’à ce que vous demandiez la suppression des données. Certaines périodes de conservation légales obligatoires peuvent s’appliquer nonobstant ce qui précède.
CookieFirst est utilisé pour obtenir le consentement légalement requis pour l’utilisation de cookies. La base juridique pour cela est l’article 6, paragraphe 1, point c), du règlement général sur la protection des données (RGPD).
Accord de traitement des données
Nous avons conclu un accord de traitement des données avec CookieFirst. Il s’agit d’un contrat requis par la loi sur la protection des données, qui garantit que les données des visiteurs de notre site Web ne sont traitées que conformément à nos instructions et dans le respect du GDPR.
Fichiers journaux du serveur
Notre site web et CookieFirst collectent et stockent automatiquement des informations dans ce qu’on appelle des fichiers journaux de serveur, que votre navigateur nous transmet automatiquement. Les données suivantes sont collectées :
- Votre statut de consentement ou le retrait du consentement.
- Votre adresse IP anonyme
- Des informations sur votre navigateur
- Informations sur votre appareil
- La date et l’heure de votre visite sur notre site web
- L’url de la page web où vous avez enregistré ou mis à jour vos préférences de consentement
- L’emplacement approximatif de l’utilisateur qui a enregistré ses préférences en matière de consentement.
- un identifiant unique universel (UUID) du visiteur du site web qui a cliqué sur la bannière cookie.
ANNEXE 2 – PROCÉDURE DE NUMÉRISATION
La personne responsable de la numérisation :
1. Effectue la préparation physique des documents à numériser (enlève les trombones et les agrafes);
2. Numérise les documents et demeure présente tout au long du processus afin de protéger l’intégrité des données numérisées;
3. Effectue une vérification exhaustive des documents numérisés afin de s’assurer de la quantité, de la qualité et de l’intégrité des documents reproduits. Elle vérifie que :
- les documents numérisés sont conformes aux documents sources; • les données sont lisibles et de bonne qualité (sans perte de détail ou d’information);
- le recto verso a bien été fait, le cas échéant; si l’option recto verso a fait en sorte de laisser des pages blanches, elle élimine ces dernières;
- les documents ou les pages ont été numérisés dans le bon sens.
4. Vérifie que le nombre de documents ou de pages est exact (si des pages manquent, elle reprend la numérisation au complet);
5. Renomme les fichiers PDF selon la convention de nommage établie dans le CPE;
6. Enregistre le ou les fichiers PDF dans le logiciel approprié du CPE;
7. Consigne la numérisation dans le registre.
Techniques de destruction définitive de documents (voir)
ANNEXE 4 – REGISTRE DES INCIDENTS DE CONFIDENTIALITÉ
ANNEXE 6 – PROCÉDURE DE TRAITEMENT DES PLAINTES EN LIEN AVEC LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
Réception de la plainte
Toute personne qui souhaite formuler une plainte relative à l’application de la présente politique ou, plus généralement, à la protection de ses renseignements personnels par le CPE, doit le faire par écrit en s’adressant à la Responsable de la protection des renseignements personnels du CPE.
La personne devra indiquer son nom, ses coordonnées pour le joindre, incluant un numéro de téléphone, ainsi que l’objet et les motifs de sa plainte, en donnant suffisamment de détails pour que celle-ci puisse être évaluée par le CPE. Si la plainte formulée n’est pas suffisamment précise, le responsable de la protection des renseignements personnels peut requérir toute information additionnelle qu’il juge nécessaire pour pouvoir évaluer la plainte.
Traitement de la plainte
Le CPE s’engage à traiter toute plainte reçue de façon confidentielle.
La plainte est traitée dans un délai raisonnable. La Responsable de la protection des renseignements personnels doit évaluer la plainte et formuler une réponse motivée écrite à la personne plaignante.
Cette évaluation visera à déterminer si le traitement des renseignements personnels par le CPE est conforme à la présente politique et pratique en place au sein de l’organisation et à la législation ou réglementation applicable.
Dossier de plainte
Le CPE doit constituer un dossier distinct pour chacune des plaintes qui lui sont adressées en vertu de la présente procédure de traitement de plainte. Chaque dossier contient la plainte, l’analyse et la documentation à l’appui de son évaluation, ainsi que la réponse écrite envoyée à la personne plaignante.