Politique de confidentialité

Préambule

La présente politique est adoptée en application de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25), sanctionnée le 22 septembre 2021, modernisant ainsi l’encadrement applicable à la protection des renseignements personnels.

1. Objectifs

La présente politique vise à informer des procédures mises en place par l’Organisme de bassins versants des rivières du Loup et des Yamachiche (ci-après « l’Organisme ») à l’égard de la collecte, de l’utilisation, de la conservation, de la communication et de la destruction des renseignements personnels, ainsi que des droits des personnes visées par ceux-ci.

2. Portée

La présente politique s’applique à l’ensemble des membres du conseil d’administration et du personnel de l’Organisme, et à tous les niveaux hiérarchiques, notamment dans les lieux et contextes suivants :

  • Les lieux de travail
  • Tout autre endroit où les personnes doivent se trouver dans le cadre de leur emploi (ex. : réunions, formations, déplacements, activités sociales organisées par l’employeur)
  • Les communications par tout moyen technologique ou autre

Elle s’applique également à toute personne liée à l’Organisme par un contrat de service ou d’approvisionnement.
La présente politique s’applique également aux documents détenus par l’Organisme dans l’exercice de ses fonctions, qu’ils soient conservés sous la forme écrite, graphique, sonore, visuelle, informatisée ou autre.

3. Définitions

Renseignement personnel

Un renseignement est personnel lorsqu’il se rapporte à une personne physique et qu’il en permet, directement ou indirectement, l’identification. Le renseignement est caractérisé par le fait qu’il permet de faire connaître une information à quelqu’un, qu’il a un rapport avec une personne physique au sens de la loi et qu’il est susceptible de distinguer cette personne d’une autre. L’annexe 1 présente les principales catégories de renseignements personnels.

Responsable de la protection des renseignements personnels

Le responsable de la protection des renseignements personnels est la personne désignée par résolution par les membres du conseil d’administration de l’Organisme pour exercer les fonctions de responsable de l’accès à l’information et de la protection des renseignements personnels au sens de la Loi.

Incident de confidentialité

Un incident de confidentialité correspond à tout accès, utilisation ou communication non autorisés par la loi d’un renseignement personnel, de même qu’à la perte d’un renseignement personnel ou à toute autre atteinte à sa protection. Sans s’y limiter, un incident de confidentialité peut se produire lorsqu’un membre du conseil d’administration ou du personnel consulte un renseignement personnel sans autorisation, lorsqu’un membre du personnel communique des renseignements personnels au mauvais destinataire ou encore lorsque l’organisme est victime d’une cyberattaque : hameçonnage, rançongiciel, etc.1

Témoin de navigation

Le témoin de navigation (cookie) est un élément d’information qui est transmis par le serveur au navigateur lorsque l’internaute visite un site Web, et qui peut être récupéré par ce serveur lors de visites subséquentes2.

4. Responsable de l’application

Le responsable de la protection des renseignements personnels est responsable de l’application de la présente politique et de sa révision périodique.

La forme masculine utilisée dans la présente politique désigne aussi bien les femmes que les hommes. Le genre masculin est utilisé sans aucune discrimination et dans le seul but d’alléger le texte.

5. Collecte, conservation, utilisation et destruction des renseignements personnels

Collecte des renseignements personnels

L’Organisme ne recueille que les renseignements personnels qui sont nécessaires à l’exercice de sa mission et de ses mandats. Sans s’y limiter, ces renseignements peuvent être collectés via le site Web de l’Organisme, par l’intermédiaire de ses médias sociaux, la gestion de son infolettre, lors d’une communication de la part d’un membre du conseil d’administration ou de l’équipe interne, lors d’un appel de candidatures ou encore lors de la participation à une activité de l’Organisme (ex. : assemblée générale annuelle, activité éducative, formation, congrès, colloque). L’Organisme peut également collecter des informations de manière automatique grâce à l’utilisation de témoins de navigation (cookies).

Collecte des renseignements relatifs à l’utilisation de témoins de navigation et technologies similaires sur le site Web de l’Organisme

Le site Web de l’Organisme utilise des témoins de navigation (cookies) pour recueillir des informations sur l’utilisation faite par les visiteurs de son site Web. Les témoins de navigation (cookies) sont de petits fichiers texte qui sont stockés sur les ordinateurs ou appareils mobiles utilisés par les personnes qui visitent le site Web de l’Organisme.

L’Organisme utilise des témoins de navigation (cookies) pour améliorer l’expérience des utilisateurs de son site Web. L’Organisme utilise également des témoins de navigation (cookies) tiers, tels que Google Analytics, pour comprendre comment les visiteurs utilisent son site Web et pour aider l’Organisme à améliorer son contenu et sa stratégie de marketing numérique.

En acceptant la fenêtre contextuelle (popup) qui apparait lors de la consultation du site Web de l’Organisme, le visiteur consent à l’utilisation de témoins de navigation (cookies) conformément à sa politique de protection des renseignements personnels.

Les utilisateurs peuvent désactiver les témoins de navigation (cookies) en modifiant les paramètres de leur navigateur. Ils doivent toutefois être informés que la désactivation des témoins de navigation peut affecter certaines fonctionnalités du site Web de l’Organisme.

La liste des témoins de navigation utilisés et autres technologies similaires est rendue disponible sur une page spécifique du site Web de l’Organisme.

Conservation des renseignements personnels

L’Organisme ne conserve que les renseignements personnels qui sont nécessaires à l’exercice de sa mission et de ses mandats.

Utilisation des renseignements personnels

L’Organisme utilise les renseignements personnels récoltés pour communiquer avec les personnes visitant son site Web, ses médias sociaux et les abonnés à son infolettre, pour répondre aux demandes de renseignements et pour améliorer l’expérience utilisateur sur son site Web. L’Organisme ne vend aucun renseignement personnel à des tiers.

Les membres du conseil d’administration et du personnel de l’Organisme qui utilisent des renseignements personnels dans le cadre de l’exercice de leurs fonctions doivent :

  • Limiter l’utilisation qu’ils en font aux seules fins de l’exercice de leurs fonctions
  • S’assurer d’en préserver la confidentialité en toutes circonstances
  • Informer sans délai le responsable de la protection des renseignements personnels de toute situation où la confidentialité de ces renseignements pourrait avoir été compromise
  • Au terme de leur lien d’emploi à l’Organisme, ne conserver aucun renseignement personnel porté à leur connaissance dans le cadre de l’exercice de leurs fonctions et continuer d’en préserver la confidentialité

Destruction des renseignements personnels

L’Organisme détruit de façon sécuritaire les renseignements personnels en sa possession lorsque les fins pour lesquelles ils ont été recueillis sont accomplies.

6. Mesures de sécurité et de prévention

L’Organisme prend toutes les mesures raisonnables pour protéger les renseignements personnels dont il dispose en suivant les normes généralement acceptées en protection des renseignements personnels. Ces mesures, de nature physique, organisationnelle ou technologique, sont adaptées à la nature du renseignement personnel. Sans s’y limiter, l’Organisme met les mesures suivantes en place pour protéger les renseignements personnels dont il dispose :

  • Gestionnaires de mots de passe
  • Serveur interne sécurisé par un gestionnaire d’accès
  • Matériel informatique sécurisé par un gestionnaire d’accès
  • Matériel informatique sécurisé par une solution complète de protection, notamment contre les rançongiciels et autres logiciels malveillants
  • Pare-feu intégré au site Web de l’Organisme
  • Stockage de données personnelles sur des serveurs SSL
  • Armoires et classeurs barrés sous clé

Malgré les mesures mises en place, l’Organisme ne peut garantir la pleine sécurité des renseignements personnels dont il dispose. Les personnes qui transmettent des renseignements confidentiels dans le cadre de la présente politique le font à leurs propres risques.

7. Communication des renseignements personnels

L’Organisme ne peut communiquer un renseignement personnel à quiconque sans le consentement de la personne concernée à moins que ceci soit nécessaire pour l’application d’une loi. Lorsqu’une personne concernée par un renseignement personnel donne son consentement à l’Organisme pour sa divulgation, ce renseignement cesse d’être confidentiel, et ce, aux seules fins visées par la demande de consentement.

8. Droits d’accès et de rectification

Les personnes concernées par les renseignements personnels détenus par l’Organisme ont le droit d’être informées de l’existence de ces renseignements les concernant et d’en recevoir communication. De même, une personne concernée par un renseignement personnel inexact ou incomplet peut en exiger la rectification.

Toute demande d’accès ou de rectification doit être transmise au responsable de la protection des renseignements personnels par écrit à l’adresse courriel direction@obvrly.ca ou par la poste aux coordonnées suivantes :

Organisme de bassins versants des rivières du Loup et des Yamachiche
À l’attention du responsable de la protection des renseignements personnels
780, rue Saint-Joseph
Saint-Barnabé QC  G0X 2K0

L’Organisme s’engage à répondre à cette demande d’accès, de rectification ou d’information dans les 30 jours suivant sa réception.

Tout membre du conseil d’administration ou du personnel qui reçoit une demande d’une telle nature doit la soumettre au responsable de la protection des renseignements personnels.

9. Incident de confidentialité

En cas d’incident de confidentialité, l’Organisme s’engage à :

  • Prendre des mesures pour diminuer les risques et éviter de nouveaux incidents
  • Évaluer si l’incident présente un risque de préjudice sérieux (annexe 2)
  • Aviser la Commission d’accès à l’information du Québec, en cas de risque de préjudice sérieux, à l’aide du formulaire prévu à cet effet
  • Aviser les personnes dont les renseignements sont concernés
  • Aviser les personnes susceptibles de prévenir ou de diminuer le risque de préjudice sérieux
  • Tenir un registre des incidents de confidentialité

10. Responsable de la protection des renseignements personnels

Pierre-Marc Constantin
Directeur général
direction@obvrly.ca
819-264-2033, poste 2221

11. Modifications de la politique

Des modifications à cette politique de confidentialité peuvent être apportées à tout moment. Pour ne pas manquer une mise à jour, nous vous invitons à consulter régulièrement cette page.

Mise à jour : 18 septembre 2023

Annexes

Annexe 1 – Principales catégories de renseignements personnels3

Renseignements d’identification
Adresse, numéro de téléphone, sexe, âge, numéro d’assurance sociale, numéro d’assurance maladie, identifiant numérique, etc.

Renseignements de santé
Dossier médical, diagnostic, consultation d’une professionnelle ou d’un professionnel de la santé, médicament, ordonnance, renseignements sur la cause d’un décès, etc.

Renseignements financiers
Revenu d’une personne, renseignements relatifs à l’impôt, numéro de compte bancaire, biens possédés, numéros de cartes de crédit, etc.

Renseignements relatifs au travail
Dossier disciplinaire, motifs d’absence, dates de vacances, salaire, évaluation du rendement, heures d’entrée et de sortie liées au lieu de travail, etc.

Renseignements scolaires et relatifs à la formation
Inscription à des cours, choix de cours, résultats scolaires, diplômes, curriculum vitæ, etc.

Renseignements relatifs à la situation sociale ou familiale
Documents qui attestent l’état civil, le fait qu’une personne ait ou non des enfants ou qu’elle reçoive des prestations d’aide sociale ou de chômage, etc.

Renseignements relatifs à l’empreinte numérique
Renseignements techniques, comme des détails concernant les visites sur le site Web de l’Organisme, l’interaction avec le contenu en ligne, ou des renseignements recueillis au moyen de témoins et d’autres technologies de suivi, etc.

Annexe 2 – Schéma sur le traitement d’un incident de confidentialité impliquant un renseignement personnel

Source : GOUVERNEMENT DU QUÉBEC. (2023, 7 septembre). Schéma sur le traitement d’un incident de confidentialité impliquant un renseignement personnel.
https://cdn-contenu.quebec.ca/cdn-contenu/adm/min/conseil-executif/publications-adm/sairid/schema-incident-confidentialite-renseignement-personnel.pdf

  1. COMMISSION D’ACCÈS À L’INFORMATION DU QUÉBEC. (2023, 7 septembre). Incident de confidentialité impliquant des renseignements personnels.
    https://www.cai.gouv.qc.ca/incident-de-confidentialite-impliquant-des-renseignements-personnels/
  2. OFFICE QUÉBÉCOIS DE LA LANGUE FRANÇAISE. (2015). Témoin. Dans Grand dictionnaire terminologique. Office québécois de la langue française.
    https://vitrinelinguistique.oqlf.gouv.qc.ca/fiche-gdt/fiche/2075216/temoin
  3. GOUVERNEMENT DU QUÉBEC. (2023, 30 septembre). Présentation des concepts clés liés aux renseignements personnels.
    https://www.quebec.ca/gouvernement/travailler-gouvernement/travailler-fonction-publique/services-employes-etat/conformite/protection-des-renseignements-personnels/definitions-concepts