Protection des renseignements personnels

Taille du texte:

Dans le cadre de sa mission, le Cégep de Sept-Îles, incluant ses centres de recherche, traite des renseignements personnels, notamment ceux de la population étudiante, des membres du personnel et des usagères et usagers de ses services. Le Cégep reconnaît l’importance de respecter la vie privée de ces personnes et d’assurer la protection de leurs renseignements personnels.

Il est important que tous les membres de la communauté collégiale, de même que ses partenaires, comprennent et respectent les principes de protection des renseignements personnels inhérents à l’exercice de leurs fonctions ou découlant du contrat les liant au Cégep.

Le Cégep a développé divers outils lui permettant de respecter ses obligations légales, de sensibiliser les membres de sa communauté et d’appliquer de bonnes pratiques en matière de protection des renseignements personnels.

Qu’est-ce qu’un renseignement personnel?

Un renseignement personnel se définit comme toute information concernant une personne physique et permettant de l’identifier directement (avec cette seule information) ou indirectement (par recoupement avec d’autres informations), comme une date de naissance, un numéro d’assurance sociale ou encore des renseignements concernant la santé d’une personne.

Un renseignement personnel est sensible lorsque, de par sa nature, notamment médicale, biométrique ou autrement intime, ou en raison du contexte de son utilisation ou de sa communication, suscite un haut degré d’attente raisonnable en matière de vie privée.

Pour en savoir plus à ce sujet, nous vous invitons à consulter la page Web du gouvernement du Québec qui traite des concepts liés aux renseignements personnels.

Règles de gouvernance en matière de protection des renseignements personnels

Afin de s’acquitter de ses obligations en la matière, le Cégep a adopté diverses règles de gouvernance en matière de protection des renseignements personnels, dont la Directive en matière de protection des renseignements personnels, laquelle énonce les principes applicables tout au long du cycle de vie (collecte, utilisation, communication, conservation, destruction) des renseignements personnels.

L’adoption de règles encadrant la gouvernance des renseignements personnels détenus par le Cégep permet aux membres de la communauté collégiale et ses partenaires de connaître et de comprendre les exigences légales et les principes de protection des renseignements personnels qui sont inhérents à l’exercice de leurs fonctions.

Directive en matière de protection des renseignements personnels

Déposer une plainte

Toute personne concernée, ou la personne qui la représente, peut transmettre une plainte à la personne responsable de l’accès aux documents et de la protection des renseignements personnels lorsqu’elle est d’avis que les obligations du Cégep en matière de protection des renseignements personnels n’ont pas été respectées à son égard, en remplissant le formulaire prévu à cet effet. Une plainte en matière de protection des renseignements personnels peut porter sur la cueillette, la conservation, l’utilisation, la communication ou la destruction des renseignements personnels.

Dans le cas où la plainte met en cause la conduite de la personne responsable de l’accès aux documents et de la protection des renseignements personnels, celle-ci doit être adressée à la directrice générale ou au directeur général du Cégep. Le cas échéant, veuillez écrire à cette adresse courriel : dac@cegepsi.ca.

Signaler un incident de confidentialité

La Directive en matière de protection des renseignements personnels du Cégep (disponible sur le site Internet, section Documentation, sous l’onglet « Protection des renseignements personnels ») prévoit l’obligation, pour toutes les personnes qui traitent des renseignements personnels détenus par le Cégep, de signaler à la personne responsable de l’accès aux documents et de la protection des renseignements personnels tout incident de confidentialité (potentiel ou avéré) ou toute situation pouvant porter atteinte aux renseignements personnels, en remplissant le formulaire prévu à cet effet.

Qu’est-ce qu’un incident de confidentialité?

Un incident de confidentialité correspond à tout accès, utilisation ou communication non autorisés par la loi d’un renseignement personnel, de même qu’à la perte d’un renseignement personnel ou à toute autre atteinte à sa protection. L’incident peut survenir à différentes étapes du cycle de vie de l’information, que ce soit la collecte, l’utilisation, la communication, la conservation ou la destruction du renseignement personnel. Il peut être intentionnel ou non.

Pour que l’événement soit un incident de confidentialité, il faut que les informations visées constituent des renseignements personnels confidentiels. Un événement qui aurait un impact sur des informations confidentielles peut être grave, mais ne déclenche pas les obligations de la présente Directive s’il n’implique pas de renseignements personnels.

Voici quelques exemples d’incidents de confidentialité :

le fait, pour le Cégep, d’être victime d’un hameçonnage ou d’un rançongiciel et que des renseignements personnels soient volés;
un ou une pirate informatique qui s’infiltre dans un système;
le fait que des documents papier soient volés ou perdus;
le fait de perdre ou de se faire voler un ordinateur portable ou une tablette du Cégep ou tout autre support amovible non chiffré qui contient des renseignements personnels;
un ou une membre du personnel qui consulte une base de données (telle que Clara) dans le cadre de son travail, télécharge une copie de certains dossiers de membres du personnel et les envoie à son adresse courriel personnelle;
le fait de modifier des données dans une base de données en vue de défavoriser ou de favoriser une personne;
le fait de consulter le dossier d’une personne, sans que ce soit nécessaire dans le cadre de son travail et sans autorisation, quel que soit le support (numérique, papier);
le fait d’envoyer une communication (courriel, courrier ou autre) contenant des renseignements personnels au mauvais destinataire.

Il est important de distinguer un événement de sécurité de l’information (ou de cybersécurité) d’un incident de confidentialité, car chacun de ces événements entraîne des obligations distinctes. Un événement de sécurité de l’information correspond à « toute forme d’atteinte, présente ou appréhendée, telle une cyberattaque ou une menace à la confidentialité, à l’intégrité et à la disponibilité d’une information ou d’une ressource informationnelle » sous la responsabilité du Cégep ou d’une personne agissant pour ce dernier. Un événement de sécurité de l’information peut avoir lieu même en l’absence de renseignements personnels, alors qu’un incident de confidentialité implique nécessairement des renseignements personnels.

Accéder à vos renseignements personnels

Toute personne qui en fait la demande a droit d’accès aux renseignements personnels la concernant détenus par le Cégep, sous réserve des exceptions prévues par la Loi sur l’accès.

Une demande de communication ne peut être considérée que si elle est faite par écrit par une personne physique justifiant de son identité à titre de personne concernée, à titre de représentante ou de représentant, d’héritière ou d’héritier ou de successible de cette dernière, à titre de liquidatrice ou de liquidateur de la succession, à titre de bénéficiaire d’assurance vie ou d’indemnité de décès, à titre de titulaire de l’autorité parentale même si l’enfant mineur ou mineure est décédé ou décédée, ou à titre de conjointe ou de conjoint ou de proche parent d’une personne décédée.

Les demandes de communication de renseignements personnels doivent être adressées à la personne responsable de l’accès. Voici ses coordonnées :

Francis Desbiens

Directeur des affaires corporatives

Responsable de l’accès aux documents et de la protection des renseignements personnels

Cégep de Sept-Îles

175, rue De La Vérendrye

Sept-Îles (Québec) G44R 5B7

418 962-9848, poste 238

dac@cegepsi.ca

Des modèles de demandes d’accès sont disponibles sur le site de la Commission d’accès à l’information.

La personne responsable de l’accès doit donner à la personne qui lui a fait une demande écrite un avis de la date de la réception de sa demande. La personne responsable de l’accès doit répondre au plus tard dans les vingt (20) jours qui suivent la date de la réception d’une demande. Si le traitement de la demande dans ce délai ne lui paraît pas possible sans nuire au déroulement normal des activités du Cégep, la personne responsable de l’accès peut le prolonger d’une période n’excédant pas dix (10) jours en donnant un avis à cet effet à la personne requérante avant l’expiration du délai de vingt (20) jours.

Pour plus d’informations sur une demande d’accès aux renseignements personnels, les personnes intéressées peuvent consulter le site suivant : https://www.cai.gouv.qc.ca/citoyens/acces-et-protection-de-vos-renseignements-personnels/acceder-a-vos-renseignements-personnels/.

Accéder aux documents administratifs du Cégep

Toute personne qui en fait la demande a droit d’accès aux documents d’un organisme public, sous réserve des exceptions prévues par la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (ci après « Loi sur l’accès »). La Loi sur l’accès s’applique aux documents détenus par le Cégep dans l’exercice de ses fonctions, que leur conservation soit assurée par le Cégep lui-même ou par un tiers. Elle s’applique quelle que soit la forme de ces documents : écrite, graphique, sonore, visuelle, informatisée ou autre. Le droit d’accès aux documents ne s’étend pas aux notes personnelles inscrites sur un document ni aux esquisses, ébauches, brouillons, notes préparatoires ou autres documents de même nature.

En tant qu’organisme public, le Cégep de Sept-Îles met à la disposition du public de nombreux documents sur son site Web, dont, entre autres :

son organigramme;
ses règlements et politiques;
la composition de son conseil d’administration;
son Plan stratégique.