Politique de confidentialité

POLITIQUE DE GOUVERNANCE SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
2023-2024

Dernière mise à jour : 28 septembre 2023
Le genre masculin est utilisé dans le seul but d’alléger le texte.

TABLE DES MATIÈRES
PRÉAMBULE 3

  1. OBJECTIFS 3
  2. RENSEIGNEMENTS PERSONNELS 3
  3. COLLECTE 5
  4. UTILISATION ET COMMUNICATION 5
  5. CONSERVATION et DESTRUCTION DES DONNÉES 6
  6. SÉCURITÉ/DESTRUCTION DES DONNÉES 6
  7. DEMANDE D’ACCÈS OU DE RECTIFICATION 7
  8. INCIDENTS DE CONFIDENTIALITÉ 7
  9. PROCESSUS DE TRAITEMENT DES PLAINTES EN LIEN AVEC LA PROTECTION DES RENSEIGNEMENTS PERSONNELS 8
  10. COORDONNÉES DE LA PERSONNE RESPONSABLE DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS 9
  11. ENTRÉE EN VIGUEUR DE LA POLITIQUE 9
    PRÉAMBULE
    La Politique de gouvernance sur la protection des renseignements personnels (ci-après « la Politique») est adoptée en application de la loi sur la protection des renseignements personnels.
    Dans le cadre de ses activités, Le Diplôme avant la Médaille (ci-après « DAM ») doit collecter, utiliser et conserver des renseignements personnels.

Cette Politique s’applique à l’organisme, ce qui inclut notamment les membres de son personnel, les membres du conseil d’administration, les stagiaires et bénévoles, le cas échéant, ainsi qu’à toute personne qui, autrement, fournit des services pour le compte de l’organisme.
Elle s’applique pour tous les renseignements personnels collectés, utilisés et conservés par DAM, et ce, peu importe leur forme. La Politique vise les renseignements personnels contenus dans tous les types de documents physiques ou numériques, au sens large, que leur forme soit écrite, graphique, sonore, visuelle, informatisée ou autre. Un renseignement personnel est défini comme étant tout renseignement qui concerne une personne physique et qui permet, directement ou indirectement, de l’identifier.

  1. OBJECTIFS
    La présente Politique décrit les normes de collecte, d’utilisation, de communication et de conservation des renseignements personnels afin d’assurer la protection de ces renseignements. Elle explique également les rôles et les responsabilités des membres du personnel de DAM tout au long du cycle de vie de ces renseignements et un processus de traitement des plaintes relatives à la protection de ceux-ci.
  2. RENSEIGNEMENTS PERSONNELS
    Dans le cadre de ses activités, DAM peut recueillir et traiter différents types de renseignements personnels, y compris :

Renseignements personnels recueillis pour les tuteurs bénévoles
• Renseignements nominatifs (prénom, nom, numéro de téléphone, adresse postale, adresse de courrier électronique).
• Numéros et images de pièces d’identité (pour la validation des antécédents judiciaires);
• Date de naissance (seulement pour ceux désirant devenir membres);
• Nom d’utilisateur et mot de passe encodé (accès au portail);
• Enregistrement des séances de tutorat en ligne .

Renseignements personnels recueillis pour les entraîneurs
• Renseignements nominatifs (prénom, nom, numéro de téléphone, adresse de courrier électronique);
• Date de naissance (seulement pour ceux désirant devenir membres);
• Nom d’utilisateur et mot de passe encodé (accès au portail), le cas échéant.

Renseignements personnels recueillis pour les enseignants et partenaires communautaires
• Renseignements nominatifs (prénom, nom et adresse de courrier électronique).
• Nom d’utilisateur et mot de passe encodé (accès au portail).

Renseignements personnels recueillis pour les élèves-athlètes
• Renseignements nominatifs (prénom, nom, numéro de téléphone d’un parent, adresse postale, adresse de courrier électronique d’un parent, pays de naissance de l’élève-athlète et/ou des parents si celui-ci n’est pas le Canada );
• Dossier scolaire (numéro de fiche, groupe-classe, année scolaire, bulletins, information sur le redoublement ou la diplomation, comportements en classe, présence aux récupérations, besoins particuliers/diagnostiques);
• Photos ou vidéos;
• Enregistrement des séances de tutorat en ligne .

Renseignements personnels recueillis pour les donateurs
• Renseignements nominatifs (prénom, nom, numéro de téléphone, adresse postale, adresse de courrier électronique);
• Information sur une carte de crédit;
• Information bancaire pour les donateurs qui font des dons mensuellement par l’intermédiaire de paiements bancaires automatiques.

Renseignements sur l’utilisation du site web (https://diplomeavantlamedaille.org) et/ou du portail de l’organisme (https://portail.diplomeavantlamedaille.org/ )
• Renseignements recueillis par le biais de témoins de connexion (cookies);
• Parcours et historique de navigation sur le site web et le portail;
• Adresses de protocole Internet (IP);
• Renseignements relatifs à l’appareil de l’utilisateur, système d’exploitation ou navigation.

  1. COLLECTE
    La collecte des renseignements personnels par DAM s’effectue auprès des personnes concernées et/ou des entités qui détiennent les informations (avec le consentement écrit des personnes concernées). Le Diplôme avant la Médaille informe la personne concernée et obtient son consentement pour toute collecte, utilisation ou communication de renseignements personnels la concernant, sous réserve de certaines exceptions prévues par la Loi. Le consentement doit être manifeste, libre, éclairé, donné à des fins spécifiques et ne doit pas être obtenu par un subterfuge. Voici comment DAM recueille les diverses informations :

• Le tuteur bénévole ou l’entraîneur remplit le formulaire d’inscription pour devenir tuteur bénévole ou entraîneur;
• Le tuteur bénévole envoie les informations pour la validation des antécédents judiciaires;
• Le tuteur bénévole ou l’entraîneur devient membre de DAM;
• Les parents de l’élève-athlète remplissent les autorisations parentales de DAM et l’école attitrée envoie de l’information sur l’élève-athlète;
• L’élève-athlète remplit le formulaire d’adhésion DAM avec le coordonnateur des interventions;
• Le tuteur bénévole et l’élève-athlète font une séance de tutorat en ligne, si la formule est privilégiée;
• Le tuteur bénévole, l’entraîneur, le partenaire communautaire ou l’enseignant établit une connexion au portail DAM;
• Le donateur fait un don;
• Une personne pose une question ou un commentaire via le site web de DAM;
• Une personne consulte le site internet de l’organisme.

  1. UTILISATION ET COMMUNICATION
    DAM s’engage à utiliser et communiquer les renseignements personnels en sa possession uniquement aux fins pour lesquelles ils ont été recueillis et pour lesquels la loi l’autorise à les utiliser. L’organisme peut toutefois les recueillir, les utiliser ou les divulguer sans le consentement de la personne visée lorsque cela est permis ou exigé par la loi.
    Les renseignements personnels peuvent être utilisés et communiqués selon les façons suivantes :
    • Communiquer avec les parties prenantes par écrit ou de vive voix;
    • Permettre d’offrir un service adapté aux préférences des parties prenantes;
    • Permettre d’offrir un service adapté selon les besoins réels de l’élève-athlète;
    • Valider les antécédents judiciaires auprès du service de police de la ville de Québec;
    • Permettre l’identification et l’authentification dans le système informatique;
    • Permettre de tenir des statistiques sur les parties prenantes;
    • Permettre de traiter les dons et de préparer les reçus d’impôt en conformité avec les lois fiscales;
    • Permettre d’effectuer le suivi nécessaire en regard des donations ponctuelles;
    • Permettre de reconnaître la contribution des donateurs dans les différents véhicules de communication;
    • Répondre aux questions envoyées sur le site web;
    • Assurer le bon fonctionnement du site web et en faciliter la navigation;
    • Analyser les données de navigation (Google Analytics);
    • Mesurer la performance des campagnes publicitaires sur le web (partage avec Meta (Facebook pixel).
  2. CONSERVATION ET DESTRUCTION DES DONNÉES
    Les renseignements personnels ne seront utilisés que pour les fins pour lesquels ils ont été recueillis et sont conservés de manière confidentielle afin de réaliser la compilation de données nécessaire aux statistiques et aux interventions adéquates. Selon la nature des renseignements personnels, ceux-ci peuvent être conservés aux bureaux de DAM, dans divers systèmes informatiques de l’organisme ou de ses fournisseurs de services.
    La destruction des documents contenant des renseignements personnels ou confidentiels est faite de façon sécuritaire. DAM utilise des techniques de destruction définitive de documents adaptées au niveau de confidentialité du document à détruire.
    Pour les documents papier (original et copie), DAM utilise une déchiqueteuse et les documents devant être conservés le sont dans un local barré.
    Pour les documents numériques qui n’ont plus besoin d’être utilisés, DAM les supprime définitivement du serveur informatique.
    Pour les documents numériques qui doivent être conservés, DAM s’assure de donner accès seulement aux personnes absolument concernées par ces documents pour une période nécessaire au fonctionnement (équipe de direction ou de gestion).
  3. SÉCURITÉ/DESTRUCTION DES DONNÉES
    La sécurité et la protection des renseignements personnels sont importantes pour DAM. L’organisme met en place des mesures de sécurité afin que les renseignements personnels demeurent strictement confidentiels et soient protégés contre la perte ou le vol et contre tout accès, communication, copie, utilisation ou modification non autorisés.
    DAM assure donc la protection des renseignements personnels en tout temps, par des mesures de sécurité appropriées (matérielles, organisationnelles ou technologiques). Les informations numériques sont conservées sur le serveur informatique sécurisé de DAM et dans la base de données sécurisée, tous localisés au Canada. Autant pour les accès à ses serveurs qu’à son logiciel de gestion des données, DAM a mis en place l’authentification multi-facteur (MFA) et sécurise ces composantes informatiques (postes de travail, serveurs, réseaux) selon les meilleures pratiques du marché, en plus des mots de passe pour l’accès à toute l’information. DAM met aussi en place le principe du moindre privilège qui consiste à octroyer aux utilisateurs des droits d’accès (ou des permissions) limités en fonction des tâches qu’ils doivent réaliser dans leur travail. DAM limite donc l’accès des membres du personnel et du conseil d’administration aux seuls renseignements personnels et connaissances de nature personnelle qui sont nécessaires à l’exercice de leur fonction.
  4. DEMANDE D’ACCÈS OU DE RECTIFICATION
    Toute personne peut faire une demande d’accès ou de rectification concernant les renseignements personnels détenus par DAM.
    La personne concernée doit soumettre une demande écrite à cet effet à la Responsable de la protection des renseignements personnels de DAM.
    Sous réserve de certaines restrictions légales, les personnes concernées peuvent demander l’accès à leurs renseignements personnels détenus par DAM et en demander leur correction dans le cas où ils sont inexacts, incomplets ou équivoques.
    La Responsable de la protection des renseignements personnels de DAM doit répondre par écrit à ces demandes dans les 30 jours de la date de réception.
  5. INCIDENTS DE CONFIDENTIALITÉ
    Un incident de confidentialité correspond à un accès non autorisé par la loi à un renseignement personnel, à son utilisation ou à sa communication, de même que sa perte ou toute autre forme d’atteinte à sa protection.
    DAM, s’il a des motifs de croire qu’il s’est produit un incident de confidentialité impliquant un renseignement personnel qu’il détient, prend les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent.
    En cas d’incident de confidentialité, DAM procède à l’évaluation du préjudice. Cette évaluation tient compte notamment des éléments suivants : la sensibilité des renseignements personnels concernés; les utilisations malveillantes possibles des renseignements et les conséquences appréhendées de l’utilisation des renseignements et la probabilité qu’ils soient utilisés à des fins préjudiciables.
    Quand l’incident présente le risque qu’un préjudice sérieux soit causé aux personnes dont les renseignements sont concernés, DAM avise par écrit :
    • La Commission d’accès à l’information via le formulaire d’avis prescrit ;
    • La ou les personnes concernées. L’avis doit permettre de la renseigner adéquatement sur la portée et les conséquences de l’incident. Cet avis doit contenir :
    o Une description des renseignements personnels visés par l’incident. Si cette information n’est pas connue, l’organisation doit communiquer la raison justifiant l’impossibilité de fournir cette description.
    o Une brève description des circonstances de l’incident;
    o La date ou la période où l’incident a eu lieu, ou une approximation de cette période si elle n’est pas connue;
    o Une brève description des mesures prises ou envisagées pour diminuer les risques qu’un préjudice soit causé à la suite de l’incident;
    o Les mesures proposées à la personne concernée afin de diminuer le risque qu’un préjudice lui soit causé ou d’atténuer celui-ci;
    o Les coordonnées d’une personne ou d’un service avec qui la personne concernée peut communiquer pour obtenir davantage d’informations au sujet de l’incident.
    DAM tient un registre des incidents de confidentialité.
    Le registre collige l’ensemble des incidents de confidentialité impliquant un renseignement personnel dont ceux ne présentant pas de risque de préjudice sérieux et ceux présentant un risque de préjudice sérieux.
    Les renseignements contenus au registre des incidents de confidentialité sont tenus à jour et conservés pendant une période minimale de cinq (5) ans après la date ou la période au cours de laquelle DAM a pris connaissance de l’incident.
  6. PROCESSUS DE TRAITEMENT DES PLAINTES EN LIEN AVEC LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
    DAM donne la possibilité de porter plainte en cas de non-respect des principes relatifs à la protection des renseignements personnels, et ce, en s’adressant à la personne responsable de la protection des renseignements personnels. Le processus de traitement de la plainte est décrit ci-bas.
    Réception de la plainte
    Toute personne qui souhaite formuler une plainte relative à l’application de la présente politique ou, plus généralement, à la protection de ses renseignements personnels par DAM, doit le faire par écrit en s’adressant à la Responsable de la protection des renseignements personnels de DAM.
    La personne devra indiquer son nom, ses coordonnées pour la joindre, incluant un numéro de téléphone, ainsi que l’objet et les motifs de sa plainte, en donnant suffisamment de détails pour que celle-ci puisse être évaluée par DAM. Si la plainte formulée n’est pas suffisamment précise, le responsable de la protection des renseignements personnels peut requérir toute information additionnelle qu’il juge nécessaire pour pouvoir évaluer la plainte.
    Traitement de la plainte
    DAM s’engage à traiter toute plainte reçue de façon confidentielle.
    La plainte est traitée dans un délai raisonnable. La Responsable de la protection des renseignements personnels doit évaluer la plainte et formuler une réponse motivée écrite à la personne plaignante.
    Cette évaluation visera à déterminer si le traitement des renseignements personnels par DAM est conforme à la présente politique et pratique en place au sein de l’organisation et à la législation ou réglementation applicable.
    Dossier de plainte
    DAM doit constituer un dossier distinct pour chacune des plaintes qui lui sont adressées en vertu de la présente procédure de traitement de plainte. Chaque dossier contient la plainte, l’analyse et la documentation à l’appui de son évaluation, ainsi que la réponse écrite envoyée à la personne plaignante.
  7. COORDONNÉES DE LA PERSONNE RESPONSABLE DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
    Il est également possible de communiquer avec la Responsable de la protection des renseignements personnels de DAM pour toute question en lien avec l’application de la présente Politique en matière de protection des renseignements personnels.
    Pour joindre la responsable de la protection des renseignements personnels :
    Le Diplôme avant la Médaille
    615 boulevard Pierre-Bertrand, bureau 240
    Québec, QC, G1M 3J3
    Laurie Bourgault
    laurie.b@diplomeavantlamedaille.org
    418-431-0115
  8. ENTRÉE EN VIGUEUR DE LA POLITIQUE
    La Politique entre en vigueur le 22 septembre 2023.
    La Politique a été approuvée par la Responsable de la protection des renseignements personnels et par le conseil d’administration.
    S’il modifie la présente Politique, DAM s’engage à rendre disponible la Politique tel que modifiée.

Archives

Aucune archive à afficher.

Catégories

  • Aucune catégorie