Guide d’accompagnement destiné aux syndicats et associations de la CSD pour se conformer aux obligations de la Loi 25

Tous les syndicats doivent nommer une personne responsable de la protection des renseignements personnels (si aucune personne n’est nommée, c’est le président ou la présidente qui le sera d’office).

La personne ayant la plus haute autorité dans le syndicat, par exemple son président, est par défaut responsable de la protection des renseignements personnels. Elle exerce cette fonction en assurant le respect et la mise en œuvre de la Loi sur le privé.

Cette fonction peut cependant être déléguée par écrit, en tout ou en partie, à une personne en mesure d’assumer efficacement ce rôle. Dans ce cas, la Commission recommande de désigner une personne ayant les compétences requises et un pouvoir décisionnel important. Cela peut, par exemple, être la personne qui gère le site internet ou les réseaux sociaux, ou la personne qui a la responsabilité de conserver les informations des membres.

La personne ayant la plus haute autorité doit appuyer la personne à qui les fonctions sont déléguées. Pour ce faire, elle doit, entre autres :

• Lui fournir les ressources humaines, techniques et financières nécessaires pour assumer pleinement ses fonctions.
• Demeurer imputable quant au respect et à la mise en œuvre de la Loi dans son entreprise, même en cas de délégation. Pour en savoir plus.

Si vous n’avez pas de site Web, vous devez communiquer l’information par tout autre moyen accessible publiquement (sur le babillard du syndicat, un document en ligne, la page Facebook du syndicat, etc.).

Afin de protéger adéquatement les renseignements personnels que détient et collecte votre syndicat, l’une des premières tâches à remplir est de faire l’inventaire de ces renseignements. Pour ce faire, un gabarit est disponible.

De plus, il est nécessaire de faire un plan de classification, c’est-à-dire de mettre dans un document l’arborescence dans lesquels sont classés les renseignements personnels.

L’utilisation d’un plan de classification offre plusieurs avantages et permet notamment d’atteindre les objectifs suivants :

• Accélérer le classement des dossiers, quel que soit leur nature ou leur support ;
• Favoriser l’accès à l’information en accélérant l’identification et le repérage des documents et des informations qu’ils contiennent ;
• Favoriser la prise de décisions et la mise en œuvre d’actions de manière plus rapide et plus efficace ;
• Accroître la sécurité des documents, notamment en protégeant les données à caractère personnel qu’ils contiennent ;
• Diminuer les conséquences de la mobilité du personnel en permettant la continuité des opérations ;
• Accroître l’efficacité de l’organisation dans l’accomplissement de ses activités. (En savoir plus)

Nous mettons à votre disposition un modèle, mais il est nécessaire de l’adapter à la réalité de votre syndicat et à la quantité de renseignements personnels différents que vous possédez. Vous trouverez l’information nécessaire dans le document intitulé « Plan de classification ».

Il est possible que votre syndicat ait déjà une classification de ses dossiers. Ce sera tout simplement l’occasion de s’assurer que votre classification est à jour et efficace.

1. Faire l’inventaire des renseignements personnels détenus par le syndicat ;
2. Produire ou posséder un plan de classification.

Une fois que nous connaissons les données que nous possédons dans le syndicat, il est nécessaire de mettre à jour, ou de rédiger une politique. Le document doit, selon la loi, comporter plusieurs éléments. Pour vous accompagner dans la rédaction ou la mise à jour de la politique, nous vous proposons un document préparé par mesprocédures.ca, adapté par la CSD, et intitulé « Procédures_internes ». Il y a trois courtes parties surlignées en jaune que vous devrez remplir pour finaliser la politique et éventuellement l’adopter.

Si votre syndicat possède un site Web, vous devez mettre en ligne et bien en vue (de préférence avec un onglet spécifique lié à la confidentialité ou à la protection des renseignements personnels) la politique de collecte de renseignements personnels qu’effectue votre site Web, et ce, dans un langage clair. Dans le document intitulé « Web politique de confidentialité », vous trouverez des sections qui visent à couvrir les différentes méthodes de collecte de données sur un site web.

Selon les pratiques de votre syndicat, vous pourrez choisir les sections qui concordent avec vos manières de faire et les mettre sur votre site. Vous devrez alors vous assurer que le site de votre syndicat soit équipé d’une fenêtre surgissante (« Pop-up »).

1. Pour tous les syndicats, avoir une politique interne de protection des renseignements personnels ;
2. Pour les syndicats qui possèdent des sites internet, mettre en ligne la politique de collecte de renseignements personnels dans un langage clair et facilement accessible sur le site du syndicat et vous assurer que lorsqu’une personne arrive sur le site de votre syndicat, il y ait une fenêtre surgissante (« Pop-up »).

Peu importe le niveau de sécurité implanté pour protéger les renseignements personnels que l’on met en place, il demeure toujours la possibilité d’un incident de confidentialité. Cet incident peut provenir de l’interne (une personne à l’emploi du syndicat qui commet une erreur, sans être malveillante) ou externe (pirates informatiques). Criminel ou non, il faut avoir un plan pour faire face à l’incident. Ce plan doit être mis en place avant qu’un incident se produise.

Vous trouverez dans le document « Plan d’action pour un incident de confidentialité », un canevas d’une politique et de bonnes pratiques devant être mises en place advenant un tel incident.

De plus, il est important que ce document soit disponible et compris par toutes les personnes du syndicat qui auront un rôle à jouer.

Advenant un incident, évidemment, la première chose à faire est d’appliquer le plan d’action du syndicat, ce qui sécurisera les renseignements personnels et éliminera la source de l’incident.

Cependant, avec la Loi 25, il y a une obligation de tenir un registre d’incident de confidentialité et de déclarer, au besoin, l’incident à la commission d’accès à l’information (CAI). Nous vous fournissons un gabarit (document intitulé « Gabarit de registre des incidents de confidentialité ») que vous pouvez utiliser intégralement [ou le modifier pour votre réalité] comme votre futur registre.

De plus, pour faciliter les mesures à prendre et les déclarations à faire à la CAI, il faut déterminer le niveau de préjudice potentiel d’un incident de confidentialité et l’inscrire dans le registre.

Vous aurez une série de questions pour vous accompagner à déterminer le niveau de préjudice dans le document « Proposition de questionnaire pour déterminer le niveau de préjudice d’un IC ».

La Loi 25 oblige tout le monde à posséder une évaluation des facteurs relatifs à la vie privée lorsqu’un nouveau projet est mis en place, mais également s’il y a une modification dans la manière de collecter les renseignements personnels ou encore de les conserver. C’est pour cette raison que la CSD met à votre disposition un document sous forme de questionnaire que vous pourrez utiliser si cette situation se produit. Le document s’intitule « Évaluation des facteurs relatifs à la vie privée ».

Avec un tiers au Québec il faut s’assurer que le contrat que vous avez avec une entreprise comporte les éléments suivants :

• Les fins auxquelles ces renseignements sont recueillis;
• Les moyens par lesquels les renseignements sont recueillis;
• Les droits d’accès et de rectification prévus par la loi et ;
• Indiquer à vos membres qu’ils ont le droit de retirer leur consentement à la communication ou à l’utilisation des renseignements recueillis.

Lorsque le contrat est fait avec une entreprise qui n’est pas au Québec, les modifications de la Loi 25 obligent ces entreprises à appliquer les mêmes choses que si l’entreprise était au Québec :

« La personne qui exploite une entreprise au Québec et qui communique à l’extérieur du Québec des renseignements personnels ou qui confie à une personne à l’extérieur du Québec la tâche de détenir, d’utiliser ou de communiquer pour son compte de tels renseignements doit au préalable prendre tous les moyens raisonnables pour s’assurer :

1° que les renseignements ne seront pas utilisés à des fins non pertinentes à l’objet du dossier ni communiqués à des tiers sans le consentement des personnes concernées sauf dans des cas similaires à ceux prévus par les articles 18 et 23 ;

2° dans le cas de listes nominatives, que les personnes concernées aient une occasion valable de refuser l’utilisation des renseignements personnels les concernant à des fins de prospection commerciale ou philanthropique et de faire retrancher, le cas échéant, ces renseignements de la liste ».

Par conséquent, une vérification similaire du contrat devrait être faite, et le cas échant la modification du contrat pour s’assurer qu’il comporte les éléments suivants :

• Les fins auxquelles ces renseignements sont recueillis ;
• Les moyens par lesquels les renseignements sont recueillis ;
• Les droits d’accès et de rectification prévus par la loi et ;
• Indiquer à vos membres qu’ils ont le droit de retirer leur consentement à la communication ou à l’utilisation des renseignements recueillis.

Selon les services numériques avec qui vous travaillez, il se peut que vous fassiez héberger des renseignements personnels à l’extérieur du Québec. Cela pourrait par exemple être le cas pour des listes avec Mailchimp. Dans un tel cas, il faut prendre le temps de lire la politique de confidentialité de ladite entreprise et de s’assurer qu’elle est au moins comparable avec ce qui se fait au Québec. C’est le cas pour la plupart des entreprises ; il y a quelques années, l’Europe avait mis en place une politique similaire à celle du Québec et les entreprises internationales se sont soumises à leurs nouvelles obligations.