La gestion des renseignements personnels

Les principales obligations de l’Université en matière de gestion des renseignements personnels se trouvent dans la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (RLRQ, c. A-2.1).

La notion de renseignement personnel

Dans un document, sont personnels les renseignements qui concernent une personne physique et permettent de l’identifier. En d’autres mots, un renseignement personnel est un renseignement portant sur une personne identifiable.

Le nom d’une personne physique n’est pas un renseignement personnel, sauf lorsqu’il est mentionné avec un autre renseignement la concernant ou lorsque sa seule mention révélerait un renseignement personnel concernant cette personne.

La notion de renseignement personnel est rattachée au concept de vie privée.

Sauf exception prescrite par la Loi, les renseignements personnels sont confidentiels, à moins que la personne concernée par ces renseignements ne consente à leur divulgation.

9 incontournables dans la gestion des renseignements personnels à l’UdeS

1. Distinction des types de renseignements personnels

Les principaux types de renseignements personnels sont [les énumérations qui suivent ne sont pas exhaustives] : 

  • Renseignements d’identification : nom, date de naissance, adresse personnelle, adresse courriel, numéro de téléphone personnel, sexe, âge, grandeur, poids, couleur des cheveux ou des yeux, langue, race, origine ethnique ou nationale, religion, numéro d’assurance sociale, numéro d’assurance maladie, numéro de permis de conduire, identifiant numérique, alphanumérique, symbolique ou autre, signature, identité du conjoint, écriture manuscrite et voix lorsque l’un ou l’autre de ces renseignements peut être directement ou indirectement relié à un individu, photo, vidéo;
  • Renseignements relatifs à la santé : dossier médical, rapport d’expertise médicale,certificat médical incluant ou non un diagnostic, consultation d’un médecin ou autre professionnel de la santé, date de la consultation, ordonnances émises, médicaments consommés, hospitalisation, causes du décès;
  • Renseignements financiers : revenu, impôt payé ou à payer, déductions fiscales, numéro de compte de banque, biens possédés (sauf ceux inscrits dans un registre public),prestation reçue (aide sociale, rente, assurance-emploi, etc.), carte de crédit, dossier de crédit;
  • Renseignements relatifs au travail : matricule, poste occupé, dossier disciplinaire, motifs d’absence, dates de vacances, salaire, état de la banque de jours de maladie, contributions à différents régimes, évaluation ou appréciation de la prestation de service, réponses fournies à un sondage en milieu de travail, appartenance à un syndicat, suspension,congédiement, réprimande, heures d’entrée et de sortie du lieu de travail, noms apparaissant dans une liste de rappel ou de remplacement, dossier de candidature à un poste, demande d’emploi, dossier de promotion;
  • Renseignements scolaires ou relatifs à la formation : matricule étudiant, inscription à un cours, horaire des cours d’une personne, absences ou présences au cours, résultats scolaires, diplômes, curriculum vitae, travaux non publiés, choix de cours, crédits universitaires obtenus;
  • Renseignements relatifs à la situation sociale ou familiale : statut civil (marié, séparé,divorcé), enfants ou non, sans-emploi, hébergement d’une personne handicapée;
  • Données biométriques (empreintes digitales, iris, voix);
  • Opinions personnelles : jugement, valeur, caractéristique d’une personne (ne pas confondre avec un avis professionnel émis dans la cadre d’une fonction);
  • Plaintes et témoignages faits à l’Université.

Les renseignements personnels peuvent se présenter sous différentes formes de documents :écrite, graphique, sonore, visuelle, informatisée ou autre.

Un ensemble de documents renfermant des renseignements personnels concernant une personne constituent un dossier, que les documents soient réunis ou non physiquement. Les courriels échangés avec la personne ou les courriels concernant cette personne font notamment partie du dossier.

2. Identification des renseignements personnels sensibles

Parmi les renseignements personnels, certains sont considérés comme sensibles, puisqu’ils concernent des zones de la vie privée que la majorité des individus ne souhaitent pas révéler, tels que :

  • les antécédents judiciaires;
  • les opinions politiques;
  • les croyances religieuses;
  • les renseignements médicaux;
  • l’origine ethnique.

On peut aussi inclure dans la catégorie des renseignements personnels sensibles les renseignements dont la divulgation accroît le risque d’usurpation d’identité tels que :

  • le numéro d’assurance sociale (NAS);
  • la date de naissance;
  • le numéro de passeport;
  • le pays de naissance ou de résidence;
  • la ville de résidence;
  • le sexe;
  • le numéro de permis de conduire;
  • le numéro d’assurance-maladie;
  • le nom de famille de la mère;
  • les noms des enfants;
  • la date de naissance de la personne conjointe;
  • le numéro de compte bancaire;
  • les renseignements relatifs aux cartes de crédit;
  • tout autre renseignement qui pourrait occasionner de sérieux préjudices à la personne concernée (comme de l’information sur ses difficultés financières).

Les renseignements personnels sensibles doivent donc faire l’objet d’une attention accrue à toutes les étapes de gestion des renseignements personnels puisque leur collecte, leur utilisation et leur communication sont plus intrusives à l’égard de la vie privée des individus.

La vigilance est également requise lorsque l’on est en présence d’un document ou d’un ensemble de documents renfermant plusieurs types de renseignements personnels.

3. Reconnaissance des renseignements personnels à caractère public

Certains renseignements personnels ont uncaractère public et ne sont donc pas confidentiels, tels que :

  • le nom, le titre, la fonction, adresse et numéro de téléphone au travail;
  • les emplois occupés;
  • le salaire d’un membre du personnel-cadre;
  • l’échelle de salaire d’un membre du personnel syndiqué ou non syndiqué;
  • sauf exception prescrite par la Loi, le nom d’une personne qui a conclu un contrat de
  • service avec l’Université et les conditions du contrat;
  • les renseignements figurant au registre foncier, au rôle d’évaluation municipale, au registre
  • des entreprises.

Les autres renseignements personnels qui n’ont pas un caractère public sont donc confidentiels.

4. Cueillette des renseignements personnels

On ne recueille que les renseignements personnels nécessaires :

  • à l’exercice des attributions de l’Université;
  • ou à un programme dont elle a la gestion;
  • ou encore à celles d’un organisme avec lequel l’Université collabore pour la prestation de
  • services ou pour la réalisation d’une mission commune.

Lorsqu’on développe un système de gestion de l’information exploitant des renseignements personnels, il est recommandé de consulter le Secrétariat général afin de s’assurer que le système respecte les exigences minimales en matière de protection et de sécurité des renseignements personnels.

5. Utilisation des renseignements personnels

Sauf exception prescrite par la Loi, un renseignement personnel ne peut être utilisé qu’aux fins pour lesquels il a été recueilli.

On tient les renseignements actifs à jour, complets, et exacts pour servir aux fins pour lesquelles ils ont été recueillis ou qu’ils sont utilisés.

6. Conservation des renseignements personnels

On met en place des mesures de sécurité propres à assurer la protection des renseignements personnels adaptées aux supports des documents.

Ainsi, on conserve dans un répertoire informatisé des renseignements personnels qui peuvent être partagés avec les seules personnes qui doivent avoir accès à ces renseignements. De la même façon, on vérifie périodiquement que les droits d’accès aux répertoires où sont conservés de tels renseignements sont adéquatement limités.

On peut crypter les champs d’une base de données contenant des renseignements personnels sensibles ou l’ensemble de la base de données. Chaque outil informatique, par exemple Excel, dispose de mécanismes qui lui sont propres. Il est suggéré de faire une demande au service à la clientèle du Service des technologies de l’information pour obtenir un soutien adéquat dans leur utilisation.

7. Accès aux renseignements personnels et communication

Droit d’être informé.e

Sauf exception prescrite par la Loi, toute personne physique a le droit d’être informée del’existence, dans un fichier de renseignements personnels de l’Université, d’un renseignement personnel la concernant. Les principales exceptions à ce droit sont les suivantes :

  • lorsque la divulgation révélerait vraisemblablement un renseignement concernant une autre personne physique ou l’existence d’un tel renseignement ET que cette divulgation serait susceptible de nuire sérieusement à cette autre personne;
  • un avis ou une recommandation, dans la mesure où l’Université n’a pas rendu sa décision
  • finale sur la matière faisant l’objet de cet avis ou de cette recommandation;
  • une analyse, dans la mesure où l’Université n’a pas rendu sa décision finale sur la matière faisant l’objet de cette analyse ou, en l’absence de décision, que l’analyse a été faite depuis moins de 5 ans;
  • une analyse, dans la mesure où sa divulgation risquerait vraisemblablement d’avoir un
  • effet sur une procédure judiciaire;
  • un renseignement de nature médicale, dans le seul cas où il en résulterait un préjudice grave pour la santé de la personne concernée et à la condition d’offrir de communiquer ce renseignement à un professionnel de la santé choisi par la personne concernée;
  • un renseignement révélant la manière pour un membre du personnel de l’Université
  • d’exercer sa fonction à l’égard de la personne qui demande l’accès;
  • un renseignement personnel concernant une autre personne et qui ne concerne pas la personne qui demande l’accès;
  • une épreuve destinée à l’évaluation comparative des connaissances, des aptitudes, de la
  • compétence ou de l’expérience d’une personne jusqu’au terme de l’utilisation de cette
  • épreuve;
  • une opinion juridique portant sur l’application du droit à un cas particulier. 

La Loi s’applique à toute demande, que le demandeur invoque ou non la Loi au moment où il formule sa demande.

L’Université dispose de 20 jours de calendrier pour répondre à une demande d’accès.

Un demandeur d’accès à des documents insatisfait de la réponse de l’Université peut demander à la Commission d’accès à l’information du Québec de réviser la décision de l’Université. La Commission est un tribunal administratif, et la procédure de révision est prescrite par la Loi.

Communication sans le consentement

Sauf exception prescrite par la Loi, l’Université ne peut communiquer un renseignement personnelà un tiers (habituellement une personne à l’extérieur de l’Université) sans le consentement de la personne concernée. Les principales exceptions sont les suivantes :

  • au procureur de l’Université ou au Directeur des poursuites criminelles et pénales;
  • à un organisme qui en vertu de la loi est chargé de prévenir, détecter ou réprimer le crime ou les infractions aux lois (un service de police);
  • à une personne à qui cette communication doit être faite en raison d’une situation d’urgence mettant en danger la vie, la santé ou la sécurité de la personne concernée;
  • en vue de prévenir un acte de violence dont un suicide ou encore lorsqu’il existe un motif raisonnable de croire qu’un risque sérieux de mort ou de blessures graves menace une personne ou un groupe de personnes identifiable et que la menace inspire un sentiment d’urgence, à la personne ou aux personnes exposées à ce danger, à leur représentant ou à toute personne susceptible de leur porter secours – voir la Directive sur la divulgation de renseignements confidentiels en vue d’assurer la protection des personnes (Directive 2600-020) disponible sur le site internet de l’Université.

Avant de répondre à une demande provenant d’un tiers, il est nécessaire de vérifier l’identité du requérant, l’objet de la demande, et la légitimité de la demande. La communication doit être limitée au seul renseignement nécessaire. Le destinataire du renseignement personnel est tenu à la confidentialité au même titre que son expéditeur.

Communication à un.e autre employé.e de l’Université

Un renseignement personnel est accessible, sans le consentement de la personne concernée, à toute personne qui a qualité pour le recevoir au sein de l’Université lorsque ce renseignement est nécessaire à l’exercice de ses fonctions. Avant de répondre à une demande interne, il est prudent de vérifier l’identité du requérant, l’objet de la demande, et la légitimité de la demande.

La communication doit être limitée au seul renseignement nécessaire.

Le destinataire du renseignement personnel est tenu à la confidentialité au même titre que son expéditeur. 

Rédaction des documents

Le principe d’accessibilité des renseignements personnels pour la personne concernée dicte la prudence dans la rédaction de tous les documents, notamment les courriels.

Personne décédée

L’obligation de protection des renseignements personnels qui incombe à l’Université se poursuit 30 ans après le décès d’un employé ou d’un étudiant, et après 100 ans lorsqu’il s’agit de renseignements relatifs à la santé (Loi sur les archives).

On doit refuser de communiquer un renseignement personnel au liquidateur de la succession, au bénéficiaire d’une assurance-vie ou d’une indemnité de décès ou à l’héritier ou au successible de la personne concernée, à moins que cette communication ne mette en cause ses intérêts ou ses droits à titre de liquidateur, de bénéficiaire, d’héritier ou de successible. La démonstration de l’intérêt est habituellement faite par un avocat ou un notaire.

Rôle de la secrétaire générale

Il est recommandé de confier à la secrétaire générale les demandes d’accès devant donner lieu à un refus de communication des documents demandés.

8. Renseignements confidentiels

Certains renseignements, sans être pour autant des renseignements personnels, sont confidentiels.

Les principaux renseignements confidentiels qui ne sont pas personnels sont [cette énumération n’est pas exhaustive] :

  • les secrets industriels;
  • les autres renseignements industriels;
  • certains renseignements financiers appartenant à l’Université ou à un autre organisme;
  • certains renseignements commerciaux concernant l’Université, appartenant à l’Université ou à un autre organisme;
  • certains renseignements scientifiques concernant l’Université, appartenant à l’Université ou à un autre organisme;
  • certains renseignements techniques concernant l’Université, appartenant à l’Université ou
  • à un autre organisme;
  • certains renseignements syndicaux concernant l’Université, appartenant à l’Université ou à un autre organisme;
  • les avis ou opinions juridiques.
  • à un autre organisme;
  • les avis ou opinions juridiques.

Sont généralement confidentiels les renseignements dont la divulgation risquerait vraisemblablement :

  • d’entraver une négociation en vue de la conclusion d’un contrat;
  • de causer une perte à l’Université ou à un tiers;
  • de procurer un avantage appréciable à une autre personne, morale ou physique;
  • de nuire de façon substantielle à la compétitivité d’un tiers.

Sont confidentiels les renseignements fournis par un tiers et habituellement traités par ce tiers de façon confidentielle. Cette confidentialité peut toutefois être levée lorsqu’il n’est pas possible de justifier un refus d’accès basé sur l’une ou l’autre des exceptions prévues par la Loi.

9. Destruction des renseignements personnels ou confidentiels

On respecte les délais de conservation et d’élimination prévus au Calendrier de conservation des documents de l’UdeS.

Lorsque le Calendrier permet la destruction d’un document, on utilise un moyen de destruction sûr et définitif, adapté au support du document. Lorsqu’on supprime un fichier de bureautique, on s’assure de supprimer également le contenu de la corbeille ou de l’équivalent.

On préserve le caractère confidentiel des renseignements personnels ou confidentiels en attente d’élimination.

Pour tout complément d’information, prière de communiquer avec Frédéric Brochu, secrétaire général adjoint et substitut de la responsable de l’accès aux documents et de la protection des renseignements personnels.

Vous croyez être victime d'un vol de renseignements personnels?

Signalez cet incident dans les plus brefs délais. À la suite de cet incident si vous croyez votre mot de passe compromis, modifiez-le sans tarder par le portail monAccès.