Les principales obligations de l’Université en matière de gestion des renseignements personnels se trouvent dans la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (RLRQ, c. A-2.1).
Dans un document, sont personnels les renseignements qui concernent une personne physique et permettent de l’identifier. En d’autres mots, un renseignement personnel est un renseignement portant sur une personne identifiable.
Le nom d’une personne physique n’est pas un renseignement personnel, sauf lorsqu’il est mentionné avec un autre renseignement la concernant ou lorsque sa seule mention révélerait un renseignement personnel concernant cette personne.
La notion de renseignement personnel est rattachée au concept de vie privée.
Sauf exception prescrite par la Loi, les renseignements personnels sont confidentiels, à moins que la personne concernée par ces renseignements ne consente à leur divulgation.
Les principaux types de renseignements personnels sont [les énumérations qui suivent ne sont pas exhaustives] :
Les renseignements personnels peuvent se présenter sous différentes formes de documents :écrite, graphique, sonore, visuelle, informatisée ou autre.
Un ensemble de documents renfermant des renseignements personnels concernant une personne constituent un dossier, que les documents soient réunis ou non physiquement. Les courriels échangés avec la personne ou les courriels concernant cette personne font notamment partie du dossier.
Parmi les renseignements personnels, certains sont considérés comme sensibles, puisqu’ils concernent des zones de la vie privée que la majorité des individus ne souhaitent pas révéler, tels que :
On peut aussi inclure dans la catégorie des renseignements personnels sensibles les renseignements dont la divulgation accroît le risque d’usurpation d’identité tels que :
Les renseignements personnels sensibles doivent donc faire l’objet d’une attention accrue à toutes les étapes de gestion des renseignements personnels puisque leur collecte, leur utilisation et leur communication sont plus intrusives à l’égard de la vie privée des individus.
La vigilance est également requise lorsque l’on est en présence d’un document ou d’un ensemble de documents renfermant plusieurs types de renseignements personnels.
Certains renseignements personnels ont uncaractère public et ne sont donc pas confidentiels, tels que :
Les autres renseignements personnels qui n’ont pas un caractère public sont donc confidentiels.
On ne recueille que les renseignements personnels nécessaires :
Lorsqu’on développe un système de gestion de l’information exploitant des renseignements personnels, il est recommandé de consulter le Secrétariat général afin de s’assurer que le système respecte les exigences minimales en matière de protection et de sécurité des renseignements personnels.
Sauf exception prescrite par la Loi, un renseignement personnel ne peut être utilisé qu’aux fins pour lesquels il a été recueilli.
On tient les renseignements actifs à jour, complets, et exacts pour servir aux fins pour lesquelles ils ont été recueillis ou qu’ils sont utilisés.
On met en place des mesures de sécurité propres à assurer la protection des renseignements personnels adaptées aux supports des documents.
Ainsi, on conserve dans un répertoire informatisé des renseignements personnels qui peuvent être partagés avec les seules personnes qui doivent avoir accès à ces renseignements. De la même façon, on vérifie périodiquement que les droits d’accès aux répertoires où sont conservés de tels renseignements sont adéquatement limités.
On peut crypter les champs d’une base de données contenant des renseignements personnels sensibles ou l’ensemble de la base de données. Chaque outil informatique, par exemple Excel, dispose de mécanismes qui lui sont propres. Il est suggéré de faire une demande au service à la clientèle du Service des technologies de l’information pour obtenir un soutien adéquat dans leur utilisation.
Droit d’être informé.e
Sauf exception prescrite par la Loi, toute personne physique a le droit d’être informée del’existence, dans un fichier de renseignements personnels de l’Université, d’un renseignement personnel la concernant. Les principales exceptions à ce droit sont les suivantes :
La Loi s’applique à toute demande, que le demandeur invoque ou non la Loi au moment où il formule sa demande.
L’Université dispose de 20 jours de calendrier pour répondre à une demande d’accès.
Un demandeur d’accès à des documents insatisfait de la réponse de l’Université peut demander à la Commission d’accès à l’information du Québec de réviser la décision de l’Université. La Commission est un tribunal administratif, et la procédure de révision est prescrite par la Loi.
Communication sans le consentement
Sauf exception prescrite par la Loi, l’Université ne peut communiquer un renseignement personnelà un tiers (habituellement une personne à l’extérieur de l’Université) sans le consentement de la personne concernée. Les principales exceptions sont les suivantes :
Avant de répondre à une demande provenant d’un tiers, il est nécessaire de vérifier l’identité du requérant, l’objet de la demande, et la légitimité de la demande. La communication doit être limitée au seul renseignement nécessaire. Le destinataire du renseignement personnel est tenu à la confidentialité au même titre que son expéditeur.
Communication à un.e autre employé.e de l’Université
Un renseignement personnel est accessible, sans le consentement de la personne concernée, à toute personne qui a qualité pour le recevoir au sein de l’Université lorsque ce renseignement est nécessaire à l’exercice de ses fonctions. Avant de répondre à une demande interne, il est prudent de vérifier l’identité du requérant, l’objet de la demande, et la légitimité de la demande.
La communication doit être limitée au seul renseignement nécessaire.
Le destinataire du renseignement personnel est tenu à la confidentialité au même titre que son expéditeur.
Rédaction des documents
Le principe d’accessibilité des renseignements personnels pour la personne concernée dicte la prudence dans la rédaction de tous les documents, notamment les courriels.
Personne décédée
L’obligation de protection des renseignements personnels qui incombe à l’Université se poursuit 30 ans après le décès d’un employé ou d’un étudiant, et après 100 ans lorsqu’il s’agit de renseignements relatifs à la santé (Loi sur les archives).
On doit refuser de communiquer un renseignement personnel au liquidateur de la succession, au bénéficiaire d’une assurance-vie ou d’une indemnité de décès ou à l’héritier ou au successible de la personne concernée, à moins que cette communication ne mette en cause ses intérêts ou ses droits à titre de liquidateur, de bénéficiaire, d’héritier ou de successible. La démonstration de l’intérêt est habituellement faite par un avocat ou un notaire.
Rôle de la secrétaire générale
Il est recommandé de confier à la secrétaire générale les demandes d’accès devant donner lieu à un refus de communication des documents demandés.
Certains renseignements, sans être pour autant des renseignements personnels, sont confidentiels.
Les principaux renseignements confidentiels qui ne sont pas personnels sont [cette énumération n’est pas exhaustive] :
Sont généralement confidentiels les renseignements dont la divulgation risquerait vraisemblablement :
Sont confidentiels les renseignements fournis par un tiers et habituellement traités par ce tiers de façon confidentielle. Cette confidentialité peut toutefois être levée lorsqu’il n’est pas possible de justifier un refus d’accès basé sur l’une ou l’autre des exceptions prévues par la Loi.
On respecte les délais de conservation et d’élimination prévus au Calendrier de conservation des documents de l’UdeS.
Lorsque le Calendrier permet la destruction d’un document, on utilise un moyen de destruction sûr et définitif, adapté au support du document. Lorsqu’on supprime un fichier de bureautique, on s’assure de supprimer également le contenu de la corbeille ou de l’équivalent.
On préserve le caractère confidentiel des renseignements personnels ou confidentiels en attente d’élimination.
Pour tout complément d’information, prière de communiquer avec Frédéric Brochu, secrétaire général adjoint et substitut de la responsable de l’accès aux documents et de la protection des renseignements personnels.
Signalez cet incident dans les plus brefs délais. À la suite de cet incident si vous croyez votre mot de passe compromis, modifiez-le sans tarder par le portail monAccès.