Politique de gouvernance

1. Objet de la politique

1.1     La protection des renseignements personnels est une priorité pour Vet et Nous, (ci-après la « Compagnie »). La présente Politique sur la gestion des renseignements personnels (ci-après la « Politique ») précise le cadre de gouvernance concernant la gestion des renseignements personnels.

1.2    Elle énonce les règles qui guident les pratiques de la Compagnie dans la gestion des renseignements personnels qu’elle détient. Elle définit les rôles et les responsabilités du personnel de Vet et Nous à l’égard des renseignements personnels tout au long du cycle de vie des renseignements, de leur collecte à leur destruction.

 

2. Champ d’application

2.1    La Politique s’adresse à tout le personnel de Vet et Nous, y compris les étudiants, les stagiaires et les contractuels.

2.2    Elle s’applique à tous les renseignements personnels détenus par la Compagnie, incluant ceux dont la conservation est assurée par un tiers, quel que soit le support sur lequel ils sont conservés, et ce, de leur collecte à leur destruction. Tout renseignement qui concerne une personne physique et permet de l’identifier directement ou indirectement est un renseignement personnel.

2.3    Elle s’applique également à toute personne à qui la Commission confie des renseignements personnels dans le cadre de l’exécution d’un mandat ou d’un contrat de service.

 

3. Cadre législatif, règlementaire et administratif

 

3.1    La présente politique prend appui sur les textes suivants :

  • Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé (Loi 25);
  • Loi concernant le cadre juridique des technologies de l’information (C-1.1);
  • Loi sur les archives (A-21.1).

 

4. Principes directeurs

Dans l’exercice de ses activités, la Compagnie recueille et traite des renseignements personnels. La Compagnie est assujettie à la Loi sur l’accès et doit protéger les renseignements personnels qu’elle détient. Pour ce faire, elle s’engage à prendre les mesures propres à assurer la protection de ces renseignements personnels. Ses pratiques en matière de protection des renseignements personnels reposent sur les principes suivants :

4.2 Responsabilité

La Compagnie est responsable des renseignements personnels qu’elle détient. Pour ce faire, elle :

  • Met en œuvre des politiques et des pratiques pour respecter ses obligations en matière de protection des renseignements personnels et pouvoir le démontrer;
  • Évalue les impacts sur la vie privée d’un projet d’acquisition, de développement ou de refonte d’un système d’information ou de prestation électronique de services impliquant des renseignements personnels, dès les premières étapes de conception;
  • Sensibilise de manière régulière et offre à son personnel des formations relatives à la protection des renseignements personnels. Ces activités revêtent différentes formes, selon le contexte et l’objectif voulus : formation d’accueil lors de l’entrée en poste d’un nouvel employé, formations d’appoint et activités de sensibilisation diverses sous forme de présentations, webinaires, capsules d’information, infolettre, ateliers et rencontres d’équipe, etc.;
  • Met en place une procédure pour traiter les plaintes liées à la gestion des renseignements personnels qu’elle détient.

 

4.3 Nécessité

La Compagnie ne recueille que les renseignements personnels nécessaires à l’exercice de ses fonctions ou à la mise en œuvre de programmes dont elle a la responsabilité. Le personnel de la Compagnie n’accède qu’aux renseignements personnels auxquels il a besoin pour s’acquitter de ses tâches.

 

4.4 Consentement

Chaque fois que la Loi sur l’accès l’exige, Vet et Nous s’assure d’obtenir un consentement valide de la personne concernée par les renseignements personnels, par exemple, pour les utiliser à une autre fin que celles de leur collecte ou pour les communiquer à des tiers. Un consentement valide est manifeste, libre, éclairé et donné à des fins spécifiques. Il est demandé pour chacune de ces fins en des termes simples et clairs permettant ainsi à la personne concernée de comprendre la portée de ce qui lui est demandé. S’il s’agit de renseignements sensibles, le consentement doit être donné de manière expresse.

 

4.5 Confidentialité

Vet et Nous assure la confidentialité des renseignements personnels qu’elle détient. Elle prend les mesures de sécurité nécessaires pour protéger les renseignements personnels, de leur collecte à leur destruction. Ces mesures tiennent compte de la sensibilité, de la finalité, de la quantité, de la répartition et du support des renseignements personnels. Elle met en place les mesures nécessaires afin de limiter l’utilisation et la communication de ces renseignements.

 

4.6 Exactitude

Vet et Nous s’assure que les renseignements personnels qu’elle détient sont à jour, exacts et complets pour servir aux fins pour lesquelles ils sont recueillis.

 

4.7 Droit d’accès et de rectification

Toute personne peut demander de consulter ou d’obtenir copie des renseignements personnels que Vet et Nous détient à son sujet et de les faire rectifier, dans la mesure prévue par la Loi sur l’accès.

 

4.8 Destruction

Vet et Nous s’assure de détruire les renseignements personnels qu’elle détient lorsque les finalités sont accomplies, sous réserve des délais prévus à son calendrier de conservation.

 

4.9 Transparence

Vet et Nous fait preuve de transparence dans la gestion des renseignements personnels qu’elle détient. Lors de leur collecte, elle informe la personne concernée des buts poursuivis par cette collecte, de l’utilisation qui en sera faite et de plusieurs autres éléments requis par la loi. En cas de collecte par un moyen technologique, ces informations sont incluses dans ses politiques de confidentialité diffusées sur son site Web. Vet et Nous diffuse également ses règles de gouvernance en matière de protection des renseignements personnels.

 

4.10 Traitement des renseignements personnels

La protection des renseignements personnels est assurée tout au long de leur cycle de vie. Les renseignements personnels détenus par la Compagnie sont confidentiels et soumis aux règles de protection prévues par la Loi sur l’accès. Toutefois, celle-ci prévoit certaines situations dans lesquelles ces renseignements ne sont pas confidentiels. Vet et Nous pourraient partager vos informations dans le cadre de ces situations précises.

 

4.11 Collecte des renseignements personnels

Le personnel de Vet et Nous ne recueille que les renseignements personnels qui sont nécessaires à l’exercice de ses fonctions, notamment la prestation de ses services ainsi que de l’embauche et de la gestion de son personnel.

 

4.12 Gestion des ressources humaines

4.12.1 Aux fins de l’embauche du personnel, le personnel des ressources humaines de la Compagnie ne recueille que les renseignements personnels nécessaires au traitement de l’évaluation des candidatures. Il s’agit généralement des renseignements transmis par les candidats.

 

4.12.2 Le personnel des ressources humaines recueille les renseignements nécessaires à la gestion du dossier du personnel de Vet et Nous, notamment:

  • Les informations relatives à son emploi;
  • Ses coordonnées;
  • Son assiduité;
  • Les événements liés à la formation et au développement professionnel, à la santé et sécurité au travail, à sa performance et à sa rémunération.

 

4.13 Conservation des renseignements personnels

4.13.1  Le personnel de la Compagnie assure la confidentialité des renseignements personnels dans l’exercice de ses fonctions. Pour ce faire, il :

  • Respecte les politiques, directives et procédures de Vet et Nous visant la protection des renseignements personnels;
  • Ne révèle aucun renseignement personnel dont il a pris connaissance dans l’exercice de ses fonctions sans y être autorisé;
  • Participe aux activités de formation et de sensibilisation offertes par la Compagnie;
  • Accède seulement aux renseignements personnels nécessaires à l’exercice de ses fonctions;
  • S’assure que les renseignements personnels qu’il utilise sont complets, à jour et exacts pour servir aux fins pour lesquelles la Compagnie les recueille ou les utilise;
  • Ne conserve, sur un support physique (papier) ou électronique autre que celui de la Compagnie, aucun renseignement personnel porté à sa connaissance dans le cadre de l’exercice de ses fonctions et continue d’en préserver la confidentialité.

 

4.13.2  En cas de doute quant à la confidentialité d’un renseignement ou de question au sujet de la gestion des renseignements personnels, il s’adresse à son gestionnaire ou au responsable de la protection des renseignements personnels.

 

4.14 Utilisation des renseignements personnels

4.14.1  Le personnel de Vet et Nous n’utilise les renseignements personnels qu’aux fins pour lesquelles ils ont été recueillis. Toute autre utilisation doit être préalablement autorisée par le gestionnaire ou le responsable de l’accès. Ces derniers s’assurent que cette nouvelle utilisation est conforme à la Loi (autorisée par la loi ou requiert le consentement de la personne concernée).

 

4.14.2 Les membres du personnel de Vet et Nous qui utilisent des renseignements personnels dans le cadre de leurs fonctions doivent :

  • Limiter l’utilisation qu’ils en font aux fins de l’exercice de leurs fonctions;
  • S’assurer d’en préserver la confidentialité en toutes circonstances;
  • Informer sans délai leur supérieur immédiat et le responsable de l’accès de toute situation où la confidentialité de renseignements personnels pourrait avoir été compromise.

 

4.15 Utilisation de renseignements à des fins de sondage

L’utilisation de renseignements personnels aux fins de réaliser un sondage doit respecter la Directive sur les sondages réalisés par la Commission d’accès à l’information.

 

4.16 Communication des renseignements personnels

4.16.1  Le personnel de Vet et Nous ne peut communiquer un renseignement personnel confidentiel à un tiers sans le consentement de la personne concernée. La loi prévoit certaines exceptions, notamment :

  • En cas d’urgence ou en vue de prévenir un acte de violence;
  • Permettre l’exercice d’un mandat ou l’exécution d’une entente de service avec un tiers;
  • Lorsqu’une personne ou un organisme soumet une demande écrite afin d’utiliser les renseignements personnels à des fins de recherche, d’étude ou de production de statistiques;
  • En cas d’incident de confidentialité pour aviser une personne ou un organisme susceptible de diminuer le risque de préjudice sérieux. La procédure de gestion des incidents de confidentialité s’applique.

 

4.16.2  Avant de communiquer un renseignement personnel confidentiel à un tiers, le personnel de Vet et Nous doit s’assurer de consulter le gestionnaire de sa direction. Le gestionnaire peut consulter le responsable de l’accès au besoin.

 

4.16.3  Certains renseignements sont communiqués à des tiers en vertu d’ententes de service que la Compagnie conclut avec des tiers.

 

4.17 Destruction des renseignements personnels

Le personnel de Vet et Nous détruit de façon sécuritaire les renseignements personnels lorsque les fins pour lesquelles ils ont été recueillis sont accomplies, suivant les délais prévus au calendrier de conservation et aux règles de gestion des documents.

 

4.18 Droits de la personne concernée par un renseignement personnel

 

4.18.1       Accès

Les personnes concernées par les renseignements personnels détenus par la Compagnie ont le droit d’être informées de l’existence de ces renseignements les concernant et d’en recevoir communication, dans les limites et aux conditions prévues par la Loi.

 

4.18.2       Portabilité

Une personne peut demander l’accès à ses renseignements personnels informatisés qu’elle a fournis directement à Vet et Nous dans un format technologique structuré et couramment utilisé. Les renseignements personnels recueillis en format papier ne sont pas visés.

 

4.18.3       Rectification

Une personne concernée par un renseignement personnel inexact, incomplet ou équivoque, ou dont la collecte, la communication ou la conservation ne sont pas autorisées par la Loi, peut exiger la rectification de ce renseignement, dans les limites et aux conditions prévues par la Loi.

 

4.18.4       Demandes d’accès ou de rectification

Toute demande d’accès ou de rectification aux renseignements personnels doit être adressée au responsable de l’accès et de la protection des renseignements personnels :

 

Une demande d’accès ou de rectification reçue par une autre direction doit lui être transmise dès sa réception.

 

 

5. RÔLES ET RESPONSABILITÉS

 

5.1    La présidente ou le président :

  • Veille à assurer le respect et la mise en œuvre des dispositions de la Loi sur l’accès au sein de la Compagnie;
  • Peut déléguer par écrit à une ou un membre du personnel de direction de la Compagnie la responsabilité de l’accès aux documents et de la protection des renseignements personnels;
  • Facilite l’exercice des fonctions de responsable de la protection des renseignements personnels;
  • Approuve la présente politique ainsi que les moyens de son application;
  • Soutient la mise en œuvre et la diffusion de la présente politique.

 

5.2    La ou le responsable de l’accès aux documents et de la protection des renseignements personnels :

  • Assure le respect et la mise en œuvre des dispositions de la Loi sur l’accès au sein de la Compagnie;
  • Veille au respect de la présente politique ainsi que des obligations légales, règlementaires et administratives relatives à l’accès aux documents et à la protection des renseignements personnels;
  • Coordonne l’action de la Compagnie en matière d’accès aux documents et de protection des renseignements personnels;
  • Coordonne les travaux du groupe de travail sur l’accès aux documents et sur la protection des renseignements personnels de la Compagnie;
  • Soutient les gestionnaires et assume un rôle -conseil, de soutien et d’accompagnement auprès du personnel de l’organisation;
  • Propose les outils nécessaires à la mise en œuvre de la présente politique;
  • Collabore avec les gestionnaires responsables de la sécurité informatique et de la gestion documentaire dans la mise en place de mesures visant une protection optimale des renseignements personnels;
  • Traite les plaintes relatives à la protection des renseignements personnels conformément à la Loi sur l’accès et les consignes au registre des plaintes sur la gestion des renseignements personnels;
  • Traite les demandes d’accès aux documents et aux renseignements personnels, ainsi que les demandes de rectification conformément à la Loi sur l’accès;
  • Procède à l’évaluation des facteurs relatifs à la vie privée de tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels, et ce, dès le début du projet;
  • Procède à l’évaluation des facteurs relatifs à la vie privée pour toute communication de renseignements personnels à l’extérieur du Québec et détermine si la communication bénéficie d’une protection adéquate.

 

5.3    Les gestionnaires

Les gestionnaires sont les détenteurs des renseignements personnels sous leur responsabilité. À ce titre, ils sont responsables de la gestion et de la protection des renseignements personnels détenus par le personnel de leur unité administrative. Plus particulièrement, ils :

 

  • S’assurent du respect de la présente politique et des procédures ou directives qui en découlent au sein de leur unité administrative;
  • Veillent à ce que le personnel sous leur responsabilité utilise des moyens sécuritaires pour recueillir, utiliser, conserver, communiquer ou détruire les renseignements personnels;
  • Collaborent avec le responsable de l’accès aux documents et de la protection des renseignements personnels et avec le groupe de travail visant la conformité de la Commission aux obligations législatives, règlementaires et administratives en matière de protection des renseignements personnels;
  • Prennent les mesures appropriées en cas de manquement à la présente politique ou aux règles de protection des renseignements personnels par un membre du personnel sous leur responsabilité;
  • Sensibilisent le personnel sous leur responsabilité à l’importance de protéger les renseignements personnels, en collaboration avec le responsable de l’accès aux documents et de la protection des renseignements personnels;
  • S’assurent que le personnel sous leur responsabilité participe aux formations relatives à la protection des renseignements personnels offertes par Vet et Nous.
  • S’assurent que les délais de conservation des renseignements personnels prévus par le calendrier de conservation de Vet et Nous respectent les normes en la matière;
  • S’assurent que les moyens utilisés pour la destruction des renseignements personnels sont sécuritaires et assurent leur caractère confidentiel;
  • Veillent à l’accessibilité et à la conservation des renseignements personnels en préservant leur confidentialité et dans le respect des exigences législatives, règlementaires et administratives;
  • S’assurent que les renseignements personnels que Vet et Nous détient sont complets, à jour et exacts pour servir aux fins pour lesquelles elle les recueille ou les utilise.
  • S’assurent d’inclure des exigences contractuelles visant la protection et la confidentialité des renseignements personnels lorsque les contrats impliquent la communication de tels renseignements. Ces clauses encadrent la cueillette, l’utilisation, la conservation, la communication et la destruction de renseignements personnels par ses fournisseurs et prestataires de services;
  • S’assurent de la sécurité des ressources informationnelles et de l’information qu’elle détient ou qu’elle utilise conformément aux politiques et directives de Vet et Nous;
  • Assistent la Direction dans la détermination des orientations stratégiques et des priorités d’intervention dans la sécurité de l’information.

 

5.4    Le personnel de Vet et Nous

  • Prend connaissance de la présente politique et en respecte l’esprit, les dispositions et les procédures qui en découlent;
  • Prend les mesures nécessaires pour assurer la protection des renseignements personnels auxquels il a accès;
  • N’accède qu’aux renseignements personnels nécessaires à l’exercice de ses fonctions;
  • Utilise les renseignements personnels auxquels il a accès pour les fins prévues lors de leur collecte;
  • Informe son gestionnaire et le responsable de la protection des renseignements personnels de tout incident lié à la protection des renseignements personnels détenus par Vet et Nous;
  • Participe aux activités de sensibilisation et de formation à la protection des renseignements personnels mis à sa disposition par Vet et Nous.

 

6. PLAINTES EN MATIÈRE DE RENSEIGNEMENTS PERSONNELS

 

6.1    Procédure de traitement des plaintes relatives à la protection des renseignements personnels.

Tout client peut déposer une plainte concernant le traitement de ses renseignements personnels par Vet et Nous. La plainte doit être soumise par écrit à la responsable de la protection des renseignements personnels dans les 15 jours suivant l'événement qui y donne lieu à l’adresse suivante : . Elle doit inclure les éléments suivants :

  • Nom et coordonnées du client qui fait la plainte
  • Description détaillée des motifs de la plainte

La responsable accusera réception de la plainte dans les 5 jours ouvrables suivant sa réception. Une enquête sera menée sur les allégations de la plainte, au cours de laquelle le responsable pourra requérir tout renseignement ou document pertinent auprès du plaignant ou de l’entreprise. Dans les 30 jours suivant la réception de la plainte, le responsable communiquera ses conclusions au plaignant. À défaut de réponse dans ce délai, la plainte sera réputée rejetée.

 

6..1.1   Confidentialité et consentement

Le traitement de la plainte sera confidentiel. Toutefois, la responsable pourrait devoir divulguer l'identité du plaignant aux employés concernés par l'objet de la plainte dans le cadre de l'enquête. Une plainte anonyme sera considérée recevable, mais pourrait empêcher une analyse complète de la situation.

 

6.1.2    Recevabilité d'une plainte

Une plainte ne sera pas considérée recevable dans les circonstances suivantes :

  • Insatisfaction ou demande de révision d'une décision du responsable de l'accès aux documents
  • Lien avec une décision judiciaire ou quasi-judiciaire
  • Objet d'une procédure judiciaire en cours
  • Situations hors de la responsabilité de Vet et Nous
  • Propos haineux, menaçants ou harcelants

Cette procédure vise à assurer un traitement équitable et confidentiel des plaintes relatives à la protection des renseignements personnels des employés, conformément aux lois applicables.

 

6.2 Quiconque considère que la Compagnie ne respecte pas ses droits en matière de protection des renseignements personnels peut transmettre une plainte par écrit, avec diligence, au responsable de l’accès aux documents et à la protection des renseignements personnels.

 

6.3  La procédure de traitement des plaintes relatives à la protection des renseignements personnels précise comment déposer une plainte et son traitement par Vet et Nous.

 

7. ADOPTION, RÉVISION ET ENTRÉE EN VIGUEUR

La présente politique est révisée tous les trois (3) ans à compter de la date de son adoption ou avant si les circonstances le justifient. Elle entre en vigueur dès sa publication.

 

 

 

Mise à jour : 13 juin, 2024