Politique sur la confidentialité et la protection des renseignements personnels (PDF, 188 Ko)

 

Titre :                         POLITIQUE SUR LA CONFIDENTIALITÉ ET LA PROTECTION DES RENSEIGNEMENTS PERSONNELS

Approuvée par :        Conseil d’administration

 

  1. Objet général

La présente politique vise à assurer la sécurité et la protection des renseignements personnels ou des renseignements confidentiels (collectivement les « renseignements ») détenus par le Réseau de transport de la Capitale (le « RTC ») contre la consultation, l’utilisation ou la divulgation non autorisées de ceux-ci. Elle vise également la protection de ces renseignements contre toute atteinte à leur intégrité.

De plus, la présente politique a pour objet de déterminer les règles relatives à la disponibilité de ces renseignements, à leur collecte, utilisation, conservation, communication et destruction ainsi qu’aux droits d’accès et de rectification des renseignements personnels.

  1. Fondement

Le RTC est un organisme public assujetti notamment à la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (RLRQ, c. A-2.1, la « Loi sur l’accès »), à la Loi sur les archives (RLRQ, c. A-21.1), à la Loi concernant le cadre juridique des technologies de l’information (RLRQ, c. C-1.1), au Code civil du Québec (RLRQ, 1991, c. 64) et à la Charte des droits et libertés de la personne (RLRQ, c. C-12).

Le RTC reconnaît l’importance de la protection de la vie privée, de la sécurité et de la protection des renseignements personnels ou des renseignements confidentiels qu’il recueille et conserve. Il s’engage ainsi à respecter les dispositions, les valeurs et les principes fondamentaux établis par les législations applicables.

Le RTC s’assure de mettre en œuvre les mesures nécessaires pour garantir le respect de la confidentialité des renseignements personnels ou des renseignements confidentiels qui lui sont communiqués dans le cours de ses activités.

  1. Champ d’application

La présente politique s’applique à tous les employés, administrateurs et mandataires du RTC qui peuvent avoir accès, dans le cadre de l’exécution de leurs fonctions, à des renseignements personnels ou des renseignements confidentiels.

Elle s’applique également aux renseignements personnels détenus par le RTC dans l’exercice de ses activités, quels qu’en soient leur format et leur support, que leur conservation soit assurée par le RTC ou par un fournisseur de services.

Cependant, les catégories suivantes de renseignements personnels ne sont pas soumises aux exigences applicables de la Loi sur l’accès et, par conséquent, à la présente politique :

  • Un renseignement personnel à caractère public, notamment un renseignement personnel qui concerne l’exercice par la personne concernée d’une fonction au sein du RTC, tel que son nom, son titre et sa fonction, de même que l’adresse, l’adresse de courrier électronique et le numéro de téléphone de son lieu de travail;

 

  • Un renseignement personnel qui a été anonymisé conformément à la Loi sur l’accès de sorte qu’il ne permet plus, une fois anonymisé de façon irréversible, d’identifier directement ou indirectement une personne physique.
  1. Objectifs

La présente politique vise à définir par quels moyens le RTC protège les renseignements personnels ou les renseignements confidentiels. Elle prévoit les règles internes encadrant la gouvernance de ces renseignements et établit le partage des responsabilités en ce qui a trait à leur application.

Elle précise également les normes de collecte, de conservation, d’utilisation, de communication, de destruction de ces renseignements ainsi que les droits d’accès et de rectification des renseignements personnels.

  1. Définitions

Comité sur l’accès à l’information et la protection des renseignements personnels ou CAIPRP :

Comité mis en place par le directeur général du RTC pour soutenir le Responsable de l’accès aux documents et de la protection des renseignements personnels « Responsable de l’accès » dans l’exercice de ses responsabilités et dans l’exécution des obligations qui lui incombent en vertu de la Loi sur l’accès.

Évaluation des facteurs relatifs à la vie privée ou EFVP :

Une démarche préventive visant à mieux protéger les renseignements personnels et à mieux respecter la vie privée des personnes concernées. Cette démarche consiste à considérer tous les facteurs qui pourraient entraîner des conséquences sur la vie privée des personnes concernées.

Fournisseur de services :

Toute personne ou organisme auquel le RTC a confié un mandat ou avec lequel le RTC a conclu un contrat de service.

Incident de confidentialité :

Conformément à l’article 63.9 de la Loi sur l’accès, un incident de confidentialité signifie :

  • L’accès non autorisé par la loi à un renseignement personnel;
  • L’utilisation non autorisée par la loi d’un renseignement personnel;
  • La communication non autorisée par la loi d’un renseignement personnel;
  • La perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.

Renseignement confidentiel :

Tout renseignement de nature tactique ou stratégique pour le RTC, pour son auteur ou pour son propriétaire, ou tout renseignement habituellement traité de façon confidentielle par ces derniers, tels que des renseignements à caractère financier ou commercial. Un renseignement confidentiel ne comprend pas un renseignement pour lequel les lois applicables prévoient qu’il acquière un caractère public lorsqu’il est détenu par le RTC.

Renseignement personnel :

Tout renseignement qui concerne une personne physique et qui permet, séparément ou combiné avec d’autres informations, de l’identifier quel que soit le support du renseignement (qu’il soit conservé en format électronique, sur un ordinateur, sur une bande magnétique, sur un disque, une vidéo ou dans un système de classement de papier). La présente définition exclut les renseignements personnels qui ont un caractère public au sens de la Loi sur l’accès.

Renseignement personnel à caractère public :

Tout renseignement personnel ayant un caractère public en vertu de la Loi sur l’accès. Les renseignements personnels suivants sont reconnus comme ayant un caractère public :

  • Le nom, le titre, la fonction, la classification, le traitement, l’adresse, l’adresse de courrier électroniqueet le numéro de téléphone du lieu de travail d’un membre du personnel d’un organisme public, incluant notamment les dirigeants et administrateurs;
  • Un renseignement personnel concernant une personne en sa qualité de partie à un contrat de service conclu avec le RTC;
  • Le nom et l’adresse d’une personne qui bénéficie d’un avantage économique conféré par un organisme public en vertu de la loi;
  • Le nom et l’adresse de l’établissement du titulaire d’un permis délivré par un organisme public et dont la détention est requise en vertu de la loi pour exercer une activité, une profession ou pour exploiter un commerce.

Renseignement personnel anonymisé :

Un renseignement personnel est dit anonymisé lorsqu’il est, en tout temps, raisonnable de prévoir dans les circonstances qu’il ne permet plus, de façon irréversible, d’identifier directement ou indirectement la personne concernée.

Renseignement personnel dépersonnalisé :

Un renseignement personnel qui, à la suite de l’application de techniques de dépersonnalisation, ne permet plus d’identifier directement la personne concernée.

Renseignement personnel sensible :

Un renseignement personnel qui, par sa nature, notamment médicale, biométrique ou autrement intime, ou en raison du contexte de son utilisation ou de sa communication, suscite un haut degré d’attente raisonnable en matière de vie privée.

Traitement :

Toute opération ou ensemble d’opérations, effectués ou non par des moyens automatisés, appliqués à des renseignements personnels, tels que la collecte, l’enregistrement, la conservation, l’utilisation, la modification, la conversion, l’extraction, l’accès, la consultation, la communication, la diffusion, la dépersonnalisation, l’anonymisation, l’effacement ou la destruction.

  1. Règles et procédures applicables
    1. Principes généraux

Le RTC s’engage à mettre en œuvre un ensemble de mesures technologiques, organisationnelles, humaines, physiques, juridiques et éthiques afin d’assurer la sécurité des renseignements personnels ou des renseignements confidentiels qu’il détient, notamment en s’assurant des éléments suivants :

  • La disponibilité des renseignements de façon à ce qu’ils soient accessibles, au moment convenu et de la manière requise, par les personnes autorisées à y avoir accès;
  • L’intégrité des renseignements, de manière à ce que ceux-ci ne soient pas détruits ou altérés, de quelque façon, sans autorisation et en respect du calendrier de conservation du RTC, et que le support de ces renseignements leur procure la stabilité et la pérennité voulues;
  • La confidentialité des renseignements personnels ou des renseignements confidentiels, en limitant leur divulgation aux seules personnes autorisées à en prendre connaissance;
  • L’identification et l’authentification, de façon à confirmer, lorsque requis, l’identité d’une personne ou l’identification d’un document ou d’un dispositif;
  • L’irrévocabilité, afin d’assurer qu’une action, un échange ou un document est clairement attribué à l’entité qui l’a généré;
  • La conformité aux exigences légales, réglementaires ou d’affaires auxquelles le RTC est assujetti.
    1. Principes applicables aux renseignements confidentiels

6.2.1    Consentement

La collecte de renseignements confidentiels par le RTC doit s’effectuer en toute transparence, avec le consentement libre et éclairé de la personne concernée et en indiquant clairement les fins pour lesquelles ces renseignements sont recueillis.

Le RTC devra obtenir un nouveau consentement pour utiliser les renseignements confidentiels à des fins qui ne sont pas compatibles avec celles pour lesquelles ils ont été recueillis.

6.2.2    Conservation et utilisation

Tous les renseignements confidentiels collectés, quel que soit leur support, sont conservés dans un environnement sécurisé.

Ces renseignements sont accessibles uniquement aux employés, administrateurs ou mandataires du RTC qui en ont nécessairement besoin pour l’exercice de leurs fonctions et ces derniers sont tenus de respecter le caractère confidentiel de ces renseignements.

6.2.3    Communication à des tiers

Le RTC requiert le consentement de la personne concernée avant de communiquer à un tiers un renseignement confidentiel lui appartenant, à moins que les lois applicables en autorisent la communication sans ce consentement.

6.2.4    Sécurité des renseignements confidentiels

Le RTC utilise les technologies de l’information pour supporter ses processus d’affaires afin d’offrir une meilleure prestation de services.

Le RTC met en place des mesures de sécurité et de gestion des accès raisonnables et adéquates pour assurer la confidentialité, l’intégrité et la disponibilité des renseignements confidentiels qu’il détient en fonction de la sensibilité de ces renseignements, des risques auxquels ils sont exposés et des obligations auxquelles le RTC est soumis.

 

6.2.5      Déclaration d’incident

Le RTC s’engage à informer ses clients, partenaires d’affaires ou utilisateurs en cas d’incident affectant la protection de leurs renseignements confidentiels. Il s’engage également à prendre les mesures requises pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature se produisent.

​​​​​​​​​​​​​​6.2.6      Destruction

Les renseignements confidentiels sont conservés pour la période nécessaire à la réalisation des fins prévues par leur collecte et, par la suite, sont détruits dans les délais prévus au calendrier de conservation du RTC.

  1. 6.3 Principes applicables aux renseignements personnels
    1. Consentement

En respect des lois applicables, lorsque le RTC recueille des renseignements personnels, il indique clairement les fins pour lesquelles ces renseignements sont recueillis.

La collecte de renseignements personnels par le RTC doit s’effectuer en toute transparence et avec le consentement manifeste, libre et éclairé de la personne concernée relativement à leur utilisation ou à leur communication. Ce consentement peut être explicite ou implicite selon le contexte et les exigences de la Loi sur l’accès.

Le consentement du mineur de moins de 14 ans doit être donné par le titulaire de l’autorité parentale ou le tuteur. Le consentement du mineur de 14 ans et plus peut être donné par le mineur, le titulaire de l’autorité parentale ou le tuteur.

Le consentement à l’utilisation ou à la communication des renseignements personnels sensibles doit être manifesté de façon expresse.

Le RTC devra obtenir un nouveau consentement pour utiliser les renseignements personnels à des fins qui ne sont pas compatibles avec celles pour lesquelles ils ont été recueillis.

      1. Limite à la collecte de renseignements personnels

En respect des lois applicables, le RTC s’engage à recueillir uniquement les renseignements personnels nécessaires pour :

  • fournir les services demandés;
  • l’exercice de ses attributions ou de celles d’un organisme public avec lequel il collabore pour la prestation de services ou pour la réalisation d’une mission commune;
  • la mise en œuvre d’un programme dont il a la gestion ou de celui d’un organisme public avec lequel il collabore pour la prestation de services ou pour la réalisation d’une mission commune.
      1. Collecte de renseignements personnels dans le cadre d’un sondage

Avant de procéder à la collecte de renseignements personnels dans le cadre d’un sondage, le RTC doit s’assurer de la nécessité de recourir à ce sondage et de la nécessité de collecter des renseignements personnels aux fins de celui-ci. Le Responsable de l’accès doit être consulté à cet égard et il peut, s’il le juge nécessaire, consulter le CAIPRP.

Le cas échéant, les renseignements personnels collectés dans le cadre du sondage bénéficient des mesures de protection prévues dans les lois applicables et le cadre normatif du RTC, en fonction de leur sensibilité.

Lorsque le RTC publie ou communique à des tiers les résultats de tout sondage, il s’assure que ceux-ci ne contiennent aucun renseignement personnel.

      1. Mode de collecte

La collecte de renseignements personnels peut s’effectuer, notamment, par l’entremise de formulaires, de différents moyens technologiques (par exemple, les réseaux sociaux ou des applications du RTC), d’entretiens téléphoniques, de sondages d’opinion ou de questionnaires.

Tout employé ou mandataire du RTC qui recueille, en son nom, des renseignements personnels auprès de la personne concernée ou d’un tiers doit, lors de leur collecte et par la suite sur demande, fournir les informations suivantes :

  • la collecte est effectuée au nom du RTC;
  • le cas échéant, le nom du mandataire qui collecte ces renseignements au nom du RTC;
  • les fins pour lesquelles ces renseignements personnels sont recueillis;
  • les moyens par lesquels ces renseignements personnels sont recueillis;
  • le caractère obligatoire ou facultatif de la demande;
  • les conséquences pour la personne concernée d'un refus de répondre à la demande;
  • lors d’une demande facultative, les conséquences d’un retrait du consentement de la personne concernée à la communication ou à l’utilisation des renseignements personnels recueillis;
  • les droits d'accès et de rectification;
  • le cas échéant, le nom des tiers ou des catégories de tiers auxquels il est nécessaire de communiquer les renseignements personnels afin d’accomplir les fins pour lesquelles ces renseignements sont recueillis;
  • le cas échéant, de la possibilité que ces renseignements personnels soient communiqués à l’extérieur du Québec.

 

Sur demande, la personne concernée est également informée :

  • des renseignements personnels recueillis auprès d’elle;
  • des catégories de personnes qui ont accès à ces renseignements au sein du RTC;
  • de la durée de conservation des renseignements personnels;
  • des coordonnées du Responsable de l’accès.

 

      1. Évaluation des facteurs relatifs à la vie privée

Le RTC doit procéder à une évaluation des facteurs relatifs à la vie privée lorsque la Loi sur l’accès l’exige à l’égard d’un projet, d’une collecte ou d’une communication de renseignements personnels identifiés par cette loi.

Toute évaluation des facteurs relatifs à la vie privée doit être effectuée conformément à la Directive sur les évaluations des facteurs relatifs à la vie privée du RTC.

      1. Conservation et utilisation

Tous les renseignements personnels collectés, quel que soit leur support, sont conservés dans un environnement sécurisé.

Ces renseignements sont accessibles uniquement aux employés, administrateurs ou mandataires du RTC qui en ont nécessairement besoin pour l’exercice de leurs fonctions et ces derniers sont tenus de respecter le caractère confidentiel de ces renseignements.

Le RTC doit veiller à ce que les renseignements personnels qu’il conserve soient à jour, exacts et complets dans le but de servir aux fins pour lesquelles ils ont été recueillis.

      1. Finalités de la collecte

Lorsque le RTC collecte et conserve des renseignements personnels, son objectif est d’offrir un service personnalisé et sécuritaire à ses clients, dans le respect des lois applicables et des règles de sécurité.

Ainsi, le RTC utilisera les renseignements personnels recueillis notamment pour les fins suivantes :

  • vérifier l’identité d’un client;
  • assurer la protection du client et celle du RTC contre la fraude et les fausses déclarations;
  • offrir une prestation de services personnalisée;
  • déterminer l’admissibilité aux tarifs privilégiés offerts par le RTC;
  • suivre les requêtes de service auprès du RTC ou de ses mandataires, le cas échéant;
  • assurer le suivi des plaintes adressées au RTC;
  • communiquer de l’information, aux clients qui le souhaitent, sur les services offerts.

 

De plus, le RTC peut utiliser des renseignements personnels dépersonnalisés lorsque leur utilisation est nécessaire à des fins d’étude, de recherche ou de production de statistiques. Ces études peuvent notamment servir à élaborer des modèles prévisionnels, prendre des mesures, définir des profils ou améliorer les services offerts.

      1. Communication à des tiers

Le RTC requiert le consentement de la personne concernée avant de communiquer à un tiers un renseignement personnel la concernant, à moins que les lois applicables en autorisent la communication sans ce consentement.

      1. Communication à des fournisseurs de services

Le RTC peut retenir les services d’un fournisseur de services pour assurer le traitement de renseignements personnels pour son compte. Dans un tel cas, le RTC doit utiliser différents moyens, notamment contractuels, pour s’assurer que les renseignements personnels sont adéquatement protégés.

Il incombe à tout employé, qui demande les services d’un fournisseur de services nécessitant la communication de renseignements personnels, de consulter préalablement le Responsable de l’accès afin d’obtenir l’approbation requise pour ce faire.

Tout fournisseur de services retenu par le RTC doit se conformer aux obligations légales et contractuelles pertinentes ainsi qu’à la présente politique.

      1. Communication à l’extérieur du Québec

Avant de communiquer à l’extérieur du Québec des renseignements personnels ou de confier à un fournisseur de services ou à un organisme public à l’extérieur du Québec la tâche de recueillir, d’héberger, d’utiliser, de communiquer ou de conserver pour son compte des renseignements personnels, le RTC doit :

  • Procéder à une évaluation des facteurs relatifs à la vie privée conformément à la Directive sur la réalisation des évaluations des facteurs relatifs à la vie privée du RTC afin de s‘assurer que les renseignements personnels bénéficieront d’une protection adéquate. Le Responsable de l’accès doit être consulté dans le cadre de cette évaluation;
  • S’assurer que le transfert est conforme aux obligations légales et contractuelles pertinentes.

 

      1. Droits d’accès, de rectification ou de retrait

Toute personne qui en fait la demande a droit d’accès aux renseignements personnels qui la concernent et qui sont détenus par le RTC, à moins d’exceptions prévues aux lois applicables.

Une personne peut demander que ses renseignements personnels soient :

  • corrigés si ceux-ci sont incomplets, inexacts ou équivoques;
  • détruits si leur collecte ou conservation n’est pas autorisée par les lois applicables;
  • qu’ils ne soient plus utilisés pour les fins pour lesquelles ils ont été recueillis.

En conformité avec les lois applicables, le RTC s’engage à respecter toute demande de rectification, de retrait ou de destruction, à moins d’obligations légales à l’effet contraire.

      1. Destruction ou anonymisation

Les renseignements personnels sont conservés pour la période nécessaire à la réalisation des fins prévues par leur collecte et, par la suite, sous réserve de la Loi sur les archives, et sont détruits dans les délais prévus au calendrier de conservation du RTC.

Le RTC peut également anonymiser des renseignements personnels et les conserver ainsi pour les utiliser à des fins d’intérêt public.

      1. Formation et sensibilisation

Le RTC dispense une formation en matière protection des renseignements personnels à tous ses employés afin de favoriser des pratiques respectueuses de la vie privée et veiller à ce que les employés se conforment à la présente politique. Cette formation est mise à jour régulièrement afin d’en assurer la conformité aux lois applicables.

      1. Sécurité des renseignements personnels

Le RTC met en place des mesures de sécurité et de gestion des accès raisonnables et adéquates pour assurer la confidentialité, la protection, l’intégrité et la disponibilité des renseignements personnels qu’il détient en fonction de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support.

Les mesures de sécurité doivent protéger les renseignements personnels contre la communication, l’utilisation et l’accès non autorisés, ainsi que contre les pertes accidentelles ou les altérations.

Lorsque le RTC recueille des renseignements personnels en offrant au public un produit ou un service technologique disposant de paramètres de confidentialité, il s’assure que, par défaut, ces paramètres assurent le plus haut niveau de confidentialité, sans aucune intervention de la personne concernée. Cette exigence ne s’applique toutefois pas aux témoins de connexion ni à un produit ou service destiné aux employés du RTC (intranet, application mobile pour employés, etc.).

      1. Incidents de confidentialité

Les employés doivent rester vigilants quant aux incidents de confidentialité et doivent immédiatement signaler tout incident de confidentialité réel ou raisonnablement suspecté, conformément à laProcédure de traitement des incidents de confidentialité du RTC. Ceci permettra au RTC d’enquêter rapidement sur l’incident de confidentialité et d’y répondre afin de mitiger les risques découlant d’un tel incident et le préjudice pouvant en résulter pour les personnes concernées.

Toute autre personne peut signaler un incident de confidentialité réel ou raisonnablement suspecté au Responsable de l’accès dont les coordonnées sont disponibles sur le site Internet du RTC.

Les incidents doivent être traités, évalués et notifiés conformément à la Procédure de traitement des incidents de confidentialité du RTC.

      1. Gestion des plaintes

Toute personne qui désire déposer une plainte concernant la collecte, la conservation, l’utilisation ou la communication de renseignements personnels par le RTC ou demander l’accès, la rectification ou la destruction de ses renseignements personnels doit adresser celle-ci au Responsable de l’accès dont les coordonnées sont disponibles sur le site Internet du RTC.

    1. Responsabilité de l’utilisateur

Toute personne qui achemine des renseignements au RTC est responsable de l’exactitude de ceux-ci ainsi que du maintien de la confidentialité de ses renseignements d’identification et d’authentification (code d’utilisateur, code d’accès, mot de passe, numéro de carte OPUS, etc.). Le RTC ne peut être tenu responsable d’un usage non autorisé causé par cet utilisateur.

Toute personne qui achemine des renseignements au RTC doit également s’assurer que le système ou l’équipement avec lequel il transmet ou reçoit de l’information du RTC est suffisamment sécuritaire et faire preuve de vigilance. Le RTC ne peut être tenu responsable d’un accès non autorisé à des renseignements découlant d’une négligence ou des vulnérabilités présentes sur l’équipement ou le système d’un utilisateur.

Dans l’éventualité où la confidentialité de ses renseignements venait à être compromise ou son identité usurpée, l’utilisateur est tenu d’en aviser le RTC le plus rapidement possible.

 

    1. Restrictions relatives à l’accès aux services

Le RTC se réserve le droit, pour un motif raisonnable, en tout temps, de détruire le compte d’un utilisateur, et ce, à sa seule discrétion et sans prévis.

Le RTC se réserve également le droit, pour un motif raisonnable, de restreindre ou suspendre l’accès d’un utilisateur aux applications offertes par le RTC, en tout ou en partie.

Le RTC ne pourra être tenu responsable d’une telle restriction, suspension ou destruction.

    1. Lien vers d’autres sites Internet

Le site Internet du RTC propose des hyperliens vers d’autres sites Internet. Les renseignements échangés sur ces sites ne sont pas assujettis à la présente politique, mais à celle du site externe.

Le RTC n’est pas responsable du contenu de ces sites et ne peut être tenu responsable des dommages, de quelque nature qu’ils soient, découlant de la navigation sur ces sites.

    1. Rôles et responsabilités

 

      1. Directeur général

Le directeur général définit les orientations en matière de protection des renseignements personnels et des renseignements confidentiels pour assurer le respect et l’application du cadre normatif du RTC.

Il désigne, par écrit, le Responsable de l’accès et lui confie l’ensemble des fonctions applicables à ce rôle en vertu de la Loi sur l’accès.

      1. CAIPRP

Le CAIPRP a pour mandat de soutenir le Responsable de l’accès dans l’exercice de ses responsabilités et dans l’exécution de ses obligations en matière de protection de renseignements personnels.

Le mandat, la composition et les règles internes du CAIPRP sont prévus dans la Charte du Comité sur l’accès à l’information et la protection des renseignements personnels qui lui confère notamment les responsabilités suivantes :

      • Approuver les règles encadrant la gouvernance du RTC à l’égard des renseignements personnels, que ces règles prennent la forme d’une politique, d’une directive, d’une procédure ou d’un guide, avant leur adoption par l’instance appropriée;

 

      • Dès le début du projet, donner des avis concernant toute évaluation des facteurs relatifs à la vie privée (ci-après « EFVP ») effectuée dans le cadre de projets d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels;

 

      • Assurer les rôles et responsabilités qui lui incombent en vertu de la procédure de traitement des incidents de confidentialité;

 

      • Donner des avis avant toute initiative impliquant une collecte de renseignements personnels impliquant des technologies comme la localisation, la vidéosurveillance, la biométrie ou le profilage et suggérer des mesures particulières de protection des renseignements personnels;

 

      • Donner des avis avant toute initiative impliquant une décision fondée exclusivement sur un traitement automatisé de renseignements personnels et suggérer des mesures particulières de protection des renseignements personnels;

 

      • S’assurer de la mise en place d’un programme de sensibilisation et de formation en matière de protection de renseignements personnels et de sa mise à jour.

 

      1. Responsable de l’accès aux documents et de la protection des renseignements personnels 

Le Responsable de l’accès a notamment les responsabilités suivantes :

      • S’assurer du respect et la mise en œuvre des exigences de la Loi sur l’accès dans le cadre du traitement des renseignements personnels et des renseignements confidentiels détenus par le RTC;

 

      • S’assurer que le cadre normatif applicable à la protection des renseignements personnels et des renseignements confidentiels est défini, mis à jour et modifié compte tenu des lois applicables et de l’évolution des technologies de l’information;

 

      • Gérer les demandes d’accès ainsi que les plaintes concernant le traitement ou la protection des renseignements personnels ou des renseignements confidentiels;

 

      • Gérer les demandes de rectification concernant les renseignements personnels et toute autre demande relative aux droits individuels prévus par la Loi sur l’accès;

 

      • Participer à la réalisation de toute évaluation des facteurs relatifs à la vie privée effectuée et proposer des mesures appropriées pour contribuer à assurer la protection des renseignements personnels conformément à la Directive générale sur la réalisation des évaluations des facteurs relatifs à la vie privée;

 

      • Participer à l’analyse du risque de préjudice sérieux que présente un incident de confidentialité pour les personnes concernées et assurer les suivis requis conformément à la Procédure de traitement des incidents de confidentialitédu RTC.

 

      1. Directeur - Division des services technologiques partagés

Le directeur – Division des services technologiques partagés est responsable de concevoir, mettre en place et administrer le programme de sécurité informatique, c’est‑à‑dire l’ensemble des solutions répondant aux objectifs de sécurité du RTC.

Il a également pour responsabilité de :

  • Formuler des recommandations concernant les besoins, les priorités, les orientations, les plans d’action, les documents normatifs et les bonnes pratiques en matière de sécurité informatique et de gestion des risques de sécurité;
  • S’assurer de l’évolution et de la gestion des actifs informatiques du RTC afin de permettre la disponibilité, l’intégrité et la confidentialité des renseignements personnels et confidentiels de façon continue;
  • Rapporter au directeur exécutif des technologies tout incident susceptible de créer un risque de sécurité;
  • Faire une vigie ponctuelle et régulière des mesures de sécurité mises en place pour protéger les renseignements personnels dans les actifs informatiques du RTC;
  • Procéder à l’analyse des risques techniques de sécurité, lorsque requis.
      1. Répondant

Le répondant est un employé, désigné par une direction exécutive, dont le rôle consiste, avec l’appui du Responsable de l’accès, à veiller à l’utilisation, la communication, la conservation adéquate et à la sécurité des renseignements personnels et des renseignements confidentiels au sein de sa direction.

Les principales responsabilités des répondants sont de :

  • S’assurer que les renseignements personnels et les renseignements confidentiels sont traités conformément aux fins énoncées dans la présente politique, notamment en veillant à ce que les employés de la direction pour laquelle il agit à titre de répondant aient accès uniquement aux renseignements personnels ou aux renseignements confidentiels nécessaires à l’exercice de leurs fonctions;
  • Informer et sensibiliser les employés de la direction pour laquelle il agit à titre de répondant quant aux dispositions de la présente politique;
  • Aviser le Responsable de l’accès de tout incident de confidentialité qui a pu se produire au sein de la direction pour laquelle il agit à titre de répondant.

 

      1. Employés

Les employés doivent collaborer à la mise en œuvre et respecter toutes les règles formulées dans la présente politique ainsi que dans tout autre document applicable au traitement des renseignements personnels ou des renseignements confidentiels.

Chaque employé doit s’assurer de traiter uniquement les renseignements personnels ou les renseignements confidentiels nécessaires à l’exercice de ses fonctions et de les protéger conformément au cadre normatif du RTC.

  1. Annexes

S. O.

  1. Responsable de l’application

Le directeur général est responsable de l’application de la présente politique.

  1. Dispositions finales et mesures transitoires

La présente politique intitulée « Politique sur la confidentialité et la protection des renseignements personnels » remplace toutes les versions antérieures.

  1. Entrée en vigueur

La présente politique entre en vigueur le jour de son adoption par le conseil d’administration du RTC le 6 septembre 2023.