Règles de gouvernance en matière de renseignements personnels (Loi 25)

Table des matières

Introduction

En septembre 2021, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (« Loi 25 ») a été adoptée par l’Assemblée nationale du Québec. Cette loi vient ajouter et modifier plusieurs dispositions au cadre juridique applicable aux entreprises d’enseignement privés en ce qui concerne la collecte, l’utilisation, la communication à des tiers, la conservation et la sécurité des renseignements personnels.

Ces exigences s’appliquent aussi bien à l’égard des renseignements personnels des élèves et de leurs parents (titulaires de l’autorité parentale, tuteurs, tutrices) que de ceux des employés ou des différents partenaires des entreprises d’enseignement privés. Parmi ces exigences, il est prévu que les entreprises d’enseignement privés fassent preuve de transparence et adoptent des règles dites de gouvernance quant à la gestion des renseignements personnels qu’ils détiennent, et ce, même si celle-ci est confiée à un tiers.

Cette exigence entre en vigueur le 22 septembre 2023. Elle est intégrée aussi bien dans la Loi sur l’accès aux documents des organismes publics et la protection des renseignements personnels que dans la Loi sur la protection des renseignements personnels dans le secteur privé.

Rôles et responsabilités

Responsable de la protection des renseignements personnels

Raby Bouras
Directeur

Rôle

  • Voir au respect de la protection des renseignements personnels au sein de l’entreprise, mais aussi à l’égard de ceux confiés à un tiers.
  • Promouvoir le droit au respect de la vie privée et de la protection des renseignements personnels au sein de l’entreprise.

Responsabilités

Dans l’accomplissement de ses responsabilités, la personne responsable de la protection des renseignements personnels peut déléguer l’entièreté ou une partie des responsabilités suivantes au service des ressources humaines, tout en conservant l’autorité décisionnelle :

  • Conseiller en matière de protection des renseignements personnels.
  • Siéger au comité sur l’accès à l’information et sur la protection des renseignements personnels.
  • Établir et mettre en œuvre les politiques et pratiques encadrant la gouvernance de l’entreprise à l’égard des renseignements personnels et veiller à sa révision périodique.
  • Participer à l’entreprise de la position organisationnelle en matière de protection des renseignements personnels.
  • Intervenir à toute étape d'une évaluation des facteurs relatifs à la vie privée d'un projet visant un système d'exploitation ou de prestation électronique de services impliquant des renseignements personnels.
  • Être consulté lors de l’évaluation du risque qu’un préjudice soit causé à une personne dont un renseignement personnel est concerné par un incident de confidentialité.
  • En collaboration avec le service des ressources humaines, tenir les registres de communications de renseignements personnels, incluant en cas d’incident de confidentialité.
  • Être avisé en cas d’incident de confidentialité survenu chez un mandataire ou l’exécutant d’un contrat de service ou d’entreprise / procéder (seul ou avec les services concernés) à l’inventaire des contrats avec des fournisseurs, prestataires externes et, le cas échéant, les réviser.
  • Effectuer toute vérification relative à la confidentialité des renseignements personnels confiés à un tiers.
  • Répondre aux plaintes ainsi qu’aux demandes d’accès aux renseignements personnels ou de rectification.
  • Prêter assistance au demandeur à comprendre la décision de lui refuser – en tout ou en partie – l’accès ou la rectification d’un renseignement personnel.
  • Mettre en place des formations, des mécanismes de sensibilisation à la protection des renseignements personnels au sein de l’entreprise.
  • Répondre aux demandes de la Commission d’accès à l’information.

Agence de Marketing

Klimb Ascension d'Entreprise

Rôle

  • S'assurer de l'application des meilleures pratiques de sécurité pour la gestion des campagnes marketing numériques et l'hébergement de sites web, en mettant l'accent sur la protection des renseignements personnels.
  • Promouvoir l'importance de la vie privée et de la protection des données personnelles dans toutes les activités de marketing numérique.

Responsabilités

  • Mettre en œuvre des mesures de sécurité robustes, telles que l'authentification à deux facteurs (2FA), pour protéger les données personnelles dans le cadre des services offerts.
  • Collaborer avec les clients pour s'assurer qu'ils comprennent les pratiques de sécurité en place et leur rôle dans la protection des données.
  • Effectuer des mises à jour régulières des logiciels utilisés pour atténuer les risques potentiels liés à la gestion des campagnes Google Ads, des infolettres et des campagnes Facebook.
  • Élaborer des plans d'intervention pour réagir rapidement en cas d'incident de confidentialité.
  • Maintenir un inventaire des technologies et outils utilisés pour la collecte, la communication et la conservation des renseignements personnels.
  • Offrir des formations et des activités de sensibilisation sur la sécurité des informations pour renforcer la vigilance de l'équipe interne et des parties prenantes externes.

Limitation de responsabilité

Bien que l'agence s'engage à utiliser les meilleures pratiques pour sécuriser les données, elle ne peut être tenue responsable des incidents de sécurité résultant de facteurs indépendants de sa volonté, tels que l'utilisation inadéquate des technologies par les clients ou des failles de sécurité dans les plateformes tierces.

Comité Loi 25

Rôle

  • Soutenir l’entreprise dans l’exercice de ses responsabilités et dans l’exécution de ses obligations à l’égard de la protection des renseignements personnels (PRP).
  • Approuver les règles de gouvernance à l’égard des renseignements personnels.
  • Être consulté lors des évaluations de facteurs relatifs à la vie privée pour tout projet d’acquisition, de développement et de refonte d’un système d’information ou d’une prestation électronique de service impliquant des renseignements personnels.

Responsabilités

  • Dresser un inventaire des renseignements personnels détenus par chacun des services.
  • Approuver des règles de gouvernance du Collège Nouvelles Frontières.
  • Être consulté, dès le début d’un projet impliquant des renseignements personnels et aux fins de l’évaluation des facteurs relatifs à la vie privée, pour tous les projets d’acquisition, de développement et de refonte d’un système d’information ou d’une prestation électronique de services impliquant des renseignements personnels. Le comité peut également suggérer, à toutes les étapes du projet :
    • La nomination d’une personne chargée de la mise en œuvre des mesures de protection des renseignements personnels.
    • Des mesures de protection des renseignements personnels dans les documents relatifs au projet, comme un cahier des charges ou un contrat.
    • Une description des responsabilités des participants au projet en matière de protection des renseignements personnels.
    • La tenue d’activités de formation sur la protection des renseignements personnels pour les participants.

Cybersécurité

ENGAGEMENT EN MATIÈRE DE CYBERSÉCURITÉ

L’entreprise s’engage à suivre les meilleures pratiques de sécurité pour protéger les renseignements personnels des utilisateurs de notre site web.

  • Garder nos systèmes à jour grâce à des mises à jour régulières et à l'application de correctifs de sécurité.
  • Utiliser des services chiffrés et réputés pour la gestion et le stockage des données.
  • Protéger les données de l'organisation en utilisant des solutions de sécurité éprouvées.
  • Optimiser la prévention contre la cybercriminalité grâce à des pratiques proactives.

Les renseignements personnels sont accessibles uniquement aux membres du personnel qui en ont besoin pour accomplir leurs tâches, garantissant ainsi une gestion sécurisée des données.

Conservation et destruction

Conformément aux lois applicables, en ce qui concerne la conservation et la destruction d’un renseignement personnel, lorsque les objectifs sont atteints, l’information doit être détruite ou anonymisée, sous réserve du délai de conservation prévu par une loi.

À ce sujet, l’entreprise se réfère au Guide de gestion des archives à l’intention des entreprises d’enseignements privés du Québec préparé par la Fédération des entreprises d’enseignement privés et transmis à Bibliothèques et Archives nationales (février 2016) ainsi qu’à la Commission d’accès à l’information.

Références et liens utiles :

  • Fédération des entreprises d’enseignement privé (2016, février). Guide de gestion des archives à l’intention des entreprises d’enseignement privés du Québec
  • Commission d’accès à l’information du Québec (2014, mars). Destruction des documents contenant des renseignements personnels (en cours de révision)

Gestion des incidents

En cas d’incident de confidentialité, l’entreprise, conformément aux lois s’y rattachant, s’engage à :

  • Inscrire l’incident au registre prévu à cet effet.
  • Évaluer les facteurs de risque en matière de vie privée et/ou vol d’identité.
  • Informer la Commission d’accès à l’information et les personnes concernées, en cas d’incident présentant un risque de préjudice sérieux.

Un plan d’intervention en matière de sécurité, incluant les incidents de confidentialité, a été mis en place. Celui-ci comprend l’introduction de l’incident, l’équipe de réponse en cas d’incident et les différentes étapes et démarches à effectuer pour la gestion de l’incident.

Si vous êtes victime d’un incident de sécurité et/ou de confidentialité, vous devez d’abord communiquer par écrit avec la personne responsable.

Avec diligence, confidentialité, et en cas de besoin, l’entreprise se réserve le droit de discuter d’un incident avec les membres du Comité Loi 25 ou de prendre un avis juridique auprès d’une firme d’avocat conseils ou auprès de la Commission d’accès.

Évaluation des facteurs relatifs à la vie privée

Selon la Commission d’accès à l’information, une évaluation de facteurs relatifs à la vie privée (EFVP) se définit comme suit :

L’entreprise s’engage à réaliser, au préalable, des évaluations de facteurs relatifs à la vie privée (EFVP) lors des situations suivantes :

  • Lors d’un projet d’acquisition, de développement ou de refonte d’un système d’information ou de prestation électronique de services impliquant des renseignements personnels.
  • Lors de la communication à l’extérieur du Québec de renseignements personnels ou lorsque la tâche de recueillir, d’utiliser, de communiquer ou de conserver pour son compte de tels renseignements est confiée à une personne ou à un organisme à l’extérieur du Québec.
  • Lors de la collecte de renseignements personnels nécessaires à l’exercice des attributions ou à la mise en œuvre d’un programme d’un organisme public avec lequel il collabore pour la prestation de services ou pour la réalisation d’une mission commune.
  • Lors de la communication de renseignements personnels sans le consentement des personnes concernées, conformément à l’article 68 de la Loi sur l’accès.
  • Lorsque l’entreprise doit effectuer une EFVP, celle-ci peut être proportionnée, mais doit tenir compte :
    • De la sensibilité des renseignements personnels ou encore de leur nature ou de leur type.
    • De la finalité de leur utilisation.
    • De leur quantité, leur répartition et leur support.
    • Des mesures de protection en place incluant, dans le cas des communications à l’extérieur du Québec, l’analyse du régime juridique applicable dans l’État où les renseignements personnels seront communiqués.

Suivez-nous pour rester à l'affût du monde de la psychologie

Annonce concernant le Choix du Consommateur
Google Safe Browsing

En vertu de la loi 25, Raby Bouras, directeur, a été désignée responsable de la protection des renseignements personnels.