Politique de confidentialité

DOCUMENT rédigé par Thibaut Magnette, retravaillé avec l’équipe d’Action Femmes et handicap.
Version finale proposée par Marie-Hélène Tanguay et appuyée par Patricia Landry et adoptée au CA du 2024-09-16.

1. Préambule

Action Femmes et handicap est un organisme communautaire qui offre des services de soutien, de formation et d’accompagnement à ses membres. Il traite les renseignements personnels de ses membres aux fins d’identification et de statistique principalement, mais peut également traiter des informations sensibles dans le cadre de son accompagnement aux plaintes, même sans posséder directement ces informations : les membres sont responsables de faire leurs démarches de plainte. Il est très rare que l’organisme ait en sa possession une copie de ces informations.

La présente politique énonce les principes et les règles de conduite concernant la collecte, la protection et l’accès aux renseignements personnels des membres et du personnel de la Corporation. En matière de protection des renseignements personnels, la Corporation s’engage à respecter la « Loi sur la protection des renseignements personnels dans le secteur privé ». En ce qui concerne l’accès à ses livres et à ses registres, la Corporation s’engage à respecter les dispositions pertinentes de la « Loi sur les compagnies ».

2. Définitions

À moins d’une disposition contraire ou à moins que le contexte ne le veuille autrement, dans le présent document, le terme :

  • « Coordination » : désigne la personne occupant le poste de coordination de la Corporation ;
  • « Corporation » : désigne l’organisme Action Femmes et handicap ;
  • « Fichier témoin » : désigne le fichier texte stockant de petites quantités d’information qui est téléversé dans l’ordinateur ou l’appareil sans fil par les sites web visités par une utilisatrice ou un utilisateur (cookie) ;
  • « Loi » : désigne le cadre juridique en vigueur au Québec, dont la Loi sur la protection des renseignements personnels dans le secteur privé ;
  • « Membre de la Corporation » : désigne toutes les catégories de membres de la Corporation ;« 
  • Membre du personnel » : désigne tout·eˑemployé·e ou contractuel·le externe de la Corporation ;
  • « Personne administratrice » : désigne une membre de la Corporation qui occupe un poste d’administratrice ;
  • « Tierce ou Tiers » : désigne unˑe proche ou unˑe professionnelˑle autoriséˑe par une membre ou encore unˑe partenaire.

3. Objectifs

La présente politique a pour objectif de :

  • Favoriser l’application de la Loi et son interprétation ;
  • Assurer la confidentialité des dossiers et des informations de la Corporation ;
  • Assurer la confidentialité des renseignements personnels ;
  • Poser un cadre de gestion des données personnelles collectées par la Corporation ;
  • Établir une relation de confiance entre le public, les membres, le personnel et les partenaires.

4. Champ d’application et limite de responsabilité

La présente politique s’applique à tout renseignement personnel collecté par la Corporation, son personnel et ses administrattrices selon le cadre établit par la présente politique et la Loi.

5. Type de renseignements collectés

La section suivante explique les types de données qui peuvent être collectées par la Corporation dans le cadre de ses activités.

Données publiques

Dans le cas d’une personne travaillant au sein d’une entreprise ou d’un organisme public, ses informations professionnelles sont généralement considérées publiques : nom complet, titre, fonction, coordonnées professionnelles, voir son salaire dans le cas des organismes d’État. Ce sont toutes des informations accessibles au public, généralement par l’entremise des sites internet gouvernementaux. Selon le type d’emploi, ces données pourraient toutefois être catégorisées comme des données sensibles. Les informations présentes sur la page Facebook de la Corporation doivent être traitées avec la plus grande prudence. En effet, la jurisprudence, notamment en droit du travail, considère souvent comme publiques les informations présentes sur Facebook ou collectées sur Facebook dans certaines circonstances.

Données confidentielles

On cible ici toutes les informations permettant d’identifier la personne telles que ses coordonnées complètes, ses moyens de communication (adresses de courriel, téléphones, etc.), les informations propres à sa personne (date de naissance, critères physiques, etc.), les informations financières (coordonnées bancaires, codes secrets, etc.) et les informations juridiques pertinentes (suivi des dossiers de plaintes, par exemple).

Données sensibles

En règle générale, on parle de tout renseignement qui présente un haut degré d’intrusion dans la vie privée. Il s’agit ici de toutes les données personnelles concernant la santé, les habitudes, les champs d’intérêt, l’orientation sexuelle, les idéaux de la personne ou d’autres renseignements confidentiels. Les informations financières qui ne sont pas directement reliées à des institutions peuvent se retrouver ici : les avoirs, biens, dettes, c’est-à-dire la situation financière générale. Ces données ne permettent pas de retracer la personne, mais d’en dresser un profil aux fins statistiques de la Corporation. Advenant la perte ou le vol de ces données conjointement aux données confidentielles, ces données pourraient s’avérer utilisables au détriment de la personne concernée.

6. Évaluation des facteurs relatifs à la vie privée

À la suite de l’évaluation des renseignements personnels recueilis par la Corporation et nécessaires à son bon fonctionnement, en respect de sa mission, l’ensemble des éléments énumérés dans cette section est susceptible d’être requis par la Corporation à un moment ou un autre. Ils sont présentés ici en fonction de la personne à qui ils peuvent être demandés à un moment ou un autre de ses interactions avec la Corporation. Pour le détail, se référer au tableau en annexe.

Renseignements sur le personnel

Nom et prénom, numéro de téléphone, adresse de courriel, adresse complète, informations bancaires, date de naissance, renseignements médicaux, besoins d’aide à l’autonomie, historique d’emploi, niveau de scolarité.

Renseignements sur les membres

Nom et prénom, numéro de téléphone, adresse de courriel, âge, situation familiale, type de handicap, besoins d’aide à l’autonomie.

Renseignements sur les administratrices (supplémentaire à ceux des membres)

Date de naissance, numéro d’identification gouvernemental (numéro d’assurance maladie, permis de conduire, passeport, etc.).

7. Autorisation et moyens de collecte

La section présente tous les moyens utilisés par la Corporation pour obtenir les renseignements présentés au point précédent.

Autorisation

L’autorisation de la personne pour procéder à la collecte de ses renseignements personnels se donne dans les situations suivantes :

  • Lors de l’inscription comme membre, la personne doit donner, par écrit de préférence, son consentement pour la collecte des informations pertinentes à la prestation de services de la Corporation, ainsi qu’à la modification ultérieure de ces renseignements et à l’ajout de nouveaux au cours de la prestation de services ;
  • Lors de la réception d’une communication de la part d’une personne à la Corporation, l’autorisation de conserver les renseignements donnés à ce moment est automatique ;
  • Lors de l’utilisation et de l’envoi de formulaires via le site web ou les médias sociaux de la Corporation, si la plateforme utilisée le permet, une autorisation d’envoi des informations doit être demandée à l’utilisatrice ou à l’utilisateur pour pouvoir être envoyée ;
  • Lors de l’utilisation du site web de la Corporation, un avis concernant la cueillette de fichiers témoins doit être validé.

Site web

Une des portes d’entrée de la Corporation est son site web : il présente l’organisme, mais permet également aux citoyennes et citoyens de s’inscrire via le formulaire en ligne. Pour la liste complète des formulaires utilisés sur le site web, se référer à l’annexe « Formulaires web ».

Page Facebook, médias sociaux et applications de clavardage

La page Facebook est le principal outil de mobilisation et de communication avec les membres et les partenaires : la messagerie Messenger et son application indépendante sont incluses dans la désignation « Facebook ». Peu d’informations personnelles transitent toutefois par cette application en dehors des informations qui pourraient être transmises par les utilisatrices et les utilisateurs de la plateforme. Toutes les directives inscrites dans la présente politique s’appliquent également aux autres plateformes et médias que la Corporation pourrait utiliser, avec les adaptations requises selon la situation.

Tous les types d’informations peuvent être collectés via les médias sociaux ciblés ici. Toute information transigeant par une application de clavardage est considérée comme une information privilégiée, adressée uniquement aux utilisateurˑtriceˑs-interlocuteurˑtriceˑs de la discussion : ces informations sont triées par la Corporation selon les grilles et procédures mentionnées dans la présente politique. Le niveau d’attention et de sécurité accordé à Messenger ou à toute autre application de clavardage devrait être au moins équivalent à celui des échanges par courriels ou de personne à personne.

Notons que bien qu’une application de clavardage comme Messenger soit « chiffrée de bout en bout », garantissant ainsi l’inviolabilité de la communication, il y a toujours un risque que l’utilisatrice ou l’utilisateur à qui s’adresse la Corporation soit une autre personne que celle qu’elle prétend être. La Corporation se garde ainsi un devoir de réserve dans la divulgation d’informations confidentielles ou sensibles via ces sites et applications et privilégie les échanges en personne, par téléphone ou par appel vidéo.

Courriel

On vise ici tous les courriels reçus ou envoyés par la Corporation. Tout courriel émanant d’une adresse professionnelle de la Corporation doit contenir une mention indiquant le caractère privilégié et confidentiel de la communication. Tout type d’informations peut être recueilli par courriel, mais il en va du jugement professionnel du personnel et des membres du conseil d’administration de transmettre les bons renseignements aux bons destinataires selon les circonstances. Si les circonstances le permettent, tout le personnel et toutes les membres du conseil d’administration de la Corporation devraient idéalement pouvoir utiliser une adresse de courriel professionnelle dans le cadre de leur fonction.

Téléphone et personne à personne

Toute information transmise par téléphone n’est pas automatiquement prise en note par la Corporation. Seules les informations nécessaires à l’identification de la personne le sont d’office. Le reste des informations varient selon la situation et sont donc conservées selon les directives de la présente politique. La Corporation encourage son personnel à privilégier les notes sur un support numérique sécurisé, mais laisse à la discrétion et au jugement de celui-ci l’utilisation du support papier, qui doit dans ce dernier cas être sécurisable en l’absence de l’employéˑe grâce aux moyens mis à sa disposition par la Corporation.

8. Règles d’archivage

En l’absence d’une politique ou d’une procédure dédiée à la conservation et à l’archivage des informations collectées par la Corporation, les présentes règles s’appliquent à tout type d’informations, qu’il s’agisse de renseignements personnels ou autre, avec les adaptations requises selon les circonstances.

8.1 Directives générales

  • La Corporation doit agir avec rigueur et diligence, et prendre les moyens les plus adéquats selon ses capacités pour assurer la sécurité et la protection de toutes les informations qu’elle possède ou est en voie d’obtenir ;
  • L’accès à tout document de la Corporation, incluant des renseignements personnels, doit être restreint et sécurisé ;
  • Tous les dossiers doivent être classés de manière à pouvoir retrouver facilement les échanges d’informations avec les personnes concernées ;
  • Tous les dossiers devraient être archivés de façon électronique, sauf dans les cas prescrits par la Loi ;
  • La mention « Archives » doit être clairement identifiée sur le dossier visé ;
  • Une copie des données pour l’utilisation quotidienne devrait être séparée de la seconde copie aux fins de conservation en cas d’altération ou de perte de la copie principale ;
  • La Corporation ne devrait pas garder les informations confidentielles ou sensibles au-delà de dix (10) ans d’un dossier inactif ou selon les règles prescrites par la Loi.

8.2 Durée d’archivage

  • Toute information non pertinente pour le fonctionnement de la Corporation ou le suivi d’un dossier d’une membre devrait être détruite dans les trente (30) jours suivant la collecte ;
  • Toute information qui n’a pas été utilisée ou consultée depuis plus de cinq (5) ans devrait être archivée ;
  • Toute information archivée depuis plus de cinq (5) ans devrait être anonymisée ;
  • Toute information anonymisée à laquelle la Corporation n’a pas accédée ou qui n’a pas été utilisée depuis plus de cinq (5) ans devrait être détruite, sauf dans les cas prévus par la Loi et dans le cas d’outils promotionnels ou d’information ou toute autre situation où l’autorisation écrite de la personne concernée peut être produite pour en prouver l’autorisation ;
  • Les procès-verbaux, les statistiques, les états financiers vérifiés et les documents tenant lieu d’historique de la Corporation doivent être colligés dans des livres prévus à cet effet et archivés par voie électronique en vue de conservation permanente tant que la Corporation existe.

9. Sécurité des renseignements

9.1 Supports électroniques

Cette catégorie inclut tous les supports électroniques courants existants, tels que :

9.1 Supports électroniques

  • Ordinateur local : Tout ordinateur professionnel ou personnel des employéˑeˑs et administratrices de la Corporation qui est configuré pour être utilisé dans le cadre de la collecte de tout type de données identifiées dans la présente politique.
  • Serveur physique : Serveur privé de la Corporation, accessible en réseau fermé, soit localement par le réseau internet dans les locaux de la Corporation, soit à distance par l’entremise d’un VPN ou de tout autre logiciel de connexion sécurisée.
  • Serveur infonuagique : Serveur privé, acheté ou loué par la Corporation, accessible en dehors du réseau fermé, autant sur ordinateur que sur tablette ou cellulaire.
  • Clé USB et disque externe (HDD/SSD) : Tout support physique de conservation électronique qui doit être branché à un lecteur de données afin d’être utilisable.

Tous ces supports doivent au minimum être protégés par un mot de passe suffisamment sécuritaire et réservé au personnel de la Corporation ou à ses administratrices et les accès réservés en lien avec les postes et mandats respectifs. Tout accès en réseau ouvert (à domicile, sur un réseau public ou gratuit) devrait de plus se faire par une validation à deux (2) étapes, c’est-à-dire à l’aide d’une validation par courriel, numéro de téléphone, message texte ou application électronique dédiée.

9.2 Support physique

Cette catégorie inclut tous les supports physiques autres que les clés USB et disques externes : documents papier et articles promotionnels entre autres qui permettent d’identifier une personne. Aux fins d’économies, de gestion des risques et de prévention de la détérioration physique, la numérisation des documents physiques devrait être automatique si le document doit également être conservé physiquement.

Les archives physiques devraient être conservées dans des classeurs sécurisés (clé physique ou code), de préférence dans un local dont l’accès peut être restreint à la coordination ou à la présidence de la Corporation, si possible au siège social de la Corporation et dont l’accès doit également être sécurisé.

9.3 Mots de passe et identifiants de connexion

Si les circonstances le permettent, toutes les informations d’identification et de connexion utilisées par la Corporation devraient idéalement être répertoriées et sauvegardées dans un fichier ou logiciel de gestion d’accès central. Seules la coordination, la présidence et les ressources de soutien informatique devraient y avoir accès.

10. Assurances et dédommagement

Advenant un incident de perte ou de vol de données personnelles, la Corporation s’engage à dédommager, dans les limites de ses capacités, la personne dont les informations ont été perdues ou volées. Une telle victime ne sera pas dédommagée d’office, mais le conseil d’administration doit s’assurer de prendre toutes les mesures raisonnables afin d’indemniser et de protéger ses membres, ses employé·e·s et la réputation de la Corporation ainsi que toute personne qui aurait volontairement transmis ses informations personnelles à la Corporation et ce, dans des délais raisonnables à la suite de l’incident.

11. Personne responsable désignée

La personne responsable de la protection des renseignements personnels est désignée annuellement par une résolution du conseil d’administration dans les deux (2) mois de la fin de l’année financière de la Corporation. Au moment de la fin de son mandat, cette personne doit présenter au conseil d’administration un rapport de ses activités de la dernière année. Si la personne désignée est reconduite annuellement, aucune modification ne doit être apportée à la présente section.

11.1 Fonctions du responsable

Le responsable de la protection des renseignements personnels assume diverses fonctions importantes au sein de la Corporation.

  • Répondre aux demandes d’accès et de rectification ;
  • Tenir un registre des utilisations et des communications de renseignements personnels sans consentement ;
  • Participer à l’évaluation des préjudices causés par un incident de confidentialité ;
  • Recevoir et traiter les avis de violation d’obligations de confidentialité des mandataires ;
  • Répondre aux demandes des personnes concernant le droit à la portabilité

La personne désignée actuellement est : Laurence Perreault-Rousseau

12. Accès et modifications de l’information

L’accès aux données recueillies par la Corporation est réservé à la coordination ainsi qu’au personnel selon le niveau d’accès rattaché à leur poste. La présidence de la Corporation obtient automatiquement ces accès, mais de façon temporaire, si la coordination n’est pas habilitée à le faire au moment requis.
Les applications permettant de faire les modifications au dossier de la personne concernée devraient permettre le traçage de l’utilisatrice ou de l’utilisateur qui y a procédées.

Une demande d’accès ou de changement (modification, retrait) de l’information d’une personne pour son propre dossier doit être faite par écrit à la personne responsable de la protection des données personnelles pour la Corporation. Cet écrit doit justifier le motif de sa demande, le détail complet du changement demandé et sa durée si applicable. Cette procédure est la même pour tout changement au consentement de transmission de l’information préalablement donné.

Une personne qui ne pourrait bénéficier de ce droit en raison d’un handicap (par exemple : limitation visuelle, déficience intellectuelle ou autre) devra faire cette procédure par l’entremise d’une personne habilitée à le faire et produire la preuve de ce mandat.

Une copie des informations possédées par la Corporation doit alors être remise à la personne concernée, ou son représentant, dans un délai de trente (30) jours, à moins d’un refus qui doit impérativement être motivé et appuyé par les dispositions légales le justifiant.

La Corporation n’a pas besoin de demander systématiquement l’accord de la personne pour mettre à jour les informations la concernant lorsque celle-ci les lui communique.

13. Partage et collecte d’information auprès de tiers

Toute membre de la Corporation doit signer, lors de son admission, l’annexe « Partage d’information à une tierce ou à un tiers » qui balise quels renseignements peuvent être communiqués et à quelle tierce ou tiers. Tout autre partage d’informations qui ne serait pas identifié dans cette annexe devra être approuvé par la membre, par écrit ou dans certains cas exceptionnels, inscrit dans une note signée par l’employéˑe qui les reçoit ; un identifiant numérique permettant d’identifier l’employéˑe est aussi acceptable.

Tout membre du personnel de la Corporation doit donner son consentement écrit pour que cette dernière puisse demander des renseignements personnels la ou le concernant auprès d’une tierce ou d’un tiers (ex : auprès du personnel du réseau de la santé ou d’une entité gouvernementale).

La Corporation ne partagera pas avec quiconque et ne demandera à aucune personne tierce de renseignements personnels sans le consentement de la personne visée à moins qu’une situation prescrite par la Loi le requière, que la sécurité de la personne soit en jeu, qu’une situation de fraude soit constatée ou encore si l’exactitude des renseignements doive impérativement être vérifiée. Dans ce cas, la Corporation partagera le renseignement requis auprès de l’interlocuteur trice que la Loi prescrit (par exemple : 911, service de police, etc.).

14. Gestion des incidents

Un incident de confidentialité désigne tout accès, utilisation ou communication d’un renseignement personnel non autorisé par la Loi, de même que sa perte ou toute autre atteinte à sa protection.

Lorsqu’une personne constate un incident de confidentialité, elle doit le signaler à la personne responsable de la protection des renseignements personnels. Pour ce faire, elle doit remplir le formulaire de signalement et l’acheminer à la personne responsable désignée : elle peut également remplir le formulaire directement avec cette même personne en cas de besoin (par exemple : handicap ou autre).

Le formulaire de signalement doit contenir au minimum les informations suivantes :

  • Le moment le plus précis possible auquel a eu lieu l’incident ;
  • La description sommaire des circonstances de l’incident ;
  • La description précise des renseignements personnels touchés par l’incident ou les raisons pour lesquelles il est impossible de fournir une telle description ;
  • Le nombre de personnes concernées par l’incident ;
  • La date à laquelle le signalement est transmis à la Corporation.

La personne responsable de la protection des renseignements personnels doit alors conserver ce signalement, l’inscrire dans un registre conçu à cette fin, et ce, pour une période de cinq (5) ans, et en faire le suivi et les mises à jour requises.

Le registre doit uniquement indiquer :

  • Le nom complet de la personne ayant fait le signalement ;
  • La date à laquelle il a été reçu ;
  • L’état de traitement du signalement :
    • non débuté ;
    • en cours ;
    • terminé ;
    • ou invalide.

La personne responsable de la protection des renseignements personnels doit d’abord vérifier que le signalement est recevable : les informations reçues doivent être complètes et l’incident doit avoir eu lieu dans le cadre établi par la présente politique. Si le signalement s’avère irrecevable, la personne responsable de la protection des renseignements personnels doit en aviser la personne l’ayant signalé en lui expliquant les motifs de refus. Si l’incident est recevable, elle identifie alors les mesures raisonnables pour réduire le risque de préjudice et pour prévenir de nouveaux incidents de la sorte. Elle doit de plus juger si l’incident présente un « risque sérieux de préjudice ». Si l’incident présente un risque sérieux de préjudice, elle doit en aviser la Commission d’accès à l’information, les personnes concernées par l’incident ainsi que le conseil d’administration de la Corporation à l’aide des moyens appropriés.

15. Gestion des plaintes

Toute personne qui souhaite formuler une plainte relative à la protection de ses renseignements personnels, doit le faire par écrit, en s’adressant à la personne responsable désignée. Si un handicap l’en empêche, la personne doit en mandater une autre pour le faire en son nom.

La personne devra indiquer son nom, les coordonnées pour la joindre, incluant un numéro de téléphone, ainsi que l’objet et les motifs de sa plainte, en donnant suffisamment de détails pour que la plainte puisse être évaluée par la Corporation. Si la plainte formulée n’est pas suffisamment précise, la personne responsable désignée peut requérir toute information additionnelle qu’elle juge nécessaire pour pouvoir évaluer la plainte.

Toute plainte est traitée de façon confidentielle.

Dans les trente (30) jours suivant la réception de la plainte ou suivant la réception de tous les renseignements additionnels jugés nécessaires et requis par la personne responsable désignée pour pouvoir la traiter, cette dernière doit l’évaluer et formuler une réponse par écrit. Dans le cas où la plainte ne peut être traitée dans ce délai, la personne ayant fait la plainte doit être informée des motifs justifiant l’extension du délai, de l’état d’avancement du traitement de sa plainte et du délai raisonnable nécessaire pour recevoir une réponse finale.

L’évaluation vise à déterminer si le traitement des renseignements personnels est conforme à la présente politique, à toute autre politique et pratique en place au sein de la Corporation ainsi qu’à la législation ou réglementation applicable.

La personne responsable désignée doit inscrire la plainte dans un registre et conserver chaque dossier de plainte séparément.

Le registre doit uniquement indiquer :

  • Le nom complet de la personne ayant fait la plainte ;
  • La date à laquelle la plainte a été reçue ;
  • L’état de traitement de la plainte :
    • non débuté ;
    • en cours ;
    • terminé ;
    • ou invalide.

Il est également possible de déposer une plainte auprès de la Commission d’accès à l’information du Québec ou à tout autre organisme de surveillance en matière de protection des renseignements personnels responsable de l’application de la loi concernée par l’objet de la plainte.

16. Procédure de désindexation et de suppression des renseignements personnels

Chaque organisation doit se conformer aux exigences de la Loi 25. Cette procédure est une première étape et peut nécessiter l’aide d’une avocate ou d’un avocat. Des mises à jour régulières seront nécessaires afin que la Corporation demeure conforme à la Loi.

16.1 Objectif

Cette procédure aide à gérer les demandes de suppression et de désindexation des informations personnelles des membres, du personnel et des partenaires de la Corporation.

16.2 Portée

Elle s’applique à toutes les informations déposées sur nos plateformes en ligne (site web, applications, bases de données).

16.3 Définitions

  • Suppression des renseignements personnels : effacement complet des données, les rendant irrécupérables.
  • Désindexation des renseignements personnels : retrait des informations des moteurs de recherche, les rendant moins visibles.

16.4 Procédure

16.4.1 Réception des demandes
Les demandes doivent être reçues par l’équipe responsable via un formulaire en ligne, un courriel dédié ou par téléphone.

16.4.2 Vérification de l’identité
Avant de traiter la demande, l’identité de la demanderesse ou du demandeur doit être vérifiée. Si l’identité ne peut pas être vérifiée, la demande peut être refusée.

16.4.3 Évaluation des demandes
L’équipe responsable examine les demandes pour déterminer si elles sont admissibles, en respectant la confidentialité et les délais.

16.4.4 Raisons d’un refus
L’équipe peut refuser de supprimer ou de désindexer des renseignements personnels pour :

  • Continuer à fournir des services aux membres et partenaires de la Corporation ;
  • Répondre aux exigences du droit du travail ;
  • Raisons juridiques en cas de litige.

16.4.5 Désindexation ou suppression des renseignements personnels
L’équipe responsable prend les mesures nécessaires pour désindexer ou supprimer les informations personnelles des demandes admissibles.

16.4.6 Communication du suivi
L’équipe informe les demanderesses ou les demandeurs de l’état de leur demande, en envoyant des accusés de réception et des mises à jour régulières.

16.4.7 Suivi et documentation
Toutes les demandes et les actions prises doivent être enregistrées dans un système de suivi dédié, avec les détails des demandes, les mesures prises, les dates et les résultats.

17. Dispositions finales

17.1 Accessibilité

Ce document se veut le plus universellement accessible possible et toute suggestion d’amélioration à cet égard pourra être rapportée directement à la coordination de la Corporation.

17.2 Entrée en vigueur

Ce document entre en vigueur automatiquement lors de son adoption par le conseil d’administration.

17.3 Mise à jour

Afin de demeurer à l’affût des meilleures pratiques en matière de protection des renseignements personnels, il a été convenu que l’organisme devra revoir ce document au plus tard tous les 3 ans à partir de la date d’entrée en vigueur.

17.4 Références

P-39.1 – Loi sur la protection des renseignements personnels dans le secteur privé,

C-38 – Loi sur les compagnies,

Stefan Timotijevic, spécialiste en cybersécurité et accompagnateur au programme MaLoi25, AKBKO.

Retour en haut