Document disponible une fois validé lors de notre prochain C.A.
Cette Politique vise à vous informer sur la collecte, l’utilisation ou la divulgation de vos renseignements personnels à titre d’employé(e)s, de partenaires ou de membres du CREDDO, et d’établir de bonnes pratiques en la matière, ainsi qu’à recueillir les consentements nécessaires aux fins du bon fonctionnement de l’organisation. Est considéré un renseignement personnel, tout renseignement qui concerne une personne physique et permet de l’identifier.
Le C.A. veille à assurer le respect et la mise en œuvre de la Loi sur la protection des renseignements personnels dans le secteur privé en désignant une personne comme responsable de l’application de la Loi. Le C.A. désigne cette personne parmi ses membres.
A) Création du fichier
L’organisation peut recueillir des informations personnelles sur tout employé(e), membre ou partenaire à des fins légitimes en relation avec ses devoirs d’administration et de gestion.
À cet effet, l’organisation est susceptible de recueillir des informations personnelles avant même la signature d’un contrat ou autre document contractuel, aux fins d’obtenir les renseignements sur les employé(e)s, dont notamment, mais sans limiter la généralité de ce qui précède, afin d’obtenir leurs coordonnées et de communiquer avec eux.
L’organisation est confiée au DG, et d’autres fournisseurs de service tels que Squarespace, Mailerlite, Yapla, et Desjardins, la collecte, la gestion et la mise à jour des coordonnées de ce fichier dans le cadre de ses activités. La banque de données est complétée des informations qui y sont reliées.
B) Autres sources de collecte des renseignements personnels
L’organisation recueille des renseignements personnels concernant les employé(e)s et les partenaires pour communiquer avec eux à des fins de communications écrites, téléphoniques ou électroniques:
Lors de la tenue des réunions du C.A.;
Lors d’assemblées générales;
Lors du paiement de contrats ou des charges salariales;
À tout autre moment aux fins de la réalisation de la mission de l’organisation aux termes de la Loi.
Le CREDDO recueille également des renseignements d’autres partenaires avec lesquels il doit transiger, notamment les fournisseurs de service.
Dans le cadre de ses activités, le CREDDO (et Desjardins) recueillent dans le cadre de ses activités, les renseignements personnels suivants:
Le nom des employé(e)s;
La date de naissance;
N.A.S.;
Les numéros de téléphone;
Les pièces d’identité;
Les adresses courriel;
Les contacts en cas d’urgence;
Les coordonnés bancaires (ex. spécimens de chèque);
Curriculum vitae;
La présence aux assemblées, les P.V. et le résultat des votes;
Tout autre renseignement pouvant s’avérer utile aux fins de la réalisation de la mission de l’organisation aux termes de la Loi.
De façon générale, le C.A. et le DG utilisent les renseignements personnels pour:
Assurer le respect de la mission;
Assurer la saine gestion des ressources humaines et des contrats de service;
Maintenir son membership;
Répondre à une demande d’information;
Ou pour d’autres objectifs administratifs.
Le DG peut communiquer les renseignements personnels à certains tiers, notamment à Desjardins et dans la mesure où le partage de ces renseignements s’avère utile aux fins de la réalisation de la mission.
Au moment de partager des renseignements, le DG s’informe auprès des tiers quant à la nature des renseignements recueillis et vérifie que ces renseignements ne soient pas transmis à d’autres tiers et/ou partenaires commerciaux sans autorisation (il est reconnu que Desjardins partage avec des tiers certains renseignements).
L’organisation a comme politique de ne pas divulguer ni vendre à des tiers, aucun renseignement personnel sur les employé(e)s pour des fins de prospection commerciale ou philanthropique.
L’organisation se réserve le droit de divulguer certains renseignements personnels concernant les employé(e)s pour répondre à une ordonnance de la cour ou à l’envoi d’un subpoena. L’organisation peut également communiquer des renseignements personnels si une agence gouvernementale ou un organisme d’enquête public l’exige.
À l’interne, l’organisation ne permet qu’un accès limité aux renseignements personnels. Les administrateurs et/ou les employé(e)s dont le mandat est échu doivent purger leurs systèmes de tous renseignements personnels obtenus dans le cadre de leur mandat, après s’être assurés d’avoir transféré l’ensemble des informations, dossiers, et/ou renseignements, auprès de la nouvelle administration. L’ancien administrateur ne saurait notamment utiliser les adresses courriels des employé(e)s et ou partenaires qu’il a obtenues dans le cadre de son mandat, à des fins personnelles.
Tous les renseignements personnels fournis au CREDDO sont conservés sur des serveurs sécurisés, à accès restreint du C.A. et/ou des employé(e)s.
L’organisation utilise les moyens techniques raisonnables pour assurer un environnement sécuritaire et protéger les renseignements personnels, tels que : barrières coupe-feu, usage d’antivirus, gestion des accès, détection des intrusions, copie de sauvegarde régulière.
Cependant, étant donné la nature même du réseau public qu’est l’internet, les employé(e)s et partenaires reconnaissent et acceptent que la sécurité des transmissions via internet ne puisse être garantie. En conséquence, le CREDDO ne peut garantir, ni n’assume aucune responsabilité pour toute violation de confidentialité, piratage, virus, perte ou altération des données transmises par internet.
Le CREDDO s’assure de vérifier et conserver les politiques de confidentialité de ces fournisseurs de service telle que: Desjardins, Fondaction, Assurance collective Manuvie, Google, Squarespace, Mailerlite, Yapla.
L’organisation utilise et conserve les renseignements personnels pour la durée nécessaire à l’objet de la collecte des renseignements. Toutefois, elle se réserve le droit de détenir, pour une durée raisonnable, certains renseignements personnels pour être en règle avec la Loi, prévenir la fraude, collecter des frais dus, résoudre une réclamation ou certains autres problèmes s’y rattachant, coopérer à une enquête et pour tout autre acte permis par la Loi. À l’expiration de ce délai, les renseignements personnels seront délestés des serveurs du CREDDO et/ou de Desjardins.
Un incident de confidentialité correspond à un accès non autorisé par la Loi à un renseignement personnel, à son utilisation ou à sa communication, de même que sa perte ou toute autre forme d’atteinte à sa protection.
Le responsable de la protection des renseignements personnels, le DG dans le cas du CREDDO, s’il a des motifs de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel qu’il détient, doit prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent.
Le responsable de la protection des renseignements personnels procède à l’évaluation du préjudice selon la procédure prévue à l’Annexe 1.
Le responsable de la protection des renseignements personnels tient un registre des incidents de confidentialité (Annexe 2) et, sur demande de la Commission d’accès à l’information, lui en transmet une copie.
Les renseignements contenus au registre des incidents de confidentialité doivent être tenus à jour et conservés pendant une période minimale de cinq ans après la date ou la période au cours de laquelle le responsable a pris connaissance de l’incident.
Pour assurer de minimiser toute incident en lien avec la gestion des données privées, le CREDDO s’engage à:
Vérifier la vulnérabilité des adresses courriels des membres du personnels en utilisant différents outils;
Offrir un atelier de sensibilisation pour aider vos employés à vous protéger des cyber risques dans un délai de 2 ans.
La présente Politique de protection des renseignements personnels est régie par les lois de la province de Québec et les lois du Canada qui s’y appliquent.
Nom du responsable de la protection des renseignements personnels :
Benoit Delage, directeur général du CREDDO
