Politique de confidentialité et de protection des renseignements personnels

Le Regroupement des organismes spécialisés pour l’emploi des personnes handicapées (ROSEPH) est une association à but non lucratif qui réunit 25 services spécialisés de main-d’œuvre au Québec, dont la mission première est de favoriser l’intégration et le maintien en emploi des personnes handicapées.

La présente politique vise à assurer la protection des renseignements personnels et à encadrer la manière dont le ROSEPH les collecte, les utilise, les communique, les conserve et les détruit ou dont, autrement, il les gère. De plus, elle vise à informer toute personne intéressée sur la manière dont le ROSEPH traite ses renseignements personnels. Elle vise également le traitement des renseignements personnels recueillis par le ROSEPH par un moyen technologique, dans le cadre de ses projets.

Il est aussi important de mentionner que l’emploi du genre masculin a pour seul but d’alléger la présente politique et d’en faciliter la lecture. De même l’emploi des termes « la personne divulgatrice » vise à toute inclure toute personne ayant divulgué des renseignements personnels au ROSEPH dans le cadre de la présente politique.

  1. Application et définitions

Cette politique s’applique au ROSEPH, ce qui inclut notamment ses dirigeants, employés, consultants, bénévoles, ainsi qu’à toute personne qui, autrement, fournit des services pour le compte du ROSEPH. Elle s’applique également au site internet du ROSEPH ainsi que toutes ses plateformes intervenant dans le cadre de l’exécution de ses activités et faisant intervenir des utilisateurs, ses membres ou collaborateurs.

Sont concernés par cette politique, tous types de renseignements personnels gérés par le ROSEPH, que ce soient les renseignements de ses employés, ses consultants, ses membres, ses clients ou toute autre personne jugée concernée par le ROSEPH.

Pour l’application des présentes, un renseignement personnel est un renseignement qui concerne une personne physique et qui permet, directement ou indirectement, de l’identifier. Par exemple, il pourrait s’agir du nom, de l’adresse, de l’adresse courriel, du numéro de téléphone, du genre ou des renseignements bancaires d’une personne, des renseignements sur sa santé, son origine ethnique, sa langue, etc.

Un renseignement personnel sensible est un renseignement pour lequel il y a un haut degré d’attente raisonnable en matière de vie privée et/ou qui pourrait porter préjudice à la personne en cas de divulgation (sans son consentement) même s’il est divulgué seul, ou un renseignement personnel peut devenir un renseignement personnel sensible s’il est jumelé à un ou plusieurs autre(s) renseignement(s) personnel(s). Par exemple, les renseignements de santé, renseignements bancaires, renseignements biométriques, orientation sexuelle, origine ethnique, opinions politiques, croyances religieuses ou philosophiques, constituent des renseignements personnels sensibles. De même, le nom d’une personne, qui constitue à lui seul un renseignement personnel, deviendra un renseignement personnel sensible lorsqu’il est combiné à un renseignement de santé, par exemple.

Cependant, les parties de cette politique visant la collecte, l’utilisation, la communication, la conservation, la destruction et la sécurité des renseignements personnels ne s’appliquent pas aux renseignements d’une personne relatifs à l’exercice d’une fonction dans une entreprise ou un organisme. C’est-à-dire, les parties susmentionnées de cette politique ne s’appliquent pas aux coordonnées professionnelles d’une personne, sauf si ces renseignements sont collectés dans un cadre où ils sont spécifiquement identifiés comme étant des renseignements personnels. De manière générale, les coordonnées professionnelles ou d’affaires d’une personne ne constituent pas des renseignements personnels, par exemple le nom, le titre, l’adresse de son lieu de travail, l’adresse courriel professionnelle ou le numéro de téléphone au travail d’une personne.

Ces mêmes paragraphes ne s’appliquent pas non plus à un renseignement personnel qui a un caractère public en vertu de la loi, et ce, dès l’entrée en vigueur de la présente politique, sauf lorsqu’un tel renseignement est jumelé à un autre renseignement avec lequel, lorsqu’ils sont divulgués ensemble, le renseignement personnel à caractère public devient un renseignement personnel sensible.

  1. Objectifs de la politique de confidentialité et de protection des renseignements personnels

Le respect de la vie privée ainsi que la protection des renseignements personnels sont essentiels pour le ROSEPH, c’est pourquoi, par la présente politique, le ROSEPH entend protéger ceux-ci conformément aux lois en vigueur.

Afin d’assurer cette protection, le ROSEPH s’engage à ne collecter, traiter et partager une information permettant d’identifier un individu que lorsque ce dernier y a consenti, tout en respectant les dispositions légales.

Cette politique a aussi pour objectif d’informer les personnes divulgatrices des raisons et de la façon dont le ROSEPH, ou toute personne agissant en son nom, va collecter et utiliser leurs renseignements personnels. Elle se veut être en langage clair afin de s’assurer un consentement éclairé des personnes divulgatrices.

  1. Entrée en vigueur

La présente politique s’applique à compter du 22 septembre 2023 et remplace toute autre politique sur la protection de la vie privée ayant été précédemment mise en vigueur par le ROSEPH.

  1. Les modalités de la communication du consentement

Le ROSEPH s’engage à recueillir un consentement avant la collecte des renseignements personnels d’un individu. Le consentement peut être explicite ou implicite et doit être fourni directement par la personne, par son représentant légal ou son représentant autorisé.

Le ROSEPH privilégie l’obtention d’un consentement explicite, que ce soit par voie verbale, par écrit en format électronique ou par écrit en format papier. Toutefois, le consentement implicite peut être raisonnablement déduit de l’action d’une personne. Par exemple, le fait de fournir un nom et une adresse pour recevoir une publication ou un nom et un numéro de téléphone pour obtenir une réponse à une question est considéré comme un consentement implicite à la collecte des informations fournies contenant des renseignements personnels. Pour déterminer le type de consentement approprié, le ROSEPH tient compte de la sensibilité des renseignements personnels en cause, des fins auxquelles ils sont recueillis et des attentes raisonnables d’une personne placée en situation similaire.

Ainsi, lorsque cela est possible, le consentement explicite est demandé. Au moment de la collecte, les fins pour lesquelles les renseignements sont recueillis, les moyens utilisés pour les recueillir, les droits d’accès et de rectification et le droit de retrait du consentement sont communiqués par le ROSEPH à la personne divulgatrice.

Par ailleurs, il arrive parfois que des renseignements personnels et des renseignements personnels sensibles sont communiqués au ROSEPH sans même qu’ils n’aient été demandés. Dans un tel cas, les renseignements seront traités de la façon prévue à la présente Politique dans la mesure de ce qui est applicable. Par exemple, si une personne divulgue de son propre chef des renseignements personnels sensibles au ROSEPH, le ROSEPH n’aura pas l’occasion de demander à cette personne avant la divulgation si elle consent bel et bien à communiquer ces renseignements ; son consentement à communiquer ces renseignements sera donc implicite.

Considérant le fait que la/les fin(s) pour laquelle/lesquelles les renseignements personnels sont collectés est/sont identifiée(s) au moment de la collecte de ces renseignements, si le ROSEPH veut utiliser les renseignements personnels à une nouvelle fin, le ROSEPH décrira l’utilisation prévue et demandera à nouveau le consentement. Parfois, il peut arriver que le ROSEPH ne demande pas à nouveau le consentement si la nouvelle fin est compatible avec celles pour lesquelles il a été recueilli, que l’utilisation des renseignements personnels est manifestement au bénéfice de la personne divulgatrice ou que l’utilisation des renseignements personnels est nécessaire à des fins de prestation d’un service demandé par la personne divulgatrice au ROSEPH.

Il est compris qu’il n’est pas toujours possible, notamment dans le cadre d’une demande du gouvernement, d’obtenir le consentement de la personne pour recueillir, utiliser ou communiquer ses renseignements personnels. Le ROSEPH s’engage à ne jamais communiquer ce type de renseignements, autrement qu’en conformité avec la présente politique, sauf si la loi l’y oblige, l’y autorise ou encore, le permet en ce que que la situation avec une organisation qui s’engage à en maintenir la confidentialité ou qui y est tenue y contraint le ROSEPH s’il souhaite agir en temp opportun dans l’intérêt de la personne dont les renseignements personnels sont communiqués afin d’en garantir l’exactitude.

  1. Objectifs de la collecte de renseignements personnels

Les informations collectées le sont conformément aux finalités et objectifs fixés dans la présente politique de confidentialité et de protection des renseignements personnels. Le ROSEPH se limitera à la collecte de renseignements nécessaires aux activités et projets.

Le ROSEPH développe et coordonne des projets au service de l’emploi des personnes handicapées, impliquant notamment des entreprises, des partenaires et des individus. Dans ce cadre, certains renseignements personnels sont collectés, pour les raisons suivantes :

  • Pour communiquer avec les personnes en situation de handicap, les employeurs et les partenaires concernés par ses activités
  • Pour les utiliser dans le cadre de projets ayant pour but le rapprochement de sa clientèle et des employeurs
  • Pour les partager avec des partenaires impliqués dans certains projets
  • Pour proposer des activités et des services personnalisés
  • Pour recueillir l’avis des individus et des personnes morales quant à leur satisfaction vis-à-vis de ses activités
  • Pour évaluer la performance de ses projets et de ses services
  • Pour participer à des travaux de recherches en lien avec ses activités et projets.
  • Pour satisfaire les obligations légales issues de lois, règlements ou traités internationaux.

  1. Catégories de renseignements personnels collectés

Le ROSEPH peut collecter des renseignements personnels sous diverses formes, mais ne le fera que par des moyens licites et uniquement aux fins nécessaires décrites dans la présente politique, ou pour toute autre fin nécessaire et tel que permis ou requis par la loi.

Les renseignements collectés le sont directement auprès de la personne concernée, son représentant légal ou auprès d’un représentant autorisé par elle-même.

Les renseignements personnels recueillis, ainsi que leur sensibilité, peuvent varier en fonction du contexte dans lequel se situent les interactions entre les personnes concernées et le ROSEPH. C’est pourquoi le ROSEPH doit en priorité informer la personne divulgatrice de la nature des renseignements personnels qu’il utilise.

Le ROSEPH protège tous les renseignements personnels recueillis. Parmi les renseignements personnels susceptibles d’être recueillis et utilisés, le ROSEPH accorde une attention particulière notamment aux :

Nom et coordonnées. Prénom et nom de famille, adresse courriel, adresse postale, numéro de téléphone et autres données semblables servant à communiquer avec la personne divulgatrice.

Données socio-démographiques. Données concernant l’âge, le sexe, le pays ainsi que la langue de communication.

Coordonnées de paiement. Données nécessaires au traitement des paiements (salaires, factures, …), comme les références bancaires par exemple

Données audiovisuelles. Enregistrements audiovisuels recueillis dans le cadre des programmes et projets gérés par le ROSEPH. Dans ce cas, le consentement sera préalablement demandé.

Données textuelles, de saisie et d’entrée manuscrite ainsi que tout renseignement connexe.

Autres données. D’autres données fournies lors de l’utilisation du site Internet du ROSEPH, notamment les données issues de Google Analytics ou autre fournisseur.

  1. Les procédés de traitement utilisés

Le ROSEPH accorde la plus grande importance à la sécurité des renseignements personnels et s’engage à traiter ceux-ci suivant les normes et standards en vigueur au Québec et au Canada. Ces informations sont utilisées uniquement pour les fins pour lesquelles elles sont recueillies tel que décrit à la présente politique. Même si la protection absolue de ces derniers est impossible compte tenu des limites de sécurité inhérentes à une transmission via internet, un système de surveillance a été mis en place. Ce système de surveillance répond aux normes généralement reconnues dans le domaine de la sécurité informatique et physique pour ce type de renseignement.

Les renseignements personnels collectés dans le cadre de l’exécution des projets et activités du ROSEPH, lorsqu’ils sont transmis à des fins statistiques, ne sont en aucun cas divulgués de façon brute. Les renseignements personnels sont au préalable anonymisés puis présentés sous forme d’agrégat avant de procéder à toute transmission. L’anonymisation est un procédé au cours duquel toutes les informations permettant d’identifier directement ou indirectement les individus, sont retirées de la base de données. À noter : ces rapports et documents rédigés et partagés par le ROSEPH ne contiennent en aucun cas des renseignements personnels sensibles ou pouvant porter préjudice mais plutôt des données agrégées.

  1. Modalités d’accès et de rectification des renseignements personnels et modalités de retrait du consentement

Le ROSEPH s’assure que tous les renseignements personnels en sa possession sont aussi exacts, actuels et complets que nécessaires pour les fins pour lesquelles ils sont utilisés.

La personne divulgatrice a le droit de demander, directement ou par le biais de son représentant légal ou de son représentant autorisé, accès à ses renseignements personnels aux fins de vérification et de demander une correction si ces derniers sont inexacts. Si la personne divulgatrice croit que ses renseignements personnels sont inexacts ou si elle souhaite avoir accès à ses renseignements personnels, la personne divulgatrice peut faire une demande par écrit en utilisant les coordonnées fournies à la fin de la présente politique. La personne divulgatrice peut aussi poser des questions à ce sujet par courriel ou par téléphone en utilisant ces mêmes coordonnées. Par exemple, la personne divulgatrice peut demander au ROSEPH quels sont les renseignements personnels qu’il a recueillis à son égard, les postes occupés par les personnes au ROSEPH qui y ont accès et leur durée de conservation.

La personne divulgatrice a le droit de demander le retrait de son consentement à l’utilisation de ses renseignements personnels. La personne divulgatrice peut présenter sa demande de retrait de consentement par écrit en utilisant les coordonnées fournies à la fin de la présente politique. La personne divulgatrice peut aussi poser des questions à ce sujet par courriel ou par téléphone en utilisant ces mêmes coordonnées. Toutefois, il convient de prendre note que le retrait de son consentement à l’utilisation de ses renseignements personnels pourrait entraîner son inadmissibilité à certains services offerts par le ROSEPH. Le ROSEPH s’engage à en faire part à la personne divulgatrice lors de la réponse écrite du premier à la demande écrite de la dernière, le cas échéant.

Pour faire valoir ses droits d’accès, de rectification ou de retrait du consentement, la personne divulgatrice doit soumettre une demande écrite à cet effet à l’une des personnes responsables de la protection des renseignements personnels du ROSEPH, à l’adresse courriel indiquée à la fin de cette politique.

Les personnes responsables de la protection des renseignements personnels du ROSEPH doivent répondre par écrit à ces demandes dans les 30 jours de la date de réception de la demande. Lorsque la demande n’est pas suffisamment précise ou lorsque la personne divulgatrice le requiert, l’une des personnes responsables doit prêter assistance pour identifier les informations recherchés. Tout refus doit être motivé et accompagné de la disposition légale justifiant le refus. Dans ces cas, la réponse informera la personne divulgatrice des recours qui s’offrent à elle en vertu de la Loi sur la protection des renseignements personnels dans le secteur privé et du délai dans lequel ils peuvent être exercés ; de même, la réponse invitera la personne divulgatrice à se renseigner sur tout autre recours possible duquel elle pourrait disposer et des délais pour l’exercer. Les responsables pourront assister la personne divulgatrice pour l’aider à comprendre le refus au besoin ; en effet, la personne divulgatrice peut poser des questions par courriel ou en logeant un appel auprès du ROSEPH, lequel pourra fournir des information supplémentaires s’il y a lieu.

En effet, il peut y avoir des circonstances où le ROSEPH ne pourra donner accès à la personne divulgatrice à ses renseignements personnels. Notamment, lorsque l’accès peut mener à la divulgation de renseignements personnels d’une autre personne et que cette personne refuse de consentir à la divulgation de ceux-ci ou lorsque des restrictions juridiques s’appliquent. Dans ce cas, la personne divulgatrice en sera avisée.

Si la demande de la personne divulgatrice concerne des données apparaissant sur des pages web ou des plateformes de tierces parties, elle est invitée à contacter directement ces tierces parties.

  1. Transmission des renseignements personnels à des tiers et modalités de transmission

Le ROSEPH ne partage pas les renseignements personnels avec des entreprises, des organisations, ni des personnes extérieures au ROSEPH, à l’exception de ses partenaires autorisés qui ont besoin d’avoir accès aux renseignements pour les fins énumérées à la présente politique, dans les limites de celle-ci et en conformité avec la loi. Le consentement de la personne divulgatrice est alors demandé par le ROSEPH. Le ROSEPH ne pourra procéder à la transmission des renseignements que s’il reçoit le consentement de la personne divulgatrice. Le ROSEPH s’engage à exiger la confidentialité ou à s’assurer que l’organisation à qui les renseignements seront communiqués est tenue à la confidentialité préalablement à la transmission de ces renseignements, sauf sur ordonnance d’une Cour de justice ou tout autre cas prévu par les lois et réglementations en vigueur.

Pour des raisons juridiques, le ROSEPH pourrait transmettre des renseignements personnels en dehors de son organisation si l’accès à ceux-ci était nécessaire pour se conformer aux lois et réglementations en vigueur. Le ROSEPH s’engage à exiger la confidentialité ou à s’assurer que l’organisation à qui les renseignements seront communiqués est tenue à la confidentialité préalablement à la transmission de ces renseignements, sauf sur ordonnance d’une Cour de justice ou tout autre cas prévu par les lois et réglementations en vigueur.

Le ROSEPH, en tant qu’organisme à but non lucratif, s’engage à ne pas vendre ou louer les renseignements personnels à une tierce partie.

  1. Témoins et technologies similaires

Pour certaines plateformes du ROSEPH, des témoins (« cookies ») permanents et essentiels sont utilisés afin de maintenir les utilisateurs connectés. Il est à noter que ces informations sont stockées sur le support de stockage de l’appareil utilisé et ne sont en aucun cas conservées ou utilisées par le ROSEPH. Aucune information personnelle n’est conservée par ces témoins.

Il est à noter que le site web du ROSEPH pourrait contenir des liens ou renvois vers des sites de tierces parties. La présente politique cesse de s’appliquer au moment de quitter le site web du ROSEPH et ce dernier n’est pas responsable de la collecte ou du traitement de renseignements personnels par ces tierces parties. Afin de connaître les modalités applicables par ces tierces parties, la personne qui utilise le site web du ROSEPH et qui sélectionne un lien ou un renvoi vers le site Web d’une tierce partie est invitée à consulter le site Web de la tierce partie concernée.

  1. Conservation des renseignements personnels

La durée de conservation des données personnelles varie en fonction du projet que conduit le ROSEPH. Toutefois, les données collectées et recueillies dans le cadre de ses projets sont conservées pendant une durée maximale de (six) 6 ans.

Une fois la période de conservation expirée, les renseignements personnels sont détruits en utilisant un procédé assurant le respect de la confidentialité des renseignements détruits. Seuls les statistiques ou rapports contenant des données agrégées et anonymisées pourront être conservés pour des périodes de temps prolongées.

  1. Processus de traitement des plaintes

Réception

Toute personne qui souhaite formuler une plainte relative à l’application de la présente politique ou, plus généralement, à la protection de ses renseignements personnels, doit le faire par écrit en s’adressant à l’une des personnes responsables de la protection des renseignements personnels du ROSEPH, à l’adresse courriel indiquée à la fin de cette politique.

La personne devra indiquer son nom, ses coordonnées pour la joindre, incluant un numéro de téléphone, ainsi que l’objet et les motifs de sa plainte, en donnant suffisamment de détails pour que celle-ci puisse être évaluée par le ROSEPH. Si la plainte formulée n’est pas suffisamment précise, l’une des personnes responsables de la protection des renseignements personnels peut requérir toute information additionnelle jugée nécessaire pour pouvoir évaluer la plainte.

Traitement

Le ROSEPH s’engage à traiter toute plainte reçue de façon confidentielle.

Dans les 30 jours suivant la réception de la plainte ou suivant la réception de tous les renseignements additionnels jugés nécessaires et requis par les personnes responsables de la protection des renseignements personnels du ROSEPH pour pouvoir la traiter, ce dernier doit l’évaluer et formuler une réponse motivée écrite par courriel au plaignant. Cette évaluation visera à déterminer si le traitement des renseignements personnels par le ROSEPH est conforme à la présente politique, à toute autre politique et pratique en place au sein de l’organisation et à la législation ou réglementation applicable.

Dans le cas où la plainte ne peut être traitée dans ce délai, le plaignant doit être informé des motifs justifiant l’extension de délai, de l’état d’avancement du traitement de sa plainte et du délai raisonnable nécessaire pour pouvoir lui fournir une réponse définitive.

Le ROSEPH doit constituer un dossier distinct pour chacune des plaintes qui lui sont adressées. Chaque dossier contient la plainte, l’analyse et la documentation à l’appui de son évaluation, ainsi que la réponse envoyée à la personne à l’origine de la plainte.

Il est également possible de déposer une plainte auprès de la Commission d’accès à l’information du Québec ou à tout autre organisme de surveillance en matière de protection des renseignements personnels responsable de l’application de la loi concernée par l’objet de la plainte.

Toutefois, le ROSEPH invite toute personne intéressée à s’adresser d’abord à l’une de ses personnes responsables de la protection des renseignements personnels et à attendre la fin du processus de traitement par le ROSEPH avant de s’en remettre à un organisme de surveillance en matière de protection des renseignements personnels.

  1. Autres informations

Modifications de la présente politique

La présente politique de confidentialité et de protection des renseignements personnels peut être sujette à des modifications. Toute diminution des droits de la personne divulgatrice dans le cadre de la présente politique ne saurait être appliquée sans que la personne divulgatrice n’en soit informée. Le ROSEPH indiquera la date à laquelle les dernières modifications ont été apportées et permettra à toute personne d’accéder aux versions archivées en vue de les consulter.

Approbation

La présente politique est approuvée par les responsables de la protection des renseignements personnels du ROSEPH, dont les coordonnées d’affaires se trouvent ci-dessous, ainsi que par le Conseil d’administration du ROSEPH.

Personnes en charge de la conformité

Pour toute question, pour formuler des commentaires ou pour émettre une plainte au sujet de cette politique, toute personne peut communiquer avec l’une des personnes responsables de veiller au respect de cette politique de confidentialité et de protection des renseignements personnels :

Laurence Marin

Directrice générale du ROSEPH

Luis Molina

Agent de projets du ROSEPH

1274 rue Jean Talon est, bureau 204, Montréal, QC H2R 1W3

438-798-0788

[email protected]