Protection des renseignements personnels
OBJECTIFS
Énoncer les principes de protection de la vie privée auxquels adhère Excellence en santé Canada (ESC) et établir ses pratiques en matière de collecte, d’utilisation et de communication des renseignements personnels, y compris ceux de ses employés, compte tenu du fait qu’ESC doit recueillir, utiliser et communiquer ces renseignements pour gérer et administrer la relation d’emploi.
POLITIQUES
ESC est déterminé à protéger la vie privée des particuliers et veille à ce que les renseignements personnels soient recueillis, utilisés et communiqués dans le respect des exigences de la législation provinciale ou territoriale applicable au secteur privé et conformément aux principes établis par le gouvernement fédéral dans la Loi sur la protection des renseignements personnels et les documents électroniques.
Le personnel doit assurer la confidentialité et la protection des renseignements personnels qu’il utilise ou dont il a connaissance dans l’exercice de ses fonctions; il doit en toute circonstance les recueillir, les utiliser, les communiquer et les conserver conformément à la présente politique.
Tout manquement à cette politique constitue une infraction grave, passible de mesures disciplinaires pouvant aller jusqu’au licenciement sans préavis ni indemnité de préavis.
Responsabilités
ESC est responsable des renseignements personnels qui lui sont confiés; il a désigné la vice-présidente Performance organisationnelle et services de gestion pour veiller au respect des principes énoncés aux présentes.
La présente politique régit la collecte, l’utilisation et la communication par ESC de renseignements personnels, et s’ajoute, selon le cas, aux procédures d’ESC sur la protection de la vie privée et à ses avis publics en la matière, y compris notamment à la Politique de confidentialité de son site Web.
Afin de remplir ses obligations en fait de protection de la vie privée, ESC s’est doté de procédures pour :
- la gestion adéquate des renseignements personnels;
- la gestion des atteintes à la vie privée;
- la réponse aux demandes d’accès à des renseignements personnels;
- la réponse aux demandes d’information et aux plaintes en lien avec la protection de la vie privée.
Par l’application de cette politique, ESC sensibilise son personnel à l’importance de garantir la confidentialité des renseignements personnels.
Énoncé des objectifs
ESC recueille des renseignements personnels principalement aux fins suivantes :
- Gestion des ressources humaines, y compris le recrutement et l’administration des relations entre ESC et son personnel;
- Administration des paiements au personnel et aux parties prenantes externes (par exemple les adresses résidentielles, les renseignements bancaires pour les virements électroniques, les numéros d’assurance sociale et les autres renseignements de cet ordre);
- Administration des programmes et activités d’ESC, notamment les projets, les programmes, les prix et les candidatures ayant pour objet la demande d’une aide financière ou d’une autre forme de soutien.
ESC communique aux particuliers les objectifs de la collecte de renseignements au plus tard au moment de cette collecte, par écrit (ajout dans un formulaire ou publication d’un avis, par exemple) ou autrement, selon le cas.
Consentement
ESC s’assure d’avoir obtenu le consentement des parties concernées ou d’être exempté de l’obtenir pour recueillir, utiliser ou communiquer les renseignements personnels de son personnel et de candidats ou pour administrer les relations d’emploi.
ESC s’assure également d’avoir un consentement tacite avant de recueillir, d’utiliser ou de communiquer les renseignements personnels de ses partenaires et des candidats aux programmes à des fins de prestation des programmes, notamment pour l’administration et le suivi des prix. Toute communication de renseignements personnels à un organisme ou à un particulier qui n’est ni agent, ni sous-traitant d’ESC (un évaluateur, par exemple) est interdite en l’absence de consentement exprès ou d’exigence légale. ESC obtient toujours un consentement exprès avant de publier des témoignages ou des commentaires de prestataires de soins, de patients ou de proches aidants sur leur expérience.
Si un particulier dont ESC a recueilli des renseignements personnels souhaite retirer son consentement ou faire restreindre l’utilisation ou la communication de ses renseignements personnels, ESC prendra des mesures raisonnables pour accéder à cette demande. Le retrait du consentement ne s’applique qu’à partir de la date de la demande, et non rétroactivement aux renseignements déjà recueillis, utilisés ou communiqués par ESC, et des restrictions légales ou contractuelles peuvent s’appliquer.
Il se peut que la loi ou l’entente de collaboration entre ESC et le gouvernement du Canada (par exemple, obligation de communiquer le salaire des membres de la haute direction) oblige ESC à communiquer des renseignements sans le consentement de la personne concernée. Si tel est le cas, ESC ne communiquera que les renseignements dont la communication est obligatoire.
ESC peut recueillir, tenir à jour, utiliser et communiquer sans consentement les renseignements personnels d’employés si cette mesure est raisonnable, légale et nécessaire pour l’établissement, la gestion, le maintien ou la cessation de la relation d’emploi.
Collecte de renseignements sur le personnel
ESC peut recueillir différents types de renseignements personnels sur ses employés pendant la période d’emploi :
- Renseignements identificatoires comme le nom, l’adresse résidentielle, l’adresse courriel personnelle et le numéro de téléphone;
- Date de naissance, sexe, nationalité, citoyenneté, et situation matrimoniale et familiale;
- Renseignements contenus dans les curriculum vitae et les formulaires de demande d’emploi;
- Coordonnées des bénéficiaires et des personnes à joindre en cas d’urgence;
- Renseignements sur la paie, notamment le numéro d’assurance sociale, les données nécessaires aux dépôts bancaires et les données sur le REER;
- Renseignements sur la santé de l’employé et ses prestations d’aide sociale, y compris pour une invalidité de courte ou de longue durée et les renseignements médicaux et dentaires;
- Renseignements personnels de mineurs aux fins d’administration des prestations;
- Renseignements contenus dans les évaluations du rendement;
- Renseignements recueillis lors d’enquêtes en milieu de travail;
- Photos et vidéos en vue d’une publication sur le site Web d’ESC, d’une utilisation interne ou d’un affichage dans l’intranet d’ESC (photo de profil), sur des babillards au bureau ou aux fins d’initiatives de développement des affaires;
- Autres renseignements nécessaires aux activités d’ESC fournis volontairement pendant la durée de l’emploi;
- Toute autre information dont la collecte est imposée ou permise par la loi applicable.
En règle générale, les coordonnées professionnelles utilisées aux fins de communication avec un particulier en lien avec son emploi ou ses activités professionnelles ne sont pas des renseignements personnels.
Collecte de renseignements personnels d’autres personnes
ESC peut recueillir les renseignements personnels de personnes qui ne sont pas à son emploi dans le cadre de ses programmes, notamment pour l’administration et le suivi des prix, et de membres de son conseil d’administration. Il s’agit de renseignements personnels tels que :
- Nom;
- Courriel;
- Numéro de téléphone;
- Adresse;
- Numéro d’assurance sociale;
- Sexe;
- Date de naissance;
- Image ou enregistrement de la voix.
Limitation de la collecte
ESC ne recueillera que les renseignements personnels nécessaires aux fins déterminées.
Il recueillera les renseignements personnels directement auprès des particuliers (ou des parents ou tuteurs légaux si le particulier a moins de 18 ans) sauf si le particulier l’autorise à recueillir des renseignements personnels à son sujet auprès d’un tiers ou d’un organisme.
Limitation de l’utilisation, de la communication et de la conservation
ESC n’utilisera les renseignements personnels qu’aux fins auxquelles ils sont recueillis, sauf consentement de la personne concernée ou exigence légale.
Les renseignements personnels d’employés peuvent être utilisés pour la gestion et l’administration de la relation d’emploi, notamment aux fins suivantes :
- Communication avec la personne;
- Santé et sécurité de la personne et de tiers;
- Préservation de l’infrastructure et des biens d’ESC;
- Gestion du développement des services;
- Tenue à jour des dossiers;
- Établissement du budget, gestion financière et production des rapports financiers;
- Activités de recrutement;
- Évaluations du rendement;
- Suivi des exigences liées à la formation;
- Promotions et planification de la relève;
- Administration des salaires et des avantages sociaux;
- Gestion des enquêtes en milieu de travail et des mesures disciplinaires;
- Gestion des griefs et des cessations d’emploi;
- Traitement des demandes liées au travail (par exemple, rémunération, demandes d’assurance);
- Gestion des dépenses et des remboursements;
- Respect des exigences légales et autres, dont celles du droit du travail;
- Toutes autres fins afférentes à l’administration du personnel.
Il arrive qu’ESC doive communiquer des renseignements personnels à un tiers non affilié. ESC veille alors à ce que toutes les ententes signées par les agents ou sous-traitants recevant ces renseignements ou ayant accès aux renseignements personnels gérés par ESC comportent des clauses de protection de la vie privée adéquates qui en restreignent l’utilisation, la communication et la conservation. Les prestataires de services tiers doivent protéger les renseignements personnels, en garantir la confidentialité et la sécurité et en limiter l’utilisation à la prestation de leurs services à ESC, conformément aux lois applicables.
ESC peut communiquer des renseignements personnels d’employés à des agents, à des consultants, à des préposés au traitement des données, à des prestataires de services et à d’autres parties ayant besoin de tels renseignements pour l’aider dans l’administration de la relation d’emploi. Ces renseignements peuvent être communiqués aux tiers non affiliés suivants, entre autres :
- Conseillers professionnels, tels les comptables, vérificateurs, avocats, assureurs et autres conseillers de ce type;
- Prestataires de services, tels les services de paie, les régimes de pension, les avantages sociaux, les ressources humaines, les systèmes de TI et soutien connexe, les services de santé externes, et d’autres prestataires de services;
- Administrations publiques ou gouvernementales qui régissent ou ont compétence pour régir ESC, notamment les organismes de réglementation, les organismes d’application de la loi et les organes judiciaires.
Les renseignements personnels seront conservés uniquement le temps d’atteindre l’objectif visé. ESC met tout en œuvre pour garantir leur élimination sécuritaire afin d’en prévenir toute utilisation ou communication non autorisée. La période de conservation peut se prolonger au-delà de la période d’emploi.
Exactitude
ESC fera le nécessaire pour s’assurer que les renseignements personnels sont aussi exacts, complets et à jour que possible pour les fins auxquelles ils sont destinés.
Les membres du personnel doivent s’assurer que leurs renseignements personnels sont à jour et informer ESC de tout changement important (adresse, numéro de téléphone, etc.).
Mesures de protection
ESC adopte les mesures nécessaires pour protéger les renseignements personnels contre la perte ou le vol, et contre les accès, communications, utilisations et modifications non autorisés. Les mesures de protection peuvent être de nature physique, organisationnelle ou technologique.
Par ailleurs, il oblige les tierces parties à qui il communique des renseignements personnels, comme ses évaluateurs indépendants, les membres de ses comités, ses sous-traitants et consultants et ses partenaires, à préserver la confidentialité de ces renseignements, à ne les utiliser qu’aux fins auxquelles ils ont été communiqués, ainsi qu’à les gérer et à les protéger dans le respect de ses normes en tout temps.
ESC met tout en œuvre pour appliquer les principes PCAP (propriété, contrôle, accès et possession) pour la collecte, l’utilisation et la communication de renseignements sur les Premières Nations; les principes PCAI (propriété, contrôle, accès et intendance) pour la collecte, l’utilisation et la communication de renseignements sur les Métis; et les principes de recherche des Inuits pour la collecte, l’utilisation et la communication de renseignements sur les Inuits. Ces principes définissent les modalités de collecte, de consultation, d’utilisation et de communication des renseignements. ESC s’efforcera d’obtenir un consentement exprès pour la collecte, l’utilisation et la communication de renseignements concernant des membres d’une Première Nation, des Métis ou des Inuits conformément à ces principes lorsque cela est possible, tout en reconnaissant ne pas toujours avoir connaissance de cas auxquels ceux-ci s’appliquent (par exemple, si un particulier n’a pas informé ESC qu’il est membre d’une communauté des Premières Nations, Inuit ou Métis).
Les atteintes à la vie privée seront signalées sans délai à la vice-présidente Performance organisationnelle et services de gestion ou à la personne déléguée. ESC apportera toutes les solutions nécessaires en vertu de ses procédures de gestion de ces incidents.
Transparence
ESC fait en sorte que l’information sur ses politiques et ses pratiques de gestion des renseignements personnels soit facilement accessible sur son site Web public.
Accès individuel
ESC prendra des mesures raisonnables pour donner à la personne qui en fait la demande l’accès à ses renseignements personnels recueillis et conservés par ESC, et lui indiquera comment ces renseignements ont été utilisés et à qui ils ont été communiqués. Avant de communiquer tout renseignement personnel, ESC demandera et vérifiera les renseignements identificatoires auprès de la personne ayant formulé la demande. Il répondra à toutes les demandes d’accès à des renseignements personnels dans un délai de 30 jours civils sauf si un report raisonnable est nécessaire. Les demandes d’accès raisonnables n’entraînent pas de frais.
Dans certains cas, il se peut qu’ESC ne puisse accorder l’accès à la totalité des renseignements personnels qu’il conserve au sujet d’une personne. Il s’agit notamment de cas où la communication de renseignements constituerait une violation du secret professionnel, révélerait un secret commercial, compromettrait la confidentialité d’une enquête ou d’une procédure judiciaire, révélerait des renseignements personnels au sujet d’un tiers, ou pour toute autre raison invoquée sous le régime de la loi applicable. Les exemptions particulières applicables varient selon le droit applicable. En pareil cas, les raisons du refus seront communiquées à la personne. Si la demande vise des renseignements gérés par une organisation partenaire d’ESC, ce dernier dirigera la personne concernée vers cette organisation.
ESC corrigera sur demande toute inexactitude factuelle dans les renseignements personnels qui lui sont confiés après avoir reçu une justification satisfaisante de la personne concernée, ou encore d’un candidat, d’un partenaire ou d’une source de cofinancement au su et avec le consentement de la personne concernée.
Les dossiers du personnel sont la propriété d’ESC. Dans certains territoires de compétence, les employés actuels d’ESC peuvent demander à voir une copie de leur dossier. Le membre du personnel qui estime qu’une information à son sujet est inexacte peut en demander la correction à un représentant des Ressources humaines. Lorsqu’une information devra être communiquée à un membre du personnel, ESC s’efforcera de le faire dans un délai raisonnable. Avant d’accorder l’accès ou d’apporter les corrections demandées, ESC peut exiger les informations nécessaires pour confirmer que la personne ayant formulé la demande en a l’autorisation. ESC peut, sous réserve des lois applicables, refuser l’accès à des renseignements personnels contenus dans les dossiers du personnel.
Contestation
Toute personne peut formuler une contestation quant au respect des principes susmentionnés auprès de la vice-présidente Performance organisationnelle et services de gestion.
La vice-présidente Performance organisationnelle et services de gestion ou la personne déléguée répondra à toute demande liée à la protection de la vie privée dans un délai de 10 jours ouvrables. Toutes les plaintes feront l’objet d’une enquête, et les mesures correctives nécessaires seront apportées afin d’améliorer les pratiques et les politiques d’ESC en matière de gestion des renseignements
DÉFINITIONS
On entend par « renseignement personnel » tout renseignement sur une personne identifiable. Les lois applicables sur la protection de la vie privée prévoient dans certains cas des exceptions aux règles de consentement, aux demandes d’accès et aux autres exigences dans le cas des coordonnées professionnelles d’un particulier qui sont recueillies, utilisées ou communiquées par l’organisation aux seules fins d’interaction avec ce particulier dans le cadre de sa relation d’emploi, d’affaires ou professionnelle.