top of page

POLITIQUE D’ACCÈS À L’INFORMATION ET DE PROTECTION DES RENSEIGNEMENTS PERSONNELS

1. Cadre légal

Dans le cadre de ses activités, Servirplus doit respecter la Loi sur la protection des renseignements personnels dans le secteur privé, ci-après désignée, la « Loi sur l’accès », et l’ensemble de ses règlements. La Loi sur l’accès s’applique à l’ensemble des documents et des renseignements personnels détenu par Servirplus dans l’exercice de ses fonctions. À cette fin, Servirplus est chargée de l’accès, de la conservation et de la protection des informations suivantes :

  • Les dossiers des employés de Servirplus;

  • Les dossiers cliniques des clients de Servirplus;

  • Les différentes bases de données et formulaires complétés sur le web;

Les obligations énoncées dans la présente politique s’appliquent aux personnes suivantes : tout gestionnaire, employé, consultant ou travailleurs autonomes, incluant toute personne qui travaille pour Servirplus moyennant rémunération (ci-après les « Employés »).


2. Objectifs
 

La présente politique a pour objectif principal d’assurer le respect de la Loi sur l’accès en conformité avec les valeurs et principes de gestion de Servirplus. Elle vise à établir le cadre général de la procédure d’accès à l’information et de la protection des renseignements personnels en vigueur au sein de Servirplus. Elle prévoit également une stratégie d’intervention à mettre en œuvre lors d’un incident de confidentialité.


3. Principes directeurs


3.1 Loi sur l’accès

 

Toute personne qui en fait la demande a le droit d’accès aux documents d’un organisme public sous réserve des restrictions prévues par la Loi sur l’accès, notamment, en matière de protection des renseignements personnels concernant une personne physique. De plus, toute personne capable de donner un consentement valable a droit de recevoir la communication de tout renseignement personnel la concernant.


3.2 Servirplus

Considérant la nature de la mission et des activités de Servirplus, les principes directeurs gouvernant ses activités en matière d’accès à l’information sont la protection des renseignements personnels de ses clients et de ses Employés et la transparence organisationnelle.


Conformément à la Loi sur l’accès, les renseignements nominatifs détenus par Servirplus, c’est-à-dire les renseignements qui concernent une personne physique et permettent de l’identifier, sont confidentiels. De manière générale, Servirplus ne peut communiquer un renseignement personnel sans le consentement de la personne concernée.

Afin d’assurer la conservation, l’accès et la protection des renseignements personnels qu’elle détient, Servirplus s’assure du respect des principes suivants :

  • Servirplus s’engage à ne recueillir que les renseignements nominatifs nécessaires à la réalisation de sa mission et à l’exercice de ses activités;

  • Servirplus assure la protection de la confidentialité des informations nominatives du personnel et des clients et refuse, sauf exception prévue par la loi, de communiquer ces renseignements sans le consentement de la personne concernée;

  • Tous les Employés s’engagent à respecter le caractère confidentiel des renseignements personnels des clients et des membres du personnel et à se conformer à la présente politique;

  • Tous les Employés doivent à l’occasion de leur embauche prendre connaissance et signer l’engagement et reconnaissance de confidentialité prévu à l’annexe 1 ou la version incluse dans le Guide d’employé. De plus, tous les Employés qui ont accès aux renseignements personnels des clients et des membres du personnel doivent prendre connaissance et signer annuellement cet engagement;

  • L’accessibilité des renseignements personnels des clients et des membres du personnel détenus par Servirplus est limitée aux Employés dont la fonction le requiert;

  • Servirplus s’assure de la mise à jour de l’ensemble de ses guides d’utilisation et mesures internes en vigueur en matière d’accès à l’information.

4. Rôles et responsabilités

4.1 Personne responsable de l’accès à l’information

Le président et directeur général de Servirplus est responsable de l’accès aux documents et de la protection des renseignements personnels. Cette personne est désignée à ce titre auprès de la Commission d’accès à l’information et elle est responsable de la reddition de comptes requise par la Commission.


Pour les fins de l’exercice de sa fonction, la personne désignée peut confier le traitement
des dossiers, au besoin et en fonction des catégories de documents à d’autres Employés.
 

5. Stratégie d’intervention lors d’un incident de confidentialité

Lors d’un incident de confidentialité, il est essentiel d’agir avec diligence et d’intervenir de manière efficace afin de prévenir ou de limiter les conséquences préjudiciables pour la personne concernée ou Servirplus. Un tel incident peut se matérialiser de différentes façons et il se manifeste le plus couramment par :

  • un vol ou une perte d’un renseignement;

  • un manquement au devoir de confidentialité (communication d’un renseignement personnel à une personne qui n’en a pas besoin dans le cadre de l’exercice de ses fonctions);

  • une utilisation de renseignements personnels à des fins non autorisées par la loi;

  • une communication d’un renseignement personnel transmise par erreur à un mauvais destinataire;

  • une erreur de processus ou une défaillance opérationnelle (erreur de programmation).

Les principales étapes de la stratégie d’intervention se retrouvent aux articles qui suivent.

5.1 Limitation de l’incident de confidentialité et l'évaluation préliminaire

5.1.1 Servirplus doit procéder à l’évaluation préliminaire de la situation en désignant une personne coordonnatrice de l’évaluation. Cette personne s’adjoint les collaborateurs requis pour :

a) Limiter immédiatement la brèche de l’incident, par exemple :

  • Cesser promptement la pratique non autorisée;

  • Récupérer les dossiers, les renseignements ou exiger leurs destructions et une confirmation écrite de la personne qui les a détruits;

  • Révoquer ou modifier les mots de passe ou les codes d’accès;

  • Corriger les lacunes des systèmes informatiques ou des processus.

5.1.2 Servirplus doit procéder à l’évaluation préliminaire de la situation en désignant une personne coordonnatrice de l’évaluation. Cette personne s’adjoint les collaborateurs requis pour :

a) Établir le contexte de l’incident et obtenir, le cas échéant, les précisions requises :

  • Identifier les renseignements confidentiels ainsi que le support utilisé (physique ou électronique);

  • Identifier les personnes concernées par l’incident;

  • Établir et identifier les circonstances de l’incident de confidentialité :

    • Que s’est-il passé?

    • Quelle en est la raison?

    • Quelles sont les personnes impliquées?

    • Quels sont les composantes ou les actifs affectés?

    • S’agit-il d’un incident isolé?​

b) Répertorier les mesures de sécurité physiques et informatiques ou techniques en place;

c) Identifier les vulnérabilités liées à l’incident.

5.2 Évaluation des risques liés à l’incident

Afin de déterminer les risques de préjudices, procéder à une évaluation de ces risques en tenant notamment compte des facteurs suivants :

a) Des renseignements confidentiels en cause :

  • La sensibilité des renseignements;

  • La quantité des renseignements et la possibilité de les combiner avec d’autres renseignements;

  • Les préjudices prévisibles pour les personnes concernées, l'utilisation qui peut être faite des renseignements personnels – fins frauduleuses, vol d’identité, etc., et les tierces parties impliquées. Il est à noter que plus les renseignements confidentiels sont sensibles, plus les risques de préjudice sont élevés.

b) De la cause et de l’étendue de l’incident de confidentialité :

  • Établissement de la cause et de l’étendue de la situation;

  • Impact sur la mission de l’entreprise;

  • Évaluation des mesures prises pour limiter l’incident de confidentialité et y ajouter les mesures correctives si nécessaire pour prévenir tout risque d’incident similaire.

  • Si l’incident de confidentialité peut avoir des conséquences sérieuses, la Commission d’accès à l’information doit être avisée. Lorsqu’il y a possiblement une activité criminelle, la police doit également en être avisée.

5.3 Détermination et mise en œuvre des priorités d’actions

Afin d’atténuer les risques de préjudices pour les personnes concernées :

a) Notification de l’incident de confidentialité

  • Déterminer les personnes qui doivent être avisées et le responsable de la

démarche

b) Déterminer le moyen de communication et définir le contenu de la notification :

  • Déterminer le moyen de communication approprié eu égard aux personnes concernées (par téléphone, par courriel sécurisé, par envoi postal ou en personne). Le recours à la notification générale et indirecte ne doit être envisagé que dans le cas d’un incident de confidentialité majeur, lorsqu’il n’est pas possible d’identifier clairement les personnes concernées par l’incident dans un délai raisonnable ou lorsqu’il n’est pas possible de rejoindre les personnes concernées (ex. : les coordonnées des personnes ne sont pas détenues).

  • Définir le contenu de la notification en fonction de la nature d’un incident de confidentialité et en tenant compte des catégories de personnes concernées (personne physique ou morale directement ou indirectement impliquée) :

    • Aperçu des faits;​

    • Renseignements confidentiels en cause;

    • Description sommaire des mesures mises en place et des actions prises;

    • Mesures que les personnes concernées peuvent prendre afin de réduire les risques de préjudice et les sources d’information aidant les personnes à se protéger, le cas échéant;

    • Coordonnées d’une personne-ressource pour répondre aux interrogations;

    • Principales mesures qui seront prises pour éviter que la situation ne se reproduise.

5.4 Évaluation approfondie et prévention

Afin d’atténuer les risques de préjudices pour les personnes concernées :

a) Analyser adéquatement les circonstances ayant mené à l’incident de confidentialité (cause, ordre chronologique, date des interventions).

b) Explorer la pertinence de mettre en place un plan de prévention, incluant les éléments suivants :

  • Vérification de la sécurité physique et technique;

  • Examen des normes, des politiques ou des directives internes en place au moment de l’incident;

  • Vérification des pratiques du personnel impliqué et des mandataires ou partenaires, le cas échéant;

  • Élaboration de recommandations relatives aux solutions à mettre en place à moyen et long terme;

  • Révision d’un suivi sur les mesures mises en place.

c) Mettre en œuvre le plan de prévention, si nécessaire.

Responsable de cette politique : Le président et directeur général

Date d’entrée en vigueur : Date d’entrée en vigueur : 8 juin 2023

bottom of page