Politique de protection de la vie privée

Type: Fonctionnement

Public cible: Public

1.0 Introduction

En tant qu’organisme du gouvernement de l’Ontario, la Fondation Trillium de l’Ontario (FTO) s’engage à respecter les droits à la vie privée des personnes ainsi qu’à assurer la protection des renseignements personnels qu’elle garde et contrôle en conformité avec la Loi sur l’accès à l’information et la protection de la vie privée (LAIPVP) de l’Ontario et la Loi de 2006 sur les Archives publiques et la conservation des documents.

2.0 Objet

S’assurer que les pratiques de la FTO concernant les renseignements personnels sont conformes à la Partie III – PROTECTION DE LA VIE PRIVÉE de la Loi sur l’accès à l’information et la protection de la vie privée (LAIPVP).

3.0 Portée

La présente politique s’applique à toutes les données fournies, détenues ou gérées par la FTO.

4.0 Politique

  • La FTO recueille seulement les renseignements personnels nécessaires minimaux, consignés ou verbaux.
  • La FTO fournit un avis lorsqu’elle recueille des renseignements personnels (directement de la personne ou indirectement d’une autre source), sauf s’il est dispensé ou qu’il est visé par une exception aux termes de la LAIPVP. Au minimum, l’avis mentionnera l’autorité invoquée à cette fin, les fins auxquelles doivent servir la cueillette des renseignements personnels, ainsi que les coordonnées du contact permettant d’obtenir plus d’information.
  • La FTO utilise les renseignements personnels dans les situations suivantes :
    • avec le consentement du particulier;
    • à la fin invoquée au moment de la cueillette ou à une fin compatible.
  • La FTO divulgue des renseignements personnels lorsque cela est permis par la LAIPVP. Dans certaines situations, les organismes ont la permission de divulguer des renseignements personnels :
    • lorsque la personne a consenti à la divulgation;
    • aux fins pour lesquelles les renseignements personnels ont été obtenus ou recueillis ou à des fins compatibles;
    • lorsque la divulgation est nécessaire et appropriée à l’acquittement des fonctions de l’institution;
    • afin de se conformer aux dispositions d’une autre loi;
    • aux fins d’exécution de la loi;
    • lors  d’une situation d’urgence ayant une incidence sur la santé ou la sécurité d’un particulier;
    • dans une situation relative à un événement de famille afin de faciliter la communication avec le conjoint, un proche parent ou un ami d’un particulier blessé, malade ou décédé;
    • afin de faciliter la vérification des programmes cofinancés par le gouvernement de l’Ontario et le gouvernement du Canada.
  • La FTO se conforme à la Loi de 2006 sur les Archives publiques et la conservation des documents, relativement aux exigences de conservation et de disposition des renseignements personnels.
  • Seules les personnes à qui le document est nécessaire dans l’exercice de leurs fonctions y ont accès et prennent les mesures nécessaires pour protéger les dossiers de renseignements personnels contre une destruction accidentelle.
  • La FTO prépare une évaluation écrite des facteurs relatifs à la vie privée avant de recueillir des renseignements personnels.
  • La FTO prend les mesures raisonnables pour s’assurer que les renseignements personnels contenus dans les dossiers de l’organisme ne sont pas utilisés à moins qu’ils soient exacts et à jour.
  • La FTO prend les mesures et les précautions de sécurité administratives, techniques et physiques nécessaires pour protéger les renseignements personnels (qu’ils soient stockés, en cours de transfert ou utilisés) contre le vol, la perte ou l’accès, l’utilisation ou la divulgation non autorisées et pour réduire les risques que courent les particuliers en cas d’incident de sécurité.
  • La FTO prend des mesures qui sont raisonnables selon les circonstances pour protéger les renseignements personnels qu’elle détient ou contrôle contre le vol, la perte, l’utilisation ou la divulgation non autorisées, et pour protéger les dossiers qui les contiennent contre la copie, la modification ou la destruction non autorisées.
  • En cas de violation, la FTO met en œuvre son protocole d’intervention. Le chef de la direction de la FTO informe les personnes concernées et signale l’incident au Commissaire à l’information et à la protection de la vie privée.
  • Chaque contrat visant la cueillette et le traitement de données est soumis à une évaluation des risques et des menaces ainsi qu’à une évaluation d’impact sur la vie privée.
  • Les membres du conseil d’administration, les bénévoles et les membres du personnel de la FTO doivent signer et respecter un code de déontologie qui inclut un engagement à « sauvegarder, manipuler et transférer des fichiers, sous quelque forme que ce soit, de manière à répondre aux besoins de confidentialité et de sécurité de la FTO et de ses parties prenantes ».
  • La FTO fournit les coordonnées du contact relativement à toute question ou préoccupation concernant la cueillette, l’utilisation ou la divulgation de renseignements personnels par la FTO, ou pour demander l’accès à des renseignements personnels gardés ou contrôlés par cette dernière.
  • Lorsque des renseignements personnels provenant de différentes sources sont fusionnés en un seul dossier pour une personne (intégration des données), les dossiers sont dépersonnalisés, y compris tout lien entre les dossiers ou les renseignements. L’intégration des données peut être effectuée pour compiler des renseignements, notamment des renseignements statistiques, afin de permettre une analyse liée à la gestion, la planification et/ou l’évaluation des programmes et des services financés par la FTO.
  • Aucune personne ou entité (entre autres, le personnel et les bénévoles) ne doit utiliser ou tenter d’utiliser des renseignements qui ont été dépersonnalisés, seuls ou avec d’autres renseignements, pour identifier une personne.
  • Les méthodes de collecte, d’utilisation et de traitement (y compris la dépersonnalisation et le couplage) des renseignements personnels sont résumées et publiées chaque année dans un rapport accessible au public, ou dans une partie d’un rapport accessible au public, établissant que les exigences de la LAIPVP ont été respectées.

5.0 Définitions

Contrôle (d’un dossier) : Le pouvoir ou l’autorité de prendre une décision relative à l’utilisation ou à la divulgation du dossier.

Couplage : La jonction de deux ensembles de données différents pour la même personne en un seul ensemble de données contenant plus de champs de données à des fins d’intégration des données en utilisant une clé de données ou un autre identifiant unique.

Désidentification : La suppression des renseignements suivants d’un dossier :

  1. Les renseignements permettant d’identifier une personne.
  2. Les renseignements qui pourraient être utilisés, seuls ou avec d’autres renseignements, pour identifier une personne en fonction de ce qui est raisonnablement prévisible dans les circonstances.

Fin compatible : Seule constitue une fin compatible, la fin invoquée à l’appui de l’utilisation ou de la divulgation de renseignements personnels, sans consentement, à laquelle le particulier concerné par les renseignements pourrait raisonnablement s’attendre lorsque ceux-ci ont été obtenus du particulier directement. Cela signifie que la fin originale et la fin proposée sont si étroitement liées que la personne s’attendrait à ce que les renseignements soient utilisés pour la fin compatible, même si l’utilisation n’est pas énoncée.

Garde (d’un dossier) : La tenue, le soin, la surveillance, la préservation ou la sécurité du dossier pour des motifs d’affaires légitimes. Bien que la possession physique d’un dossier ne constitue pas toujours sa garde, il s’agit de la meilleure preuve de garde.

Renseignements personnels : Renseignements consignés ayant trait à un particulier qui peut être identifié. S’entend notamment :

  1. des renseignements concernant la race, l’origine nationale ou ethnique, la couleur, la religion, l’âge, le sexe, le genre, l’orientation sexuelle, ou l’état matrimonial ou familial de celui-ci;

  1. des renseignements concernant l’éducation, les antécédents médicaux, psychiatriques, psychologiques, criminels ou professionnels de ce particulier ou des renseignements reliés à sa participation à une opération financière;

  1. d’un numéro d’identification, d’un symbole ou d’un autre signe individuel qui lui est attribué;

  1. de l’adresse, du numéro de téléphone, des empreintes digitales ou du groupe sanguin de ce particulier;

  1. de ses opinions ou de ses points de vue personnels, sauf s’ils se rapportent à un autre particulier;

  1. de la correspondance ayant explicitement ou implicitement un caractère personnel et confidentiel, adressée par le particulier à une institution, ainsi que des réponses à cette correspondance originale susceptibles d’en révéler le contenu;

  1. des opinions et des points de vue d’une autre personne au sujet de ce particulier;

  1. du nom du particulier, s’il figure parmi d’autres renseignements personnels qui le concernent, ou si sa divulgation risque de révéler d’autres renseignements personnels au sujet du particulier.

Traitement des renseignements personnels : L’ensemble des pratiques et procédures d’une institution concernant les renseignements personnels, notamment :

  1. les modalités de collecte, d’utilisation, de modification, de divulgation, de conservation et de disposition des renseignements personnels (quand, comment et à quelles fins);
  2. les mesures de protection administratives, techniques et physiques mises en place pour protéger ces renseignements.

Violation : Le résultat d’un accès non autorisé à des renseignements personnels, ou encore la cueillette, l’utilisation ou la divulgation de tels renseignements.

Vie privée : Le principe selon lequel une personne a le droit de contrôler ses propres renseignements personnels.